Ley 1581
principios rectores
Articulo 4. En el desarrollo, interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los siguientes principios: a) Principio de legalidad en materia de Tratamiento de datos: El
Tratamiento a que se refiere la presente leyes una actividad reglada que
debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen. b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad
legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.
c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. d) Principio de veracidad o calidad: La información sujeta a Tratamiento
debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. e) Principio de transparencia: En el Tratamiento debe garantizarse el
derecho del Titular a obtener del Responsable del Tratamiento o del
Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan. f) Principio de acceso y circulación restringida: El Tratamiento se sujeta
a los límites que se derivan de la naturaleza de los datos personales, de
las disposiciones de la presente ley y la Constitución. g) Principio de seguridad: La información sujeta a Tratamiento por el
Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley. h) Principio de confidencialidad: Todas las personas que intervengan en
el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información
Categorías especiales de datos
Articulo 5. Datos sensibles. Para los propósitos de la presente ley, se
entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo
uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos. Articulo 6. Tratamiento de datos sensibles. Se prohíbe el Tratamiento de
datos sensibles, excepto cuando:
a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo
en los casos que por ley no sea requerido el otorgamiento de dicha autorización.
b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular
y éste se encuentre física o jurídicamente incapacitado. En estos eventos,
los representantes legales deberán otorgar su autorización.
c) El Tratamiento sea efectuado en el curso de las actividades legítimas y
con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro. d) El Tratamiento se refiera a datos que sean necesarios para el
reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
e) El Tratamiento tenga una finalidad histórica, estadística o científica. En
este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.
Articulo 7. Derechos de los niños, niñas y adolescentes. En el Tratamiento
se asegurará el respeto a los derechos prevalentes de los niños, niñas y
adolescentes.
derechos y condiciones de legalidad para el tratamiento de datos
Articulo 8. Derechos de los Titulares. El Titular de los datos personales
tendrá los siguientes derechos:
a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. b) Solicitar prueba de la autorización otorgada al Responsable del
Tratamiento salvo cuando expresamente se exceptúe como requisito para
el Tratamiento, de conformidad con lo previsto en el artículo 10 de la presente ley.
c) Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos
personales.
d) Presentar ante la Superintendencia de Industria y Comercio quejas por
infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen.
e) Revocar la autorización y/o solicitar la supresión del dato cuando en el
Tratamiento no se respeten los principios, derechos y garantías
constitucionales y legales. f) Acceder en forma gratuita a sus datos personales que hayan sido objeto
de Tratamiento. Articulo 9. Autorización del Titular. Sin prejuicio de las excepciones
previstas en la ley, en el Tratamiento se requiere la autorización previa e
informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda
ser objeto de consulta posterior.
Artículo 10. Casos en que no es necesaria la autorización. La autorización del Titular no será necesaria cuando se trate de:
a) Información requerida por una entidad pública o administrativa en
ejercicio de sus funciones legales o por orden judicial.
b) Datos de naturaleza públi.
c) Casos de urgencia médica o sanitaria.
d) Tratamiento de información autorizado por la ley para fines históricos,
estadísticos o científicos.
e) Datos relacionados con el Registro Civil de las Personas. Artículo 11. Suministro de la información. La información solicitada podrá
ser suministrada por cualquier medio, incluyendo los electrónicos, según lo
requiera el Titular. Artículo 12. Deber de informar al Titular. El Responsable del Tratamiento,
al momento de solicitar al Titular la autorización, deberá informarle de manera
clara y expresa lo siguiente:
a) El Tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo.
b) El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando éstas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.
c) Los derechos que le asisten como Titular.
d) La identificación, dirección física o electrónica y teléfono del Responsable del Tratamiento.
Procedimientos
Artículo 14. Consultas. Los Titulares o sus causahabientes podrán
consultar la información personal del Titular que repose en cualquier base de
datos, sea esta del sector público o privado. Artículo 15. Reclamos. El Titular o sus causahabientes que consideren que
la información contenida en una base de datos debe ser objeto de corrección,
actualización o supresión, o cuando adviertan el presunto incumplimiento de
cualquiera de los deberes contenidos en esta ley. 1. El reclamo se formulará mediante solicitud dirigida al Responsable del
Tratamiento o al Encargado del Tratamiento, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. 2. Una vez recibido el reclamo completo, se incluirá en la base de datos una
leyenda que diga "reclamo en trámite" y el motivo del mismo, en un término no
mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido. 3. El término máximo para atender el reclamo será de quince (15) días hábiles
contados a partir del día siguiente a la fecha de su recibo. Articulo 16. Requisito de procedibilidad. El Titular o causahabiente sólo
podrá elevar queja ante la Superintendencia de Industria y Comercio una vez
haya agotado el trámite de consulta o reclamo ante el Responsable del Tratamiento o Encargado del Tratamiento.
deberes de los responsables de los responsables y encargados del tratamiento
Artículo 17. Deberes de los Responsables del Tratamiento. Los Responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley. Artículo 18. Deberes de 'los Encargados del Tratamiento. Los Encargados
del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las
demás disposiciones previstas en la presente ley y en otras que rijan su actividad:
a) Garantizar al Titular, en todo tiempo. el pleno y efectivo ejercicio del derecho de hábeas data.
b) Conservar la información bajo las condiciones de seguridad necesarias
para impedir su adulteración. pérdida, consulta, uso o acceso no autorizado o fraudulento.
c) Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley.
d) Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
e) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley.
f) Adoptar un manual interno de políticas y procedimientos para garantizar
el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares.
g) Registrar en la base de datos las leyenda "reclamo en trámite" en la forma en que se regula en la presente ley.
h) Insertar en la base de datos la leyenda "información en discusión judicial" una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
i) Abstenerse de circular información que esté siendo controvertida por el
Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
j) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
k) Informar a la Superintendencia de Industria y Comercio cuando se l
presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
1) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
De los mecanismos de vigilancia y sanción
Artículo 19. Autoridad de Protección de Datos. La Superintendencia de
Industria y Comercio, a través de una Delegatura para la Protección de Datos
Personales, ejercerá la vigilancia para garantizar que en el Tratamiento de datos
personales se respeten los principios, derechos, garantías y procedimientos
previstos en la presente ley. Artículo 20. Recursos para el ejercicio de sus funciones. La
Superintendencia de Industria y Comercio contará con los siguientes recursos
para ejercer las funciones que le son atribuidas por la presente ley:
a) Los recursos que le sean destinados en el Presupuesto General de la Nación. Artículo 21. Funciones. La Superintendencia de Industria y Comercio
ejercerá las siguientes funciones:
a) Velar por el cumplimiento de la legislación en materia de protección de datos personales.
b) Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. c) Disponer el bloqueo temporal de los datos cuando, de la solicitud y de las
pruebas aportadas por el Titular, se identifique un riesgo cierto de
vulneración de sus derechos fundamentales, y dicho bloqueo sea necesario para protegerlos mientras se adopta una decisión definitiva.
d) Promover y divulgar los derechos de las personas en relación con el Tratamiento de datos personales e implementara campañas pedagógicas para capacitar e informar a los ciudadanos acerca del ejercicio y garantía del derecho fundamental a la protección de datos. e) Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley.
f) Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones.
g) Proferir las declaraciones de conformidad sobre las transferencias internacionales de datos.
h) . Administrar el Registro Nacional Público de Bases de Datos y emitir las órdenes y los actos necesarios para su administración y funcionamiento. I
i) Sugerir o recomendar los ajustes, correctivos o adecuaciones a la
normatividad que resulten acordes con la evolución tecnológica, informática o comunicacional.
j) Requerir la colaboración de entidades internacionales o extranjeras cuando se afecten los derechos de los Titulares fuera del territorio colombiano con ocasión, entre otras, de la recolección internacional de datos personales.
k) Las demás que le sean asignadas por ley.
Transferencias de datos a terceros paises
Artículo 26. Prohibición. Se prohíbe la transferencia de datos personales de
cualquier tipo a países que no proporcionen niveles adecuados de protección de
datos, Se entiende que un país ofrece un nivel adecuado de protección de datos
cuando cumpla con los estándares fijados por la Superintendencia de Industria y
Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los
que la presente ley exige a sus destinatarios, Esta prohibición no regirá cuando se trate de:
a) Información respecto de la cual el Titular haya otorgado su autorización
expresa e inequívoca para la transferencia.
b) Intercambio de datos de carácter médico, cuando así lo exija el
Tratamiento del Titular por razones de salud o higiene pública.
c) Transferencias bancarias o bursátiles, conforme a la legislación que les
resulte aplicable,
d) Transferencias acordadas en el marco de tratados internacionales en los
cuales la República de Colombia sea parte, con fundamento en el
principio de reciprocidad .
e) Transferencias necesarias para la ejecución de un contrato entre el
Titular y el Responsable del Tratamiento, o para la ejecución de medidas
precontractuales siempre y cuando se cuente con la autorización del
Titular.
f) Transferencias legalmente exigidas para la salvaguardia del interés
público, o para el reconocimiento, ejercicio o defensa de un derecho en
un proceso judicial.
Otras disposiciones
ARTICULO 27. Normas Corporativas Vinculantes. El Gobierno Nacional
expedirá la reglamentación correspondiente sobre Normas Corporativas
Vinculantes para la certificación de buenas prácticas en protección de datos
personales y su transferencia a terceros países. ARTICULO 28. Régimen de transición. Las personas que a la fecha de
entrada en vigencia de la presente ley ejerzan alguna de las actividades acá
reguladas tendrán un plazo de hasta seis (6) meses para adecuarse a las disposiciones contempladas en esta ley.
ARTICULO 29. Derogatorias. La presente ley deroga todas las disposiciones que le sean contrarias a excepción de aquellas contempladas en el artículo segundo.
ARTICULO 30. Vigencia. La presente Ley rige a partir de su promulgación.
Objeto, ámbito de aplicación y definiciones
Articulo 1. La presente ley tiene por objeto desarrollar el derecho
constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos. Artículo 2. Los principios y disposiciones contenidas
en la presente ley serán aplicables a los datos personales registrados en
cualquier base de datos que los haga susceptibles de tratamiento por entidades
de naturaleza pública o privada. Articulo 3. Para los efectos de la presente ley, se entiende
por:
a) Autorización: Consentimiento previo, expreso e informado del Titular
para llevar a cabo el Tratamiento de datos personales.
b) Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
c) Dato personal: Cualquier información vinculada o que pueda asociarse a
una o varias personas naturales determinadas o determinables.
d) Encargado del Tratamiento: Persona natural o jurídica, pública o
privada, que por sí misma o en asocio con otros, realice el Tratamiento de
datos personales por cuenta del Responsable del Tratamiento.
e) Responsable del Tratamiento: Persona natural o jurídica, pública o
privada, que por sí misma o en asocio con otros, decida sobre la base de
datos y lo el Tratamiento de los datos.
f) Titular: Persona natural cuyos datos personales sean objeto de
Tratamiento.
g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos
personales, tales como la recolección, almacenamiento, uso, circulación o
supresión.