Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Finalidad
Tratamiento
AUTORIZACIÓN PARA EL
TRATAMIENTO DEL DATO
Derechos
del Titular
Identificación
del
Responsable
Casos en los que NO es necesaria la AUTORIZACIÓN
Casos de urgencia
médica o sanitaria
Tratamiento de
información autorizado
Datos de naturaleza por la ley para fines
pública
históricos, estadísticos o
científicos
Información requerida
por una entidad pública Casos en los
o administrativa en que NO es Datos relacionados con
el Registro Civil de las
ejercicio de sus necesaria la Personas
funciones legales o por AUTORIZACIÓN
orden judicial
Quién acceda a los datos personales sin que medie autorización previa deberá en todo caso
cumplir con las disposiciones contenidas en la presente ley.
Principios para el tratamiento de datos personales
Legalidad
Finalidad
Libertad
Veracidad y
Calidad
P. Seguridad de Acuerdos de
Principios Políticas Autorizaciones
la Información Confidencialidad
Transparencia
Acceso y
Circulación
Restringida
Seguridad
Confidencialidad
Derechos del Titular
1.Conocer
6.Acceder 2.Actualizar
Autorización
DATOS
5.Solicitar 7.Solicitar
supresión
3.Rectificar 8.Revocar
prueba
4.Ser
informado
CONSULTAS RECLAMOS
Obtención
Eliminación y/o
disposición Almacenamiento
final
TRATAMIENTO
Circulación Uso
DEBERES DEL RESPONSABLE DEL TRATAMIENTO ANTE EL
TITULAR DEL DATO
Informar Conservar la
debidamente al información bajo las
Garantizar en todo Titular sobre la condiciones de
Solicitar y conservar,
tiempo, el pleno y finalidad de la seguridad necesarias Informar a solicitud
copia de la respectiva
efectivo ejercicio del recolección y los para impedir su del Titular sobre el
autorización otorgada
derecho de hábeas derechos que le adulteración, pérdida, uso dado a sus datos
por el Titular asisten por virtud de consulta, uso o acceso
data
la autorización no autorizado o
otorgada fraudulento
SANCIONES ESTABLECIDAS EN LA LEY
• Los datos personales o bases de datos que se generaron, a partir del 28 de junio de 2013 hasta el día de hoy, deberán
contar con la autorización expresa del titular para el uso de dicha información. Por lo anterior, internamente el propietario,
deberá identificar a los titulares de los datos personales y rotular o identificar a través de cualquier mecanismo sobre la
autorización, tanto de los titulares con quien tiene la autorización, como de los titulares de quienes no tienen la
autorización.
• El propietario, con apoyo del Oficial de Protección de datos personales, deberán establecer un plan de acción para la
formalización de aquellos datos personales que aún no tienen autorización, pudiendo tomar algunas de las siguientes
medidas:
• Identificar si dichos datos personales, no están dentro de las excepciones donde no se necesaria la
autorización para el tratamiento de datos personales.
• Suprimir los datos personales, siempre y cuando no exista una disposición que exija su conservación o
se incumpla algún compromiso legal.
• Solicitar la autorización para el tratamiento de datos personales por cualquier medio, que se pueda
probar de manera posterior que la persona ha suministrado la autorización.
Tratamiento de datos sensibles
Informar al titular de
forma explícita y previa,
además de los requisitos
Informar al titular que por generales de la
tratarse de datos sensibles autorización para la
no está obligado a autorizar recolección de cualquier
su Tratamiento. tipo de dato personal,
cuáles de los datos que
serán objeto de
Tratamiento son sensibles
y la finalidad del
Tratamiento, así como
obtener su
consentimiento expreso.
Ninguna actividad
podrá condicionarse a
que el Titular
suministre datos
personales sensibles.
Tratamiento de Datos Personales de Niños, niñas y
adolescentes
Queda proscrito el
Tratamiento de datos
En el Tratamiento se asegurará el personales de niños,
respeto a los derechos prevalentes niñas y adolescentes,
de los niños, niñas y adolescentes. salvo aquellos datos
que sean de
naturaleza pública
Que responda y
respete el interés
superior de los
niños, niñas y
adolescentes.
Que se asegure el
respeto de sus
derechos
fundamentales Cumplidos los anteriores
requisitos, el representante
legal del niño, niña o
adolescente otorgará la
autorización previo ejercicio
del menor de su derecho a
ser escuchado, opinión que
será valorada teniendo en
cuenta la madurez,
autonomía y capacidad para
entender el asunto.
Políticas de Tratamiento de la infomación
·El responsable determina cuál será el ·El responsable receptor determina el tratamiento
Tratamiento de datos tratamiento de los datos personales por parte que le dará a los datos personales que le ha
del encargado entregado el responsable emisor.
·Las partes deben celebrar contrato de Cuatro formalidades (previos) Ley, circular 05 de
Formalidad
transmisión de datos personales 2017
2. Lista de
Excepciones
3. Requisitos del
numeral 3.1 de la
Circular 05 de
2017
4. Contrato de
Transferencia de
datos personales
5. Solicitar
Declaración de
Conformidad
ante la SIC
Responsabilidad Demostrada
RESPONSABILIDAD DEMOSTRADA
Protocolo de
Procedimientos respuestas en el Desarrollar Plan de Transparencia con el
Desde la alta dirección manejo de violaciones
operacionales Supervisión Titular
e incidentes
Presentación de
Riesgos Comunicación externa
Informes
Compromisos de la Organización
Formación
Formación y Formación de carácter
complementaria
Formación
Educación general
(adaptada)
permanente
Incluir medidas de
desempeño, calendario. Revisar si se requiere
Demostrar cumplimiento
de revisión de políticas medidas para actualizar ante la SIC
y controles por lo y revisar controles
menos una vez al año
Tener claro el enfoque del Programa.
Enfocado a la identificación de
Visión compatible
bases de datos personales, su
con el GDPR
ubicación, y tiene en cuenta
y Guía de
el enfoque anterior. Flujo de Responsabilidad
datos Demostrada
Ajustes básicos enfocados a la
personales
identificación de recolección de Bases de
información personal de Datos
Además de los dos enfoques anteriores, se
acuerdo a los canales que tiene debe partir desde el flujo de los datos
el Responsable Visión
Ley 1581/2012 personales al interior y exterior de la
Datos organización. Es decir, tener claro el flujo.
Personales No se enfoca solamente en entender como
entran y salen los datos personales.
Visión
Ley 1266/2008
Sistema de Gestión Integral de Protección de Datos Personales
Manual Interno de
Proceso de Gestión Gestión de Riesgos
Políticas y
de Datos Personales
Procedimientos
Aspectos Prácticos para el cumplimiento de un
Programa Integral de Protección de Datos
Personales
COSO cube
Matriz RACI
Encargado de que la
tarea se realice sin
necesidad de ser el que Figura que debe ser Figura que debe ser
Encargado de realizar la
consultada para realizar informada sobre la
tarea la ejecute y rendir
la tarea realización de la tarea
cuentas sobre su
ejecución
Identificación inicial de tipos de tratamiento
Recolecta Recibe Usa Almacena Envía
Partes involucradas
Proceso
Subproceso Objetivo
Partes SI-Software-
Actividades Entradas Salidas
Interesadas Tecnología
• Tipo de • Tipo de
• Físico Tipo de
Entrada usuario Formato
información
Dato
• Digital
• Instrumento • Necesidad
• Finalidad
• Interna • Tipo
Usos • Proporcio- Circulación Almacenamiento
• Terceros • Medio
nalidad
Levantamiento •Documento de
Cruce de
de información
procesos con matrices
diligenciadas
información •Se definen las áreas a
entrevistar
•Identificación de
Entrevista procesos a ajustar,
mejoramiento
FORMA DE
CONTROL CUMPLIMIENTO LEY 1581 DE 2012
RECOLECCIÓN
Formularios web • En los formulario web, aplicativos móviles y chat o video chat, se debe incorporar la
Aplicativos móviles autorización para el tratamiento de datos personales.
• Se debe conservar el log del check de la autorización, así como fecha, hora y ID del
Chat y video chat titular.
• No puede ser obligatorio las preguntas que versen sobre datos personales sensibles.
• Se debe incorporar la autorización para el tratamiento de datos personales.
• No puede ser obligatorio las preguntas que versen sobre datos personales sensibles.
Formularios físicos • En los formularios que se utilicen en el giro ordinario de las actividades que realiza la
Organización, con los empleados y estudiantes, no será necesario incorporar la autorización,
siempre y cuando sean actividades previsibles.
Llamadas telefónicas
• (…)
Cookies • (…)
Redes sociales
• (…)
Cámaras de video • (…)
Sistemas biométricos
• (…)
Correos Electrónicos
• (…)
TIPOLOGÍA DE AUTORIZACIONES
Evaluación
Identificación
de Identificación Identificación
Riesgo Riesgo
Riesgos
de Bases de
Datos
y Evaluación
Riesgos
Inherente
y Evaluación
de Controles
Inherente
• Manejo de
• Hojas de vida datos sensibles
• Estudios de Autorización • Eventos
Relación bienestar
Selección seguridad Contratación tratamiento de
Laboral laboral
• Autorizaciones datos
previas • Incapacidades
• SST
Proceso de Selección
• Previo a recibir la hoja de vida del aspirante, se debe hacer firmar por el aspirante la “Autorización
Tratamiento de Datos Personales”, hasta que no se encuentre diligenciado y firmado por el
aspirante, no se podrá recepcionar la hoja de vida.
• La autorización para la recepción de hoja de vida y entrevista de trabajo, deberán incorporar
además de las finalidades y los requisitos que se requieren para la autorización, indicar si los datos
personales se entregan a terceros, en qué casos y para que finalidades. Por ejemplo: estudios de
seguridad, exámenes médicos de ingreso, pruebas psicológicas, etc.
• La hoja de vida de las personas que avanzaron en el proceso de selección, pero que, finalmente no
fueron seleccionadas, se debe conservar temporalmente, pasado este periodo, deberá destruir la
hoja de vida y levantar acta de destrucción.
• En las entrevistas de trabajo, se debe tener cuidado con las preguntas de carácter sensible y
privado, e informarle al titular que no está obligado a suministrar dicha información.
• En caso que la Organización, contraté con un tercero, Estudios de Seguridad, el área de gestión
humana debe exigirle a dicha empresa, las autorizaciones para el tratamiento de datos personales
a los titulares de la información y hacerles firmar acuerdo de confidencialidad y transmisión de
datos personales para la protección de la información personal.
Proceso de Selección
• Las hojas de vida obtenidas a través de bolsas de empleo no requieren autorización,
siempre y cuando en la autorización y/o en la política de dicha bolsa de empleo, quede
expreso que dicha entidad es la encarga de la autorización para el tratamiento de datos
personales.
• En caso de que se haya dispuesto un correo electrónico exclusivamente para la recepción
de hojas de vida, deberá configurarse con respuesta automática, informando sobre el
tratamiento que se le dará a la hoja de vida. Las hojas de vida recepcionadas por este
medio, deberán solicitar la autorización solicitar a más tardar, en el momento previo a la
realización de la entrevista.
• En caso de que una hoja de vida no haya sido solicitada y sea presentada directamente
por el titular, se deberá hacer firmar autorización para el tratamiento de datos
personales, con el propósito que conozca el alcance del tratamiento de su información.
• En caso de que sea repecionada la hoja de vida por medio de un correo electrónico por
parte del titular, se deberá responder dicho correo, informándole el aviso de privacidad
de la Organización.
Proceso de Contratación
• Al ingresar, el empleado deberá realizar de manera obligatoria el curso de
protección de datos personales.
• Los contratos de trabajo deben incorporar cláusula de obligatoriedad en el
cumplimiento por parte de los empleados de las políticas de tratamiento de datos
personales y del manual interno.
• Los contratos de trabajo deben incorporar cláusula de autorización para el
tratamiento de datos personales de carácter público, privado, semiprivado y
sensibles.
• Los contratos de trabajo deberán contener cláusulas de confidencialidad.
• Los procesos y procedimientos que impliquen captura de información sensible
del trabajador, como su huella, datos relativos a la salud, datos biométricos,
requieren autorización reforzada por parte del trabajador.
Proceso de Contratación
• Para los contratos actuales debe incorporarse el otro si al contrato de
trabajo y previamente se le debe dar a conocer la política de
tratamiento de datos personales a los empleados, una vez socializado,
deberán firmar el otro si al contrato de trabajo.
• Al momento de ingresar se le debe dar uno copia, o informarle donde
puede consultar la política de tratamiento de datos personales.
• De manera periódica, se deberá revisar las cláusulas de autorización
para el tratamiento de datos personales, con el propósito de verificar
si han cambiado las finalidades, o incorporar nuevas finalidades que
surjan en la relación laboral.
Actividades de Seguridad y Salud en el Trabajo
• Los procesos y procedimientos que se implementen con el objetivo de preservar la seguridad y salud del trabajador,
deben respetar los derechos fundamentales del trabajador, como la intimidad, el hábeas data y el buen nombre.
• Sólo deberían recabarse datos médicos de conformidad con la legislación nacional, conforme a los principios generales
de la salud y seguridad en el trabajo, y en los siguientes casos:
• a) determinar si el trabajador puede ocupar un puesto de trabajo específico;
• b) cumplir con los requisitos en materia de salud y seguridad en el trabajo;
• c) determinar el derecho a prestaciones sociales y su disfrute.
• Las respuestas inexactas o incompletas a preguntas contrarias a los principios enunciados, no deberían quedar
sancionadas por una terminación de la relación de empleo ni comportar ningún tipo de medida disciplinaria.
• La custodia de las evaluaciones médicas ocupacionales y la historia clínica ocupacional debe estar a cargo del
responsable del programa de seguridad y salud en el trabajo. No se puede conservar o anexar copia de las
evaluaciones medicas ocupacionales e historia clínica ocupacional en la hoja de vida del trabajador (Resolución
1918/2009 Minsalud)
• Las carpetas donde incluyen información sensible o relativa a la salud deberá accederse exclusivamente por el
responsable del programa de seguridad y salud en el trabajo y por el responsable del proceso pago de incapacidades.
Gestión y custodia de Historias laborales
(incluye hojas de vida)
• Las historias laborales deberán ser conservadas con controles de acceso físicos y/o
lógicos dependiendo en el formato que se encuentre.
• Ningún personal, salvo el autorizado, podrá acceder o consultar las historias laborales. En
caso de que un funcionario especifico, desea la consulta o acceso deberá ser motivada
justificando el motivo de la consulta, y el jefe de área determinará si se justifica dicho
acceso, conforme a la normativa de protección de datos personales.
• La información relativa a la salud del trabajador no puede estar en la misma carpeta de
su historia laboral. La carpeta de la hoja de vida, o en su defecto el acceso al sistema de
información debe tener controles de acceso de acuerdo al rol.
• No se puede conservar o anexar copia de las evaluaciones medicas ocupacionales e
historia clínica ocupacional en la hoja de vida del trabajador (Resolución 1918/2009
Minsalud)
Obtención de datos personales
sensibles de los empleados
• Por regla general, la Organización no debe recolectar datos personales de carácter sensible de los empleados.
• Los datos personales sensibles que la Organización recolecte por parte de sus empleados, se limitarán a aquellos necesarios
para el cumplimiento de disposiciones legales.
• Cada vez que la Organización, recolecte datos personales sensibles que no sean obligatorios solicitarlos por disposición legal,
deberá analizar si la medida es proporcional con el fin que se persigue, y deberá solicitar autorización expresa por parte del
empleado, siempre y cuando en el contrato de trabajo no se encuentre especificado dicha finalidad.
• Los exámenes toxicológicos deberían realizarse solamente de conformidad con la legislación y la práctica nacionales o las
normas internacionales.
• No deberían utilizarse polígrafos, detectores u otros medios o procedimientos similares de comprobación de la veracidad de
los empleados.
• En el caso de los exámenes médicos, sólo deberían comunicarse a la Organización, las conclusiones que guarden relación con
la decisión de que se trate relativa al empleo.
• Cuando se soliciten datos personales de menores de edad a cargo de los empleados, se requerirá autorización por parte del
empleado para el tratamiento de dichos datos personales, salvo que se traten de datos personales públicos de los menores,
o datos personales que se requieren para el cumplimiento de una obligación contractual, en este último caso, bastará con la
autorización incorporada en el contrato de trabajo.
Circulación de datos personales de los
Empleados
• En los casos que sean necesario suministrar datos personales de los empleados a terceros en virtud del cumplimiento
de obligaciones en calidad de empleador, la Organización deberá firmar con dicho tercero, contrato de transmisión
de datos personales.
• Los datos personales de los empleados sólo deberán ponerse a la disposición de personal que se encuentre
autorizado.
• El empleador en calidad de responsable y/o encargado de la información personal del empleado, podrá suministrar a
terceros como Administradora de Riesgos Laborales, Entidades Promotoras de Salud, Cajas de Compensación, Fondo
de Pensiones, DIAN, Secretaría de Hacienda, Entidades Financieras, y/o con cualquier autoridad administrativa y/o
judicial legalmente facultada, con la finalidad de dar cumplimiento de disposiciones legales y reglamentarias.
• La Organización no podrá suministrar datos personales de los empleados o exempleados a terceros relativos a su
antigüedad, desempeño, remuneración, ni ningún dato personal semiprivado, a no ser que cuente con la autorización
previa del empleado para suministrar dicha información personal.
• Las actividades relacionadas con publicación en carteleras, difusión de correos electrónicos, relativos a las fechas de
cumpleaños de los empleados, deberán contar con autorización de dicho empleado para su difusión.
• Las remuneraciones salariales, evaluaciones de desempeño, y otros datos semiprivados del empleado, no podrán
circular libremente en la Organización, y en caso de divulgación, deberán contar con la autorización del empleado.
•
Derecho de habeas data de los
empleados
• Los empleados tienen derecho a ser informados con regularidad sobre los datos
personales que les conciernen y sobre el tratamiento de éstos, así como solicitar
y/o consultar sus datos personales que tiene bajo tratamiento la Organización.
• La Organización no podrá cobrar a los empleados el acceso a su historia laboral o
la copia del mismo.
• El empleado tiene derecho a exigir que se supriman o rectifiquen los datos
personales inexactos o incompletos, así como los sometidos a una forma de
tratamiento que vulnere lo estipulado en la presente política.
• Si la Organización se niega a rectificar los datos personales, el empleado tiene
derecho a incluir o añadir en su historia laboral una nota que indique las razones
de su desacuerdo.
Controles recomendados
• En los casos que sea complejo obtener la autorización expresa o por conductas
inequivocas del titular del dato, la Organización deberá capturar las imágenes
en planos que sea dificil identificar a las personas.
Captura y uso de imágenes