En Colombia la ley actual que protege, regula y reglamenta el uso y tratamiento de la información personal de las personas es la Ley Estatutaria 1581 de 2012. Esta ley fue expedida el 17 de octubre de 2012 por el Congreso de la República de Colombia, con el objetivo de
(...) desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma.[1]
Esta ley está enmarcada en la Constitución de Colombia. La sentencia C-748 del 6 de octubre de 2011 la Corte Constitucional declaró exequible el Proyecto de Ley Estatutaria No. 184 de 2010 Senado, 046 de 2010 Cámara. Esta ley empieza en vigor a partir del 27 de junio de 2013 por medio del decreto número 1377 de 2013 que regula parcialmente dicha ley. Este decreto es expedido por el Ministerio de Comercio, Industria y Turismo (Colombia) y el Presidente de Colombia.
La noción de protección de datos en Colombia nace a partir de la Constitución de 1991. en esta se empieza a tratar esta problemática y a partir de este momento es que el congreso colombiano empieza a expedir leyes al respecto. En primera instancia la corte constitucional realiza el cierre para la jurisprudencia nacional.
Esta ley es la primera que establece el Habeas data en Colombia. Legisla el derecho que tienen los ciudadanos a conocer, actualizar y rectificar la información personal que distintas entidades hayan recogido sobre ellos. Sin embargo, esta ley sólo tiene en cuenta lo relacionado al habeas data financiero.[2][3] En esta época también surge, junto a esta ley, el primer acercamiento del gobierno a la penalización de los crímenes informáticos. Nace la Ley 1273 de 2009.[4]
Esta ley incluye la normativa general de la información natural de las personas. También se incluye la definición de datos de tipo sensible y la jurisprudencia de los datos de niños niñas y adolescentes. Así mismo en 2013 se establece el órgano administrativo encargado de estas nuevas facultades. La institución encargada es el Ministerio de Comercio, Industria y Turismo y la 'Superintendencia de Industria y Comercio.[1][5]
Actualmente la ley que rige la protección de datos es la Ley 1581 de 2012.
Datos Sensibles
Estos datos enmarcan todos aquellos que involucren:
Datos de niños, niñas y adolescentes
Es deber del Estado y las instituciones educativas dar la información y la capacitación de los representantes legales y tutores acerca de lo relacionado con los riesgos que se enfrentan los menores de edad frente al tratamiento indebido de sus datos personales. También deben proveer información sobre el uso responsable y seguro de sus datos personales, así como las leyes que los protegen.
Derechos de los titulares
El titular de los datos personales tiene los siguientes derechos sobre su información:
Autorización del titular
El titular de los datos debe dar su consentimiento informado previamente al tratamiento de los datos. Este consentimiento se debe dar por cualquier medio, siempre y cuando pueda ser consultado posteriormente.
Casos en que no se necesita autorización
En estos casos no será necesario la autorización previa del titular:
En caso de acceder a los datos de una persona sin su autorización, la entidad deberá enfrentar el proceso contenido por la presente ley.
Suministro de la información
La información podrá ser suministrada por cualquier medio, así lo disponga el titular, y debe ser de fácil lectura, sin trabas ni tecnicismos que obstaculicen su acceso.
Deber de informar al titular
El responsable del tratamiento de los datos debe informar al titular:
Personas a quienes se les puede suministrar información
Consultas
El titular de los datos puede consultar toda la información en cualquier momento, sea la entidad tratante pública o privada. La entidad debe responder a la consulta en los siguientes 10 días hábiles. Esta consulta se realizará según el medio que desee el tratante de los datos.
Reclamos
Los reclamos se harán dirigidos al encargado del tratamiento de los datos. Se harán siempre que el titular considere que los datos deben modificarse, actualizarse o el cese de su tratamiento. El encargado del tratamiento de los datos tiene un plazo máximo de 15 días hábiles para responder el trámite. Este tendrá un plazo de respuesta por parte del titular de 2 meses al momento de hacer el reclamo, si después de este tiempo el titular no responde se entenderá que desistió del reclamo. Las quejas o reclamos sólo se podrán hacer ante la Superintendencia de Industria y Comercio una vez se haya vencido el plazo de respuesta del tratante de los datos.
El encargado de la vigilancia y aseguramiento de que los datos personales se tratan de manera que se respeten todo lo establecido en la presente ley es la Superintendencia de Industria y Comercio. Es esta quien impondrá las sanciones a los encargados del tratamiento de los datos cuando estos no cumplan con lo estipulado por la ley. Las sanciones que se pueden otorgar según la gravedad de la falla son:
Estas medidas sólo aplican para personas privadas, en caso de que una persona pública necesite sanción, será la Procuraduría General de la Nación el encargado de llevar el caso.[5]
Los datos de una persona pueden transferirse a un país tercero siempre y cuando cumpla con los estándares de cuidado en el tratamiento de datos. Los datos podrán ser transferidos si y sólo si: