Ley 1581 (Habeas Data). Guía de 7 pasos para su implementación

Existen muchas dudas sobre la implementación de la Ley 1581 de protección de datos personales en Colombia, por ello hemos desarrollado la siguiente guía explicativa de 7 pasos para que puedas ponerte al día lo antes posible.

Es importante mencionar que si bien el decreto 1115 del 29 de junio de 2017 amplió el plazo de registro Nacional (RNBD), la ley 1581 es vigente desde el 2012, por lo tanto, en este momento las empresas deberían estar cumpliendo estos 7 pasos:

Paso 1. Lo más importante para la implementación de la Ley 1581 es la sensibilización de la alta dirección, la cual es el principal apoyo para construir un programa de protección de datos personales, tal como lo establece el principio de responsabilidad demostrada suministrado por la Superintendencia de Industria y Comercio (SIC). Es en este punto donde se definen los recursos, las responsabilidades y se establece la cultura para la protección de datos personales.

PD: Las compañías deben realizar lo necesario para que les permita evidenciar el compromiso de la alta dirección con la implementación de un programa de protección de datos personales (Ej. Actas de junta directiva, comités gerenciales, formalización de responsabilidades, asignación del oficial de protección de datos personales, asignación de partidas presupuestales, etc.).

Paso 2. La identificación de bases de datos con información personal y la correcta clasificación de los datos que ahí se gestionan juegan un papel importante para la construcción del programa de protección de datos personales, para esta tarea recomendamos realizar un recorrido por los procesos de negocio de la compañía validando la información personal que procesan.

Para cada base de datos identificada recomendamos evaluar el ciclo de vida del dato: (¿Cómo recolecto los datos?, ¿Qué tratamiento le doy a los datos?, ¿Dónde almacenos los datos?, ¿Realizo intercambio interno o divulgación de los datos personales?, ¿Cuánto tiempo retengo o elimino los datos?). Lo anterior permitirá tener un universo de bases de datos, las cuales deberán ser analizadas con el objeto simplificar el registro nacional de base de datos (RNDB).

PD: Las bases de datos pueden ser tanto físicas como digitales y no necesariamente la base de datos que identifique tiene un único comportamiento dentro del ciclo de vida del dato.

Paso 3. Una vez identificadas las bases de datos es necesario realizar un análisis de riesgos e identificar los controles asociados a estos, en caso de ser requerido se deben establecer nuevos controles o modificar los actuales para fortalecer la mitigación de riesgos identificados.

PD: Los controles deben ser generales, como el establecimiento de una política de seguridad, o específicos, como lograr el aseguramiento de un archivo digital o de un repositorio de información física.

Paso 4. Para cada base de datos es importante solicitar las autorizaciones de los titulares manifestándoles de forma expresa la finalidad del tratamiento para el cual se está pidiendo la autorización, estas finalidades deben ser informadas mediante políticas y avisos de privacidad tal como lo expone el decreto 1377 del 2013.

PD: Lograr la autorización puede llegar a ser lo más complejo dentro de este proceso, sin ésta no deberíamos estar realizando tratamiento de información personal y más aún, cuando el tratamiento tiene involucrada información considerada sensible.

Paso 5. Es importante establecer uno o varios canales que faciliten la atención de requerimientos o quejas por parte de los titulares. En Colombia el mayor número de multas son debido a que los titulares no han tenido una respuesta sobre las peticiones y quejas en relación a protección de datos personales.

PD: Se recomienda establecer un canal sencillo y que llegue al oficial de protección de datos personales, quien será el responsable de entregar una respuesta oportuna al titular. Estos canales deben ser informados a los titulares mediante la política y avisos de privacidad.

Paso 6. Según la Guía de implementación del principio de responsabilidad demostrada (Accountability) de la SIC, es importante la implementación de un programa de protección de datos personales que facilite la mejora continua mediante la evaluación periódica y el fortalecimiento del ambiente de control de las organizaciones en relación a datos personales.

PD: Al implementar un programa de protección de datos personales, las compañías podrán velar por mantener en el tiempo los controles implementados en el programa, evitando posibles sanciones o litigios.

Paso 7. Formar y educar para proteger la información personal, la cual consideramos debe ser efectuada en dos vías; una para toda la organización con información general y otra, para todos los involucrados dentro del ciclo de vida del dato con información específica de su responsabilidad dentro del programa.

PD: La clave para el éxito de un programa de protección de datos personales está en la sensibilización y entrenamiento que logramos trasmitir, adicionalmente es un punto clave de evaluación por parte de la SIC.

Con estos 7 pasos queremos ayudar a las organizaciones para la implementación de medidas enfocadas en el cumplimento regulatorio y al mejoramiento del control interno.


Si necesitas una asesoría personalizada para cumplir con esta normatividad haz clic aquí.

WhatsApp