El futuro de la protección de datos en Colombia: Un análisis del proyecto de reforma a la Ley 1581 de 2012
Futurlex analiza el proyecto de reforma a la Ley 1581 de 2012 en Colombia, explorando sus implicaciones para empresas, entidades públicas y ciudadanos. Si bien el proyecto aun no ha sido radicado ante el Congreso, el mismo fue a sometido a comentarios y diversos espacios de debate. Nuevos retos, nuevas normas: La era digital exige una legislación actualizada en materia de protección de datos. El proyecto de reforma busca modernizar la ley colombiana, adaptándola a los estándares internacionales y respondiendo a los desafíos de la era digital. Aspectos clave: Evaluación de impacto, oficial de protección de datos, refuerzo de derechos, seguridad de la información, sanciones y papel de la Superintendencia de Industria y Comercio. Futuro prometedor: La reforma legislativa impactará el panorama digital del país. Empresas, entidades públicas y ciudadanos deben prepararse para este nuevo entorno. Top 10 de los principales cambios: Síguenos para conocer más sobre el futuro de la protección de datos en Colombia. Elaborado con apoyo de Gemini IA
Oficiales de Privacidad en Colombia. Este es su momento!
Decreto 620 de 2020 OFICIAL DE PROTECCION DE DATOS COMO FIGURA OBLIGATORIA EN COLOMBIA La figura del Oficial o Delegado de Proteccion de Datos – OPD ha cobrado vital importancia en los últimos tiempos, siendo este el principal protector de los deberes y derechos de los titulares de los datos personales, así mismo, tiene la labor de promover la correcta implementación de la regulación en Protección de Datos, a nivel interno de las empresas, con el fin último de fomentar una cultura organizacional de respeto en materia de información. Este oficio está respaldado legalmente por el artículo 23 del Decreto 1377 de 2013, ahora compilado en el 2.2.2.25.3.1 del Decreto 1074 de 2015, el cual propugnaba tener al niver empresarial una “Persona o área responsable de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización”, sin embargo, la ley en su interpretación, sugería que esta figura era de carácter facultativo, lo cual ha causado graves problemas y sanciones por parte de la Superintendencia de Industria y Comercio a las empresas por no contar dentro de su estructura orgánica a una persona que desempeñara estas funciones. Con la expedición del Decreto 620 de 2020, en el marco de la pandemia por el virus SARS Covid-2, la cual promueve la institucionalización de la ciudadanía digital (que modifica al Decreto 1078 de 2015), le da carácter obligatorio a esta figura, definiendo al OPD como pilar fundamental en cuanto al diseño de planes y monitoreo de actividades para el correcto tratamiento de datos personales. Según el decreto en comento, se definen las funciones del OPD en el artículo 2.2.17.5.4, con debida observancia en el principio de Responsabilidad Demostrada: Velar por el respeto de los derechos de los titulares de los datos personales respecto del tratamiento de datos que realice el prestador de servicios ciudadanos digitales. Informar y asesorar al prestador de servicios ciudadanos digitales en relación con las obligaciones que les competen en virtud de la regulación colombiana sobre privacidad y tratamiento de datos personales. Supervisar el cumplimiento de lo dispuesto en la citada regulación y en las políticas de tratamiento de información del prestador de servicios ciudadanos digitales, así como del principio de responsabilidad demostrada. Prestar el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos. Atender los lineamientos y requerimientos que le haga la Delegatura de Protección de Datos Personales de la Superintendencia de Industria y Comercio o quien haga sus veces. Este ha sido un gran avance en la normatividad de habeas data en Colombia, entendiendo este concepto de ciudadanía digital como un escenario para que los ciudadanos puedan ejercer sus derechos de debida forma y con base en los principios que promueve la Ley de Protección de Datos Personales. Precisamente con este gran empujon normativo como referencia, nuestra firma realizará a partir del 07 de Julio el Curso de Actualizacion para Oficiales de Proteccion de Datos en Colombia, el cual será un programa ejecutivo 100% Online de 40 Horas de duracion en el que se buscará dotar a los Oficiales con herramientas y novedades para el ejercicio de su cargo. Una gran plantilla de docentes acompañaran esta version del Curso liderado por el Dr. Ivan Dario Marrugo J., Socio y CEO de la firma quien como DPO Certificado ve de suma importancia que el sujeto mas importante de todo Programa de gestion en materia de datos, renueve y refresque sus conocimientos con las ultimas tendencias y conocimientos sobre la materia. Todos los interesados pueden encontrar la informacion e inscribirse al Curso en el sitio diseñado para ello.
La Historia Clínica Electrónica y La Protección de Datos Personales en Colombia.
Recientemente, se ha sancionado la ley que permite la creación de una historia clínica electrónica en Colombia y su interoperabilidad, esto con el fin de dar paso al uso de menos papel y la posibilidad de asociar la identificación de cada ciudadano con sus antecedentes médicos de manera inmediata. Debemos tener en cuenta que este paso innovador genera una serie de deberes por parte de las entidades prestadoras de salud y todo aquel autorizado para tal fin, ya que los datos contenidos en estas historias son datos de carácter sensible (como el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, datos relativos a la vida y orientación sexuales, afiliación sindical, datos genéticos, datos relativos a la salud y datos biométricos que permitan la identificación unívoca de una persona) que sólo son necesarios para ciertas finalidades en el sector de la salud, de allí parte la obligación de la aplicación de prerrogativas legales estrictas en cuanto a su tratamiento, resaltando la confidencialidad de esta información previamente autorizada. Con base en lo anterior debemos resaltar los derechos constitucionales que se fundan como pilares de protección en esta ley, siendo el derecho a la salud y el derecho a la protección de los datos personales e intimidad. Artículo 49 Constitución Nacional. La atención de la salud y el saneamiento ambiental son servicios públicos a cargo del Estado. Se garantiza a todas las personas el acceso a los servicios de promoción, protección y recuperación de la salud. Corresponde al Estado organizar, dirigir y reglamentar la prestación de servicios de salud a los habitantes y de saneamiento ambiental conforme a los principios de eficiencia, universalidad y solidaridad. También, establecer las políticas para la prestación de servicios de salud por entidades privadas, y ejercer su vigilancia y control. Así mismo, establecer las competencias de la Nación, las entidades territoriales y los particulares, y determinar los aportes a su cargo en los términos y condiciones señalados en la ley. Los servicios de salud se organizarán en forma descentralizada, por niveles de atención y con participación de la comunidad. (…) Artículo 15. Constitución Nacional. Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en los bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución. La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptados o registrados mediante orden judicial, en los casos y con las formalidades que establezca la ley. (…) Los retos que afronta esta Ley son la necesidad de la creación de protocolos integrales de protección de los datos personales que vayan de la mano con la reglamentación de la ley 1581 de 2012 y su decreto reglamentario 1074 de 2015, los cuales extienden su aplicación a los principios, derechos y deberes del titular en cuanto a la guarda de su información personal, que en este caso adquiere un carácter especial ya que deviene de la relación médico paciente; según el artículo 3 de la LEPD, dato personal y tratamiento se definen así: ARTÍCULO 3o. DEFINICIONES. Para los efectos de la presente ley, se entiende por: c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables; g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. Así mismo el Ministerio de Salud resalta quienes son los sujetos obligados y la prospección de la implementación de esta ley, promoviendo de manera inmediata la creación de una serie de procedimientos legales estandarizados para propender a la protección de los datos médicos. (…) “Se destaca que los prestadores de servicios de salud estarán obligados a disponer los expedientes de la historia clínica de los colombianos para que puedan ser consultados a través de una plataforma de interoperabilidad, es decir, que todos los sistemas se puedan comunicar para dar a conocer a los profesionales de la salud la historia clínica de cada colombiano.” (…) “A la Historia Clínica Electrónica solo podrán acceder a ella los sujetos obligados por la ley y las personas autorizadas por el titular de esa información.” (…) “El plazo máximo de implementación de esta Ley será de cinco años a partir de la entrada en vigencia y esta estrategia obedece a criterios donde se prioricen datos y sistemas existentes en los distintos prestadores”, resalta. No obstante, el modelo de interoperabilidad de la Historia Clínica Electrónica deberá ser reglamentado en un término máximo de 12 meses.” – Min Salud, 2020 Desde el punto de vista anterior, este nuevo marco de normatividad legal aporta herramientas necesarias para la innovación en el país, concordando a un uso responsable y confidencial de la información para garantizar mejoras notables en el servicio a nivel nacional. Se pretende que esta ley sea el inicio de la digitalización de muchos documentos personales que se usan en formato físico, a transformarse a un formato digital protegido de acceso portable. [1] Ivan Dario Marrugo Jimenez. Abogado, especialista en Derecho de las Telecomunicaciones. Master en Proteccion de Datos de la Unir. Socio, Director General de Marrugo Rivera & Asociados. Experto en Derecho Informático, Ciberseguridad y Privacidad. Docente y Conferencista. [2] Gloria Toffanello de Leon. Abogada de la Universidad de Cartagena. Asociada de Marrugo Rivera & Asociados. Documentadora y consultora del área de Privacidad y Ciberseguridad de la firma.
El RNBD nuevamente sufre modificaciones: Solo Medianas y Grandes empresas deberan registrar bases de datos ante la SIC.
Nuevamente el Registro Nacional de Bases de Datos es modificado. Por tercera ocasion se amplian los plazos para que los sujetos obligados cumplan con esta importante obligacion de transparencia frente al manejo de los datos de terceros. Si bien se ha tenido suficiente tiempo, lo cierto que es las empresas no entienden su utilidad ni su justificacion. Con esta ultima modificacion, el Gobierno ha anunciado ademas de la ampliacion en las fechas, una reduccion significativa para las organizaciones que deben cumplirlo. En efecto, a traves del Decreto 090 de 2018, el Ministerio de Comercio, Industria y Turismo cambió el ambito de aplicacion frente al Registro, ya que en un principio toda entidad de naturaleza publica o privada, aun las personas naturales que trabajaran con datos personales, debian hacerlo. Analizado en forma practica dicha modificacion se tiene en principio, tres momentos especificos en los cuales operaran los vencimientos para los nuevos obligados: 1. Empresas (Sociedades Comerciales) y Entidades sin animo de lucro catalogadas como Grandes empresas. Es decir aquellas con activos superiores a $20.225.160.000 (610.000 UVT). Plazo: Hasta Septiembre 30 de 2018. 2. Empresas (Sociedades Comerciales) y Entidades sin animo de lucro catalogadas como Medianas empresas. Es decir aquellas con activos entre $3.315.600.000 y 20.225.159.999 (Entre 100.000 a 610.000 UVT). Plazo: Hasta Noviembre 30 de 2018. 3. Personas Jurídicas de Naturaleza Publica. Plazo: Hasta el 31 de Enero de 2019. Debemos anotar que estos cambios no han estado exentos de criticas. Lastimosamente la Autoridad Colombiana en materia de datos personales ha dado un rasgo netamente mercantil a la proteccion de datos. En la practica muchos tratamientos de datos sensibles se dan por instituciones pequeñas como Instituciones de Salud, Colegios y Universidades y por ende tal actividad debe estar en el foco de vigilancia de la entidad. Es nuestro parecer que no se cumplen los postulados señalados por el Art. 25 de la Ley 1581 de 2012 y avalados por la Corte Constitucional, en cuanto al RNBD como herramienta para garantizar los derechos de los titulares de datos.
Nuevo Decreto amplia el plazo para Registrar las Bases de Datos en Colombia.
El Gobierno Colombiano mediante el Decreto 1115 de Junio 29 de 2017 procedió a ampliar nuevamente el plazo para llevar a cabo el Registro Nacional de Bases de Datos. Mediante esta norma, el Ministerio de Comercio, Industria y Turismo, modificó el artículo 2.2.2.26.3.1 del Decreto 1074 de 2015, que es el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo, ampliando el plazo para el registro de las bases de datos por un periodo de 6 meses más (para las sociedades de economía mixta y las personas jurídicas de derecho privado inscritas en cámaras de comercio), esto es, hasta el 31 de enero del 2018. Tal como lo establece las consideraciones del Decreto, la ampliación del termino previamente fijado para el registro de las bases de datos, busca “una mayor divulgación y socialización de esta obligación por parte de la Superintendencia de Industria y Comercio.” Con este plazo, las empresas tendrán un tiempo mayor en cumplir con una de las obligaciones derivadas de la Ley 1581 de 2012, normativa sobre Privacidad y protección de datos personales en Colombia. Desde Noviembre de 2015 inició el proceso de inscripciones ante el Registro pero ha sido un proceso lento e incomprendido en las organizaciones, que poco a poco despiertan ante la realidad frente al control y la transparencia que deben ofrecer en sus procesos de administración de información personal. Marrugo Rivera & Asociados y su marca FuturLex, ofrecen servicios de consultoría especializada en Derecho informático y vienen trabajando con empresas a nivel nacional en el cumplimiento de la Ley y el Registro. Si requiere consultar o ampliar esta información puede ingresar a www.marrugorivera.com