hoja de ruta para la adecuación de bases de datos a las normas de

Anuncio
2014
HOJA DE RUTA PARA LA ADECUACIÓN DE BASES DE DATOS A
LAS NORMAS DE PROTECCIÓN DE DATOS PERSONALES
Programa Nacional de Servicio al Ciudadano (PNSC)
INTRODUCCIÓN A LA HOJA DE RUTA
Desde hace varios años, ha venido consolidándose a nivel mundial un campo del derecho que se propone
la protección de todos los ciudadanos cuyos datos personales son objeto de algún tipo de utilización a
través de bases de datos. El surgimiento de la informática, capaz de administrar y transformar información
personal de forma masiva y veloz, aumentó la preocupación de los países y de las organizaciones
internacionales sobre esta materia, lo que llevó a la construcción generalizada de marcos jurídicos de
protección de datos.
Hoy en día, existen unas reglas universales que buscan asegurar que los datos reservados o íntimos no
caigan en manos de terceros sin contar con la previa, expresa y libre autorización otorgada por el titular
de la información. De igual forma existen muchas previsiones que se orientan a exigir condiciones
mínimas de seguridad y confidencialidad de las entidades o empresas que administran bases de datos en
las que se encuentren incorporados datos personales de los ciudadanos- titulares de la información. Una
de las preocupaciones más elevadas es que las bases de datos puedan ser usadas para discriminar a los
ciudadanos- titulares o para crear perfiles que puedan provocar decisiones adversas e ilegítimas de parte
de los servidores que tienen acceso a dicha información.
El momento que actualmente se vive a nivel mundial, no podría ser más demostrativo de la importancia
que tiene el que los Estados expidan regulaciones especializadas relacionadas con la privacidad y la
protección de los datos personales. Se observa entonces que los distintos sistemas de protección de los
derechos, tanto el universal, como los regionales instan a los Estados a establecer dentro de sus
ordenamientos unos principios mínimos que han de regir el manejo de la información de datos, y por
tanto, la interpretación de las directrices debe hacerse de conformidad con estos estándares de
protección.
1.
MARCO NORMATIVO A TENER EN CUENTA
El artículo 15 de la Constitución Política, en el capítulo de Derechos Fundamentales, consagra los
derechos de todas las personas a conservar su intimidad, mantener su buen nombre y a la
protección y garantía de su derecho al Habeas Data. A partir de lo anterior, se colige que, desde
un inicio, la protección de la privacidad de los datos personales se encuentra íntimamente
relacionada con el derecho a la intimidad y al buen nombre.
Así, es preciso resaltar que con el fin de desarrollar el derecho al Habeas Data, se han
incorporado al ordenamiento jurídico Colombiano distintas normas que propenden por la buena
administración de la información personal, comercial y financiera de los ciudadanos- titulares,
dentro de las cuales se encuentran la Ley 1266 de 2008, la Ley 1581 de 2011 y el Decreto 1377
de 2013.
1.1.
La Ley 1266 de 2008
La Ley 1266 de 2008 tiene por objeto desarrollar el derecho constitucional que tienen todas las
personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en
Bancos de Datos, y los demás derechos, libertades y garantías constitucionales relacionadas con
la recolección, tratamiento y circulación de datos personales a que se refiere el artículo 15 de la
Constitución Política, particularmente en relación con la información financiera, crediticia,
comercial, de servicios y la proveniente de terceros países.
No se trata, entonces, de una regulación etérea o intangible, sino por el contrario de un marco
regulatorio que responde a la necesidad de normativizar el día a día de los negocios comerciales.
Vale la pena resaltar que siempre que una persona se acerque a una entidad financiera a solicitar
un crédito, o cualquier otro servicio, se le solicita brindar una gran cantidad de información
relacionada con su estado financiero, o sobre la existencia de otros productos de crédito que
hubiere solicitado, y referencias comerciales y personales, entre otras.
Así, entre más datos se obtengan, y entre mejor calidad refleje tal información, se determina una
mejor valoración del riesgo crediticio. Por otra parte, y en virtud de los deberes de la entidad
financiera de conocer ampliamente a su cliente, para efectos de las normas sobre lavado de
activos, la información recabada será cada vez más amplia y más concreta, implicando también
conocer el origen de los fondos con los cuales el titular cumplirá sus obligaciones financieras o
que serán depositados en las cuentas de diferente índole, conociendo también particularidades
sobre la actividad económica del cliente y su relación con otras entidades financieras. Se
construye así un expediente completo sobre el cliente, que será enriquecido con el paso del
tiempo, de manera constante, reflejándose allí todos los cambios, novedades, comportamientos
y decisiones de cada cliente respecto de los diferentes productos, tanto favorables como
desfavorables.
Es palpable que a medida que las empresas van creciendo, es directamente proporcional el
crecimiento de las bases de datos de sus clientes. Por ello, nace la necesidad de regular de
manera expresa el comportamiento de los actores dentro de la cadena de flujo de la información
comercial, financiera o crediticia, régimen que está plasmado en la Ley 1266 de 2008.
1.2. La Ley 1581 de 2011 y el Decreto 1377 de 2013
No obstante fueron implementados y reglamentados los impulsos legislativos ya mencionados, se
hacía necesario aún que se estableciera un sistema robusto de protección que otorgue a los
Titulares de la Información mecanismos precisos para salvaguardar sus derechos ante los
Responsables o Encargados del tratamiento de los datos personales, planteando, también, la
posibilidad de acudir a la Autoridad de Control. Por esta razón, siguiendo los principios
planteados en las anteriores normativas, se expide la Ley 1581 de 2012 que surge como una
complementación de la Ley 1266 de 2008, norma esta última que se refiere a un ámbito muy
preciso de datos y responde a particulares necesidades de los usuarios del sector financiero que
es necesario conservar, y cuyo carácter limitado impone la necesidad de regular el universo de
los tipos de datos no cobijados por la Ley 1266 de 2008.
Como ámbito de aplicación, el artículo 2º de la Ley 1581 de 2012 establece con claridad que “Los
principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales
registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de
naturaleza pública o privada…”, situación que impone la necesidad de que las entidades
estatales, de cualquier nivel, observen lo allí establecido y adecúen su actividad a los principios,
deberes y responsabilidades dispuestos por la citada Ley.
En ese sentido, la Ley 1581 de 2012 regula el derecho al Habeas Data, especialmente en lo
referente al derecho a conocer, actualizar, y rectificar información contenida en bases de datos o
archivos, conforme a lo establecido en el artículo 15 y 20 de la Constitución Política de Colombia.
A diferencia de la Ley 1266 de 2008, la presente Ley cuenta con un ámbito de aplicación más
amplio, puesto que tiene como propósito proteger, no sólo los datos financieros, crediticios,
comerciales y de servicios, sino todos los datos en general, estableciendo otros términos de
clasificación, tales como información personal, reservada, y sensible.
Así, con la expedición de la Ley 1581 de 2012, se pretende introducir al ordenamiento jurídico las
mejores prácticas internacionales en materia de protección de datos, fijadas en el Convenio 108
de 1981 del Consejo de Europa, la Directiva Europea 95/46 de 1995, la Resolución 45/95 de 1990
de la ONU y la Resolución de Madrid de 2009, con el objetivo de lograr, con esta Ley, la
acreditación de Colombia como un país seguro en protección de datos y así poder acceder a
mercados internacionales de información, sin restricciones. Por ello, de no encontrarse adecuada
la actividad de las entidades estatales, a la normatividad en materia de protección de datos
personales, se truncaría la posibilidad de acceder al mercado de transferencia de información
internacional, proveniente de Estados Unidos, de Países miembros de la OCDE y de la Comunidad
Europea, pues éstos protegen la privacidad de la información mediante la medición de
estándares de protección que permitan caracterizar a los países terceros como “Puertos Seguros”
de recepción de información.
Como se ha expuesto en apartes anteriores, tanto en la jurisprudencia como en el ámbito
internacional se han fijado una serie de principios para la administración de datos
personales. Estos principios, como se ha resaltado, buscan impedir el uso abusivo y arbitrario de
la facultad informática. Por ello, la Ley 1581 de 2012, define el marco general o los parámetros
generales que deben ser respetados para poder afirmar que el proceso de acopio, uso y difusión
de datos personales sea constitucionalmente legítimo, entre los cuales se encuentran los
principios de legalidad, finalidad, libertad, transparencia, seguridad, confidencialidad, garantía de
veracidad y calidad de la información y límites en el acceso y circulación restringida en materia de
tratamiento de datos.
De esa manera, la Ley ha fijado los límites frente a las actividades de responsables y encargados
del tratamiento de la información que permitirán garantizar los derechos de los titulares de los
mismos, propugnando que los datos sean adquiridos, tratados y manejados de manera lícita,
garantizando que el tratamiento de la información de los ciudadanos - titulares obedezca a una
finalidad legítima de acuerdo con la Constitución y la Ley y que sólo pueda ejercerse con el
consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser
obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que
releve el consentimiento, el cual es además, calificado, por cuanto debe ser previo, expreso e
informado. Por ello, el silencio del Titular nunca podría inferirse como autorización del uso de su
información, por lo que el principio de libertad no sólo implica el consentimiento previo a la
recolección del dato, sino que dentro de éste se entiende incluida la posibilidad de retirar el
consentimiento y de limitar el plazo de su validez.
Así, como principio esencial, el tratamiento de la información sólo podrá hacerse por personas
autorizadas por el titular y/o por las personas previstas en la Ley. Además, se prohíbe que los
datos personales, salvo información pública, se encuentren disponibles en Internet, a menos que
se ofrezca un control técnico para asegurar el conocimiento restringido. Por ello, se debe evitar
que los datos privados, semiprivados, reservados o secretos puedan estar junto con los datos
públicos, y por tanto, los primeros no pueden ser objeto de publicación en línea, a menos que se
ofrezcan todos los requerimientos técnicos y se debe eliminar cualquier posibilidad de acceso
indiscriminado, mediante la digitación del número de identificación a los datos personales del
ciudadano- titular.
Asimismo, el marco normativo aplicable requiere que la información sujeta a tratamiento por las
entidades del Estado, y también por entidades privadas, se deberá manejar con las medidas
técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros
evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento,
garantizando la reserva de la información, inclusive después de finalizada su relación con alguna
de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación
de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la
presente Ley y en los términos de la misma.
Con ocasión en lo anterior, se establece como regla general la prohibición de someter a
tratamiento los datos sensibles, salvo algunas excepciones a dicha regla, en las que el
tratamiento de tales datos es indispensable para la adecuada prestación de servicios –como la
atención médica y la educación- o para la realización de derechos ligados precisamente a la
esfera íntima de las personas –como la libertad de asociación y el ejercicio de las libertades
religiosas y de opinión.
Promulgada la Ley 1581 de 2012, se expide por el Gobierno Nacional el Decreto 1377 de 2013,
cuya finalidad, entre otras, es facilitar la implementación y cumplimiento de la Ley 1581 de 2012,
reglamentando aspectos relacionados con la autorización del Titular de información para el
Tratamiento de sus datos personales, los contenidos mínimos de las políticas de Tratamiento de
los Responsables y Encargados, la forma en que se garantiza el ejercicio de los derechos de los
Titulares de información, las transferencias de datos personales y el desarrollo del principio de
responsabilidad demostrada frente al tratamiento de datos personales.
En virtud de lo expuesto, y en tanto el Decreto 1377 de 2013 introdujo al ordenamiento jurídico
los elementos y requisitos esenciales cuyo cumplimiento debe verificarse para determinar si el
actuar de cada entidad es adecuado con respecto a la normatividad descrita, es preciso partir de
esta normativa para establecer, con claridad, las cualidades de los sujetos intervinientes en el
flujo de información de carácter personal, para identificar los deberes y derechos que la Ley ha
establecido para limitar el actuar de los mismos frente a la administración de información.
En virtud de lo establecido por el mencionado Decreto, además de ser necesario contar con la
autorización para realizar el tratamiento de los datos personales, la cual debe otorgarse a más
tardar en el momento en que se realice la recolección de los datos a ser tratados, debe
observarse la figura de las Políticas de Tratamiento, documento que debe hacerse disponible en
medio físico o electrónico, escrito de manera clara y sencilla para su compresión, con el objeto
de informar al Titular sobre el tratamiento que se le dará a los datos y la finalidad para la cual es
tratado el mismo. De la misma manera, en tal política deberán constar los derechos de los
titulares, así como la persona o área responsable del Tratamiento de los datos personales, ante la
cual se pueden ejercer los derechos legales y presentar las reclamaciones relacionadas con el
derecho al Hábeas Data, y el procedimiento o las maneras para ejercerlos.
Por otra parte, el Decreto 1377 de 2013 señala que los responsables del tratamiento de datos
personales deben estar en capacidad de demostrar, a petición de la Superintendencia de
Industria y Comercio, Autoridad única en materia de Protección de Datos, que han implementado
medidas apropiadas y efectivas para cumplir con las obligaciones que la Ley les impone,
proporcionales a la naturaleza jurídica de la organización empresarial responsable del mismo.
Entre tales medidas se encuentran la obligación de conservar la copia de la respectiva
autorización otorgada por el Titular de manera tal que se pueda verificar con posterioridad,
conservar la información bajo las condiciones de seguridad necesarias para impedir su
adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento e informar, a solicitud
del Titular, sobre el uso dado a sus datos. Asimismo, resaltamos, como elemento integrante de
las medidas apropiadas, el deber de los Responsables de informar a la autoridad de protección
de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la
administración de la información de los Titulares.
La verificación por parte de la Superintendencia de Industria y Comercio de la existencia de
medidas y políticas específicas para el manejo adecuado de los datos personales que administra
un Responsable será tenida en cuenta al momento de evaluar la imposición de sanciones por
violación a los deberes y obligaciones establecidos en la Ley y en el Decreto 1377 de 2013.
2.
PROPÓSITO DE LA HOJA DE RUTA
Expuesto lo anterior, es necesario resaltar que con el fin de generar un ambiente de correcto y
cabal entendimiento de la normatividad de protección de datos personales por parte de las
entidades de la Administración Pública y, con el objetivo de atender los lineamientos y mejores
prácticas para que al momento de la creación, mantenimiento y supresión de bases de datos, las
entidades cumplan la normatividad aplicable con base en las mejores prácticas, se ha elaborado
la presente hoja de ruta para unificar criterios respecto del tratamiento de datos personales por
parte del Estado Colombiano que servirá para elevar los estándares internacionales de
transparencia gubernamental y respeto de los derechos ciudadanos- titulares.
De esa manera, hemos elaborado un procedimiento sencillo y expedito al alcance de todo
servidor público que haga parte de una Entidad que actúe como responsable o encargada de la
información administrada en sus bases de datos que almacenen información personal.
La aplicación de la presente Hoja de Ruta parte de la tipología de datos que administre la Entidad,
así como del proceso de auto-calificación que cada Entidad haya realizado conforme al formato
de Auto-Diagnóstico que se ha dispuesto para determinar el nivel de cumplimiento de la Ley y la
aplicación de buenas prácticas en protección de datos, para entidades públicas del orden
nacional.
En ese sentido, encontrará a continuación los pasos o etapas que debe agotar la Entidad, que
deben ser observadas y aplicadas por la Entidad conforme a la protección de datos personales en
general, y qué actividades específicas debe aplicar conforme a la tipología de datos que ésta
administre.
3.
HOJA DE RUTA PRINCIPAL PARA LA ADMINISTRACIÓN DE DATOS PERSONALES
POR LAS ENTIDADES DE LA ADMINISTRACIÓN PÚBLICA
DEFINICIONES A TENER EN CUENTA
Con el fin de lograr un cabal entendimiento a los pasos y recomendaciones plasmadas en la Hoja
de Ruta que debe aplicar la Entidad, es necesario se tengan en cuenta las siguientes definiciones:
a) Autorizaciones: Consentimiento otorgado por el Titular de la información para realizar el
tratamiento de los datos personales, informándole sobre cuáles datos personales serán
recolectados, así como todas las finalidades específicas para las cuales será usado el dato
recolectado, obteniendo de esa manera el consentimiento específico del Titular de los datos.
En ningún caso el silencio podrá tomarse como el otorgamiento de una autorización.
b) Aviso de Privacidad: Mecanismo subsidiario de comunicación, verbal o escrita, generada por
el Responsable, acerca de la existencia de las políticas de Tratamiento de información que le
serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se
pretende dar a los datos personales. El Aviso de Privacidad será, entonces, la forma de
informar a los titulares sobre la existencia de las políticas de tratamiento cuando no sea
posible ponerlas a disposición de los titulares, deber que debe cumplirse a más tardar “al
momento de la recolección de los datos personales.”
c) Base de datos: Se entiende por base de datos o banco de datos, a un conjunto de datos
pertenecientes a un mismo contexto y almacenados sistemáticamente para su posterior uso,
por tanto incluye desde bases de datos de personal, empresas de servicios, contratistas y
candidatos hasta sistemas robustos de información.
d) Contratos de Transmisión de Datos: El Artículo 25 del Decreto 1377 de 2013 lo define como
el contrato que suscriba el Responsable con los Encargados para el tratamiento de datos
personales bajo su control y responsabilidad, señalando los alcances del tratamiento, las
actividades que el encargado realizará por cuenta del responsable para el tratamiento de los
datos personales y las obligaciones del Encargado para con el titular y el responsable.
e) Cookie: Es un archivo que envía un servidor web al disco duro del internauta que lo visita,
con información sobre sus preferencias y sobre sus pautas de navegación a la hora de
ingresar a internet.
f) Datos de tráfico: Son los datos de comunicación relativos a las actividades en las redes
públicas, en los que se incluye información relativa al origen de la comunicación, el destino
de la misma, la fecha, la hora, el contenido de la comunicación, el destino y su duración,
entre otros.
g) Datos públicos: Se catalogan como datos públicos todos aquellos que no son de naturaleza
semiprivada o privada, como también los contenidos en documentos públicos, sentencias
judiciales debidamente ejecutoriadas que no estén sometidas a reserva, y los relativos al
estado civil de las personas. Entre los datos de naturaleza pública a resaltar se encuentran:
los registros civiles de nacimiento, matrimonio y defunción, y las cédulas de ciudadanía
apreciadas de manera individual y sin estar vinculadas a otro tipo de información.
h) Datos personales: La clasificación de datos personales, hace referencia a cualquier
información vinculada o que pueda asociarse a una o varias personas naturales
determinadas o determinables. Se engloban dentro de esta clasificación todos los datos
tratados dentro de las Hojas de Ruta, como por ejemplo datos sensibles, datos de la salud,
datos laborales, etc.
i) Datos sensibles: El artículo 5º de la Ley 1851 de 2012 señala que “se entiende por datos
sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su
discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación
política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones
sociales, de derechos humanos o que promueva intereses de cualquier partido político o que
garanticen los derechos y garantías de partidos políticos de oposición así como los datos
relativos a la salud, a la vida sexual y los datos biométricos.”. Los datos de naturaleza
sensible deben ser asimilados como una tipología de datos personales.
j) Encargado del Tratamiento: La Ley 1581 de 2012 define al Encargado del Tratamiento como
aquella “persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros,
realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.” En
otras palabras, el Encargado es quien realiza el tratamiento de datos personales en virtud de
la delegación o mandato por parte del Responsable. Entre dichos encargos se encuentran la
obtención de autorizaciones por parte de los ciudadanos y la verificación de cumplimiento
de la finalidad en la recolección por parte de la Entidad.
k) Entes fiscalizadores: Entidades que en ejercicio de sus funciones legales pueden solicitar
lícitamente a otras entidades los datos personales que obren en sus bases de datos, tales
como la Fiscalía General de la Nación, Contraloría General de la República, Unidad de
Información y Análisis Financiero, etc.
l) Función legal: Potestad otorgada por el ordenamiento jurídico a la Entidad para poder
realizar el tratamiento.
m) Información privada: Información que por encontrarse en un ámbito privado, sólo puede ser
obtenida y ofrecida por orden de autoridad judicial en el cumplimiento de sus funciones, así
como por decisión del titular de los mismos. Es el caso de los libros de los comerciantes, de
los documentos privados, de las historias clínicas o de la información extraída a partir de la
inspección del domicilio.
n) Información reservada o secreta: Información que por su estrecha relación con los derechos
fundamentales del titular, como su dignidad, intimidad y libertad, se encuentra reservada a
su órbita exclusiva y no puede siquiera ser obtenida ni ofrecida ni siquiera por autoridad
judicial en el cumplimiento de sus funciones. Cabe mencionar la información genética, y los
llamados "datos sensibles", como, por ejemplo, la orientación sexual de las personas, su
filiación política o su credo religioso, cuando ello, directa o indirectamente, pueda conducir a
una política de discriminación o marginación, o relacionados con la ideología, la inclinación
sexual, los hábitos de la persona, etc.
o) Información semi-privada: La información que presenta para su acceso y conocimiento un
grado mínimo de limitación, de tal forma que la misma sólo puede ser obtenida y ofrecida
por orden de autoridad administrativa en el cumplimiento de sus funciones o en el marco de
los principios de la administración de datos personales. Es el caso de los datos relativos a las
relaciones con las entidades de la seguridad social o de los datos relativos al
comportamiento financiero de los ciudadanos
p) Mecanismos de defensa de perímetro: Son los mecanismos relacionados con firewalls,
sistemas detección de intrusos, sistemas de prevención, software anti-virus/anti-spyware.
q) Mecanismos de PQR´s: Los mecanismos atinentes a que los titulares conozcan, actualicen,
rectifiquen y supriman sus datos personales, se refieren concretamente a procedimientos
eficientes de Peticiones, Quejas y Reclamos. Esto quiere decir, mecanismos de atención al
titular con los que cuenten las entidades, para que los Titulares de la Información puedan
presentar solicitudes de petición, quejas o reclamos respecto a sus datos personales.
r) Políticas de Tratamiento: Documento disponible en medio físico o electrónico, escrito de
manera clara y sencilla para asegurar su compresión, con el objeto de informar al Titular
sobre el tratamiento que se le dará a los datos y la finalidad para la cual es tratado el dato.
De la misma manera, en tal política deberán constar los derechos de los titulares, así como la
persona o área responsable del Tratamiento de los datos personales, ante la cual se pueden
ejercer los derechos legales y presentar las reclamaciones relacionadas con el derecho al
Hábeas Data, y el procedimiento o las maneras para ejercerlos. En la política de tratamiento
deben constar, de manera clara, la forma de ejercer, por parte del titular de la información,
el derecho a revocar la autorización otorgada para el tratamiento, así como los
procedimientos para ejercer el derecho a conocer, actualizar, rectificar, y suprimir el dato.
s) Políticas internas efectivas: Documento cuyo objetivo tiende a demostrar, ante un
requerimiento de la Superintendencia de Industria y Comercio, autoridad nacional en
materia de protección de datos personales, la existencia de una estructura administrativa
proporcional a la estructura y tamaño de la Entidad, así como la adopción de mecanismos
internos para poner en práctica estas políticas incluyendo herramientas de implementación,
entrenamiento, programas de educación y procesos para la atención y respuesta a consultas,
peticiones y reclamos de los Titulares, con respecto a cualquier aspecto del tratamiento, así
como la implementación efectiva de las medidas de seguridad apropiadas, que demuestre
de manera efectiva el cumplimiento de sus deberes como responsable del tratamiento.
t) Responsable del Tratamiento: Siguiendo lo dispuesto por la Ley 1581 de 2012, y el Decreto
1377 de 2013, se denomina Responsable del Tratamiento a toda persona natural o jurídica,
pública o privada, que por sí misma o en asocio con otros, tenga poder de decisión sobre las
bases de datos y/o el Tratamiento de los datos, entendiendo por tratamiento “Cualquier
operación o conjunto de operaciones sobre datos personales, tales como la recolección,
almacenamiento, uso, circulación o supresión”. El Responsable define, entonces, la forma en
que se almacenan, recolectan y administran tales datos, definiendo, también, los fines
esenciales para los cuales se realiza el tratamiento. Asimismo, está obligado a solicitar y
conservar la autorización en la que conste el consentimiento expreso del titular de la
información, así como a mantenerlo informado, con suficiencia y claridad, acerca de las
finalidades específicas del tratamiento mismo.
u) Root-kits: Programas típicamente clandestinos y maliciosos que permiten un acceso
constante y privilegiado a un equipo de manera oculta del control de los administradores.
Corrompe el funcionamiento normal del sistema operativo y de otras aplicaciones. Se utiliza
para esconder algunas aplicaciones que podrían actuar en el trasfondo sistema atacado.
v) Tratamiento de datos o de información: Cualquier operación o conjunto de operaciones
sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o
supresión.
1. LA CREACIÓN DE LA BASE DE DATOS
Paso N° 1: Identificar la función legal de la Entidad
Como primer paso, y con el fin de aproximar a la Entidad a los principios básicos del correcto
manejo de información personal proveniente de los ciudadanos- titulares, es preciso anotar que
la administración de los datos personales empieza desde antes de que se comience a recolectar
la información de la población.
Obligación legal
Así, debe partirse de un elemento esencial en el día a día de la Entidad: la determinación de la
función que la Ley le ha otorgado.
De esta manera, la función legal ejercida por la Entidad, a la hora de realizar cualquier
tratamiento sobre datos personales es crucial, puesto que todo tratamiento debe estar atado a
una facultad otorgada por el ordenamiento que autorice su finalidad.
Mejores prácticas
En ese sentido, antes de iniciar la recolección de cualquier tipo de información y de crear una
determinada base de datos, se recomienda que la Entidad realice las siguientes actividades:
 La Entidad debe, primero, identificar cuál es la disposición normativa que la habilita para
recolectar los datos personales que busca recopilar. Para ello la Entidad debe buscar la
disposición expresa en la Ley que la habilite para ello, y tomar nota de las expresiones de la
misma.
 Una vez se precisada la norma habilitante, esta debe tenerse muy en cuenta a lo largo del
proceso, toda vez que podrá ser consultada posteriormente.
 Luego, debe analizarse la norma y consultar si en ella se estipula algún procedimiento
especial para la obtención, almacenamiento y utilización de la información.
Habiéndose realizado lo anterior, y teniendo presente y a la mano la norma que otorga a la
Entidad las funciones legales correspondientes, esta tendrá que confrontar tales disposiciones
con la finalidad buscada en la recolección de datos, como se describe a continuación.
Datos de
ubicación,
contacto y
comunicación
Cuando una Entidad solicite la divulgación de información que permitan ubicar,
contactar y comunicarse con el ciudadano-titular de la información, su entrega y
disposición se deberá hacer mediante la intervención de un tercero de
confianza, independiente e imparcial, el cual verificará que la intervención en la
información solicitada cumpla a cabalidad con las funciones de la Entidad que
solicita la información.
 En este proceso la Entidad debe velar siempre por el respeto de los derechos
a la honra, al buen nombre, a la intimidad personal y familiar y, al debido
proceso.
Paso N° 2: Definir la necesidad y la finalidad en la recolección
Obligaciones legales
Teniendo clara la función que ha sido otorgada por la Ley a la Entidad para adelantar las acciones
de cara al ciudadano- titular, es necesario tener claro el objetivo de la recolección de la
información que se pretende recabar. Nótese que el artículo 4º de la Ley 1581 de 2012 trae a
colación el principio de finalidad, por el cual se entiende que el tratamiento de datos debe
obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley y que, como se anotará
en apartes posteriores, ésta finalidad debe ser informada al ciudadano- titular, quien debe
otorgar una autorización, un consentimiento previo, expreso e informado para llevar a cabo el
tratamiento de los datos personales. Esta finalidad legitima los procesos de administración de la
información a recopilar.
Datos de
ubicación,
contacto y
comunicación
Cuando la formulación de la finalidad verse sobre datos personales de ubicación,
contacto y comunicación, la Entidad debe tener en cuenta que ésta será legítima
cuando no existan otras alternativas menos invasivas de la privacidad y siempre
y cuando el tratamiento sea necesario y apropiado para cumplir el objetivo
propuesto con la recopilación de los datos. Por ello, la Entidad deberá estimar si
la pérdida de privacidad es proporcional al beneficio obtenido por el ciudadanotitular, al brindar sus datos de ubicación y contacto.
Por su parte, estos datos sólo pueden ser procesados para proveer los servicios
requeridos por los ciudadanos- titulares, donde su utilización estará sujeta a que
se provea al ciudadano- titular información previa, expresa, clara y suficiente
antes de obtener la correspondiente autorización.
Para cualquier otro propósito que disponga la Entidad, se deberá obtener la
autorización conforme a lo dispuesto en la Ley, momento en el cual se
informarán a los ciudadanos- titulares los mecanismos que posee para retirar la
autorización de tratamiento.
Mejores prácticas
Con base en lo anterior, la Entidad debe definir el porqué de la recolección. Para ello debe
realizarse un ejercicio interno en virtud del cual la Entidad debe:
 Realizar un listado de objetivos. Estos serán los fines para los cuales recolectará la
información.
 Precisar qué datos se requieren para cumplir tales objetivos.
 Realizar un cuidadoso examen acerca de la sensibilidad de los mismos, señalando si estos
constituyen información semi-privada, privada, reservada o secreta, sensible, o pública,
según las definiciones propuestas al inicio de esta hoja de ruta.
 Definir a cuál de las finalidades enlistadas se adecúa, procediendo a agruparla información
que considera necesaria, dependiendo de la finalidad del tratamiento de los datos
personales.
En resumen, la Entidad debe partir de la identificación de su función legal para así contrastar
dichas funciones con el propósito y los motivos por los cuales se realizará la recolección de los
datos.
Obligaciones legales
Es de anotar que la finalidad para la recolección de información delimitará el uso que se dará a
los datos recabados. En otras palabras, no podrá la Entidad realizar el tratamiento de la
información con miras a una finalidad distinta a aquella que se determine como objetivo para la
recolección de los datos personales. Esto, salvo que medien razones de innovación, desarrollo,
ciencia o estadística, así como políticas estatales que favorezcan a toda la población.
En los casos en los que existan alertas de epidemia en la población, la Entidad
encargada de recopilar los datos personales deberá identificar todos los datos
Datos de la salud que necesitará recopilar para combatir la problemática. Los datos que se
requieran para combatir la epidemia o cualquier situación similar, deben estar
justificados dentro de la finalidad y la necesidad de la recolección.
Paso N° 3: Identificar el límite temporal para el manejo de la información
Obligaciones legales
La finalidad escogida definirá también el factor de tiempo durante el cual se adelantará el
tratamiento de los datos personales, pues, según lo requiere la Ley 1581 de 2012, el tratamiento
de la información debe realizarse por un periodo acorde a la finalidad y necesidad planteada
anteriormente.
Así, el siguiente paso será detallar de manera consciente, cuál será el periodo de tiempo
razonable al cabo del cual se agotará la finalidad para la cual se recolectó la información.
Mejores prácticas
Debe anotarse que no se requiere establecer un número determinado de días, meses o años,
pero sí es considerada una buena práctica hacer referencia a circunstancias o condiciones que
marquen el agotamiento de la finalidad identificada.
Datos de
ubicación,
contacto y
comunicación
Al momento de formular el límite temporal para el tratamiento de datos
personales de ubicación, contacto y comunicación, la Entidad deberá formularla
teniendo en cuenta que en esta tipología de datos la temporalidad debe
obedecer estrictamente al tiempo necesario para prestar el servicio al
ciudadano- titular.
Obligaciones legales
Es necesario resaltar que la retención injustificada y el tratamiento perpetuo de los datos
personales atenta contra los derechos de los ciudadanos- titulares y puede hacer responsable a
la Entidad, así como al servidor público encargado del manejo de dicha información, por los
perjuicios que ello genere al ciudadano- titular.
Paso N° 4: Identificar a los ciudadanos - titulares de la información
Obligaciones legales
Es muy importante que la Entidad conozca y determine la población que va a brindar sus datos
para las finalidades ya identificadas. Esta labor permite saber quiénes van a aportar sus datos
personales y qué tipo de datos alimentarán las bases de la Entidad.
Mejores prácticas
Lo anterior permitirá a la Entidad definir a su vez, si la finalidad para la cual se recopila la
información genera algún tipo de beneficio para los ciudadanos- titulares, siendo entonces
necesario que se detallen estos beneficios, así como las situaciones adversas que pueden
derivarse de los mismos. De la misma manera, la Entidad debe tener claridad acerca de la
posibilidad de generar perfiles de los ciudadanos- titulares, a partir de la información
recolectada.
Los beneficios detallados, que deben ser informados a los ciudadanos- titulares, pueden ser
exigidos por éstos, al paso que deben también conocer las situaciones adversas o la posibilidad
de que se les incorpore en un grupo determinado de personas que cumplen características
comunes.
Así, si existen ciertos requisitos, parámetros, calidades o situaciones objetivas verificables para
determinar si deben recabarse datos de un ciudadano- titular específico, la Entidad debe
elaborar un check-list acerca de tales características, el cual servirá para evitar recabar
información innecesaria.
Para estos fines, la Entidad debe tener en cuenta que los ciudadanos- titulares que en el futuro
exijan ser parte de una base de datos no podrá negarse injustificadamente el ingreso a las
plataformas de información. En otras palabras, a estos ciudadanos- titulares se les debe
garantizar su derecho a consultar la información entregada.
Obligaciones legales
Debe tenerse en cuenta que la Ley 1581 de 2012, dispone que el ciudadano- titular tiene el
derecho de comprobar que los datos que circulen sobre él han sido previamente autorizados,
solicitar prueba de ello y revocar su autorización, conocer, actualizar y rectificar sus datos
personales en los casos en que estos sean inexactos, incompletos o fraccionados, que induzcan a
error o cuyo tratamiento se encuentre prohibido. Es preciso resaltar que el ciudadano- titular
tiene derecho a exigir que su información sea tratada de conformidad con los límites impuestos
por la Ley y la Constitución, al paso que, en caso de incumplimiento, existe un recurso efectivo
para lograr el restablecimiento de sus derechos.
Mejores prácticas
Como se verá más adelante, los derechos del ciudadano- titular deben ser incluidos, enunciados
claramente, dentro de la Política de Tratamiento de Datos Personales que debe elaborar la
Entidad.
Paso N° 5: Designar al Responsable y Encargado de las bases de datos
Obligaciones legales
La Entidad debe elegir al servidor público o Área Responsable de administrar las bases de datos
que se van a crear. No debe confundirse lo anterior con las figuras de Responsable y Encargado
del Tratamiento, las cuales fueron definidas en la parte introductoria de esta Hoja de Ruta
principal.
Mejores prácticas
La selección del personal responsable debe realizarse atendiendo a la idoneidad y a las
competencias necesarias para adelantar la labor, para que de esta manera se escojan los
servidores públicos más capacitados en el manejo de información. Para tales fines, la Entidad
deberá:
 Evaluar las competencias de cada uno de ellos.
 Evaluar la experiencia de los servidores públicos de cara a la tarea que van a realizar.
 Evaluar el conocimiento en materia de seguridad de la información, con el fin de escoger los
servidores públicos que, a futuro, tengan las capacidades suficientes para atender incidentes
de esta índole.
De esta manera, independiente de la naturaleza del responsable (individual o colectivo) la
Entidad debe crear un régimen de responsabilidades acorde con las funciones de los servidores
públicos designados como responsables, así como un reglamento que consagre las consecuencias
de la mala administración de la información.
Adicionalmente se debe tener en cuenta, que si los servidores públicos
pertenecientes al área encargada de administrar los datos personales son
Datos de la salud profesionales de la salud, la Entidad deberá indicarles a estos servidores que
deben suscribir un acuerdo de confidencialidad sobre los datos personales de
esta naturaleza, indicándole además las consecuencias por incumplirlo.
Datos acerca del
honor, la
intimidad, la
identidad sexual
y la libre
expresión
Si se tratan datos personales relativos al honor, la intimidad, la identidad sexual
y la libre expresión, la Entidad deberá indicarles a los servidores públicos
pertenecientes al área encargada de administrar esta información, que deben
suscribir un acuerdo de confidencialidad, con el fin de que estos datos no sean
divulgados en perjuicio de los ciudadanos- titulares de la información.
La Entidad debe asegurarse de comunicarle a los servidores públicos al momento de conferirle la
función, la existencia de dichos regímenes de responsabilidades y de sanciones aplicables.
Paso N° 6: Formular la Política de Tratamiento de Datos Personales
Si se trata de datos reservados, los servidores públicos designados para la
Datos de la salud administración de estos datos, no podrán en ningún momento transferir ni
delegar esta función, por lo que la Entidad deberá velar porque ello no ocurra.
Obligaciones legales
Cumplido lo anterior y para la correcta administración de datos personales, la Entidad debe
elaborar la Política de Tratamiento de Datos Personales, en cumplimiento de la Ley 1581 de 2012
y el Decreto 1377 de 2013, con el fin de que en esta se definan los aspectos esenciales aplicables
a la administración de ellos. De esta manera se debe proceder a elaborar un documento que
contenga como mínimo los siguientes elementos:
Mejores prácticas
 Nombre, razón social, domicilio, dirección, correo electrónico y teléfono del Responsable y
del Encargado de las bases de datos personales.
 Derechos de los ciudadanos- titulares de la información.
 Servidor público o área responsable de atender las Peticiones, Quejas y Reclamos que se
presenten ante la Entidad.
 Fecha de su entrada en vigencia.
 Los servidores públicos que tendrán acceso a las bases de datos.
 El uso de contraseñas y procedimientos de autenticación de quien está autorizado a
consultar las bases de datos.
Datos laborales
Si los datos a recolectar son susceptibles de crear perfiles acerca de la población,
deberá garantizar que la información que pueda ser usada para actos
discriminatorios, sea conocida únicamente por los servidores públicos
autorizados para dicho fin, garantizando además, que solamente ciertos
servidores públicos de la Entidad tengan acceso a ella.
Por este motivo, la Entidad deberá garantizar que los servidores públicos que
tendrán acceso a estas bases de datos será un grupo bastante pequeño en
comparación a quienes tendrán acceso a otros tipos de datos.
Mejores prácticas
En la formulación de la Política, además de incluir los aspectos generales anteriormente
mencionados, debe incluirse también un aparte dedicado al Responsable y Encargado de las
bases de datos, en la cual se indique la identificación de estos servidores públicos y las
obligaciones y funciones que deben desempeñar.
Datos de
ubicación,
Si la Política de Tratamiento está encaminada a administrar datos de ubicación,
contacto y comunicación, será deber de la Entidad incluir en ella el tratamiento
contacto y
comunicación
que se le darán a las cookies, como también la información que debe contener
acerca de las partes involucradas y la finalidad en su uso.
Una vez dentro de la Entidad se hayan definido estos aspectos esenciales de la Política de
Tratamiento, se debe proceder a elaborar un Folleto Informativo que será dirigido a todos los
ciudadanos- titulares, en donde se explique cuál es la función legal de la Entidad, la finalidad que
busca con la recolección de los datos personales y la necesidad de recopilarlos. Este Folleto
Informativo debe ser redactado en un lenguaje claro para que cualquier ciudadano- titular lo
entienda.
Por último, la Entidad debe tener muy en cuenta que la Política de Tratamiento tiene una
naturaleza cambiante, en donde es permitido modificar e incluir apartes dentro de esta cada vez
que sea necesario.
Conformación del Comité especializado
La Entidad procederá a conformar el Comité especializado el cual será un órgano colegiado
encargado de cumplir funciones consultivas en favor de la Entidad en cuanto a la protección de
datos personales. Este Comité deberá estar conformado por los servidores públicos más
experimentados en los temas de protección de datos personales, el Responsable y Encargado de
la información, los miembros que componen el Área responsable de la administración de los
datos personales y los servidores públicos o sus delegados que dentro de la Entidad se estime
conveniente incluir.
Para efectos de su convocatoria, dentro de la Entidad deberá identificarse, primero, a los sujetos
llamados a conformarlo, atendiendo los servidores anteriormente mencionados, para que en las
situaciones que prevé esta Hoja de Ruta y en los casos en los que la Entidad lo considere
conveniente, sean convocados al Comité y citados a la mesa de trabajo que se adelantará,
indicando además, la fecha, hora y lugar en la que sesionará y los temas que serán tratados en la
reunión.
 Las sesiones adelantadas por el Comité especializado para la protección de datos
personales deberán llevarse a cabo dentro de las instalaciones de la Entidad.
 Toda vez que al interior de la Entidad se lleven a cabo las reuniones del Comité
especializado, deberán elaborarse las respectivas actas y constancias de la reunión.
Entre las funciones que estará llamado a cumplir se encuentra la de órgano de consulta interna
ante las dudas o inquietudes que puedan surgir en la Entidad conforme a la administración de
datos personales. En síntesis será el órgano colegiado interno de carácter consultivo que podrá
ser convocado cuando la Entidad así lo requiera.
En este sentido, los servidores públicos dedicados a la administración de los datos personales
deben reportar al Comité cualquier falencia en las medidas de tratamiento de la información
durante la administración de datos personales y convocarlo para que se genere un espacio de
discusión acerca de los vacíos identificados y se incluyan dentro de la Política de Tratamiento de
Datos Personales nuevas medidas que permitan hacer frente a la realidad en la administración de
datos personales.
Datos
reservados
Cuando se requiera definir el manejo que se dará a la información
clasificada o reservada, la Entidad deberá hacerlo en sesiones secretas,
con participación únicamente del personal autorizado para ello.
Paso N° 7: Elaborar el Reglamento de Seguridad de la Entidad
Obligaciones legales
Luego de definir la Política de Tratamiento, es momento de formular la Política de Seguridad para
la administración de datos personales, la cual, siendo igual de significativa que la anterior política,
permite diseñar las medidas de seguridad para la salvaguarda de los datos personales, de cara a
los riesgos inherentes a la administración de este tipo de información.
De esta manera, la Entidad debe preparar las plataformas físicas contenedoras de la información,
ya sea los computadores y equipos de hardware dedicados al almacenamiento de los datos
personales, y los programas y demás aplicaciones –software- que garanticen un proceso exitoso
en la recolección, manejo y cancelación de la información.
Mejores prácticas
Por estos motivos y antes de elaborar las medidas de seguridad propiamente dichas, se deberá:
 Destinar los recursos técnicos y de talento humano especializados para implementar las
medidas de seguridad necesarias para mantener la integridad de los datos personales de los
ciudadanos- titulares.
 Capacitar constantemente a los servidores públicos involucrados en la labor, acerca de los
riesgos a los que se pueden enfrentar los datos personales, implementando sesiones de
capacitación para ello.
Una vez definidos estos aspectos se procederá a elaborar las políticas de seguridad en la que se
logre identificar los miembros de la gestión, quienes serán los autorizados para consultar
internamente la información, restringiendo el acceso a los servidores que no están habilitados
para ello. Adicionalmente es de suma importancia que luego de señalar lo anterior, la Entidad
adecúe sus plataformas de información para recopilar los datos, siempre formulando estas
políticas de acuerdo a la naturaleza de los datos que se van a recopilar y la forma como estos van
a ser consultados.
Paso seguido, se deberán definir los niveles de seguridad en los van a ser clasificados los datos
recolectados, dependiendo de la naturaleza de los mismos y de los riesgos a los que estarán
expuestos:
o Nivel básico de seguridad para las bases que administran una cantidad baja de datos
personales, como también para aquellas que manejan datos que no tienen la calidad de
reservados, privados o sensibles.
o Nivel medio de seguridad para las bases de datos que administran un número
considerable de datos y para aquellas que manejen datos que tengan un nivel de
privacidad moderado y no se cataloguen dentro de los niveles de seguridad básico o alto.
o Nivel alto de seguridad para las bases que administran gran cantidad de datos, como
también para aquellas que manejan datos de naturaleza reservada, privada o sensible.
Datos laborales
Si los datos personales del ciudadano- titular permiten conocer la identificación
y la ubicación de una persona con una filiación sindical en particular, los niveles
de seguridad aplicables serán los de clasificación media o alta, pero nunca
básica.
Datos
reservados
Si la naturaleza de los datos a administrar es de naturaleza reservada, el nivel de
seguridad aplicable debe ser el más riguroso y no podrá ser inferior al nivel alto
de seguridad.
 Este tipo de políticas deberán ser aplicadas con el mayor rigor cuando los
datos sean administrados por miembros de fuerza pública o militar.
 Dentro de las medidas que caractericen la protección de este tipo de datos,
deben consignarse protocolos especiales para la protección de los mismos,
los cuales deben ser diseñados por el personal experto en esta materia y
atendiendo la naturaleza secreta de cada dato.
Se debe tener presente que la motivación y la justificación que generó la clasificación de las
bases de datos en distintos niveles de seguridad o en un nivel especifico, deben estar
consignadas dentro de un documento elaborado por los Responsables de la información. Sin
embargo, la clasificación de la información según los niveles de seguridad puede cambiar si la
realidad así lo amerita.
Luego de lo anterior, la Entidad debe implementar medidas de seguridad para la administración
de los datos personales, tales como contraseñas de acceso a la información, tarjetas de
seguridad, puertas cerradas para acceder a las plataformas físicas, almacenamiento de la
información de manera cifrada o codificada y en general cualquier medida que sea considerada
conveniente para restringir el acceso a la información y al lugar donde esta se encuentre.
Subsiguientemente, se debe definir dentro de las medidas de seguridad los siguientes aspectos:



Protocolos de seguridad dedicados a dar respuesta a las fallas de seguridad del
sistema.
Descripción de los recursos protegidos.
Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el
nivel de seguridad exigido para cada base de datos.

Descripción de los sistemas de información aplicados en el proceso de seguridad.
Es muy importante que además de definir los elementos de salvaguardia de la integridad de los
datos personales, se tenga en cuenta que durante la administración de la información pueden
ocurrir hechos que vulneren los datos almacenados, por lo que es necesario que se definan los
procedimientos para la gestión de incidentes e incumplimientos de las medidas de seguridad, los
cuales deben estar dedicados a contener y recuperar los datos perdidos ante una falla, identificar
a quienes es necesario notificar ante el suceso e investigar y dar respuesta a los incidentes.
Acorde a los datos que se pretenda recolectar, deberá reunirse el personal idóneo a la labor para
identificar los riesgos a los que se pueden ver expuestas las bases de datos y diseñar los
protocolos especiales para la mitigación del riesgo o actuación ante la ocurrencia de uno de ellos,
con el fin de que si ocurre un suceso negativo, las políticas de seguridad tengan predispuestos los
procesos de contención y recuperación, y las medidas para evaluar los acontecimientos y generar
políticas para prevenirlos en el futuro:
Tanto las políticas de seguridad como la Política de Tratamiento de Datos Personales admiten
cambios justificados y motivados según los riesgos y situaciones existentes.
Estas políticas deben contener además, un registro de sucesos en el que se plasmen todos los
acontecimientos que ocurran en relación con la base de datos. El responsable y/o Encargado
debe elaborar un informe periódico que indique:




Los acontecimientos del sistema.
El rendimiento de los sistemas de seguridad.
Los problemas que se han presentado.
Las soluciones ideadas a las fallas.
Cuando se logren definir todos los aspectos anteriormente descritos, las políticas de seguridad
formuladas conformarán el Reglamento de Seguridad de la Entidad, el cual debe ser construido
antes de la recolección de los datos personales de los ciudadanos- titulares y ser incluido dentro
de la Política de Tratamiento de Datos Personales.
Paso N° 8: Capacitación de los servidores públicos
Mejores prácticas
Posterior a ser definida la Política de Tratamiento de Datos Personales e incluirse en esta el
Reglamento de Seguridad de la Entidad, los servidores públicos que van a ser involucrados en la
recolección de los datos, deben ser capacitados con respecto a estas políticas, sin olvidar por
supuesto que entre los módulos de aprendizaje se debe incluir además, el régimen sancionatorio
aplicable ante un incumplimiento y un módulo dedicado exclusivamente al Código de Ética de la
Entidad.
 Es importante que al finalizar cada uno de los módulos, se evalúe el conocimiento adquirido
por los servidores públicos en las capacitaciones realizadas.
Para todo lo anterior, deberá destinarse el tiempo adecuado para transmitir al servidor los
conocimientos necesarios para administrar la información, sin olvidar que esto puede ser sujeto a
evaluaciones periódicas que midan el conocimiento de los servidores públicos encargados.
Datos
estadísticos y
poblacionales
Para la administración de datos de naturaleza estadística y poblacional, la
Entidad deberá capacitar al personal encargado del tratamiento, con el fin de
brindarles los conocimientos necesarios para identificar los riesgos que se
puedan generar para la seguridad pública del Estado o de la Entidad.
Los servidores públicos, en caso de duda, deberán contactarse con entidades
cuyas funciones se encuentren relacionadas con esta clase de riesgos.
Paso N° 9: Definir la Política de Trazabilidad e Interoperabilidad de Datos Personales
Obligaciones legales
Eventualmente pueden presentarse hechos dentro de la Entidad que ameriten la transferencia
de datos entre entidades, por lo cual es necesario que antes de administrar los datos personales,
se encuentren definidas las políticas que respondan a este tipo de situaciones. Esta Política
especial debe contener los protocolos de seguridad dedicados a los procesos de trazabilidad e
interoperabilidad que eviten la ocurrencia de riesgos tales como la adulteración, perdida,
consulta, uso o acceso no autorizado de los datos, o implementación fraudulenta de los mismos.
El Responsable y Encargado de las bases de datos se encuentra en la obligación de identificar los
riesgos que existen en el proceso de interoperabilidad o trazabilidad entre entidades, para lo cual
y en aras de la seguridad de la información, deben formularse igualmente protocolos especiales
de seguridad ante la ocurrencia de un riesgo, estos, dirigidos a mitigar y reparar el daño causado
en el transcurso de estas operaciones. En este tipo de casos la Entidad puede cooperar con la
Entidad a la cual se le hayan transferido los datos personales.
Mejores prácticas
 Deberán implementarse además, mecanismos para el seguimiento de las actividades que se
realizan con los datos transferidos, un registro de los datos que entran y salen de la Entidad y
en general, mecanismos para el monitoreo de los datos personales.
 Debe preverse por parte de la Entidad, la transferencia de datos a otro país, caso en el cuál,
debe tenerse en cuenta que la transferencia de estos datos se podrá hacer siempre y cuando
el receptor de la información garantice las medidas de seguridad y administración adecuadas
para el tratamiento, por lo que antes de realizar la operación, la Entidad exportadora de
información debe desplegar las acciones de verificación de estos aspectos.
Consecuente a ser elaborada la Política de Trazabilidad e Interoperabilidad de Datos Personales,
esta deberá ser igualmente incluida dentro de la Política de Tratamiento de Datos Personales,
toda vez que esta representa la matriz para la administración de datos personales.
Paso N° 10: Elaborar el Aviso de Privacidad y la Autorización dirigida al ciudadano- titular
Obligaciones legales
Antes de iniciar la recolección de los datos personales por parte de la Entidad, es necesario que
se creen los documentos de Aviso de Privacidad y de Autorización, los cuales serán entregados y
suscritos respectivamente al ciudadano-titular de la información.
El Aviso de Privacidad tiene la finalidad de comunicar al ciudadano- titular de la información
acerca de las Políticas de Tratamiento que componen la administración de sus datos, la cual debe
incluir como mínimo, según el artículo 15 del Decreto 1377 de 2013, lo siguiente:




Nombre o razón social y datos de contacto del responsable del tratamiento.
El tratamiento de los datos y la finalidad de la recolección.
Los derechos del ciudadano- titular.
Los mecanismos dispuestos por el Responsable para que el ciudadano- titular conozca la
Política de Tratamiento de la Información y los cambios sustanciales que se puedan
producir en ella.
Mejores prácticas
Debe indicarse también la dependencia de la Entidad, los servidores públicos que tendrán acceso
a sus datos y la razón que los habilita para ello, así como la información que le permita al
ciudadano- titular ejercer sus derechos.
Por último y con respecto al Aviso de Privacidad, para dar cumplimiento a la normatividad
pertinente, la Entidad debe planificar de qué forma los ciudadanos- titulares pueden consultar los
cambios en la Política de Tratamiento de los datos personales en el futuro y comunicarla al
ciudadano- titular. Deberá entonces informar acerca de los mecanismos ya sea vía web,
personalmente en las instalaciones de la Entidad, telefónicamente por medio de una línea de
atención (call-center), o la que se considere más conveniente, pero siempre respetando este
derecho del ciudadano- titular.
Obligaciones legales
La Autorización del ciudadano permite que éste al ser debidamente informado acerca de la
administración de sus datos personales, pueda consentir de manera libre, previa y expresa la
recopilación de estos. Por estos motivos, al momento de recopilar los datos del ciudadanotitular, se debe informar a este acerca de la finalidad y la necesidad que tiene la Entidad en la
labor y obtener la autorización del ciudadano- titular antes de usar sus datos.
Mejores prácticas
 Si durante la recopilación de los datos personales, necesariamente se tiene que involucrar a
un menor de edad o a un incapaz (según las disposiciones establecidas en el Código Civil)
debe surtirse un procedimiento especial para conseguir su autorización, toda vez que debe
contarse con la debida participación de su representante.
 Si al recolectar los datos de un ciudadano- titular, necesariamente debe involucrarse la
información de un tercero, se debe pedir autorización a este; por lo que la Entidad debe
estar preparada para pedir la autorización de toda persona que se vea involucrada en el
proceso y sean requeridos sus datos.
 Es de resaltar que la Entidad debe obtener esta autorización a más tardar al momento de
recolectar los datos personales del ciudadano- titular de la información, según el artículo 5
del Decreto 1377 de 2013.
Obligaciones legales
Es muy importante que si el tratamiento de los datos personales se realizó antes del veintisiete
(27) de junio de 2013, el Responsable de los datos se comunique con los ciudadanos- titulares de
la información con el fin de refrendar las autorizaciones exigidas por la Ley y poder continuar con
el tratamiento de sus datos. No obstante si luego de intentar refrendar la autorización por parte
de estos ciudadanos- titulares, estos no solicitan la supresión de sus datos personales dentro de
un término de treinta (30) días, la Entidad puede seguir haciendo uso de estos.
La Entidad puede prescindir de la autorización en los casos en los que la Ley se lo permita, por
ejemplo ante urgencias médico-sanitarias, en virtud de su función pública, un mandato judicial o
legal que releve el consentimiento, según lo permite la Ley 1581 de 2012 en su artículo 4°, literal
c y específicamente en el artículo 10°.
Paso N° 11: Descripción de las bases de datos personales
Mejores prácticas
Antes de desplegar los procesos de obtención de la información, es necesario que dentro de la
Entidad se describa en detalle la base de datos que va a contener la información, indicando como
mínimo:
 La Política de Tratamiento que se aplicará a la base de datos.
 La naturaleza de los datos que contendrá.
 El volumen y la cantidad de datos que se estima almacenar.
 El responsable de la base de datos y el encargado designado para administrarla.
 El tiempo hasta el cual esta base de datos va a ser usada.
 La manera cómo se van a recolectar los datos personales de los ciudadanos- titulares.
 La naturaleza de los datos recabados indicando si existen datos sensibles.
 La especificación del área o dependencia que se encargará de manera directa del
tratamiento.
 El contexto en el cual se recolectarán los datos que allí se contendrán.
 La existencia de algún requerimiento legal que establezca la necesidad de compartir la
información con otra Entidad de la Administración Pública o con entidades privadas.
Datos
reservados
Conforme a la descripción de la base de datos reservados, será necesario incluir
además los siguientes elementos:
 Quienes (áreas o servidores públicos) podrán tener acceso a dichos datos.
El procedimiento que certifique la idoneidad de la persona que vaya a tener
acceso a esta información.
 Las formalidades y limitaciones a su acceso.
 Las personas a quienes definitivamente se les negará el acceso.
 Las medidas necesarias para proteger el material clasificado.
Se debe recordar que las bases de datos personales recopiladas por la Entidad, no pueden
mezclarse en ningún momento con los datos propios de la Entidad, es decir que las bases de
datos personales deben ser minuciosamente individualizadas y separadas de los demás datos
administrados.
La descripción de las bases de datos personales debe ser consignada en un rotulo que sea visible
antes de consultar las bases de datos de manera interna. En este aspecto la Entidad estimará la
manera más apropiada para incluir la descripción de los datos personales, la cual deberá
incluirse a manera de portada antes de acceder a la información de las bases.
Datos
reservados
Si los datos son de naturaleza reservada, la base de datos que los vaya a
contener debe ser descrita de tal manera que permita indicar fácilmente su
contenido, teniendo en cuenta que esta descripción no debe vulnerar la reserva
de estos datos.
2. LA RECOLECCIÓN DE LA INFORMACIÓN
Paso N° 12: Preparar el proceso de recolección de los datos personales
Obligaciones legales
Lo primero que se debe aclarar, es la manera como se va a llevar a cabo el proceso de
recolección, en el que se debe priorizar, al momento de recolectar los datos personales, la
Autorización que el ciudadano-titular de la información debe suscribir, como también el Aviso de
Privacidad que debe ser entregado a este una vez finalice el procedimiento.
Mejores prácticas
Durante el proceso de recolección de los datos, la Entidad debe elaborar un plan estratégico que
permita determinar la manera como se va a recolectar la información, el tiempo estimado de la
obtención y si el procedimiento se hará de manera personal ante el ciudadano- titular de la
información o a través de medios telefónicos, electrónicos, entre otros.
 Si existe algún tipo de inquietud o duda dentro de la Entidad para definir los procedimientos
de recolección de los datos personales, se debe proceder a convocar el Comité especializado
para dirimir las dudas. Este Comité podrá ser citado las veces que sea necesario.
 Si la Entidad eligió un medio de comunicación verbal, debe guardar el soporte de la
Autorización y del Aviso de Privacidad mediante una grabación, y si decide elegir métodos
escritos, ya sea electrónicos o físicos, deberá registrar todas las autorizaciones y los avisos en
un fichero que almacene estos soportes.
La Entidad debe prever los casos en los que pueda requerir información adicional de los
ciudadanos- titulares, para lo que es necesario se analicen los supuestos y se desplieguen los
mecanismos para retomar el contacto con el ciudadano- titular de los datos. Estos supuestos
deben contar igualmente con los procedimientos de autorización y de aviso de privacidad
pertinentes.
 La Entidad debe procurar que los soportes y toda la información que tenga sea digitalizada
con el fin de administrarla de manera más ordenada y eficiente. De no ser posible, se deben
implementar procedimientos de archivística con el fin de que los expedientes y documentos
relativos al proceso sean registrados y almacenados de manera adecuada.
También es necesario que al momento de recolectar los datos personales de la población, existan
protocolos especiales de seguridad aplicables al proceso de obtención, en el cual se garantice
que no existirá intromisión alguna en la labor. En el momento en que se genere comunicación
con el ciudadano- titular, se debe informar a éste sobre la existencia de dichas medidas con el fin
de que las tenga presente y participe en la seguridad de sus datos personales.
Cumplidos las anteriores instrucciones, es posible proseguir a recopilar los datos identificados,
teniendo en cuenta en todo momento como parámetro de la recolección, que la obtención de
los datos debe ser interpretada a la luz de la finalidad y la necesidad que motivó el proceso, y a la
función legal que le permite a la Entidad realizar dicha labor.
Paso N° 13: Entablar contacto con el ciudadano- titular para la recolección
Datos
estadísticos y
poblacionales
Respecto de la información de carácter estadístico de la población, la Entidad al
momento de contactarse con el ciudadano- titular para adelantar el proceso de
obtención de los datos personales, deberá abstenerse de recoger información
de ciudadanos- titulares que puedan ver comprometida su vida, su integridad
física o su libertad, con ocasión en la recolección.
Mejores prácticas
Definido lo anterior, la persona encargada por la Entidad para adelantar la labor, debe
abstenerse de usar mecanismos secretos de recolección de información, como por ejemplo
grabadoras ocultas, y en general todo mecanismo que recolecte información innecesaria o de
manera secreta y fraudulenta en contra de la voluntad del ciudadano- titular.
Datos laborales
Si la información a recolectar es requerida al ciudadano- titular de la información
por medio de su hoja de vida, la Entidad no podrá obligarlo durante el proceso,
al suministro de una fotografía en el documento.
Al momento de realizar la entrevista o proceso de recolección de datos personales, se debe
informar verbalmente al ciudadano- titular acerca de toda la información relevante, la cual debe
estar contenida además, en el Aviso de Privacidad. Posteriormente, deben darse indicaciones
especiales acerca de la información que le será solicitada y la manera en la cual deberá
suministrarla.
Al comunicarse con el ciudadano- titular el servidor público designado debe implementar un
lenguaje sencillo y claro, que expresado amablemente permita resolver cualquier duda que el
ciudadano- titular tenga en el momento de la obtención de sus datos.
 Si durante el proceso de recolección se va a hacer uso de una grabadora de voz o
multimedia, el encargado de recopilar la información debe contar con el consentimiento del
ciudadano- titular antes de empezar el proceso e impartir indicaciones acerca de la
composición de la obtención de datos. Estos dispositivos deben situarse en un lugar visible,
con el fin de generar mayor confianza en el ciudadano- titular.
Durante la recolección de los datos personales el servidor público encargado de recopilar los
datos personales del titular de la información, debe obtener la suscripción de la Autorización por
parte del ciudadano- titular y darle el Aviso de Privacidad, luego, debe entregarle a este una
copia de su Autorización y del Aviso de Privacidad para que este conozca los derechos que le
asisten y demás información allí contenida.
En el caso que se pretenda recolectar datos personales relativos a la historia
clínica de los ciudadanos- titulares, esta información no podrá ser obtenida sin
Datos de la salud
previo consentimiento del ciudadano- titular de la información, o por medio de
mandato judicial o legal que releve este consentimiento.
Datos de
ubicación,
contacto y
comunicación
Si la Entidad va a administrar datos personales, relativos a la ubicación, contacto
y comunicación, deberá pedir en todo momento autorización de los usuarios
para el tratamiento de los datos de tráfico de comunicación y datos de
localización. Sin embargo, si el tratamiento se realizará en razón a una
comunicación que el ciudadano- titular ha entablado con la Entidad, se podrá
prescindir de dicha autorización.
En caso que el usuario niegue la autorización para la utilización de una Cookie, la
Entidad deberá informar de forma clara, expresa, suficiente y oportuna las
consecuencias derivadas de su negación.
 Al momento de entregar copia de la Autorización y el Aviso de Privacidad, el encargado de
suministrarlos debe informar brevemente de qué constan e indicar lo qué debe hacer el
titular de los datos para efectos de cualquier duda, inquietud, petición, queja o reclamo que
tenga en el futuro.
Finalmente, al terminar la recolección de información, si el ciudadano-titular expresa algún tipo
de comentario u opinión a la recopilación, estos deben ser registrados. Cuando se recojan dichas
opiniones o comentarios, estos deben almacenarse junto a la descripción de los sucesos y
circunstancias que los acompañaron, ya que esta información también se considera dato
personal. Su obtención debe contar también con la autorización y el consentimiento del
ciudadano- titular.
Paso N° 14: Crear copias de seguridad (back up´s)
Mejores prácticas
Luego de haber recopilado los datos personales de la población, con el fin de mitigar el riesgo
operativo al que se encuentran expuestas las bases de datos, la Entidad debe proceder a crear
una copia de seguridad de todos los datos personales que recolectó y almacenarla en una
plataforma o lugar diferente al que se encuentra localizada la información original.
A estas copias de seguridad les será aplicable las mismas medidas de seguridad a las aplicadas a
las Bases de Datos objeto de tratamiento.
Paso N° 15: Registrar la Base de Datos
Obligación legal
Cumplidos los anteriores pasos, la Entidad debe proceder a incluir la Base de Datos creada dentro
del Registro Nacional de Bases de Datos manejado por la Superintendencia de Industria y
Comercio, en el cual se debe indicar:






La finalidad y los usos del fichero.
Los ciudadanos o colectivos de los cuales se recopiló información.
Una descripción básica de los tipos de datos recopilados.
Los órganos de administración y el área encargada dentro de la Entidad para la
administración de la base de datos.
La manera como el ciudadano- titular puede ejercer el derecho a cancelar, rectificar
o modificar sus datos personales.
Las medidas de seguridad aplicable a la base de datos.
Es de gran importancia que al momento de registrar la Base de Datos, la Entidad aporte a la
Superintendencia de Industria y Comercio la Política de Tratamiento de Datos Personales
adoptada.
Paso N° 16: Autoevaluar el proceso de apertura y recolección de los datos personales
Mejores prácticas
Al finalizar los anteriores pasos se debe efectuar dentro de la Entidad la socialización de lo
transcurrido, indicando las dificultades y falencias que pudieron presentarse. El Comité
encargado debe citar a todos los miembros participantes de la labor y al Responsable y
Encargado de los datos personales, con el fin de contar con su participación en la autoevaluación.
Si de allí surge la necesidad de modificar la Política de Tratamiento, esta debe evaluarse y
proceder a realizar la modificación pertinente.
3. MANEJO DE LA BASE DE DATOS
Paso N° 17: Estructurar los canales de atención al ciudadano
Obligaciones legales
Una vez recolectada la información, la Entidad debe tener en cuenta que durante el proceso de
recolección de los datos personales y después de este, se deberán atender las solicitudes de los
ciudadanos- titulares conforme a sus datos personales, para lo cual debe preparar a sus
dependencias a brindar el adecuado servicio al ciudadano, de tal manera que este pueda
consultar en cualquier momento:
o La finalidad de la recolección de datos.
o Los datos personales que la Entidad tiene de este.
o Los medios para introducir sus datos personales en los casos en que sea
conveniente.
o La manera para contactarse con el responsable de sus datos.
Datos laborales
En todo caso, cuando la información que haya sido recolectada versa sobre
datos personales de naturaleza laboral, la Entidad debe tener en cuenta que si
ha recopilado información que pueda ser discriminatoria en contra del
ciudadano- titular de la información, ya sea por razones de raza, nivel
socioeconómico, tendencias ideológicas, económicas, religiosas, políticas o
sindicales, deberá restringirse el acceso a esta información, los servidores
públicos que por estricto cumplimiento de sus funciones podrán acceder a esta
información. Adicionalmente se deberá restringir el acceso a estos datos por
medios remotos y en caso que el titular desee conocerla, podrá hacerlo
únicamente ante las oficinas de atención de la Entidad.
Cuando se cuente con información relativa al estado de salud del ciudadanotitular de la información, estos datos deberán someterse al mismo proceso de
restricción.
Mejores prácticas
En estas oficinas de atención se deberán incluir formatos y proformas para que los ciudadanostitulares puedan elevar ante la Entidad peticiones, quejas y reclamos (PQR´s) en ejercicio de sus
derechos. En estos casos, la Entidad debe verificar al momento en que un ciudadano- titular exija
un derecho o prerrogativa sobre algún dato de naturaleza personal, su identidad y la legitimación
que lo habilita para ello.
Cuando ello ocurra, la Entidad deberá otorgarle al ciudadano-titular de la información, el Folleto
Informativo indicado en el Paso N° 6 de la presente Hoja de Ruta.
Datos
estadísticos y
poblacionales
Cuando los ciudadanos- titulares de la información hayan proporcionado datos a
la Entidad con fines estadísticos o poblacionales, o referentes a registros
administrativos u otros relativos al estado civil de los ciudadanos, estos no
podrán ser difundidos en forma individualizada, ni de cualquier otra manera que
permita la identificación de los titulares de la información.
Paso N° 18: Permitir al ciudadano- titular consultar sus datos personales
Obligaciones legales
Instauradas las oficinas de atención, el ciudadano- titular puede acudir a estas con el fin de
consultar la información personal que reposa en las bases de datos de la Entidad, por tal motivo
deberá permitir que el ciudadano- titular de la información acceda y consulte sus datos
personales, disponiendo de trámites adelantados directamente ante la Entidad o de manera
remota, ya sea telefónicamente, vía web o e-mail, o contactándose con el Responsable o
Encargado de la información.
Datos acerca del
honor, la
intimidad, la
identidad sexual
y la libre
expresión
No obstante si la naturaleza de los datos está relacionada con el honor, la
intimidad, la identidad sexual y la libre expresión de las personas, esta
información no podrá ser divulgada por medio de dispositivos de escucha o de
filmación, ni por medio de aparatos ópticos o de cualquier otro tipo que
permitan que servidores públicos, o en general personas no autorizadas, lleguen
a conocer su contenido.
Mejores prácticas
o En este proceso, el ciudadano- titular de la información puede solicitar ser informado
acerca de la Política de Tratamiento de Datos Personales.
o Igualmente se debe contar con los mecanismos que permitan a la Entidad corroborar
la identidad del consultante, previniendo fraudes o suplantaciones.
Obligaciones legales
Si al revelar información sobre el ciudadano- titular que pidió acceder y consultar sus datos se
requiere a su vez revelar información sobre un tercero, se deberá haber obtenido la autorización
de éste para revelar la información.
Si la Entidad está administrando datos de naturaleza laboral que versan sobre la
existencia y negociación de un conflicto laboral colectivo, como por ejemplo la
negociación que existe entre empleador y trabajadores en virtud de un pliego de
peticiones sindical, deberá permitir que tanto los trabajadores agremiados como
todo aquel trabajador que se vea involucrado dentro de esta relación, puedan
consultar y acceder a esta información.
Datos laborales
 Con base en ello, la Entidad desplegará los protocolos de identificación de
estos sujetos con el fin de que se logre acreditar su interés en el conflicto
laboral y les sea permitido consultar esta información, restringiendo
igualmente, el acceso a servidores públicos, y en general a cualquier tipo de
personas, que no tengan interés alguno en la relación.
 Estos mecanismos serán aplicables también, en los casos en que el
ciudadano- titular de la información sea un trabajador que desea conocer su
historial laboral.
Por otro lado, cuando la información a la que desea acceder el ciudadano- titular
de la información sea relativa a su seguridad social en temas pensionales, la
Entidad estructurará el suministro de la información de tal manera que pueda
conocer de manera ordenada y entendible el estado de sus cuentas, las semanas
cotizadas, los montos aportados, los tiempos restantes para obtener una
pensión, etc.
Cuando se permita el acceso al ciudadano- titular de la información por parte de la Entidad, esta
debe ser brindada de forma gratuita, a menos que el ciudadano eleve más de una vez la misma
consulta, en un periodo corto de tiempo, es decir de manera reiterada en el correr de dos meses,
caso en el cual deberá exigirse el pago de un valor equivalente al costo de la reproducción y
envío al solicitante, que en ningún momento podrá representar un lucro en favor de la Entidad.
Mejores prácticas
 En todo momento, el ciudadano-titular de la información debe tener la posibilidad de
actualizar por sí mismo los datos personales. Para ello, la Entidad dispondrá de los canales
para que el sujeto pueda realizar esa labor sin necesidad de interponer una petición.
Datos acerca del
honor, la
intimidad, la
identidad sexual
y la libre
expresión
Datos de la
salud
Cuando los datos personales versen sobre el honor, la intimidad, la identidad
sexual y la libre expresión del ciudadano- titular de la información, la Entidad
debe facilitar los mecanismos para que el ciudadano pueda corregir la
información que no sea exacta, real o adecuada, teniendo en cuenta que no
puede pedir soportes para demostrar estas situaciones.
Es de resaltar que si los datos personales del ciudadano- titular se
encuentran contenidos dentro de la historia clínica del mismo, estos no
podrán ser consultados por medios masivos o remotos, como por
ejemplo internet.
Paso N° 19: Atender las Peticiones, Quejas y Reclamos (PQR´s) dirigidas a crear, modificar, rectificar
o actualizar los datos personales.
Obligaciones legales
Internamente se destinará la estructura administrativa dirigida a la atención de las PQR’s,
proporcional al tamaño de la Entidad. De esta manera, cuando el ciudadano- titular acuda a la
Entidad a presentar un requerimiento, esta debe ofrecer los formatos correspondientes, ya sea
en versión física o electrónica, para que los ciudadanos- titulares de la información lo diligencien
y puedan formular sus peticiones, quejas o reclamos de manera sencilla. Este formulario deberá
pedir, como mínimo:





La identificación del ciudadano- titular.
Los datos sobre los cuáles versa su solicitud.
Los datos de contacto.
La motivación que da origen a la solicitud.
Los documentos que soportan su petición, queja o reclamo.
Si el diligenciamiento del formulario no se hizo de manera correcta o se hizo de manera
incompleta, deberá informársele al ciudadano- titular dicha situación dentro de los cinco (5) días
subsiguientes a la recepción, con el fin que este corrija las fallas. Debe indicarse las razones por
las cuales requiere corregir su solicitud y la manera como debe hacerlo.
Mejores prácticas
Una vez remitida la petición, queja o reclamo, en un término no mayor a dos (2) días, se debe
proseguir a incluir dentro de los datos sobre los que verse el requerimiento, la leyenda “peticiónqueja-o -reclamo en trámite” siempre distinguiendo el tipo de comunicación que entabló el
ciudadano.
 Esta leyenda podrá ser borrada en el momento en que culmine y sea atendida la PQR.
Obligaciones legales
Posteriormente, la Entidad contará con un término máximo de quince (15) días para responder el
acto. Este término podrá prorrogarse pero nunca por más de ocho (8) días adicionales al primer
término. Cuando opere esta prórroga la Entidad deberá avisar al ciudadano- titular sobre dicho
suceso, indicando las razones que justifiquen esta decisión. En todos los casos, la Entidad deberá
abstenerse de prorrogar este término a menos que realmente sea necesario.
Durante el trámite de la PQR la Entidad deberá categorizar los requerimientos según su
antigüedad, los tiempos de respuesta, el tipo, las veces en las que se ha presentado y demás
aspectos que individualicen cada una de las peticiones, elevadas por la ciudadanía.
Si el ciudadano- titular desea actualizar sus datos personales, la Entidad debe atender a su
solicitud por cualquier medio, permitiendo que el ciudadano indique las razones por las cuales
elevó su requerimiento, a lo cual deberá proceder a:
o Crear, si la información no había sido consignada dentro de la base de datos.
o Rectificar, si la información consignada era errada.
o Actualizar, si la información consignada no se encuentra vigente.
 Si la PQR formulada por el ciudadano no tiene como finalidad ninguna de las pretensiones
aquí mencionadas, sino la de suprimir los datos personales bajo pedido, será necesario
remitirse al Paso N° 28 donde se explican los procedimientos pertinentes a este tipo de
requerimiento.
Mejores prácticas
 Si al finalizar el proceso resulta que la Entidad debe incluir nuevos datos personales en sus
bases, debe proceder a cumplir con las instrucciones descritas en la Etapa de Recolección de
la Información, toda vez que allí se consignan obligaciones en favor de los derechos de los
ciudadanos- titulares de la información.
Al culminar el trámite, internamente la Entidad deberá registrar dentro de las bases de datos, los
acontecimientos ocurridos que la hayan modificado por medio de una anotación que será
incluida en esta.
Paso N° 20: Actualizar de oficio las bases de datos
Obligaciones legales
La Entidad debe brindarle al ciudadano- titular los medios idóneos para que este pueda actualizar
su información cuando ello de lugar. De igual forma, la Entidad debe velar por actualizar
periódicamente los datos de los ciudadanos, operación que deberá llevarse a cabo según los
tiempos preestablecidos y la naturaleza del dato.
Datos acerca del
honor, la
intimidad, la
identidad sexual
y la libre
expresión
Cuando la Entidad administre datos relativos a la situación judicial y penal de los
ciudadanos, deberá contar con los mecanismos necesarios para que de oficio, se
actualice la información contenida en las bases de datos.
De esta manera, debe proceder a vigilar el estado de las sentencias que
modifican la situación jurídica del ciudadano- titular. En el caso que una persona
haya sido condenada por un delito, la Entidad deberá estar atenta a la
culminación de la condena impuesta, y proceder a corregir su información en los
supuestos en los cuales la persona haya sido absuelta.
Paso N° 21: Calificación del proceso por parte del ciudadano- titular
Mejores prácticas
Cuando finalice el proceso de atención de solicitudes para la actualización de los datos
personales, se debe pedir al ciudadano- titular que califique el servicio prestado. Para dar
cumplimiento a ello, la Entidad debe implementar un procedimiento de calificación al finalizar la
atención al ciudadano en el que este, si desea hacerlo, calificará la atención brindada por el
servidor público encargado, de la siguiente manera: excelente, muy bueno, bueno, regular o
malo, dependiendo de la percepción que haya tenido en el proceso.
La calificación que el ciudadano- titular le otorgue al proceso debe ser anónima y contabilizada
de tal manera que al finalizar el periodo se pueda obtener un ponderado de las calificaciones
emitidas por la ciudadanía, ello con el fin de prevenir una atención imparcial en contra del
ciudadano que otorgó una calificación negativa.
Paso N° 22: Cambio de finalidad en el tratamiento de la información
Obligaciones legales
Durante el tratamiento de los datos personales administrados por la Entidad, puede surgir la
necesidad de utilizar los datos en otra finalidad, a lo que la Entidad deberá pedir nuevamente la
autorización a los ciudadanos- titulares para que se pueda realizar un nuevo tratamiento de la
información de forma legítima.
Paso N° 23: Interoperar con otras eentidades de la Administración Pública
Obligaciones legales
Esta operación permite que la Entidad pueda compartir información con otras entidades, sean de
naturaleza pública o privada. Esta operación podrá llevarse a cabo por la Entidad de manera
sistemática o por rutina, al haber establecido una finalidad mediante un contrato o una norma
legal, o excepcional en los casos en que exista una situación especial que así lo requiere, como
por ejemplo en los casos en los que medie una orden judicial.
Datos de
ubicación,
contacto y
comunicación
Si la Entidad que comparte información con otra Entidad, maneja datos de
ubicación, contacto y comunicación, se encontrará autorizada a realizar esta
operación sólo para la prevención y control de fraudes en las comunicaciones y
el cumplimiento de las disposiciones legales y regulatorias que así lo permitan,
por lo que la Entidad deberá identificar la función legal que le permita
específicamente interoperar.
Paso N° 24: Suscribir el Contrato de Transmisión de datos
Obligaciones legales
Antes de transferir información a otra Entidad de manera sistemática, se deben considerar las
consecuencias legales de hacerlo, como también la existencia de algún deber de confidencialidad
para con el ciudadano- titular de la información. Si la Entidad desea transferir datos a otra, debe
primero determinar si cuenta con la habilitación dada por su función legal; esto lleva a la Entidad
a verificar si la transferencia se llevará a cabo en ejercicio de las funciones otorgadas por la
legislación o por una norma que así lo habilita.
Mejores prácticas
Por este motivo, antes de suscribir el contrato de transmisión, dentro de la Entidad deben
debatirse los siguientes cuestionamientos:






¿Qué objetivo se busca?
¿Qué información necesita ser transferida sin que sea excesiva para su finalidad?
¿Quién requiere acceder a los datos transferidos?
¿La función legal de la Entidad receptora, cubre el tratamiento de los datos personales?
¿Cómo debe ser compartida la información?
¿Qué riesgo representa para el ciudadano- titular la operación? ¿Qué posibilidad de daño
existe en contra de este?
 ¿Podría lograrse el objetivo planteado, sin transferir la información?
Una vez respondidas estas preguntas, la Entidad tendrá la información suficiente para sustentar
la celebración del contrato de transmisión de datos que va a ser suscrito con la otra Entidad.
Mejores prácticas
 En todo caso, la Entidad deberá abstenerse de transferir datos que se encuentran en
trámite, ya sea bajo una petición, queja o reclamo, es decir que tengan inscrita la leyenda:
“Petición, queja o reclamo en trámite”; tampoco podrá transferir los datos personales en los
casos en los que ello no se encuentre permitido.
Teniendo en cuenta lo anterior, es posible proceder a celebrar el contrato de transmisión de
datos con la Entidad receptora de los datos personales, indicando en este, según lo dispone el
artículo 25 del Decreto 1377 de 2013, los siguientes elementos:
 Las partes que van a suscribir el contrato.
 Las razones que dieron origen a la transmisión.
 Las instrucciones formuladas por la Entidad Responsable que la Entidad Encargada debe
seguir.
 Los datos personales sobre los cuales se realiza la operación.
 Las salvaguardas de seguridad aplicables a las bases de datos.
 Las medidas de confidencialidad aplicables a los datos transferidos.
 Los documentos anexos que garanticen que la Entidad receptora cumple con las medidas
de seguridad y confidencialidad.
 El área encargada en la Entidad receptora de administrar los datos personales.
 El perfil de los servidores encargados de esa labor.
 Si se van a transferir datos de naturaleza sensible, estos deben ser encriptados.
 La referencia donde se exprese la aceptación por parte de la Entidad receptora de los
datos personales a transmitir.
 El señalamiento de algún régimen específico de eliminación o retención de datos.
 La fecha y firma de los suscriptores.
Una vez suscrito el contrato y transferidos los datos, si la Entidad remitente evidencia que la
receptora de la información está incumpliendo las garantías otorgadas para salvaguardar la
seguridad e integridad de los datos personales, podrá suspender la transferencia de información,
y reportar el suceso a la Superintendencia de Industria y Comercio.
 Cualquier transferencia de datos y en general cualquier ingreso o salida de ellos se deben
registrar, indicando qué información se ha compartido, cuando, a quién y con qué
propósito.
Paso N°25: Gestionar incidentes de seguridad
Mejores prácticas
Si durante el manejo de datos personales ocurren fallas de seguridad que pongan en peligro los
derechos de los ciudadanos- titulares de la información, ya sean fraudes, robos de identidad o
suplantaciones, entre otros, la Entidad debe desplegar los protocolos de seguridad y de
respuesta preestablecidos para combatir la situación. Por ello, en el momento en que surja la
noticia acerca de un presunto incidente de seguridad, lo primero que debe hacer la Entidad es
investigar los sucesos y esclarecer la ocurrencia del mimo.
Luego, si de la investigación hecha por la Entidad resulta el descubrimiento de un incidente, debe
desplegar con urgencia, junto al área especializada, los planes de respuesta al incumplimiento de
las medidas de seguridad, para que una vez evaluadas las posibilidades y las soluciones al
problema, estas sean aplicadas con el fin de mitigar y reparar los daños ocasionados por la falla
de seguridad.
Datos acerca
del honor, la
intimidad, la
identidad
sexual y la libre
expresión
En el caso en el que el incidente haya afectado los datos acerca del honor,
la intimidad, la identidad sexual y la libre expresión del titular de la
información, la Entidad debe reparar al particular que pudo ser agraviado.
La Entidad deberá contribuir, mediante la recomendación de apoyos
psicológicos u otros mecanismos adecuados, a la reparación de los daños
morales causados a una persona en los casos en los cuales se haya
concretado un riesgo derivado de la administración de los datos relativos
al honor, la identidad sexual, la intimidad y la libre expresión de los
ciudadanos.
Finalmente y tras controlarse el incidente, la experiencia obtenida en este proceso debe ser
consignada dentro de las políticas de seguridad de la información y aportadas dentro de los
procedimientos de contención y respuesta ante incidentes de seguridad, la cual debe ser
implementada en los casos en los que lo ocurrido haya sido un incidente imprevisible por la
Entidad.
Paso N° 26: Notificar el incumplimiento de las medidas de seguridad
Mejores prácticas
Cuando ocurra el incidente de seguridad que ponga en peligro la integridad de los datos
personales y su privacidad, o pueda generar algún riesgo a los derechos de los ciudadanostitulares de la información, la Entidad deberá proceder a notificar estos sucesos a los ciudadanos
interesados, esto, concomitante a la gestión del incidente.
En este sentido, es obligación de la Entidad notificar a la Superintendencia de Industria y
Comercio y a las autoridades competentes el tipo de suceso, así como al ciudadano-titular de la
información.
Si ocurren incidentes que puedan afectar la intimidad del ciudadano tales como intromisiones en
alguno de los sistemas de seguridad, fugas de información, usos no adecuados, accesos no
autorizados, alteraciones de los datos personales, revelaciones no autorizadas, destrucción de los
datos, suplantación del ciudadano- titular de los datos o cualquier tipo de fraude en los que se
vean involucrados los datos personales, será necesario notificar a los sujetos nombrados
anteriormente.
Para dar cumplimiento a lo anterior, la Entidad debe proceder a notificar el incumplimiento a las
autoridades así como al ciudadano- titular; este último con la mayor brevedad de tiempo,
haciendo uso de mecanismos que permitan conocer dicha incidencia.
La Notificación de Incumplimiento al ciudadano- titular debe indicar como mínimo la siguiente
información:




Descripción de las circunstancias del incidente y la fecha o periodo en que ha ocurrido.
Los datos personales expuestos al incidente de seguridad.
Las recomendaciones pertinentes sobre las acciones que ha de tomar.
Las medidas correctivas tomadas por el Encargado de los datos personales con el fin de
reducir el riesgo de daño.
 El procedimiento a seguir en el cual el ciudadano- titular podrá obtener información
adicional con respecto al suceso.
 Los datos de contacto del área encargada que pueda responder, en nombre de la
Entidad, preguntas acerca del incidente.
Paso N° 27: Auto-Certificación de la Entidad
Mejores prácticas
La Entidad deberá adelantar periódicamente procesos de auto-certificación de sus políticas, los
cuales se llevarán a cabo elaborando anualmente un informe que consigne el resultado de la
evaluación interna en cuanto a su desempeño en políticas de privacidad y en general en
protección de datos personales. Lo anterior debe ser incluido en un documento que debe ser
redactado de manera comprensible y puesto al conocimiento del público.
Este documento servirá como prueba ante la Superintendencia de Industria y Comercio del
surgimiento de posibles conflictos por la implementación de las anteriores políticas o ante
auditorias en protección de datos.
Paso N° 28: Autoevaluar el proceso de manejo de los datos personales
Mejores prácticas
Finalizados los anteriores pasos, el Comité especializado debe ser convocado para evaluar los
procedimientos adelantados después de la recolección de la obtención de los datos; de esta
manera, se procederá a autoevaluar el rendimiento de la Entidad en la etapa de manejo de las
bases de datos.
Dentro de esta operación se evaluarán los sucesos ocurridos durante el manejo de estos, se
estimarán las dificultades que pudieron presentarse y se postularán y aprobarán las medidas a
incluir para modificar la Política de Tratamiento de Datos Personales.
4. CIERRE DE LA BASE DE DATOS
Paso N° 29: Atender las peticiones, quejas y reclamos dirigidos a suprimir los datos personales
Obligaciones legales
Es de resaltar que durante la etapa de manejo de los datos personales administrados por la
Entidad, los ciudadanos-titulares de la información pueden elevar solicitudes a esta con el fin de
suprimir los datos personales contenidos dentro de las bases de datos, por ello, cuando el sujeto
solicite la supresión de sus datos personales, la Entidad deberá pedir a este la siguiente
información:
Mejores prácticas
 Su identificación.
 Sus datos de contacto.
 Los datos sobre los cuales versa su solicitud.
 Una explicación breve acerca de los motivos que dan origen a esta.
 Las copias de los documentos que dan soporte a esta solicitud.
Una vez radicada esta solicitud, se debe indicar al solicitante los tiempos de respuestas que
existen para dar trámite a esta, y acatando los tiempos descritos en el Paso N° 19 de la presente
Hoja de Ruta. De esta manera mientras se da respuesta a la solicitud, debe inscribirse una
leyenda sobre el dato objeto del requerimiento que diga: “petición, queja o reclamo en trámite”
de la misma manera como se haría si existe una exigencia para actualizar los datos personales.
Obligaciones legales
Del mismo modo como se señaló en el Paso N° 19, durante el trámite de la PQR la Entidad
deberá categorizar los requerimientos según su antigüedad, los tiempos de respuesta, el tipo, las
veces en las que se ha presentado y demás aspectos que individualicen cada una de las
peticiones, quejas o reclamos elevados por la ciudadanía. Este procedimiento deberá cumplirse
todas las veces que la Entidad atienda una petición, queja o reclamo.
Cuando finalmente se dé respuesta al ciudadano- titular de la información, la Entidad tiene la
posibilidad de responder que:
o
o
o
Su solicitud es incompleta o necesita subsanarse, para lo cual deberá remitirse
nuevamente a lo dispuesto en el Paso N° 19 que hace alusión a este tema.
Concede su solicitud, caso en el cual debe proceder a suprimir los datos personales
bajo pedido.
No concede su solicitud, donde deberá motivar su respuesta y exponer las razones de
fondo por las que no accedió a la solicitud del ciudadano.
Mejores prácticas
 Este procedimiento puede ser ofrecido ante las oficinas de la Entidad, vía web o
electrónicamente por medio del uso de e-mail.
Paso N° 30: Calificación del proceso por parte del ciudadano- titular
Mejores prácticas
Una vez finalizado el anterior proceso de atención de solicitudes para la cancelación de los datos
personales, se le debe pedir al ciudadano- titular que califique el servicio prestado, en el
entendido que este podrá elegir si lo hace o no. La calificación que el ciudadano- titular le
otorgue al proceso debe ser anónima y contabilizada de tal manera que al finalizar el periodo se
pueda obtener un ponderado de las calificaciones.
Para dar correcto cumplimiento a esta instrucción, será necesario remitirse al Paso N° 20 de la
presente Hoja de Ruta.
Paso N° 31: Determinar el cumplimiento de la finalidad, necesidad y temporalidad en la
administración de datos personales
Obligaciones legales
En la Entidad deben implementarse dentro de los sistemas de administración, mecanismos de
alerta que indiquen al Responsable o al Encargado de los datos personales en qué momento
culmina la finalidad por la cual se administran los datos personales, la necesidad por la cual estos
fueron recolectados y el término de tiempo predispuesto para usar la información recogida
según el criterio de temporalidad.
En ese sentido, una vez surgida la alerta relativa a la terminación de la finalidad, necesidad y
temporalidad mencionadas, el Responsable o Encargado debe examinar si requiere o no
prorrogar este término con el fin de continuar el tratamiento de los datos personales si así lo
requiere:
o Si necesita prorrogarlo, debe obtener nuevamente el consentimiento por parte del
ciudadano- titular. (Si ello ocurre debe surtir nuevamente los pasos descritos en la Etapa
de Recolección de la Información).
o Si no necesita prorrogarlo, puede proseguir a aplicar lo que a continuación se indica.
Mejores prácticas
Para tomar una decisión correcta acerca de si es procedente prorrogar o no el termino de uso de
la información personal de los titulares de los datos, la Entidad, al momento en el cual examine si
la base de datos sigue siendo necesaria o por el contrario puede ser cancelada, debe tener en
cuenta factores jurídicos como la caducidad de las acciones relacionadas con los datos
personales, la prescripción de derechos y la duración de una relación jurídica ya entablada, ya
que si dentro de la Entidad se suprime un dato que puede ser requerido posteriormente, se
estaría originando una situación que en el futuro puede representar problemas para la Entidad.
Tratándose de datos personales de naturaleza laboral, la Entidad, al momento
de examinar el cumplimiento de la finalidad por la cual se recolectaron sus datos
personales, debe tener en cuenta que podrá proceder a cancelar estos datos
cuando haya finalizado el vínculo laboral entre la Entidad y el ciudadano- titular
de la información.
Datos laborales
Una vez clarificada esta situación, es posible remitirse directamente al Paso N°
32 relativo a la anonimización de los datos personales.
 Sin embargo, deberán conservarse los datos personales que acrediten
que existió una relación laboral entre la Entidad y el ciudadano- titular
de la información.
Paso No. 32: Suprimir los datos personales
Obligaciones legales
Si la Entidad en virtud a una solicitud por parte del ciudadano-titular de la información, o en
razón al agotamiento de la finalidad, necesidad o temporalidad en la recolección de datos, debe
proceder a eliminar los datos de un ciudadano, deberá implementar entonces los siguientes
procedimientos según sea el caso:
o Si los datos se encuentran plasmados en papel y archivos físicos, eliminar los datos
implementando procedimientos de destrucción documental.
o Si los datos son almacenados electrónicamente, se deberá borrar la información de las
plataformas informáticas.
Es de resaltar que si la Entidad maneja datos personales de ubicación, contacto y
comunicación, podrá conservar los datos de tráfico en las siguientes situaciones:
Datos de
ubicación,
contacto y
manejo





Datos
estadísticos y
poblacionales
Si se ha recibido el consentimiento del ciudadano-titular.
Si se utilizan para aportar valor agregado a un servicio.
Si se utilizan con fines de facturación o pago de interconexiones, en un
periodo acorde con la necesidad de conservarlos, atendiendo a los factores
de prescripción o caducidad de las acciones procedentes para el cobro o
facturación de los mismos.
Si se utiliza para prevenir fraudes.
Si se tienen para responder a peticiones, quejas o reclamos de los
ciudadanos- titulares de la información.
En lo que respecta a datos estadísticos o poblacionales, cuando la Entidad
considere que estos ya no son útiles en razón a que su contenido ya no es
requerido por la Entidad, deberán ser eliminados por el Área encargada de su
administración:
 Mediante procedimientos de destrucción documental en los casos en los que
estos estén consignados en archivos físicos.
 En los casos en los cuales estos datos se encuentren almacenados en medios
electrónicos, se debe acatar las instrucciones descritas en el Paso N° 33 que a
continuación se explica.
Paso N° 33: Anonimizar o despersonalizar los datos personales
Mejores prácticas
No obstante lo dispuesto en el paso anterior, la anonimización o despersonalización de los datos
personales es un proceso viable para la Entidad en los casos en los que no desee desechar la
información recolectada en tanto la información es despojada de los aspectos que permitan ligar
la información recopilada con la personalidad del titular de la misma. En ese sentido, se retiran
aquellos apartes de información de naturaleza sensible que pueda generar discriminación en
contra de los ciudadanos- titulares de aquella.
La Entidad puede optar por procesos de anonimización o despersonalización de los datos
personales de los ciudadanos- titulares de la información en los casos en los que existan fines
científicos, históricos o estadísticos que permitan un posterior uso de la información, o en los
casos en que medie autorización judicial o de autoridad competente que permita conservar los
datos personales de los ciudadanos- titulares de la información.
Datos
estadísticos y
poblacionales
Datos de
ubicación,
contacto y
comunicación
Cuando las bases de datos contengan información estadística de la
población, en relación con el impacto de enfermedades y los esfuerzos
para prevenir a todos los ciudadanos- titulares acerca de sus
implicaciones, la Entidad correspondiente deberá asegurar la
anonimización de los datos de los ciudadanos - titulares de la
información.
En los casos en los que la Entidad administre datos de tráfico, estos
deberán ser eliminados o hechos anónimos cuando sean usados para la
transmisión de las comunicaciones que los contienen.
Conforme a lo anterior, la Entidad podrá optar por este procedimiento una vez se vea obligada a
cancelar las bases de datos en los casos en que se haya cumplido su finalidad, necesidad o
temporalidad, o cuando el ciudadano- titular así lo pida y resulte procedente. De igual manera
podrá acudir a este proceso cuando los datos recabados por la Entidad permitan detectar
automáticamente la identificación de una persona y represente un riesgo para el ciudadanotitular de la información.
Este procedimiento debe ser implementado por la Entidad en los casos en los que los datos
personales sean requeridos para fines científicos, estadísticos, históricos o para el beneficio de la
población nacional.
Este proceso deberá ser implementado en todo momento por parte de la
Entidad, en los casos en los que se transfiera la información a otras entidades
Datos de la salud
por razones sanitarias o de salud pública, específicamente sobre los datos de
contenido sensible.
En este orden de ideas, si la Entidad luego de evaluar si este proceso es el más conveniente,
decide anonimizar o despersonalizar los datos personales contenidos en sus Bases de Datos, en
lugar de borrarlos o eliminarlos por completo, deberá entonces cumplir las siguientes
instrucciones:
Inicialmente deberá seleccionar los datos que deben ser cancelados y despojados de aquella
información que pueda llegar a individualizar a su titular, luego, procederá a eliminar la
información que ostente naturaleza sensible o que pueda generar discriminación en contra del
ciudadano-titular, como también aquella información que haga referencia a su esfera personal y
pueda originar la creación de perfiles que puedan afectar sus derechos.
De esta manera, la Entidad ha anonimizado los datos personales recogidos en un principio, pero
conservando aquella información que no pone en peligro los derechos del ciudadano- titular de
la información.
Datos laborales
Si los datos personales versan sobre el historial laboral de una persona, esta
información debe ser sometida a procesos de anonimización.
Finalmente y para efectos de transparencia, la Entidad debe informar al titular de los datos
personales acerca del proceso llevado a cabo sobre su información y sobre el estado actual de
sus datos personales.
Paso N° 34: Publicar la gestión y el desempeño de la Entidad en cuanto a la protección de datos
Mejores prácticas
En estas instancias la Entidad deberá proceder a elaborar un Informe Final del proceso, el cual
será de naturaleza pública y se indicarán los resultados de la recolección, teniendo en cuenta que
si se requiere publicar información relacionada con algún dato personal, dicho dato debe estar
previamente anonimizado.
Datos
estadísticos y
poblacionales
Al momento de publicar la gestión y el rendimiento de la Entidad en
cuanto a la administración y manejo de datos poblacionales y estadísticos,
la información que se encuentre consignada en estos estudios no debe
divulgar datos individuales de la población.
 Por tanto la Entidad al momento de divulgar esos estudios debe
procurar brindar la información de manera consolidada, sin que sea
posible identificar a los ciudadanos- titulares de los datos
individualmente considerados.
 Deberá entonces implementar procesos de anonimización y
despersonalización de los datos personales de la manera como se
explica en el Paso N° 33 de la presente Hoja de Ruta.
Datos de la
salud
No obstante, si la Entidad maneja datos personales relativos a la salud, la
divulgación de las historias clínicas de los ciudadanos- titulares de la
información, no podrá hacerse sin su consentimiento previo.
Paso N° 35: Finalización del proceso de cierre de las bases de datos
Mejores prácticas
Al finalizar el proceso de cierre de las bases de datos y de la información innecesaria, se debe
proceder a verificar si la eliminación o anonimización de los datos se ha realizado de manera
correcta. Para estos fines la Entidad deberá con los servidores públicos encargados de la
evaluación, verificar cada uno de los pasos surtidos en la apertura, obtención, manejo y
cancelación de las Bases de Datos, con el fin que se revise si la Entidad cumplió o no los
procedimientos aquí descritos.
Si se hizo de manera correcta la administración de los datos, se procederá a certificar la
cancelación de los datos y a archivar los datos anonimizados. Si por el contrario se ha omitido
algún paso dentro de la presente Hoja de Ruta, será necesario efectuar las instrucciones omitidas
y evaluar las consecuencias de ello con el objetivo de repararlas.
El Informe Final en el que se certifique que la Entidad cumplió satisfactoriamente la
administración de los datos personales deberá contener soportes que acrediten el cumplimiento
y ser archivado.
Paso N° 36: Autoevaluación final de la administración de datos personales
Mejores prácticas
Luego de haber culminado esta etapa, el Comité especializado debe reunirse con el fin de evaluar
el proceso de cancelación de las Bases de Datos e interiorizar la experiencia obtenida en esta
etapa para efectos de proponer y evaluar medidas pertinentes destinadas a la Política de
Tratamiento de Datos Personales. Se deberán discutir inicialmente las dificultades
experimentadas durante la cancelación de los datos personales, como también las falencias que
se lograron vislumbrar.
Posteriormente, se deben proponer los métodos para evitarlas y mejorar el proceso, con la
finalidad de que luego de efectuado un consenso se elijan las medidas a incorporar dentro de la
Política de Tratamiento de Datos Personales.
4. HOJA DE RUTA PARA LA ADMINISTRACIÓN DE DATOS PERSONALES DE
NATURALEZA FINANCIERA, CREDITICIA Y COMERCIAL, DIRIGIDA A LAS
EENTIDADES DE LA ADMINISTRACIÓN PÚBLICA
DEFINICIONES ESPECIALES A TENER EN CUENTA
a) Agencia de Información Comercial: Es toda aquella Entidad que tiene como actividad principal
la recolección, validación y procesamiento de información comercial sobre las empresas y los
comerciantes. Para efectos de la Ley 1266 de 2008, las agencias de información comercial
son operadores de información y fuentes de información.
b) Fuente de información: Es quien tiene la función de recibir o conocer los datos personales del
titular de la información, en virtud a una relación comercial o financiera, basado en el
mandato legal o por la autorización otorgada por parte del titular de la información.
Conforme a dicha función la Fuente recopila los datos y los facilita al operador de
información.
c) Información Comercial: Aquella información histórica y actual relativa a la situación
financiera, patrimonial, de mercado, administrativa, operativa, y sobre el cumplimiento de
obligaciones y demás información relevante para analizar la situación integral de una
empresa.
d) Información negativa: Esta información hace alusión a obligaciones dinerarias incumplidas y
reconvenidas en mora por parte del acreedor, por retardo injustificado del titular de la
información, la cual reposa en los bancos de datos de una Entidad. La información no podrá
tener connotación negativa, en los casos en los que la mora haya sido originada en razón al
secuestro, la desaparición forzada o el desplazamiento forzoso del titular de la información.
e) Información positiva: Es aquella que se reporta sobre el titular de la información en los casos
en los que sus obligaciones se reportan como cumplidas.
f) Operador de información: Es quien recibe la información de la fuente y tiene como
responsabilidad administrar y poner en conocimiento del usuario dicha información. Al
momento en el que el operador tiene acceso a la información deberá garantizar la debida
protección de los derechos de los titulares de la información. En el caso en que el operador
actúe también como fuente de información, le serán aplicables las disposiciones normativas
para uno y otro.
g) Usuario de información: Es quien tiene la posibilidad de acceder a la información personal de
uno o varios titulares de la información suministrada por el operador o directamente por la
fuente de información. Este sujeto tiene la obligación de cumplir los deberes plasmados en la
normatividad y garantizar el derecho fundamental de habeas data de los ciudadanos y
titulares de la información. Si el usuario entrega información directamente al operador de
información, será tratado como fuente y asumirá sus responsabilidades.
h) Titular de la información: La expresión de titular de la información, según lo dispone la Ley
1581, hace alusión a la “Persona natural cuyos datos personales sean objeto de
Tratamiento”, definición que debe complementarse con los términos de la Ley 1266 de 2008,
en tanto aquella dispone que Titular será “la persona natural o jurídica a quien se refiere la
información que reposa en un banco de datos y sujeto del derecho de hábeas data y demás
derechos y garantías a que se refiere la presente ley.”
1. CREACIÓN DE LOS BANCOS DE DATOS
Paso N° 1: Identificación de la función legal de la Entidad
Para iniciar la recopilación de los datos personales de la población, que tienen naturaleza
financiera, comercial y crediticia, la Entidad debe identificar cuál es la norma que la habilita para
recoger estos datos y la función que la Ley le ha otorgado.
Es de resaltar que la información que la Entidad recopilará tiene como finalidad realizar estudios
de riesgo de los ciudadanos- titulares de la información y análisis crediticio a los que estos serán
sometidos, no obstante la información recopilada no debe hacer prevalente las obligaciones
incumplidas por parte de este sujeto, sino que también debe hacer caso a otros factores técnicos
que permitan complementar el tratamiento de los datos personales.
Aclarada la función legal y la naturaleza de estos datos, la Entidad debe tener en cuenta, en lo
que respecta al tratamiento de datos personales referentes a esta tipología, las disposiciones
normativas contenidas dentro de la Ley 1266 de 2008 y sus reglamentaciones, las cuales son
aplicables de manera preferente, de cara a la Hoja de Ruta Principal.
Teniendo clara la función que ha sido otorgada por la normatividad a la Entidad e identificada la
calidad en la cual esta actuará según la Ley 1266 de 2008, es necesario tener en cuenta el
objetivo de la recolección de la información que se pretende recabar. Esta finalidad debe
obedecer a una finalidad legítima de acuerdo a la Constitución y la Ley, la cual debe ser
informada al ciudadano- titular en los casos en los que la Entidad actúe como fuente de
información.
Paso N° 2: Determinar si la Entidad será fuente, operadora o usuaria de los datos personales
La Ley 1266 de 2008 establece unos deberes especiales dependiendo del tipo de sujeto dentro
del flujo de la información comercial y financiera que se recaba del ciudadano- titular. Así:
 Si la Entidad es quien va a recibir los datos personales suministrados por el ciudadano- titular
de la información, ésta actuara como fuente de información.
 Si la Entidad es quien recibe de una fuente diferente los datos personales relativos a esta
tipología, los administra y los comparte a los usuarios de la información, ésta actuará como
operadora de información.
 Si la Entidad es quien accede y consulta los datos personales de uno o varios ciudadanostitulares de la información suministrada por el operador o la fuente, ésta actuará como
usuaria de la información.
La identificación de la calidad en la cual actuará la Entidad, permite determinar los deberes
especiales que le aplicarán y los derechos que debe garantizar al ciudadano- titular de la
información según la Ley 1266 de 2008. Es de vital importancia que la Entidad precise la calidad
en la que actuará, toda vez que la Ley le instituirá diferentes deberes y obligaciones según el tipo
de sujeto que sea dentro de la relación.
Paso N° 3: Identificar el límite temporal para el manejo de la información
Uno de los aspectos más importante que debe tener en cuenta la Entidad en este proceso, es
que la limitación temporal aplicable a los datos financieros, comerciales y crediticios tiene unas
indicaciones especiales.
La información positiva podrá ser almacenada de manera perpetua, mientras que la información
negativa tiene una limitación especial, por lo que la Entidad debe tener en cuenta hasta qué
momento puede almacenar estos datos en los casos en los que administre bancos de datos como
operadora de la Entidad.
Así, el siguiente paso será determinar cuál será el periodo de tiempo que ocupará la Entidad para
efectos de administrar los datos personales que se van a recolectar. Para efectos de calcular este
tiempo, es necesario que la Entidad tenga en cuenta que al usar esta información con el fin de
calcular el riesgo crediticio y financiero de una persona, la delimitación temporal debe obedecer
únicamente a esta finalidad:
 Si el ciudadano- titular de la información ha incumplido una obligación crediticia y ha sido
constituido en mora, deberá tener en cuenta que el tiempo máximo de permanencia dentro
del banco de datos será por un periodo de tiempo equivalente al doble de esa mora, una vez
se cumpla la obligación. Para mayor entendimiento, la mora debe ser entendida como el
retardo injustificado en el cumplimiento de una obligación por parte del deudor de esta,
unido por supuesto, al requerimiento por parte del acreedor. Por ejemplo: Si la mora en la
que incurrió el ciudadano- titular de la información es menor a dos (2) años, la permanencia
de la información negativa no podrá permanecer en los bancos de datos por un periodo
mayor al doble de este tiempo, es decir, que no podrá ser mayor a cuatro (4) años a partir de
saldada la obligación.
Si el ciudadano- titular de la información incurrió en mora por un término de diez (10)
meses, la permanencia de la información negativa en las bases de datos de la Entidad, sea en
la calidad en la que actúe, podrá permanecer únicamente hasta por veinte (20) meses. Por
otra parte si la obligación tuvo mora por un término de veintiséis (26) meses, poco más de
dos (2) años, la información negativa podrá estar únicamente por cuarenta y ocho (48)
meses.
Si la Entidad actúa, ya sea como operadora, fuente o usuaria de la información, debe acatar estos
tiempos con respecto a la permanencia de la información negativa en sus bancos de datos. En
todo momento que se vaya a incluir este tipo de información en los bancos de datos, la Entidad,
si actúa como operadora de la información, deberá dar previo aviso al ciudadano- titular de la
información acerca de su inclusión.
Es necesario resaltar que la retención injustificada y el tratamiento perpetuo de los datos
personales atenta contra los derechos de los ciudadanos- titulares, y puede hacer responsable a
la Entidad, así como al servidor público encargado del manejo de dicha información, por los
perjuicios que ello genere al ciudadano- titular.
Paso N° 4: Identificar a los ciudadanos - titulares de la información
Es muy importante que la Entidad conozca y determine la población que va a brindar sus datos
para las finalidades ya mencionadas. Esta labor permite saber quiénes van a aportar sus datos
personales y qué tipo de datos alimentarán los bancos de datos de la Entidad.
Luego de precisar la población a la cual se van a recabar sus datos personales, deben identificarse
las situaciones adversas que pueden generarse ante el ofrecimiento de estos. De la misma
manera, la Entidad debe tener claridad acerca de la posibilidad de generar perfiles de los
ciudadanos- titulares, a partir de la información recolectada.
A punto seguido, detallados los requisitos, parámetros, calidades y situaciones objetivas de
naturaleza verificable para calificar si un ciudadano- titular puede hacer parte o no del banco de
datos de la Entidad, es necesario elaborar un check-list acerca de las características que los
ciudadanos- titulares deben cumplir al momento de recopilar sus datos personales.
Esta medida evita que se recojan datos innecesarios dentro de la labor adelantada por la Entidad.
Como se verá más adelante, los derechos del ciudadano- titular deben ser incluidos y enunciados
claramente, dentro del Manual Interno de Políticas y procedimientos para la administración de
datos personales que debe elaborar la Entidad.
Paso N° 5: Designar el área encargada de los banco de datos
Luego de identificar a los ciudadanos-titulares de la información, la Entidad debe seleccionar el
personal responsable de los datos personales objeto de tratamiento, los cuales deben elegirse
conforme a criterios de idoneidad y acorde a las capacidades necesarias para adelantar la labor.
De esta manera se escogerán los servidores públicos más capacitados en el manejo de
información de naturaleza financiera, comercial y crediticia.
Para tales fines, la Entidad deberá:
 Evaluar las competencias de cada uno de ellos.
 Evaluar la experiencia de los servidores públicos de cara a la tarea que van a realizar.
 Evaluar el conocimiento en materia de seguridad de la información, con el fin de escoger
los servidores públicos que tengan las capacidades suficientes para atender incidentes de
esta índole.
Así, independiente de la naturaleza del responsable (individual o colectivo) la Entidad debe crear
un régimen de responsabilidades acorde con las funciones de los servidores públicos designados
como responsables, así como un reglamento que consagre las consecuencias de la mala
administración de la información.
La Entidad debe asegurarse de comunicarle a estos servidores al momento de conferirle la
función, la existencia del régimen de responsabilidad y las sanciones aplicables.
Paso N° 6: Elaborar el Manual Interno de Políticas y Procedimientos para la administración de datos
personales
Luego de lo anterior y para la correcta administración de datos, la Entidad debe elaborar el
Manual Interno de Políticas y Procedimientos para la administración de datos financieros,
comerciales y crediticios, con el fin de definir los aspectos esenciales aplicables a la
administración de ellos. De esta manera se debe proceder a elaborar un documento que
contenga como mínimo los siguientes aspectos:




Nombre, razón social, domicilio, dirección, correo electrónico y en general los datos de
contacto del área designada para el manejo de los datos personales, independiente de si
actúa como fuente, operadora o usuaria de la información.
Fecha de su entrada en vigencia.
Servidores públicos que tendrán acceso a las bases de datos.
Uso de contraseñas y procedimientos de autenticación de quien está autorizado a
consultar las bases de datos.
Incluidos estos aspectos generales dentro del Manual, los cuales deberán ser implementados por
toda Entidad que administre datos de esta naturaleza, es momento de introducir en este las
funciones y las obligaciones propias del área designada para administrar los bancos de datos
dependiendo de la calidad en que actúa la Entidad.
Si actúa como fuente de información, la Entidad deberá acatar en su totalidad el contenido
anteriormente descrito para el Manual y en adición incluir:






Los mecanismos que permitan verificar que la información suministrada al operador o al
usuario de información sea veraz, exacta, actualizada y comprobable.
La disposición de los recursos técnicos y de talento humano que garanticen que la
información debidamente actualizada sea suministrada a los demás sujetos, sea operador o
usuario de información.
Los mecanismos para la rectificación de la información y posterior reporte oportuno al
operador de ella y al usuario cuando diera lugar.
Las políticas de conservación y archivo de las autorizaciones otorgadas por el ciudadanotitular de la información, sin olvidar imponer las restricciones pertinentes para evitar la
transferencia de información cuyo suministro no este previamente autorizado.
Los mecanismos de seguridad que serán implementados para proteger los datos personales
recopilados por la Entidad, previniendo el deterioro, pérdida, alteración o uso fraudulento o
no autorizado de los datos personales.
La infraestructura administrativa predispuesta para la atención de peticiones, consultas y
reclamos (PCR´s). En estos casos deben consignarse los mecanismos que permitan a la
Entidad reportar al operador de información cualquier discusión que suscite alrededor de un
dato personal o que esté siendo objeto de rectificación o actualización.
Si por el contrario actúa como operadora de información deberá incluir dentro de su Manual, sin
perjuicio de lo inicialmente mencionado, lo siguiente:






Los mecanismos para garantizar al ciudadano- titular de la información el ejercicio del
derecho de habeas data, es decir todo lo relativo al conocimiento, actualización, rectificación
y retiro de los datos personales.
Los elementos de verificación con el fin de garantizar que los ciudadanos- titulares que
tengan acceso a los datos personales, estén legitimadas para ello.
Los mecanismos de seguridad que serán implementados para proteger los datos personales
recopilados por la Entidad, previniendo el deterioro, pérdida, alteración o uso fraudulento o
no autorizado de los datos personales.
Los mecanismos de comunicación con la fuente de información, con el fin de que le sean
reportados periódicamente y de manera oportuna, la actualización y rectificación de los
datos personales.
La fuente y la infraestructura administrativa para dar trámite a las PCR´s formuladas por la
ciudadanía.
Los procedimientos de circulación de la información al usuario de información, cuando ello
sea procedente.
Si actúa como usuaria de información, el respectivo Manual deberá contener además:

La determinación de los fines por los cuales la información le fue entregada.



Los procedimientos de registro y archivo de la información que ha sido suministrada a ella,
sea por la fuente o por el operador de información.
Los mecanismos para informar a los ciudadanos- titulares de la información acerca del uso
que se está dando a la información.
Los procedimientos de seguridad para proteger los datos personales de riesgos tales como
deterioro, pérdida, alteración o uso fraudulento o no autorizado de los datos personales.
En cualquiera de los casos, la Entidad debe diseñar los protocolos de respuesta para atender las
instrucciones impartidas por los organismos de control.
Es de suma importancia que si dentro de la Entidad existe algún tipo de inquietud a los datos
personales, se constituya un Comité especializado para dirimir estas dudas; este Comité podrá
ser convocado las ocasiones que así se requiera.
 El Comité deberá estar compuesto del Área especializada del manejo de los datos y por el
personal experto para el manejo de información personal de naturaleza financiera, comercial
y crediticia. Esta instrucción deberá ser acatada independiente a la calidad en la que actúa la
Entidad.
 Entre las funciones que estará llamado a cumplir se encuentran la de órgano de consulta
interna ante las dudas o inquietudes que puedan surgir en la Entidad conforme a la
administración de datos personales. En síntesis será el órgano colegiado interno de carácter
consultivo que podrá ser convocado cuando la Entidad así lo requiera.
Una vez se hayan detallado estos elementos debe elaborarse el Folleto Informativo dirigido a los
ciudadanos- titulares de la información y en general a toda la ciudadanía, en el cual se indiquen
aspectos como la función legal de la Entidad, las limitaciones temporales al tratamiento de la
información, los aspectos generales de la Política y la calidad en la que la Entidad actúa en la
relación con el ciudadano- titular que brinda sus datos para las finalidades antes descritas.
Paso N° 7: Capacitación de los servidores públicos
Antes de iniciar la recolección de los datos personales de carácter comercial y financiero, los
servidores públicos que van a ser involucrados en la recopilación de información deben ser
capacitados acerca del Régimen Sancionatorio aplicable ante un incumplimiento en sus deberes y
el Código de Ética de la Entidad.
Es de suma importancia que dentro de las capacitaciones a los servidores públicos, se incluya un
módulo pedagógico dedicado a la Ley Estatutaria 1266 de 2008 (Ley de Habeas Data) y sus
reglamentos, en donde se cualifique acerca de la relación especial que existe entre la Entidad y
los ciudadanos- titulares de la información en virtud a este ordenamiento.
Cuando estas capacitaciones se lleven a cabo, la Entidad creará los módulos de aprendizaje que
considere necesarios para instruir al servidor público en el manejo de este tipo de datos; estos
módulos serán distribuidos en periodos que cuenten con la intensidad adecuada de horas para
transmitir al servidor los conocimientos necesarios.
Dentro de las capacitaciones anteriormente nombradas debe incluirse un módulo dedicado a la
seguridad de los datos, en el cual se instruya a los servidores acerca de los nuevos riesgos que
amenazan los datos personales. Estas capacitaciones deben llevarse a cabo de forma periódica
por la Entidad y en compañía de asesores expertos en la seguridad de la información.
 Con el fin de garantizar el entendimiento por parte del servidor público, al finalizar las
capacitaciones se evaluarán los conocimientos adquiridos por estos.
Paso N° 8: Definir las políticas de seguridad para la recolección de los datos personales
Antes de recolectar los datos personales, la Entidad debe disponer las plataformas físicas
contenedoras de la información, ya sean computadores, discos duros, programas (software),
medidas de seguridad y demás, que garanticen un proceso exitoso de recolección de datos
personales.
Así, luego de haber definido las Políticas y Procedimientos para el tratamiento de los datos
personales, es necesario precisar los recursos técnicos y de talento humano especializado, los
cuales serán destinados a la labor y también para conformar las medidas de seguridad
implementadas, con el fin de mantener la integridad de los datos personales de los ciudadanostitulares de la información. Es de recordar que ya se ha debido capacitar al personal
seleccionado.
Dentro de este momento se requiere además, que se especifique detalladamente quien será
parte del personal autorizado para consultar internamente la información recopilada, en el
entendido que no cualquier servidor puede tener acceso a estos datos.
Cumplido lo anterior, se deben predefinir los niveles de seguridad en los que van a ser
clasificados los datos recolectados, dependiendo de la naturaleza de los datos, así:
o Nivel básico de seguridad para los bancos que manejan una cantidad baja de datos, como
también para aquellos que administran información que no se encuentra asociada con
datos de naturaleza sensible, privada o reservada.
o Nivel medio de seguridad para los bancos que administran una cantidad considerable de
datos, como también para aquellos que manejan datos con un nivel de privacidad
moderado y no se cataloguen dentro de los niveles de seguridad básico o alto.
o Nivel alto de seguridad para los bancos que administran una gran cantidad de datos,
como también para aquellos que manejan datos asociados con información reservada,
privada o sensible.
La clasificación del nivel de seguridad según los riesgos a los que se encuentran expuestos los
bancos de datos deben responder a un análisis objetivo, cuyas razones deben plasmarse en un
documento elaborado por los Responsables de la información. Esta clasificación será
acompañada de las medidas técnicas pertinentes para mantener los niveles de seguridad
asignados, así como los riesgos que se han identificado en torno al tratamiento de los datos.
Definidos los niveles de seguridad aplicables a los datos que se van a recolectar, la Entidad
definirá los protocolos de seguridad dedicados a dar respuesta a las fallas de seguridad del
sistema que se puedan presentar a lo largo de la administración de los datos personales.
Una vez culminadas las instrucciones descritas, es de suma importancia que se implementen
protocolos para la gestión de incidentes e incumplimientos de las medidas de seguridad, toda vez
que la Entidad está expuesta a riesgos que eventualmente pueden generar una falla en los
sistemas dedicados a proteger los datos personales de los ciudadanos-titulares de la información.
Para dar cumplimiento a lo anterior, se deberá diseñar la forma de contener y recuperar los
datos que se puedan perder, de investigar el origen del incidente, y de notificar a las autoridades
competentes y a los ciudadanos- titulares de la información cuando se presenten tales
situaciones.
Diseñadas las políticas de seguridad aplicables a los datos personales que va a manejar la
Entidad, cuando actúe ya sea como fuente, operadora o usuaria de la información, es necesario
que la Entidad formule en un documento el Reglamento de Seguridad de la Información, el cual
contendrá las medidas y protocolos ya identificados.
La Entidad debe tener en cuenta que si en algún momento ocurre uno de los riesgos previstos, o
uno imprevisto, en contra de los datos personales, se deben desplegar los procedimientos de
contención y recuperación de los datos.
Si los riesgos son catalogables como imprevistos por la Entidad, deberá entonces evaluar los
acontecimientos que acompañaron el suceso y generar medidas para ser incluidas dentro del
Manual Interno de Políticas y Procedimientos para la administración de datos personales y evitar
la ocurrencia de estos riesgos en el futuro.
Las políticas de seguridad implementadas, deben ser dinámicas, cambiantes y acordes a la
realidad. No obstante, cada vez que se planee incluir dentro de éstas una medida nueva, deberá
contarse con una evaluación interna, adelantada por el personal idóneo en la materia.
Paso N° 9: Registrar los sucesos en la administración de datos
Acompañado de las medidas de seguridad, la Entidad llevará un registro de acontecimientos que
versen sobre los bancos de datos personales de naturaleza crediticia, financiera y comercial, en
donde se inscribirán los sucesos de los sistemas de seguridad, el rendimiento del sistema, los
acontecimientos problemáticos que hayan ocurrido y la manera cómo se solucionaron estos
problemas.
Una vez registrados, el Encargado de los bancos de datos deberá realizar un Informe Periódico
que describa los resultados encontrados en esta labor.
Paso N° 10: Elaborar el documento de Autorización cuando actúe como fuente, y solicitarlo cuando
actúe como operadora de información
Si la Entidad actúa en calidad de fuente de información, es necesario que elabore las
autorizaciones dirigidas al ciudadano- titular de la información con el fin que éste acepte el
tratamiento de sus datos personales.
De la misma forma en que se mencionó en el paso anterior, certificar las autorizaciones es una
obligación de la fuente de información, por lo que la Entidad deberá guardar soporte de estos
documentos.
Cuando la Entidad se disponga a elaborar este documento, deberá introducir en éste, como
mínimo:
 Los canales por los cuales el ciudadano-titular podrá contactarse con el área responsable
de manejar sus datos personales.
 Las finalidades para las cuales se tratarán sus datos personales.
 Los derechos de los que dispone como ciudadano- titular de la información.
 Las políticas de tratamiento y la manera en que el ciudadano-titular puede ejercer sus
derechos.
Al momento de conseguir la autorización del ciudadano- titular, su consentimiento debe ser
emitido de manera libre, con una indicación específica e informada de su acuerdo con el
procesamiento de sus datos personales.
Si la Entidad actúa como operadora de información, deberá solicitar a la fuente de información,
copia o evidencia de esta, con el fin de conservarla. Esta obligación tiene especial importancia,
toda vez que la Entidad que actúe en esta calidad, no podrá hacer uso de la información si no
tiene la debida autorización del ciudadano- titular de la información para su tratamiento.
Paso N° 11: Definir políticas de trazabilidad e interoperabilidad de los datos personales
En los casos en los que la Entidad actúe como fuente, operadora o usuaria de información, ésta
debe tener en cuenta que existirán situaciones en las que tenga que suministrar datos a otras
entidades, ya sean de carácter público o privado, por lo que es necesario que antes de
administrar los datos personales se encuentren definidas las políticas que respondan ante este
tipo de situaciones.
Durante el desarrollo de estas operaciones, la Entidad aplicará las políticas de seguridad ya
establecidas para combatir la adulteración o pérdida de la información, así como la consulta, uso
o acceso no autorizado o fraudulento a los datos transferidos. Sin embargo, para dar aplicación a
estas políticas es necesario que se detallen los riesgos especiales que se pueden presentar,
cuando se pretende compartir información con otras entidades.
Para realizar operaciones encaminadas a interoperar (compartir la información), las entidades
tienen la obligación de cooperar cada vez que así lo requieran en virtud del Decreto 19 de 2012.
Cuando la Entidad actúa como fuente de la información y transfiera datos personales a otra
Entidad con el fin de que ésta los administre, deberá certificarle al operador de información que
cuenta con la autorización otorgada por el ciudadano- titular de los datos. Por su parte, en los
casos en los que la Entidad actúe como operadora de información deberá solicitarle a la fuente
los soportes de las autorizaciones toda vez que esta actuará como administradora de los datos
personales. Estas indicaciones deberán llevarse a cabo en los casos en los que así se requiera, de
la manera como fueron descritas en el Paso anterior.
Si actúa como usuaria de información, deberá guardar soporte de toda la información que la
operadora o la fuente de información le han otorgado, utilizándola únicamente para los fines por
los cuales esta información les fue conferida.
 En los casos en los que la Entidad tenga la calidad de fuente de la información, deberá
certificar al operador que cuenta con la debida autorización por parte del ciudadano- titular
de la información para tratar sus datos personales.
 Si actuará como operadora, deberá por consiguiente pedir dicha certificación por parte de la
fuente de la información.
Paso N° 12: Descripción de las bases de datos
Antes de desplegar los procesos de obtención de la información y en los casos en los que la
Entidad actúe como fuente de información, es necesario que realice un ejercicio interno para
describir en detalle el banco de datos que va a contener la información que se va a recopilar.
La descripción que debe constar en un documento que sirva de soporte para dar respuesta a los
requerimientos de la Superintendencia de Industria y Comercio frente al Registro Nacional de
Bases de Datos, debe indicar el volumen de datos que se manejarán, el Área encargada para su
manejo y los límites temporales conforme a su tratamiento.
 Esta información, junto a la demás pertinente al manejo de los bancos de datos, deben
registrase ante la Superintendencia de Industria y Comercio, procedimiento que será
detallado en el Paso N° 14 de la presente Hoja de Ruta.
Luego de precisar las características generales de la información que se recogerá, la Entidad
deberá incluir la descripción del banco de datos, un resumen de la manera como estos datos van
a ser recogidos, la identificación de los casos en que se encontrará obligada a compartir los datos
con alguna otra entidad y determinar quién será el operador de la información y quienes los
usuarios de los datos personales.
No se puede olvidar que los bancos de datos personales no pueden ser mezclados en ningún
momento con las bases de datos propias de la Entidad que no tengan naturaleza financiera,
comercial o crediticia.
2. LA RECOLECCIÓN DE LA INFORMACIÓN
Paso N° 13: Obtención de los datos personales
En las anteriores etapas la Entidad creó la infraestructura necesaria para obtener los datos
comerciales, financieros y crediticios de la población en los casos en los que la Entidad vaya a
actuar como fuente de información. De igual forma, se presentaron los lineamientos para
adecuar la infraestructura necesaria para que tanto los operadores y usuarios de la información,
quienes no recopilan los datos, puedan administrar y acceder a estos respectivamente. En caso
de que a lo largo del manejo de los datos, independientemente de la calidad en la que actúe la
Entidad, surgen inquietudes acerca de cómo se debe proceder ante una determinada situación,
se deberá acudir al Comité especializado para dirimir estas dudas.
Si la Entidad actúa como fuente de información tendrá contacto directo con el ciudadano- titular
de los datos personales, por tanto, deberá diseñar un plan estratégico que permita determinar la
manera como se va a recolectar la información. En este plan, debe indicarse si el procedimiento
se hará de manera personal ante el ciudadano- titular de la información, o si se va a hacer uso de
medios telefónicos, electrónicos, entre otros.
Una vez decidido el medio de recolección de la información, se adecuarán esos mecanismos de
tal manera que se garantice el otorgamiento de la Autorización por parte del ciudadano-titular de
la información. Si la Entidad escogió un medio de comunicación verbal, guardará soporte de la
autorización mediante una grabación, y si decide elegir métodos escritos, ya sean electrónicos o
físicos, deberá almacenar todas las autorizaciones, toda vez que deberá suminístrasela, luego, al
operador de la información.
En los casos que la Entidad actúe como fuente de información, es necesario que al momento de
recopilar la información, recopile también los datos necesarios para contactarse con el
ciudadano- titular en el momento en que se requiera actualizar sus datos personales.
La Entidad debe procurar que los soportes y todos los datos de naturaleza comercial, financiera o
crediticia que tenga, sea digitalizada para efectos de administrarla de manera más ordenada y
eficiente. De no ser ello posible, puede implementar procedimientos de gestión documental con
el fin de que los expedientes relativos al proceso sean registrados y almacenados de manera
adecuada.
La Entidad procederá a estimar un tiempo máximo de duración del proceso de obtención de
datos personales, disponiendo además de los protocolos de seguridad que eviten la ocurrencia
de incidentes. Con el fin de que estas medidas surtan efecto, el servidor público encargado de
recopilar los datos del ciudadano- titular deberá comunicarle a éste acerca de su participación en
estas medidas de seguridad, informándole también acerca de los riesgos a los que puede estar
expuesta su información y la manera en que la entidad ha planeado mitigarlos.
Si la Entidad actúa como operadora de información debe limitarse a recibir la información de la
fuente, toda vez que la Entidad administrará los datos personales del ciudadano- titular
previamente recogidos. Por su parte, si actúa como usuaria de información, deberá:




Conservar la información suministrada por el operador de información o por la fuente,
utilizándola únicamente para los fines por los cuales le fue entregada.
Informar a los ciudadanos- titulares en los casos en los que este lo solicite, acerca del uso
que está dando a la información.
Velar por la seguridad de los datos personales, protegiéndolos igualmente de pérdida,
alteración, uso no autorizado fraudulento y deterioro de la información.
Cumplir con las instrucciones que llegue a impartir una autoridad de control conforme a la
Ley 1266 de 2008.
Paso N° 14: Registrar la Base de Datos
Cumplidos los anteriores pasos, la Entidad que actúa como fuente de información debe proceder
a incluir el banco de datos creado dentro del Registro Nacional de Datos manejado por la
Superintendencia de Industria y Comercio, en el cual se debe indicar:






La finalidad y los usos del fichero en donde se deberá indicar el tipo de datos
recopilados y el objetivo connatural a su recolección.
Una descripción básica de los tipos de datos recopilados.
Los ciudadanos o colectivos de ellos a los cuales se recopiló su información.
Los órganos de administración y el área encargada dentro de la Entidad para la
administración de la base de datos, en los casos en los que esta actúe también
como operadora de la información.
La manera como el ciudadano- titular puede ejercer su derecho a cancelar, rectificar
o modificar sus datos personales.
Las medidas de seguridad aplicable a las bases de datos.
Es de gran importancia que al momento de registrar el Banco de Datos, la Entidad aporte a la
Superintendencia de Industria y Comercio el Manual Interno de Políticas y Procedimientos
adoptado para el manejo de los datos personales
Paso N° 15: Estructuración de los canales de atención al ciudadano
Durante el proceso de recolección de los datos personales y después de este, la Entidad atenderá
las solicitudes de los ciudadanos conforme a sus datos personales, para lo cual debe estructurar
sus oficinas de servicio al ciudadano de tal manera que éste pueda ejercer en todo momento y
de la manera más expedita posible, las siguientes acciones:
 Ejercer su derecho al Habeas Data mediante consultas o reclamos.
 Solicitar la certificación de la existencia de la autorización expedida por la fuente de la
información.
 Solicitar información acerca de los usuarios autorizados para consultar su información.
En estos medios de atención, físicos, electrónicos o telefónicos, se pondrán a disposición de los
ciudadanos formatos y proformas para que éstos puedan elevar ante la Entidad peticiones,
consultas y reclamos relacionados con la administración de sus datos, los cuales serán explicados
en el Paso N° 19.
Paso N° 16: Contacto con el ciudadano- titular en la recolección
Cuando se entable contacto con el ciudadano- titular, debe impartirse instrucción a los servidores
públicos encargados de hacer uso de un lenguaje claro y sencillo, sin olvidar que puede
recomendar a éste hacer uso de los formatos y proformas diseñadas para que eleve, presente o
radique sus peticiones.
Cuando el ciudadano- titular se dirija a las oficinas de atención, debe otorgársele el Folleto
Informativo acerca de la función legal de la Entidad, la finalidad de la recolección de datos, su
necesidad y la temporalidad en el almacenamiento que a estos aplica, indicado en el Paso N° 6.
La persona encargada por la Entidad para entablar contacto con el ciudadano- titular, se
abstendrá de usar mecanismos secretos de recolección de información, como por ejemplo
grabadoras ocultas, y en general todo mecanismo que recolecte información innecesaria o de
manera secreta y fraudulenta en contra del ciudadano.
Antes de obtener los datos personales del ciudadano- titular de la información, éste debe
suscribir el documento de autorización, o manifestar de manera inequívoca tal situación, para lo
cual la Entidad debe velar por que el ciudadano- titular acepte explícitamente que sus datos sean
administrados por la Entidad fuente de información.
Si al momento de recopilar los datos, el servidor público encargado de la labor ve la necesidad de
recoger los datos de un tercero, pedirá la autorización de este sujeto, toda vez que este también
será un ciudadano- titular de la información y sus datos no podrán ser tratados sin contar con
una autorización al respecto.
Luego de lo anterior, la Entidad debe informar al ciudadano- titular, de forma clara y expresa, qué
datos le serán solicitados, y la manera cómo debe suministrarlos.
Si durante el proceso de recolección se va a hacer uso de una grabadora de voz o multimedia, el
encargado de recopilar la información debe contar con el consentimiento del ciudadano- titular
antes de empezar el proceso de grabación e impartir indicaciones acerca de la forma de
obtención de los datos. Estos dispositivos deben situarse en un lugar visible, para efectos de
generar confianza en el ciudadano- titular.
Cuando el procedimiento culmine, se le entregará al ciudadano- titular de la información una
copia de su autorización indicándole además los derechos que le asisten, las políticas y
procedimientos de tratamiento aplicables y la información que contenga los mecanismos para
interponer las peticiones, consultas y reclamos.
Se debe indicar al ciudadano- titular que en caso de tener alguna opinión o comentario acerca
del proceso, estos pronunciamientos, recomendaciones, comentarios u opiniones, también
tienen la calidad de datos personales, por lo que se registrarán y administrarán como cualquier
otro dato de esa naturaleza.
Cuando se proceda a recoger la opinión de los ciudadanos- titulares de la información, esta se
almacenará junto a la descripción de los sucesos y circunstancias que la acompañaron. La
obtención de estos datos debe contar también con la autorización y el consentimiento del
ciudadano- titular.
Paso N° 17: Auto-evaluación del proceso de apertura y de recolección de los datos personales
Al finalizar los anteriores pasos, la Entidad-fuente de información efectuará un ejercicio de
socialización de las etapas anteriores del proceso, en el que se resaltarán las dificultades y
falencias que pudieron presentarse. El Comité especializado debe citar a todos los miembros
participantes de la labor y al área interna designada para el manejo de los datos personales, con
el fin de que participen en el proceso de autoevaluación.
Si de allí surge la necesidad de modificar la Política de Tratamiento, debe evaluarse tal situación
en la reunión y, al cabo de la misma, debe tomarse la decisión sobre si se procederá o no, a
realizar la modificación pertinente. Para efectos de poder dar cumplimiento a las propuestas que
de allí surjan, la Entidad deberá:
 Llevar a cabo las reuniones con una periodicidad mínima de cada dos (2) meses.
 Elaborar actas de las reuniones, en las cuales se especifiquen las tareas y tiempos que
deben ser llevados a cabo por los servidores designados.
3. MANEJO DE LOS BANCOS DE DATOS
Paso N° 18: Interoperar con otras entidades
En el caso en que la Entidad interopere con otras entidades, incluyendo aquellas que se localicen
en otros países, debe proceder a surtir un procedimiento que garantice la integridad y la
seguridad de los datos; por estos motivos, es necesario que cuando la Entidad-fuente de
información vaya a transferir los datos personales de naturaleza financiera, comercial y crediticia,
suministre al operador o la fuente, la siguiente información:





El nombre del deudor de la obligación que dio lugar a la creación del dato.
La condición en la que este actúa, ya sea como deudor principal, deudor solidario, avalista o
fiador, siempre y cuando se acredite dicha condición.
El monto de la obligación o la cuota vencida que da origen al dato.
El tiempo que existe de mora y la fecha del pago, en el caso en que ello ya haya ocurrido.
Toda la información relevante al dato.
Por el contrario, cuando la Entidad actúa como operador o usuaria de la información, debe velar
por la correcta transmisión de estos datos, verificando que durante la operación se transfiera toda
la información aquí descrita.
Cumplido lo anterior, los datos serán transferidos de manera íntegra y en su totalidad, sin omitir
aspecto alguno que le reste vigencia a su existencia.
Paso N° 19: Permitir la consulta de los datos personales
La Entidad permitirá que el ciudadano- titular de la información acceda y consulte sus datos
personales, disponiendo de trámites gestionables directamente ante la Entidad o de manera
remota, ya sea telefónicamente, vía web o e-mail, o contactándose con el Responsable o
Encargado de la información.
La consulta que los ciudadanos - titulares realicen sobre sus datos debe ser brindada de manera
gratuita, a menos que el ciudadano- titular repita una misma consulta en un lapso no superior a
dos meses, caso en el cual podrá establecerse, de conformidad con los mecanismos legales
vigentes, una tasa administrativa de acuerdo al costo de la operación y que en ningún momento
represente un lucro en favor de la Entidad.
La consulta de los datos personales debe ser garantizada también por el operador de la
información, a los siguientes sujetos:
 Los ciudadanos- titulares de la información, incluyendo a las personas debidamente
autorizadas por estos, también a sus causahabientes. En estos casos, la Entidad debe
cerciorarse que las personas que representen al ciudadano- titular, acrediten su calidad.
 Los usuarios de la información.
 Las autoridades judiciales cuando medie una orden judicial.
 Otras entidades públicas en los casos en los que así se requiera en virtud a la función legal
que así lo habilite.
 Los organismos de control y los entes disciplinarios, fiscales o administrativos, en los casos
en los que exista una investigación en curso.
 A los operadores de datos cuando exista la debida autorización por parte del ciudadanotitular
Paso N° 20: Atención de las Peticiones, Consultas y Reclamos (PCR´s)
Quienes vayan a atender a los ciudadanos, deben estar debidamente capacitados para ello. Por
este motivo, antes de dar trámite a las peticiones, consultas y reclamos formulados por el
ciudadano, los servidores públicos deben estar previamente instruidos acerca de cómo cumplir
esa labor.
Los ciudadanos- titulares y sus causahabientes tienen el derecho de dirigirse a la Entidad con el
fin de que esta brinde la información que solicita, ya que es deber de esta suministrar al
ciudadano- titular o quien haga sus veces, toda la información contenida en su registro individual
o que esté vinculada a su identificación personal.
Internamente, la Entidad debe diseñar e implementar la estructura administrativa dirigida a la
atención de las PCR´s que formule la ciudadanía, mediante mecanismos proporcionales al
tamaño de la Entidad y a la cantidad de información que administra.
Cuando el ciudadano- titular acuda a la Entidad a presentar una solicitud, esta ofrecerá los
formatos correspondientes, ya sea en versión física o electrónica, para que el ciudadano- titular o
quien haga sus veces, formule su petición o consulta de manera sencilla.
El formulario de petición, consulta o reclamo será elaborado de tal forma que contendrá como
mínimo:
o
o
o
o
o
La identificación del ciudadano- titular.
Los datos sobre los que versa su solicitud.
Los datos de contacto incluyendo su dirección.
La motivación que da origen a su solicitud.
Los documentos que se pretenden hacer valer.
Es de vital importancia que en el momento que la Entidad reciba una consulta, esta debe ser
entendida como una solicitud hecha por parte del titular de la información o quien haga sus
veces, con el fin de conocer la información personal que reposa en los bancos de datos de la
Entidad. Por petición se deberá entender como un mecanismo por medio del cual dicho
ciudadano-titular exige a la Entidad determinada acción, en la cual se puede involucrar una
consulta propiamente dicha. A su vez, el reclamo es un requerimiento por parte del titular de la
información o quien haga sus veces, con el fin de corregir o actualizar sus datos personales
financieros, comerciales y crediticios en poder de la Entidad.
Para tramitar peticiones o consultas; una vez formulada por el ciudadano- titular de la
información, la Entidad:
 La atenderá y responderá en un término no mayor a diez (10) días hábiles contados a partir
de su formulación. Sin embargo, si la Entidad no puede contestar el requerimiento en este
término, deberá hacérselo saber al ciudadano- titular, indicándole las razones que llevaron a
la demora. En estos casos la Entidad no puede tomarse más de cinco (5) días hábiles luego
de haber vencido el primer periodo de tiempo.
 En todos los casos en los que brinde respuesta, la Entidad debe atender de fondo la petición
formulada y siempre suministrando integralmente toda la información.
El ciudadano- titular de la información o quien haga sus veces, tiene el derecho de formular
peticiones o reclamos ante la Entidad con el fin de que rectifique o actualice la información
obrante en los bancos de datos, para lo cual puede valerse del instrumento idóneo para ello.
Para tramitar reclamos; cuando el ciudadano- titular de la información formule por escrito el
requerimiento, la Entidad deberá seguir las siguientes instrucciones:
 La Ley 1266 de 2008, en su artículo 16, numeral II, le otorga a la Entidad un término máximo
de quince (15) días hábiles para el reclamo, no obstante, en los casos en los que no sea
posible atender el requerimiento en este término, deberá informar esta situación al
ciudadano- titular, indicándole allí las razones que dieron origen a esa demora y
comunicándole que el reclamo será atendido en un término no mayor a ocho (8) días hábiles
contados a partir del primer vencimiento.
 Si luego de culminar el trámite, la Entidad debe suministrar los datos al ciudadano- titular de
este, será necesario que lo haga dentro del término de los términos de respuesta ya
mencionados.
En los casos en los que el operador de información no sea la misma fuente de esta, deberá
remitir el requerimiento a este último en un término máximo de dos (2) días hábiles para que
este se haga cargo del reclamo. Sea cual fuere el caso, debe atenderse el reclamo en un periodo
de tiempo no mayor a quince (15) días hábiles contados a partir de su presentación, prorrogables
por ocho (8) días más, siguiendo las instrucciones especiales descritas anteriormente.
 Definido el tiempo de respuesta al reclamo, si este fue remitido directamente ante la fuente
de información, esta tendrá la obligación de resolverla directamente, habilitada a prorrogar
el tiempo de respuesta si se viere obligada a ello. Sin embargo, la fuente de información que
haya recibido el reclamo, deberá informar al operador sobre este suceso en máximo (2) días
hábiles contados a partir de su recibimiento.
 Posteriormente y en todos los casos, cuando el operador o la fuente reciba el reclamo, debe
revisar detalladamente los planteamientos y las observaciones allí plasmadas con el fin de
determinar si fue interpuesta de manera correcta.
 Si luego de lo anterior se encuentra que el ciudadano- titular no realizó la solicitud de manera
correcta o lo hizo de manera incompleta, la Entidad informará al sujeto la situación dentro de
los cinco (5) días hábiles contados desde la recepción del requerimiento con el fin de que
realice la respectiva corrección o complementación. Si ello ocurre, será necesario que se le
indique al sujeto las razones por las cuales requiere corregir su solicitud y la manera como
debe hacerlo, para que en este entendido, si después de un (1) mes contado desde que se
hizo el requerimiento el ciudadano no corrige su requerimiento, se entenderá que ha
desistido de ella.
 Si al finalizar el trámite del reclamo, resulta que la Entidad debe actualizar o rectificar la
información contenida en el banco de datos, debe proceder a ello en el menor tiempo
posible.
Conforme a lo siguiente, la Entidad debe tener en cuenta que ello será aplicable tanto a las
peticiones, consultas y reclamos:
 Si efectivamente la petición, consulta o reclamo fue interpuesta de manera correcta, la
Entidad que la haya recibido deberá incluir, en un término no menor a dos (2) días hábiles,
dentro de los datos del solicitante, la leyenda “petición, consulta o reclamo en trámite”
según sea el caso.
 Cuando la PCR haya sido resulta, esta leyenda podrá ser borrada, antes de ello, no será
procedente.
Si al finalizar la atención al ciudadano- titular de la información o quien hizo sus veces, este no se
encuentra conforme con la respuesta otorgada y acude al proceso judicial, el operador de la
información debe incluir una leyenda en los datos personales debatidos que diga “información en
discusión judicial” en un término no mayor a dos (2) días hábiles. Podrá retirarse la leyenda hasta
el momento en que se tenga un fallo en firme.
 Cuando culmine la atención al titular, es necesario que se registre el acontecimiento dentro
de la base de datos, por medio de una anotación. Todo acontecimiento que verse sobre un
dato personal debe ser registrado.
Paso N° 21: Calificación del proceso por parte del ciudadano- titular
Una vez finalice el proceso de atención de solicitudes formuladas por el ciudadano- titular o
quien hizo sus veces, se debe pedir que califique el servicio prestado. Esta calificación debe ser
anónima y contabilizada de tal manera que al finalizar el periodo se pueda obtener un ponderado
de calificaciones.
Si durante el proceso de calificación el ciudadano- titular desea que la Entidad sepa quién
formuló la calificación, la Entidad puede proceder a no anonimizar su calificación.
Paso N°22: Actualizar la información
Si la Entidad actúa como operadora de información, se encontrará en la obligación de actualizar
los datos personales que reciba de la fuente de información, dentro de los diez (10) días
calendario contados desde su recepción.
Las novedades que recaigan sobre los datos personales obrantes dentro de la Entidad deberán
ser reportadas a la fuente de información. Claro está que las actualizaciones de la información
pueden surgir en virtud a peticiones, consultas y reclamos (PCR´s) formulados por el ciudadanotitular de la información o quien haga sus veces.
Si por el contrario actúa como fuente de información, deberá actualizarla una (1) vez cada mes.
En este sentido, cada vez que se reporten novedades en el transcurso del manejo de los bancos
de datos, la Entidad procederá a actualizar la información.
Paso N°23: Permitir el uso de la información
En los casos en que la Entidad actúe como operadora de la información, permitirá que el
ciudadano-titular de esta acceda a la misma en los casos en los que éste lo requiera, para las
siguientes finalidades:



Realizar estudios de mercado o investigaciones comerciales y estadísticas.
Adelantar trámites ante autoridades públicas o privadas, cuando esa información sea
pertinente.
Cualquier otra actividad en la que se haya obtenido autorización por parte del ciudadanotitular de la información.
Paso N°24: Gestionar incidentes de seguridad
Durante la administración de datos personales pueden ocurrir fallas de seguridad que pongan en
peligro los derechos de los ciudadanos- titulares de la información; entre estos riesgos se
encuentran los fraudes, los robos de identidad, las suplantaciones, etc.
En el momento en que surja la noticia acerca de un presunto incidente de seguridad, lo primero
que debe realizarse dentro de la Entidad es investigar los sucesos y esclarecer la ocurrencia del
mimo. Si de la investigación hecha por la Entidad resulta el descubrimiento de un incidente, se
diseñará con urgencia, junto al área especializada, los planes de respuesta al incumplimiento de
las medidas de seguridad.
Una vez evaluadas las posibilidades y las soluciones al problema, debe aplicarlas con el fin de
mitigar y reparar los daños por la falla. La experiencia obtenida por incidentes imprevisibles por la
Entidad se consignará dentro de las políticas de seguridad de la información y aportadas dentro
de los procedimientos de contención y respuesta ante incidentes de seguridad.
Paso N° 25: Notificar el incumplimiento de las medidas de seguridad
Si dentro de la Entidad ocurre algún incidente de seguridad que ponga en peligro la integridad de
los datos personales y su privacidad, o pueda generar algún riesgo a los derechos de los
ciudadanos- titulares de la información, la Entidad procederá a notificar estos sucesos a la
Superintendencia de Industria y Comercio, a las autoridades competentes según el tipo de
suceso y a los ciudadanos- titulares de la información.
Entre los incidentes que pueden ocurrir y afectar la intimidad del ciudadano- titular, existen:
o Intromisiones en los sistemas de seguridad.
o Ocurrencia de incidentes relacionados con fugas.
o Usos no adecuados.
o Accesos no autorizados.
o Alteraciones de los datos personales.
o Revelaciones no autorizadas.
o Destrucción de los datos.
o Suplantación del ciudadano- titular de los datos.
o O cualquier tipo de fraude en los que se vean involucrados los datos personales.
Ante la ocurrencia de estos sucesos, se procederá a notificar el incumplimiento al ciudadanotitular, a la mayor brevedad, haciendo uso de mecanismos que permitan que este se entere
rápidamente acerca de la ocurrencia de tal incidente. La notificación de incumplimiento al
ciudadano- titular indicará como mínimo la siguiente información:




Descripción de las circunstancias del incidente y la fecha o periodo en que ha ocurrido.
Datos personales expuestos al incidente de seguridad.
Recomendaciones pertinentes sobre las acciones que ha de tomar.
Medidas correctivas tomadas por el Encargado de los datos personales con el fin de
reducir el riesgo de daño.
 Procedimiento a seguir en el cual el ciudadano- titular podrá obtener información
adicional con respecto al suceso.
 Información de contacto con el área encargada que pueda responder, en nombre de la
Entidad, preguntas sobre el incidente.
Paso N° 26: Autoevaluación del proceso de manejo de los datos personales
Finalizados los anteriores pasos, el Comité especializado será convocado para evaluar los
procedimientos adelantados desde la última vez que sesionó, evaluando los sucesos ocurridos,
las dificultades que pudieron presentarse y, la postulación y aprobación de nuevas medidas a
incluir para modificar el Manual Interno de Políticas y Procedimientos para el tratamiento de
datos personales.
4. RETIRO DE LOS DATOS PERSONALES
Paso N° 27: Atender a los ciudadanos-titulares de la información, para eliminar la información
negativa
La información negativa de un ciudadano- titular permanecerá en los bancos de datos hasta el
momento en que el criterio de temporalidad preestablecido en el Paso N° 3 lo permita. Esta
situación se puede originar en los casos en los que el ciudadano- titular certifique que ha
cumplido su obligación, ya sea por pago de la misma, o por cualquier medio que extinga la
obligación.
Cuando ello ocurra, el ciudadano- titular puede solicitar a la Entidad, cuando esta medie como
operadora de la información, que proceda a retirar la información negativa de los bancos de
datos. Se debe tener en cuenta que la información positiva del ciudadano- titular puede ser
almacenada de manera perpetua.
Paso N° 28: Retirar la información negativa
En atención a la limitación temporal aplicable a la información, descrita en el Paso N° 3 de la
presente Hoja de Ruta, la Entidad debe proceder a retirar la información negativa de un
ciudadano- titular en los casos en los que cumpla la temporalidad descrita por la Ley 1266 de
2008. Si omite el retiro de esta información de los bancos de datos, puede ser sancionada por la
Superintendencia de Industria y Comercio.
Es de resaltar que la Entidad para tomar esta decisión, deberá acatar los tiempos máximos de
duración de este tipo de información, los cuales fueron descritos en el Paso N° 3 de la presente
Hoja de Ruta, en lo que concierne a la temporalidad de los datos personales.
Paso N° 29: Calificación del proceso por parte del ciudadano- titular
Una vez finalice el proceso de atención de solicitudes para el retiro de los datos personales, se
debe pedir al ciudadano- titular que califique el servicio prestado, quien decidirá voluntariamente
si lo hará. Ello debe ocurrir en los casos en los que el ciudadano- titular de la información se
dirige a la Entidad para que la información negativa sea eliminada.
La calificación que el ciudadano- titular le otorgue al proceso debe ser anónima y contabilizada
de tal manera que al finalizar el periodo se pueda obtener un ponderado de las calificaciones.
Paso N° 30: Finalización del proceso de cancelación de las bases de datos
Al finalizar el proceso de retiro de la información negativa, se debe proceder a verificar si la
operación se realizó de manera correcta. Si es así, se procederá a certificar la cancelación de
estos. En caso contrario será necesario efectuar las instrucciones omitidas.
Las certificaciones y soportes que acrediten que la información se canceló de manera correcta,
deberá ser archivada.
Paso No. 31: Autoevaluación final de la administración de datos personales
Luego de haber culminado esta etapa, el Comité especializado debe reunirse con el fin de evaluar
el proceso de cancelación de las bases de datos e interiorizar la experiencia en esta etapa, con el
fin de proponer medidas para ser incluidas en la Política de Tratamiento de las Bases de Datos.,
para esto:
 Deben discutirse las dificultades que se presentaron, así como las falencias que se
lograron ver y los métodos para evitarlas.
 Deben evaluarse y elegir las medidas encaminadas a modificar la Política de
Tratamiento de los Datos Personales.
Descargar