La protección de datos

(continuación) en Latinoamérica.
Especial referencia a Colombia
Eduard Chaveli Donet

@eduardchaveli

http://www.linkedin.com/in/eduardchaveli
1. Visión general en algunos países

La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 2

La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 3
PRINCIPALES CHILE
OBLIGACIONES
A. INSCRIPCIÓN DE FICHEROS/ Inexistencia de un Registro Nacional de las bases de
BASES DE DATOS datos particulares existentes. Si bien la ley establece la
obligación de los órganos públicos a registrar sus bases
de datos en el Registro, el incumplimiento carece de
sanción en ella.

E. CONSENTIMIENTO Y DEBER Ley 19.628, del 28 de agosto de 1999:

DE INFORMACIÓN/ -Arts. 3 y 4 de información y consentimiento
AUTORIZACIÓN -Título II para los derechos de los titulares del datos

I. ENCARGADOS DEL Ley 19.628, del 28 de agosto de 1999:

TRATAMIENTO -Como mandato Art.7, no se habla de encargado.
-Responsable del tratamiento: art 2.n) y 11
O. PRINCIPIO DE SEGURIDAD Ley 19.628, del 28 de agosto de 1999:
- Art 6 eliminación y cancelación
- Art 7 deber de secreto
- Art 11 deber de cuidado de los datos
U. FORMACIÓN No se regula
La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 5
La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 6
PRINCIPALES PERÚ
OBLIGACIONES
A. INSCRIPCIÓN DE FICHEROS/ Ley Nº 29733, de 3 de julio de 2011:
BASES DE DATOS - 28.8 Informar a la autoridad Autoridad Nacional de
Protección de Datos Personales
-33.3 Funciones de la autoridad “Administrar y
mantener actualizado el Registro Nacional de Protección
de Datos Personales.
Decreto Supremo Nº 003-2013-JUS, 21/3/13
-Título V Registro Nacional de Protección de Datos
Personales.
E. CONSENTIMIENTO Y DEBER Ley Nº 29733, de 3 de julio de 2011:
DE INFORMACIÓN/ -Arts. 5 y 13 sobre consentimiento y tit III del Decreto
AUTORIZACIÓN -Art 18 sobre información
-Tít III sobre el derecho de los titulares y IV del Decreto
I. ENCARGADOS DEL Ley Nº 29733, de 3 de julio de 2011:
TRATAMIENTO -Art 2.6 Encargado del tratamiento
-Art 2.15 Titular del banco de datos personales
(responsable)
-Título IV : Obligaciones del titular y del encargado del
banco  de  datos  personales.  
O. PRINCIPIO DE SEGURIDAD -Art. 9 Principio de seguridad más 10, 46 y Título III del
Decreto que desarrolla la ley.
U. FORMACIÓN - Directiva de seguridad y art 33.12 de la ley 29733
La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 8
La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 9
PRINCIPALES MÉXICO
OBLIGACIONES
A. INSCRIPCIÓN DE FICHEROS/ -Art 43.6 de la Ley Federal de Protección de Datos
BASES DE DATOS Personales en Posesión de los Particulares(LFPDPPP) y
61 del Reglamento de la LFPDPPP

E. CONSENTIMIENTO Y DEBER -Consentimiento: Arts. 3,8,9,10 de la ley y 11 al 21 del

DE INFORMACIÓN/ Reglamento, se desarrolla extensamente
AUTORIZACIÓN - Información: Arts 15,16 de la ley y 23 al 27 del
Reglamento de la LFPDPPP:
I. ENCARGADOS DEL - Encargado: Art 3.9 de la ley y 4.4, 49 a 51 del
TRATAMIENTO Reglamento de la LFPDPPP
-Responsable: art 3.14 capítulo II de la Ley y Cap.
VII del Reglamento de la LFPDPPP.

O. PRINCIPIO DE SEGURIDAD - Arts. 14, 19 al 21 de la ley y Cap III del Reglamento de

la LFPDPPP
U. FORMACIÓN -Art. 61.8 del Reglamento de la LFPDPPP
La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 1
1
La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 1
2
PRINCIPALES COSTA RICA
OBLIGACIONES

A. INSCRIPCIÓN DE FICHEROS/ -Art. 16.b, 21 Ley de Protección de la Persona frente al

tratamiento de sus datos personales del 7 de Julio de 2011.
BASES DE DATOS -Capítulo VI del Reglamento de Ley de Protección de la Persona
frente al tratamiento de sus datos personales del 7 de Julio de
2011.

E. CONSENTIMIENTO Y DEBER -Consentimiento: 5.1 de la Ley y Capítulo II del Reglamento.

DE INFORMACIÓN/ -Deber de información: 5.2 de la Ley 12 y 39 del Reglamento.
AUTORIZACIÓN

I. ENCARGADOS DEL -Responsable: art 3.h de la Ley

-Encargado: no se regula en la Ley como tal pero sí en el
TRATAMIENTO Reglamento en 2.k, 30,31 y 32

O. PRINCIPIO DE SEGURIDAD -Art 10 de la Ley y 31.c, 34 al 38 Reglamento

U. FORMACIÓN -Protocolo de actuación: 32 del Reglamento

La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 10
La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 15
La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 16
La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 17
La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 18
La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 19
La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 20
PRINCIPALES ECUADOR
OBLIGACIONES
A. INSCRIPCIÓN DE FICHEROS/ Ley  del  Sistema  Nacional  de  Registro  de  Datos  Público  de  31  de  marzo  
de  2010.  
BASES DE DATOS

E. CONSENTIMIENTO Y DEBER -­‐  Información:  arDculo  4  de  la  Ley  del  Sistema  Nacional  de  Registro  de  
DE INFORMACIÓN/ Datos  Público  de  31  de  marzo  de  2010.  
Encontramos  el  Derecho  “habeas  data”,  como  garanDa  consLtucional  
AUTORIZACIÓN
de  los  ciudadano  para  acceder  a  los  datos  que  que  sobre  ellos  constan  
en  un  registro  o  banco  de  datos,  así  como  su  corrección.    
I. ENCARGADOS DEL -­‐ArDculo  13  registros  públicos.  
TRATAMIENTO
O. PRINCIPIO DE SEGURIDAD -­‐Art  6  
U. FORMACIÓN No  se  regula  

A día de hoy no hay una norma que regule específicamente los datos personales, pero sí encontramos
un proyecto de ley con fecha 19 de Enero de 2015.
La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 22
La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 23
La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 24
2. Algunas conclusiones

1.  Los países latinoamericamos siguen un modelo más Europeo

que de EEUU
2.  Se podría decir que Argentina es el país más similar a Europa
(El único reconocido por la UE con un nivel adecuado de protección)
3.  México a EEUU
(Política de transparencia).
4. Los países más avanzados en PD en Latinoamérica son Chile,
Colombia, México y Perú.

5.  En general en latinoamérica la legislación de transparencia

está desarrollada antes que en algunos países de Europa.
(Por ejemplo España)
6.  En algunos países se exige en el sector público la ISO 27002.
(España similar un SGSI en el Esquema Nacional de Seguridad)

La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 20

3.  Colombia
1.  Marco normativo en protección de datos

La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 26

3.2. Régimen. Principios y obligaciones. Visión comparada

PRINCIPALES ESPAÑA COLOMBIA

OBLIGACIONES
A. INSCRIPCIÓN DE ART. 26 LOPD Art. 19 Ley Estatuaria 1581 de
FICHEROS/BASES DE 2012
DATOS DECRETO 886/2014

E. Art. 5 LOPD. Art. 12 Ley Estatuaria 1581 de

CONSENTIMIENTO Art. 6 y 11 LOPD 2012
Y DEBER DE
INFORMACIÓN/
AUTORIZACIÓN
I. ENCARGADOS DEL Art. 12 LOPD Art.18 Ley Estatuaria 1581 de 2012.
TRATAMIENTO

O. PRINCIPIO DE Art. 9 LOPD y Art. 4 g) Ley Estatuaria 1581 de

SEGURIDAD concretas medidas 2012.
Real Decreto PENDIENTE DE DESARROLLO
1720/2007.
U. FORMACIÓN Art. 89 Real Decreto Art. 17.k) Ley Estatuaria 1581 de
1720/2007. 2012
ADOPTAR MANUAL INTERNO DE
POLÍTICAS Y PROCEDIMIENTOS

La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 27

3.2. Algunas reflexiones
1.  Los principios son muy similares: legitimación, seguridad etc.
2.  Los conceptos también aunque haya cambios de nombre
3.  Datos sensibles/no sensibles: Similar los
aunque se incluyen
biométricos como sensibles.
datos
4.  También hay más distinción de datos. Públicos, semiprivados, privados y
sensibles.
5.  Los derechos reconocidos también son similares:
a)  Derechos a conocer, actualizar y rectificar los datos
b)  Derecho de información
c)  Revocación del consentimiento
d)  Presentar reclamación
e)  Acceder a los datos
6.  Hay aspectos pendientes de desarrollo aún
7.  Hay “disfunciones” entre Ley Estatutaria 1581/2012 y Decreto 1377/2013

La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 28

3.3. Análisis de las principales obligaciones

A. Identificación y registro de bases de datos

•  Realizar el registro de bases de datos, debiendo los interesados

aportar a la Delegatura de Protección de Datos las políticas de
tratamiento de la información e inscribirlas en el Registro nacional
de Bases de Datos. (Art.25)

La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 29

INFORMACIÓN MÍNIMA
Artículo 5 del Decreto 886 de 2014:

1. Datos de identificación, ubicación y contacto del Responsable

del Tratamiento de la base de datos;
2. Datos de identificación, ubicación y contacto
del o de los Encargados del Tratamiento
de la base de datos;
3.  Canales para que los titulares ejerzan sus derechos;
4.  Nombre y finalidad de la base de datos;
5. Forma de Tratamiento de la base
de datos (manual y/o automatizada), y
6.  Política de Tratamiento de la información.

La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 30

E. Información y autorización
AVISOS DE PRIVACIDAD --- POLÍTICAS DE
TRATAMIENTO
DEBER DE INFORMACIÓN: (art.12)
Cuando se recojan datos de interesados (instancias,
formularios, impresos), se les debe de proporcionar
determinada información.

•  Existencia de las bases de datos o tratamiento de datos personales.

•  Finalidad de la recogida de éstos y destinatarios de la información

(cesiones).

•  Posibilidad de ejercitar Derechos que le asisten (conocer, actualizar,

rectificar, suprimir)

•  Identidad y dirección y teléfono del Responsable.

NOTA: Hay que guardar prueba del cumplimiento

La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 31

AUTORIZACION: (art.9)
Los datos sólo pueden ser objeto de tratamiento o cesión si
el interesado ha prestado previamente su consentimiento

•  RG: AUTORIZACIÓN EXPRESA, PREVIA e

INFORMADA
•  Requerimiento por entidad pública para ejercicio de sus
•  Casos en que unoorden
funciones es necesaria:
judicial.
•  Datos de naturaleza pública
•  Casos de urgencia médica o sanitaria.
• Tratamiento autorizado por ley estadísticos,
(fines históricos o científicos).
•  Datos relacionados con Registro Civil.

La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 32

I. Encargados del
tratamiento
Persona natural o jurídica, pública o privada, que por sí
misma o en asocio con otros,
realice el Tratamiento de
datos personales por cuenta del
Responsable del Tratamiento.

Esto será normalmente como consecuencia de

una relación jurídica para prestar un servicio.

Ejemplos: asesoría laboral, fiscal, contable,

mantenimiento informático, alojamiento web, mensajería
etc.

La forma de regular la relación entre responsable y encargado

será mediante un contrato.

La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 33

O. Seguridad de los
datos

Los responsables y encargados de las bases de datos

deben adoptar las medidas técnicas
y organizativas necesarias
que garanticen la
seguridad de los datos
personales y eviten su alteración, pérdida, tratamiento o
acceso no autorizado. (art.17 d Ley), (art.18 b Ley)
(art.19 Decreto)

La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 34

 Manual de Políticas y Procedimientos

•  Debe adoptar un manual de políticas y procedimientos para

garantizar el adecuado cumplimiento de la presente Ley y, en
especial para atención de consultas y reclamos por parte de los
Titulares.

•  Es obligatorio y debe estar actualizado en todo momento.

•  Debe revisarse siempre que se produzcan cambios relevantes

en los SI o como consecuencia de los controles periódicos
realizados.

PENDIENTE DE DESARROLLO REGLAMENTARIO

LAS CONCRETAS MEDIDAS A ADOPTAR

La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 30

U.

Formación
Art. 27 Políticas internas efectivas
2. Adopción de para poner
prácticamecanismos
estas políticas internos
incluyendo herramientas
implementación, entrenamiento y programas en
educación. de
de

La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 36

3.4. Sanciones

a) Multas de hasta por el equivalente de dos mil (2.000) salarios mínimos

mensuales legales vigentes al momento de la imposición de la sanción
b)  Suspensión y cierre temporal de las actividades.
c) Cierre inmediato y definitivo de la
operación que involucre el tratamiento de
datos sensibles.

NOTA:

1.  Las sanciones indicadas en el presente artículo solo aplican para las
personas de naturaleza privada.

2.  En el caso de una autoridad pública se remitirá la actuación a la

Procuraduría General de la Nación para que adelante la investigación
respectiva.

La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 37

3.5. Páginas de interes
http://oiprodat.com/

La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 38

http://www.redipd.org

La protección de datos (Latioamerica) Especial Colombia – Eduard Chaveli Donet 39