Programa Corto

Actualización en Habeas Data y Seguridad Informática

Conferencista: Heidy Balanta

Directora de Escuela de Privacidad
Abogada de la Universidad Santiago de Cali.
Especialista en Derecho Informático y Nuevas Tecnologías de la Universidad Externado de
Colombia, Magíster en Derecho Económico de la misma Universidad.
Contexto legal de la protección
de datos personales en Colombia
Objetivos
1. Contexto Legal
2. Principales obligaciones
3. Aspectos a considerar
Autorización del Titular del Dato

Finalidad

Tratamiento
AUTORIZACIÓN PARA EL
TRATAMIENTO DEL DATO

Derechos
del Titular

Identificación
del
Responsable
 Casos en los que NO es necesaria la AUTORIZACIÓN

Casos de urgencia
médica o sanitaria

Tratamiento de
información autorizado
Datos de naturaleza por la ley para fines
pública
históricos, estadísticos o
científicos

Información requerida
por una entidad pública Casos en los
o administrativa en que NO es Datos relacionados con
el Registro Civil de las
ejercicio de sus necesaria la Personas
funciones legales o por AUTORIZACIÓN
orden judicial

Quién acceda a los datos personales sin que medie autorización previa deberá en todo caso
cumplir con las disposiciones contenidas en la presente ley.
 Principios para el tratamiento de datos personales
Legalidad

Finalidad

Libertad

Veracidad y
Calidad
P. Seguridad de Acuerdos de
Principios Políticas Autorizaciones
la Información Confidencialidad

Transparencia

Acceso y
Circulación
Restringida

Seguridad

Confidencialidad
 Derechos del Titular

1.Conocer

6.Acceder 2.Actualizar

Autorización
DATOS

5.Solicitar 7.Solicitar
supresión
3.Rectificar 8.Revocar
prueba

4.Ser
informado

9. Presentar quejas ante la SIC

Consultas y Reclamos

CONSULTAS RECLAMOS

La consulta será atendida El término máximo para

en un término máximo de
diez (10) días hábiles
contados a partir de la
fecha de recibo de la
misma.
atender el reclamo será
de quince (15) días
hábiles contados a partir
del día siguiente a la
fecha de su recibo.

Acceso a información, Actualización,

certificación, consultas. rectificación, supresión

Todo Responsable y Encargado deberá designar a una persona o área que

asuma la función de protección de datos personales, que dará trámite a las
solicitudes de los Titulares
Ciclo del Tratamiento de la Información

Obtención

Eliminación y/o
disposición Almacenamiento
final

TRATAMIENTO

Circulación Uso
 DEBERES DEL RESPONSABLE DEL TRATAMIENTO ANTE EL
TITULAR DEL DATO

Informar Conservar la
debidamente al información bajo las
Garantizar en todo Titular sobre la condiciones de
Solicitar y conservar,
tiempo, el pleno y finalidad de la seguridad necesarias Informar a solicitud
copia de la respectiva
efectivo ejercicio del recolección y los para impedir su del Titular sobre el
autorización otorgada
derecho de hábeas derechos que le adulteración, pérdida, uso dado a sus datos
por el Titular asisten por virtud de consulta, uso o acceso
data
la autorización no autorizado o
otorgada fraudulento
SANCIONES ESTABLECIDAS EN LA LEY

Multas hasta •De cáracter personal

2mil SMMLV •De cáracter institucional

•De actividades relacionadas con el

Suspensión tratamiento
•Hasta un término de 6 meses

•Temporal de las operaciones relacionadas

Cierre con el tratamiento de datos personales

•Inmediato y definitivo de la operación que
involucre el tratamiento de datos sensibles
Decreto Único Reglamentario 1074 de 2015
Recolección de los datos personales
En desarrollo de los principios de finalidad y libertad, la recolección de datos deberá
limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad
para la cual son recolectados o requeridos conforme a la normatividad vigente. Salvo en los
casos expresamente previstos en la ley, no se podrán recolectar datos personales sin
autorización del Titular

• A solicitud de la Superintendencia de Industria y Comercio, los Responsables deberán

proveer una descripción de los procedimientos usados para la recolección,
almacenamiento, uso, circulación y supresión de información, como también la
descripción de las finalidades para las cuales la información es recolectada y una
explicación sobre la necesidad de recolectar los datos en cada caso.

• No se podrán utilizar medios engañosos o fraudulentos para recolectar y realizar

Tratamiento de datos personales.
Obtención de autorizaciones
• Los datos personales recogidos antes del 27 de junio del 2013, se debieron haber formalizado, conforme al aviso que la
organización, publicó en cumplimiento del artículo 10 del Decreto 1377 de 2013. Por lo anterior, internamente el
propietario de la base de datos, deberá identificar los titulares a quienes se les solicitaron los datos personales, que se
generaron antes de dicha fecha y clasificará o identificará dichos datos, conforme a este tipo de forma de obtención de la
autorización.

• Los datos personales o bases de datos que se generaron, a partir del 28 de junio de 2013 hasta el día de hoy, deberán
contar con la autorización expresa del titular para el uso de dicha información. Por lo anterior, internamente el propietario,
deberá identificar a los titulares de los datos personales y rotular o identificar a través de cualquier mecanismo sobre la
autorización, tanto de los titulares con quien tiene la autorización, como de los titulares de quienes no tienen la
autorización.
• El propietario, con apoyo del Oficial de Protección de datos personales, deberán establecer un plan de acción para la
formalización de aquellos datos personales que aún no tienen autorización, pudiendo tomar algunas de las siguientes
medidas:
• Identificar si dichos datos personales, no están dentro de las excepciones donde no se necesaria la
autorización para el tratamiento de datos personales.
• Suprimir los datos personales, siempre y cuando no exista una disposición que exija su conservación o
se incumpla algún compromiso legal.
• Solicitar la autorización para el tratamiento de datos personales por cualquier medio, que se pueda
probar de manera posterior que la persona ha suministrado la autorización.
Tratamiento de datos sensibles

Se prohíbe el Tratamiento de datos sensibles, excepto cuando:

El Titular haya dado su autorización explícita a dicho

Tratamiento, salvo en los casos que por ley no sea requerido el
otorgamiento de dicha autorización

El Tratamiento sea necesario para salvaguardar el interés

vital del Titular y este se encuentre física o jurídicamente El Tratamiento sea efectuado en el
curso de las actividades legítimas y con
incapacitado. En estos eventos, los representantes las debidas garantías por parte de una
legales deberán otorgar su autorización fundación, ONG, asociación o cualquier
otro organismo sin ánimo de lucro,
cuya finalidad sea política, filosófica,
religiosa o sindical, siempre que se
El Tratamiento tenga una finalidad refieran exclusivamente a sus
El Tratamiento se refiera a datos miembros o a las personas que
histórica, estadística o científica.
que sean necesarios para el mantengan contactos regulares por
En este evento deberán adoptarse
reconocimiento, ejercicio o razón de su finalidad. En estos eventos,
las medidas conducentes a la los datos no se podrán suministrar a
defensa de un derecho en un
supresión de identidad de los terceros sin la autorización del Titular
proceso judicial
Titulares.
AUTORIZACIÓN
TRATAMIENTO DE DATOS SENSIBLES
Informar al titular que por
tratarse de datos sensibles
no está obligado a autorizar
su Tratamiento.
Ninguna actividad
podrá condicionarse a
que el Titular
suministre datos
personales sensibles.
Informar al titular de
forma explícita y previa,
además de los requisitos
generales de la
autorización para la
recolección de cualquier
tipo de dato personal,
cuáles de los datos que
serán objeto de
Tratamiento son sensibles
y la finalidad del
Tratamiento, así como
obtener su
consentimiento expreso.
Tratamiento de Datos Personales de Niños, niñas y
adolescentes

Queda proscrito el
Tratamiento de datos
En el Tratamiento se asegurará el personales de niños,
respeto a los derechos prevalentes niñas y adolescentes,
de los niños, niñas y adolescentes. salvo aquellos datos
que sean de
naturaleza pública

Es tarea del Estado y las entidades

educativas de todo tipo proveer
información y capacitar a los
representantes legales y tutores sobre
los eventuales riesgos a los que se
enfrentan los niños, niñas y adolescentes
respecto del Tratamiento indebido de sus
datos personales
y proveer de conocimiento acerca del
uso responsable y seguro por parte de
niños, niñas y adolescentes de sus datos
personales, su derecho a la privacidad y
protección de su información personal y
la de los demás.
AVISO DE PRIVACIDAD

En los casos en los que no

sea posible poner a Contenido mínimo del Aviso de
disposición del Titular las
políticas de tratamiento de
Privacidad
la información, los
responsables deberán
informar por medio de un
aviso de privacidad al Deber de acreditar puesta a disposición
titular sobre la existencia del aviso de privacidad y las políticas de
de tales políticas y la forma
de acceder a las mismas, Tratamiento de la información
de manera oportuna y en
todo caso a más tardar al
momento de la recolección
de los datos personales. Medios de difusión del aviso de
privacidad y de las políticas de
tratamiento de la información.
Otros requisitos para el tratamiento de datos personales
NNA
Ademas de los requisitos del artículo 7° de la Ley 1581 de 2012, el tratamiento debe
cumplir con los siguientes parámetros y requisitos:

Que responda y
respete el interés
superior de los
niños, niñas y
adolescentes.

Que se asegure el
respeto de sus
derechos
fundamentales Cumplidos los anteriores
requisitos, el representante
legal del niño, niña o
adolescente otorgará la
autorización previo ejercicio
del menor de su derecho a
ser escuchado, opinión que
será valorada teniendo en
cuenta la madurez,
autonomía y capacidad para
entender el asunto.
 Políticas de Tratamiento de la infomación

Tratamiento al cual serán

Nombre o razón social, domicilio,
dirección, correo electrónico y
teléfono del Responsable.
sometidos los datos y finalidad del
Derechos que le asisten como
mismo cuando esta no se haya
Titular.
informado mediante el aviso de
privacidad.

Persona o área responsable de la

Procedimiento para que los
atención de peticiones, consultas y
titulares de la información puedan Fecha de entrada en vigencia de la
reclamos ante la cual el titular de
ejercer los derechos a conocer, política de tratamiento de la
la información puede ejercer sus información y período de vigencia
actualizar, rectificar y suprimir
derechos a conocer, actualizar,
información y revocar la de la base de datos
rectificar y suprimir el dato y
autorización.
revocar la autorización

Cualquier cambio sustancial en las políticas de tratamiento, en los términos descritos en el

artículo 5° del presente decreto, deberá ser comunicado oportunamente a los titulares de los
datos personales de una manera eficiente, antes de implementar las nuevas políticas.
Transmisión de Datos Personales
CARACTERÍSTICA TRANSMISIÓN TRANSFERENCIA

·El responsable determina cuál será el ·El responsable receptor determina el tratamiento
Tratamiento de datos tratamiento de los datos personales por parte que le dará a los datos personales que le ha
del encargado entregado el responsable emisor.

·Las partes deben celebrar contrato de Cuatro formalidades (previos) Ley, circular 05 de
Formalidad
transmisión de datos personales 2017

La ley no dice nada al respecto de la autorización en

·Si el titular ha dado la autorización para la caso de que sea transferencia internacional a países
Autorización transmisión de datos personales, no es seguros, o a nivel nacional. Si es transferencias a
necesario el contrato de transmisión. países que no brinda niveles de seguridad, si tiene
que haber autorización exoresa.
·No se puede realizar la transferencia sino se
·Se presume que el responsable debe obtener
enmarca dentro en las causales de excepción, sino
la autorización del titular, a no ser que el
se encuentra en la lista de países seguros, caso en el
encargado en virtud del contrato celebrado,
cual, deberá solicitar la declaración de conformidad
tenga como objeto recolectar la autorización.
Restricciones aten la SIC. No obstante, la SIC deja abierta la
·La ley no establece restricción alguna, no
posibilidad de presumir que tiene declaración de
obstante, se debe tener en cuenta que para
conformidad dicha transferencia, en caso de que las
que opere se deben dar los supuestos
partes hayan celebrado contrato donde establezcan
anteriormente descritos.
las condiciones del tratamiento.
Transferencia Internacional de Datos

1. Lista países Criterios a evaluar

seguros

2. Lista de
Excepciones

3. Requisitos del
numeral 3.1 de la
Circular 05 de
2017

4. Contrato de
Transferencia de
datos personales

5. Solicitar
Declaración de
Conformidad
ante la SIC
Responsabilidad Demostrada
 RESPONSABILIDAD DEMOSTRADA

CONTEXTO CARACTERISTICAS ADOPCIÓN

• En respuesta a un • Aumentar los niveles de • La adopción de mecanismos
requerimiento de la compromiso en el internos para poner en
Superintendencia de cumplimiento de las normas práctica estas políticas
Industria y Comercio, los de protección de datos incluyendo herramientas de
Responsables deberán personales implementación,
suministrar a esta una • Incrementar los estándares entrenamiento y programas
descripción de los de protección de educación.
procedimientos usados para • La existencia de una • La adopción de procesos
la recolección de los datos estructura administrativa para la atención y respuesta
personales, como también proporcional a la estructura a consultas, peticiones y
la descripción de las y tamaño empresarial del reclamos de los Titulares,
finalidades para las cuales responsable para la con respecto a cualquier
esta información es adopción e implementación aspecto del tratamiento.
recolectada y una de políticas consistentes con
explicación sobre la la Ley 1581 de 2012 y este
relevancia de los datos decreto.
personales en cada caso.

La verificación por parte de la SIC de la existencia de medidas y políticas específicas para el

manejo adecuado de los datos personales que administra un Responsable será tenida en cuenta al
momento de evaluar la imposición de sanciones por violación a los deberes y obligaciones
establecidos en la ley.
RESPONSABILIDAD DEMOSTRADA

Los responsables del 1.La naturaleza jurídica

tratamiento de datos del responsable y, cuando
sea del caso, su tamaño
personales deben ser empresarial, teniendo en 2.La naturaleza de los
capaces de demostrar, a cuenta si se trata de una datos personales objeto
micro, pequeña, mediana del tratamiento
petición de la o gran empresa, de
Superintendencia de acuerdo con la normativa
vigente.
Industria y Comercio, que
han implementado
medidas apropiadas y
efectivas para cumplir con
4. Los riesgos potenciales
las obligaciones que el referido
establecidas en la 3. El tipo de Tratamiento. tratamiento podrían
causar sobre los derechos
Ley 1581 de 2012 y este de los titulares.
decreto, en una manera
que sea proporcional a lo
siguiente:
 Guía de Responsabilidad Demostrada
Evaluación y
Compromiso de Controles del Programa Demostrar el
Revisión
la Organización Cumplimiento
Continua

Protocolo de
Procedimientos respuestas en el Desarrollar Plan de Transparencia con el
Desde la alta dirección manejo de violaciones
operacionales Supervisión Titular
e incidentes

Gestión de Encargados Evaluar y Revisar los Demostrar

Oficial de Protección Inventario de Bases de
en la transmisión controles del cumplimiento ante la
de Datos Personales Datos
internacional Programa SIC

Presentación de
Riesgos Comunicación externa
Informes
Compromisos de la Organización

Desde la Oficial de Presentación de

Organización Protección de Informes
Datos Personales
• Designar al área o • Establecer
persona que hará las • Velar por la mecanismos de
veces de OPD implementación información
• Aprobar y efectiva de las internos para
monitorear el PIPD políticas y reportar el
• Informar de manera procedimientos en seguimiento y la
periódica a los PD ejecución del
órganos directivos. • Estructurar, diseñar programa.
• Destinar recursos y administrar el • Incluirse dentro de
para PIPD programa la información que
• Establecer • Establecer es enviada a los
responsabilidades controles al accionistas y socios
para otras áreas en programa, • Documentar el
el tratamiento de la evaluación y proceso de
información. revisión generación de
permanente reporte como parte
del PIPD.
Controles del Programa - Procedimientos Operacionales

Inventario Ciclo de Vida del Reporte ante el

de BD Dato RNBD

Dárselas a Procedimientos Cláusulas de

Políticas conocer a los
empleados
de consultas y
reclamos
confidencialidad

Riesgos Identificación Medición Control Monitoreo

Controles del Programa- Procedimientos Operacionales

Formación
Formación y Formación de carácter
complementaria
Formación
Educación general
(adaptada)
permanente

Protocolos de Mecanismos para

respuesta en el Persona o área rendir informes
Procedimiento de internos y reportes de
manejo de manejo de incidentes
responsable de
manejar los incidentes incidentes
violaciones e
incidentes

Gestión de los Mecanismo para que Formación y Exigencia de

Encargados en las el encargado reporte educación para Realizar auditorias adherencia a las
transmisiones incidentes de empleados de los internas políticas del
seguridad encargados Responsable
internacionales

Protocolo para Los mecanismos

Comunicación con
Comunicación explicar a los titulares existentes en caso de
entes externos (SIC,
Externa cuales son sus un incidente con sus
Policía, Caí Virtual,)
derechos datos personales
 Evaluación y Demostrar el
Revisión Continua Cumplimiento
Desarrollar un plan Evaluar y revisar Demostrar
de supervisión y los controles de
revisión Programa cumplimiento

El OPD debe Ser transparentes con el

desarrollar un plan de Últimas amenazas y titular
supervisión y revisión riesgos
anual

Incluir medidas de
desempeño, calendario. Revisar si se requiere
Demostrar cumplimiento
de revisión de políticas medidas para actualizar ante la SIC
y controles por lo y revisar controles
menos una vez al año
 Tener claro el enfoque del Programa.

Enfocado a la identificación de
Visión compatible
bases de datos personales, su
con el GDPR
ubicación, y tiene en cuenta
y Guía de
el enfoque anterior. Flujo de Responsabilidad
datos Demostrada
Ajustes básicos enfocados a la
personales
identificación de recolección de Bases de
información personal de Datos
Además de los dos enfoques anteriores, se
acuerdo a los canales que tiene debe partir desde el flujo de los datos
el Responsable Visión
Ley 1581/2012 personales al interior y exterior de la
Datos organización. Es decir, tener claro el flujo.
Personales No se enfoca solamente en entender como
entran y salen los datos personales.
Visión
Ley 1266/2008
Sistema de Gestión Integral de Protección de Datos Personales

SISTEMA DE GESTIÓN INTEGRAL DE

PROTECCIÓN DE DATOS PERSONALES
Política de
Gobierno de Datos Personales
Tratamiento de Datos

Manual Interno de
Proceso de Gestión Gestión de Riesgos
Políticas y
de Datos Personales
Procedimientos
Aspectos Prácticos para el cumplimiento de un
Programa Integral de Protección de Datos
Personales
COSO cube
 Matriz RACI

Responsible Accountable Consulted Informed

(R) (A) (C) (I)

Encargado de que la
tarea se realice sin
necesidad de ser el que Figura que debe ser Figura que debe ser
Encargado de realizar la
consultada para realizar informada sobre la
tarea la ejecute y rendir
la tarea realización de la tarea
cuentas sobre su
ejecución
Identificación inicial de tipos de tratamiento
Recolecta Recibe Usa Almacena Envía
Partes involucradas

Auxiliar Asistente Coordinador Líder de

Proceso
 PROCESOS

Proceso

Subproceso Objetivo
Partes SI-Software-
Actividades Entradas Salidas
Interesadas Tecnología
 • Tipo de • Tipo de
• Físico Tipo de
Entrada usuario Formato
información
Dato
• Digital
• Instrumento • Necesidad

• Finalidad
• Interna • Tipo
Usos • Proporcio- Circulación Almacenamiento
• Terceros • Medio
nalidad

•PGD Transmisiones •Nacionales •Responsable

Disposición
y Autorización
Final •Temporalidad •Internacionales •Ubicación
Transferencias
 Fases Iniciales

Matriz de •Matriz inicial de

identificación identificación de bases
de datos
inicial de BD

Levantamiento •Documento de
Cruce de
de información
procesos con matrices
diligenciadas
información •Se definen las áreas a
entrevistar

•Identificación de
Entrevista procesos a ajustar,
mejoramiento

Inventario de •aprobación por

parte del
Bases de Datos propietario
Entrevistas
En la entrevista, también se abarca, los siguientes aspectos:
o Se establece el ciclo del dato, esto es, obtención, usos,
almacenamiento, circulación y/o disposicion final.
o Hallazgos
o Identifica el uso interno y externo dado los datos personales
o Diagnóstico sobre el estado actual del tratamiento de datos y las
medidas de seguridad de las Bases de atos que se tienen en cada
unidad.
Inventario de Bases de Datos
Inventario de Bases de Datos
Levantamiento de Inventario de Datos
Personales
 TABLA DE CLASIFICACIÓN DE DATOS
PERSONALES
TABLA DE CLASIFICACIÓN DE DATOS PERSONALES
CLASIFIFICACIÓN DEFINICIÓN
Es aquel que requiere circular libremente para
PÚBLICO
facilitar el contacto con la sociedad.
Es el dato que no tiene naturaleza íntima,
reservada, ni pública y cuyo conocimiento o
SEMIPRIVADO divulgación puede interesar no sólo a su titular
sino a cierto sector o grupo de personas o a la
sociedad en general.
Es el dato que por su naturaleza íntima o
PRIVADO
reservada sólo es relevante para el titular.
Aquellos que afectan la intimidad del Titular o
SENSIBLE cuyo uso indebido puede generar su
discriminación.
Los datos personales semiprivados, privados y
sensibles de niños, niñas y adolescentes (NNA),
NNA
requieren de autorización del representante legal autorización del Representate legal.
del menor para su obtención.
AUTORIZACIÓN RECOLECCIÓN
*Se pueden solicitar de manera
*Cuando se soliciten solo datos personales de
obligatoria
carácter público, no es necesaria la
autorización para su tratamiento
*Se pueden solicitar de manera
obligatoria
*Estos datos solo se pueden solicitar con
autorización del titular.
*No se puede solicitar de
*Estos datos solo se pueden solicitar con
manera obligatoria, o no ser que
autorización del titular. En algunas ocasiones
una ley exija que se debe
se requiere Orden Judicial
solicitar
*No se puede solicitar de
*Estos datos solo se pueden solicitar con manera obligatoria, a no ser que
autorización del titular, y en algunas ocasiones una ley establezca que dicho
cuando la ley lo autorice. dato o información sensible se
debe solicitar
*Los datos públicos y
semiprivados se pueden solicitar
de manera obligatoria *Los
datos privados y sensibles no
*Estos datos solo se pueden solicitar con
pueden pedirse de manera
obligatoria, a no ser que la ley lo
exija. En dicho caso el
representante del menor deberá
dar la autorización
TIPOLOGÍA DE FORMAS DE RECOLECCIÓN
DE LOS DATOS PERSONALES

FORMA DE
CONTROL CUMPLIMIENTO LEY 1581 DE 2012
RECOLECCIÓN
Formularios web • En los formulario web, aplicativos móviles y chat o video chat, se debe incorporar la
Aplicativos móviles autorización para el tratamiento de datos personales.
• Se debe conservar el log del check de la autorización, así como fecha, hora y ID del
Chat y video chat titular.
• No puede ser obligatorio las preguntas que versen sobre datos personales sensibles.
• Se debe incorporar la autorización para el tratamiento de datos personales.
• No puede ser obligatorio las preguntas que versen sobre datos personales sensibles.
Formularios físicos • En los formularios que se utilicen en el giro ordinario de las actividades que realiza la
Organización, con los empleados y estudiantes, no será necesario incorporar la autorización,
siempre y cuando sean actividades previsibles.

Llamadas telefónicas
• (…)
Cookies • (…)
Redes sociales
• (…)
Cámaras de video • (…)

Sistemas biométricos
• (…)

Correos Electrónicos
• (…)
TIPOLOGÍA DE AUTORIZACIONES
FORMA DE AUTORIZACIÓN
Autorización Expresa
Autorización Expresa- Reforzada
Autorización por conductas necesario que se relacione en cualquier espacio, instrumento,
inequivocas
Autorización suministrada por un entidades que tenga convenio, deberá en el contrato o acuerdo
tercero
No se solicita autorización
CONTROL CUMPLIMIENTO LEY 1581 DE 2012
BD1 BD2 BD3 BD4
La autorización expresa debe cumplir con los requisitos exigidos
en la ley 1581 de 2012, y puede ser de forma verbal o escrita,
siempre y cuando se pueda probar de manera posterior que el
titular a suministrado su autorización. X X X X
La autorización expresa-reforzada se debe incorporar información
adicional cuando se trata de recolectar datos personales sensibles
y datos de menores de edad. X X
Cuando exista autorización por conductas inequivocas, será
donde se vaya a tener relación con el titular, el aviso de
privacidad, la política de tratamiento de datos personales, o el
aviso de videovigilancia, respectivamente. X
En los casos en que la Organización reciba datos personales con
comercial, incorporar clausula de tratamiento de datos
personales, la cual deje claro que el tercero es el responsable de
obtener la autorización. X X
En los casos que por disposición legal se requiere solicitar el dato,
o suministrar el dato a una entidad pública en ejercicio de sus
funciones. X
 TIPOLOGÍA DE ALMACENAMIENTO

FORMA DE CONTROL CUMPLIMIENTO LEY 1581 DE

ALMACENAMIENTO DE LA 2012
INFORMACIÓN BD1 BD2 BD3 BD4

Servidor propio Establecer políticas de seguridad de la

información y seguridad informática X X X X
Servidor externo a cargo de un Contrato de Transmisión de Datos
tercero Personales X X X X
Contrato de Transmisión de Datos
Archivo en custodia de un tercero
Personales X

Archivo propio interno Establecer políticas de seguridad de la

información y seguridad informática X

Computador personal Establecer políticas de seguridad de la

información y seguridad informática X
TIPOLOGÍA DE CIRCULACIÓN DE DATOS
FORMA DE CIRCULACIÓN DE LA CONTROL CUMPLIMIENTO LEY 1581 DE
INFORMACIÓN 2012 BD1 BD2 BD3
Realizar contrato de transmisión de datos
Transmisión Nacional personales. X X
Realizar contrato de transmisión de datos
Transmisión Internacional personales.
Tranferencia Nacional Notificar alos titulares de la información X X
Realizar contrato de transferencia
internacional de datos y/o solicitar
Transferencia Internacional declaración de conformidad ante la SIC

Si es el padre de un estudiante, deberá

demostrarlo a través de documento de
identidad o registro civil que demuestre el
parentezco. SI un tercero, que actúa en
nombre del titular, mostrar poder y/o
autorización para la entrega de la
Representante legal información X
Aportar la autorización que suministró el
Tercero titular para entregar dicha información X
Autoridad judicial Orden judicial X
Autoridad administrativa Disposición legal y/o acto administrativo X
 Evaluación de Riesgos

Evaluación
Identificación
de Identificación Identificación
Riesgo Riesgo
Riesgos
de Bases de
Datos
y Evaluación
Riesgos
Inherente
y Evaluación
de Controles
Inherente

• Probabilidad • Impacto por • Calculo nueva • Impacto por nueva

• Impacto Probabilidad probabilidad Probabilidad
 Implementación de Controles

1. Autorizaciones: Empleados, Clientes, Proveedores, canales

de comunicación:
2. Avisos: Privacidad, Videovigilancia, Legales
3. Procedimientos Internos: Manual Interno: Asignación de
Controles de acuerdo a la estructura de Gobierno de Datos
Personales
Módulo: Controles a implementar en un
programa de Protección de Datos
Personales
1. Protección de datos en el proceso de selección, contratación y
vigencia de la relación laboral.
2. Gestión especial de datos personales sensibles de los Empleados.
 Procesos del área de Gestión Humana

• Manejo de
• Hojas de vida datos sensibles
• Estudios de Autorización • Eventos
Relación bienestar
Selección seguridad Contratación tratamiento de
Laboral laboral
• Autorizaciones datos
previas • Incapacidades
• SST
 Proceso de Selección
• Previo a recibir la hoja de vida del aspirante, se debe hacer firmar por el aspirante la “Autorización
Tratamiento de Datos Personales”, hasta que no se encuentre diligenciado y firmado por el
aspirante, no se podrá recepcionar la hoja de vida.
• La autorización para la recepción de hoja de vida y entrevista de trabajo, deberán incorporar
además de las finalidades y los requisitos que se requieren para la autorización, indicar si los datos
personales se entregan a terceros, en qué casos y para que finalidades. Por ejemplo: estudios de
seguridad, exámenes médicos de ingreso, pruebas psicológicas, etc.
• La hoja de vida de las personas que avanzaron en el proceso de selección, pero que, finalmente no
fueron seleccionadas, se debe conservar temporalmente, pasado este periodo, deberá destruir la
hoja de vida y levantar acta de destrucción.
• En las entrevistas de trabajo, se debe tener cuidado con las preguntas de carácter sensible y
privado, e informarle al titular que no está obligado a suministrar dicha información.
• En caso que la Organización, contraté con un tercero, Estudios de Seguridad, el área de gestión
humana debe exigirle a dicha empresa, las autorizaciones para el tratamiento de datos personales
a los titulares de la información y hacerles firmar acuerdo de confidencialidad y transmisión de
datos personales para la protección de la información personal.
 Proceso de Selección
• Las hojas de vida obtenidas a través de bolsas de empleo no requieren autorización,
siempre y cuando en la autorización y/o en la política de dicha bolsa de empleo, quede
expreso que dicha entidad es la encarga de la autorización para el tratamiento de datos
personales.
• En caso de que se haya dispuesto un correo electrónico exclusivamente para la recepción
de hojas de vida, deberá configurarse con respuesta automática, informando sobre el
tratamiento que se le dará a la hoja de vida. Las hojas de vida recepcionadas por este
medio, deberán solicitar la autorización solicitar a más tardar, en el momento previo a la
realización de la entrevista.
• En caso de que una hoja de vida no haya sido solicitada y sea presentada directamente
por el titular, se deberá hacer firmar autorización para el tratamiento de datos
personales, con el propósito que conozca el alcance del tratamiento de su información.
• En caso de que sea repecionada la hoja de vida por medio de un correo electrónico por
parte del titular, se deberá responder dicho correo, informándole el aviso de privacidad
de la Organización.
 Proceso de Contratación
• Al ingresar, el empleado deberá realizar de manera obligatoria el curso de
protección de datos personales.
• Los contratos de trabajo deben incorporar cláusula de obligatoriedad en el
cumplimiento por parte de los empleados de las políticas de tratamiento de datos
personales y del manual interno.
• Los contratos de trabajo deben incorporar cláusula de autorización para el
tratamiento de datos personales de carácter público, privado, semiprivado y
sensibles.
• Los contratos de trabajo deberán contener cláusulas de confidencialidad.
• Los procesos y procedimientos que impliquen captura de información sensible
del trabajador, como su huella, datos relativos a la salud, datos biométricos,
requieren autorización reforzada por parte del trabajador.
 Proceso de Contratación
• Para los contratos actuales debe incorporarse el otro si al contrato de
trabajo y previamente se le debe dar a conocer la política de
tratamiento de datos personales a los empleados, una vez socializado,
deberán firmar el otro si al contrato de trabajo.
• Al momento de ingresar se le debe dar uno copia, o informarle donde
puede consultar la política de tratamiento de datos personales.
• De manera periódica, se deberá revisar las cláusulas de autorización
para el tratamiento de datos personales, con el propósito de verificar
si han cambiado las finalidades, o incorporar nuevas finalidades que
surjan en la relación laboral.
 Actividades de Seguridad y Salud en el Trabajo

• Los procesos y procedimientos que se implementen con el objetivo de preservar la seguridad y salud del trabajador,
deben respetar los derechos fundamentales del trabajador, como la intimidad, el hábeas data y el buen nombre.
• Sólo deberían recabarse datos médicos de conformidad con la legislación nacional, conforme a los principios generales
de la salud y seguridad en el trabajo, y en los siguientes casos:
• a) determinar si el trabajador puede ocupar un puesto de trabajo específico;
• b) cumplir con los requisitos en materia de salud y seguridad en el trabajo;
• c) determinar el derecho a prestaciones sociales y su disfrute.
• Las respuestas inexactas o incompletas a preguntas contrarias a los principios enunciados, no deberían quedar
sancionadas por una terminación de la relación de empleo ni comportar ningún tipo de medida disciplinaria.
• La custodia de las evaluaciones médicas ocupacionales y la historia clínica ocupacional debe estar a cargo del
responsable del programa de seguridad y salud en el trabajo. No se puede conservar o anexar copia de las
evaluaciones medicas ocupacionales e historia clínica ocupacional en la hoja de vida del trabajador (Resolución
1918/2009 Minsalud)
• Las carpetas donde incluyen información sensible o relativa a la salud deberá accederse exclusivamente por el
responsable del programa de seguridad y salud en el trabajo y por el responsable del proceso pago de incapacidades.
 Gestión y custodia de Historias laborales
(incluye hojas de vida)

• Las historias laborales deberán ser conservadas con controles de acceso físicos y/o
lógicos dependiendo en el formato que se encuentre.
• Ningún personal, salvo el autorizado, podrá acceder o consultar las historias laborales. En
caso de que un funcionario especifico, desea la consulta o acceso deberá ser motivada
justificando el motivo de la consulta, y el jefe de área determinará si se justifica dicho
acceso, conforme a la normativa de protección de datos personales.
• La información relativa a la salud del trabajador no puede estar en la misma carpeta de
su historia laboral. La carpeta de la hoja de vida, o en su defecto el acceso al sistema de
información debe tener controles de acceso de acuerdo al rol.
• No se puede conservar o anexar copia de las evaluaciones medicas ocupacionales e
historia clínica ocupacional en la hoja de vida del trabajador (Resolución 1918/2009
Minsalud)
 Obtención de datos personales
sensibles de los empleados
• Por regla general, la Organización no debe recolectar datos personales de carácter sensible de los empleados.
• Los datos personales sensibles que la Organización recolecte por parte de sus empleados, se limitarán a aquellos necesarios
para el cumplimiento de disposiciones legales.
• Cada vez que la Organización, recolecte datos personales sensibles que no sean obligatorios solicitarlos por disposición legal,
deberá analizar si la medida es proporcional con el fin que se persigue, y deberá solicitar autorización expresa por parte del
empleado, siempre y cuando en el contrato de trabajo no se encuentre especificado dicha finalidad.
• Los exámenes toxicológicos deberían realizarse solamente de conformidad con la legislación y la práctica nacionales o las
normas internacionales.
• No deberían utilizarse polígrafos, detectores u otros medios o procedimientos similares de comprobación de la veracidad de
los empleados.
• En el caso de los exámenes médicos, sólo deberían comunicarse a la Organización, las conclusiones que guarden relación con
la decisión de que se trate relativa al empleo.
• Cuando se soliciten datos personales de menores de edad a cargo de los empleados, se requerirá autorización por parte del
empleado para el tratamiento de dichos datos personales, salvo que se traten de datos personales públicos de los menores,
o datos personales que se requieren para el cumplimiento de una obligación contractual, en este último caso, bastará con la
autorización incorporada en el contrato de trabajo.
 Circulación de datos personales de los
Empleados
• En los casos que sean necesario suministrar datos personales de los empleados a terceros en virtud del cumplimiento
de obligaciones en calidad de empleador, la Organización deberá firmar con dicho tercero, contrato de transmisión
de datos personales.
• Los datos personales de los empleados sólo deberán ponerse a la disposición de personal que se encuentre
autorizado.
• El empleador en calidad de responsable y/o encargado de la información personal del empleado, podrá suministrar a
terceros como Administradora de Riesgos Laborales, Entidades Promotoras de Salud, Cajas de Compensación, Fondo
de Pensiones, DIAN, Secretaría de Hacienda, Entidades Financieras, y/o con cualquier autoridad administrativa y/o
judicial legalmente facultada, con la finalidad de dar cumplimiento de disposiciones legales y reglamentarias.
• La Organización no podrá suministrar datos personales de los empleados o exempleados a terceros relativos a su
antigüedad, desempeño, remuneración, ni ningún dato personal semiprivado, a no ser que cuente con la autorización
previa del empleado para suministrar dicha información personal.
• Las actividades relacionadas con publicación en carteleras, difusión de correos electrónicos, relativos a las fechas de
cumpleaños de los empleados, deberán contar con autorización de dicho empleado para su difusión.
• Las remuneraciones salariales, evaluaciones de desempeño, y otros datos semiprivados del empleado, no podrán
circular libremente en la Organización, y en caso de divulgación, deberán contar con la autorización del empleado.
•
 Derecho de habeas data de los
empleados
• Los empleados tienen derecho a ser informados con regularidad sobre los datos
personales que les conciernen y sobre el tratamiento de éstos, así como solicitar
y/o consultar sus datos personales que tiene bajo tratamiento la Organización.
• La Organización no podrá cobrar a los empleados el acceso a su historia laboral o
la copia del mismo.
• El empleado tiene derecho a exigir que se supriman o rectifiquen los datos
personales inexactos o incompletos, así como los sometidos a una forma de
tratamiento que vulnere lo estipulado en la presente política.
• Si la Organización se niega a rectificar los datos personales, el empleado tiene
derecho a incluir o añadir en su historia laboral una nota que indique las razones
de su desacuerdo.
 Controles recomendados

• Documento de Clasula de confidencialidad de la información y protección de

datos para contratos de trabajo y prestación de servicios (otrosi)
• Documento de Clasula de confidencialidad de la información y protección de
datos para proveedores de servicios y encargados de información
• Documento de clausula en correos electrónicos corporativos
• Documento de autorización consentimiento en todos los canales de
comunicación
• Documento- Formato de gestión de reclamos, peticiones y quejas de los titulares
de la información.
• Procedimiento para que los titulares de la información puedan ejercer sus
derechos a conocer actualizar, rectificar, suprimir y revocar la autorización
Módulo: Protección y Gestión de Datos
Personales de Clientes y Proveedores
 Buenas Prácticas de Datos de Clientes y
Proveedores
• Verificar que los formatos y/o instrumentos de creación de clientes
contengan la autorización para el tratamiento de datos personales.
• Verificar que los contratos, acuerdos y en general actos que se generen con
terceros cumplan con los requisitos legales en materia de cumplimiento del
régimen de protección de datos personales y se incorpore el acuerdo de
confidencialidad.
• Verificar que los contratos comerciales cuenten con autorización para el
tratamiento de datos personales, y cláusula de confidencialidad.
• Verificar que los formatos y/o instrumentos de creación de proveedores
contengan la autorización para el tratamiento de datos personales.
• Verificar que los proveedores que actúen como encargados de la
información, tengan una política de protección de datos personales.
 Buenas Prácticas de Datos de Clientes y
Proveedores
• Verificar en la etapa de negociación con los proveedores que requiera la entrega de
datos personales, se incorpore acuerdo para la transmisión de datos personales.
• No se puede avanzar el trámite de inscripción del cliente y/o proveedor sino se
encuentra firmado el formato, para efectos de autorización para el tratamiento de datos
personales.
• Si el formato llega físicamente, se recomienda escanearlo como medida de
conservación. Si el cliente/proveedor envía el formato de solicitud de inscripción
escaneado, el área encargada de la custodia del formato, deberá conservar el correo
electrónico donde se envía dicho formato escaneado. El correo electrónico se debe
conservar en formato HTML y pdf.
• El área encargada de la custodia de la información de clientes y proveedores, debe tener
controles de acceso físico, como llaves y que solo tenga acceso el rol responsable de
dicho proceso.
• Si un área desea acceder a la carpeta del cliente y/o proveedor, deberá justificar el
motivo de acceso a dicha información
Marketing por catálogo

Solicitar la autorización para el tratamiento de datos personales

Incorporar aviso de privacidad

Autorización manejo de imagen (derechos de autor, datos personales)

 Captura y uso de imágenes

• En los eventos realizados por la Organización, deberá incorporarse en el registro

de asistencia, o en la inscripción a dicho evento, la autorización para el
tratamiento de datos personales, incluyendo la imagen del titular en formato de
fotografía y video.

• En el caso en que sea imposible obtener la autorización por estos medios, se

deberá incorporar un aviso en las instalaciones del evento, o comunicarlo de
forma verbal, o a través de pantallas, informar la captura y divulgación de la
imagen para fines de divulgar el evento.

• En los casos que sea complejo obtener la autorización expresa o por conductas
inequivocas del titular del dato, la Organización deberá capturar las imágenes
en planos que sea dificil identificar a las personas.
Captura y uso de imágenes

• La autorización para el uso de imagen debe dejar de manera

clara y expresa, los usos y tipo de tratamiento que se le dará
a la imagen, así como los derechos que tiene el titular del
dato.

• Las imágenes que sean usadas o que se capturen para fines

comerciales y publicitarios, deberán contar con autorización
para el tratamiento de datos personales y derechos de autor.

• Las imágenes que se divulgen a través de los canales de

comunicación que tiene la Organización habilitados, deberán
tener autorización para el tratamiento de datos personales y
de derechos de autor.
consultoria@unipymes.com consultoria@latinpymes.com