Tratamiento de Datos
Lee Cuidadosamente
Objeto y ámbito. El tratamiento de datos personales se realiza con sujeción a la Ley Estatutaria 1581 de 2012 y su reglamentación (entre otras normas aplicables), que protegen el derecho de las personas a conocer, actualizar y rectificar la información que sobre ellas repose en bases de datos públicas o privadas. Estas normas aplican al tratamiento efectuado en territorio colombiano y a quienes, estando fuera del país, traten datos sujetos a la legislación colombiana.
Función Pública
+1
Principios rectores. Todo tratamiento respetará los principios de legalidad, finalidad, libertad, veracidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad. El tratamiento solo podrá efectuarse para finalidades legítimas, informadas al titular y con las garantías técnicas y administrativas necesarias.
Función Pública
Bases legales y autorización. El tratamiento se fundamenta en una base legal válida: autorización previa, expresa e informada del titular (consentimiento), cumplimiento de un contrato, obligación legal, interés público, y demás causales previstas en la ley. El titular puede solicitar prueba de la autorización otorgada en los términos legales.
Función Pública
Responsables y encargados. Se distinguen el responsable del tratamiento (quien decide sobre la base de datos y el tratamiento) y el encargado (quien trata datos por cuenta del responsable). Ambos deben cumplir con las obligaciones de la ley, conservar la confidencialidad y aplicar medidas de seguridad apropiadas.
Función Pública
Aviso de privacidad y registro. Antes de recolectar datos, el responsable deberá informar al titular mediante un aviso de privacidad sobre la existencia de la base de datos, la identidad del responsable, finalidades del tratamiento, derechos del titular y la forma de ejercerlos. Las políticas de tratamiento y, cuando corresponda, la inscripción de la base de datos en el Registro Nacional de Bases de Datos (RNBD) ante la Superintendencia de Industria y Comercio (SIC) son obligaciones administrativas relevantes.
Función Pública
Derechos de los titulares (ARCO y otros). Los titulares tienen derecho a: (a) Conocer qué datos personales se tienen sobre ellos; (b) Rectificar datos inexactos; (c) Cancelar sus datos cuando proceda; y (d) Oponerse al tratamiento por motivos legítimos (derechos ARCO). También pueden solicitar prueba de la autorización y ser informados sobre el uso dado a sus datos. El término máximo para atender los reclamos y solicitudes es de quince (15) días hábiles, prorrogable excepcionalmente por un plazo adicional limitado con notificación al titular. Suin Juriscol +1
Tratamiento de datos sensibles y de menores. El tratamiento de datos sensibles (salud, datos biométricos, origen racial/étnico, convicciones religiosas, entre otros) está sujeto a reglas más estrictas y, en general, requiere requisitos adicionales de autorización. El tratamiento de datos de niños, niñas y adolescentes tiene protecciones especiales y solo podrá realizarse en las condiciones y límites establecidos por el Decreto 1377 de 2013 y demás normas aplicables. Función Pública
Plazo de conservación y supresión. Los datos se conservarán durante el tiempo necesario para cumplir las finalidades informadas, respetando plazos legales de conservación cuando existan (por ejemplo obligaciones tributarias o contractuales). Una vez cumplida la finalidad y agotadas las obligaciones legales, los datos serán suprimidos o anonimizados salvo que exista autorización o justificación legal para su conservación adicional. Función Pública
Medidas de seguridad y confidencialidad. El responsable y el encargado deberán implementar las medidas técnicas, humanas y administrativas necesarias para garantizar la seguridad de los datos y evitar accesos no autorizados, pérdida, adulteración o divulgación indebida. Se documentarán las políticas internas, controles de acceso, cifrado cuando corresponda y procedimientos de respuesta ante incidentes. Función Pública
Transferencias y transferencias internacionales. La transferencia de datos a terceros nacionales o internacionales se realizará conforme a las condiciones legales: requiere que exista base legal, el consentimiento del titular cuando corresponda, y en el caso de transferencias al exterior se deberá comprobar que el país receptor otorga niveles adecuados de protección o aplicar las excepciones y garantías previstas por la ley (normas corporativas vinculantes, declaración de conformidad ante la SIC u otras causales previstas). La SIC ha emitido criterios y circulares sobre el régimen de transferencias internacionales. Normas CRA
Notificación y manejo de incidentes. Ante incidentes de seguridad que comprometan la confidencialidad, integridad o disponibilidad de los datos personales, se deberán activar los procedimientos internos de respuesta, evaluar el riesgo para los titulares y, cuando proceda, notificar a los afectados y a la autoridad de control en los términos y plazos que exijan las disposiciones o directrices aplicables (y conforme a las mejores prácticas de responsabilidad demostrada). Secretaría Jurídica
Vigilancia y sanciones. La Superintendencia de Industria y Comercio (SIC) es la autoridad de vigilancia y puede imponer medidas correctivas y sanciones administrativas por incumplimiento de las normas de protección de datos (multas, órdenes de suspensión, cierre de tratamiento, entre otras). Los titulares también pueden presentar reclamaciones ante la SIC cuando consideren vulnerados sus derechos. Función Pública
Canales para ejercer derechos y contacto. Los titulares podrán ejercer sus derechos ARCO y presentar reclamos mediante solicitud escrita dirigida al responsable (por correo, formulario web o al correo electrónico indicado en el aviso de privacidad). La solicitud debe contener la identificación del titular, la petición concreta y la documentación probatoria. El responsable contestará en el plazo legal indicado.
Derechos de los titulares (ARCO y otros). Los titulares tienen derecho a: (a) Conocer qué datos personales se tienen sobre ellos; (b) Rectificar datos inexactos; (c) Cancelar sus datos cuando proceda; y (d) Oponerse al tratamiento por motivos legítimos (derechos ARCO). También pueden solicitar prueba de la autorización y ser informados sobre el uso dado a sus datos. El término máximo para atender los reclamos y solicitudes es de quince (15) días hábiles, prorrogable excepcionalmente por un plazo adicional limitado con notificación al titular. Suin Juriscol +1
Tratamiento de datos sensibles y de menores. El tratamiento de datos sensibles (salud, datos biométricos, origen racial/étnico, convicciones religiosas, entre otros) está sujeto a reglas más estrictas y, en general, requiere requisitos adicionales de autorización. El tratamiento de datos de niños, niñas y adolescentes tiene protecciones especiales y solo podrá realizarse en las condiciones y límites establecidos por el Decreto 1377 de 2013 y demás normas aplicables. Función Pública
Plazo de conservación y supresión. Los datos se conservarán durante el tiempo necesario para cumplir las finalidades informadas, respetando plazos legales de conservación cuando existan (por ejemplo obligaciones tributarias o contractuales). Una vez cumplida la finalidad y agotadas las obligaciones legales, los datos serán suprimidos o anonimizados salvo que exista autorización o justificación legal para su conservación adicional. Función Pública
Medidas de seguridad y confidencialidad. El responsable y el encargado deberán implementar las medidas técnicas, humanas y administrativas necesarias para garantizar la seguridad de los datos y evitar accesos no autorizados, pérdida, adulteración o divulgación indebida. Se documentarán las políticas internas, controles de acceso, cifrado cuando corresponda y procedimientos de respuesta ante incidentes. Función Pública
Transferencias y transferencias internacionales. La transferencia de datos a terceros nacionales o internacionales se realizará conforme a las condiciones legales: requiere que exista base legal, el consentimiento del titular cuando corresponda, y en el caso de transferencias al exterior se deberá comprobar que el país receptor otorga niveles adecuados de protección o aplicar las excepciones y garantías previstas por la ley (normas corporativas vinculantes, declaración de conformidad ante la SIC u otras causales previstas). La SIC ha emitido criterios y circulares sobre el régimen de transferencias internacionales. Normas CRA
Notificación y manejo de incidentes. Ante incidentes de seguridad que comprometan la confidencialidad, integridad o disponibilidad de los datos personales, se deberán activar los procedimientos internos de respuesta, evaluar el riesgo para los titulares y, cuando proceda, notificar a los afectados y a la autoridad de control en los términos y plazos que exijan las disposiciones o directrices aplicables (y conforme a las mejores prácticas de responsabilidad demostrada). Secretaría Jurídica
Vigilancia y sanciones. La Superintendencia de Industria y Comercio (SIC) es la autoridad de vigilancia y puede imponer medidas correctivas y sanciones administrativas por incumplimiento de las normas de protección de datos (multas, órdenes de suspensión, cierre de tratamiento, entre otras). Los titulares también pueden presentar reclamaciones ante la SIC cuando consideren vulnerados sus derechos. Función Pública
Canales para ejercer derechos y contacto. Los titulares podrán ejercer sus derechos ARCO y presentar reclamos mediante solicitud escrita dirigida al responsable (por correo, formulario web o al correo electrónico indicado en el aviso de privacidad). La solicitud debe contener la identificación del titular, la petición concreta y la documentación probatoria. El responsable contestará en el plazo legal indicado.