El futuro de la protección de datos en Colombia: Un análisis del proyecto de reforma a la Ley 1581 de 2012
Futurlex analiza el proyecto de reforma a la Ley 1581 de 2012 en Colombia, explorando sus implicaciones para empresas, entidades públicas y ciudadanos. Si bien el proyecto aun no ha sido radicado ante el Congreso, el mismo fue a sometido a comentarios y diversos espacios de debate. Nuevos retos, nuevas normas: La era digital exige una legislación actualizada en materia de protección de datos. El proyecto de reforma busca modernizar la ley colombiana, adaptándola a los estándares internacionales y respondiendo a los desafíos de la era digital. Aspectos clave: Evaluación de impacto, oficial de protección de datos, refuerzo de derechos, seguridad de la información, sanciones y papel de la Superintendencia de Industria y Comercio. Futuro prometedor: La reforma legislativa impactará el panorama digital del país. Empresas, entidades públicas y ciudadanos deben prepararse para este nuevo entorno. Top 10 de los principales cambios: Síguenos para conocer más sobre el futuro de la protección de datos en Colombia. Elaborado con apoyo de Gemini IA
Perspectivas para la Regulación de la IA, Derecho Digital y Ciberseguridad en 2024: Desafíos y Oportunidades en Colombia y el Mundo
Regulacion y retos en 2024 sobre IA y Privacidad
La SIC anuncia investigación a Open AI por preocupaciones en materia de privacidad en Colombia.
En una noticia reciente, la Superintendencia de Industria y Comercio (SIC) de Colombia ha anunciado la apertura de una investigación a OpenAI, la organización detrás del modelo de lenguaje AI conocido como Chat GPT. Esta medida se ha tomado con el objetivo de evaluar si la aplicación cumple con la regulación de protección de datos personales. La investigación refleja las crecientes preocupaciones en torno a la privacidad y el uso responsable de la inteligencia artificial en el país. Los modelos de lenguaje AI, como Chat GPT, han ganado popularidad en diversas áreas, desde la asistencia en la redacción de textos hasta la interacción con usuarios en línea. Sin embargo, esta tecnología plantea interrogantes en términos de privacidad y protección de datos personales. Una de las principales preocupaciones es la recopilación y el uso de datos. Para entrenar y mejorar el modelo, se requiere una cantidad considerable de información, incluyendo datos personales. Si no se implementan medidas adecuadas de consentimiento y seguridad, existe el riesgo de que la privacidad de los usuarios se vea comprometida. Otra preocupación relevante es el posible sesgo inherente en los modelos de lenguaje AI. Estos aprenden de los datos con los que son entrenados, y si los datos contienen sesgos, como estereotipos o discriminación, existe el peligro de que los resultados generados por el modelo también reflejen esos sesgos, lo cual puede tener implicaciones negativas en términos de equidad y justicia. Es importante destacar que esta investigación no se centra exclusivamente en OpenAI o en Chat GPT, sino que es parte de un esfuerzo más amplio para garantizar el cumplimiento de la regulación de protección de datos personales en el contexto de la inteligencia artificial. La SIC está trabajando para evaluar si OpenAI ha implementado las salvaguardias y políticas necesarias para proteger la privacidad de los usuarios y cumplir con las regulaciones vigentes en Colombia. Es importante destacar que estas preocupaciones no están específicamente relacionadas con OpenAI o Chat GPT, sino que son desafíos generales asociados con el desarrollo y la implementación de tecnologías de IA en general. Las autoridades de protección de datos y otras organizaciones están trabajando en todo el mundo para abordar estas preocupaciones y establecer regulaciones y marcos éticos adecuados para el uso responsable de la IA. La investigación abierta por la Superintendencia de Industria y Comercio de Colombia a OpenAI y su aplicación Chat GPT refleja la creciente preocupación en torno a la privacidad y el uso responsable de los modelos de lenguaje AI. Si bien estos avances tecnológicos tienen un gran potencial, es fundamental abordar las preocupaciones de privacidad y protección de datos para garantizar un uso ético y seguro de la inteligencia artificial. La investigación en curso arrojará luz sobre cómo se están abordando estas preocupaciones y ayudará a impulsar el desarrollo de mejores prácticas en el campo de la inteligencia artificial y la protección de datos personales.
La Historia Clínica Electrónica y La Protección de Datos Personales en Colombia.
Recientemente, se ha sancionado la ley que permite la creación de una historia clínica electrónica en Colombia y su interoperabilidad, esto con el fin de dar paso al uso de menos papel y la posibilidad de asociar la identificación de cada ciudadano con sus antecedentes médicos de manera inmediata. Debemos tener en cuenta que este paso innovador genera una serie de deberes por parte de las entidades prestadoras de salud y todo aquel autorizado para tal fin, ya que los datos contenidos en estas historias son datos de carácter sensible (como el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, datos relativos a la vida y orientación sexuales, afiliación sindical, datos genéticos, datos relativos a la salud y datos biométricos que permitan la identificación unívoca de una persona) que sólo son necesarios para ciertas finalidades en el sector de la salud, de allí parte la obligación de la aplicación de prerrogativas legales estrictas en cuanto a su tratamiento, resaltando la confidencialidad de esta información previamente autorizada. Con base en lo anterior debemos resaltar los derechos constitucionales que se fundan como pilares de protección en esta ley, siendo el derecho a la salud y el derecho a la protección de los datos personales e intimidad. Artículo 49 Constitución Nacional. La atención de la salud y el saneamiento ambiental son servicios públicos a cargo del Estado. Se garantiza a todas las personas el acceso a los servicios de promoción, protección y recuperación de la salud. Corresponde al Estado organizar, dirigir y reglamentar la prestación de servicios de salud a los habitantes y de saneamiento ambiental conforme a los principios de eficiencia, universalidad y solidaridad. También, establecer las políticas para la prestación de servicios de salud por entidades privadas, y ejercer su vigilancia y control. Así mismo, establecer las competencias de la Nación, las entidades territoriales y los particulares, y determinar los aportes a su cargo en los términos y condiciones señalados en la ley. Los servicios de salud se organizarán en forma descentralizada, por niveles de atención y con participación de la comunidad. (…) Artículo 15. Constitución Nacional. Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en los bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución. La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptados o registrados mediante orden judicial, en los casos y con las formalidades que establezca la ley. (…) Los retos que afronta esta Ley son la necesidad de la creación de protocolos integrales de protección de los datos personales que vayan de la mano con la reglamentación de la ley 1581 de 2012 y su decreto reglamentario 1074 de 2015, los cuales extienden su aplicación a los principios, derechos y deberes del titular en cuanto a la guarda de su información personal, que en este caso adquiere un carácter especial ya que deviene de la relación médico paciente; según el artículo 3 de la LEPD, dato personal y tratamiento se definen así: ARTÍCULO 3o. DEFINICIONES. Para los efectos de la presente ley, se entiende por: c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables; g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. Así mismo el Ministerio de Salud resalta quienes son los sujetos obligados y la prospección de la implementación de esta ley, promoviendo de manera inmediata la creación de una serie de procedimientos legales estandarizados para propender a la protección de los datos médicos. (…) “Se destaca que los prestadores de servicios de salud estarán obligados a disponer los expedientes de la historia clínica de los colombianos para que puedan ser consultados a través de una plataforma de interoperabilidad, es decir, que todos los sistemas se puedan comunicar para dar a conocer a los profesionales de la salud la historia clínica de cada colombiano.” (…) “A la Historia Clínica Electrónica solo podrán acceder a ella los sujetos obligados por la ley y las personas autorizadas por el titular de esa información.” (…) “El plazo máximo de implementación de esta Ley será de cinco años a partir de la entrada en vigencia y esta estrategia obedece a criterios donde se prioricen datos y sistemas existentes en los distintos prestadores”, resalta. No obstante, el modelo de interoperabilidad de la Historia Clínica Electrónica deberá ser reglamentado en un término máximo de 12 meses.” – Min Salud, 2020 Desde el punto de vista anterior, este nuevo marco de normatividad legal aporta herramientas necesarias para la innovación en el país, concordando a un uso responsable y confidencial de la información para garantizar mejoras notables en el servicio a nivel nacional. Se pretende que esta ley sea el inicio de la digitalización de muchos documentos personales que se usan en formato físico, a transformarse a un formato digital protegido de acceso portable. [1] Ivan Dario Marrugo Jimenez. Abogado, especialista en Derecho de las Telecomunicaciones. Master en Proteccion de Datos de la Unir. Socio, Director General de Marrugo Rivera & Asociados. Experto en Derecho Informático, Ciberseguridad y Privacidad. Docente y Conferencista. [2] Gloria Toffanello de Leon. Abogada de la Universidad de Cartagena. Asociada de Marrugo Rivera & Asociados. Documentadora y consultora del área de Privacidad y Ciberseguridad de la firma.
Chats y audios de Whatsapp no siempre seran intimos con relacion al trabajo.
Mediante Sentencia T-574, Sep. 14/17 la Corte Constitucional fijó un importante precedente acerca del Derecho a la intimidad en su relacion a las comunicaciones privadas frente al entorno laboral. Al revisar una accion de Tutela se consideró El derecho a la intimidad admite diferentes grados de realización y, precisamente por ello, puede ser objeto de restricciones de naturaleza diversa. La clasificación de los espacios (públicos, semipúblicos, privados y reservados) constituye un factor relevante para definir el alcance de este derecho, así como el grado de protección que del mismo se desprende frente a las intervenciones de terceros. El lugar de trabajo es en principio un espacio semiprivado y no goza del mismo nivel de protección que el domicilio, debido a que el grado de privacidad es menor en atención a que allí tienen lugar actuaciones con repercusiones sociales significativas. La expectativa de privacidad es, entre otros, un criterio relevante para establecer si determinadas expresiones o manifestaciones de la vida de las personas se encuentran comprendidas por el ámbito de protección del derecho a la intimidad o si, por el contrario, pueden ser conocidas o interferidas por otros. En conclusión, ni de la conformación del grupo, ni de su finalidad, ni de pauta o regla alguna para su funcionamiento puede desprenderse que “no se trataba de información íntima o sensible”, ni que interesara solo al accionante y era claro que el accionante conocía que en el grupo participaban representantes del empleador (M. P. Alejandro Linares Cantillo). Con informacion de Ambito Juridico.
Sancionan a Falabella por enviar correos electronicos sin autorización.
Por reiteración de correos electrónicos no solicitados, Falabella recibe sanción por $137 Millones de pesos en Colombia.[i] Por medio de la Resolución 85652[1] del pasado 13 de Diciembre de 2016, la Direccion de investigaciones de la Delegatura de Proteccion de datos personales de la Superintendencia de Industria y Comercio sanciono a la Sociedad Falabella de Colombia S.A., por violación al régimen de protección de datos en Colombia a raíz de una investigación por denuncia de un ciudadano que no había autorizado el envío de correos electrónicos. Los Hechos A partir de una compra realizada en el portal www.falabella.com.co el denunciante narro que al momento del diligenciamiento de sus datos, expresamente desmarco las casillas para envío de contenidos publicitarios tanto al correo electrónico como por medio de mensajes de texto. Mediante varios correos el quejoso elevo peticiones a la empresa con el fin de ser excluido del envío de mensajes no autorizados, los cuales fueron desatendidos, como se desprende de la investigación, por Falabella de Colombia S.A. El material probatorio recaudado en el curso de la investigación permite concluir, prima facie, que la sociedad sancionada siguió remitiendo comunicaciones de tipo publicitarios hasta dos meses después de haber recibido la oposición inicial por parte del titular de los datos. El fondo del asunto La Autorización: Como hemos reiterado en distintas ocasiones, la autorización en Colombia es pieza fundamental para el tratamiento de los datos. Siguiendo el derrotero filosófico de la anterior directiva de protección de datos europea, el consentimiento materializa la expresión de los principios de libertad, legalidad y finalidad contenidos en la Ley 1581 de 2012. Es por ello que reviste de capital importancia atender procedimientos adecuados frente a este punto; lejos de ser una cuestión menor, este elemento es el que ha puesto en aprietos a las empresas Colombianas en el cumplimiento de la Ley de protección de datos. En efecto, la correcta administracion de las autorizaciones supone una actividad permanente y dedicada, que en ocasiones comporta problemas logísticos – cuando se trata de millones de titulares – y que impone un deber de cuidado mayúsculo para las empresas. Guardar prueba de la autorización en ocasiones no es sencillo y los requerimiento de titulares frente a este punto puede generar dolores de cabeza, si la empresa no ha dispuesto (o es débil en), los procedimientos para atenderlos. Al parecer y esta sanción puede ser un ejemplo de ello, las empresas continúan restándole importancia al tema de las autorizaciones y con el Registro de las Bases de datos, esta situación se está haciendo palmaria. Deber de conservación de información: Uno de los argumentos esbozado por la sociedad investigada fue el deber que tenia de conservar información aun posterior al proceso de eliminado de información. Recuérdese que el régimen de protección de datos no deroga otras normas sustantivas sobre administracion y gestion documental. Es claro que por simples hechos como la generación de copias de seguridad y el almacenamiento y conservación con fines históricos, hace necesario que las empresas guarden información personal aun cuando esta es objeto de debate por el titular de los datos. La eliminación total de los datos personales es un supuesto que rara vez ocurre y en ocasiones esta pretensión se ve satisfecha con la inactivación de ciertos elementos del registro en la base de datos o el marcado con ciertas condiciones del mismo en la tabla a la que pertenece. Estas cuestiones técnicas tienen una mayor preponderancia cuando se trata de reclamaciones en el uso de información y requieren de una labor coordinada entre las áreas de privacidad y el área de soporte tecnológico o infraestructura en las organizaciones. Procesos de Atención de Derechos de los titulares: Nuevamente una falla en la correcta atención al titular de los datos, genera una sanción por el régimen de protección de datos. El literal j de la Ley 1581 de 2012 señala expresamente que el Responsable del tratamiento tiene el deber de Tramitar las consultas y reclamos formulados en los términos señalados en la Ley. Este deber se ve reflejado en la construcción y mantenimiento de un Sistema de Atención al Titular de los datos frente al ejercicio de los derechos derivados del Art. 8 de la Ley. Existe un manejo descuidado, con cierta generalización en las empresas, afincado en el entendido que este asunto es algo sin importancia. Grave error cometen las empresas – sobre todo aquellas que administran muchos datos de usuarios, clientes o asociados- cuando no tienen procesos robustos para la atención de las consultas y reclamaciones y peor aun cuando los procesos de PQRS no están alineados con los de protección de datos. Estas inconsistencias pueden derivar en que no se atiendan en tiempo (Recuérdese que los términos de la Ley y su reglamento son perentorios y en ocasiones difieren de otros sistemas como los de servicio al cliente) o que no se resuelva el fondo de la petición, lo que activa el derecho de presentar una queja a la Superintendencia de Industria y Comercio. Por otra parte, el caso específico también nos muestra algo que ocurre en muchas organizaciones: El corto circuito que existen entre distintas áreas cuando de administracion de datos personales se trata. Alguien en Falabella falto al deber de cuidado en desmarcar una opción para envío de correos electrónicos a ese titular de datos; tal como ocurrió en un caso anterior con otra empresa de comunicaciones en Colombia, el envío de mensajes representa imposiciones de sanciones pecuniarias con ciertos montos que impactan no solo el tema financiero, sino la reputación de las empresas. La sanción Considero la SIC a través de la Delegatura de protección de datos, que la sociedad sancionada no podía alegar imposibilidad en la supresión de los datos del titular. Si bien con seguridad la relación entre ambos se suponía en un entorno contractual (Compraventa de un bien), también es importante señalar que el titular simplemente se oponía al envío de información publicitaria a su correo electrónico. Esto es algo que las empresas deben prestarle la debida atención;
Neutralidad en la Red y Privacidad en la Era Trump!
Neutralidad de internet y Privacidad en la era Trump. Andres Felipe Contreras[1] e Ivan Dario Marrugo J[2]. Marrugo Rivera & Asociados – FuturLex. Twitter: @imarrugoj – @futurlex – Pase a las directas expresiones del expresidente norteamericano Barack Obama en torno a la neutralidad de Internet[3] en el corto tiempo de su estancia en la Casa Blanca, sus señalamientos sobre políticas públicas que garanticen el acceso a portales web de contenido legal y la calidad en la velocidad para navegar, ya es posible observar un cambio de panorámica desde la nueva dirección que ha tomado el gobierno estadounidense. Así mismo, desde los debates en tiempos de candidato, el hoy presidente de Estados Unidos, anunciaba su postura frente a la Privacidad y la protección de datos personales. Como antecedente próximo, desde inicios desde el año 2015 y con el beneplácito de la mayoría de miembros que integran la Comisión Federal de Comunicaciones norteamericana (FCC), se consiguió que Internet fuera vista como como un servicio de carácter universal lo cual, permitía no solo garantizar los principios de libertad y neutralidad de la red sino que además, imponía a los proveedores de estos servicios cargas propias de los operadores de telecomunicaciones ordinarios. Contando con que la mayoría que tomo esta determinación fue parcial y uno total, uno de sus más grandes detractores fue el comisario Ajit Pai, miembro del partido republicano y quien abiertamente se mostrado como enemigo de la neutralidad de internet en procura de garantizar la inversión y el desarrollo sostenible del mercado que gira en torno a la red. Así, en una entrevista que entrego a la prensa americana el pasado 8 de diciembre de 2016, señalo abiertamente que los días de neutralidad “estaban contados”. Señalo en dicha entrevista lo siguiente: Soy optimista que las elecciones del mes pasado probaran ser un punto de inflexión, y que durante la administración de Trump, en la FCC dejaremos de jugar a la defensiva para pasar a la ofensiva. La comisión necesita retirar regulaciones innecesarias y desactualizadas. Necesitamos acabar con las reglas que detienen la inversión, la innovación y la creación de empleos. El día que (la neutralidad de la red) fue adoptada dije que no sabía si ese plan sería abandonado por una corte, revertido por el Congreso o anulado por por una Comisión futura. Pero sí creo que sus días están contados. Hoy estoy más que seguro que nunca que esta predicción se hará realidad.[4] Podría pensarse entonces que siendo minoría dentro de una organización de carácter colegiado, su pensamiento no debería tener mayores implicaciones en la toma de decisiones. Sin embargo y sin que fuera una gran sorpresa, desde el pasado 23 de enero de 2017 Ajit Pai funge como presidente de la FCC por nombramiento libre del nuevo presidente Donald Trump. Un nombramiento de tal envergadura y a sabiendas de la posición de Ajit Pai, refleja con claridad la ideología que en estos temas tiene y pretende adoptar el nuevo dirigente estadounidense. Ejemplo de lo anterior se ve en que ya se han tomado decisiones que relativizan la posición de la FCC en torno al acceso a internet en un plano de igualdad entre competidores y usuarios. El 3 de febrero del presente año, por una orden de carácter ejecutivo, se dispuso la terminación de sendas investigaciones en contra de operadores de internet que ofrecen su servicio con datos gratis o bajo la modalidad conocida como “Zero-rating”, que consiste básicamente en dejar de hacer unos determinados recargos al plan de servicios adquiridos por los consumidores de servicios de comunicaciones cuando el uso de aplicaciones y el acceso a Internet se hace desde las redes propias del operador. Pequeñas empresas (en comparación a las gigantes compañías que prestan estos mismos servicios), no estarían en condiciones de proporcionar tal acceso gratuito. https://www.youtube.com/watch?v=-PpzSgQPAu4 En países como Chile, ya desde el año 2014, desde la dirección de la Subsecretaria de Telecomunicaciones, se condenan este tipo de prácticas por atentar contra la neutralidad de internet y libre competencia del mercado. Las posturas en este sentido son muy relativas. Ceder ante las pretensiones económicas de los grandes actores de la web so pretexto de llevar sus servicios a un determinado sector de la población, relegado en el uso de las tecnologías, puede ocasionar que indirectamente se de prevalencia a una exclusiva tecnología y un único canal de tráfico de datos. En Estados Unidos, hoy por hoy y gracias a las decisiones del presidente Trump, la balanza se inclina hacia esto último. [1] Abogado Universidad Externado de Colombia. Cuenta con estudios en Derecho Económico, Derecho de Protección al Consumidor, Derecho de Telecomunicaciones y Nuevas Tecnologías. Consultor en Marrugo Rivera & Asociados – FuturLex. [2] Abogado Especialista en Derecho de las Telecomunicaciones. U. del Rosario. Experto en Derecho de Tecnologías y Privacidad. Socio Director General de Marrugo Rivera & Asociados – FuturLex. [3] En el que proveedores de servicio web y Estados se comprometen a no discriminar o poner mayores cargas injustificadas a los diferentes arquetipos de tráfico de información [4] “I’m optimistic that last month’s election will prove to be an inflection point—and that during the Trump Administration, we will shift from playing defense at the FCC to going on offense,” Pai said in a speech yesterday before the Free State Foundation in Washington, DC, said. The commission “need[s] to remove outdated and unnecessary regulations… We need to fire up the weed whacker and remove those rules that are holding back investment, innovation, and job creation”. Visto en: https://arstechnica.com/information-technology/2016/12/fccs-ajit-pai-says-net-neutralitys-days-are-numbered-under-trump/