{"id":2660,"date":"2024-12-15T17:57:12","date_gmt":"2024-12-15T21:57:12","guid":{"rendered":"https:\/\/www.abintabogados.com\/web\/?p=2660"},"modified":"2024-12-15T17:57:12","modified_gmt":"2024-12-15T21:57:12","slug":"proteccion-de-datos-personales-en-colombia-normatividad-vigente-principios-y-procedimientos-claves-para-su-cumplimiento","status":"publish","type":"post","link":"https:\/\/www.abintabogados.com\/web\/2024\/12\/15\/proteccion-de-datos-personales-en-colombia-normatividad-vigente-principios-y-procedimientos-claves-para-su-cumplimiento\/","title":{"rendered":"Protecci\u00f3n de datos personales en Colombia: normatividad vigente, principios y procedimientos claves para su cumplimiento."},"content":{"rendered":"\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/www.abintabogados.com\/web\/wp-content\/uploads\/2024\/12\/datos-personales-scaled.jpg\"><img fetchpriority=\"high\" decoding=\"async\" width=\"1024\" height=\"684\" src=\"https:\/\/www.abintabogados.com\/web\/wp-content\/uploads\/2024\/12\/datos-personales-1024x684.jpg\" alt=\"\" class=\"wp-image-2661\" srcset=\"https:\/\/www.abintabogados.com\/web\/wp-content\/uploads\/2024\/12\/datos-personales-1024x684.jpg 1024w, https:\/\/www.abintabogados.com\/web\/wp-content\/uploads\/2024\/12\/datos-personales-300x200.jpg 300w, https:\/\/www.abintabogados.com\/web\/wp-content\/uploads\/2024\/12\/datos-personales-768x513.jpg 768w, https:\/\/www.abintabogados.com\/web\/wp-content\/uploads\/2024\/12\/datos-personales-1536x1025.jpg 1536w, https:\/\/www.abintabogados.com\/web\/wp-content\/uploads\/2024\/12\/datos-personales-2048x1367.jpg 2048w, https:\/\/www.abintabogados.com\/web\/wp-content\/uploads\/2024\/12\/datos-personales-600x401.jpg 600w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/a><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p>La protecci\u00f3n de datos personales en Colombia ha adquirido una relevancia considerable en los \u00faltimos a\u00f1os, especialmente a partir de la promulgaci\u00f3n de la Ley 1581 de 2012 que estableci\u00f3 el R\u00e9gimen General de Protecci\u00f3n de Datos Personales. La importancia de esta normatividad radica en la creciente necesidad de salvaguardar la privacidad y seguridad de los ciudadanos (as) en un mundo cada vez m\u00e1s digitalizado, por lo que su objetivo se enmarca en proteger los derechos de las personas en relaci\u00f3n con el manejo de su informaci\u00f3n personal. Las entidades que realizan la recepci\u00f3n y tratamiento de dichos datos deben hacerlo de manera adecuada, conforme a los principios legales establecidos.<\/p>\n\n\n\n<p>Dentro de esta protecci\u00f3n, adquiere especial relevancia el tratamiento de los datos sensibles, los cuales pueden afectar la intimidad de su titular o el uso indebido de los mismos puede generar situaciones de discriminaci\u00f3n, de acuerdo con lo indicado por el art\u00edculo 5de la Ley 1581 de 2012:<\/p>\n\n\n\n<p><em>Art\u00edculo 5\u00b0. Datos sensibles. Para los prop\u00f3sitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminaci\u00f3n,&nbsp;<strong>tales como aquellos que revelen<\/strong>&nbsp;el origen racial o \u00e9tnico, la orientaci\u00f3n pol\u00edtica, las convicciones religiosas o filos\u00f3ficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido pol\u00edtico o que garanticen los derechos y garant\u00edas de partidos pol\u00edticos de oposici\u00f3n as\u00ed como&nbsp;<strong>los datos relativos a la salud, a la vida sexual y los datos biom\u00e9tricos<\/strong>.&nbsp;<\/em>(Negrilla fuera del texto original)<\/p>\n\n\n\n<p>Este art\u00edculo explora los principios, derechos y garant\u00edas que conforman el R\u00e9gimen General de Protecci\u00f3n de Datos Personales, adem\u00e1s de las obligaciones de las empresas en la inscripci\u00f3n de bases de datos en el Registro Nacional de Bases de Datos \u2013 RNBD, teniendo en cuenta Ley Estatutaria 1581 de 2012, el Decreto 90 de 2018, el Decreto 1074 de 2015, el Decreto 4886 de 2011 y el Decreto 092 de 2022<\/p>\n\n\n\n<p>Los \u201c<em>Principios para el tratamiento de datos personales\u201d&nbsp;<\/em>establecidos en el art\u00edculo 4 de la Ley 1581 de 2012, establecen los lineamientos fundamentales que deben guiar cualquier actividad relacionada con el manejo de la informaci\u00f3n personal, los cuales pueden sintetizarse de la siguiente manera:<\/p>\n\n\n\n<ul>\n<li><strong>Legalidad:<\/strong>&nbsp;El tratamiento debe estar sujeto a las disposiciones legales vigentes.<\/li>\n\n\n\n<li><strong>Finalidad:<\/strong>&nbsp;Los datos personales solo pueden ser tratados para fines leg\u00edtimos e informados previamente al titular.<\/li>\n\n\n\n<li><strong>Libertad:<\/strong>&nbsp;El tratamiento solo puede realizarse con el consentimiento previo, expreso e informado del titular.<\/li>\n\n\n\n<li><strong>Veracidad o Calidad:<\/strong>&nbsp;Los datos recolectados deben ser veraces, completos y actualizados.<\/li>\n\n\n\n<li><strong>Transparencia:&nbsp;<\/strong>El titular tiene derecho a obtener informaci\u00f3n sobre el tratamiento de sus datos en cualquier momento.<\/li>\n\n\n\n<li><strong>Acceso y Circulaci\u00f3n Restringida:<\/strong>&nbsp;Los datos solo pueden ser tratados por personas autorizadas.<\/li>\n\n\n\n<li><strong>Seguridad:<\/strong>&nbsp;Se deben adoptar medidas t\u00e9cnicas, humanas y administrativas para proteger los datos personales.<\/li>\n\n\n\n<li><strong>Confidencialidad:<\/strong>&nbsp;Los responsables del tratamiento deben mantener la confidencialidad de los datos, incluso despu\u00e9s de terminado el tratamiento.<\/li>\n<\/ul>\n\n\n\n<p>As\u00ed mismo, el art\u00edculo 8 de dicha Ley refiere los derechos y condiciones de legalidad para el tratamiento de datos de los titulares que les permiten controlar el uso de su informaci\u00f3n:<\/p>\n\n\n\n<ul>\n<li><strong>Derecho de acceso:<\/strong>&nbsp;Conocer cu\u00e1les son los datos que est\u00e1n siendo tratados y c\u00f3mo.<\/li>\n\n\n\n<li><strong>Derecho de actualizaci\u00f3n y rectificaci\u00f3n:<\/strong>&nbsp;Solicitar la correcci\u00f3n de datos incorrectos o desactualizados.<\/li>\n\n\n\n<li><strong>Derecho de supresi\u00f3n:<\/strong>&nbsp;Solicitar la eliminaci\u00f3n de datos cuando ya no sean necesarios para los fines autorizados.<\/li>\n\n\n\n<li><strong>Derecho de revocaci\u00f3n del consentimiento<\/strong>: Retirar el consentimiento otorgado en cualquier momento.<\/li>\n\n\n\n<li><strong>Derecho a presentar quejas<\/strong>&nbsp;ante la Superintendencia de Industria y Comercio \u2013 SIC.<\/li>\n<\/ul>\n\n\n\n<p>Ahora bien, teniendo claro los principios y derechos en el tratamiento de datos personales, es propicio mencionar las obligaciones que los responsables y encargados de ese tratamiento ostentan:<\/p>\n\n\n\n<ul>\n<li>Obtener el consentimiento del titular antes de recolectar y tratar los datos.<\/li>\n\n\n\n<li>Implementar pol\u00edticas internas para el tratamiento adecuado de los datos.<\/li>\n\n\n\n<li>Adoptar medidas de seguridad para proteger los datos de acceso no autorizado o fraude.<\/li>\n\n\n\n<li>Permitir que los titulares accedan a sus datos y ejerzan sus derechos.<\/li>\n<\/ul>\n\n\n\n<p>Adicionalmente, es mandatorio adoptar una Pol\u00edtica de Tratamiento de Datos Personales, por lo cual se debe tener en cuenta el Decreto 1074 de 2015 o Decreto \u00danico Reglamentario del Sector Comercio, Industria y Turismo que consolida las normas relacionadas con la protecci\u00f3n de datos personales, en particular, aquellas contenidas en la Ley 1581 de 2012, adem\u00e1s, especifica los mecanismos para la implementaci\u00f3n de las normas de protecci\u00f3n de datos y establece las funciones y responsabilidades de las entidades encargadas de su tratamiento. &nbsp;<\/p>\n\n\n\n<p>De igual manera, ha de se\u00f1alarse el Decreto 090 de 2018, el cual no solo complementa a la Ley de Protecci\u00f3n de Datos, sino que adem\u00e1s establece la obligaci\u00f3n de determinadas entidades de inscribir sus bases de datos en el RNBD administrado por la SIC. De acuerdo con el literal \u201ca\u201d del art\u00edculo 2.2.2.26.1.2 del Decreto 1074 de 2015, modificado a su vez por el art\u00edculo primero del Decreto 090 del 2018, se establecieron los sujetos a quienes se les impone la obligaci\u00f3n de efectuar el registro:<\/p>\n\n\n\n<p><em>\u201cART\u00cdCULO 1. Modif\u00edquese el art\u00edculo 2.2.2.26.1.2 del Decreto 1074 de 2015 \u2013 Decreto \u00danico Reglamentario del Sector Comercio, Industria y Turismo, el cual quedar\u00e1 as\u00ed:<\/em><\/p>\n\n\n\n<p><em>ART\u00cdCULO 2.2.2.26.1.2. \u00c1mbito de aplicaci\u00f3n. Ser\u00e1n objeto de inscripci\u00f3n en el Registro Nacional de Bases de Datos, las bases de datos que contengan datos personales cuyo Tratamiento automatizado o manual sea realizado por los responsables del tratamiento que re\u00fanan las siguientes caracter\u00edsticas:\u201d<\/em><\/p>\n\n\n\n<ol>\n<li><em>Sociedades y entidades sin \u00e1nimo de lucro que tengan activos totales superiores a 100.000 Unidades de Valor Tributario (UVT).<\/em><\/li>\n\n\n\n<li><em>&nbsp;Personas jur\u00eddicas de naturaleza p\u00fablica.\u201d<\/em><\/li>\n<\/ol>\n\n\n\n<p>Lo anterior, propende por centralizar la informaci\u00f3n sobre el manejo de bases de datos, permitiendo un mayor control y supervisi\u00f3n por parte del gobierno sobre el tratamiento de los datos personales, lo cual tambi\u00e9n aplica a todas las personas, tanto p\u00fablicas como privadas, que recolecten, almacenen, usen o circulen datos personales. As\u00ed mismo, cuando la norma hace referencia a las sociedades, se alude a todas las empresas que hayan sido constituidas bajo el ordenamiento comercial, sin importar su clase societaria.<\/p>\n\n\n\n<p>El art\u00edculo segundo del Decreto 090 de 2018 que modifica el art\u00edculo 2.2.2.26.3.1 del Decreto \u00danico Reglamentario, se\u00f1al\u00f3 el plazo que se debe observar por parte de estas entidades para efectuar el correspondiente registro:<\/p>\n\n\n\n<p><em>\u201cART\u00cdCULO 2.2.2.26.3.1. Plazo de inscripci\u00f3n. La inscripci\u00f3n de las bases de datos en el Registro Nacional de Bases de Datos se llevar\u00e1 a cabo en los siguientes plazos:<\/em><\/p>\n\n\n\n<ol>\n<li><em>Los Responsables del Tratamiento, sociedades y entidades sin \u00e1nimo de lucro que tengan activos totales superiores a 610.000 Unidades de Valor Tributario (UVT), deber\u00e1n realizar la referida inscripci\u00f3n&nbsp;<strong>a m\u00e1s tardar el treinta (30) de septiembre de 2018<\/strong>, de acuerdo con las instrucciones impartidas por la Superintendencia de Industria y Comercio;<\/em><\/li>\n\n\n\n<li><em>Los Responsables del Tratamiento, sociedades y entidades sin \u00e1nimo de lucro que tengan activos totales superiores a 100.000 y hasta 610.000 Unidades de Valor Tributario (UVT), deber\u00e1n realizar la referida inscripci\u00f3n&nbsp;<strong>a m\u00e1s tardar el treinta (30) de noviembre de 2018<\/strong>, de conformidad con las instrucciones impartidas por la Superintendencia de Industria y Comercio.<\/em><\/li>\n\n\n\n<li><em>Los Responsables del Tratamiento, personas jur\u00eddicas de naturaleza p\u00fablica, deber\u00e1n realizar la referida inscripci\u00f3n&nbsp;<strong>a m\u00e1s tardar el treinta y uno (31) de enero de 2019<\/strong>, de conformidad con las instrucciones impartidas por la Superintendencia de Industria y Comercio.<\/em><\/li>\n<\/ol>\n\n\n\n<p><strong><em>Las bases de datos que se creen con posterioridad<\/em><\/strong><em>&nbsp;al vencimiento de los plazos referidos en los literales a), b) y c) del presente art\u00edculo,&nbsp;<strong>deber\u00e1n inscribirse dentro de los dos (2) meses siguientes, contados a partir de su creaci\u00f3n<\/strong>\u201c.&nbsp;<\/em>(Negrilla fuera del texto original).<\/p>\n\n\n\n<p>En caso de incumplimiento por parte de los responsables del tratamiento de datos personales, deben acogerse las disposiciones que consagran las sancione, para ello, el art\u00edculo 23 de la Ley 1581 de 2012 ha dispuesto que la SIC es la autoridad competente para ejercer la vigilancia y el control sobre el tratamiento de datos personales en Colombia, as\u00ed como de ser la encargada de investigar y sancionar a las entidades que infrinjan las disposiciones legales relacionadas con dicha protecci\u00f3n.<\/p>\n\n\n\n<p>El art\u00edculo 25 de la Ley 1581 de 2012 establece que la SIC puede imponer las siguientes medidas: (i)&nbsp;<strong>Multas&nbsp;<\/strong>de hasta el equivalente a 2.000 salarios m\u00ednimos legales mensuales vigentes; (ii)&nbsp;<strong>Suspensi\u00f3n temporal<\/strong>&nbsp;de las actividades relacionadas con el tratamiento de datos personales; o (iii)&nbsp;<strong>Cierre temporal o definitivo<\/strong>&nbsp;de las operaciones que infrinjan la ley, especialmente cuando la infracci\u00f3n persista.<\/p>\n\n\n\n<p>Adicionalmente, el Decreto 4886 de 2011, que reorganiza la SIC, refuerza estas facultades al otorgarle la capacidad de investigar, supervisar y sancionar a las entidades que incumplan con las obligaciones establecidas en la Ley, garantizando as\u00ed la efectiva protecci\u00f3n de los derechos de los titulares de los datos personales<\/p>\n\n\n\n<p>El Decreto 092 de 2022, reorganiza la estructura de la&nbsp;<strong>SIC<\/strong>, y si bien no introduce nuevas disposiciones sobre protecci\u00f3n de datos, refuerza la capacidad de la entidad para llevar a cabo sus funciones de vigilancia y control sobre el tratamiento de los mismos, en aras de investigar, sancionar y supervisar a las entidades p\u00fablicas y privadas que realizan el manejo de datos personales en el pa\u00eds.<\/p>\n\n\n\n<p>Teniendo en cuenta lo anterior, dichas disposiciones no son ajenas al sector salud, por ello las entidades que lo conforman deben dar cumplimiento a la normativa indicada previamente, con miras a evitar sanciones impuestas por la SIC por la violaciones de las disposiciones de la Ley 1581 de 2012 relativa al manejo de datos personales. \u00a0Para ejemplificar lo anterior, puede traerse a colaci\u00f3n la confirmaci\u00f3n de una sanci\u00f3n a una Entidad Promotora de Salud en el a\u00f1o 2020 mediante la Resoluci\u00f3n No. 77049 del 30 de noviembre\u00a0por las siguientes infracciones:<\/p>\n\n\n\n<ul>\n<li>No garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data (Ley 1581, 2012, art. 17, literal a).<\/li>\n\n\n\n<li>No conservar la informaci\u00f3n bajo las condiciones de seguridad necesarias para impedir su adulteraci\u00f3n, p\u00e9rdida, consulta, uso o acceso no autorizado o fraudulento (Ley 1581, 2012, art. 17, literal e).<\/li>\n\n\n\n<li>No rectificar la informaci\u00f3n cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento (Ley 1581, 2012, art. 17, literal g).<\/li>\n<\/ul>\n\n\n\n<p>Con todo, puede indicarse que el marco legal proporcionado por la Ley 1581 de 2012 se ve complementado por normativas clave como el Decreto 1074 de 2015, que establece los mecanismos para la implementaci\u00f3n efectiva de la Ley; el Decreto 90 de 2018, que refuerza la obligaci\u00f3n de inscripci\u00f3n en el RNBD, permitiendo un control riguroso sobre el manejo de la informaci\u00f3n personal; el Decreto 4886 de 2011, que otorga a la SIC la capacidad de ejercer funciones de vigilancia, control y sanci\u00f3n sobre las entidades que incumplen las disposiciones de la Ley; y el Decreto 092 de 2022 refuerza la estructura organizativa de la SIC, mejorando su capacidad operativa para supervisar de manera efectiva el tratamiento de datos personales.<\/p>\n\n\n\n<p>A trav\u00e9s de estas regulaciones, no solo se garantiza la gesti\u00f3n adecuada de las bases de datos, sino que tambi\u00e9n se imponen sanciones significativas en caso de infracciones, creando un entorno de confianza esencial en el contexto digital actual, que se enmarca en la normativa descrita, lo cual permite asegurar la privacidad y protecci\u00f3n de los derechos de los ciudadanos, promoviendo un manejo seguro y responsable de los datos personales en un mundo cada vez m\u00e1s digitalizado lo cual se torna en una prioridad para la garant\u00eda de los derechos de los ciudadanos y ciudadanas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>La protecci\u00f3n de datos personales en Colombia ha adquirido una relevancia considerable en los \u00faltimos a\u00f1os, especialmente a partir de la promulgaci\u00f3n de la Ley 1581 de 2012 que estableci\u00f3 el R\u00e9gimen General de Protecci\u00f3n de Datos Personales. La importancia de esta normatividad radica en la creciente necesidad de salvaguardar la privacidad y seguridad de los ciudadanos (as) en un [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/www.abintabogados.com\/web\/wp-json\/wp\/v2\/posts\/2660"}],"collection":[{"href":"https:\/\/www.abintabogados.com\/web\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.abintabogados.com\/web\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.abintabogados.com\/web\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.abintabogados.com\/web\/wp-json\/wp\/v2\/comments?post=2660"}],"version-history":[{"count":1,"href":"https:\/\/www.abintabogados.com\/web\/wp-json\/wp\/v2\/posts\/2660\/revisions"}],"predecessor-version":[{"id":2662,"href":"https:\/\/www.abintabogados.com\/web\/wp-json\/wp\/v2\/posts\/2660\/revisions\/2662"}],"wp:attachment":[{"href":"https:\/\/www.abintabogados.com\/web\/wp-json\/wp\/v2\/media?parent=2660"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.abintabogados.com\/web\/wp-json\/wp\/v2\/categories?post=2660"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.abintabogados.com\/web\/wp-json\/wp\/v2\/tags?post=2660"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}