Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Modulo 01 PDF
Modulo 01 PDF
Artículo 15 y 20 CN
Ley Ley
Ley 1581 de 2012 1266 de 1273 de
2008 2009
Decreto Único
Sentencia C- Reglamentario Circulares de
748/11 1074 de la SIC
2015
Autorización del Titular del Dato
Finalidad
Tratamiento
AUTORIZACIÓN PARA EL
TRATAMIENTO DEL DATO
Derechos
del Titular
Identificación
del
Responsable
Tipos de Datos Personales
GRADO DE ACCESO
AFECTACIÓN Público
Semiprivado
Privado
Queda proscrito el
Tratamiento de datos
personales de niños, niñas y
adolescentes, salvo aquellos
datos que sean de
naturaleza pública. Sensible SEGURIDAD
Casos en los que NO es necesaria la AUTORIZACIÓN
Casos de urgencia
médica o sanitaria
Tratamiento de
información autorizado
Datos de naturaleza
por la ley para fines
pública
históricos, estadísticos o
científicos
Información requerida
por una entidad pública Casos en los
que NO es Datos relacionados con
o administrativa en
el Registro Civil de las
ejercicio de sus necesaria la Personas
funciones legales o por AUTORIZACIÓN
orden judicial
Quién acceda a los datos personales sin que medie autorización previa deberá en todo
caso cumplir con las disposiciones contenidas en la presente ley.
Principios para el tratamiento de datos personales
Legalidad
Finalidad
Libertad
Veracidad y
Calidad
P. Seguridad de Acuerdos de
Principios Políticas Autorizaciones
la Información Confidencialidad
Transparencia
Acceso y
Circulación
Restringida
Seguridad
Confidencialidad
Derechos del Titular
1.Conocer
6.Acceder 2.Actualizar
Autorización
DATOS
5.Solicitar 7.Solicitar
supresión
3.Rectificar 8.Revocar
prueba
4.Ser
informado
CONSULTA
RECLAMOS
S
La consulta será El término máximo para
atendida en un término atender el reclamo será
máximo de diez (10) de quince (15) días
días hábiles contados a hábiles contados a
partir de la fecha de partir del día siguiente a
recibo de la misma. la fecha de su recibo.
Obtención
Eliminación y/o
disposición Almacenamiento
final
TRATAMIENTO
Circulación Uso
Sistema de Gestión Integral de Protección de Datos
Personales
Enfocado a la identificación de
Visión compatible
bases de datos personales, su
con el GDPR
ubicación, y tiene en cuenta
y Guía de
el enfoque anterior. Flujo de Responsabilidad
datos Demostrada
Ajustes básicos enfocados a la
personales
identificación de recolección de Bases de
información personal de Datos
Además de los dos enfoques anteriores, se
acuerdo a los canales que tiene debe partir desde el flujo de los datos
el Responsable Visión
Ley 1581/2012 personales al interior y exterior de la
Datos organización. Es decir, tener claro el flujo.
Personales No se enfoca solamente en entender como
entran y salen los datos personales.
Visión
Ley 1266/2008
Fases Iniciales
Levantamiento •Documento de
Cruce de procesos con matrices
de información información
diligenciadas
•Se definen las áreas a
entrevistar
•Identificación de
Entrevista procesos a ajustar,
mejoramiento
FORMA DE
CONTROL CUMPLIMIENTO LEY 1581 DE 2012
RECOLECCIÓN
Formularios web • En los formulario web, aplicativos móviles y chat o video chat, se debe incorporar la
Aplicativos móviles autorización para el tratamiento de datos personales.
• Se debe conservar el log del check de la autorización, así como fecha, hora y ID del
Chat y video chat titular.
• No puede ser obligatorio las preguntas que versen sobre datos personales sensibles.
• Se debe incorporar la autorización para el tratamiento de datos personales.
• No puede ser obligatorio las preguntas que versen sobre datos personales sensibles.
Formularios físicos • En los formularios que se utilicen en el giro ordinario de las actividades que realiza la
Organización, con los empleados y estudiantes, no será necesario incorporar la autorización,
siempre y cuando sean actividades previsibles.
Llamadas telefónicas
• (…)
Cookies • (…)
Redes sociales
• (…)
Cámaras de video • (…)
Sistemas biométricos
• (…)
Correos Electrónicos
• (…)
TIPOLOGÍA DE AUTORIZACIONES
Evaluación
Identificación
de Identificación Identificación
Riesgo Riesgo
Riesgos
de Bases de
Datos
y Evaluación
Riesgos
Inherente
y Evaluación
de Controles
Inherente
JUNTA DIRECTIVA
Gestión de incidentes de
seguridad de la información
Reporte de Novedades
Subcomponente: Seguridad y
Privacidad
Adopción de • Prioridad a
autorizaciones Bases de Datos
• Prioridad por
Legalización y/o riesgos
formalización de asociados a la
autorizaciones recolección del
dato
• Se
Gestión de
abordan
Consultas y
los
Reclamos
deberes
Módulo: Protección y Gestión de Datos
Personales de Empleados
1. Protección de datos en el proceso de selección, contratación y
vigencia de la relación laboral.
2. Gestión especial de datos personales sensibles de los
Empleados.
Procesos del área de Gestión
Humana
• Manejo de
• Hojas de vida datos sensibles
• Estudios de Autorización • Eventos
Relación bienestar
Selección seguridad Contratación tratamiento de
Laboral laboral
• Autorizaciones datos
previas • Incapacidades
• SST
Proceso de Selección
• Previo a recibir la hoja de vida del aspirante, se debe hacer firmar por el aspirante la
“Autorización Tratamiento de Datos Personales”, hasta que no se encuentre diligenciado y
firmado por el aspirante, no se podrá recepcionar la hoja de vida.
• La autorización para la recepción de hoja de vida y entrevista de trabajo, deberán incorporar
además de las finalidades y los requisitos que se requieren para la autorización, indicar si los
datos personales se entregan a terceros, en qué casos y para que finalidades. Por ejemplo:
estudios de seguridad, exámenes médicos de ingreso, pruebas psicológicas, etc.
• La hoja de vida de las personas que avanzaron en el proceso de selección, pero que,
finalmente no fueron seleccionadas, se debe conservar temporalmente, pasado este periodo,
deberá destruir la hoja de vida y levantar acta de destrucción.
• En las entrevistas de trabajo, se debe tener cuidado con las preguntas de carácter sensible y
privado, e informarle al titular que no está obligado a suministrar dicha información.
• En caso que la Organización, contraté con un tercero, Estudios de Seguridad, el área de
gestión humana debe exigirle a dicha empresa, las autorizaciones para el tratamiento de
datos personales a los titulares de la información y hacerles firmar acuerdo de
confidencialidad y transmisión de datos personales para la protección de la información
personal.
Proceso de Selección
• Las hojas de vida obtenidas a través de bolsas de empleo no requieren
autorización, siempre y cuando en la autorización y/o en la política de dicha bolsa
de empleo, quede expreso que dicha entidad es la encarga de la autorización para
el tratamiento de datos personales.
• En caso de que se haya dispuesto un correo electrónico exclusivamente para la
recepción de hojas de vida, deberá configurarse con respuesta automática,
informando sobre el tratamiento que se le dará a la hoja de vida. Las hojas de vida
recepcionadas por este medio, deberán solicitar la autorización solicitar a más
tardar, en el momento previo a la realización de la entrevista.
• En caso de que una hoja de vida no haya sido solicitada y sea presentada
directamente por el titular, se deberá hacer firmar autorización para el tratamiento
de datos personales, con el propósito que conozca el alcance del tratamiento de su
información.
• En caso de que sea repecionada la hoja de vida por medio de un correo electrónico
por parte del titular, se deberá responder dicho correo, informándole el aviso de
privacidad de la Organización.
Proceso de Contratación
• Al ingresar, el empleado deberá realizar de manera obligatoria el curso de
protección de datos personales.
• Los contratos de trabajo deben incorporar cláusula de obligatoriedad en el
cumplimiento por parte de los empleados de las políticas de tratamiento de
datos personales y del manual interno.
• Los contratos de trabajo deben incorporar cláusula de autorización para el
tratamiento de datos personales de carácter público, privado, semiprivado y
sensibles.
• Los contratos de trabajo deberán contener cláusulas de confidencialidad.
• Los procesos y procedimientos que impliquen captura de información
sensible del trabajador, como su huella, datos relativos a la salud, datos
biométricos, requieren autorización reforzada por parte del trabajador.
Proceso de Contratación
• Para los contratos actuales debe incorporarse el otro si al
contrato de trabajo y previamente se le debe dar a conocer la
política de tratamiento de datos personales a los empleados, una
vez socializado, deberán firmar el otro si al contrato de trabajo.
• Al momento de ingresar se le debe dar uno copia, o informarle
donde puede consultar la política de tratamiento de datos
personales.
• De manera periódica, se deberá revisar las cláusulas de
autorización para el tratamiento de datos personales, con el
propósito de verificar si han cambiado las finalidades, o
incorporar nuevas finalidades que surjan en la relación laboral.
Actividades de Seguridad y Salud en el Trabajo
• Los procesos y procedimientos que se implementen con el objetivo de preservar la seguridad y salud del
trabajador, deben respetar los derechos fundamentales del trabajador, como la intimidad, el hábeas data y el
buen nombre.
• Sólo deberían recabarse datos médicos de conformidad con la legislación nacional, conforme a los principios
generales de la salud y seguridad en el trabajo, y en los siguientes casos:
• a) determinar si el trabajador puede ocupar un puesto de trabajo específico;
• b) cumplir con los requisitos en materia de salud y seguridad en el trabajo;
• c) determinar el derecho a prestaciones sociales y su disfrute.
• Las respuestas inexactas o incompletas a preguntas contrarias a los principios enunciados, no deberían quedar
sancionadas por una terminación de la relación de empleo ni comportar ningún tipo de medida disciplinaria.
• La custodia de las evaluaciones médicas ocupacionales y la historia clínica ocupacional debe estar a cargo del
responsable del programa de seguridad y salud en el trabajo. No se puede conservar o anexar copia de las
evaluaciones medicas ocupacionales e historia clínica ocupacional en la hoja de vida del trabajador (Resolución
1918/2009 Minsalud)
• Las carpetas donde incluyen información sensible o relativa a la salud deberá accederse exclusivamente por el
responsable del programa de seguridad y salud en el trabajo y por el responsable del proceso pago de
incapacidades.
Gestión y custodia de Historias
laborales (incluye hojas de vida)
• Las historias laborales deberán ser conservadas con controles de acceso físicos y/o
lógicos dependiendo en el formato que se encuentre.
• Ningún personal, salvo el autorizado, podrá acceder o consultar las historias
laborales. En caso de que un funcionario especifico, desea la consulta o acceso
deberá ser motivada justificando el motivo de la consulta, y el jefe de área
determinará si se justifica dicho acceso, conforme a la normativa de protección de
datos personales.
• La información relativa a la salud del trabajador no puede estar en la misma carpeta
de su historia laboral. La carpeta de la hoja de vida, o en su defecto el acceso al
sistema de información debe tener controles de acceso de acuerdo al rol.
• No se puede conservar o anexar copia de las evaluaciones medicas ocupacionales e
historia clínica ocupacional en la hoja de vida del trabajador (Resolución
1918/2009 Minsalud)
Obtención de datos personales
sensibles de los empleados
• Por regla general, la Organización no debe recolectar datos personales de carácter sensible de los empleados.
• Los datos personales sensibles que la Organización recolecte por parte de sus empleados, se limitarán a aquellos
necesarios para el cumplimiento de disposiciones legales.
• Cada vez que la Organización, recolecte datos personales sensibles que no sean obligatorios solicitarlos por
disposición legal, deberá analizar si la medida es proporcional con el fin que se persigue, y deberá solicitar
autorización expresa por parte del empleado, siempre y cuando en el contrato de trabajo no se encuentre
especificado dicha finalidad.
• Los exámenes toxicológicos deberían realizarse solamente de conformidad con la legislación y la práctica nacionales
o las normas internacionales.
• No deberían utilizarse polígrafos, detectores u otros medios o procedimientos similares de comprobación de la
veracidad de los empleados.
• En el caso de los exámenes médicos, sólo deberían comunicarse a la Organización, las conclusiones que guarden
relación con la decisión de que se trate relativa al empleo.
• Cuando se soliciten datos personales de menores de edad a cargo de los empleados, se requerirá autorización por
parte del empleado para el tratamiento de dichos datos personales, salvo que se traten de datos personales públicos
de los menores, o datos personales que se requieren para el cumplimiento de una obligación contractual, en este
último caso, bastará con la autorización incorporada en el contrato de trabajo.
Circulación de datos personales de los
Empleados
• En los casos que sean necesario suministrar datos personales de los empleados a terceros en virtud del
cumplimiento de obligaciones en calidad de empleador, la Organización deberá firmar con dicho tercero,
contrato de transmisión de datos personales.
• Los datos personales de los empleados sólo deberán ponerse a la disposición de personal que se encuentre
autorizado.
• El empleador en calidad de responsable y/o encargado de la información personal del empleado, podrá
suministrar a terceros como Administradora de Riesgos Laborales, Entidades Promotoras de Salud, Cajas de
Compensación, Fondo de Pensiones, DIAN, Secretaría de Hacienda, Entidades Financieras, y/o con cualquier
autoridad administrativa y/o judicial legalmente facultada, con la finalidad de dar cumplimiento de
disposiciones legales y reglamentarias.
• La Organización no podrá suministrar datos personales de los empleados o exempleados a terceros relativos a
su antigüedad, desempeño, remuneración, ni ningún dato personal semiprivado, a no ser que cuente con la
autorización previa del empleado para suministrar dicha información personal.
• Las actividades relacionadas con publicación en carteleras, difusión de correos electrónicos, relativos a las
fechas de cumpleaños de los empleados, deberán contar con autorización de dicho empleado para su difusión.
• Las remuneraciones salariales, evaluaciones de desempeño, y otros datos semiprivados del empleado, no
podrán circular libremente en la Organización, y en caso de divulgación, deberán contar con la autorización
del empleado.
•
Derecho de habeas data de los
empleados
• Los empleados tienen derecho a ser informados con regularidad sobre los
datos personales que les conciernen y sobre el tratamiento de éstos, así
como solicitar y/o consultar sus datos personales que tiene bajo tratamiento
la Organización.
• La Organización no podrá cobrar a los empleados el acceso a su historia
laboral o la copia del mismo.
• El empleado tiene derecho a exigir que se supriman o rectifiquen los datos
personales inexactos o incompletos, así como los sometidos a una forma de
tratamiento que vulnere lo estipulado en la presente política.
• Si la Organización se niega a rectificar los datos personales, el empleado
tiene derecho a incluir o añadir en su historia laboral una nota que indique
las razones de su desacuerdo.
Controles recomendados
Ante el Encargado
Lit. b) del
art. 17 art. 17
Lit. j) del
Informar Conservar la
debidamente al información bajo las
Garantizar en todo Titular sobre la condiciones de
Solicitar y conservar,
tiempo, el pleno y finalidad de la seguridad necesarias Informar a solicitud
copia de la respectiva
efectivo ejercicio del recolección y los para impedir su del Titular sobre el
autorización otorgada
derecho de hábeas derechos que le adulteración, pérdida, uso dado a sus datos
por el Titular
data asisten por virtud de consulta, uso o
la autorización acceso no autorizado
otorgada o fraudulento
DEBERES DEL RESPONSABLE DEL
TRATAMIENTO ANTE EL ENCARGADO
DEL TRATAMIENTO
Garantizar que la información que se suministre sea veraz, completa, exacta, actualizada, comprobable y comprensible
Actualizar la información, comunicando de forma oportuna, todas las novedades respecto de los datos que previamente le haya
suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada
Suministrar, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado
Exigir en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular
Informar cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no
haya finalizado el trámite respectivo
DEBERES DEL RESPONSABLE DEL TRATAMIENTO
ANTE LA LEY Y LA SUPERINTENDENCIA y LA LEY
2. Lista de
Excepciones
3. Requisitos del
numeral 3.1 de la
Circular 05 de
2017
4. Contrato de
Transmisión de
datos personales
5. Solicitar
Declaración de
Conformidad
ante la SIC
Transmisión de Datos Personales
CARACTERÍSTICA TRANSMISIÓN TRANSFERENCIA
·Las partes deben celebrar contrato de Cuatro formalidades (previos) Ley, circular 05 de
Formalidad
transmisión de datos personales 2017
SANCIÓN
la finalidad.
-la Organización podrá adquirir •Resolución
bases de datos personales para FLEXITRAVEL 78906 de 2017
actividades de mercadeo, no S.A.S •Multa:
$18.442.925
obstante, los datos personales
deberán ser de carácter público.
•Resolución
-En caso de que sean datos INTERNACIONAL 10414 de 2012
personales de carácter DE VEHICULOS •Multa $
semiprivado, el titular del dato 117.186.300
SANCIÓN