Perspectiva desde las Superintendencias sobre la
transparencia y el acceso a la información pública por parte
de sus sujetos obligados
Carlos Enrique Salazar Muñoz
Director de Investigación de Datos Personales
Superintendencia de Industria y Comercio (SIC)
MARCO CONSTITUCIONAL
DEL DERCHO DE HÁBEAS DATA
Artículo 15 de la Constitución Política:
“Todas las personas tienen derecho a su intimidad personal y
familiar y a su buen nombre, y el Estado debe respetarlos y
hacerlos respetar. De igual modo, tienen derecho a conocer,
actualizar y rectificar las informaciones que se hayan
recogido sobre ellas en bancos de datos y en archivos de
entidades públicas y privadas” .
En la recolección, tratamiento y circulación de datos se
respetarán la libertad y demás garantías consagradas en la
Constitución.”
MARCO CONSTITUCIONAL
DEL DERCHO DE ACCESO A LA INFORMACIÓN
PÚBLICA
Artículo 74. Todas las personas tienen derecho a
acceder a los documentos públicos salvo los casos
que establezca la ley. El secreto profesional es
inviolable.
LIMITE ENTRE EL DERECHO DE ACCESO A LA INFORMCAIÓN
PÚBLICA Y LOS DERECHO DE HÁBEAS DATA E INTIMIDAD
“Artículo 6°. Definiciones.
c) Información pública clasificada. Es aquella información que estando en poder o
custodia de un sujeto obligado en su calidad de tal, pertenece al ámbito propio,
particular y privado o semiprivado de una persona natural o jurídica por lo que su
acceso podrá ser negado o exceptuado, siempre que se trate de las circunstancias
legítimas y necesarias y los derechos particulares o privados consagrados en el
artículo 18 de esta ley”
Clasificación de datos personales
 Dato Público: Calificado como tal en la ley. Dato que no es semiprivado,
privado o sensible (Ej. datos relativos al estado civil de las personas, su
profesión u oficio, su calidad de comerciante o servidor público y aquellos
que pueden obtenerse sin reserva alguna).
 Dato semiprivado: Dato que no tiene naturaleza íntima, reservada, ni pública
y cuyo conocimiento interesa al titular y a cierto sector o grupo de personas o
a la sociedad en general (Ej. datos financieros y crediticios, dirección,
teléfono, correo electrónico,).
 Dato privado: Dato que solo es relevante para su titular (Ej. fotografías,
videos, datos relacionados con su estilo de vida.)
 Dato sensible: Categoría especial de datos personales.
Delegatura para la Protección de Datos Personales
Delegatura para la Protección de Datos
Personales
• Creación: Decreto 4886 de 2011 (Reestructuración)
• Estructura:
- Despacho Delegado
- Dirección (1ª. Instancia)
• Grupos internos de trabajo:
- De Hábeas Data
- De Investigaciones Administrativas
02/10/2015
6
Clasificación de datos personales
 Dato Público: Calificado como tal en la ley. Dato que no es semiprivado,
privado o sensible (Ej. datos relativos al estado civil de las personas, su
profesión u oficio, su calidad de comerciante o servidor público y aquellos
que pueden obtenerse sin reserva alguna).
 Dato semiprivado: Dato que no tiene naturaleza íntima, reservada, ni pública
y cuyo conocimiento interesa al titular y a cierto sector o grupo de personas o
a la sociedad en general (Ej. datos financieros y crediticios, dirección,
teléfono, correo electrónico,).
 Dato privado: Dato que solo es relevante para su titular (Ej. fotografías,
videos, datos relacionados con su estilo de vida.)
 Dato sensible: Categoría especial de datos personales.
LEY 1266 DE 2008
VIGILANCIA DE LOS DESTINATARIOS DE LA LEY
(TITULO VI, ARTÍCULOS 17 A 20) :
LEY 1581 DE 2012
MECANISMOS DE VIGILANCIA Y SANCIÓN
(TÍTULO VII, ARTÍCULOS 19 A 24) :
• Competencia dual que se mantiene 
respecto de base de datos
personales destinados al cálculo de
riesgo crediticio: Superintendencia
Financiera para operadores, fuentes
y usuarios y Superintendencia de 
Industria y Comercio competencia
residual.
• Base Máxima de Multas 1500 SMLV •
• Establece criterios de graduación de
las sanciones
Competencia única de la Sic a través
de una Delegatura de Protección de
Datos.
Se
mantienen
las
competencias establecidas por la ley
1266 de 2008.
Aumenta base de máxima de las
multas a 2000 SMLV
Establece los mismos criterios de
graduación señalados en la Ley 1266 de
2008
Delegatura para la Protección de Datos Personales
Funciones de la SIC
Ley 1581 de 2012:
• Adelantar investigaciones de oficio o a petición de parte, impartir
órdenes de acceso, rectificación, actualización y/o supresión de
datos.
• Disponer el bloqueo temporal de datos por riesgo de violación de
derechos fundamentales.
• Promover y divulgar derechos de los titulares.
• Impartir instrucciones.
• Proferir declaraciones de conformidad sobre transferencias
internacionales.
• Administrar el RNBD.
• Requerir colaboración de entidades internacionales.
02/10/2015
9
TRES GRANDES FACULTADES DE LA SIC
PARA LA PROTECCIÓN DE DATOS PERSONALES
FACULTADES DE TUTELA DEL
DERECHO DE HÁBEAS DATA
Ordenar acceso,
actualización,
rectificación supresión
bloqueo temporal de la
información personal
VIGILANCIA Y
CONTROL
Impartir
Instrucciones a los
Vigilados, ordenar
Auditorias Externas
FACULTADES DE
POLICIA
ADMINISTRATIVA
Adelantar investigaciones
Administrativas
para
verificar el cumplimiento
de las normas sobre
protección
de
datos
personales.
FACULTADES DE TUTELA DEL
DERECHO DE HÁBEAS DATA
Grupo de Hábeas Data
Verificación requisito de
procedibilidad
( Art 16 de las leyes)
Actuación administrativa expedita
tendiente a amparar el Derecho de
Habeas Data del reclamante
VIGILANCIA Y CONTROL
Grupo de Investigaciones
Administrativas
Función de Vigilancia (artículo 17 de la Ley 1266 de 2008)
Verificación de adopción de Manual de políticas y procedimientos –
Responsabilidad Demostrada: (literal k) Art 17 Ley 1581 de 2012 y Arts. 11 y 26
del Decreto 1377 de 2013)
 Establecer Políticas de tratamiento.
 Procedimientos de recolección, tratamiento y supresión de datos.
 Implementación de medidas de seguridad y confidencialidad en cada proceso.
METODOLOGÍA:
SITSEMA INTEGRAL DE SUPERVISION INTELIGENTE
BASADO EN RIESGOS.
FACULTADES DE POLICIA
ADMINISTRATIVA
Grupo de Investigaciones
Administrativas
Investigaciones
administrativas
de
carácter
sancionatorio que se adelanta de oficio o a petición
de parte (denuncia) de acuerdo con el procedimiento
establecido en la ley y concluye impartiendo una
orden administrativa, decretando un archivo o
imponiendo una sanción
Delegatura para la Protección de Datos Personales
ESTADÍSTICAS
02/10/2015
14
Delegatura para la Protección de Datos Personales
QUEJAS
6000
4,889
5000
3,812
4000
3000
2296
2045
1987
2000
1215
1000
654
0
2009
2010
2011
2012
2013
2014
*: Cifras al 16 de junio de 2015
02/10/2015
15
2015
Delegatura para la Protección de Datos Personales
SANCIONES
$ 3,500,000,000
$ 3,217,448,000
$ 3,000,000,000
$ 2,350,748,200
$ 2,500,000,000
$ 2,000,000,000
$ 1,892,968,000
$ 1,891,167,250
2014
2015
$ 1,431,484,200
$ 1,500,000,000
$ 1,000,000,000
$ 669,500,000
$ 500,000,000
$2010
2011
2012
2013
Cifras al 16 de junio de 2015
02/10/2015
16
AÑO
NO.
VALOR
2010
2011
2012
2013
2014
2015
TOTAL
28
189
$
$
669.500.000
2.350.748.200
144
60
46
29
447
$
$
$
$
$
1.431.484.200
3.217.448.000
1.892,968.000
1,891,167,250
11,453,315,650
ÓRDENES ADMINISTRATIVAS
180
160
152
153
140
120
100
80
73
54
60
40
38
27
20
0
2010
*: Cifras al 16 de junio de 2015
2011
2012
2013
2014*
2015
CONCEPTO
CANTIDAD
Total Ordenes
497
Total Visitas realizadas 2015
19
Sistema Integrado de Supervisión Inteligente – SISI
“Hay que ser selectivo para ser efectivo”(Regla de oro de la Supervisión)
Sistema novedoso basado en la metodología de gestión de riesgos (Identificar, medir,
controlar y monitorear) para ser aplicada en el ejercicio de las funciones de protección
de datos personales y que busca de que el supervisor enfoque sus esfuerzos y
optimice sus recursos en los sujetos obligados de mayor prioridad, teniendo en cuenta
la criticidad de la información personal que administre o le haga tratamiento, para lo
cual se considera el análisis preventivo de los riesgos que tienen los datos personales y
el impacto que puede presentarse dada la materialización de un incidente.
Principales componentes del SISI
 Recolección de la información que los sujetos obligados deben aportar en el Registro Nacional
de Base de Datos – RNBD;
 Monitoreo del comportamiento de los sujetos obligados mediante la correlación de los datos del
RNBD con las quejas, incidentes e información que se obtendrá a través de terceros.
 Priorización de los Sujetos Obligados teniendo en cuenta la sensibilidad y trazabilidad de los
datos personales que administran así como los controles implementados para mitigar los riesgos
a los que están expuestos, con el fin de determinar a donde ir y a que ir;
 Inspección in-situ o extra-situ dependiendo del nivel de interés de los objetivos de supervisión.
 Expedición de los Actos Administrativos que expresan o manifiestan la voluntad de la
administración para crear, modificar o extinguir situaciones jurídicas de interés particular o
general.
GRACIAS
Superintendencia de Industria de Comercio
Dirección de Investigación de Protección de Datos Personales
E-mail: [email protected]
Carrera 13 # 27 -00 Piso 7 /Bogotá, Colombia
Tel.: (571) 5870000 Ext 70008
Descargar

Presentación de PowerPoint