Nuevo proyecto sobre Protección de Datos Personales

Por /

El 22 de agosto de 2023, se radicó ante la Secretaría de la Cámara de Representantes el nuevo proyecto sobre protección de datos personales – Ley Estatutaria 156/23C-, por medio del cual se propone actualizar el régimen de protección de datos personales con el propósito de fortalecer la seguridad de la información de los titulares. Para crear este Proyecto, se tomó como base el “General Data Protection Regulation”, más conocido como GDPR, esquema jurídico diseñado en la Unión Europea que tiene por objeto regular la protección y privacidad de los datos de los usuarios. Asimismo, se busca modificar disposiciones anteriores e incorpora nuevas, tales como; la introducción de nuevos conceptos y principios aplicables al derecho de habeas data, el establecimiento de condiciones que legitimen el tratamiento de datos, el fortalecimiento del régimen sancionatorio, el aumento de obligaciones y la responsabilidad en cabeza de los encargados y responsables del tratamiento, el robustecimiento de los derechos frente al tratamiento como titular de los datos, entre otras.    

Es así como, entre las disposiciones que este Proyecto modifica, se resaltan las siguientes:

  • Ampliación del ámbito territorial. La aplicación de la Ley no es solo para tratamientos de datos realizados en Colombia o dependiendo de Tratados Internacionales. Esta Propuesta Legislativa entiende que se aplicará la normativa al tratamiento de datos personales que realicen responsables o encargados que posean domicilio o residencia en Colombia, aún si el tratamiento tiene lugar o no en el territorio nacional; o cuando el titular de los datos resida en territorio nacional pero el encargado no está establecido en Colombia, siempre que las actividades de tratamiento estén relacionadas con la oferta de bienes o servicios a dichos titulares en Colombia, o, el control de su comportamiento, en la medida en que este tenga lugar en Colombia.  
  • Ofrece una mayor cobertura a los derechos a la intimidad y a la libertad de conciencia, pues prohíbe de manera general el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, el tratamiento de datos genéticos, neurodatos, la orientación sexual, entre otros, y establece excepciones para el tratamiento, algunas traídas de la anterior Ley, y otras, completamente nuevas.
  • Mantiene a la Superintendencia de Industria y Comercio (SIC), como la encargada de ejercer la función de control en materia de tratamiento de datos. Esta norma incluye a los jueces en sede de tutela como competentes para la protección de los derechos fundamentales asociados a la protección de datos personales sin que ello implique la pérdida de la facultad investigativa y sancionatoria que ostenta la SIC. 
  • Amplia la responsabilidad de los encargados y los responsables del tratamiento, pues deben garantizar el cumplimiento de todas las disposiciones contenidas en la Ley, revisar sus sistemas de información con determinada frecuencia, adherirse a códigos de conducta o mecanismos de certificación, llevar un registro de las actividades de tratamientos efectuadas bajo su control,  aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, entre otras. 
  • Detalla los poderes consultivos, investigativos, correctivos y sancionatorios de la SIC, como autoridad nacional de control de tratamiento de datos. Así mismo, precisa con mayor claridad los criterios para graduar la sanción y su cuantía, e incorpora diferentes tipos de infracción y una lista no taxativa de las mismas.
  • La implementación de la figura del Oficial de Protección de Datos, pasa de ser un recomendación de la SIC, a ser obligatoria para ciertas entidades y casos específicos de tratamiento de datos, 

Por otra parte, y teniendo en cuenta la normativa base para la creación de esta Ley, se añaden nuevas disposiciones y conceptos al régimen del tratamiento de datos, dentro de los cuales se encuentra los siguientes

  • La autorización para acceder a los datos personales de las personas fallecidas.
  • La creación de nuevos principios tales como: i) el principio de limitación de la finalidad, según el cual los datos deben ser recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; ii) el principio de minimización de datos, que establece que solo se deben recabar los datos adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados y; iii) el principio de proporcionalidad que pretende aportar racionalidad, predictibilidad y legitimidad al tratamiento de datos personales bajo 3 criterios: idoneidad, necesidad y proporcionalidad en sentido estricto.
  • La fijación de condiciones bajo las cuáles el tratamiento se entenderá lícito, tanto de manera general, como en la ejecución de contratos, en situaciones donde es necesario para el interés vital, en misiones para el interés público, entre otros.
  • La introducción y tratamiento de los distintos tipos de datos: sensibles, relativos a delitos penales, relativos a infracciones administrativas, neurodatos, datos relativos a la salud, datos genéticos, biométricos, personales, entre otros.
  • La creación de nuevos derechos de los titulares, estos son: el derecho al acceso de datos personales e información relativa a los encargados y responsables del tratamiento; el derecho de rectificación de los datos personales inexactos, parciales, incompletos o fraccionados; el derecho de supresión de los datos personales en ciertas circunstancias; y el derecho de oposición.
  • La definición de medidas de seguridad que deberán implementarse para el tratamiento en el ámbito del sector público.
  • La creación del procedimiento de notificación de los incidentes de seguridad de los datos personales a la autoridad de control y al titular de los datos.
  • La creación de la evaluación de impacto relativa a la protección de datos y de la consulta prueba cuando sea probable que un tipo de tratamiento pueda suponer un alto riesgo para los derechos y garantías de los titulares.
  • La implementación de Códigos de Conducta destinados a contribuir a la correcta aplicación de la Ley, teniendo en cuenta las características específicas de los distintos sectores de tratamiento y las necesidades determinadas de las microempresas, las pequeñas y medianas empresas,
  • La implementación de Mecanismos de Certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en la presente Ley, en las operaciones de tratamiento de los responsables y los encargados.
  • La toma de medidas para generar la cooperación internacional en el ámbito de la protección de datos personales. 
  • El establecimiento de obligaciones para quienes desarrollen o hagan uso de la neurotecnología. 
  • La formalización del derecho a indemnización y responsabilidad, que posee toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia del incumplimiento de cualquiera de las obligaciones contenidos en la Ley.


Teniendo en cuenta lo expuesto anteriormente, y considerando que el nuevo proyecto de ley de datos personales tiene en cuenta que la protección a los datos personales es actualmente un derecho fundamental, es pertinente que a través de este proyecto de Ley se logre  un mayor reconocimiento y alcance a la protección efectiva de dichos derechos. Asimismo, se debe tener presente que la tecnología por su dinamismo se encuentra en constante cambio, por lo que es necesario implementar un esquema legal que brinde seguridad a las personas y/o consumidores que comparten su información en internet. 

Escrito por Paula Andrea Avendaño Illidge

Scroll al inicio
×

Hello!

Click one of our contacts below to chat on WhatsApp

Social Chat is free, download and try it now here!

×