Protección legalde los datos personales

Vulnerabilidad de la información

ALGUNOS CASOS DE DATOS SENSIBLES…

– Pasado judicial.

– Datacrédito y CIFIN.

– Sistema Nacional de Seguridad Social.

– Fasecolda.

– Reality shows.

– Secreto profesional (Periodistas, Médico, Abogados, Sacerdotes…)

– Establecimientos educativos.

– Establecimientos comerciales.

…LA CLAVE ES EL CONSENTIMIENTO DEL TITULAR DE LOS DATOS

¿Cual derecho debe prevalecer?

Marco jurídico

Derecho al hábeas data:

Facultad que tiene toda persona a conocer, actualizar y rectificar la información que sobre ella se haya recogido en archivos y bancos de datos de naturaleza pública o privada.

(Sentencia C-1011/08)

Artículo 15 de la Constitución Política:

“Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas” .

Marco jurídico(Hacer clic sobre cada figura)

•Ley 79 de 1993– Bases de datos del DANE.

•Ley 1266 de 2008– Protección de datos financieros e información crediticia.

•Ley 1273 de 2009– Delitos informáticos.

•Ley 1581 de 2012– Desarrollo general del habeas data.

Ley 1266 - Aspectos relevantes :

El reporte de la información negativa a los operadores sólo procede previa comunicación al titular y una vez transcurridos veinte (20) días calendario después del envío de la comunicación.

La “información positiva” permanecerá de manera indefinida.

La “información negativa” permanecerá el doble de la mora si esta es inferior a dos (2) años y máximo cuatro (4) años si la mora es superior. El tiempo se cuenta desde la puesta al día o la cancelación de la

obligación. Igualmente se mantendrá por cuatro (4) años después de que la obligación se extinga por cualquier modo. Ej.: prescripción, compensación, novación, confusión, etc.

Ley 1581 de 2012Aplica a todas las bases de datos, excepto a:

Bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico

Bases de datos que tienen por finalidad la seguridad y defensa nacional y la prevención y control del lavado de activos y financiamiento del terrorismo.

Bases de datos de inteligencia y contrainteligencia.

Bases de datos y archivos periodísticos y otros contenidos editoriales.

Bases de datos reguladas por la Ley 1266 de 2008 .

Bases de datos del DANE.

Consultas - Reclamos - Quejas:

Las consultas pueden ser verbales, por escrito o por cualquier canal de comunicación. Deben resolverse “de fondo” máximo dentro de los diez (10) días hábiles siguientes, prorrogables por otros cinco (5) días.

Los reclamos deben presentarse por escrito y debidamente soportados.

Deben resolverse dentro de los quince (15) días hábiles siguientes, prorrogables por otros ocho (8) días.

Agotados los procedimientos anteriores puede acudirse en queja ante la Superintendencia respectiva.

Nada de lo anterior excluye el derecho de acudir a la Acción de Tutela.

Vigilancia y sancionesLey 1266 de 2008

La Superintendencia de Industria y Comercio y la Superintendencia Financiera son las entidades competentes para la vigilancia y podrán imponer las siguientes sanciones:

Multas hasta por un monto de 1.500 smmlv.

Suspensión de las actividades de los bancos de datos, hasta por un término de 6 meses.

Cierre o clausura de operaciones del banco de datos, cuando se incumpla lo que se impuso con la suspensión temporal.

Cierre inmediato y definitivo cuando el banco de datos administra datos prohibidos.

Ley 1581 de 2012

La Superintendencia de Industria y Comercio es la competente para la vigilancia, y puede imponer las siguientes sanciones:

Multas de carácter personal e institucional hasta por 2000 SMLMV.

Suspensión de actividades relacionadas con el tratamiento hasta por 6 meses y obligación de aplicar correctivos.

Cierre temporal de las operaciones si no se adoptan los correctivos.

Cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.

Estadísticas de la SIC :

Estadísticas de la SIC :

LEY 1273 DE 2009(Ley de delitos informáticos)

ARTÍCULO 269-B.

OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA

INFORMÁTICO O RED DE TELECOMUNICACIÓN.

El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos

informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa

de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor.

ARTÍCULO 269-C.

INTERCEPTACIÓN DE DATOS INFORMÁTICOS.

El que, sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema informático que los transporte, incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses.

ARTÍCULO 269-D.

DAÑO INFORMÁTICO.

El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.

ARTÍCULO 269-F.

VIOLACIÓN DE DATOS PERSONALES.

El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

ARTÍCULO 269-G.

SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS

PERSONALES.

El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave.

En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave.

La pena señalada en los dos incisos anteriores se agravará de una tercera parte a la mitad, si para consumarlo el agente ha reclutado víctimas en la cadena del delito.

(*) ARTICULO 239. HURTO.

El que se apodere de una cosa mueble ajena, con el propósito de obtener provecho para sí o para otro, incurrirá en prisión de treinta y dos (32) a ciento ocho (108) meses.

La pena será de prisión de dieciséis (16) a treinta y seis (36) meses cuando la cuantía no exceda de diez (10) salarios mínimos legales mensuales vigentes.

ARTÍCULO 269-I.

HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES.

El que, superando medidas de seguridad informáticas, realice la conducta señalada en el artículo 239 (*) manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticación y de autorización establecidos, incurrirá en las penas señaladas en el artículo 240 de este Código. (6 a 14 años)

ARTÍCULO 269J.

TRANSFERENCIA NO CONSENTIDA DE ACTIVOS.

El que, con ánimo de lucro y valiéndose de algunamanipulación informática o artificio semejante, consiga latransferencia no consentida de cualquier activo en perjuicio deun tercero, siempre que la conducta no constituya delitosancionado con pena más grave, incurrirá en pena de prisión decuarenta y ocho (48) a ciento veinte (120) meses y en multa de200 a 1.500 salarios mínimos legales mensuales vigentes.

La misma sanción se le impondrá a quien fabrique, introduzca,posea o facilite programa de computador destinado a lacomisión del delito descrito en el inciso anterior, o de una estafa.

Si la conducta descrita en los dos incisos anteriores tuviere unacuantía superior a 200 salarios mínimos legales mensuales, lasanción allí señalada se incrementará en la mitad.

Referencias:http://www.sic.gov.co

http://www.superfinanciera.gov.co

http://www.datacredito.com.co

http://www.asobancaria.com

http://www.habeasdata.org.co

28 de enero, día internacional de la protección de datos personales

El Consejo de Europa, con el apoyo de la Comisión Europea, estableció esta fecha en homenaje al Convenio 108 de 1981del Consejo de Europa, sobre protección al tratamiento automatizados de datos personales.