El gran reto que tiene el cumplimiento de la ley de protección datos personales, es la identificación clara de las responsabilidades y los derechos que cada destinatario en sus diferentes roles deben conocer y asumir; teniendo presente que la era digital, aunque acorta algunas brechas, amplía otras.
Colombia tiene un modelo hibrido, contamos con una ley sectorial (L. 1266 de 2008) relativa al Habeas Data Financiero y una ley general en protección de datos personales (L.1581 de 2012). También tenemos instituciones propias de ambos modelos, como principios aplicados al tratamiento de datos personales, categorías de datos personales, autoridad nacional de protección de datos personales, así como sectorial en materia de habeas data financiero.
Relacionamos la normativa que regula la protección de datos personales, no sin antes resaltar que existen más, estas son tan solo algunas que consideramos relevantes. Además, de precisar que la legislación existente en esta materia, se debe armonizar con todo el sistema jurídico que tiene el país, es decir, no son normativas aisladas, sino que en conjunto se deben interpretar, aplicar y cumplir.
Conocer más sobre nuestros datos nos hace menos vulnerables:
Datos personales públicos: son aquellos que requieren para circular libremente y facilitar el contacto con la sociedad, como lo son los nombres y apellidos, tipo de identificación, fecha y lugar de expedición, estado civil, sexo, nacionalidad, correo electrónico institucional, teléfono y celular corporativos, dirección de trabajo, datos relativos a la actividad comercial y profesional, datos generales relacionados con afiliación al sistema integral de seguridad social de salud (EPS).
Datos semiprivados: son datos quese pueden solicitar con autorización del titular si un tercero solicita conocer estos datos se requiere de la autorización del titular estos datos no se pueden publicar y/o divulgar en internet, carteras, correos electrónicos, sino cuenta con la autorización del titular, como lo son, datos generales relacionados con afiliación al sistema integral de seguridad social, EPS, IPS ARL, lugar y fecha de nacimiento. Edad, correo electrónico personal, celular y teléfono personal, datos financieros crediticios y/o derechos de carácter económico de las personas y datos patrimoniales de la persona, datos relacionados con la actividad económica de la persona, datos con la historia laboral de la persona
Niños, niñas y adolescentes: son los datos personales públicos privados semiprivados y sensibles que requieren de una protección especial, debido a los derechos prevalentes que le atrojan la constitución y ley.
Datos personales sensibles: tienen que ver directamente con el derecho a la intimidad del titular se enfatiza en su protección porque su uso indebido puede dar lugar a discriminación, segregación y vulneración de diferentes derechos humanos que afectan la dignidad humana.
Datos personales privados: no se puede solicitar de manera obligatoria o no ser que una norma establezca lo contrario si un tercero desea conocer estos datos deberá obtener una orden judicial se debe obtener autorización expresa del titular para su obtención
El Oficial de Protección de Datos Personales en Colombia es una figura que tiene cada vez mayor acogida en las organizaciones de todos los sectores y diferentes tamaños. Sin embargo, esta figura ha ido adecuándose conforme a las características propias de las organizaciones.
En Colombia, la figura del Oficial de Protección de Datos Personales no se encuentra reconocida expresamente en la normatividad en protección de datos personales. No obstante, antes de tomarnos a la ligera dicha afirmación, es importante precisar que el Decreto 1377 de 2013, establece algunas consideraciones que nos puede dar pista sobre la necesidad de tener esta figura dentro de la organización.
La Guía de Responsabilidad Demostrada trae una serie de actividades que debe desempeñar el Oficial de Protección de Datos Personales, El Decreto 620 de 2020, en su artículo 2.2.17.5.4 también establece otras obligaciones para el Oficial de Protección de Datos Personales para el Sector Público.
- Velar por el respeto de los derechos de los titulares de los datos personales respecto del tratamiento de datos que realice el prestador de servicios ciudadanos digitales.
- Informar y asesorar al prestador de servicios ciudadanos digitales en relación con las obligaciones que les competen en virtud de la regulación colombiana sobre privacidad y tratamiento de datos personales.
- Supervisar el cumplimiento de lo dispuesto en la citada regulación y en las políticas de tratamiento de información del prestador de servicios ciudadanos digitales, así como del principio de responsabilidad demostrada.
- Prestar el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos.
- Atender los lineamientos y requerimientos que le haga la Delegatura de Protección de Datos Personales de la Superintendencia de Industria y Comercio o quien haga sus veces.
No obstante, ese mismo decreto establece que las entidades públicas deberán:
- Realizar y actualizar las evaluaciones de impacto del tratamiento de los datos personales y el Programa Integral de Gestión de Datos Personales ante cambios que generen riesgos de privacidad.
- Incorporar prácticas y procesos de desarrollo necesarios destinados a salvaguardar la información personal de los individuos a lo largo del ciclo de vida de un sistema, programa o servicio.
- Mantener las prácticas y procesos de gestión adecuados durante el ciclo de vida de los datos que son diseñados para asegurar que los sistemas de información cumplen con los requisitos, políticas y preferencias de privacidad de los ciudadanos.
- Adoptar las medidas necesarias para preservar la seguridad, confidencialidad e integridad de la información personal durante el ciclo de vida de los datos, desde su recolección original, a través de su uso, almacenamiento, circulación y supresión al final del ciclo de vida.
Algunas recomendaciones en la gestión de los datos personales de candidatos que se encuentran en un proceso de selección en una organización:
- Solicite autorización para el tratamiento de datos personales del candidato, incluyendo validación de títulos.
- El candidato debe conocer con quién se van a compartir sus datos personales y autorizar dicha transmisión.
- Tenga cuidado con las preguntas que realiza en la entrevista de trabajo, y valide que cuente con la autorización del candidato.
- Devuelva o destruya la hoja de vida de los candidatos que no quedaron en el proceso de selección.
- Tome las precauciones adecuadas cuando la hoja de vida ha sido recepcionada por bolsas de empleo, por la página web de la organización o por correo electrónico.
En caso de que la organización haya dispuesto un correo electrónico exclusivamente para la recepción de hojas de vida, se sugiere que se configure con respuesta automática, informando sobre el tratamiento que se le dará a la hoja de vida. Las hojas de vida recepcionadas por este medio, deberán solicitar la autorización solicitar a más tardar, en el momento previo a la realización de la entrevista. Sin embargo, tenga en cuenta que la simple notificación, no lo exonera de solicitar la autorización.
Por último, cuando solicite la autorización a través de la Página web, ya sea que el candidato diligencie un formulario y adjunte la hoja de vida a través de un botón de trabaje con nosotros, debe incorporar la autorización para el tratamiento de datos personales y debe conservar los logos del registro, los cuales son la prueba de que dicho candidato otorgó la autorización.
En conclusión, para el caso Colombiano, además de cumplir con la legislación sectorial en protección de datos (ley 1266 de 2008) cuando aplique, y la ley de protección de datos personales (Ley 1581 de 2012) y decretos reglamentarios, tendrá que tenerse en cuenta el contexto externo de la organización, en este caso, el ámbito legal, y en especial, los flujos de información nacional y transfronteriza, así como las partes interesadas, entre esos, los titulares de la información, y los encargados.
Referencias: escueladeprivacidad.co