2014 HOJA DE RUTA PARA LA ADECUACIÓN DE BASES DE DATOS A LAS NORMAS DE PROTECCIÓN DE DATOS PERSONALES Programa Nacional de Servicio al Ciudadano (PNSC) INTRODUCCIÓN A LA HOJA DE RUTA Desde hace varios años, ha venido consolidándose a nivel mundial un campo del derecho que se propone la protección de todos los ciudadanos cuyos datos personales son objeto de algún tipo de utilización a través de bases de datos. El surgimiento de la informática, capaz de administrar y transformar información personal de forma masiva y veloz, aumentó la preocupación de los países y de las organizaciones internacionales sobre esta materia, lo que llevó a la construcción generalizada de marcos jurídicos de protección de datos. Hoy en día, existen unas reglas universales que buscan asegurar que los datos reservados o íntimos no caigan en manos de terceros sin contar con la previa, expresa y libre autorización otorgada por el titular de la información. De igual forma existen muchas previsiones que se orientan a exigir condiciones mínimas de seguridad y confidencialidad de las entidades o empresas que administran bases de datos en las que se encuentren incorporados datos personales de los ciudadanos- titulares de la información. Una de las preocupaciones más elevadas es que las bases de datos puedan ser usadas para discriminar a los ciudadanos- titulares o para crear perfiles que puedan provocar decisiones adversas e ilegítimas de parte de los servidores que tienen acceso a dicha información. El momento que actualmente se vive a nivel mundial, no podría ser más demostrativo de la importancia que tiene el que los Estados expidan regulaciones especializadas relacionadas con la privacidad y la protección de los datos personales. Se observa entonces que los distintos sistemas de protección de los derechos, tanto el universal, como los regionales instan a los Estados a establecer dentro de sus ordenamientos unos principios mínimos que han de regir el manejo de la información de datos, y por tanto, la interpretación de las directrices debe hacerse de conformidad con estos estándares de protección. 1. MARCO NORMATIVO A TENER EN CUENTA El artículo 15 de la Constitución Política, en el capítulo de Derechos Fundamentales, consagra los derechos de todas las personas a conservar su intimidad, mantener su buen nombre y a la protección y garantía de su derecho al Habeas Data. A partir de lo anterior, se colige que, desde un inicio, la protección de la privacidad de los datos personales se encuentra íntimamente relacionada con el derecho a la intimidad y al buen nombre. Así, es preciso resaltar que con el fin de desarrollar el derecho al Habeas Data, se han incorporado al ordenamiento jurídico Colombiano distintas normas que propenden por la buena administración de la información personal, comercial y financiera de los ciudadanos- titulares, dentro de las cuales se encuentran la Ley 1266 de 2008, la Ley 1581 de 2011 y el Decreto 1377 de 2013. 1.1. La Ley 1266 de 2008 La Ley 1266 de 2008 tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en Bancos de Datos, y los demás derechos, libertades y garantías constitucionales relacionadas con la recolección, tratamiento y circulación de datos personales a que se refiere el artículo 15 de la Constitución Política, particularmente en relación con la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países. No se trata, entonces, de una regulación etérea o intangible, sino por el contrario de un marco regulatorio que responde a la necesidad de normativizar el día a día de los negocios comerciales. Vale la pena resaltar que siempre que una persona se acerque a una entidad financiera a solicitar un crédito, o cualquier otro servicio, se le solicita brindar una gran cantidad de información relacionada con su estado financiero, o sobre la existencia de otros productos de crédito que hubiere solicitado, y referencias comerciales y personales, entre otras. Así, entre más datos se obtengan, y entre mejor calidad refleje tal información, se determina una mejor valoración del riesgo crediticio. Por otra parte, y en virtud de los deberes de la entidad financiera de conocer ampliamente a su cliente, para efectos de las normas sobre lavado de activos, la información recabada será cada vez más amplia y más concreta, implicando también conocer el origen de los fondos con los cuales el titular cumplirá sus obligaciones financieras o que serán depositados en las cuentas de diferente índole, conociendo también particularidades sobre la actividad económica del cliente y su relación con otras entidades financieras. Se construye así un expediente completo sobre el cliente, que será enriquecido con el paso del tiempo, de manera constante, reflejándose allí todos los cambios, novedades, comportamientos y decisiones de cada cliente respecto de los diferentes productos, tanto favorables como desfavorables. Es palpable que a medida que las empresas van creciendo, es directamente proporcional el crecimiento de las bases de datos de sus clientes. Por ello, nace la necesidad de regular de manera expresa el comportamiento de los actores dentro de la cadena de flujo de la información comercial, financiera o crediticia, régimen que está plasmado en la Ley 1266 de 2008. 1.2. La Ley 1581 de 2011 y el Decreto 1377 de 2013 No obstante fueron implementados y reglamentados los impulsos legislativos ya mencionados, se hacía necesario aún que se estableciera un sistema robusto de protección que otorgue a los Titulares de la Información mecanismos precisos para salvaguardar sus derechos ante los Responsables o Encargados del tratamiento de los datos personales, planteando, también, la posibilidad de acudir a la Autoridad de Control. Por esta razón, siguiendo los principios planteados en las anteriores normativas, se expide la Ley 1581 de 2012 que surge como una complementación de la Ley 1266 de 2008, norma esta última que se refiere a un ámbito muy preciso de datos y responde a particulares necesidades de los usuarios del sector financiero que es necesario conservar, y cuyo carácter limitado impone la necesidad de regular el universo de los tipos de datos no cobijados por la Ley 1266 de 2008. Como ámbito de aplicación, el artículo 2º de la Ley 1581 de 2012 establece con claridad que “Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada…”, situación que impone la necesidad de que las entidades estatales, de cualquier nivel, observen lo allí establecido y adecúen su actividad a los principios, deberes y responsabilidades dispuestos por la citada Ley. En ese sentido, la Ley 1581 de 2012 regula el derecho al Habeas Data, especialmente en lo referente al derecho a conocer, actualizar, y rectificar información contenida en bases de datos o archivos, conforme a lo establecido en el artículo 15 y 20 de la Constitución Política de Colombia. A diferencia de la Ley 1266 de 2008, la presente Ley cuenta con un ámbito de aplicación más amplio, puesto que tiene como propósito proteger, no sólo los datos financieros, crediticios, comerciales y de servicios, sino todos los datos en general, estableciendo otros términos de clasificación, tales como información personal, reservada, y sensible. Así, con la expedición de la Ley 1581 de 2012, se pretende introducir al ordenamiento jurídico las mejores prácticas internacionales en materia de protección de datos, fijadas en el Convenio 108 de 1981 del Consejo de Europa, la Directiva Europea 95/46 de 1995, la Resolución 45/95 de 1990 de la ONU y la Resolución de Madrid de 2009, con el objetivo de lograr, con esta Ley, la acreditación de Colombia como un país seguro en protección de datos y así poder acceder a mercados internacionales de información, sin restricciones. Por ello, de no encontrarse adecuada la actividad de las entidades estatales, a la normatividad en materia de protección de datos personales, se truncaría la posibilidad de acceder al mercado de transferencia de información internacional, proveniente de Estados Unidos, de Países miembros de la OCDE y de la Comunidad Europea, pues éstos protegen la privacidad de la información mediante la medición de estándares de protección que permitan caracterizar a los países terceros como “Puertos Seguros” de recepción de información. Como se ha expuesto en apartes anteriores, tanto en la jurisprudencia como en el ámbito internacional se han fijado una serie de principios para la administración de datos personales. Estos principios, como se ha resaltado, buscan impedir el uso abusivo y arbitrario de la facultad informática. Por ello, la Ley 1581 de 2012, define el marco general o los parámetros generales que deben ser respetados para poder afirmar que el proceso de acopio, uso y difusión de datos personales sea constitucionalmente legítimo, entre los cuales se encuentran los principios de legalidad, finalidad, libertad, transparencia, seguridad, confidencialidad, garantía de veracidad y calidad de la información y límites en el acceso y circulación restringida en materia de tratamiento de datos. De esa manera, la Ley ha fijado los límites frente a las actividades de responsables y encargados del tratamiento de la información que permitirán garantizar los derechos de los titulares de los mismos, propugnando que los datos sean adquiridos, tratados y manejados de manera lícita, garantizando que el tratamiento de la información de los ciudadanos - titulares obedezca a una finalidad legítima de acuerdo con la Constitución y la Ley y que sólo pueda ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento, el cual es además, calificado, por cuanto debe ser previo, expreso e informado. Por ello, el silencio del Titular nunca podría inferirse como autorización del uso de su información, por lo que el principio de libertad no sólo implica el consentimiento previo a la recolección del dato, sino que dentro de éste se entiende incluida la posibilidad de retirar el consentimiento y de limitar el plazo de su validez. Así, como principio esencial, el tratamiento de la información sólo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la Ley. Además, se prohíbe que los datos personales, salvo información pública, se encuentren disponibles en Internet, a menos que se ofrezca un control técnico para asegurar el conocimiento restringido. Por ello, se debe evitar que los datos privados, semiprivados, reservados o secretos puedan estar junto con los datos públicos, y por tanto, los primeros no pueden ser objeto de publicación en línea, a menos que se ofrezcan todos los requerimientos técnicos y se debe eliminar cualquier posibilidad de acceso indiscriminado, mediante la digitación del número de identificación a los datos personales del ciudadano- titular. Asimismo, el marco normativo aplicable requiere que la información sujeta a tratamiento por las entidades del Estado, y también por entidades privadas, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, garantizando la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente Ley y en los términos de la misma. Con ocasión en lo anterior, se establece como regla general la prohibición de someter a tratamiento los datos sensibles, salvo algunas excepciones a dicha regla, en las que el tratamiento de tales datos es indispensable para la adecuada prestación de servicios –como la atención médica y la educación- o para la realización de derechos ligados precisamente a la esfera íntima de las personas –como la libertad de asociación y el ejercicio de las libertades religiosas y de opinión. Promulgada la Ley 1581 de 2012, se expide por el Gobierno Nacional el Decreto 1377 de 2013, cuya finalidad, entre otras, es facilitar la implementación y cumplimiento de la Ley 1581 de 2012, reglamentando aspectos relacionados con la autorización del Titular de información para el Tratamiento de sus datos personales, los contenidos mínimos de las políticas de Tratamiento de los Responsables y Encargados, la forma en que se garantiza el ejercicio de los derechos de los Titulares de información, las transferencias de datos personales y el desarrollo del principio de responsabilidad demostrada frente al tratamiento de datos personales. En virtud de lo expuesto, y en tanto el Decreto 1377 de 2013 introdujo al ordenamiento jurídico los elementos y requisitos esenciales cuyo cumplimiento debe verificarse para determinar si el actuar de cada entidad es adecuado con respecto a la normatividad descrita, es preciso partir de esta normativa para establecer, con claridad, las cualidades de los sujetos intervinientes en el flujo de información de carácter personal, para identificar los deberes y derechos que la Ley ha establecido para limitar el actuar de los mismos frente a la administración de información. En virtud de lo establecido por el mencionado Decreto, además de ser necesario contar con la autorización para realizar el tratamiento de los datos personales, la cual debe otorgarse a más tardar en el momento en que se realice la recolección de los datos a ser tratados, debe observarse la figura de las Políticas de Tratamiento, documento que debe hacerse disponible en medio físico o electrónico, escrito de manera clara y sencilla para su compresión, con el objeto de informar al Titular sobre el tratamiento que se le dará a los datos y la finalidad para la cual es tratado el mismo. De la misma manera, en tal política deberán constar los derechos de los titulares, así como la persona o área responsable del Tratamiento de los datos personales, ante la cual se pueden ejercer los derechos legales y presentar las reclamaciones relacionadas con el derecho al Hábeas Data, y el procedimiento o las maneras para ejercerlos. Por otra parte, el Decreto 1377 de 2013 señala que los responsables del tratamiento de datos personales deben estar en capacidad de demostrar, a petición de la Superintendencia de Industria y Comercio, Autoridad única en materia de Protección de Datos, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones que la Ley les impone, proporcionales a la naturaleza jurídica de la organización empresarial responsable del mismo. Entre tales medidas se encuentran la obligación de conservar la copia de la respectiva autorización otorgada por el Titular de manera tal que se pueda verificar con posterioridad, conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento e informar, a solicitud del Titular, sobre el uso dado a sus datos. Asimismo, resaltamos, como elemento integrante de las medidas apropiadas, el deber de los Responsables de informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares. La verificación por parte de la Superintendencia de Industria y Comercio de la existencia de medidas y políticas específicas para el manejo adecuado de los datos personales que administra un Responsable será tenida en cuenta al momento de evaluar la imposición de sanciones por violación a los deberes y obligaciones establecidos en la Ley y en el Decreto 1377 de 2013. 2. PROPÓSITO DE LA HOJA DE RUTA Expuesto lo anterior, es necesario resaltar que con el fin de generar un ambiente de correcto y cabal entendimiento de la normatividad de protección de datos personales por parte de las entidades de la Administración Pública y, con el objetivo de atender los lineamientos y mejores prácticas para que al momento de la creación, mantenimiento y supresión de bases de datos, las entidades cumplan la normatividad aplicable con base en las mejores prácticas, se ha elaborado la presente hoja de ruta para unificar criterios respecto del tratamiento de datos personales por parte del Estado Colombiano que servirá para elevar los estándares internacionales de transparencia gubernamental y respeto de los derechos ciudadanos- titulares. De esa manera, hemos elaborado un procedimiento sencillo y expedito al alcance de todo servidor público que haga parte de una Entidad que actúe como responsable o encargada de la información administrada en sus bases de datos que almacenen información personal. La aplicación de la presente Hoja de Ruta parte de la tipología de datos que administre la Entidad, así como del proceso de auto-calificación que cada Entidad haya realizado conforme al formato de Auto-Diagnóstico que se ha dispuesto para determinar el nivel de cumplimiento de la Ley y la aplicación de buenas prácticas en protección de datos, para entidades públicas del orden nacional. En ese sentido, encontrará a continuación los pasos o etapas que debe agotar la Entidad, que deben ser observadas y aplicadas por la Entidad conforme a la protección de datos personales en general, y qué actividades específicas debe aplicar conforme a la tipología de datos que ésta administre. 3. HOJA DE RUTA PRINCIPAL PARA LA ADMINISTRACIÓN DE DATOS PERSONALES POR LAS ENTIDADES DE LA ADMINISTRACIÓN PÚBLICA DEFINICIONES A TENER EN CUENTA Con el fin de lograr un cabal entendimiento a los pasos y recomendaciones plasmadas en la Hoja de Ruta que debe aplicar la Entidad, es necesario se tengan en cuenta las siguientes definiciones: a) Autorizaciones: Consentimiento otorgado por el Titular de la información para realizar el tratamiento de los datos personales, informándole sobre cuáles datos personales serán recolectados, así como todas las finalidades específicas para las cuales será usado el dato recolectado, obteniendo de esa manera el consentimiento específico del Titular de los datos. En ningún caso el silencio podrá tomarse como el otorgamiento de una autorización. b) Aviso de Privacidad: Mecanismo subsidiario de comunicación, verbal o escrita, generada por el Responsable, acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales. El Aviso de Privacidad será, entonces, la forma de informar a los titulares sobre la existencia de las políticas de tratamiento cuando no sea posible ponerlas a disposición de los titulares, deber que debe cumplirse a más tardar “al momento de la recolección de los datos personales.” c) Base de datos: Se entiende por base de datos o banco de datos, a un conjunto de datos pertenecientes a un mismo contexto y almacenados sistemáticamente para su posterior uso, por tanto incluye desde bases de datos de personal, empresas de servicios, contratistas y candidatos hasta sistemas robustos de información. d) Contratos de Transmisión de Datos: El Artículo 25 del Decreto 1377 de 2013 lo define como el contrato que suscriba el Responsable con los Encargados para el tratamiento de datos personales bajo su control y responsabilidad, señalando los alcances del tratamiento, las actividades que el encargado realizará por cuenta del responsable para el tratamiento de los datos personales y las obligaciones del Encargado para con el titular y el responsable. e) Cookie: Es un archivo que envía un servidor web al disco duro del internauta que lo visita, con información sobre sus preferencias y sobre sus pautas de navegación a la hora de ingresar a internet. f) Datos de tráfico: Son los datos de comunicación relativos a las actividades en las redes públicas, en los que se incluye información relativa al origen de la comunicación, el destino de la misma, la fecha, la hora, el contenido de la comunicación, el destino y su duración, entre otros. g) Datos públicos: Se catalogan como datos públicos todos aquellos que no son de naturaleza semiprivada o privada, como también los contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva, y los relativos al estado civil de las personas. Entre los datos de naturaleza pública a resaltar se encuentran: los registros civiles de nacimiento, matrimonio y defunción, y las cédulas de ciudadanía apreciadas de manera individual y sin estar vinculadas a otro tipo de información. h) Datos personales: La clasificación de datos personales, hace referencia a cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Se engloban dentro de esta clasificación todos los datos tratados dentro de las Hojas de Ruta, como por ejemplo datos sensibles, datos de la salud, datos laborales, etc. i) Datos sensibles: El artículo 5º de la Ley 1851 de 2012 señala que “se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.”. Los datos de naturaleza sensible deben ser asimilados como una tipología de datos personales. j) Encargado del Tratamiento: La Ley 1581 de 2012 define al Encargado del Tratamiento como aquella “persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.” En otras palabras, el Encargado es quien realiza el tratamiento de datos personales en virtud de la delegación o mandato por parte del Responsable. Entre dichos encargos se encuentran la obtención de autorizaciones por parte de los ciudadanos y la verificación de cumplimiento de la finalidad en la recolección por parte de la Entidad. k) Entes fiscalizadores: Entidades que en ejercicio de sus funciones legales pueden solicitar lícitamente a otras entidades los datos personales que obren en sus bases de datos, tales como la Fiscalía General de la Nación, Contraloría General de la República, Unidad de Información y Análisis Financiero, etc. l) Función legal: Potestad otorgada por el ordenamiento jurídico a la Entidad para poder realizar el tratamiento. m) Información privada: Información que por encontrarse en un ámbito privado, sólo puede ser obtenida y ofrecida por orden de autoridad judicial en el cumplimiento de sus funciones, así como por decisión del titular de los mismos. Es el caso de los libros de los comerciantes, de los documentos privados, de las historias clínicas o de la información extraída a partir de la inspección del domicilio. n) Información reservada o secreta: Información que por su estrecha relación con los derechos fundamentales del titular, como su dignidad, intimidad y libertad, se encuentra reservada a su órbita exclusiva y no puede siquiera ser obtenida ni ofrecida ni siquiera por autoridad judicial en el cumplimiento de sus funciones. Cabe mencionar la información genética, y los llamados "datos sensibles", como, por ejemplo, la orientación sexual de las personas, su filiación política o su credo religioso, cuando ello, directa o indirectamente, pueda conducir a una política de discriminación o marginación, o relacionados con la ideología, la inclinación sexual, los hábitos de la persona, etc. o) Información semi-privada: La información que presenta para su acceso y conocimiento un grado mínimo de limitación, de tal forma que la misma sólo puede ser obtenida y ofrecida por orden de autoridad administrativa en el cumplimiento de sus funciones o en el marco de los principios de la administración de datos personales. Es el caso de los datos relativos a las relaciones con las entidades de la seguridad social o de los datos relativos al comportamiento financiero de los ciudadanos p) Mecanismos de defensa de perímetro: Son los mecanismos relacionados con firewalls, sistemas detección de intrusos, sistemas de prevención, software anti-virus/anti-spyware. q) Mecanismos de PQR´s: Los mecanismos atinentes a que los titulares conozcan, actualicen, rectifiquen y supriman sus datos personales, se refieren concretamente a procedimientos eficientes de Peticiones, Quejas y Reclamos. Esto quiere decir, mecanismos de atención al titular con los que cuenten las entidades, para que los Titulares de la Información puedan presentar solicitudes de petición, quejas o reclamos respecto a sus datos personales. r) Políticas de Tratamiento: Documento disponible en medio físico o electrónico, escrito de manera clara y sencilla para asegurar su compresión, con el objeto de informar al Titular sobre el tratamiento que se le dará a los datos y la finalidad para la cual es tratado el dato. De la misma manera, en tal política deberán constar los derechos de los titulares, así como la persona o área responsable del Tratamiento de los datos personales, ante la cual se pueden ejercer los derechos legales y presentar las reclamaciones relacionadas con el derecho al Hábeas Data, y el procedimiento o las maneras para ejercerlos. En la política de tratamiento deben constar, de manera clara, la forma de ejercer, por parte del titular de la información, el derecho a revocar la autorización otorgada para el tratamiento, así como los procedimientos para ejercer el derecho a conocer, actualizar, rectificar, y suprimir el dato. s) Políticas internas efectivas: Documento cuyo objetivo tiende a demostrar, ante un requerimiento de la Superintendencia de Industria y Comercio, autoridad nacional en materia de protección de datos personales, la existencia de una estructura administrativa proporcional a la estructura y tamaño de la Entidad, así como la adopción de mecanismos internos para poner en práctica estas políticas incluyendo herramientas de implementación, entrenamiento, programas de educación y procesos para la atención y respuesta a consultas, peticiones y reclamos de los Titulares, con respecto a cualquier aspecto del tratamiento, así como la implementación efectiva de las medidas de seguridad apropiadas, que demuestre de manera efectiva el cumplimiento de sus deberes como responsable del tratamiento. t) Responsable del Tratamiento: Siguiendo lo dispuesto por la Ley 1581 de 2012, y el Decreto 1377 de 2013, se denomina Responsable del Tratamiento a toda persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, tenga poder de decisión sobre las bases de datos y/o el Tratamiento de los datos, entendiendo por tratamiento “Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión”. El Responsable define, entonces, la forma en que se almacenan, recolectan y administran tales datos, definiendo, también, los fines esenciales para los cuales se realiza el tratamiento. Asimismo, está obligado a solicitar y conservar la autorización en la que conste el consentimiento expreso del titular de la información, así como a mantenerlo informado, con suficiencia y claridad, acerca de las finalidades específicas del tratamiento mismo. u) Root-kits: Programas típicamente clandestinos y maliciosos que permiten un acceso constante y privilegiado a un equipo de manera oculta del control de los administradores. Corrompe el funcionamiento normal del sistema operativo y de otras aplicaciones. Se utiliza para esconder algunas aplicaciones que podrían actuar en el trasfondo sistema atacado. v) Tratamiento de datos o de información: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. 1. LA CREACIÓN DE LA BASE DE DATOS Paso N° 1: Identificar la función legal de la Entidad Como primer paso, y con el fin de aproximar a la Entidad a los principios básicos del correcto manejo de información personal proveniente de los ciudadanos- titulares, es preciso anotar que la administración de los datos personales empieza desde antes de que se comience a recolectar la información de la población. Obligación legal Así, debe partirse de un elemento esencial en el día a día de la Entidad: la determinación de la función que la Ley le ha otorgado. De esta manera, la función legal ejercida por la Entidad, a la hora de realizar cualquier tratamiento sobre datos personales es crucial, puesto que todo tratamiento debe estar atado a una facultad otorgada por el ordenamiento que autorice su finalidad. Mejores prácticas En ese sentido, antes de iniciar la recolección de cualquier tipo de información y de crear una determinada base de datos, se recomienda que la Entidad realice las siguientes actividades: La Entidad debe, primero, identificar cuál es la disposición normativa que la habilita para recolectar los datos personales que busca recopilar. Para ello la Entidad debe buscar la disposición expresa en la Ley que la habilite para ello, y tomar nota de las expresiones de la misma. Una vez se precisada la norma habilitante, esta debe tenerse muy en cuenta a lo largo del proceso, toda vez que podrá ser consultada posteriormente. Luego, debe analizarse la norma y consultar si en ella se estipula algún procedimiento especial para la obtención, almacenamiento y utilización de la información. Habiéndose realizado lo anterior, y teniendo presente y a la mano la norma que otorga a la Entidad las funciones legales correspondientes, esta tendrá que confrontar tales disposiciones con la finalidad buscada en la recolección de datos, como se describe a continuación. Datos de ubicación, contacto y comunicación Cuando una Entidad solicite la divulgación de información que permitan ubicar, contactar y comunicarse con el ciudadano-titular de la información, su entrega y disposición se deberá hacer mediante la intervención de un tercero de confianza, independiente e imparcial, el cual verificará que la intervención en la información solicitada cumpla a cabalidad con las funciones de la Entidad que solicita la información. En este proceso la Entidad debe velar siempre por el respeto de los derechos a la honra, al buen nombre, a la intimidad personal y familiar y, al debido proceso. Paso N° 2: Definir la necesidad y la finalidad en la recolección Obligaciones legales Teniendo clara la función que ha sido otorgada por la Ley a la Entidad para adelantar las acciones de cara al ciudadano- titular, es necesario tener claro el objetivo de la recolección de la información que se pretende recabar. Nótese que el artículo 4º de la Ley 1581 de 2012 trae a colación el principio de finalidad, por el cual se entiende que el tratamiento de datos debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley y que, como se anotará en apartes posteriores, ésta finalidad debe ser informada al ciudadano- titular, quien debe otorgar una autorización, un consentimiento previo, expreso e informado para llevar a cabo el tratamiento de los datos personales. Esta finalidad legitima los procesos de administración de la información a recopilar. Datos de ubicación, contacto y comunicación Cuando la formulación de la finalidad verse sobre datos personales de ubicación, contacto y comunicación, la Entidad debe tener en cuenta que ésta será legítima cuando no existan otras alternativas menos invasivas de la privacidad y siempre y cuando el tratamiento sea necesario y apropiado para cumplir el objetivo propuesto con la recopilación de los datos. Por ello, la Entidad deberá estimar si la pérdida de privacidad es proporcional al beneficio obtenido por el ciudadanotitular, al brindar sus datos de ubicación y contacto. Por su parte, estos datos sólo pueden ser procesados para proveer los servicios requeridos por los ciudadanos- titulares, donde su utilización estará sujeta a que se provea al ciudadano- titular información previa, expresa, clara y suficiente antes de obtener la correspondiente autorización. Para cualquier otro propósito que disponga la Entidad, se deberá obtener la autorización conforme a lo dispuesto en la Ley, momento en el cual se informarán a los ciudadanos- titulares los mecanismos que posee para retirar la autorización de tratamiento. Mejores prácticas Con base en lo anterior, la Entidad debe definir el porqué de la recolección. Para ello debe realizarse un ejercicio interno en virtud del cual la Entidad debe: Realizar un listado de objetivos. Estos serán los fines para los cuales recolectará la información. Precisar qué datos se requieren para cumplir tales objetivos. Realizar un cuidadoso examen acerca de la sensibilidad de los mismos, señalando si estos constituyen información semi-privada, privada, reservada o secreta, sensible, o pública, según las definiciones propuestas al inicio de esta hoja de ruta. Definir a cuál de las finalidades enlistadas se adecúa, procediendo a agruparla información que considera necesaria, dependiendo de la finalidad del tratamiento de los datos personales. En resumen, la Entidad debe partir de la identificación de su función legal para así contrastar dichas funciones con el propósito y los motivos por los cuales se realizará la recolección de los datos. Obligaciones legales Es de anotar que la finalidad para la recolección de información delimitará el uso que se dará a los datos recabados. En otras palabras, no podrá la Entidad realizar el tratamiento de la información con miras a una finalidad distinta a aquella que se determine como objetivo para la recolección de los datos personales. Esto, salvo que medien razones de innovación, desarrollo, ciencia o estadística, así como políticas estatales que favorezcan a toda la población. En los casos en los que existan alertas de epidemia en la población, la Entidad encargada de recopilar los datos personales deberá identificar todos los datos Datos de la salud que necesitará recopilar para combatir la problemática. Los datos que se requieran para combatir la epidemia o cualquier situación similar, deben estar justificados dentro de la finalidad y la necesidad de la recolección. Paso N° 3: Identificar el límite temporal para el manejo de la información Obligaciones legales La finalidad escogida definirá también el factor de tiempo durante el cual se adelantará el tratamiento de los datos personales, pues, según lo requiere la Ley 1581 de 2012, el tratamiento de la información debe realizarse por un periodo acorde a la finalidad y necesidad planteada anteriormente. Así, el siguiente paso será detallar de manera consciente, cuál será el periodo de tiempo razonable al cabo del cual se agotará la finalidad para la cual se recolectó la información. Mejores prácticas Debe anotarse que no se requiere establecer un número determinado de días, meses o años, pero sí es considerada una buena práctica hacer referencia a circunstancias o condiciones que marquen el agotamiento de la finalidad identificada. Datos de ubicación, contacto y comunicación Al momento de formular el límite temporal para el tratamiento de datos personales de ubicación, contacto y comunicación, la Entidad deberá formularla teniendo en cuenta que en esta tipología de datos la temporalidad debe obedecer estrictamente al tiempo necesario para prestar el servicio al ciudadano- titular. Obligaciones legales Es necesario resaltar que la retención injustificada y el tratamiento perpetuo de los datos personales atenta contra los derechos de los ciudadanos- titulares y puede hacer responsable a la Entidad, así como al servidor público encargado del manejo de dicha información, por los perjuicios que ello genere al ciudadano- titular. Paso N° 4: Identificar a los ciudadanos - titulares de la información Obligaciones legales Es muy importante que la Entidad conozca y determine la población que va a brindar sus datos para las finalidades ya identificadas. Esta labor permite saber quiénes van a aportar sus datos personales y qué tipo de datos alimentarán las bases de la Entidad. Mejores prácticas Lo anterior permitirá a la Entidad definir a su vez, si la finalidad para la cual se recopila la información genera algún tipo de beneficio para los ciudadanos- titulares, siendo entonces necesario que se detallen estos beneficios, así como las situaciones adversas que pueden derivarse de los mismos. De la misma manera, la Entidad debe tener claridad acerca de la posibilidad de generar perfiles de los ciudadanos- titulares, a partir de la información recolectada. Los beneficios detallados, que deben ser informados a los ciudadanos- titulares, pueden ser exigidos por éstos, al paso que deben también conocer las situaciones adversas o la posibilidad de que se les incorpore en un grupo determinado de personas que cumplen características comunes. Así, si existen ciertos requisitos, parámetros, calidades o situaciones objetivas verificables para determinar si deben recabarse datos de un ciudadano- titular específico, la Entidad debe elaborar un check-list acerca de tales características, el cual servirá para evitar recabar información innecesaria. Para estos fines, la Entidad debe tener en cuenta que los ciudadanos- titulares que en el futuro exijan ser parte de una base de datos no podrá negarse injustificadamente el ingreso a las plataformas de información. En otras palabras, a estos ciudadanos- titulares se les debe garantizar su derecho a consultar la información entregada. Obligaciones legales Debe tenerse en cuenta que la Ley 1581 de 2012, dispone que el ciudadano- titular tiene el derecho de comprobar que los datos que circulen sobre él han sido previamente autorizados, solicitar prueba de ello y revocar su autorización, conocer, actualizar y rectificar sus datos personales en los casos en que estos sean inexactos, incompletos o fraccionados, que induzcan a error o cuyo tratamiento se encuentre prohibido. Es preciso resaltar que el ciudadano- titular tiene derecho a exigir que su información sea tratada de conformidad con los límites impuestos por la Ley y la Constitución, al paso que, en caso de incumplimiento, existe un recurso efectivo para lograr el restablecimiento de sus derechos. Mejores prácticas Como se verá más adelante, los derechos del ciudadano- titular deben ser incluidos, enunciados claramente, dentro de la Política de Tratamiento de Datos Personales que debe elaborar la Entidad. Paso N° 5: Designar al Responsable y Encargado de las bases de datos Obligaciones legales La Entidad debe elegir al servidor público o Área Responsable de administrar las bases de datos que se van a crear. No debe confundirse lo anterior con las figuras de Responsable y Encargado del Tratamiento, las cuales fueron definidas en la parte introductoria de esta Hoja de Ruta principal. Mejores prácticas La selección del personal responsable debe realizarse atendiendo a la idoneidad y a las competencias necesarias para adelantar la labor, para que de esta manera se escojan los servidores públicos más capacitados en el manejo de información. Para tales fines, la Entidad deberá: Evaluar las competencias de cada uno de ellos. Evaluar la experiencia de los servidores públicos de cara a la tarea que van a realizar. Evaluar el conocimiento en materia de seguridad de la información, con el fin de escoger los servidores públicos que, a futuro, tengan las capacidades suficientes para atender incidentes de esta índole. De esta manera, independiente de la naturaleza del responsable (individual o colectivo) la Entidad debe crear un régimen de responsabilidades acorde con las funciones de los servidores públicos designados como responsables, así como un reglamento que consagre las consecuencias de la mala administración de la información. Adicionalmente se debe tener en cuenta, que si los servidores públicos pertenecientes al área encargada de administrar los datos personales son Datos de la salud profesionales de la salud, la Entidad deberá indicarles a estos servidores que deben suscribir un acuerdo de confidencialidad sobre los datos personales de esta naturaleza, indicándole además las consecuencias por incumplirlo. Datos acerca del honor, la intimidad, la identidad sexual y la libre expresión Si se tratan datos personales relativos al honor, la intimidad, la identidad sexual y la libre expresión, la Entidad deberá indicarles a los servidores públicos pertenecientes al área encargada de administrar esta información, que deben suscribir un acuerdo de confidencialidad, con el fin de que estos datos no sean divulgados en perjuicio de los ciudadanos- titulares de la información. La Entidad debe asegurarse de comunicarle a los servidores públicos al momento de conferirle la función, la existencia de dichos regímenes de responsabilidades y de sanciones aplicables. Paso N° 6: Formular la Política de Tratamiento de Datos Personales Si se trata de datos reservados, los servidores públicos designados para la Datos de la salud administración de estos datos, no podrán en ningún momento transferir ni delegar esta función, por lo que la Entidad deberá velar porque ello no ocurra. Obligaciones legales Cumplido lo anterior y para la correcta administración de datos personales, la Entidad debe elaborar la Política de Tratamiento de Datos Personales, en cumplimiento de la Ley 1581 de 2012 y el Decreto 1377 de 2013, con el fin de que en esta se definan los aspectos esenciales aplicables a la administración de ellos. De esta manera se debe proceder a elaborar un documento que contenga como mínimo los siguientes elementos: Mejores prácticas Nombre, razón social, domicilio, dirección, correo electrónico y teléfono del Responsable y del Encargado de las bases de datos personales. Derechos de los ciudadanos- titulares de la información. Servidor público o área responsable de atender las Peticiones, Quejas y Reclamos que se presenten ante la Entidad. Fecha de su entrada en vigencia. Los servidores públicos que tendrán acceso a las bases de datos. El uso de contraseñas y procedimientos de autenticación de quien está autorizado a consultar las bases de datos. Datos laborales Si los datos a recolectar son susceptibles de crear perfiles acerca de la población, deberá garantizar que la información que pueda ser usada para actos discriminatorios, sea conocida únicamente por los servidores públicos autorizados para dicho fin, garantizando además, que solamente ciertos servidores públicos de la Entidad tengan acceso a ella. Por este motivo, la Entidad deberá garantizar que los servidores públicos que tendrán acceso a estas bases de datos será un grupo bastante pequeño en comparación a quienes tendrán acceso a otros tipos de datos. Mejores prácticas En la formulación de la Política, además de incluir los aspectos generales anteriormente mencionados, debe incluirse también un aparte dedicado al Responsable y Encargado de las bases de datos, en la cual se indique la identificación de estos servidores públicos y las obligaciones y funciones que deben desempeñar. Datos de ubicación, Si la Política de Tratamiento está encaminada a administrar datos de ubicación, contacto y comunicación, será deber de la Entidad incluir en ella el tratamiento contacto y comunicación que se le darán a las cookies, como también la información que debe contener acerca de las partes involucradas y la finalidad en su uso. Una vez dentro de la Entidad se hayan definido estos aspectos esenciales de la Política de Tratamiento, se debe proceder a elaborar un Folleto Informativo que será dirigido a todos los ciudadanos- titulares, en donde se explique cuál es la función legal de la Entidad, la finalidad que busca con la recolección de los datos personales y la necesidad de recopilarlos. Este Folleto Informativo debe ser redactado en un lenguaje claro para que cualquier ciudadano- titular lo entienda. Por último, la Entidad debe tener muy en cuenta que la Política de Tratamiento tiene una naturaleza cambiante, en donde es permitido modificar e incluir apartes dentro de esta cada vez que sea necesario. Conformación del Comité especializado La Entidad procederá a conformar el Comité especializado el cual será un órgano colegiado encargado de cumplir funciones consultivas en favor de la Entidad en cuanto a la protección de datos personales. Este Comité deberá estar conformado por los servidores públicos más experimentados en los temas de protección de datos personales, el Responsable y Encargado de la información, los miembros que componen el Área responsable de la administración de los datos personales y los servidores públicos o sus delegados que dentro de la Entidad se estime conveniente incluir. Para efectos de su convocatoria, dentro de la Entidad deberá identificarse, primero, a los sujetos llamados a conformarlo, atendiendo los servidores anteriormente mencionados, para que en las situaciones que prevé esta Hoja de Ruta y en los casos en los que la Entidad lo considere conveniente, sean convocados al Comité y citados a la mesa de trabajo que se adelantará, indicando además, la fecha, hora y lugar en la que sesionará y los temas que serán tratados en la reunión. Las sesiones adelantadas por el Comité especializado para la protección de datos personales deberán llevarse a cabo dentro de las instalaciones de la Entidad. Toda vez que al interior de la Entidad se lleven a cabo las reuniones del Comité especializado, deberán elaborarse las respectivas actas y constancias de la reunión. Entre las funciones que estará llamado a cumplir se encuentra la de órgano de consulta interna ante las dudas o inquietudes que puedan surgir en la Entidad conforme a la administración de datos personales. En síntesis será el órgano colegiado interno de carácter consultivo que podrá ser convocado cuando la Entidad así lo requiera. En este sentido, los servidores públicos dedicados a la administración de los datos personales deben reportar al Comité cualquier falencia en las medidas de tratamiento de la información durante la administración de datos personales y convocarlo para que se genere un espacio de discusión acerca de los vacíos identificados y se incluyan dentro de la Política de Tratamiento de Datos Personales nuevas medidas que permitan hacer frente a la realidad en la administración de datos personales. Datos reservados Cuando se requiera definir el manejo que se dará a la información clasificada o reservada, la Entidad deberá hacerlo en sesiones secretas, con participación únicamente del personal autorizado para ello. Paso N° 7: Elaborar el Reglamento de Seguridad de la Entidad Obligaciones legales Luego de definir la Política de Tratamiento, es momento de formular la Política de Seguridad para la administración de datos personales, la cual, siendo igual de significativa que la anterior política, permite diseñar las medidas de seguridad para la salvaguarda de los datos personales, de cara a los riesgos inherentes a la administración de este tipo de información. De esta manera, la Entidad debe preparar las plataformas físicas contenedoras de la información, ya sea los computadores y equipos de hardware dedicados al almacenamiento de los datos personales, y los programas y demás aplicaciones –software- que garanticen un proceso exitoso en la recolección, manejo y cancelación de la información. Mejores prácticas Por estos motivos y antes de elaborar las medidas de seguridad propiamente dichas, se deberá: Destinar los recursos técnicos y de talento humano especializados para implementar las medidas de seguridad necesarias para mantener la integridad de los datos personales de los ciudadanos- titulares. Capacitar constantemente a los servidores públicos involucrados en la labor, acerca de los riesgos a los que se pueden enfrentar los datos personales, implementando sesiones de capacitación para ello. Una vez definidos estos aspectos se procederá a elaborar las políticas de seguridad en la que se logre identificar los miembros de la gestión, quienes serán los autorizados para consultar internamente la información, restringiendo el acceso a los servidores que no están habilitados para ello. Adicionalmente es de suma importancia que luego de señalar lo anterior, la Entidad adecúe sus plataformas de información para recopilar los datos, siempre formulando estas políticas de acuerdo a la naturaleza de los datos que se van a recopilar y la forma como estos van a ser consultados. Paso seguido, se deberán definir los niveles de seguridad en los van a ser clasificados los datos recolectados, dependiendo de la naturaleza de los mismos y de los riesgos a los que estarán expuestos: o Nivel básico de seguridad para las bases que administran una cantidad baja de datos personales, como también para aquellas que manejan datos que no tienen la calidad de reservados, privados o sensibles. o Nivel medio de seguridad para las bases de datos que administran un número considerable de datos y para aquellas que manejen datos que tengan un nivel de privacidad moderado y no se cataloguen dentro de los niveles de seguridad básico o alto. o Nivel alto de seguridad para las bases que administran gran cantidad de datos, como también para aquellas que manejan datos de naturaleza reservada, privada o sensible. Datos laborales Si los datos personales del ciudadano- titular permiten conocer la identificación y la ubicación de una persona con una filiación sindical en particular, los niveles de seguridad aplicables serán los de clasificación media o alta, pero nunca básica. Datos reservados Si la naturaleza de los datos a administrar es de naturaleza reservada, el nivel de seguridad aplicable debe ser el más riguroso y no podrá ser inferior al nivel alto de seguridad. Este tipo de políticas deberán ser aplicadas con el mayor rigor cuando los datos sean administrados por miembros de fuerza pública o militar. Dentro de las medidas que caractericen la protección de este tipo de datos, deben consignarse protocolos especiales para la protección de los mismos, los cuales deben ser diseñados por el personal experto en esta materia y atendiendo la naturaleza secreta de cada dato. Se debe tener presente que la motivación y la justificación que generó la clasificación de las bases de datos en distintos niveles de seguridad o en un nivel especifico, deben estar consignadas dentro de un documento elaborado por los Responsables de la información. Sin embargo, la clasificación de la información según los niveles de seguridad puede cambiar si la realidad así lo amerita. Luego de lo anterior, la Entidad debe implementar medidas de seguridad para la administración de los datos personales, tales como contraseñas de acceso a la información, tarjetas de seguridad, puertas cerradas para acceder a las plataformas físicas, almacenamiento de la información de manera cifrada o codificada y en general cualquier medida que sea considerada conveniente para restringir el acceso a la información y al lugar donde esta se encuentre. Subsiguientemente, se debe definir dentro de las medidas de seguridad los siguientes aspectos: Protocolos de seguridad dedicados a dar respuesta a las fallas de seguridad del sistema. Descripción de los recursos protegidos. Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido para cada base de datos. Descripción de los sistemas de información aplicados en el proceso de seguridad. Es muy importante que además de definir los elementos de salvaguardia de la integridad de los datos personales, se tenga en cuenta que durante la administración de la información pueden ocurrir hechos que vulneren los datos almacenados, por lo que es necesario que se definan los procedimientos para la gestión de incidentes e incumplimientos de las medidas de seguridad, los cuales deben estar dedicados a contener y recuperar los datos perdidos ante una falla, identificar a quienes es necesario notificar ante el suceso e investigar y dar respuesta a los incidentes. Acorde a los datos que se pretenda recolectar, deberá reunirse el personal idóneo a la labor para identificar los riesgos a los que se pueden ver expuestas las bases de datos y diseñar los protocolos especiales para la mitigación del riesgo o actuación ante la ocurrencia de uno de ellos, con el fin de que si ocurre un suceso negativo, las políticas de seguridad tengan predispuestos los procesos de contención y recuperación, y las medidas para evaluar los acontecimientos y generar políticas para prevenirlos en el futuro: Tanto las políticas de seguridad como la Política de Tratamiento de Datos Personales admiten cambios justificados y motivados según los riesgos y situaciones existentes. Estas políticas deben contener además, un registro de sucesos en el que se plasmen todos los acontecimientos que ocurran en relación con la base de datos. El responsable y/o Encargado debe elaborar un informe periódico que indique: Los acontecimientos del sistema. El rendimiento de los sistemas de seguridad. Los problemas que se han presentado. Las soluciones ideadas a las fallas. Cuando se logren definir todos los aspectos anteriormente descritos, las políticas de seguridad formuladas conformarán el Reglamento de Seguridad de la Entidad, el cual debe ser construido antes de la recolección de los datos personales de los ciudadanos- titulares y ser incluido dentro de la Política de Tratamiento de Datos Personales. Paso N° 8: Capacitación de los servidores públicos Mejores prácticas Posterior a ser definida la Política de Tratamiento de Datos Personales e incluirse en esta el Reglamento de Seguridad de la Entidad, los servidores públicos que van a ser involucrados en la recolección de los datos, deben ser capacitados con respecto a estas políticas, sin olvidar por supuesto que entre los módulos de aprendizaje se debe incluir además, el régimen sancionatorio aplicable ante un incumplimiento y un módulo dedicado exclusivamente al Código de Ética de la Entidad. Es importante que al finalizar cada uno de los módulos, se evalúe el conocimiento adquirido por los servidores públicos en las capacitaciones realizadas. Para todo lo anterior, deberá destinarse el tiempo adecuado para transmitir al servidor los conocimientos necesarios para administrar la información, sin olvidar que esto puede ser sujeto a evaluaciones periódicas que midan el conocimiento de los servidores públicos encargados. Datos estadísticos y poblacionales Para la administración de datos de naturaleza estadística y poblacional, la Entidad deberá capacitar al personal encargado del tratamiento, con el fin de brindarles los conocimientos necesarios para identificar los riesgos que se puedan generar para la seguridad pública del Estado o de la Entidad. Los servidores públicos, en caso de duda, deberán contactarse con entidades cuyas funciones se encuentren relacionadas con esta clase de riesgos. Paso N° 9: Definir la Política de Trazabilidad e Interoperabilidad de Datos Personales Obligaciones legales Eventualmente pueden presentarse hechos dentro de la Entidad que ameriten la transferencia de datos entre entidades, por lo cual es necesario que antes de administrar los datos personales, se encuentren definidas las políticas que respondan a este tipo de situaciones. Esta Política especial debe contener los protocolos de seguridad dedicados a los procesos de trazabilidad e interoperabilidad que eviten la ocurrencia de riesgos tales como la adulteración, perdida, consulta, uso o acceso no autorizado de los datos, o implementación fraudulenta de los mismos. El Responsable y Encargado de las bases de datos se encuentra en la obligación de identificar los riesgos que existen en el proceso de interoperabilidad o trazabilidad entre entidades, para lo cual y en aras de la seguridad de la información, deben formularse igualmente protocolos especiales de seguridad ante la ocurrencia de un riesgo, estos, dirigidos a mitigar y reparar el daño causado en el transcurso de estas operaciones. En este tipo de casos la Entidad puede cooperar con la Entidad a la cual se le hayan transferido los datos personales. Mejores prácticas Deberán implementarse además, mecanismos para el seguimiento de las actividades que se realizan con los datos transferidos, un registro de los datos que entran y salen de la Entidad y en general, mecanismos para el monitoreo de los datos personales. Debe preverse por parte de la Entidad, la transferencia de datos a otro país, caso en el cuál, debe tenerse en cuenta que la transferencia de estos datos se podrá hacer siempre y cuando el receptor de la información garantice las medidas de seguridad y administración adecuadas para el tratamiento, por lo que antes de realizar la operación, la Entidad exportadora de información debe desplegar las acciones de verificación de estos aspectos. Consecuente a ser elaborada la Política de Trazabilidad e Interoperabilidad de Datos Personales, esta deberá ser igualmente incluida dentro de la Política de Tratamiento de Datos Personales, toda vez que esta representa la matriz para la administración de datos personales. Paso N° 10: Elaborar el Aviso de Privacidad y la Autorización dirigida al ciudadano- titular Obligaciones legales Antes de iniciar la recolección de los datos personales por parte de la Entidad, es necesario que se creen los documentos de Aviso de Privacidad y de Autorización, los cuales serán entregados y suscritos respectivamente al ciudadano-titular de la información. El Aviso de Privacidad tiene la finalidad de comunicar al ciudadano- titular de la información acerca de las Políticas de Tratamiento que componen la administración de sus datos, la cual debe incluir como mínimo, según el artículo 15 del Decreto 1377 de 2013, lo siguiente: Nombre o razón social y datos de contacto del responsable del tratamiento. El tratamiento de los datos y la finalidad de la recolección. Los derechos del ciudadano- titular. Los mecanismos dispuestos por el Responsable para que el ciudadano- titular conozca la Política de Tratamiento de la Información y los cambios sustanciales que se puedan producir en ella. Mejores prácticas Debe indicarse también la dependencia de la Entidad, los servidores públicos que tendrán acceso a sus datos y la razón que los habilita para ello, así como la información que le permita al ciudadano- titular ejercer sus derechos. Por último y con respecto al Aviso de Privacidad, para dar cumplimiento a la normatividad pertinente, la Entidad debe planificar de qué forma los ciudadanos- titulares pueden consultar los cambios en la Política de Tratamiento de los datos personales en el futuro y comunicarla al ciudadano- titular. Deberá entonces informar acerca de los mecanismos ya sea vía web, personalmente en las instalaciones de la Entidad, telefónicamente por medio de una línea de atención (call-center), o la que se considere más conveniente, pero siempre respetando este derecho del ciudadano- titular. Obligaciones legales La Autorización del ciudadano permite que éste al ser debidamente informado acerca de la administración de sus datos personales, pueda consentir de manera libre, previa y expresa la recopilación de estos. Por estos motivos, al momento de recopilar los datos del ciudadanotitular, se debe informar a este acerca de la finalidad y la necesidad que tiene la Entidad en la labor y obtener la autorización del ciudadano- titular antes de usar sus datos. Mejores prácticas Si durante la recopilación de los datos personales, necesariamente se tiene que involucrar a un menor de edad o a un incapaz (según las disposiciones establecidas en el Código Civil) debe surtirse un procedimiento especial para conseguir su autorización, toda vez que debe contarse con la debida participación de su representante. Si al recolectar los datos de un ciudadano- titular, necesariamente debe involucrarse la información de un tercero, se debe pedir autorización a este; por lo que la Entidad debe estar preparada para pedir la autorización de toda persona que se vea involucrada en el proceso y sean requeridos sus datos. Es de resaltar que la Entidad debe obtener esta autorización a más tardar al momento de recolectar los datos personales del ciudadano- titular de la información, según el artículo 5 del Decreto 1377 de 2013. Obligaciones legales Es muy importante que si el tratamiento de los datos personales se realizó antes del veintisiete (27) de junio de 2013, el Responsable de los datos se comunique con los ciudadanos- titulares de la información con el fin de refrendar las autorizaciones exigidas por la Ley y poder continuar con el tratamiento de sus datos. No obstante si luego de intentar refrendar la autorización por parte de estos ciudadanos- titulares, estos no solicitan la supresión de sus datos personales dentro de un término de treinta (30) días, la Entidad puede seguir haciendo uso de estos. La Entidad puede prescindir de la autorización en los casos en los que la Ley se lo permita, por ejemplo ante urgencias médico-sanitarias, en virtud de su función pública, un mandato judicial o legal que releve el consentimiento, según lo permite la Ley 1581 de 2012 en su artículo 4°, literal c y específicamente en el artículo 10°. Paso N° 11: Descripción de las bases de datos personales Mejores prácticas Antes de desplegar los procesos de obtención de la información, es necesario que dentro de la Entidad se describa en detalle la base de datos que va a contener la información, indicando como mínimo: La Política de Tratamiento que se aplicará a la base de datos. La naturaleza de los datos que contendrá. El volumen y la cantidad de datos que se estima almacenar. El responsable de la base de datos y el encargado designado para administrarla. El tiempo hasta el cual esta base de datos va a ser usada. La manera cómo se van a recolectar los datos personales de los ciudadanos- titulares. La naturaleza de los datos recabados indicando si existen datos sensibles. La especificación del área o dependencia que se encargará de manera directa del tratamiento. El contexto en el cual se recolectarán los datos que allí se contendrán. La existencia de algún requerimiento legal que establezca la necesidad de compartir la información con otra Entidad de la Administración Pública o con entidades privadas. Datos reservados Conforme a la descripción de la base de datos reservados, será necesario incluir además los siguientes elementos: Quienes (áreas o servidores públicos) podrán tener acceso a dichos datos. El procedimiento que certifique la idoneidad de la persona que vaya a tener acceso a esta información. Las formalidades y limitaciones a su acceso. Las personas a quienes definitivamente se les negará el acceso. Las medidas necesarias para proteger el material clasificado. Se debe recordar que las bases de datos personales recopiladas por la Entidad, no pueden mezclarse en ningún momento con los datos propios de la Entidad, es decir que las bases de datos personales deben ser minuciosamente individualizadas y separadas de los demás datos administrados. La descripción de las bases de datos personales debe ser consignada en un rotulo que sea visible antes de consultar las bases de datos de manera interna. En este aspecto la Entidad estimará la manera más apropiada para incluir la descripción de los datos personales, la cual deberá incluirse a manera de portada antes de acceder a la información de las bases. Datos reservados Si los datos son de naturaleza reservada, la base de datos que los vaya a contener debe ser descrita de tal manera que permita indicar fácilmente su contenido, teniendo en cuenta que esta descripción no debe vulnerar la reserva de estos datos. 2. LA RECOLECCIÓN DE LA INFORMACIÓN Paso N° 12: Preparar el proceso de recolección de los datos personales Obligaciones legales Lo primero que se debe aclarar, es la manera como se va a llevar a cabo el proceso de recolección, en el que se debe priorizar, al momento de recolectar los datos personales, la Autorización que el ciudadano-titular de la información debe suscribir, como también el Aviso de Privacidad que debe ser entregado a este una vez finalice el procedimiento. Mejores prácticas Durante el proceso de recolección de los datos, la Entidad debe elaborar un plan estratégico que permita determinar la manera como se va a recolectar la información, el tiempo estimado de la obtención y si el procedimiento se hará de manera personal ante el ciudadano- titular de la información o a través de medios telefónicos, electrónicos, entre otros. Si existe algún tipo de inquietud o duda dentro de la Entidad para definir los procedimientos de recolección de los datos personales, se debe proceder a convocar el Comité especializado para dirimir las dudas. Este Comité podrá ser citado las veces que sea necesario. Si la Entidad eligió un medio de comunicación verbal, debe guardar el soporte de la Autorización y del Aviso de Privacidad mediante una grabación, y si decide elegir métodos escritos, ya sea electrónicos o físicos, deberá registrar todas las autorizaciones y los avisos en un fichero que almacene estos soportes. La Entidad debe prever los casos en los que pueda requerir información adicional de los ciudadanos- titulares, para lo que es necesario se analicen los supuestos y se desplieguen los mecanismos para retomar el contacto con el ciudadano- titular de los datos. Estos supuestos deben contar igualmente con los procedimientos de autorización y de aviso de privacidad pertinentes. La Entidad debe procurar que los soportes y toda la información que tenga sea digitalizada con el fin de administrarla de manera más ordenada y eficiente. De no ser posible, se deben implementar procedimientos de archivística con el fin de que los expedientes y documentos relativos al proceso sean registrados y almacenados de manera adecuada. También es necesario que al momento de recolectar los datos personales de la población, existan protocolos especiales de seguridad aplicables al proceso de obtención, en el cual se garantice que no existirá intromisión alguna en la labor. En el momento en que se genere comunicación con el ciudadano- titular, se debe informar a éste sobre la existencia de dichas medidas con el fin de que las tenga presente y participe en la seguridad de sus datos personales. Cumplidos las anteriores instrucciones, es posible proseguir a recopilar los datos identificados, teniendo en cuenta en todo momento como parámetro de la recolección, que la obtención de los datos debe ser interpretada a la luz de la finalidad y la necesidad que motivó el proceso, y a la función legal que le permite a la Entidad realizar dicha labor. Paso N° 13: Entablar contacto con el ciudadano- titular para la recolección Datos estadísticos y poblacionales Respecto de la información de carácter estadístico de la población, la Entidad al momento de contactarse con el ciudadano- titular para adelantar el proceso de obtención de los datos personales, deberá abstenerse de recoger información de ciudadanos- titulares que puedan ver comprometida su vida, su integridad física o su libertad, con ocasión en la recolección. Mejores prácticas Definido lo anterior, la persona encargada por la Entidad para adelantar la labor, debe abstenerse de usar mecanismos secretos de recolección de información, como por ejemplo grabadoras ocultas, y en general todo mecanismo que recolecte información innecesaria o de manera secreta y fraudulenta en contra de la voluntad del ciudadano- titular. Datos laborales Si la información a recolectar es requerida al ciudadano- titular de la información por medio de su hoja de vida, la Entidad no podrá obligarlo durante el proceso, al suministro de una fotografía en el documento. Al momento de realizar la entrevista o proceso de recolección de datos personales, se debe informar verbalmente al ciudadano- titular acerca de toda la información relevante, la cual debe estar contenida además, en el Aviso de Privacidad. Posteriormente, deben darse indicaciones especiales acerca de la información que le será solicitada y la manera en la cual deberá suministrarla. Al comunicarse con el ciudadano- titular el servidor público designado debe implementar un lenguaje sencillo y claro, que expresado amablemente permita resolver cualquier duda que el ciudadano- titular tenga en el momento de la obtención de sus datos. Si durante el proceso de recolección se va a hacer uso de una grabadora de voz o multimedia, el encargado de recopilar la información debe contar con el consentimiento del ciudadano- titular antes de empezar el proceso e impartir indicaciones acerca de la composición de la obtención de datos. Estos dispositivos deben situarse en un lugar visible, con el fin de generar mayor confianza en el ciudadano- titular. Durante la recolección de los datos personales el servidor público encargado de recopilar los datos personales del titular de la información, debe obtener la suscripción de la Autorización por parte del ciudadano- titular y darle el Aviso de Privacidad, luego, debe entregarle a este una copia de su Autorización y del Aviso de Privacidad para que este conozca los derechos que le asisten y demás información allí contenida. En el caso que se pretenda recolectar datos personales relativos a la historia clínica de los ciudadanos- titulares, esta información no podrá ser obtenida sin Datos de la salud previo consentimiento del ciudadano- titular de la información, o por medio de mandato judicial o legal que releve este consentimiento. Datos de ubicación, contacto y comunicación Si la Entidad va a administrar datos personales, relativos a la ubicación, contacto y comunicación, deberá pedir en todo momento autorización de los usuarios para el tratamiento de los datos de tráfico de comunicación y datos de localización. Sin embargo, si el tratamiento se realizará en razón a una comunicación que el ciudadano- titular ha entablado con la Entidad, se podrá prescindir de dicha autorización. En caso que el usuario niegue la autorización para la utilización de una Cookie, la Entidad deberá informar de forma clara, expresa, suficiente y oportuna las consecuencias derivadas de su negación. Al momento de entregar copia de la Autorización y el Aviso de Privacidad, el encargado de suministrarlos debe informar brevemente de qué constan e indicar lo qué debe hacer el titular de los datos para efectos de cualquier duda, inquietud, petición, queja o reclamo que tenga en el futuro. Finalmente, al terminar la recolección de información, si el ciudadano-titular expresa algún tipo de comentario u opinión a la recopilación, estos deben ser registrados. Cuando se recojan dichas opiniones o comentarios, estos deben almacenarse junto a la descripción de los sucesos y circunstancias que los acompañaron, ya que esta información también se considera dato personal. Su obtención debe contar también con la autorización y el consentimiento del ciudadano- titular. Paso N° 14: Crear copias de seguridad (back up´s) Mejores prácticas Luego de haber recopilado los datos personales de la población, con el fin de mitigar el riesgo operativo al que se encuentran expuestas las bases de datos, la Entidad debe proceder a crear una copia de seguridad de todos los datos personales que recolectó y almacenarla en una plataforma o lugar diferente al que se encuentra localizada la información original. A estas copias de seguridad les será aplicable las mismas medidas de seguridad a las aplicadas a las Bases de Datos objeto de tratamiento. Paso N° 15: Registrar la Base de Datos Obligación legal Cumplidos los anteriores pasos, la Entidad debe proceder a incluir la Base de Datos creada dentro del Registro Nacional de Bases de Datos manejado por la Superintendencia de Industria y Comercio, en el cual se debe indicar: La finalidad y los usos del fichero. Los ciudadanos o colectivos de los cuales se recopiló información. Una descripción básica de los tipos de datos recopilados. Los órganos de administración y el área encargada dentro de la Entidad para la administración de la base de datos. La manera como el ciudadano- titular puede ejercer el derecho a cancelar, rectificar o modificar sus datos personales. Las medidas de seguridad aplicable a la base de datos. Es de gran importancia que al momento de registrar la Base de Datos, la Entidad aporte a la Superintendencia de Industria y Comercio la Política de Tratamiento de Datos Personales adoptada. Paso N° 16: Autoevaluar el proceso de apertura y recolección de los datos personales Mejores prácticas Al finalizar los anteriores pasos se debe efectuar dentro de la Entidad la socialización de lo transcurrido, indicando las dificultades y falencias que pudieron presentarse. El Comité encargado debe citar a todos los miembros participantes de la labor y al Responsable y Encargado de los datos personales, con el fin de contar con su participación en la autoevaluación. Si de allí surge la necesidad de modificar la Política de Tratamiento, esta debe evaluarse y proceder a realizar la modificación pertinente. 3. MANEJO DE LA BASE DE DATOS Paso N° 17: Estructurar los canales de atención al ciudadano Obligaciones legales Una vez recolectada la información, la Entidad debe tener en cuenta que durante el proceso de recolección de los datos personales y después de este, se deberán atender las solicitudes de los ciudadanos- titulares conforme a sus datos personales, para lo cual debe preparar a sus dependencias a brindar el adecuado servicio al ciudadano, de tal manera que este pueda consultar en cualquier momento: o La finalidad de la recolección de datos. o Los datos personales que la Entidad tiene de este. o Los medios para introducir sus datos personales en los casos en que sea conveniente. o La manera para contactarse con el responsable de sus datos. Datos laborales En todo caso, cuando la información que haya sido recolectada versa sobre datos personales de naturaleza laboral, la Entidad debe tener en cuenta que si ha recopilado información que pueda ser discriminatoria en contra del ciudadano- titular de la información, ya sea por razones de raza, nivel socioeconómico, tendencias ideológicas, económicas, religiosas, políticas o sindicales, deberá restringirse el acceso a esta información, los servidores públicos que por estricto cumplimiento de sus funciones podrán acceder a esta información. Adicionalmente se deberá restringir el acceso a estos datos por medios remotos y en caso que el titular desee conocerla, podrá hacerlo únicamente ante las oficinas de atención de la Entidad. Cuando se cuente con información relativa al estado de salud del ciudadanotitular de la información, estos datos deberán someterse al mismo proceso de restricción. Mejores prácticas En estas oficinas de atención se deberán incluir formatos y proformas para que los ciudadanostitulares puedan elevar ante la Entidad peticiones, quejas y reclamos (PQR´s) en ejercicio de sus derechos. En estos casos, la Entidad debe verificar al momento en que un ciudadano- titular exija un derecho o prerrogativa sobre algún dato de naturaleza personal, su identidad y la legitimación que lo habilita para ello. Cuando ello ocurra, la Entidad deberá otorgarle al ciudadano-titular de la información, el Folleto Informativo indicado en el Paso N° 6 de la presente Hoja de Ruta. Datos estadísticos y poblacionales Cuando los ciudadanos- titulares de la información hayan proporcionado datos a la Entidad con fines estadísticos o poblacionales, o referentes a registros administrativos u otros relativos al estado civil de los ciudadanos, estos no podrán ser difundidos en forma individualizada, ni de cualquier otra manera que permita la identificación de los titulares de la información. Paso N° 18: Permitir al ciudadano- titular consultar sus datos personales Obligaciones legales Instauradas las oficinas de atención, el ciudadano- titular puede acudir a estas con el fin de consultar la información personal que reposa en las bases de datos de la Entidad, por tal motivo deberá permitir que el ciudadano- titular de la información acceda y consulte sus datos personales, disponiendo de trámites adelantados directamente ante la Entidad o de manera remota, ya sea telefónicamente, vía web o e-mail, o contactándose con el Responsable o Encargado de la información. Datos acerca del honor, la intimidad, la identidad sexual y la libre expresión No obstante si la naturaleza de los datos está relacionada con el honor, la intimidad, la identidad sexual y la libre expresión de las personas, esta información no podrá ser divulgada por medio de dispositivos de escucha o de filmación, ni por medio de aparatos ópticos o de cualquier otro tipo que permitan que servidores públicos, o en general personas no autorizadas, lleguen a conocer su contenido. Mejores prácticas o En este proceso, el ciudadano- titular de la información puede solicitar ser informado acerca de la Política de Tratamiento de Datos Personales. o Igualmente se debe contar con los mecanismos que permitan a la Entidad corroborar la identidad del consultante, previniendo fraudes o suplantaciones. Obligaciones legales Si al revelar información sobre el ciudadano- titular que pidió acceder y consultar sus datos se requiere a su vez revelar información sobre un tercero, se deberá haber obtenido la autorización de éste para revelar la información. Si la Entidad está administrando datos de naturaleza laboral que versan sobre la existencia y negociación de un conflicto laboral colectivo, como por ejemplo la negociación que existe entre empleador y trabajadores en virtud de un pliego de peticiones sindical, deberá permitir que tanto los trabajadores agremiados como todo aquel trabajador que se vea involucrado dentro de esta relación, puedan consultar y acceder a esta información. Datos laborales Con base en ello, la Entidad desplegará los protocolos de identificación de estos sujetos con el fin de que se logre acreditar su interés en el conflicto laboral y les sea permitido consultar esta información, restringiendo igualmente, el acceso a servidores públicos, y en general a cualquier tipo de personas, que no tengan interés alguno en la relación. Estos mecanismos serán aplicables también, en los casos en que el ciudadano- titular de la información sea un trabajador que desea conocer su historial laboral. Por otro lado, cuando la información a la que desea acceder el ciudadano- titular de la información sea relativa a su seguridad social en temas pensionales, la Entidad estructurará el suministro de la información de tal manera que pueda conocer de manera ordenada y entendible el estado de sus cuentas, las semanas cotizadas, los montos aportados, los tiempos restantes para obtener una pensión, etc. Cuando se permita el acceso al ciudadano- titular de la información por parte de la Entidad, esta debe ser brindada de forma gratuita, a menos que el ciudadano eleve más de una vez la misma consulta, en un periodo corto de tiempo, es decir de manera reiterada en el correr de dos meses, caso en el cual deberá exigirse el pago de un valor equivalente al costo de la reproducción y envío al solicitante, que en ningún momento podrá representar un lucro en favor de la Entidad. Mejores prácticas En todo momento, el ciudadano-titular de la información debe tener la posibilidad de actualizar por sí mismo los datos personales. Para ello, la Entidad dispondrá de los canales para que el sujeto pueda realizar esa labor sin necesidad de interponer una petición. Datos acerca del honor, la intimidad, la identidad sexual y la libre expresión Datos de la salud Cuando los datos personales versen sobre el honor, la intimidad, la identidad sexual y la libre expresión del ciudadano- titular de la información, la Entidad debe facilitar los mecanismos para que el ciudadano pueda corregir la información que no sea exacta, real o adecuada, teniendo en cuenta que no puede pedir soportes para demostrar estas situaciones. Es de resaltar que si los datos personales del ciudadano- titular se encuentran contenidos dentro de la historia clínica del mismo, estos no podrán ser consultados por medios masivos o remotos, como por ejemplo internet. Paso N° 19: Atender las Peticiones, Quejas y Reclamos (PQR´s) dirigidas a crear, modificar, rectificar o actualizar los datos personales. Obligaciones legales Internamente se destinará la estructura administrativa dirigida a la atención de las PQR’s, proporcional al tamaño de la Entidad. De esta manera, cuando el ciudadano- titular acuda a la Entidad a presentar un requerimiento, esta debe ofrecer los formatos correspondientes, ya sea en versión física o electrónica, para que los ciudadanos- titulares de la información lo diligencien y puedan formular sus peticiones, quejas o reclamos de manera sencilla. Este formulario deberá pedir, como mínimo: La identificación del ciudadano- titular. Los datos sobre los cuáles versa su solicitud. Los datos de contacto. La motivación que da origen a la solicitud. Los documentos que soportan su petición, queja o reclamo. Si el diligenciamiento del formulario no se hizo de manera correcta o se hizo de manera incompleta, deberá informársele al ciudadano- titular dicha situación dentro de los cinco (5) días subsiguientes a la recepción, con el fin que este corrija las fallas. Debe indicarse las razones por las cuales requiere corregir su solicitud y la manera como debe hacerlo. Mejores prácticas Una vez remitida la petición, queja o reclamo, en un término no mayor a dos (2) días, se debe proseguir a incluir dentro de los datos sobre los que verse el requerimiento, la leyenda “peticiónqueja-o -reclamo en trámite” siempre distinguiendo el tipo de comunicación que entabló el ciudadano. Esta leyenda podrá ser borrada en el momento en que culmine y sea atendida la PQR. Obligaciones legales Posteriormente, la Entidad contará con un término máximo de quince (15) días para responder el acto. Este término podrá prorrogarse pero nunca por más de ocho (8) días adicionales al primer término. Cuando opere esta prórroga la Entidad deberá avisar al ciudadano- titular sobre dicho suceso, indicando las razones que justifiquen esta decisión. En todos los casos, la Entidad deberá abstenerse de prorrogar este término a menos que realmente sea necesario. Durante el trámite de la PQR la Entidad deberá categorizar los requerimientos según su antigüedad, los tiempos de respuesta, el tipo, las veces en las que se ha presentado y demás aspectos que individualicen cada una de las peticiones, elevadas por la ciudadanía. Si el ciudadano- titular desea actualizar sus datos personales, la Entidad debe atender a su solicitud por cualquier medio, permitiendo que el ciudadano indique las razones por las cuales elevó su requerimiento, a lo cual deberá proceder a: o Crear, si la información no había sido consignada dentro de la base de datos. o Rectificar, si la información consignada era errada. o Actualizar, si la información consignada no se encuentra vigente. Si la PQR formulada por el ciudadano no tiene como finalidad ninguna de las pretensiones aquí mencionadas, sino la de suprimir los datos personales bajo pedido, será necesario remitirse al Paso N° 28 donde se explican los procedimientos pertinentes a este tipo de requerimiento. Mejores prácticas Si al finalizar el proceso resulta que la Entidad debe incluir nuevos datos personales en sus bases, debe proceder a cumplir con las instrucciones descritas en la Etapa de Recolección de la Información, toda vez que allí se consignan obligaciones en favor de los derechos de los ciudadanos- titulares de la información. Al culminar el trámite, internamente la Entidad deberá registrar dentro de las bases de datos, los acontecimientos ocurridos que la hayan modificado por medio de una anotación que será incluida en esta. Paso N° 20: Actualizar de oficio las bases de datos Obligaciones legales La Entidad debe brindarle al ciudadano- titular los medios idóneos para que este pueda actualizar su información cuando ello de lugar. De igual forma, la Entidad debe velar por actualizar periódicamente los datos de los ciudadanos, operación que deberá llevarse a cabo según los tiempos preestablecidos y la naturaleza del dato. Datos acerca del honor, la intimidad, la identidad sexual y la libre expresión Cuando la Entidad administre datos relativos a la situación judicial y penal de los ciudadanos, deberá contar con los mecanismos necesarios para que de oficio, se actualice la información contenida en las bases de datos. De esta manera, debe proceder a vigilar el estado de las sentencias que modifican la situación jurídica del ciudadano- titular. En el caso que una persona haya sido condenada por un delito, la Entidad deberá estar atenta a la culminación de la condena impuesta, y proceder a corregir su información en los supuestos en los cuales la persona haya sido absuelta. Paso N° 21: Calificación del proceso por parte del ciudadano- titular Mejores prácticas Cuando finalice el proceso de atención de solicitudes para la actualización de los datos personales, se debe pedir al ciudadano- titular que califique el servicio prestado. Para dar cumplimiento a ello, la Entidad debe implementar un procedimiento de calificación al finalizar la atención al ciudadano en el que este, si desea hacerlo, calificará la atención brindada por el servidor público encargado, de la siguiente manera: excelente, muy bueno, bueno, regular o malo, dependiendo de la percepción que haya tenido en el proceso. La calificación que el ciudadano- titular le otorgue al proceso debe ser anónima y contabilizada de tal manera que al finalizar el periodo se pueda obtener un ponderado de las calificaciones emitidas por la ciudadanía, ello con el fin de prevenir una atención imparcial en contra del ciudadano que otorgó una calificación negativa. Paso N° 22: Cambio de finalidad en el tratamiento de la información Obligaciones legales Durante el tratamiento de los datos personales administrados por la Entidad, puede surgir la necesidad de utilizar los datos en otra finalidad, a lo que la Entidad deberá pedir nuevamente la autorización a los ciudadanos- titulares para que se pueda realizar un nuevo tratamiento de la información de forma legítima. Paso N° 23: Interoperar con otras eentidades de la Administración Pública Obligaciones legales Esta operación permite que la Entidad pueda compartir información con otras entidades, sean de naturaleza pública o privada. Esta operación podrá llevarse a cabo por la Entidad de manera sistemática o por rutina, al haber establecido una finalidad mediante un contrato o una norma legal, o excepcional en los casos en que exista una situación especial que así lo requiere, como por ejemplo en los casos en los que medie una orden judicial. Datos de ubicación, contacto y comunicación Si la Entidad que comparte información con otra Entidad, maneja datos de ubicación, contacto y comunicación, se encontrará autorizada a realizar esta operación sólo para la prevención y control de fraudes en las comunicaciones y el cumplimiento de las disposiciones legales y regulatorias que así lo permitan, por lo que la Entidad deberá identificar la función legal que le permita específicamente interoperar. Paso N° 24: Suscribir el Contrato de Transmisión de datos Obligaciones legales Antes de transferir información a otra Entidad de manera sistemática, se deben considerar las consecuencias legales de hacerlo, como también la existencia de algún deber de confidencialidad para con el ciudadano- titular de la información. Si la Entidad desea transferir datos a otra, debe primero determinar si cuenta con la habilitación dada por su función legal; esto lleva a la Entidad a verificar si la transferencia se llevará a cabo en ejercicio de las funciones otorgadas por la legislación o por una norma que así lo habilita. Mejores prácticas Por este motivo, antes de suscribir el contrato de transmisión, dentro de la Entidad deben debatirse los siguientes cuestionamientos: ¿Qué objetivo se busca? ¿Qué información necesita ser transferida sin que sea excesiva para su finalidad? ¿Quién requiere acceder a los datos transferidos? ¿La función legal de la Entidad receptora, cubre el tratamiento de los datos personales? ¿Cómo debe ser compartida la información? ¿Qué riesgo representa para el ciudadano- titular la operación? ¿Qué posibilidad de daño existe en contra de este? ¿Podría lograrse el objetivo planteado, sin transferir la información? Una vez respondidas estas preguntas, la Entidad tendrá la información suficiente para sustentar la celebración del contrato de transmisión de datos que va a ser suscrito con la otra Entidad. Mejores prácticas En todo caso, la Entidad deberá abstenerse de transferir datos que se encuentran en trámite, ya sea bajo una petición, queja o reclamo, es decir que tengan inscrita la leyenda: “Petición, queja o reclamo en trámite”; tampoco podrá transferir los datos personales en los casos en los que ello no se encuentre permitido. Teniendo en cuenta lo anterior, es posible proceder a celebrar el contrato de transmisión de datos con la Entidad receptora de los datos personales, indicando en este, según lo dispone el artículo 25 del Decreto 1377 de 2013, los siguientes elementos: Las partes que van a suscribir el contrato. Las razones que dieron origen a la transmisión. Las instrucciones formuladas por la Entidad Responsable que la Entidad Encargada debe seguir. Los datos personales sobre los cuales se realiza la operación. Las salvaguardas de seguridad aplicables a las bases de datos. Las medidas de confidencialidad aplicables a los datos transferidos. Los documentos anexos que garanticen que la Entidad receptora cumple con las medidas de seguridad y confidencialidad. El área encargada en la Entidad receptora de administrar los datos personales. El perfil de los servidores encargados de esa labor. Si se van a transferir datos de naturaleza sensible, estos deben ser encriptados. La referencia donde se exprese la aceptación por parte de la Entidad receptora de los datos personales a transmitir. El señalamiento de algún régimen específico de eliminación o retención de datos. La fecha y firma de los suscriptores. Una vez suscrito el contrato y transferidos los datos, si la Entidad remitente evidencia que la receptora de la información está incumpliendo las garantías otorgadas para salvaguardar la seguridad e integridad de los datos personales, podrá suspender la transferencia de información, y reportar el suceso a la Superintendencia de Industria y Comercio. Cualquier transferencia de datos y en general cualquier ingreso o salida de ellos se deben registrar, indicando qué información se ha compartido, cuando, a quién y con qué propósito. Paso N°25: Gestionar incidentes de seguridad Mejores prácticas Si durante el manejo de datos personales ocurren fallas de seguridad que pongan en peligro los derechos de los ciudadanos- titulares de la información, ya sean fraudes, robos de identidad o suplantaciones, entre otros, la Entidad debe desplegar los protocolos de seguridad y de respuesta preestablecidos para combatir la situación. Por ello, en el momento en que surja la noticia acerca de un presunto incidente de seguridad, lo primero que debe hacer la Entidad es investigar los sucesos y esclarecer la ocurrencia del mimo. Luego, si de la investigación hecha por la Entidad resulta el descubrimiento de un incidente, debe desplegar con urgencia, junto al área especializada, los planes de respuesta al incumplimiento de las medidas de seguridad, para que una vez evaluadas las posibilidades y las soluciones al problema, estas sean aplicadas con el fin de mitigar y reparar los daños ocasionados por la falla de seguridad. Datos acerca del honor, la intimidad, la identidad sexual y la libre expresión En el caso en el que el incidente haya afectado los datos acerca del honor, la intimidad, la identidad sexual y la libre expresión del titular de la información, la Entidad debe reparar al particular que pudo ser agraviado. La Entidad deberá contribuir, mediante la recomendación de apoyos psicológicos u otros mecanismos adecuados, a la reparación de los daños morales causados a una persona en los casos en los cuales se haya concretado un riesgo derivado de la administración de los datos relativos al honor, la identidad sexual, la intimidad y la libre expresión de los ciudadanos. Finalmente y tras controlarse el incidente, la experiencia obtenida en este proceso debe ser consignada dentro de las políticas de seguridad de la información y aportadas dentro de los procedimientos de contención y respuesta ante incidentes de seguridad, la cual debe ser implementada en los casos en los que lo ocurrido haya sido un incidente imprevisible por la Entidad. Paso N° 26: Notificar el incumplimiento de las medidas de seguridad Mejores prácticas Cuando ocurra el incidente de seguridad que ponga en peligro la integridad de los datos personales y su privacidad, o pueda generar algún riesgo a los derechos de los ciudadanostitulares de la información, la Entidad deberá proceder a notificar estos sucesos a los ciudadanos interesados, esto, concomitante a la gestión del incidente. En este sentido, es obligación de la Entidad notificar a la Superintendencia de Industria y Comercio y a las autoridades competentes el tipo de suceso, así como al ciudadano-titular de la información. Si ocurren incidentes que puedan afectar la intimidad del ciudadano tales como intromisiones en alguno de los sistemas de seguridad, fugas de información, usos no adecuados, accesos no autorizados, alteraciones de los datos personales, revelaciones no autorizadas, destrucción de los datos, suplantación del ciudadano- titular de los datos o cualquier tipo de fraude en los que se vean involucrados los datos personales, será necesario notificar a los sujetos nombrados anteriormente. Para dar cumplimiento a lo anterior, la Entidad debe proceder a notificar el incumplimiento a las autoridades así como al ciudadano- titular; este último con la mayor brevedad de tiempo, haciendo uso de mecanismos que permitan conocer dicha incidencia. La Notificación de Incumplimiento al ciudadano- titular debe indicar como mínimo la siguiente información: Descripción de las circunstancias del incidente y la fecha o periodo en que ha ocurrido. Los datos personales expuestos al incidente de seguridad. Las recomendaciones pertinentes sobre las acciones que ha de tomar. Las medidas correctivas tomadas por el Encargado de los datos personales con el fin de reducir el riesgo de daño. El procedimiento a seguir en el cual el ciudadano- titular podrá obtener información adicional con respecto al suceso. Los datos de contacto del área encargada que pueda responder, en nombre de la Entidad, preguntas acerca del incidente. Paso N° 27: Auto-Certificación de la Entidad Mejores prácticas La Entidad deberá adelantar periódicamente procesos de auto-certificación de sus políticas, los cuales se llevarán a cabo elaborando anualmente un informe que consigne el resultado de la evaluación interna en cuanto a su desempeño en políticas de privacidad y en general en protección de datos personales. Lo anterior debe ser incluido en un documento que debe ser redactado de manera comprensible y puesto al conocimiento del público. Este documento servirá como prueba ante la Superintendencia de Industria y Comercio del surgimiento de posibles conflictos por la implementación de las anteriores políticas o ante auditorias en protección de datos. Paso N° 28: Autoevaluar el proceso de manejo de los datos personales Mejores prácticas Finalizados los anteriores pasos, el Comité especializado debe ser convocado para evaluar los procedimientos adelantados después de la recolección de la obtención de los datos; de esta manera, se procederá a autoevaluar el rendimiento de la Entidad en la etapa de manejo de las bases de datos. Dentro de esta operación se evaluarán los sucesos ocurridos durante el manejo de estos, se estimarán las dificultades que pudieron presentarse y se postularán y aprobarán las medidas a incluir para modificar la Política de Tratamiento de Datos Personales. 4. CIERRE DE LA BASE DE DATOS Paso N° 29: Atender las peticiones, quejas y reclamos dirigidos a suprimir los datos personales Obligaciones legales Es de resaltar que durante la etapa de manejo de los datos personales administrados por la Entidad, los ciudadanos-titulares de la información pueden elevar solicitudes a esta con el fin de suprimir los datos personales contenidos dentro de las bases de datos, por ello, cuando el sujeto solicite la supresión de sus datos personales, la Entidad deberá pedir a este la siguiente información: Mejores prácticas Su identificación. Sus datos de contacto. Los datos sobre los cuales versa su solicitud. Una explicación breve acerca de los motivos que dan origen a esta. Las copias de los documentos que dan soporte a esta solicitud. Una vez radicada esta solicitud, se debe indicar al solicitante los tiempos de respuestas que existen para dar trámite a esta, y acatando los tiempos descritos en el Paso N° 19 de la presente Hoja de Ruta. De esta manera mientras se da respuesta a la solicitud, debe inscribirse una leyenda sobre el dato objeto del requerimiento que diga: “petición, queja o reclamo en trámite” de la misma manera como se haría si existe una exigencia para actualizar los datos personales. Obligaciones legales Del mismo modo como se señaló en el Paso N° 19, durante el trámite de la PQR la Entidad deberá categorizar los requerimientos según su antigüedad, los tiempos de respuesta, el tipo, las veces en las que se ha presentado y demás aspectos que individualicen cada una de las peticiones, quejas o reclamos elevados por la ciudadanía. Este procedimiento deberá cumplirse todas las veces que la Entidad atienda una petición, queja o reclamo. Cuando finalmente se dé respuesta al ciudadano- titular de la información, la Entidad tiene la posibilidad de responder que: o o o Su solicitud es incompleta o necesita subsanarse, para lo cual deberá remitirse nuevamente a lo dispuesto en el Paso N° 19 que hace alusión a este tema. Concede su solicitud, caso en el cual debe proceder a suprimir los datos personales bajo pedido. No concede su solicitud, donde deberá motivar su respuesta y exponer las razones de fondo por las que no accedió a la solicitud del ciudadano. Mejores prácticas Este procedimiento puede ser ofrecido ante las oficinas de la Entidad, vía web o electrónicamente por medio del uso de e-mail. Paso N° 30: Calificación del proceso por parte del ciudadano- titular Mejores prácticas Una vez finalizado el anterior proceso de atención de solicitudes para la cancelación de los datos personales, se le debe pedir al ciudadano- titular que califique el servicio prestado, en el entendido que este podrá elegir si lo hace o no. La calificación que el ciudadano- titular le otorgue al proceso debe ser anónima y contabilizada de tal manera que al finalizar el periodo se pueda obtener un ponderado de las calificaciones. Para dar correcto cumplimiento a esta instrucción, será necesario remitirse al Paso N° 20 de la presente Hoja de Ruta. Paso N° 31: Determinar el cumplimiento de la finalidad, necesidad y temporalidad en la administración de datos personales Obligaciones legales En la Entidad deben implementarse dentro de los sistemas de administración, mecanismos de alerta que indiquen al Responsable o al Encargado de los datos personales en qué momento culmina la finalidad por la cual se administran los datos personales, la necesidad por la cual estos fueron recolectados y el término de tiempo predispuesto para usar la información recogida según el criterio de temporalidad. En ese sentido, una vez surgida la alerta relativa a la terminación de la finalidad, necesidad y temporalidad mencionadas, el Responsable o Encargado debe examinar si requiere o no prorrogar este término con el fin de continuar el tratamiento de los datos personales si así lo requiere: o Si necesita prorrogarlo, debe obtener nuevamente el consentimiento por parte del ciudadano- titular. (Si ello ocurre debe surtir nuevamente los pasos descritos en la Etapa de Recolección de la Información). o Si no necesita prorrogarlo, puede proseguir a aplicar lo que a continuación se indica. Mejores prácticas Para tomar una decisión correcta acerca de si es procedente prorrogar o no el termino de uso de la información personal de los titulares de los datos, la Entidad, al momento en el cual examine si la base de datos sigue siendo necesaria o por el contrario puede ser cancelada, debe tener en cuenta factores jurídicos como la caducidad de las acciones relacionadas con los datos personales, la prescripción de derechos y la duración de una relación jurídica ya entablada, ya que si dentro de la Entidad se suprime un dato que puede ser requerido posteriormente, se estaría originando una situación que en el futuro puede representar problemas para la Entidad. Tratándose de datos personales de naturaleza laboral, la Entidad, al momento de examinar el cumplimiento de la finalidad por la cual se recolectaron sus datos personales, debe tener en cuenta que podrá proceder a cancelar estos datos cuando haya finalizado el vínculo laboral entre la Entidad y el ciudadano- titular de la información. Datos laborales Una vez clarificada esta situación, es posible remitirse directamente al Paso N° 32 relativo a la anonimización de los datos personales. Sin embargo, deberán conservarse los datos personales que acrediten que existió una relación laboral entre la Entidad y el ciudadano- titular de la información. Paso No. 32: Suprimir los datos personales Obligaciones legales Si la Entidad en virtud a una solicitud por parte del ciudadano-titular de la información, o en razón al agotamiento de la finalidad, necesidad o temporalidad en la recolección de datos, debe proceder a eliminar los datos de un ciudadano, deberá implementar entonces los siguientes procedimientos según sea el caso: o Si los datos se encuentran plasmados en papel y archivos físicos, eliminar los datos implementando procedimientos de destrucción documental. o Si los datos son almacenados electrónicamente, se deberá borrar la información de las plataformas informáticas. Es de resaltar que si la Entidad maneja datos personales de ubicación, contacto y comunicación, podrá conservar los datos de tráfico en las siguientes situaciones: Datos de ubicación, contacto y manejo Datos estadísticos y poblacionales Si se ha recibido el consentimiento del ciudadano-titular. Si se utilizan para aportar valor agregado a un servicio. Si se utilizan con fines de facturación o pago de interconexiones, en un periodo acorde con la necesidad de conservarlos, atendiendo a los factores de prescripción o caducidad de las acciones procedentes para el cobro o facturación de los mismos. Si se utiliza para prevenir fraudes. Si se tienen para responder a peticiones, quejas o reclamos de los ciudadanos- titulares de la información. En lo que respecta a datos estadísticos o poblacionales, cuando la Entidad considere que estos ya no son útiles en razón a que su contenido ya no es requerido por la Entidad, deberán ser eliminados por el Área encargada de su administración: Mediante procedimientos de destrucción documental en los casos en los que estos estén consignados en archivos físicos. En los casos en los cuales estos datos se encuentren almacenados en medios electrónicos, se debe acatar las instrucciones descritas en el Paso N° 33 que a continuación se explica. Paso N° 33: Anonimizar o despersonalizar los datos personales Mejores prácticas No obstante lo dispuesto en el paso anterior, la anonimización o despersonalización de los datos personales es un proceso viable para la Entidad en los casos en los que no desee desechar la información recolectada en tanto la información es despojada de los aspectos que permitan ligar la información recopilada con la personalidad del titular de la misma. En ese sentido, se retiran aquellos apartes de información de naturaleza sensible que pueda generar discriminación en contra de los ciudadanos- titulares de aquella. La Entidad puede optar por procesos de anonimización o despersonalización de los datos personales de los ciudadanos- titulares de la información en los casos en los que existan fines científicos, históricos o estadísticos que permitan un posterior uso de la información, o en los casos en que medie autorización judicial o de autoridad competente que permita conservar los datos personales de los ciudadanos- titulares de la información. Datos estadísticos y poblacionales Datos de ubicación, contacto y comunicación Cuando las bases de datos contengan información estadística de la población, en relación con el impacto de enfermedades y los esfuerzos para prevenir a todos los ciudadanos- titulares acerca de sus implicaciones, la Entidad correspondiente deberá asegurar la anonimización de los datos de los ciudadanos - titulares de la información. En los casos en los que la Entidad administre datos de tráfico, estos deberán ser eliminados o hechos anónimos cuando sean usados para la transmisión de las comunicaciones que los contienen. Conforme a lo anterior, la Entidad podrá optar por este procedimiento una vez se vea obligada a cancelar las bases de datos en los casos en que se haya cumplido su finalidad, necesidad o temporalidad, o cuando el ciudadano- titular así lo pida y resulte procedente. De igual manera podrá acudir a este proceso cuando los datos recabados por la Entidad permitan detectar automáticamente la identificación de una persona y represente un riesgo para el ciudadanotitular de la información. Este procedimiento debe ser implementado por la Entidad en los casos en los que los datos personales sean requeridos para fines científicos, estadísticos, históricos o para el beneficio de la población nacional. Este proceso deberá ser implementado en todo momento por parte de la Entidad, en los casos en los que se transfiera la información a otras entidades Datos de la salud por razones sanitarias o de salud pública, específicamente sobre los datos de contenido sensible. En este orden de ideas, si la Entidad luego de evaluar si este proceso es el más conveniente, decide anonimizar o despersonalizar los datos personales contenidos en sus Bases de Datos, en lugar de borrarlos o eliminarlos por completo, deberá entonces cumplir las siguientes instrucciones: Inicialmente deberá seleccionar los datos que deben ser cancelados y despojados de aquella información que pueda llegar a individualizar a su titular, luego, procederá a eliminar la información que ostente naturaleza sensible o que pueda generar discriminación en contra del ciudadano-titular, como también aquella información que haga referencia a su esfera personal y pueda originar la creación de perfiles que puedan afectar sus derechos. De esta manera, la Entidad ha anonimizado los datos personales recogidos en un principio, pero conservando aquella información que no pone en peligro los derechos del ciudadano- titular de la información. Datos laborales Si los datos personales versan sobre el historial laboral de una persona, esta información debe ser sometida a procesos de anonimización. Finalmente y para efectos de transparencia, la Entidad debe informar al titular de los datos personales acerca del proceso llevado a cabo sobre su información y sobre el estado actual de sus datos personales. Paso N° 34: Publicar la gestión y el desempeño de la Entidad en cuanto a la protección de datos Mejores prácticas En estas instancias la Entidad deberá proceder a elaborar un Informe Final del proceso, el cual será de naturaleza pública y se indicarán los resultados de la recolección, teniendo en cuenta que si se requiere publicar información relacionada con algún dato personal, dicho dato debe estar previamente anonimizado. Datos estadísticos y poblacionales Al momento de publicar la gestión y el rendimiento de la Entidad en cuanto a la administración y manejo de datos poblacionales y estadísticos, la información que se encuentre consignada en estos estudios no debe divulgar datos individuales de la población. Por tanto la Entidad al momento de divulgar esos estudios debe procurar brindar la información de manera consolidada, sin que sea posible identificar a los ciudadanos- titulares de los datos individualmente considerados. Deberá entonces implementar procesos de anonimización y despersonalización de los datos personales de la manera como se explica en el Paso N° 33 de la presente Hoja de Ruta. Datos de la salud No obstante, si la Entidad maneja datos personales relativos a la salud, la divulgación de las historias clínicas de los ciudadanos- titulares de la información, no podrá hacerse sin su consentimiento previo. Paso N° 35: Finalización del proceso de cierre de las bases de datos Mejores prácticas Al finalizar el proceso de cierre de las bases de datos y de la información innecesaria, se debe proceder a verificar si la eliminación o anonimización de los datos se ha realizado de manera correcta. Para estos fines la Entidad deberá con los servidores públicos encargados de la evaluación, verificar cada uno de los pasos surtidos en la apertura, obtención, manejo y cancelación de las Bases de Datos, con el fin que se revise si la Entidad cumplió o no los procedimientos aquí descritos. Si se hizo de manera correcta la administración de los datos, se procederá a certificar la cancelación de los datos y a archivar los datos anonimizados. Si por el contrario se ha omitido algún paso dentro de la presente Hoja de Ruta, será necesario efectuar las instrucciones omitidas y evaluar las consecuencias de ello con el objetivo de repararlas. El Informe Final en el que se certifique que la Entidad cumplió satisfactoriamente la administración de los datos personales deberá contener soportes que acrediten el cumplimiento y ser archivado. Paso N° 36: Autoevaluación final de la administración de datos personales Mejores prácticas Luego de haber culminado esta etapa, el Comité especializado debe reunirse con el fin de evaluar el proceso de cancelación de las Bases de Datos e interiorizar la experiencia obtenida en esta etapa para efectos de proponer y evaluar medidas pertinentes destinadas a la Política de Tratamiento de Datos Personales. Se deberán discutir inicialmente las dificultades experimentadas durante la cancelación de los datos personales, como también las falencias que se lograron vislumbrar. Posteriormente, se deben proponer los métodos para evitarlas y mejorar el proceso, con la finalidad de que luego de efectuado un consenso se elijan las medidas a incorporar dentro de la Política de Tratamiento de Datos Personales. 4. HOJA DE RUTA PARA LA ADMINISTRACIÓN DE DATOS PERSONALES DE NATURALEZA FINANCIERA, CREDITICIA Y COMERCIAL, DIRIGIDA A LAS EENTIDADES DE LA ADMINISTRACIÓN PÚBLICA DEFINICIONES ESPECIALES A TENER EN CUENTA a) Agencia de Información Comercial: Es toda aquella Entidad que tiene como actividad principal la recolección, validación y procesamiento de información comercial sobre las empresas y los comerciantes. Para efectos de la Ley 1266 de 2008, las agencias de información comercial son operadores de información y fuentes de información. b) Fuente de información: Es quien tiene la función de recibir o conocer los datos personales del titular de la información, en virtud a una relación comercial o financiera, basado en el mandato legal o por la autorización otorgada por parte del titular de la información. Conforme a dicha función la Fuente recopila los datos y los facilita al operador de información. c) Información Comercial: Aquella información histórica y actual relativa a la situación financiera, patrimonial, de mercado, administrativa, operativa, y sobre el cumplimiento de obligaciones y demás información relevante para analizar la situación integral de una empresa. d) Información negativa: Esta información hace alusión a obligaciones dinerarias incumplidas y reconvenidas en mora por parte del acreedor, por retardo injustificado del titular de la información, la cual reposa en los bancos de datos de una Entidad. La información no podrá tener connotación negativa, en los casos en los que la mora haya sido originada en razón al secuestro, la desaparición forzada o el desplazamiento forzoso del titular de la información. e) Información positiva: Es aquella que se reporta sobre el titular de la información en los casos en los que sus obligaciones se reportan como cumplidas. f) Operador de información: Es quien recibe la información de la fuente y tiene como responsabilidad administrar y poner en conocimiento del usuario dicha información. Al momento en el que el operador tiene acceso a la información deberá garantizar la debida protección de los derechos de los titulares de la información. En el caso en que el operador actúe también como fuente de información, le serán aplicables las disposiciones normativas para uno y otro. g) Usuario de información: Es quien tiene la posibilidad de acceder a la información personal de uno o varios titulares de la información suministrada por el operador o directamente por la fuente de información. Este sujeto tiene la obligación de cumplir los deberes plasmados en la normatividad y garantizar el derecho fundamental de habeas data de los ciudadanos y titulares de la información. Si el usuario entrega información directamente al operador de información, será tratado como fuente y asumirá sus responsabilidades. h) Titular de la información: La expresión de titular de la información, según lo dispone la Ley 1581, hace alusión a la “Persona natural cuyos datos personales sean objeto de Tratamiento”, definición que debe complementarse con los términos de la Ley 1266 de 2008, en tanto aquella dispone que Titular será “la persona natural o jurídica a quien se refiere la información que reposa en un banco de datos y sujeto del derecho de hábeas data y demás derechos y garantías a que se refiere la presente ley.” 1. CREACIÓN DE LOS BANCOS DE DATOS Paso N° 1: Identificación de la función legal de la Entidad Para iniciar la recopilación de los datos personales de la población, que tienen naturaleza financiera, comercial y crediticia, la Entidad debe identificar cuál es la norma que la habilita para recoger estos datos y la función que la Ley le ha otorgado. Es de resaltar que la información que la Entidad recopilará tiene como finalidad realizar estudios de riesgo de los ciudadanos- titulares de la información y análisis crediticio a los que estos serán sometidos, no obstante la información recopilada no debe hacer prevalente las obligaciones incumplidas por parte de este sujeto, sino que también debe hacer caso a otros factores técnicos que permitan complementar el tratamiento de los datos personales. Aclarada la función legal y la naturaleza de estos datos, la Entidad debe tener en cuenta, en lo que respecta al tratamiento de datos personales referentes a esta tipología, las disposiciones normativas contenidas dentro de la Ley 1266 de 2008 y sus reglamentaciones, las cuales son aplicables de manera preferente, de cara a la Hoja de Ruta Principal. Teniendo clara la función que ha sido otorgada por la normatividad a la Entidad e identificada la calidad en la cual esta actuará según la Ley 1266 de 2008, es necesario tener en cuenta el objetivo de la recolección de la información que se pretende recabar. Esta finalidad debe obedecer a una finalidad legítima de acuerdo a la Constitución y la Ley, la cual debe ser informada al ciudadano- titular en los casos en los que la Entidad actúe como fuente de información. Paso N° 2: Determinar si la Entidad será fuente, operadora o usuaria de los datos personales La Ley 1266 de 2008 establece unos deberes especiales dependiendo del tipo de sujeto dentro del flujo de la información comercial y financiera que se recaba del ciudadano- titular. Así: Si la Entidad es quien va a recibir los datos personales suministrados por el ciudadano- titular de la información, ésta actuara como fuente de información. Si la Entidad es quien recibe de una fuente diferente los datos personales relativos a esta tipología, los administra y los comparte a los usuarios de la información, ésta actuará como operadora de información. Si la Entidad es quien accede y consulta los datos personales de uno o varios ciudadanostitulares de la información suministrada por el operador o la fuente, ésta actuará como usuaria de la información. La identificación de la calidad en la cual actuará la Entidad, permite determinar los deberes especiales que le aplicarán y los derechos que debe garantizar al ciudadano- titular de la información según la Ley 1266 de 2008. Es de vital importancia que la Entidad precise la calidad en la que actuará, toda vez que la Ley le instituirá diferentes deberes y obligaciones según el tipo de sujeto que sea dentro de la relación. Paso N° 3: Identificar el límite temporal para el manejo de la información Uno de los aspectos más importante que debe tener en cuenta la Entidad en este proceso, es que la limitación temporal aplicable a los datos financieros, comerciales y crediticios tiene unas indicaciones especiales. La información positiva podrá ser almacenada de manera perpetua, mientras que la información negativa tiene una limitación especial, por lo que la Entidad debe tener en cuenta hasta qué momento puede almacenar estos datos en los casos en los que administre bancos de datos como operadora de la Entidad. Así, el siguiente paso será determinar cuál será el periodo de tiempo que ocupará la Entidad para efectos de administrar los datos personales que se van a recolectar. Para efectos de calcular este tiempo, es necesario que la Entidad tenga en cuenta que al usar esta información con el fin de calcular el riesgo crediticio y financiero de una persona, la delimitación temporal debe obedecer únicamente a esta finalidad: Si el ciudadano- titular de la información ha incumplido una obligación crediticia y ha sido constituido en mora, deberá tener en cuenta que el tiempo máximo de permanencia dentro del banco de datos será por un periodo de tiempo equivalente al doble de esa mora, una vez se cumpla la obligación. Para mayor entendimiento, la mora debe ser entendida como el retardo injustificado en el cumplimiento de una obligación por parte del deudor de esta, unido por supuesto, al requerimiento por parte del acreedor. Por ejemplo: Si la mora en la que incurrió el ciudadano- titular de la información es menor a dos (2) años, la permanencia de la información negativa no podrá permanecer en los bancos de datos por un periodo mayor al doble de este tiempo, es decir, que no podrá ser mayor a cuatro (4) años a partir de saldada la obligación. Si el ciudadano- titular de la información incurrió en mora por un término de diez (10) meses, la permanencia de la información negativa en las bases de datos de la Entidad, sea en la calidad en la que actúe, podrá permanecer únicamente hasta por veinte (20) meses. Por otra parte si la obligación tuvo mora por un término de veintiséis (26) meses, poco más de dos (2) años, la información negativa podrá estar únicamente por cuarenta y ocho (48) meses. Si la Entidad actúa, ya sea como operadora, fuente o usuaria de la información, debe acatar estos tiempos con respecto a la permanencia de la información negativa en sus bancos de datos. En todo momento que se vaya a incluir este tipo de información en los bancos de datos, la Entidad, si actúa como operadora de la información, deberá dar previo aviso al ciudadano- titular de la información acerca de su inclusión. Es necesario resaltar que la retención injustificada y el tratamiento perpetuo de los datos personales atenta contra los derechos de los ciudadanos- titulares, y puede hacer responsable a la Entidad, así como al servidor público encargado del manejo de dicha información, por los perjuicios que ello genere al ciudadano- titular. Paso N° 4: Identificar a los ciudadanos - titulares de la información Es muy importante que la Entidad conozca y determine la población que va a brindar sus datos para las finalidades ya mencionadas. Esta labor permite saber quiénes van a aportar sus datos personales y qué tipo de datos alimentarán los bancos de datos de la Entidad. Luego de precisar la población a la cual se van a recabar sus datos personales, deben identificarse las situaciones adversas que pueden generarse ante el ofrecimiento de estos. De la misma manera, la Entidad debe tener claridad acerca de la posibilidad de generar perfiles de los ciudadanos- titulares, a partir de la información recolectada. A punto seguido, detallados los requisitos, parámetros, calidades y situaciones objetivas de naturaleza verificable para calificar si un ciudadano- titular puede hacer parte o no del banco de datos de la Entidad, es necesario elaborar un check-list acerca de las características que los ciudadanos- titulares deben cumplir al momento de recopilar sus datos personales. Esta medida evita que se recojan datos innecesarios dentro de la labor adelantada por la Entidad. Como se verá más adelante, los derechos del ciudadano- titular deben ser incluidos y enunciados claramente, dentro del Manual Interno de Políticas y procedimientos para la administración de datos personales que debe elaborar la Entidad. Paso N° 5: Designar el área encargada de los banco de datos Luego de identificar a los ciudadanos-titulares de la información, la Entidad debe seleccionar el personal responsable de los datos personales objeto de tratamiento, los cuales deben elegirse conforme a criterios de idoneidad y acorde a las capacidades necesarias para adelantar la labor. De esta manera se escogerán los servidores públicos más capacitados en el manejo de información de naturaleza financiera, comercial y crediticia. Para tales fines, la Entidad deberá: Evaluar las competencias de cada uno de ellos. Evaluar la experiencia de los servidores públicos de cara a la tarea que van a realizar. Evaluar el conocimiento en materia de seguridad de la información, con el fin de escoger los servidores públicos que tengan las capacidades suficientes para atender incidentes de esta índole. Así, independiente de la naturaleza del responsable (individual o colectivo) la Entidad debe crear un régimen de responsabilidades acorde con las funciones de los servidores públicos designados como responsables, así como un reglamento que consagre las consecuencias de la mala administración de la información. La Entidad debe asegurarse de comunicarle a estos servidores al momento de conferirle la función, la existencia del régimen de responsabilidad y las sanciones aplicables. Paso N° 6: Elaborar el Manual Interno de Políticas y Procedimientos para la administración de datos personales Luego de lo anterior y para la correcta administración de datos, la Entidad debe elaborar el Manual Interno de Políticas y Procedimientos para la administración de datos financieros, comerciales y crediticios, con el fin de definir los aspectos esenciales aplicables a la administración de ellos. De esta manera se debe proceder a elaborar un documento que contenga como mínimo los siguientes aspectos: Nombre, razón social, domicilio, dirección, correo electrónico y en general los datos de contacto del área designada para el manejo de los datos personales, independiente de si actúa como fuente, operadora o usuaria de la información. Fecha de su entrada en vigencia. Servidores públicos que tendrán acceso a las bases de datos. Uso de contraseñas y procedimientos de autenticación de quien está autorizado a consultar las bases de datos. Incluidos estos aspectos generales dentro del Manual, los cuales deberán ser implementados por toda Entidad que administre datos de esta naturaleza, es momento de introducir en este las funciones y las obligaciones propias del área designada para administrar los bancos de datos dependiendo de la calidad en que actúa la Entidad. Si actúa como fuente de información, la Entidad deberá acatar en su totalidad el contenido anteriormente descrito para el Manual y en adición incluir: Los mecanismos que permitan verificar que la información suministrada al operador o al usuario de información sea veraz, exacta, actualizada y comprobable. La disposición de los recursos técnicos y de talento humano que garanticen que la información debidamente actualizada sea suministrada a los demás sujetos, sea operador o usuario de información. Los mecanismos para la rectificación de la información y posterior reporte oportuno al operador de ella y al usuario cuando diera lugar. Las políticas de conservación y archivo de las autorizaciones otorgadas por el ciudadanotitular de la información, sin olvidar imponer las restricciones pertinentes para evitar la transferencia de información cuyo suministro no este previamente autorizado. Los mecanismos de seguridad que serán implementados para proteger los datos personales recopilados por la Entidad, previniendo el deterioro, pérdida, alteración o uso fraudulento o no autorizado de los datos personales. La infraestructura administrativa predispuesta para la atención de peticiones, consultas y reclamos (PCR´s). En estos casos deben consignarse los mecanismos que permitan a la Entidad reportar al operador de información cualquier discusión que suscite alrededor de un dato personal o que esté siendo objeto de rectificación o actualización. Si por el contrario actúa como operadora de información deberá incluir dentro de su Manual, sin perjuicio de lo inicialmente mencionado, lo siguiente: Los mecanismos para garantizar al ciudadano- titular de la información el ejercicio del derecho de habeas data, es decir todo lo relativo al conocimiento, actualización, rectificación y retiro de los datos personales. Los elementos de verificación con el fin de garantizar que los ciudadanos- titulares que tengan acceso a los datos personales, estén legitimadas para ello. Los mecanismos de seguridad que serán implementados para proteger los datos personales recopilados por la Entidad, previniendo el deterioro, pérdida, alteración o uso fraudulento o no autorizado de los datos personales. Los mecanismos de comunicación con la fuente de información, con el fin de que le sean reportados periódicamente y de manera oportuna, la actualización y rectificación de los datos personales. La fuente y la infraestructura administrativa para dar trámite a las PCR´s formuladas por la ciudadanía. Los procedimientos de circulación de la información al usuario de información, cuando ello sea procedente. Si actúa como usuaria de información, el respectivo Manual deberá contener además: La determinación de los fines por los cuales la información le fue entregada. Los procedimientos de registro y archivo de la información que ha sido suministrada a ella, sea por la fuente o por el operador de información. Los mecanismos para informar a los ciudadanos- titulares de la información acerca del uso que se está dando a la información. Los procedimientos de seguridad para proteger los datos personales de riesgos tales como deterioro, pérdida, alteración o uso fraudulento o no autorizado de los datos personales. En cualquiera de los casos, la Entidad debe diseñar los protocolos de respuesta para atender las instrucciones impartidas por los organismos de control. Es de suma importancia que si dentro de la Entidad existe algún tipo de inquietud a los datos personales, se constituya un Comité especializado para dirimir estas dudas; este Comité podrá ser convocado las ocasiones que así se requiera. El Comité deberá estar compuesto del Área especializada del manejo de los datos y por el personal experto para el manejo de información personal de naturaleza financiera, comercial y crediticia. Esta instrucción deberá ser acatada independiente a la calidad en la que actúa la Entidad. Entre las funciones que estará llamado a cumplir se encuentran la de órgano de consulta interna ante las dudas o inquietudes que puedan surgir en la Entidad conforme a la administración de datos personales. En síntesis será el órgano colegiado interno de carácter consultivo que podrá ser convocado cuando la Entidad así lo requiera. Una vez se hayan detallado estos elementos debe elaborarse el Folleto Informativo dirigido a los ciudadanos- titulares de la información y en general a toda la ciudadanía, en el cual se indiquen aspectos como la función legal de la Entidad, las limitaciones temporales al tratamiento de la información, los aspectos generales de la Política y la calidad en la que la Entidad actúa en la relación con el ciudadano- titular que brinda sus datos para las finalidades antes descritas. Paso N° 7: Capacitación de los servidores públicos Antes de iniciar la recolección de los datos personales de carácter comercial y financiero, los servidores públicos que van a ser involucrados en la recopilación de información deben ser capacitados acerca del Régimen Sancionatorio aplicable ante un incumplimiento en sus deberes y el Código de Ética de la Entidad. Es de suma importancia que dentro de las capacitaciones a los servidores públicos, se incluya un módulo pedagógico dedicado a la Ley Estatutaria 1266 de 2008 (Ley de Habeas Data) y sus reglamentos, en donde se cualifique acerca de la relación especial que existe entre la Entidad y los ciudadanos- titulares de la información en virtud a este ordenamiento. Cuando estas capacitaciones se lleven a cabo, la Entidad creará los módulos de aprendizaje que considere necesarios para instruir al servidor público en el manejo de este tipo de datos; estos módulos serán distribuidos en periodos que cuenten con la intensidad adecuada de horas para transmitir al servidor los conocimientos necesarios. Dentro de las capacitaciones anteriormente nombradas debe incluirse un módulo dedicado a la seguridad de los datos, en el cual se instruya a los servidores acerca de los nuevos riesgos que amenazan los datos personales. Estas capacitaciones deben llevarse a cabo de forma periódica por la Entidad y en compañía de asesores expertos en la seguridad de la información. Con el fin de garantizar el entendimiento por parte del servidor público, al finalizar las capacitaciones se evaluarán los conocimientos adquiridos por estos. Paso N° 8: Definir las políticas de seguridad para la recolección de los datos personales Antes de recolectar los datos personales, la Entidad debe disponer las plataformas físicas contenedoras de la información, ya sean computadores, discos duros, programas (software), medidas de seguridad y demás, que garanticen un proceso exitoso de recolección de datos personales. Así, luego de haber definido las Políticas y Procedimientos para el tratamiento de los datos personales, es necesario precisar los recursos técnicos y de talento humano especializado, los cuales serán destinados a la labor y también para conformar las medidas de seguridad implementadas, con el fin de mantener la integridad de los datos personales de los ciudadanostitulares de la información. Es de recordar que ya se ha debido capacitar al personal seleccionado. Dentro de este momento se requiere además, que se especifique detalladamente quien será parte del personal autorizado para consultar internamente la información recopilada, en el entendido que no cualquier servidor puede tener acceso a estos datos. Cumplido lo anterior, se deben predefinir los niveles de seguridad en los que van a ser clasificados los datos recolectados, dependiendo de la naturaleza de los datos, así: o Nivel básico de seguridad para los bancos que manejan una cantidad baja de datos, como también para aquellos que administran información que no se encuentra asociada con datos de naturaleza sensible, privada o reservada. o Nivel medio de seguridad para los bancos que administran una cantidad considerable de datos, como también para aquellos que manejan datos con un nivel de privacidad moderado y no se cataloguen dentro de los niveles de seguridad básico o alto. o Nivel alto de seguridad para los bancos que administran una gran cantidad de datos, como también para aquellos que manejan datos asociados con información reservada, privada o sensible. La clasificación del nivel de seguridad según los riesgos a los que se encuentran expuestos los bancos de datos deben responder a un análisis objetivo, cuyas razones deben plasmarse en un documento elaborado por los Responsables de la información. Esta clasificación será acompañada de las medidas técnicas pertinentes para mantener los niveles de seguridad asignados, así como los riesgos que se han identificado en torno al tratamiento de los datos. Definidos los niveles de seguridad aplicables a los datos que se van a recolectar, la Entidad definirá los protocolos de seguridad dedicados a dar respuesta a las fallas de seguridad del sistema que se puedan presentar a lo largo de la administración de los datos personales. Una vez culminadas las instrucciones descritas, es de suma importancia que se implementen protocolos para la gestión de incidentes e incumplimientos de las medidas de seguridad, toda vez que la Entidad está expuesta a riesgos que eventualmente pueden generar una falla en los sistemas dedicados a proteger los datos personales de los ciudadanos-titulares de la información. Para dar cumplimiento a lo anterior, se deberá diseñar la forma de contener y recuperar los datos que se puedan perder, de investigar el origen del incidente, y de notificar a las autoridades competentes y a los ciudadanos- titulares de la información cuando se presenten tales situaciones. Diseñadas las políticas de seguridad aplicables a los datos personales que va a manejar la Entidad, cuando actúe ya sea como fuente, operadora o usuaria de la información, es necesario que la Entidad formule en un documento el Reglamento de Seguridad de la Información, el cual contendrá las medidas y protocolos ya identificados. La Entidad debe tener en cuenta que si en algún momento ocurre uno de los riesgos previstos, o uno imprevisto, en contra de los datos personales, se deben desplegar los procedimientos de contención y recuperación de los datos. Si los riesgos son catalogables como imprevistos por la Entidad, deberá entonces evaluar los acontecimientos que acompañaron el suceso y generar medidas para ser incluidas dentro del Manual Interno de Políticas y Procedimientos para la administración de datos personales y evitar la ocurrencia de estos riesgos en el futuro. Las políticas de seguridad implementadas, deben ser dinámicas, cambiantes y acordes a la realidad. No obstante, cada vez que se planee incluir dentro de éstas una medida nueva, deberá contarse con una evaluación interna, adelantada por el personal idóneo en la materia. Paso N° 9: Registrar los sucesos en la administración de datos Acompañado de las medidas de seguridad, la Entidad llevará un registro de acontecimientos que versen sobre los bancos de datos personales de naturaleza crediticia, financiera y comercial, en donde se inscribirán los sucesos de los sistemas de seguridad, el rendimiento del sistema, los acontecimientos problemáticos que hayan ocurrido y la manera cómo se solucionaron estos problemas. Una vez registrados, el Encargado de los bancos de datos deberá realizar un Informe Periódico que describa los resultados encontrados en esta labor. Paso N° 10: Elaborar el documento de Autorización cuando actúe como fuente, y solicitarlo cuando actúe como operadora de información Si la Entidad actúa en calidad de fuente de información, es necesario que elabore las autorizaciones dirigidas al ciudadano- titular de la información con el fin que éste acepte el tratamiento de sus datos personales. De la misma forma en que se mencionó en el paso anterior, certificar las autorizaciones es una obligación de la fuente de información, por lo que la Entidad deberá guardar soporte de estos documentos. Cuando la Entidad se disponga a elaborar este documento, deberá introducir en éste, como mínimo: Los canales por los cuales el ciudadano-titular podrá contactarse con el área responsable de manejar sus datos personales. Las finalidades para las cuales se tratarán sus datos personales. Los derechos de los que dispone como ciudadano- titular de la información. Las políticas de tratamiento y la manera en que el ciudadano-titular puede ejercer sus derechos. Al momento de conseguir la autorización del ciudadano- titular, su consentimiento debe ser emitido de manera libre, con una indicación específica e informada de su acuerdo con el procesamiento de sus datos personales. Si la Entidad actúa como operadora de información, deberá solicitar a la fuente de información, copia o evidencia de esta, con el fin de conservarla. Esta obligación tiene especial importancia, toda vez que la Entidad que actúe en esta calidad, no podrá hacer uso de la información si no tiene la debida autorización del ciudadano- titular de la información para su tratamiento. Paso N° 11: Definir políticas de trazabilidad e interoperabilidad de los datos personales En los casos en los que la Entidad actúe como fuente, operadora o usuaria de información, ésta debe tener en cuenta que existirán situaciones en las que tenga que suministrar datos a otras entidades, ya sean de carácter público o privado, por lo que es necesario que antes de administrar los datos personales se encuentren definidas las políticas que respondan ante este tipo de situaciones. Durante el desarrollo de estas operaciones, la Entidad aplicará las políticas de seguridad ya establecidas para combatir la adulteración o pérdida de la información, así como la consulta, uso o acceso no autorizado o fraudulento a los datos transferidos. Sin embargo, para dar aplicación a estas políticas es necesario que se detallen los riesgos especiales que se pueden presentar, cuando se pretende compartir información con otras entidades. Para realizar operaciones encaminadas a interoperar (compartir la información), las entidades tienen la obligación de cooperar cada vez que así lo requieran en virtud del Decreto 19 de 2012. Cuando la Entidad actúa como fuente de la información y transfiera datos personales a otra Entidad con el fin de que ésta los administre, deberá certificarle al operador de información que cuenta con la autorización otorgada por el ciudadano- titular de los datos. Por su parte, en los casos en los que la Entidad actúe como operadora de información deberá solicitarle a la fuente los soportes de las autorizaciones toda vez que esta actuará como administradora de los datos personales. Estas indicaciones deberán llevarse a cabo en los casos en los que así se requiera, de la manera como fueron descritas en el Paso anterior. Si actúa como usuaria de información, deberá guardar soporte de toda la información que la operadora o la fuente de información le han otorgado, utilizándola únicamente para los fines por los cuales esta información les fue conferida. En los casos en los que la Entidad tenga la calidad de fuente de la información, deberá certificar al operador que cuenta con la debida autorización por parte del ciudadano- titular de la información para tratar sus datos personales. Si actuará como operadora, deberá por consiguiente pedir dicha certificación por parte de la fuente de la información. Paso N° 12: Descripción de las bases de datos Antes de desplegar los procesos de obtención de la información y en los casos en los que la Entidad actúe como fuente de información, es necesario que realice un ejercicio interno para describir en detalle el banco de datos que va a contener la información que se va a recopilar. La descripción que debe constar en un documento que sirva de soporte para dar respuesta a los requerimientos de la Superintendencia de Industria y Comercio frente al Registro Nacional de Bases de Datos, debe indicar el volumen de datos que se manejarán, el Área encargada para su manejo y los límites temporales conforme a su tratamiento. Esta información, junto a la demás pertinente al manejo de los bancos de datos, deben registrase ante la Superintendencia de Industria y Comercio, procedimiento que será detallado en el Paso N° 14 de la presente Hoja de Ruta. Luego de precisar las características generales de la información que se recogerá, la Entidad deberá incluir la descripción del banco de datos, un resumen de la manera como estos datos van a ser recogidos, la identificación de los casos en que se encontrará obligada a compartir los datos con alguna otra entidad y determinar quién será el operador de la información y quienes los usuarios de los datos personales. No se puede olvidar que los bancos de datos personales no pueden ser mezclados en ningún momento con las bases de datos propias de la Entidad que no tengan naturaleza financiera, comercial o crediticia. 2. LA RECOLECCIÓN DE LA INFORMACIÓN Paso N° 13: Obtención de los datos personales En las anteriores etapas la Entidad creó la infraestructura necesaria para obtener los datos comerciales, financieros y crediticios de la población en los casos en los que la Entidad vaya a actuar como fuente de información. De igual forma, se presentaron los lineamientos para adecuar la infraestructura necesaria para que tanto los operadores y usuarios de la información, quienes no recopilan los datos, puedan administrar y acceder a estos respectivamente. En caso de que a lo largo del manejo de los datos, independientemente de la calidad en la que actúe la Entidad, surgen inquietudes acerca de cómo se debe proceder ante una determinada situación, se deberá acudir al Comité especializado para dirimir estas dudas. Si la Entidad actúa como fuente de información tendrá contacto directo con el ciudadano- titular de los datos personales, por tanto, deberá diseñar un plan estratégico que permita determinar la manera como se va a recolectar la información. En este plan, debe indicarse si el procedimiento se hará de manera personal ante el ciudadano- titular de la información, o si se va a hacer uso de medios telefónicos, electrónicos, entre otros. Una vez decidido el medio de recolección de la información, se adecuarán esos mecanismos de tal manera que se garantice el otorgamiento de la Autorización por parte del ciudadano-titular de la información. Si la Entidad escogió un medio de comunicación verbal, guardará soporte de la autorización mediante una grabación, y si decide elegir métodos escritos, ya sean electrónicos o físicos, deberá almacenar todas las autorizaciones, toda vez que deberá suminístrasela, luego, al operador de la información. En los casos que la Entidad actúe como fuente de información, es necesario que al momento de recopilar la información, recopile también los datos necesarios para contactarse con el ciudadano- titular en el momento en que se requiera actualizar sus datos personales. La Entidad debe procurar que los soportes y todos los datos de naturaleza comercial, financiera o crediticia que tenga, sea digitalizada para efectos de administrarla de manera más ordenada y eficiente. De no ser ello posible, puede implementar procedimientos de gestión documental con el fin de que los expedientes relativos al proceso sean registrados y almacenados de manera adecuada. La Entidad procederá a estimar un tiempo máximo de duración del proceso de obtención de datos personales, disponiendo además de los protocolos de seguridad que eviten la ocurrencia de incidentes. Con el fin de que estas medidas surtan efecto, el servidor público encargado de recopilar los datos del ciudadano- titular deberá comunicarle a éste acerca de su participación en estas medidas de seguridad, informándole también acerca de los riesgos a los que puede estar expuesta su información y la manera en que la entidad ha planeado mitigarlos. Si la Entidad actúa como operadora de información debe limitarse a recibir la información de la fuente, toda vez que la Entidad administrará los datos personales del ciudadano- titular previamente recogidos. Por su parte, si actúa como usuaria de información, deberá: Conservar la información suministrada por el operador de información o por la fuente, utilizándola únicamente para los fines por los cuales le fue entregada. Informar a los ciudadanos- titulares en los casos en los que este lo solicite, acerca del uso que está dando a la información. Velar por la seguridad de los datos personales, protegiéndolos igualmente de pérdida, alteración, uso no autorizado fraudulento y deterioro de la información. Cumplir con las instrucciones que llegue a impartir una autoridad de control conforme a la Ley 1266 de 2008. Paso N° 14: Registrar la Base de Datos Cumplidos los anteriores pasos, la Entidad que actúa como fuente de información debe proceder a incluir el banco de datos creado dentro del Registro Nacional de Datos manejado por la Superintendencia de Industria y Comercio, en el cual se debe indicar: La finalidad y los usos del fichero en donde se deberá indicar el tipo de datos recopilados y el objetivo connatural a su recolección. Una descripción básica de los tipos de datos recopilados. Los ciudadanos o colectivos de ellos a los cuales se recopiló su información. Los órganos de administración y el área encargada dentro de la Entidad para la administración de la base de datos, en los casos en los que esta actúe también como operadora de la información. La manera como el ciudadano- titular puede ejercer su derecho a cancelar, rectificar o modificar sus datos personales. Las medidas de seguridad aplicable a las bases de datos. Es de gran importancia que al momento de registrar el Banco de Datos, la Entidad aporte a la Superintendencia de Industria y Comercio el Manual Interno de Políticas y Procedimientos adoptado para el manejo de los datos personales Paso N° 15: Estructuración de los canales de atención al ciudadano Durante el proceso de recolección de los datos personales y después de este, la Entidad atenderá las solicitudes de los ciudadanos conforme a sus datos personales, para lo cual debe estructurar sus oficinas de servicio al ciudadano de tal manera que éste pueda ejercer en todo momento y de la manera más expedita posible, las siguientes acciones: Ejercer su derecho al Habeas Data mediante consultas o reclamos. Solicitar la certificación de la existencia de la autorización expedida por la fuente de la información. Solicitar información acerca de los usuarios autorizados para consultar su información. En estos medios de atención, físicos, electrónicos o telefónicos, se pondrán a disposición de los ciudadanos formatos y proformas para que éstos puedan elevar ante la Entidad peticiones, consultas y reclamos relacionados con la administración de sus datos, los cuales serán explicados en el Paso N° 19. Paso N° 16: Contacto con el ciudadano- titular en la recolección Cuando se entable contacto con el ciudadano- titular, debe impartirse instrucción a los servidores públicos encargados de hacer uso de un lenguaje claro y sencillo, sin olvidar que puede recomendar a éste hacer uso de los formatos y proformas diseñadas para que eleve, presente o radique sus peticiones. Cuando el ciudadano- titular se dirija a las oficinas de atención, debe otorgársele el Folleto Informativo acerca de la función legal de la Entidad, la finalidad de la recolección de datos, su necesidad y la temporalidad en el almacenamiento que a estos aplica, indicado en el Paso N° 6. La persona encargada por la Entidad para entablar contacto con el ciudadano- titular, se abstendrá de usar mecanismos secretos de recolección de información, como por ejemplo grabadoras ocultas, y en general todo mecanismo que recolecte información innecesaria o de manera secreta y fraudulenta en contra del ciudadano. Antes de obtener los datos personales del ciudadano- titular de la información, éste debe suscribir el documento de autorización, o manifestar de manera inequívoca tal situación, para lo cual la Entidad debe velar por que el ciudadano- titular acepte explícitamente que sus datos sean administrados por la Entidad fuente de información. Si al momento de recopilar los datos, el servidor público encargado de la labor ve la necesidad de recoger los datos de un tercero, pedirá la autorización de este sujeto, toda vez que este también será un ciudadano- titular de la información y sus datos no podrán ser tratados sin contar con una autorización al respecto. Luego de lo anterior, la Entidad debe informar al ciudadano- titular, de forma clara y expresa, qué datos le serán solicitados, y la manera cómo debe suministrarlos. Si durante el proceso de recolección se va a hacer uso de una grabadora de voz o multimedia, el encargado de recopilar la información debe contar con el consentimiento del ciudadano- titular antes de empezar el proceso de grabación e impartir indicaciones acerca de la forma de obtención de los datos. Estos dispositivos deben situarse en un lugar visible, para efectos de generar confianza en el ciudadano- titular. Cuando el procedimiento culmine, se le entregará al ciudadano- titular de la información una copia de su autorización indicándole además los derechos que le asisten, las políticas y procedimientos de tratamiento aplicables y la información que contenga los mecanismos para interponer las peticiones, consultas y reclamos. Se debe indicar al ciudadano- titular que en caso de tener alguna opinión o comentario acerca del proceso, estos pronunciamientos, recomendaciones, comentarios u opiniones, también tienen la calidad de datos personales, por lo que se registrarán y administrarán como cualquier otro dato de esa naturaleza. Cuando se proceda a recoger la opinión de los ciudadanos- titulares de la información, esta se almacenará junto a la descripción de los sucesos y circunstancias que la acompañaron. La obtención de estos datos debe contar también con la autorización y el consentimiento del ciudadano- titular. Paso N° 17: Auto-evaluación del proceso de apertura y de recolección de los datos personales Al finalizar los anteriores pasos, la Entidad-fuente de información efectuará un ejercicio de socialización de las etapas anteriores del proceso, en el que se resaltarán las dificultades y falencias que pudieron presentarse. El Comité especializado debe citar a todos los miembros participantes de la labor y al área interna designada para el manejo de los datos personales, con el fin de que participen en el proceso de autoevaluación. Si de allí surge la necesidad de modificar la Política de Tratamiento, debe evaluarse tal situación en la reunión y, al cabo de la misma, debe tomarse la decisión sobre si se procederá o no, a realizar la modificación pertinente. Para efectos de poder dar cumplimiento a las propuestas que de allí surjan, la Entidad deberá: Llevar a cabo las reuniones con una periodicidad mínima de cada dos (2) meses. Elaborar actas de las reuniones, en las cuales se especifiquen las tareas y tiempos que deben ser llevados a cabo por los servidores designados. 3. MANEJO DE LOS BANCOS DE DATOS Paso N° 18: Interoperar con otras entidades En el caso en que la Entidad interopere con otras entidades, incluyendo aquellas que se localicen en otros países, debe proceder a surtir un procedimiento que garantice la integridad y la seguridad de los datos; por estos motivos, es necesario que cuando la Entidad-fuente de información vaya a transferir los datos personales de naturaleza financiera, comercial y crediticia, suministre al operador o la fuente, la siguiente información: El nombre del deudor de la obligación que dio lugar a la creación del dato. La condición en la que este actúa, ya sea como deudor principal, deudor solidario, avalista o fiador, siempre y cuando se acredite dicha condición. El monto de la obligación o la cuota vencida que da origen al dato. El tiempo que existe de mora y la fecha del pago, en el caso en que ello ya haya ocurrido. Toda la información relevante al dato. Por el contrario, cuando la Entidad actúa como operador o usuaria de la información, debe velar por la correcta transmisión de estos datos, verificando que durante la operación se transfiera toda la información aquí descrita. Cumplido lo anterior, los datos serán transferidos de manera íntegra y en su totalidad, sin omitir aspecto alguno que le reste vigencia a su existencia. Paso N° 19: Permitir la consulta de los datos personales La Entidad permitirá que el ciudadano- titular de la información acceda y consulte sus datos personales, disponiendo de trámites gestionables directamente ante la Entidad o de manera remota, ya sea telefónicamente, vía web o e-mail, o contactándose con el Responsable o Encargado de la información. La consulta que los ciudadanos - titulares realicen sobre sus datos debe ser brindada de manera gratuita, a menos que el ciudadano- titular repita una misma consulta en un lapso no superior a dos meses, caso en el cual podrá establecerse, de conformidad con los mecanismos legales vigentes, una tasa administrativa de acuerdo al costo de la operación y que en ningún momento represente un lucro en favor de la Entidad. La consulta de los datos personales debe ser garantizada también por el operador de la información, a los siguientes sujetos: Los ciudadanos- titulares de la información, incluyendo a las personas debidamente autorizadas por estos, también a sus causahabientes. En estos casos, la Entidad debe cerciorarse que las personas que representen al ciudadano- titular, acrediten su calidad. Los usuarios de la información. Las autoridades judiciales cuando medie una orden judicial. Otras entidades públicas en los casos en los que así se requiera en virtud a la función legal que así lo habilite. Los organismos de control y los entes disciplinarios, fiscales o administrativos, en los casos en los que exista una investigación en curso. A los operadores de datos cuando exista la debida autorización por parte del ciudadanotitular Paso N° 20: Atención de las Peticiones, Consultas y Reclamos (PCR´s) Quienes vayan a atender a los ciudadanos, deben estar debidamente capacitados para ello. Por este motivo, antes de dar trámite a las peticiones, consultas y reclamos formulados por el ciudadano, los servidores públicos deben estar previamente instruidos acerca de cómo cumplir esa labor. Los ciudadanos- titulares y sus causahabientes tienen el derecho de dirigirse a la Entidad con el fin de que esta brinde la información que solicita, ya que es deber de esta suministrar al ciudadano- titular o quien haga sus veces, toda la información contenida en su registro individual o que esté vinculada a su identificación personal. Internamente, la Entidad debe diseñar e implementar la estructura administrativa dirigida a la atención de las PCR´s que formule la ciudadanía, mediante mecanismos proporcionales al tamaño de la Entidad y a la cantidad de información que administra. Cuando el ciudadano- titular acuda a la Entidad a presentar una solicitud, esta ofrecerá los formatos correspondientes, ya sea en versión física o electrónica, para que el ciudadano- titular o quien haga sus veces, formule su petición o consulta de manera sencilla. El formulario de petición, consulta o reclamo será elaborado de tal forma que contendrá como mínimo: o o o o o La identificación del ciudadano- titular. Los datos sobre los que versa su solicitud. Los datos de contacto incluyendo su dirección. La motivación que da origen a su solicitud. Los documentos que se pretenden hacer valer. Es de vital importancia que en el momento que la Entidad reciba una consulta, esta debe ser entendida como una solicitud hecha por parte del titular de la información o quien haga sus veces, con el fin de conocer la información personal que reposa en los bancos de datos de la Entidad. Por petición se deberá entender como un mecanismo por medio del cual dicho ciudadano-titular exige a la Entidad determinada acción, en la cual se puede involucrar una consulta propiamente dicha. A su vez, el reclamo es un requerimiento por parte del titular de la información o quien haga sus veces, con el fin de corregir o actualizar sus datos personales financieros, comerciales y crediticios en poder de la Entidad. Para tramitar peticiones o consultas; una vez formulada por el ciudadano- titular de la información, la Entidad: La atenderá y responderá en un término no mayor a diez (10) días hábiles contados a partir de su formulación. Sin embargo, si la Entidad no puede contestar el requerimiento en este término, deberá hacérselo saber al ciudadano- titular, indicándole las razones que llevaron a la demora. En estos casos la Entidad no puede tomarse más de cinco (5) días hábiles luego de haber vencido el primer periodo de tiempo. En todos los casos en los que brinde respuesta, la Entidad debe atender de fondo la petición formulada y siempre suministrando integralmente toda la información. El ciudadano- titular de la información o quien haga sus veces, tiene el derecho de formular peticiones o reclamos ante la Entidad con el fin de que rectifique o actualice la información obrante en los bancos de datos, para lo cual puede valerse del instrumento idóneo para ello. Para tramitar reclamos; cuando el ciudadano- titular de la información formule por escrito el requerimiento, la Entidad deberá seguir las siguientes instrucciones: La Ley 1266 de 2008, en su artículo 16, numeral II, le otorga a la Entidad un término máximo de quince (15) días hábiles para el reclamo, no obstante, en los casos en los que no sea posible atender el requerimiento en este término, deberá informar esta situación al ciudadano- titular, indicándole allí las razones que dieron origen a esa demora y comunicándole que el reclamo será atendido en un término no mayor a ocho (8) días hábiles contados a partir del primer vencimiento. Si luego de culminar el trámite, la Entidad debe suministrar los datos al ciudadano- titular de este, será necesario que lo haga dentro del término de los términos de respuesta ya mencionados. En los casos en los que el operador de información no sea la misma fuente de esta, deberá remitir el requerimiento a este último en un término máximo de dos (2) días hábiles para que este se haga cargo del reclamo. Sea cual fuere el caso, debe atenderse el reclamo en un periodo de tiempo no mayor a quince (15) días hábiles contados a partir de su presentación, prorrogables por ocho (8) días más, siguiendo las instrucciones especiales descritas anteriormente. Definido el tiempo de respuesta al reclamo, si este fue remitido directamente ante la fuente de información, esta tendrá la obligación de resolverla directamente, habilitada a prorrogar el tiempo de respuesta si se viere obligada a ello. Sin embargo, la fuente de información que haya recibido el reclamo, deberá informar al operador sobre este suceso en máximo (2) días hábiles contados a partir de su recibimiento. Posteriormente y en todos los casos, cuando el operador o la fuente reciba el reclamo, debe revisar detalladamente los planteamientos y las observaciones allí plasmadas con el fin de determinar si fue interpuesta de manera correcta. Si luego de lo anterior se encuentra que el ciudadano- titular no realizó la solicitud de manera correcta o lo hizo de manera incompleta, la Entidad informará al sujeto la situación dentro de los cinco (5) días hábiles contados desde la recepción del requerimiento con el fin de que realice la respectiva corrección o complementación. Si ello ocurre, será necesario que se le indique al sujeto las razones por las cuales requiere corregir su solicitud y la manera como debe hacerlo, para que en este entendido, si después de un (1) mes contado desde que se hizo el requerimiento el ciudadano no corrige su requerimiento, se entenderá que ha desistido de ella. Si al finalizar el trámite del reclamo, resulta que la Entidad debe actualizar o rectificar la información contenida en el banco de datos, debe proceder a ello en el menor tiempo posible. Conforme a lo siguiente, la Entidad debe tener en cuenta que ello será aplicable tanto a las peticiones, consultas y reclamos: Si efectivamente la petición, consulta o reclamo fue interpuesta de manera correcta, la Entidad que la haya recibido deberá incluir, en un término no menor a dos (2) días hábiles, dentro de los datos del solicitante, la leyenda “petición, consulta o reclamo en trámite” según sea el caso. Cuando la PCR haya sido resulta, esta leyenda podrá ser borrada, antes de ello, no será procedente. Si al finalizar la atención al ciudadano- titular de la información o quien hizo sus veces, este no se encuentra conforme con la respuesta otorgada y acude al proceso judicial, el operador de la información debe incluir una leyenda en los datos personales debatidos que diga “información en discusión judicial” en un término no mayor a dos (2) días hábiles. Podrá retirarse la leyenda hasta el momento en que se tenga un fallo en firme. Cuando culmine la atención al titular, es necesario que se registre el acontecimiento dentro de la base de datos, por medio de una anotación. Todo acontecimiento que verse sobre un dato personal debe ser registrado. Paso N° 21: Calificación del proceso por parte del ciudadano- titular Una vez finalice el proceso de atención de solicitudes formuladas por el ciudadano- titular o quien hizo sus veces, se debe pedir que califique el servicio prestado. Esta calificación debe ser anónima y contabilizada de tal manera que al finalizar el periodo se pueda obtener un ponderado de calificaciones. Si durante el proceso de calificación el ciudadano- titular desea que la Entidad sepa quién formuló la calificación, la Entidad puede proceder a no anonimizar su calificación. Paso N°22: Actualizar la información Si la Entidad actúa como operadora de información, se encontrará en la obligación de actualizar los datos personales que reciba de la fuente de información, dentro de los diez (10) días calendario contados desde su recepción. Las novedades que recaigan sobre los datos personales obrantes dentro de la Entidad deberán ser reportadas a la fuente de información. Claro está que las actualizaciones de la información pueden surgir en virtud a peticiones, consultas y reclamos (PCR´s) formulados por el ciudadanotitular de la información o quien haga sus veces. Si por el contrario actúa como fuente de información, deberá actualizarla una (1) vez cada mes. En este sentido, cada vez que se reporten novedades en el transcurso del manejo de los bancos de datos, la Entidad procederá a actualizar la información. Paso N°23: Permitir el uso de la información En los casos en que la Entidad actúe como operadora de la información, permitirá que el ciudadano-titular de esta acceda a la misma en los casos en los que éste lo requiera, para las siguientes finalidades: Realizar estudios de mercado o investigaciones comerciales y estadísticas. Adelantar trámites ante autoridades públicas o privadas, cuando esa información sea pertinente. Cualquier otra actividad en la que se haya obtenido autorización por parte del ciudadanotitular de la información. Paso N°24: Gestionar incidentes de seguridad Durante la administración de datos personales pueden ocurrir fallas de seguridad que pongan en peligro los derechos de los ciudadanos- titulares de la información; entre estos riesgos se encuentran los fraudes, los robos de identidad, las suplantaciones, etc. En el momento en que surja la noticia acerca de un presunto incidente de seguridad, lo primero que debe realizarse dentro de la Entidad es investigar los sucesos y esclarecer la ocurrencia del mimo. Si de la investigación hecha por la Entidad resulta el descubrimiento de un incidente, se diseñará con urgencia, junto al área especializada, los planes de respuesta al incumplimiento de las medidas de seguridad. Una vez evaluadas las posibilidades y las soluciones al problema, debe aplicarlas con el fin de mitigar y reparar los daños por la falla. La experiencia obtenida por incidentes imprevisibles por la Entidad se consignará dentro de las políticas de seguridad de la información y aportadas dentro de los procedimientos de contención y respuesta ante incidentes de seguridad. Paso N° 25: Notificar el incumplimiento de las medidas de seguridad Si dentro de la Entidad ocurre algún incidente de seguridad que ponga en peligro la integridad de los datos personales y su privacidad, o pueda generar algún riesgo a los derechos de los ciudadanos- titulares de la información, la Entidad procederá a notificar estos sucesos a la Superintendencia de Industria y Comercio, a las autoridades competentes según el tipo de suceso y a los ciudadanos- titulares de la información. Entre los incidentes que pueden ocurrir y afectar la intimidad del ciudadano- titular, existen: o Intromisiones en los sistemas de seguridad. o Ocurrencia de incidentes relacionados con fugas. o Usos no adecuados. o Accesos no autorizados. o Alteraciones de los datos personales. o Revelaciones no autorizadas. o Destrucción de los datos. o Suplantación del ciudadano- titular de los datos. o O cualquier tipo de fraude en los que se vean involucrados los datos personales. Ante la ocurrencia de estos sucesos, se procederá a notificar el incumplimiento al ciudadanotitular, a la mayor brevedad, haciendo uso de mecanismos que permitan que este se entere rápidamente acerca de la ocurrencia de tal incidente. La notificación de incumplimiento al ciudadano- titular indicará como mínimo la siguiente información: Descripción de las circunstancias del incidente y la fecha o periodo en que ha ocurrido. Datos personales expuestos al incidente de seguridad. Recomendaciones pertinentes sobre las acciones que ha de tomar. Medidas correctivas tomadas por el Encargado de los datos personales con el fin de reducir el riesgo de daño. Procedimiento a seguir en el cual el ciudadano- titular podrá obtener información adicional con respecto al suceso. Información de contacto con el área encargada que pueda responder, en nombre de la Entidad, preguntas sobre el incidente. Paso N° 26: Autoevaluación del proceso de manejo de los datos personales Finalizados los anteriores pasos, el Comité especializado será convocado para evaluar los procedimientos adelantados desde la última vez que sesionó, evaluando los sucesos ocurridos, las dificultades que pudieron presentarse y, la postulación y aprobación de nuevas medidas a incluir para modificar el Manual Interno de Políticas y Procedimientos para el tratamiento de datos personales. 4. RETIRO DE LOS DATOS PERSONALES Paso N° 27: Atender a los ciudadanos-titulares de la información, para eliminar la información negativa La información negativa de un ciudadano- titular permanecerá en los bancos de datos hasta el momento en que el criterio de temporalidad preestablecido en el Paso N° 3 lo permita. Esta situación se puede originar en los casos en los que el ciudadano- titular certifique que ha cumplido su obligación, ya sea por pago de la misma, o por cualquier medio que extinga la obligación. Cuando ello ocurra, el ciudadano- titular puede solicitar a la Entidad, cuando esta medie como operadora de la información, que proceda a retirar la información negativa de los bancos de datos. Se debe tener en cuenta que la información positiva del ciudadano- titular puede ser almacenada de manera perpetua. Paso N° 28: Retirar la información negativa En atención a la limitación temporal aplicable a la información, descrita en el Paso N° 3 de la presente Hoja de Ruta, la Entidad debe proceder a retirar la información negativa de un ciudadano- titular en los casos en los que cumpla la temporalidad descrita por la Ley 1266 de 2008. Si omite el retiro de esta información de los bancos de datos, puede ser sancionada por la Superintendencia de Industria y Comercio. Es de resaltar que la Entidad para tomar esta decisión, deberá acatar los tiempos máximos de duración de este tipo de información, los cuales fueron descritos en el Paso N° 3 de la presente Hoja de Ruta, en lo que concierne a la temporalidad de los datos personales. Paso N° 29: Calificación del proceso por parte del ciudadano- titular Una vez finalice el proceso de atención de solicitudes para el retiro de los datos personales, se debe pedir al ciudadano- titular que califique el servicio prestado, quien decidirá voluntariamente si lo hará. Ello debe ocurrir en los casos en los que el ciudadano- titular de la información se dirige a la Entidad para que la información negativa sea eliminada. La calificación que el ciudadano- titular le otorgue al proceso debe ser anónima y contabilizada de tal manera que al finalizar el periodo se pueda obtener un ponderado de las calificaciones. Paso N° 30: Finalización del proceso de cancelación de las bases de datos Al finalizar el proceso de retiro de la información negativa, se debe proceder a verificar si la operación se realizó de manera correcta. Si es así, se procederá a certificar la cancelación de estos. En caso contrario será necesario efectuar las instrucciones omitidas. Las certificaciones y soportes que acrediten que la información se canceló de manera correcta, deberá ser archivada. Paso No. 31: Autoevaluación final de la administración de datos personales Luego de haber culminado esta etapa, el Comité especializado debe reunirse con el fin de evaluar el proceso de cancelación de las bases de datos e interiorizar la experiencia en esta etapa, con el fin de proponer medidas para ser incluidas en la Política de Tratamiento de las Bases de Datos., para esto: Deben discutirse las dificultades que se presentaron, así como las falencias que se lograron ver y los métodos para evitarlas. Deben evaluarse y elegir las medidas encaminadas a modificar la Política de Tratamiento de los Datos Personales.