La protección de datos de los ciudadanos que están en las bases de las entidades públicas y privadas cuentan con nueva regulación, que según la Superintendencia de Industria y Comercio, busca que los titulares de información ejerzan su derecho a conocer, actualizar, rectificar y suprimir los datos personales almacenados en bases de datos y archivos, mediante las consultas y reclamos ante las entidades y las quejas ante la Superintendencia.
Esta nueva norma es la Ley 1581 de 2012, que se aprobó hace dos meses. NEGOCIOS, con el apoyo del Superintendente de Industria, Pablo Felipe Robledo, explica los puntos principales de la Ley. La Superintendencia aclara que la nueva norma no deroga la Ley 1266 de 2008, que se creó de manera exclusiva para la información financiera.
1. ¿Qué regula la nueva ley de habeas data?
Habla sobre el Régimen General de Protección de Datos Personales. Básicamente esta nueva ley regula el derecho fundamental a conocer, actualizar, rectificar y suprimir los datos personales recogidos en bases de datos y archivos públicos y privados.
2. ¿Cuáles son los cambios con respecto a las normas anteriores?
* En materia de protección de datos personales, Colombia contaba desde el 2008 con la Ley 1266, que hacía énfasis exclusivamente en la protección de datos de carácter financiero y comercial, reportados en las llamadas centrales de riesgo.
* Con la expedición de la Ley 1581 de 2012 se estableció el marco general aplicable a todas las bases de datos de entidades públicas y privadas que almacenen y utilicen datos personales.
* La ley contempla algunas excepciones y, en esa medida, la norma no se aplica a las bases de datos que se mantienen en un ámbito doméstico, las de seguridad nacional, las de inteligencia, contrainteligencia, las de contenido periodístico y de censos, así como las reguladas por la Ley 1266 de 2008 (información financiera).
* La norma previó la inclusión de las anteriores excepciones para balancear los posibles conflictos que se pueden presentar entre derechos. Así, la protección de los datos personales debe ceder en algunas ocasiones ante la libertad de expresión, o la protección del orden público.
3. ¿Cuáles son los derechos y deberes de los ciudadanos según la norma?
* Los titulares de la información tienen derecho a conocer, actualizar y rectificar sus datos personales, solicitar pruebas de la autorización, ser informados respecto del uso de los datos, presentar quejas ante la Superintendencia de Industria y Comercio, revocar la autorización y/o solicitar la supresión de los datos, y acceder en forma gratuita a sus datos personales.
* El titular puede consultar ante la entidad el tratamiento de la información personal y esta deberá atender las consultas en un término máximo de 10 días hábiles. En caso de no poder hacerlo, le informarán a quien hace la petición los motivos de la demora y la fecha en que darán respuesta. El segundo plazo no podrá superar los cinco días hábiles siguientes al vencimiento del límite inicial.
* Puede presentar reclamos para que se corrija, actualice o suprima la información contenida en dichas bases de datos, los cuales deberán atenderse dentro los 15 días hábiles siguientes o dentro de los ocho días hábiles siguientes al vencimiento del primer término, si se le informa de manera oportuna al ciudadano.
* Si después de presentar la consulta o el reclamo el titular está inconforme con la respuesta podrá formular una queja ante la Superintendencia de Industria y Comercio.
4. ¿Qué tienen que saber las entidades y cuáles son sus responsabilidades y derechos?
La norma establece dos categorías especiales de datos previstas en la nueva ley:
A. Los sensibles, que afectan la intimidad de las personas o que por su uso indebido puede generar discriminación (origen racial o étnico, orientación política, convicciones filosóficas o religiosas, pertenencia a sindicatos u organizaciones sociales o de derechos humanos, datos de salud, de la vida sexual y datos biométricos).
B. Los datos personales de los niños, niñas y adolescentes, que deberán ser administrados de forma muy estricta para que no se comentan abusos en su contra.
*En términos generales, el tratamiento de datos que pueda afectar la intimidad de la persona está prohibido. Sin embargo, esta prohibición no es absoluta y la misma ley permite algunas excepciones: los datos podrán ser usados cuando su titular lo haya autorizado de forma explícita, cuando el uso de los datos se vaya a hacer para atender una urgencia médica, en procesos judiciales o con fines estadísticos siempre y cuando se adopten las medidas necesarias para suprimir la identidad de los titulares.
*Igualmente, la ley prohibía el tratamiento de datos personales de menores de edad, salvo aquellos datos públicos. No obstante, la Corte Constitucional precisó que esa prohibición debía interpretarse de forma tal que los tratamientos de información de los menores fueran hechos para fines que tengan en cuenta los intereses del menor y cuando no exista un riesgo de afectación de sus derechos fundamentales.
* Es muy importante tener en cuenta que la autorización otorgada por los ciudadanos para tratar los datos debe ser previa a su uso, y que se le debe informar al titular para qué serán usados.
* Adicionalmente, quien recolecte datos de los ciudadanos deberá conservar la copia de la autorización en cualquier medio que permita su consulta posterior.
* En todo caso, siempre se debe informar al ciudadano sobre el tratamiento que se dará a sus datos y la finalidad de dicho tratamiento.
Sobre la información financiera
La Ley 1266 de 2008 sigue vigente para los datos personales financieros, crediticios, comerciales y de servicios registrados en un banco de datos.
¿Cómo puede actualizar o rectificar su información contenida en una central de riesgo?
* Cuando usted, en su calidad de titular de la información, considere que sus datos publicados no son veraces, no están completos, no están actualizados o no son comprobables, puede acudir ante la fuente (la entidad que realiza el reporte ante la central de riesgos) o directamente ante la central de riesgos, explicando las razones por las cuales considera que deben ser rectificados, actualizados o eliminados.
* Si considera que la respuesta proporcionada a su reclamo no es suficiente o si éste no es respondido dentro de los términos legales, podrá acudir a la Delegatura de Protección de Datos Personales para que se dé trámite a su reclamación.
¿Lo pueden reportar ante una central de riesgo sin que haya otorgado su autorización?
La autorización dada por el titular de la información es esencial para que se puedan reportar sus datos personales ante las centrales de riesgo. Sin ésta, la información personal debe ser eliminada de inmediato sin perjuicio de que se pueda volver a reportar cuando se acredite el cumplimiento de los requisitos legales.
La autorización de reporte debe haber sido otorgada por el ciudadano antes de que se efectúe el tratamiento sin que medie ninguna presión y debe existir constancia por algún medio sobre su otorgamiento.
¿Quiénes pueden consultar sus datos en una historia crediticia?
* El ciudadano titular, las entidades autorizadas por usted y sus causahabientes.
* De igual forma podrán consultar su historia crediticia los usuarios de la información (entidades financieras, empresas de telecomunicaciones y entidades crediticias) al momento de solicitar productos o servicios.
* Finalmente, podrán consultar su información las autoridades judiciales mediando una orden, las entidades públicas del orden ejecutivo en cumplimiento de sus funciones, los órganos de control e investigación disciplinaria, fiscal o administrativa, y otros operadores de datos (cuando se cuente con autorización del titular).
¿Ante quiénes se interpone una queja si se cree que los datos que hay en centrales son errados?
* Primero ante el operador de la información (central de riesgo) o a la fuente (persona, entidad u organización que reporta la información al operador). En los dos casos, el término máximo para que le contesten su reclamo es de 15 días hábiles.
* Cuando no le den respuesta dentro de este término o usted no esté de acuerdo con la respuesta, podrá acudir a la Superintendencia de Industria y Comercio. Tenga en cuenta que si su reclamo se dirige contra una entidad vigilada por la Superintendencia Financiera de Colombia, deberá tramitar su reclamo directamente ante esa entidad.
* Recuerde que para tramitar su reclamo ante la Superintendencia deberá acreditar que presentó una reclamación previa ante el operador o la fuente y que ésta no fue resuelta en término o fue desfavorable.
* Para el efecto deberá allegar copia de la reclamación con constancia de radicación, copia de la respuesta suministrada si la hubiere o la afirmación de que ésta no fue contestada en término o favorablemente.
* De igual forma, usted puede presentar consultas ante los operadores de la información con el ánimo de conocer la información que reposa en los bancos de datos.
¿Una vez pague la deuda, cuánto tiempo puede permanecer la información negativa?
* Si el periodo en el que usted permaneció en mora fue de 1 a 24 meses, la información se mantendrá en la base de datos el doble del tiempo del periodo de la mora, contados a partir de la extinción de la obligación. Por ejemplo, si presentó una mora de 6 meses, la información negativa permanecerá 12 meses más, contados a partir del momento en que se realice el pago de la deuda.
* Si por el contrario la mora fue mayor a 24 meses, el reporte negativo deberá permanecer un término de 4 años, contados igualmente desde el momento de realizar el pago o se extingue la obligación por cualquier motivo.
* Cuando no son respetados estos tiempos de permanencia, ya sea porque la fuente no reportó el pago de la obligación a tiempo o porque el operador no eliminó el reporte negativo en el término establecido, usted podrá hacer valer el derecho de Habeas Data ante la Superintendencia.
El dato
La ley 1581 del 2012 prevé un régimen de transición de seis meses para adecuarse a las disposiciones que están en ella.
