El 4 de mayo se llevó a cabo la segunda charla sobre el registro de bases de datos de información personal en las instalaciones de la Superintendencia de Industria y Comercio, las personas a cargo de esta charla fueron Carolina López y René Sierra. Durante esta charla se hicieron clarificaciones sobre diferentes aspectos del proceso del registro.
Como punto de partida se hizo una revisión del marco legal vigente que tiene como pilares la ley 1581 de 2012 y el decreto 1074 de 2015.
Durante la charla se reforzó la definición de un dato personal como aquel que permite identificar a un individuo, la clasificación de estos se da por su naturaleza: los datos públicos son el nombre y la cédula, un dato semiprivado aquel que no tiene naturaleza íntima, reservada ni pública y cuyo tratamiento le interesa a la persona y a un grupo específico de personas, por ejemplo los datos financieros; los datos privados son aquellos que solo son relevantes para el titular, como por ejemplo, fotos o información relacionada con el estilo de vida; los datos sensibles que son aquellos que afectan la intimidad de las personas y el uso indebido puede generar discriminación.
Durante la charla se reforzó el hecho de que para hacer tratamiento de datos de menores de edad se requiere la autorización de un mayor responsable de este y que tenga una relación de primer grado de consanguinidad. Ej. Los datos de los hijos para registrarlos en la caja de compensación.
El registro se debe actualizar en los 10 primeros días de cada mes en cambios significativos, esto es cuando cambie:
Igualmente recordaron que las bases de datos nuevas se deben registrar dentro de los dos meses siguientes a su creación.
En el momento de presentar las fechas límite de registro (30 de junio de 2017 para personas jurídicas privadas inscritas en cámara de comercio, 30 de junio de 2018 para el resto), fueron enfáticos en informar que la SIC no dará más plazos y que quien no registre sus bases de datos se atiene a posibles multas.
En cuanto a la solicitud de autorizaciones de uso de información, estas se solicitan de dato semi privado en adelante.
En cuanto al inventario de bases de datos hicieron las siguientes aclaraciones: se debe tener en cuenta que si los mismos datos están en medio físico y medio digital, se consideran bases de datos independientes, si el mismo conjunto de información se tiene en sitios separados con propósitos diferentes, se consideran bases de datos diferentes, para el caso de las tarjetas de presentación de negocios se debe evaluar por ejemplo se manejan tarjeteros o si la información de estas se sube a una aplicación que maneja una base de datos ya registrada, con estos criterios se deberá tomar la decisión de si se registra o no.
En referencia a la política de tratamiento mencionaron que puede haber una política diferente para cada base de datos dependiendo de la finalidad o puede haber una general.
Los datos que se da a las entidades de salud, pensiones, impuestos, cajas de compensación, etc. Antes eran tratados como “cesión” pero el criterio cambió y ahora ya no se registran estos procesos de cesión o transferencia. Cada una de las entidades que reciben esos datos deben hacer su propio registro y se clasifican como responsables de la información.
Si el responsable y el encargado son diferentes se deben crear canales de comunicación independientes para cada perfil.
En cuanto a la sección de medidas de seguridad del proceso de registro, se resaltó la importancia de documentarlas para cualquier proceso probatorio en caso de investigaciones.
Cuando se habló del proceso de autorización al tratamiento recordaron que el artículo 7 del decreto 1377 de 2013 menciona 3 mecanismos de autorización (por escrito, oral, conducta inequívoca) y recomendaron ampliamente usar el mecanismo escrito que es el único trazable y sustentable en un proceso jurídico. Mencionaron como ejemplo que en el caso de una factura que recoja los datos de una persona, el mismo formato de la factura debe hablar de la autorización.
Para los casos en que se requiera transferir información a un país donde la legislación no sea equivalente se requiere autorización expresa o llevar a cabo el proceso de hacer una solicitud de declaración de conformidad que aclararon es un proceso que toma mucho tiempo.
Autor: Javier Roberto Amaya Madrid, ISO 27001 LA, PCI QSA, PCI PCIP
Consultor en Seguridad
Como punto de partida se hizo una revisión del marco legal vigente que tiene como pilares la ley 1581 de 2012 y el decreto 1074 de 2015.
Durante la charla se reforzó la definición de un dato personal como aquel que permite identificar a un individuo, la clasificación de estos se da por su naturaleza: los datos públicos son el nombre y la cédula, un dato semiprivado aquel que no tiene naturaleza íntima, reservada ni pública y cuyo tratamiento le interesa a la persona y a un grupo específico de personas, por ejemplo los datos financieros; los datos privados son aquellos que solo son relevantes para el titular, como por ejemplo, fotos o información relacionada con el estilo de vida; los datos sensibles que son aquellos que afectan la intimidad de las personas y el uso indebido puede generar discriminación.
Durante la charla se reforzó el hecho de que para hacer tratamiento de datos de menores de edad se requiere la autorización de un mayor responsable de este y que tenga una relación de primer grado de consanguinidad. Ej. Los datos de los hijos para registrarlos en la caja de compensación.
El registro se debe actualizar en los 10 primeros días de cada mes en cambios significativos, esto es cuando cambie:
- Finalidad
- Encargado
- Los canales de atención al titular
- Las medidas de seguridad de la información implementadas
- La política de tratamiento de la información
- Transferencia y transmisión internacional de datos personales.
Igualmente recordaron que las bases de datos nuevas se deben registrar dentro de los dos meses siguientes a su creación.
En el momento de presentar las fechas límite de registro (30 de junio de 2017 para personas jurídicas privadas inscritas en cámara de comercio, 30 de junio de 2018 para el resto), fueron enfáticos en informar que la SIC no dará más plazos y que quien no registre sus bases de datos se atiene a posibles multas.
En cuanto a la solicitud de autorizaciones de uso de información, estas se solicitan de dato semi privado en adelante.
En cuanto al inventario de bases de datos hicieron las siguientes aclaraciones: se debe tener en cuenta que si los mismos datos están en medio físico y medio digital, se consideran bases de datos independientes, si el mismo conjunto de información se tiene en sitios separados con propósitos diferentes, se consideran bases de datos diferentes, para el caso de las tarjetas de presentación de negocios se debe evaluar por ejemplo se manejan tarjeteros o si la información de estas se sube a una aplicación que maneja una base de datos ya registrada, con estos criterios se deberá tomar la decisión de si se registra o no.
En referencia a la política de tratamiento mencionaron que puede haber una política diferente para cada base de datos dependiendo de la finalidad o puede haber una general.
Los datos que se da a las entidades de salud, pensiones, impuestos, cajas de compensación, etc. Antes eran tratados como “cesión” pero el criterio cambió y ahora ya no se registran estos procesos de cesión o transferencia. Cada una de las entidades que reciben esos datos deben hacer su propio registro y se clasifican como responsables de la información.
Si el responsable y el encargado son diferentes se deben crear canales de comunicación independientes para cada perfil.
En cuanto a la sección de medidas de seguridad del proceso de registro, se resaltó la importancia de documentarlas para cualquier proceso probatorio en caso de investigaciones.
Cuando se habló del proceso de autorización al tratamiento recordaron que el artículo 7 del decreto 1377 de 2013 menciona 3 mecanismos de autorización (por escrito, oral, conducta inequívoca) y recomendaron ampliamente usar el mecanismo escrito que es el único trazable y sustentable en un proceso jurídico. Mencionaron como ejemplo que en el caso de una factura que recoja los datos de una persona, el mismo formato de la factura debe hablar de la autorización.
Para los casos en que se requiera transferir información a un país donde la legislación no sea equivalente se requiere autorización expresa o llevar a cabo el proceso de hacer una solicitud de declaración de conformidad que aclararon es un proceso que toma mucho tiempo.
Autor: Javier Roberto Amaya Madrid, ISO 27001 LA, PCI QSA, PCI PCIP
Consultor en Seguridad