UNA APROXIMACION

LEY DE HÁBEAS DATA

Recientemente usted ha sido reportado a una central de Riesgo Cifin O Datacredito? Considera usted que fue injustamente reportado a una central de Riesgo? Quiere eliminar su reporte negativo en la Cifin? Pues bien en el presente articulo les explicare brevemente que hacer en estos casos, con fundamento en el marco normativo ley 1266 de 2008 y la 1581 de 2012.

En primer lugar la Ley 1266 de 2008 Buscó proteger a los ciudadanos frente a la utilización de la información personal crediticia, financiera, comercial y de servicios ,es decir la que conforma la historia crediticia pero esta ley se limito exclusivamente al Habeas Data Financiero.

El hábeas data financiero es la protección de datos personales crediticios que se almacenan en las centrales de riesgos y que se emplean para evaluar a todas lass personas que desean un crédito.

Esta ley regulaba el tiempo de permanencia y como debía hacerse los respectivos tratamientos de datos, pero sin embargo dejó serias deficiencias normativas, porque las centrales de riesgos aun continuaban cometiendo abusos y el buen nombre de las personas aun resultaba seriamente afectado, es por eso que el Senador Luis Fernando Velasco, impulso el respectivo proyecto de ley que buscaba superar estos vacíos.

Así pues, se expidió la Ley Estatutaria 1581 de 2012 mediante la cual se dictan disposiciones generales para la protección de datos personales, en ella se regula el derecho fundamental de hábeas data y se señala la importancia en el tratamiento del mismo tal como lo corrobora la Sentencia de la Corte Constitucional C – 748 de 2011 donde se estableció el control de constitucionalidad de la Ley en mención.

Esta reciente ley busca proteger los datos personales registrados en cualquier base de datos que permite realizar operaciones, tales como la recolección, almacenamiento, uso, circulación o supresión (en adelante tratamiento) por parte de entidades de naturaleza pública y privada.

La Jurisprudencia Constitucional trató desde el inicio el derecho al hábeas data como una garantía del derecho a la intimidad, de allí que se hablaba de la protección de los datos que pertenecen a la vida privada y familiar, entendida como la esfera individual impenetrable en la que cada cual puede realizar su proyecto de vida y en la que ni el Estado ni otros particulares pueden interferir. Actualmente el hábeas data es un derecho autónomo, compuesto por la autodeterminación informática y la libertad (incluida la libertad económica). Este derecho como fundamental autónomo, requiere para su efectiva protección mecanismos que lo garanticen, los cuales no sólo han de depender pender de los jueces, sino de una institucionalidad administrativa que además del control y vigilancia tanto para los sujetos de derecho público como privado, aseguren la observancia efectiva de la protección de datos y, en razón de su carácter técnico, tengan la capacidad de fijar políticas públicas en la materia, sin injerencias de carácter político para el cumplimiento de esas decisiones.

Pero para facilitar su implementación y aplicabilidad d e la Ley 1581 de 2012 fue necesario la expedición del decreto 1377 del 27 de junio de 2013 en donde entre otras cosas delimitpo las las políticas de tratamiento de datos los responsables y encargados, el ejercicio de los derechos de los titulares de la información, entre otros:

1). El anuncio como tal (y a los cinco días siguientes de la comunicación, enviar carta comunicándole al respecto a la Superintendencia de Industria y Comercio).

2). Formato de autorización para que si lo desean lo diligencien los titulares de datos recolectados previamente.

3). Determinación de canal electrónico y físico para recibir las autorizaciones.

4). Política de tratamiento de la información personal (pues esta se debe indicar en el anuncio).

5). Conducto regular y canales físicos y electrónicos definidos para que el titular ejerza sus derechos de acceso, rectificación y supresión.

Para datos recolectados a partir de la expedición del Decreto 1377 se necesita:

1). Aviso de Privacidad (que se puede hacer estratégicamente en el mismo formato de autorización de la captura).

2). Definir o crear un área o sujeto responsable de la protección de la información personal, según el tamaño empresarial del cliente (es decir aquí opera el criterio de responsabilidad demostrada consagrado en los arts. 26 y 27 del Decreto 1377).

3). Establecer cláusulas para transmisiones y transferencias de datos (si estas aplican).

4). Definir o conocer cuáles son los grupos de interés del cliente.

5). Definir las finalidades y los tratamientos genéricos en cada grupo de interés, pues esto se debe indicar en la política de tratamiento y en el formato de autorización.

¿Qué son los datos personales?

Es cualquier información concerniente a personas físicas, que tenga carácter de privado, que esté ligada a su intimidad y que toque temas susceptibles de discriminación, como orientación sexual, religiosa, étnica, entre otros.

¿Cuál es la importancia de los datos personales?

Su importancia radica en que la información personal puede ser utilizada para varios fines, como la comercialización, la vida laboral, e incluso para cometer delitos, ya que su identidad puede ser suplantada si es que se tiene acceso a la información adecuada.

¿En qué consiste la protección de datos?

Son todas las medidas que se toman, tanto a nivel técnico como jurídico, para garantizar que la información de los usuarios de una compañía, entidad o de cualquier base de datos, esté segura de cualquier ataque o intento de acceder a esta, por parte de personas no autorizadas.

¿Qué medidas se deben tomar para una efectiva protección de datos?

Las medidas que se deben adoptar frente a la protección de datos dependen de la posición que se ocupe frente a la información, ya que puede estar a cargo de una persona física titular de la información; por otro lado, puede ser una persona natural o jurídica como encargada del tratamiento de datos y/o responsable del mismo.

¿Quién es el titular de la información?

Es la persona física cuyos datos son objeto de tratamiento.

¿Quién es el responsable del tratamiento?

Es la persona natural o jurídica que decide sobre la base de datos o el tratamiento de datos, ya sea por si sola o en sociedad con otros.

si su empresa, realiza actividades como responsable del tratamiento de datos personales debe acondicionar e implementar los siguientes mecanismos:

El aviso de privacidad.

El procedimiento para obtener la autorización del titular previo al inicio del tratamiento.

Herramientas que garanticen condiciones de seguridad adecuadas para evitar la adulteración, pérdida, consulta, uso o acceso fraudulento sobre la información.

Medidas tecnológicas para proteger los datos personales y sensibles.

Manual interno de políticas y procedimientos para cumplir con la Ley sobre protección de datos.

Elaborar las políticas del tratamiento de la información y suministrarlas al registro nacional de bases de datos, el cual está a cargo de la Superintendencia de Industria y Comercio.

En qué consisten las sanciones? Las sanciones para los encargados y los responsables del tratamiento de datos personales que pueden ser la misma persona natural o jurídica de naturaleza privada, están en cabeza de la Superintendencia de Industria y Comercio, y van desde:

Multas de carácter personal o institucional hasta por 2.000 Salarios Mínimos Mensuales Legales Vigentes.

Suspensión de las actividades relacionadas con el tratamiento hasta por seis meses.

Cierre temporal de las operaciones relacionadas con el tratamiento.

Cierre inmediato y definitivo de la operación que involucre el tratamiento de datos.

Ahora, si lo que usted quiere saber es que hacer si ya fue reportado Injustamente lea a continuación mi siguiente articulo.

Omar Colmenares Trujillo

Abogado analista