Tracción

Ley de protección de datos y por qué deberías aplicarla en tu startup

Camilo Gómez

Camilo Gómez

Corporate Lawyer - CEO Phylo Legal

Marcela Jaimes Villada

Marcela Jaimes Villada

Especialista en Innovación Legal, y Intellectual Property and Information Technology Law.

La protección de datos personales o Ley habeas data, es un requerimiento legal que obliga a todas las empresas a cuidar la información de datos personales almacenada o registrada en bases de datos o archivos de tu empresa. Ya sea de tus clientes, empleados o proveedores.

 

La implementación correcta de esta Ley en tus sistemas de gestión te ayudará no solo a evitar sanciones, sino a proteger la información de tus clientes, y conservarla bajo las medidas de seguridad adecuadas. Adicionalmente, le estás creando valor y confianza a tu empresa.

 

La protección de datos personales en Colombia está regulada en la Ley 1581 de 2012, y aplica para todas las empresas constituidas que hacen tratamiento de datos para su modelo de negocio.

 

En este artículo te hablaremos de la importancia del habeas data, como se hace la implementación de un buen sistema de gestión en materia de protección de datos personales, sus ventajas y que riesgos y sanciones puede acarrear el incumplimiento a los lineamientos en materia de datos personales en Colombia.

 

 

Vamos al grano.

Como surge la ley de protección de datos en Colombia

Desde el punto de vista estructural y el legal, definamos las diferencias entre ambas líneas de negocio:

 

Es una tienda virtual que vende sus propios productos o servicios y los comercializa por medios digitales donde el mismo es el productor y en algunos casos el propio distribuidor, podemos ver ejemplos como Nike, o en Colombia la marca de ropa Mattelsa. Por lo general tienen un vínculo directo con su cliente final y monetizan por las ventas que se genere dentro de la plataforma. Además, por lo general los ecommerce tienen un modelo de negocio B2C, aunque en algunos casos también puede llegar a ser B2B.

¿Y qué es HABEAS DATA?

Podemos definir este concepto como la capacidad del usuario de conocer la información que existe sobre su persona para determinar la divulgación y poder solicitar su eliminación o corrección si fuese falsa o esté desactualizada.

Que se considera como un dato personal

Según la Superintendencia de Industria y Comercio se considera un dato personal cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica. Los datos personales pueden ser públicos, semiprivados o privados.

El dato semiprivado es aquel que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no solo a su titular, sino a cierto sector, personas o a la sociedad en general, como el dato financiero y crediticio.

 

El dato privado es el dato que por su naturaleza íntima o reservada solo es relevante para el titular.

Que se considera tratamiento de datos personales

Cuando hablamos de tratamiento de datos personales, nos referimos a cualquier operación o conjunto de operaciones sobre Datos Personales que realice tu empresa, tales como la recolección, almacenamiento, uso, circulación o supresión.

 

Existen 9 principios que deben respetar las empresas para estar conformes a la Ley General de Protección de Datos Personales en Colombia al momento de tratar información de los titulares. 

Aunque es un tema extenso y con ciertas especificaciones técnicas en las que te aconsejamos, te asesores de un experto en derecho digital, derecho de protección de datos o derecho comparado, te contamos cuáles son estos principios:

Legalidad, finalidad, libertad, veracidad, transparencia, acceso y circulación restringida, seguridad, confidencialidad, y responsabilidad demostrada.

Te explicamos en este artículo los 7 principios del GDPR y sus características básicas.

¿Qué aspectos debo tener en cuenta si soy una startup y quiero cumplir con el Habeas data?

Alista tu lápiz para chequear esta lista. 

Habeas data colombia

AUTORIZACIONES

 

  • Cuentas con una autorización informada, expresa y previa para tratar datos personales de proveedores, clientes, trabajadores, accionistas, terceros y aspirantes en procesos de selección (y de todo titular de información).
  • Autorización informada, expresa y previa para recolectar datos personales SENSIBLES. Donde se le indica al titular las finalidades del tratamiento, y que por ser información sensible no está obligado a autorizar su tratamiento.
  • Autorización informada, expresa y previa para recolectar datos personales de menores de edad.

 

 

FINALIDADES

 

  • Llevas un listado de las finalidades del tratamiento de datos personales que realiza.

BASES DE DATOS

 

  • Clasificación e inventario de las bases de datos físicas y digitales que administras. Incluyendo las finalidades de cada una, medio de conservación, tipo de datos, y qué áreas son responsables de cada base de datos.


AVISOS DE PRIVACIDAD

 

  • En caso de tener sitio web, ¿Cuentas con un aviso de privacidad?
  • Videovigilancia ¿Has implementado avisos de privacidad para las áreas donde se realice tratamiento de imágenes, y video?

POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES

 

  • Política de Protección de Datos Personales con un lenguaje claro, y sencillo; y puesta a disposición de los titulares.
  • Si cuenta con una política de tratamiento de datos personales. ¿La misma se encuentra publicada y divulgada a través de canales idóneos?

En nuestro artículo 5 razones para tener Política de privacidad de datos en tu web, te explicamos en detalle sobre este tema

CANALES DE ATENCIÓN

 

 

  • Canales de atención idóneos y disponibles al titular para el ejercicio del derecho de establecer consultas, quejas y reclamos.
  • ¿Cuentas con un protocolo interno para la atención de consultas, quejas y reclamos?
  • ¿Cuentas con un protocolo externo para la atención de consultas, quejas y reclamos

CONTRATOS Y RIT

 

  • El reglamento interno de trabajo de tu empresa se encuentra actualizado integralmente de acuerdo con el Régimen General de Habeas Data.
  • Además de las autorizaciones para el tratamiento de sus datos personales; dentro de los contratos suscritos con tus empleados/colaboradores se encuentran inmersas cláusulas de confidencialidad, y acuerdos de cumplimientos de las políticas internas. 
  • Tu empresa tiene normalizados con cláusulas especiales todos sus contratos celebrados con personas naturales y jurídicas, de acuerdo con el Régimen General de Habeas Data y dependiendo del tipo de relación contractual.

REGISTRO NACIONAL DE BASES DE DATOS

 

  • En caso de estar obligado, realiza el registro de las bases de datos ante el RNBD de la Superintendencia de Industria y Comercio.
  • Realiza el registro de las actualizaciones de las bases de datos que fueron registradas en la plataforma de la SIC.
  • Reporta los incidentes de seguridad a la Superintendencia de Industria y Comercio.

SEGURIDAD DE LA INFORMACIÓN

 

  • ¿Cuentas con una Política de Seguridad de la Información?
  • ¿Cuentas con un programa de administración de riesgos? El cual te permite identificar, medir, controlar, y monitorear aquellos hechos y/o situaciones que pueden incidir en la administración del riesgo a que están expuestos los datos personales.
  • ¿Cuentas con un manual de procesos para la gestión de incidentes de seguridad?

TRANSFERENCIA Y TRANSMISIÓN DE DATOS PERSONALES

 

  • En caso de celebrar transmisión y/o transferencia de datos personales; ¿Cuentas con un contrato de Transferencia de datos personales?
  • ¿Cuentas con un contrato para realizar transmisión de datos personales con terceros?
  • Dentro de los contratos con encargados, se incluyen cláusulas de confidencialidad.

ACCOUNTABILITY*

 

 

  • Oficial de protección de datos personales debidamente designado y con manual de funciones
  • Programa de capacitaciones para empleados y contratistas de la organización.
  • Tiene un plan de auditorias de verificación y cumplimiento del Sistema de Gestión integral de datos personales y seguridad de la información
  • Tiene un plan de supervisión y revisión anual del Programa Integral de Datos Personales
  • ¿Tiene documentado las jornadas periódicas de capacitación con el personal?
  • ¿Tiene documentado los resultados de las auditorias de verificación y cumplimiento? 
  • ¿Tiene un Manual Interno de Protección de datos personales?
  • Se conserva evidencia sobre la implementación efectiva de las políticas establecidas en materia de protección de datos personales.
  • Se cuenta con políticas y procedimientos debidamente documentados e implementadas que incluyan las obligaciones sentadas por la Ley de Protección de Datos Personales y se dan a conocer a todos los colaboradores de la Entidad.
  • La página web o perfil en redes sociales de la empresa se encuentra actualizada íntegramente de acuerdo con el Régimen General de Habeas Data (autorización, política, aviso de privacidad).
  • En caso de hacer uso de cookies en su portal web, ¿Cuenta con una política para uso de cookies?

¿Cómo te fue con el checklist? 

 

Sabemos que son muchos puntos por tener en cuenta para cumplir con una política completa de habeas data, pero si tienes un sitio web o una aplicación y tu modelo de negocio funciona también basado en la recopilación de datos personales de usuarios, y que diariamente manejas y almacenas datos de tus usuarios y que dicha base crece mes a mes,  es sin duda una necesidad y responsabilidad de tu empresa tener en cuenta todos estos principios parta evitar problemas futuros no solo con las entidades reguladoras, también con tus usuarios y con tus colaboradores,

 

Los ciudadanos se han apropiado de la importancia del manejo de sus datos y la seguridad de los mismos, por lo tanto, las empresas deben ser proactivas en el cumplimiento de las normas de protección de datos y en la salvaguarda de la información, es importante que no actuar simplemente de manera reactiva ante la presentación de quejas, apertura de investigaciones o sanciones; las empresas deben actuar garantizando la efectividad de los derechos de los titulares de los datos en todo momento.

 

 

Nuestro consejo es que entre más pronto inicies este proceso en etapas tempranas de tu startup será mejor, iniciando por la seguridad, el almacenaje de dichas bases de datos y empezar a implementar, según la robustez de dicha base, todos los principios del sistema de gestión de datos personales en Habeas Data.


En Phylo contamos con cracks en derecho de la protección de los datos, que te pueden asesorar en el proceso, no dudes en pedir una sesión gratuita de 30 min con uno de nuestros expertos. 

¡Espera!

No te vayas

¿Ya conoces la escuela legal de Phylo?