Colombia Publica Ley Estatutaria No. 1581 sobre Protección de Datos

El pasado 17 de Octubre de 2012, el Congreso de Colombia publicó la Ley Estatuaria No. 1581 por la cual se dictan disposiciones generales para la protección de datos personales. Esta ley consta de 30 artículos divididos en diez Títulos.  El primer Título “Objeto, Ámbito de Aplicación y Definiciones” consta de los Arts. 1º.  a 3º.  El Artículo 1º señala que el objeto de esta ley es desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos, libertades y garantías constitucionales a que se refiere el Artículo 15 de la Constitución Política, así como el derecho a la información consagrado en el Artículo 20 de la Constitución Colombiana. El Artículo 2º. regula el ámbito de aplicación de esta ley señalando que los principios y disposiciones contenidas en la ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptible de tratamiento por entidades de naturaleza pública o privada. El segundo párrafo de dicho Artículo señala que la ley aplicará al tratamiento de datos personales efectuado en territorio colombiano o cuando el Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio nacional les sea aplicable la legislación colombiana en virtud de normas y tratados internacionales. Este mismo Artículo prevé cinco excepciones del alcance de la aplicación de este ordenamiento en materia de protección de datos personales. (i) a las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o domestico; (ii) a las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control de lavado de activos y el financiamiento del terrorismo; (iii) a las bases de datos que tengan como fin y que contengan información de inteligencia y contrainteligencia; (iv) a las bases de datos de archivos e información periodística y otro contenidos editoriales; (v) a las bases de datos y archivos regulados por la Ley 1,266 de 2008; y (vi) a las bases de datos y archivos regulados por la Ley 79 de 1993. El Artículo 3º. contiene una lista con siete definiciones.

El Título II Principios Rectores (Artículo 4) contiene los principios rectores para el tratamiento de datos personales, siendo estos: (a) principio de legalidad en materia de tratamiento de datos; (b) principio de finalidad; (c) principio de libertad; (d) principio de veracidad y calidad; (e) principio de transferencia; (f) principio de acceso y circulación restringida; (g) principio de seguridad; (h) principio de confidencialidad.

El Título III Categorías Especiales de Datos (Artículos 5 a 7). El Artículo 5º. trata sobre los datos sensibles; el Artículo 6º. habla sobre las condiciones del tratamiento de los datos sensibles; y el Artículo 7º sobre los derechos de los niños, niñas y adolescentes.

El Título IV Derechos y Condiciones de Legalidad para el Tratamiento de los Datos Personales (Artículos 8 a 13) describe los derechos de los titulares de datos, el consentimiento y autorización del titular, los supuestos en los que no es necesaria la autorización, la forma en la que se puede suministrar información, obligaciones de informar al titular sobre el tratamiento de datos personales y las personas a las cuales se les puede suministrar la información.

El Título V Procedimientos (Artículos 14 a 16). El Artículo 14 señala que los titulares o causahabientes podrán consultar la información personal del titular que se encuentre en cualquier base de datos sea esta del sector público o privado, así como los plazos y condiciones para hacerlo. El Artículo 15 trata sobre la forma en la que pueden presentare reclamos cuando el titular o sus causahabientes consideren que la información contenida en un base de datos debe ser objeto de corrección, actualización o supresión. El Artículo 16 señala que la queja solo podrá presentarse ante la Superintendencia de Industria y Comercio una vez agotado el trámite de consulta o reclamo ante el Responsable de tratamiento o Encargado de tratamiento.

El Título VI Deberes de los Responsables del Tratamiento y Encargados del Tratamiento (Artículos 17 y 18) describe las obligaciones y deberes de ambas partes en el tratamiento de datos personales.

El Título VII sobre los Mecanismos de Vigilancia y Sanción contiene seis artículos divididos en 3 distintos capítulos. Capítulo 1 (Artículos 19-21). El Artículo 19 señala que la Superintendencia de Industria y Comercio, a través de una Delegatura para Proteccion de Datos Personales ejercerá la vigilancia para garantizar que en el tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la Ley. El Artículo 20 habla sobre los recursos para el ejercicio de funciones de la Superintendencia y el Artículo 21 sobre las funciones que podrá ejercer dicha Superintendencia de Industria y Comercio en materia de protección de datos personales.

El Capítulo 2 (Artículos 22-24) describe la forma en la que la Superintendencia de Industria y Comercio podrá adoptar e imponer sanciones a los Responsables del Tratamiento y Encargados del Tratamiento, así como los criterios para graduar las sanciones.

El Capítulo 3 (Artículo 25) habla sobre la operación y administración del Registro Nacional de Bases de Datos por parte de la Superintendencia de Industria y Comercio.

El Título VIII Transferencia de Datos a Terceros Países (Artículo 26) prohíbe la transferencia de datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos. Los estándares de adecuación serán fijados por la Superintendencia de Industria y Comercio sobre la materia los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios. Ese Artículo establece algunas excepciones, específicamente cuando se trate de: (a) información respecto de la cual el titular haya otorgado su autorización expresa e inequívoca para la transferencia; (b) intercambio de datos de carácter médico, cuando así lo exija el tratamiento del titular por razones de salud e higiene pública; (c) transferencias bancarias o bursátiles; (d) transferencias acordadas en el marco de tratados internacionales en los cuales Colombia sea parte; (e) transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable de Tratamiento o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del titular; (f) transferencias legalmente exigidas para la salvaguardia del interés público o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

El Título IX Otras Disposiciones (Artículos 27 a 30). El Artículo 27 establece que el Gobierno Nacional expedirá la Reglamentación correspondiente sobre Normas Corporativas Vinculantes para la certificación de buenas practicas en protección de datos personales y su transferencia a terceros países. El Artículo 28 establece un plazo de seis meses para que las personas puedan adecuarse a las disposiciones previstas en la Ley. El Artículo 29 deroga todas las disposiciones que le sean contrarias a excepción de aquellas previstas en el Artículo segundo de la ley.

El documento que contiene la Ley Estatuaria No. 1581 por la cual se dictan disposiciones generales para la protección de datos personales, así como la sentencia de la Corte Constitucional C-748 de 2011 que contiene la opinión constitucional del Proyecto de Ley Estatutaria No. 184 de 2010 Senado; 046 de 2010 Cámara “por la cual se dictan disposiciones generales para la protección de datos” (301 páginas) se encuentra en el siguiente vínculo.