CONSULTA DE PROPIEDAD INTELECTUAL.

PRINCIPIO DE LA RESPONSABILIDAD DEMOSTRADA.

Se caracteriza porque en el mismo se enfatiza el rol del responsable del
tratamiento, como el operador jurídico llamado a implementar medidas dentro
de la organización que le permitan dar el debido cumplimiento a los principios
establecidos en el régimen jurídico de la protección de datos de carácter personal.
 “Una obligación o disposición a responder por las acciones propias”
 “La obligación de un individuo o de una organización de rendir cuentas
sobre sus actividades, aceptar responsabilidad sobre ellas y divulgar los
resultados de manera transparente”

En este orden de cosas, dichas medidas a adoptar deben tener en cuenta diversos
factores, que son los propios y característicos de cada organización, entre los que
se encuentran: su tamaño y naturaleza jurídica, la naturaleza de los datos
tratados, el tipo de tratamiento al que se somete la información, y los riesgos
que impliquen para los titulares la obtención y posterior uso o tratamiento de
sus datos.

El principio de responsabilidad demostrada exige que las organizaciones

establezcan políticas internas, que sean efectivas, en orden a garantizar diferentes
aspectos entre los que cabe señalar, los que se citan a continuación:
(i) que la organización exista una estructura administrativa proporcional a
la estructura del responsable para implementarlas;
(ii) que se adopte mecanismos internos para poner en práctica las políticas
que incluyan herramientas de implementación, entrenamiento y
programas de educación y formación que abarque el conjunto de la
organización; y
(iii) la adopción de procesos para la atención de reclamaciones y cualquier
consulta que puede llevar a cabo los titulares de los datos, que sean
objeto de tratamiento.

Este planteamiento es consecuencia de un modelo que privilegia la gestión del

riesgo, y al mismo tiempo, la asignación de responsabilidades generalmente
atribuidas siempre al responsable del tratamiento, y que produce no sólo
evidentes en beneficios para la organización, sino que dicha actividad se traduce
en una mayor protección seguridad jurídica para los individuos.

Por ello puede afirmarse que la verificación de la implementación de un programa

que involucre los elementos esenciales de este principio de responsabilidad
demostrada, tiene como finalidad generar una situación de beneficio mutuo tanto
entre las organizaciones, como para el propio regulador, el cual sin abdicar de sus
facultades de investigación, tendrá otros elementos y factores adicionales de
evaluación de la actuación de la organización, precisamente, a consecuencia de la
implementación de tales políticas, y su cumplimiento de manera efectiva.
Consecuentemente con ello, la aplicación de dichas políticas de “responsabilidad
demostrada” debe responder a una serie de pautas que son:
(i) los ciclos internos de gestión de datos de la organización en la
aplicación de un programa integral de gestión de datos de esta
naturaleza; y,
(ii) la de generar resultados medibles que le permitan acreditar ese grado
de diligencia especial en el respeto al régimen jurídico existente materia
de protección de datos de carácter personal.

El Sistema Integral de Gestión de Datos Personales consiste básicamente, al

hilo de lo ya expuesto, en un programa corporativo basado en controles, que
responde al tamaño y estructura de la organización, destinado al cumplimiento,
implementación y consolidación del régimen de protección de datos.

Entendiéndose, en este caso, por “controles” como la etapa dentro del sistema de
gestión en el que se verifica si los resultados de la implementación se ajustan a las
obligaciones del régimen de protección de datos personales y políticas para el
tratamiento de la información personal. En tanto la organización cumpla con todos
los controles, se acercará a cumplir con el principio de responsabilidad
demostrada. De lo contrario, tendrá que tomar las medidas necesarias que la
conduzcan a satisfacer este principio

Para implementar efectivamente un programa integral de gestión de datos de

carácter personal, no es un requisito suficiente el hecho de demostrar la adopción
de las políticas y procedimientos tendentes a cumplir las normas sobre protección
de datos de carácter personal, ya que un programa basado en este estándar debe
buscar la implementación de estas políticas y procedimientos, para lo cual como
primera medida se requiere contar con el compromiso de los sujetos obligados,
derivado de una cultura de respeto a la protección de los datos personales que
recoge o trata.

En este sentido, la organización, teniendo a su tamaño y estructura, así como al

tipo de información personal a la que realiza el tratamiento, debe comprometer
recursos económicos y de personal una vez que decía emprender el camino hace
la implementación de un programa integral de gestión de datos personales

En consecuencia, lo que se pretende es que las organizaciones sean capaces de

demostrar que un fallo en el tratamiento de los datos personales, corresponde a
una situación aislada dentro del Programa de Integral de Gestión de Datos
Personales, el cual en todo caso deberá ser el resultado de una debida diligencia
al interior de la organización que permita generar resultados medibles.

TIPOS DE DATOS PERSONALES:

Las disposiciones sobre protección de datos, establecen tipologías de datos según
el mayor o menor grado de aceptabilidad de la divulgación:
 Dato Público: Es el dato que la ley o la Constitución Política determina
como tal, así como todos aquellos que no sean semiprivados o privados.
 Dato Semiprivado: Es el dato que no tiene naturaleza íntima, reservada, ni
pública y cuyo conocimiento o divulgación puede interesar no sólo a su
titular sino a cierto sector o grupo de personas.
 Dato Privado: Es el dato que por su naturaleza íntima o reservada sólo es
relevante para el titular de la información.
 Dato Sensible: Es el dato que afecta la intimidad del titular o cuyo uso
indebido puede generar su discriminación.

¿QUIÉN ES TITULAR, RESPONSABLE Y ENCARGADO?

 Encargado del Tratamiento: Persona natural o jurídica, pública o privada,
que por sí misma o en asocio con otros, realice el Tratamiento de datos
personales por cuenta del Responsable del Tratamiento;
 Responsable del Tratamiento: Persona natural o jurídica, pública o
privada, que por sí misma o en asocio con otros, decida sobre la base de
datos y/o el Tratamiento de los datos;
 Titular: Persona natural cuyos datos personales sean objeto de
Tratamiento;

DERECHOS DE TITULARES
1. Conocer, actualizar y rectificar sus datos personales frente a los
Responsables del Tratamiento o Encargados del Tratamiento. Este derecho
se podrá ejercer, entre otros frente a datos parciales, inexactos,
incompletos, fraccionados, que induzcan a error, o aquellos cuyo
Tratamiento esté expresamente prohibido o no haya sido autorizado;
2. Solicitar prueba de la autorización otorgada al Responsable del Tratamiento
salvo cuando expresamente se exceptúe como requisito para el
Tratamiento, de conformidad con lo previsto en el artículo 10 de la presente
ley;
3. Ser informado por el Responsable del Tratamiento o el Encargado del
Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos
personales;
4. Presentar ante la Superintendencia de Industria y Comercio quejas por
infracciones a lo dispuesto en la presente ley y las demás normas que la
modifiquen, adicionen o complementen;
5. <Literal CONDICIONALMENTE exequible> Revocar la autorización y/o
solicitar la supresión del dato cuando en el Tratamiento no se respeten los
principios, derechos y garantías constitucionales y legales. La revocatoria
y/o supresión procederá cuando la Superintendencia de Industria y
Comercio haya determinado que en el Tratamiento el Responsable o
Encargado han incurrido en conductas contrarias a esta ley y a la
Constitución;
6. Acceder en forma gratuita a sus datos personales que hayan sido objeto de
Tratamiento.
 DEBERES DE RESPONSABLES Y ENCARGADOS.

RESPONSABLES: Los Responsables del Tratamiento deberán cumplir los

siguientes deberes, sin perjuicio de las demás disposiciones previstas en la
presente ley y en otras que rijan su actividad:

1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del

derecho de hábeas data;
2. Solicitar y conservar, en las condiciones previstas en la presente ley, copia
de la respectiva autorización otorgada por el Titular;
3. Informar debidamente al Titular sobre la finalidad de la recolección y los
derechos que le asisten por virtud de la autorización otorgada;
4. Conservar la información bajo las condiciones de seguridad necesarias
para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado
o fraudulento;
5. Garantizar que la información que se suministre al Encargado del
Tratamiento sea veraz, completa, exacta, actualizada, comprobable y
comprensible;
6. Actualizar la información, comunicando de forma oportuna al Encargado del
Tratamiento, todas las novedades respecto de los datos que previamente le
haya suministrado y adoptar las demás medidas necesarias para que la
información suministrada a este se mantenga actualizada;
7. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al
Encargado del Tratamiento;
8. Suministrar al Encargado del Tratamiento, según el caso, únicamente datos
cuyo Tratamiento esté previamente autorizado de conformidad con lo
previsto en la presente ley;
9. Exigir al Encargado del Tratamiento en todo momento, el respeto a las
condiciones de seguridad y privacidad de la información del Titular;
10. Tramitar las consultas y reclamos formulados en los términos señalados en
la presente ley;
11. Adoptar un manual interno de políticas y procedimientos para garantizar el
adecuado cumplimiento de la presente ley y en especial, para la atención
de consultas y reclamos;
12. Informar al Encargado del Tratamiento cuando determinada información se
encuentra en discusión por parte del Titular, una vez se haya presentado la
reclamación y no haya finalizado el trámite respectivo;
13. Informar a solicitud del Titular sobre el uso dado a sus datos;
14. Informar a la autoridad de protección de datos cuando se presenten
violaciones a los códigos de seguridad y existan riesgos en la
administración de la información de los Titulares.
15. Cumplir las instrucciones y requerimientos que imparta la Superintendencia
de Industria y Comercio.
ENCARGADOS: Los Encargados del Tratamiento deberán cumplir los siguientes
deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en
otras que rijan su actividad:

1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del

derecho de hábeas data;
2. Conservar la información bajo las condiciones de seguridad necesarias
para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado
o fraudulento;
3. Realizar oportunamente la actualización, rectificación o supresión de los
datos en los términos de la presente ley;
4. Actualizar la información reportada por los Responsables del Tratamiento
dentro de los cinco (5) días hábiles contados a partir de su recibo;
5. Tramitar las consultas y los reclamos formulados por los Titulares en los
términos señalados en la presente ley;
6. Adoptar un manual interno de políticas y procedimientos para garantizar el
adecuado cumplimiento de la presente ley y, en especial, para la atención
de consultas y reclamos por parte de los Titulares;
7. Registrar en la base de datos las leyenda “reclamo en trámite” en la forma
en que se regula en la presente ley;
8. Insertar en la base de datos la leyenda “información en discusión judicial”
una vez notificado por parte de la autoridad competente sobre procesos
judiciales relacionados con la calidad del dato personal;
9. Abstenerse de circular información que esté siendo controvertida por el
Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de
Industria y Comercio;
10. Permitir el acceso a la información únicamente a las personas que pueden
tener acceso a ella;
11. Informar a la Superintendencia de Industria y Comercio cuando se
presenten violaciones a los códigos de seguridad y existan riesgos en la
administración de la información de los Titulares;
12. Cumplir las instrucciones y requerimientos que imparta la Superintendencia
de Industria y Comercio.

AUTORIDAD EN DATOS PERSONALES.

Artículo 19. Autoridad de protección de datos. <artículo condicionalmente
exequible> La Superintendencia de Industria y Comercio, a través de una
Delegatura para la Protección de Datos Personales, ejercerá la vigilancia para
garantizar que en el Tratamiento de datos personales se respeten los principios,
derechos, garantías y procedimientos previstos en la presente ley.

PARÁGRAFO 1o. El Gobierno Nacional en el plazo de seis (6) meses contados a

partir de la fecha de entrada en vigencia de la presente ley incorporará dentro de
la estructura de la Superintendencia de Industria y Comercio un despacho de
Superintendente Delegado para ejercer las funciones de Autoridad de
Protección de Datos.