Embed Size (px)
Citation preview
MANUAL DE TRATAMIENTO DE DATOS PERSONALES
Universidad Católica Luis Amigó
© Universidad Católica Luis Amigó Transversal 51A 67 B 90. Medellín, Antioquia, Colombia Tel.: (574) 4487666 Ext. 9570. (Oficina de Comunicaciones y RR.PP.) www.funlam.edu.co - correo: [email protected] CONSEJO SUPERIOR DE LA UNIVERSIDAD CATÓLICA LUIS AMIGÓ Padre Carlos Enrique Cardona Quiceno Superior Provincial y Presidente del Consejo Superior Padre José Hernando Maya Restrepo Padre Omar Javier Duitama Muñoz Padre Sandro Anibal Castaño Suarez Padre Carlos Mauricio Agudelo Gallego Representantes del Gobierno Provincial de la Provincia de San José de la Congregación de Religiosos Terciarios Capuchinos de Nuestra Señora de los Dolores. Padre Jorge José Luis Sánchez Gallego Representante del Señor Arzobispo de Medellín María Victoria Agudelo Vargas Representante de los Directivos Académicos Elias Alexander Vallejo Montoya Representante de los Docentes Jefferson Asdrubal Zapata García Representante de los Estudiantes Representante de los Graduados Hernando Emilio Zabala Salazar Representante del sector productivo y de servicios Padre José Wílmar Sánchez Duque Rector General Francisco Javier Acosta Gómez Secretario General Diseño y Diagramación: Oficina de Comunicaciones y R.R.P.P. Hecho en Colombia / Made in Colombia. Prohibida la reproducción total o parcial, por cualquier medio o con cualquier propósito, sin autorización escrita de la Universidad Católica Luis Amigó.
UNIVERSIDAD CATÓLICA LUIS AMIGÓ
Secretaría General
Oficina de Comunicaciones y Relaciones Públicas
MANUAL DE TRATAMIENTO DE
DATOS PERSONALES
2017
TABLA DE CONTENIDO
1. ASPECTOS NORMATIVOS ............................................................................................................ 7
Ley Estatutaria 1581 de 2012 .......................................................................................................... 7
Decreto 1377 de 2013 ................................................................................................................... 25
Ministerio de Comercio, Industria y Turismo .............................................................................. 44
Decreto 1759 del 8 de noviembre de 2016 .................................................................................... 44
2. POLÍTICAS INTERNAS ................................................................................................................. 46
Resolución Rectoral No. 32 del 22 de septiembre de 2016 .......................................................... 46
Comunicado 038 ........................................................................................................................... 56
Responsabilidades del Oficial de Datos ......................................................................................... 56
Guardianes de datos de las diferentes unidades ........................................................................... 57
Comunicado 040 ........................................................................................................................... 61
Responsabilidades de los Guardianes de Datos Personales .......................................................... 61
Resolución Rectoral No. 54 del 15 de diciembre de 2016 ............................................................ 63
Capacitación .................................................................................................................................. 75
Tema 1. Introducción a la protección de datos personales ........................................................... 77
Tema 2. Derechos, deberes y legalidad en el tratamiento de datos ............................................. 82
Tema 3. Políticas de Tratamiento de Datos .................................................................................. 84
Tema 4. Procedimientos para el ejercicio de derecho de los titulares de los datos personales .... 85
Tema 5. Registro nacional de bases de datos ............................................................................... 87
3. ORGANIZACIÓN ......................................................................................................................... 89
4. PROCEDIMIENTOS ..................................................................................................................... 89
Procedimiento para el ejercicio de los derechos de los titulares de los datos personales Universidad Católica Luis Amigó ................................................................................................... 89
Procedimiento consultas internas o transferencia de información Universidad Católica Luis Amigó ............................................................................................................................................ 96
5. COMITÉ DE HABEAS DATA......................................................................................................... 99
Conformación del Comité de Habeas Data ................................................................................. 100
Actas del Comité ......................................................................................................................... 100
No. 1 ............................................................................................................................................ 100
No. 2 ............................................................................................................................................ 106
No. 3 ............................................................................................................................................ 114
No. 4 ............................................................................................................................................ 121
No. 5 ............................................................................................................................................ 132
No. 6 ............................................................................................................................................ 142
No. 7 ............................................................................................................................................ 153
No. 8 ............................................................................................................................................ 164
No. 9 ............................................................................................................................................ 172
No. 10 .......................................................................................................................................... 178
No. 11 .......................................................................................................................................... 184
No. 12 .......................................................................................................................................... 189
6. POLÍTICAS DE TRATAMIENTO DE DATOS.................................................................................... 193
Fórmulas generales ..................................................................................................................... 193
7. FICHA DE REGISTRO DE BASES DE DATOS .................................................................................. 201
8. DESARROLLO DE GESTIÓN .......................................................................................................... 206
Protocolo de respuesta temas Habeas Data ............................................................................... 213
Comunicados elaborados por la Unidad de Protección de Datos ............................................... 214
Comunicado 01 ............................................................................................................................ 214
Comunicado 02 ............................................................................................................................ 215
Comunicado 03 ............................................................................................................................ 216
Comunicado 04 ............................................................................................................................ 217
Comunicado 05 ............................................................................................................................ 218
Comunicado 06 ............................................................................................................................ 219
Comunicado 08 ............................................................................................................................ 219
6. PREGUNTAS FRECUENTES ....................................................................................................... 221
6
PRESENTACIÓN
La Universidad Católica Luis Amigó consciente de la necesidad de proteger los datos personales de los titulares, lo cual se comprende desde la protección al Habeas Data que articula derechos como la intimidad, la privacidad, la honra y el buen nombre, coloca a disposición de la comunidad universitaria el “Manual de tratamiento de datos personales” que servirá como instrumento de trabajo para garantizar que dicha protección se realice de manera efectiva. Este documento está elaborado en consideración de las disposiciones previstas en el literal k, del artículo 17 de la Ley 1581 de 2012, que regula los deberes que asisten a los Responsables del Tratamiento de datos personales, entre ellos se destaca el de adoptar un Manual interno de Políticas y Procedimientos para garantizar el adecuado cumplimiento de la Ley y en especial, para la atención de consultas y reclamos, así como el artículo 13 del Decreto 1377 de 2013, que establece la obligatoriedad por parte de los Responsables del Tratamiento de desarrollar sus políticas y velar porque los Encargados del Tratamiento den cabal cumplimiento a las mismas. De otro lado, este texto pretende dar cuenta de la “debida diligencia” de la Funlam en el tratamiento de datos personales de sus titulares, fin para el que la Universidad coloca toda su voluntad; es importante resaltar que la normatividad vigente hace expresa mención de que el Responsable debe garantizar la gestión, circulación y almacenamiento eficiente de la información personal que utiliza para el cumplimiento de sus objetivos corporativos y de negocio. Por lo anterior, en este Manual se han incluido las leyes que regulan la materia, las políticas y procedimientos internos de circulación de la información, procedimientos externos para consulta, modificación o revocatoria de los titulares. Además se incorporan elementos de ayuda como las preguntas frecuentes, los guiones sobre tratamiento de datos que con mayor frecuencia requieren los formatos no codificados, las disposiciones sobre foto-video, las zonas vigiladas, los sistemas biométricos, las responsabilidades de los guardianes de datos y del oficial de protección de datos, las evidencias del trabajo realizado por el comité respectivo para la implementación del sistema, los comunicados que se han elaborado con el fin de hacer parte del Programa Integral de Gestión de Datos Personales en la Funlam, la proyección de la gestión, los formatos de registro de bases de datos ante la SIC y el inventario provisional de las bases de datos institucionales con sus responsables. La Funlam en sus actuaciones, por medio de sus dependencias y de los canales con los cuales interactúa con sus titulares, está comprometida con el respeto de los derechos de sus usuarios, empleados y terceros en general. Por esto, adopta el presente manual de obligatorio conocimiento y aplicación por todas las personas que en cumplimiento de su quehacer tengan responsabilidad en el tratamiento de datos personales, incluyendo contratistas y terceros que como Encargados obran en nombre de la Institución.
7
1. ASPECTOS NORMATIVOS
Ley Estatutaria 1581 de 2012
(Octubre 17)
Reglamentada parcialmente por el Decreto Nacional 1377 de 2013.
Por la cual se dictan disposiciones generales para la protección de datos personales.
EL CONGRESO DE COLOMBIA
DECRETA:
TÍTULO I
OBJETO, ÁMBITO DE APLICACIÓN Y DEFINICIONES
Artículo 1°. Objeto. La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma. Artículo 2°. Ámbito de aplicación. Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada. La presente ley aplicará al tratamiento de datos personales efectuado en territorio colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales. El régimen de protección de datos personales que se establece en la presente ley no será de aplicación:
8
a) A las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico.
Cuando estas bases de datos o archivos vayan a ser suministrados a terceros se deberá, de manera previa, informar al titular y solicitar su autorización. En este caso los Responsables y Encargados de las bases de datos y archivos quedarán sujetos a las disposiciones contenidas en la presente ley; b) A las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo; c) A las Bases de datos que tengan como fin y contengan información de inteligencia y contrainteligencia; d) A las bases de datos y archivos de información periodística y otros contenidos editoriales; e) A las bases de datos y archivos regulados por la Ley 1266 de 2008; f) A las bases de datos y archivos regulados por la Ley 79 de 1993. Parágrafo. Los principios sobre protección de datos serán aplicables a todas las bases de datos, incluidas las exceptuadas en el presente artículo, con los límites dispuestos en la presente ley y sin reñir con los datos que tienen características de estar amparados por la reserva legal. En el evento que la normatividad especial que regule las bases de datos exceptuadas prevea principios que tengan en consideración la naturaleza especial de datos, los mismos aplicarán de manera concurrente a los previstos en la presente ley. Artículo 3°. Definiciones. Para los efectos de la presente ley, se entiende por: a) Autorización: consentimiento previo, expreso e informado del titular para llevar a cabo el Tratamiento de datos personales; b) Base de Datos: conjunto organizado de datos personales que sea objeto de Tratamiento; c) Dato personal: cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;
9
d) Encargado del Tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento; e) Responsable del Tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos; f) Titular: persona natural cuyos datos personales sean objeto de Tratamiento; g) Tratamiento: cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
TÍTULO II
PRINCIPIOS RECTORES
Artículo 4°. Principios para el Tratamiento de datos personales. En el desarrollo, interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los siguientes principios: a) Principio de legalidad en materia de Tratamiento de datos: el
Tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen;
b) Principio de finalidad: el Tratamiento debe obedecer a una
finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al titular;
c) Principio de libertad: el Tratamiento sólo puede ejercerse con el
consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento;
d) Principio de veracidad o calidad: la información sujeta a
Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error;
e) Principio de transparencia: en el Tratamiento debe garantizarse
el derecho del titular a obtener del Responsable del Tratamiento o
10
del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan;
f) Principio de acceso y circulación restringida: el Tratamiento se
sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la presente ley;
Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a la presente ley;
g) Principio de seguridad: la información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
h) Principio de confidencialidad: todas las personas que
intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.
TÍTULO III
CATEGORÍAS ESPECIALES DE DATOS
Artículo 5°. Datos sensibles. Para los propósitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y
11
garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos. Artículo 6°. Tratamiento de datos sensibles. Se prohíbe el Tratamiento de datos sensibles, excepto cuando: a) El titular haya dado su autorización explícita a dicho Tratamiento,
salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización;
b) El Tratamiento sea necesario para salvaguardar el interés vital del
titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización;
c) El Tratamiento sea efectuado en el curso de las actividades legítimas
y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del titular;
d) El Tratamiento se refiera a datos que sean necesarios para el
reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;
e) El Tratamiento tenga una finalidad histórica, estadística o científica.
En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los titulares.
Artículo 7°. Derechos de los niños, niñas y adolescentes. En el Tratamiento se asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes. Queda proscrito el Tratamiento de datos personales de niños, niñas y adolescentes, salvo aquellos datos que sean de naturaleza pública. Es tarea del Estado y las entidades educativas de todo tipo proveer información y capacitar a los representantes legales y tutores sobre los eventuales riesgos a los que se enfrentan los niños, niñas y adolescentes respecto del Tratamiento indebido de sus datos personales, y proveer de conocimiento acerca del uso responsable y seguro por parte de niños, niñas y adolescentes de sus datos personales, su derecho a la privacidad
12
y protección de su información personal y la de los demás. El Gobierno Nacional reglamentará la materia, dentro de los seis (6) meses siguientes a la promulgación de esta ley.
TÍTULO IV
DERECHOS Y CONDICIONES DE LEGALIDAD PARA EL TRATAMIENTO DE DATOS
Artículo 8°. Derechos de los titulares. El titular de los datos personales tendrá los siguientes derechos: a) Conocer, actualizar y rectificar sus datos personales frente a los
Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado;
b) Solicitar prueba de la autorización otorgada al Responsable del
Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la presente ley;
c) Ser informado por el Responsable del Tratamiento o el Encargado
del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales;
d) Presentar ante la Superintendencia de Industria y Comercio quejas
por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen;
e) Revocar la autorización y/o solicitar la supresión del dato cuando en
el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución;
f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.
Artículo 9°. Autorización del titular. Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e
13
informada del titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior. Artículo 10. Casos en que no es necesaria la autorización. La autorización del titular no será necesaria cuando se trate de: a) Información requerida por una entidad pública o administrativa en
ejercicio de sus funciones legales o por orden judicial; b) Datos de naturaleza pública; c) Casos de urgencia médica o sanitaria; d) Tratamiento de información autorizado por la ley para fines históricos,
estadísticos o científicos; e) Datos relacionados con el Registro Civil de las Personas. Quien acceda a los datos personales sin que medie autorización previa deberá en todo caso cumplir con las disposiciones contenidas en la presente ley. Artículo 11. Suministro de la información. La información solicitada podrá ser suministrada por cualquier medio, incluyendo los electrónicos, según lo requiera el titular. La información deberá ser de fácil lectura, sin barreras técnicas que impidan su acceso y deberá corresponder en un todo a aquella que repose en la base de datos. El Gobierno Nacional establecerá la forma en la cual los Responsables del Tratamiento y Encargados del Tratamiento deberán suministrar la información del titular, atendiendo a la naturaleza del dato personal, Esta reglamentación deberá darse a más tardar dentro del año siguiente a la promulgación de la presente ley. Artículo 12. Deber de informar al Titular. El Responsable del Tratamiento, al momento de solicitar al titular la autorización, deberá informarle de manera clara y expresa lo siguiente: a) El Tratamiento al cual serán sometidos sus datos personales y la
finalidad del mismo; b) El carácter facultativo de la respuesta a las preguntas que le sean
hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes;
14
c) Los derechos que le asisten como titular; d) La identificación, dirección física o electrónica y teléfono del
Responsable del Tratamiento. Parágrafo. El Responsable del Tratamiento deberá conservar prueba del cumplimiento de lo previsto en el presente artículo y, cuando el titular lo solicite, entregarle copia de esta. Artículo 13. Personas a quienes se les puede suministrar la información. La información que reúna las condiciones establecidas en la presente ley podrá suministrarse a las siguientes personas: a) A los titulares, sus causahabientes o sus representantes legales; b) A las entidades públicas o administrativas en ejercicio de sus
funciones legales o por orden judicial; c) A los terceros autorizados por el titular o por la ley.
TÍTULO V
PROCEDIMIENTOS
Artículo 14. Consultas. Los titulares o sus causahabientes podrán consultar la información personal del titular que repose en cualquier base de datos, sea esta del sector público o privado. El Responsable del Tratamiento o Encargado del Tratamiento deberán suministrar a estos toda la información contenida en el registro individual o que esté vinculada con la identificación del titular. La consulta se formulará por el medio habilitado por el Responsable del Tratamiento o Encargado del Tratamiento, siempre y cuando se pueda mantener prueba de esta. La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término. Parágrafo. Las disposiciones contenidas en leyes especiales o los reglamentos expedidos por el Gobierno Nacional podrán establecer términos inferiores, atendiendo a la naturaleza del dato personal.
15
Artículo 15. Reclamos. El titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta ley, podrán presentar un reclamo ante el Responsable del Tratamiento o el Encargado del Tratamiento el cual será tramitado bajo las siguientes reglas: 1. El reclamo se formulará mediante solicitud dirigida al Responsable
del Tratamiento o al Encargado del Tratamiento, con la identificación del titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.
2. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga "reclamo en trámite" y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
3. El término máximo para atender el reclamo será de quince (15) días
hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
Artículo 16. Requisito de procedibilidad. El titular o causahabiente sólo podrá elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante el Responsable del Tratamiento o Encargado del Tratamiento.
16
TÍTULO VI
DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO Y ENCARGADOS DEL TRATAMIENTO
Artículo 17. Deberes de los Responsables del Tratamiento. Los Responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad: a) Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del
derecho de hábeas data; b) Solicitar y conservar, en las condiciones previstas en la presente ley,
copia de la respectiva autorización otorgada por el titular; c) Informar debidamente al titular sobre la finalidad de la recolección y
los derechos que le asisten por virtud de la autorización otorgada; d) Conservar la información bajo las condiciones de seguridad
necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
e) Garantizar que la información que se suministre al Encargado del
Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;
f) Actualizar la información, comunicando de forma oportuna al
Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada;
g) Rectificar la información cuando sea incorrecta y comunicar lo
pertinente al Encargado del Tratamiento; h) Suministrar al Encargado del Tratamiento, según el caso,
únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley;
i) Exigir al Encargado del Tratamiento en todo momento, el respeto a
las condiciones de seguridad y privacidad de la información del titular; j) Tramitar las consultas y reclamos formulados en los términos
señalados en la presente ley;
17
k) Adoptar un Manual interno de Políticas y Procedimientos para
garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos;
l) Informar al Encargado del Tratamiento cuando determinada
información se encuentra en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo;
m) Informar a solicitud del titular sobre el uso dado a sus datos; n) Informar a la autoridad de protección de datos cuando se presenten
violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
o) Cumplir las instrucciones y requerimientos que imparta la
Superintendencia de Industria y Comercio. Artículo 18. Deberes de los Encargados del Tratamiento. Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad: a) Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del
derecho de hábeas data; b) Conservar la información bajo las condiciones de seguridad
necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
c) Realizar oportunamente la actualización, rectificación o supresión
de los datos en los términos de la presente ley; d) Actualizar la información reportada por los Responsables del
Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo;
e) Tramitar las consultas y los reclamos formulados por los titulares en
los términos señalados en la presente ley; f) Adoptar un Manual Interno de Políticas y Procedimientos para
garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los titulares;
18
g) Registrar en la base de datos la leyenda "reclamo en trámite" en la
forma en que se regula en la presente ley; h) Insertar en la base de datos la leyenda "información en discusión
judicial" una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal;
i) Abstenerse de circular información que esté siendo controvertida
por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;
j) Permitir el acceso a la información únicamente a las personas que
pueden tener acceso a ella; k) Informar a la Superintendencia de Industria y Comercio cuando se
presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares;
l) Cumplir las instrucciones y requerimientos que imparta la
Superintendencia de Industria y Comercio. Parágrafo. En el evento en que concurran las calidades de Responsable del Tratamiento y Encargado del Tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos para cada uno.
TÍTULO VII
DE LOS MECANISMOS DE VIGILANCIA Y SANCIÓN
CAPÍTULO I
De la autoridad de protección de datos
Artículo 19. Autoridad de Protección de Datos. La Superintendencia de Industria y Comercio, a través de una Delegatura para la Protección de Datos Personales, ejercerá la vigilancia para garantizar que en el Tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la presente ley. Parágrafo 1°. El Gobierno Nacional en el plazo de seis (6) meses contados a partir de la fecha de entrada en vigencia de la presente ley incorporará dentro de la estructura de la Superintendencia de Industria y
19
Comercio un despacho de Superintendente Delegado para ejercer las funciones de Autoridad de Protección de Datos. Parágrafo 2°. La vigilancia del tratamiento de los datos personales regulados en la Ley 1266 de 2008 se sujetará a lo previsto en dicha norma. Artículo 20. Recursos para el ejercicio de sus funciones. La Superintendencia de Industria y Comercio contará con los siguientes recursos para ejercer las funciones que le son atribuidas por la presente ley: a) Los recursos que le sean destinados en el Presupuesto General de la Nación. Artículo 21. Funciones. La Superintendencia de Industria y Comercio ejercerá las siguientes funciones: a) Velar por el cumplimiento de la legislación en materia de protección
de datos personales; b) Adelantar las investigaciones del caso, de oficio o a petición de parte
y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. Para el efecto, siempre que se desconozca el derecho, podrá disponer que se conceda el acceso y suministro de los datos, la rectificación, actualización o supresión de los mismos;
c) Disponer el bloqueo temporal de los datos cuando, de la solicitud y
de las pruebas aportadas por el titular, se identifique un riesgo cierto de vulneración de sus derechos fundamentales, y dicho bloqueo sea necesario para protegerlos mientras se adopta una decisión definitiva;
d) Promover y divulgar los derechos de las personas en relación con el
Tratamiento de datos personales e implementará campañas pedagógicas para capacitar e informar a los ciudadanos acerca del ejercicio y garantía del derecho fundamental a la protección de datos;
e) Impartir instrucciones sobre las medidas y procedimientos
necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley;
20
f) Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones.
g) Proferir las declaraciones de conformidad sobre las transferencias
internacionales de datos; h) Administrar el Registro Nacional Público de Bases de Datos y emitir
las órdenes y los actos necesarios para su administración y funcionamiento;
i) Sugerir o recomendar los ajustes, correctivos o adecuaciones a la
normatividad que resulten acordes con la evolución tecnológica, informática o comunicacional;
j) Requerir la colaboración de entidades internacionales o extranjeras
cuando se afecten los derechos de los titulares fuera del territorio colombiano con ocasión, entre otras, de la recolección internacional de datos personales;
k) Las demás que le sean asignadas por ley.
CAPÍTULO II
Procedimiento y sanciones
Artículo 22. Trámite. La Superintendencia de Industria y Comercio, una vez establecido el incumplimiento de las disposiciones de la presente ley por parte del Responsable del Tratamiento o el Encargado del Tratamiento, adoptará las medidas o impondrá las sanciones correspondientes. En lo no reglado por la presente ley y los procedimientos correspondientes se seguirán las normas pertinentes del Código Contencioso Administrativo. Artículo 23. Sanciones. La Superintendencia de Industria y Comercio podrá imponer a los Responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones: a) Multas de carácter personal e institucional hasta por el equivalente
de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó;
21
b) Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar;
c) Cierre temporal de las operaciones relacionadas con el Tratamiento
una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio;
d) Cierre inmediato y definitivo de la operación que involucre el
Tratamiento de datos sensibles; Parágrafo. Las sanciones indicadas en el presente artículo sólo aplican para las personas de naturaleza privada. En el evento en el cual la Superintendencia de Industria y Comercio advierta un presunto incumplimiento de una autoridad pública a las disposiciones de la presente ley, remitirá la actuación a la Procuraduría General de la Nación para que adelante la investigación respectiva. Artículo 24. Criterios para graduar las sanciones. Las sanciones por infracciones a las que se refieren el artículo anterior, se graduarán atendiendo los siguientes criterios, en cuanto resulten aplicables: a) La dimensión del daño o peligro a los intereses jurídicos tutelados
por la presente ley; b) El beneficio económico obtenido por el infractor o terceros, en virtud
de la comisión de la infracción; c) La reincidencia en la comisión de la infracción; d) La resistencia, negativa u obstrucción a la acción investigadora o de
vigilancia de la Superintendencia de Industria y Comercio; e) La renuencia o desacato a cumplir las órdenes impartidas por la
Superintendencia de Industria y Comercio; f) El reconocimiento o aceptación expresos que haga el investigado
sobre la comisión de la infracción antes de la imposición de la sanción a que hubiere lugar.
22
CAPÍTULO III
Del Registro Nacional de Bases de Datos Artículo 25. Definición. Reglamentado por el Decreto Nacional 886 de 2014 El Registro Nacional de Bases de Datos es el directorio público de las bases de datos sujetas a Tratamiento que operan en el país. El registro será administrado por la Superintendencia de Industria y Comercio y será de libre consulta para los ciudadanos. Para realizar el registro de bases de datos, los interesados deberán aportar a la Superintendencia de Industria y Comercio las políticas de tratamiento de la información, las cuales obligarán a los responsables y encargados del mismo, y cuyo incumplimiento acarreará las sanciones correspondientes. Las políticas de Tratamiento en ningún caso podrán ser inferiores a los deberes contenidos en la presente ley. Parágrafo. El Gobierno Nacional reglamentará, dentro del año siguiente a la promulgación de la presente ley, la información mínima que debe contener el Registro, y los términos y condiciones bajo los cuales se deben inscribir en este los Responsables del Tratamiento.
TÍTULO VIII
TRANSFERENCIA DE DATOS A TERCEROS PAÍSES
Artículo 26. Prohibición. Se prohíbe la transferencia de datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos. Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios. Esta prohibición no regirá cuando se trate de: a) Información respecto de la cual el titular haya otorgado su
autorización expresa e inequívoca para la transferencia; b) Intercambio de datos de carácter médico, cuando así lo exija el
Tratamiento del titular por razones de salud o higiene pública; c) Transferencias bancarias o bursátiles, conforme a la legislación que
les resulte aplicable;
23
d) Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad;
e) Transferencias necesarias para la ejecución de un contrato entre el titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del titular;
f) Transferencias legalmente exigidas para la salvaguardia del interés
público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
Parágrafo 1°. En los casos no contemplados como excepción en el presente artículo, corresponderá a la Superintendencia de Industria y Comercio, proferir la declaración de conformidad relativa a la transferencia internacional de datos personales. Para el efecto, el Superintendente queda facultado para requerir información y adelantar las diligencias tendientes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de la operación. Parágrafo 2°. Las disposiciones contenidas en el presente artículo serán aplicables para todos los datos personales, incluyendo aquellos contemplados en la Ley 1266 de 2008.
TÍTULO IX
OTRAS DISPOSICIONES
Artículo 27. Normas Corporativas Vinculantes. El Gobierno Nacional expedirá la reglamentación correspondiente sobre Normas Corporativas Vinculantes para la certificación de buenas prácticas en protección de datos, personales y su transferencia a terceros países. Artículo 28. Régimen de transición. Las personas que a la fecha de entrada en vigencia de la presente ley ejerzan alguna de las actividades acá reguladas tendrán un plazo de hasta seis (6) meses para adecuarse a las disposiciones contempladas en esta ley. Artículo 29. Derogatorias. La presente ley deroga todas las disposiciones que le sean contrarias a excepción de aquellas contempladas en el artículo 2°. Artículo 30. Vigencia. La presente ley rige a partir de su promulgación.
24
El Presidente del honorable Senado de la República,
ROY LEONARDO BARRERAS MONTEALEGRE.
El Secretario General del honorable Senado de la República,
GREGORIO ELJACH PACHECO.
El Presidente de la honorable Cámara de Representantes,
AUGUSTO POSADA SÁNCHEZ.
La Secretaria General (E.) de la honorable Cámara de Representantes,
FLOR MARINA DAZA RAMÍREZ.
REPÚBLICA DE COLOMBIA – GOBIERNO NACIONAL
Publíquese y cúmplase.
En cumplimiento de lo dispuesto en la Sentencia C-748 de 2011 proferida por la Corte Constitucional, se procede a la sanción del proyecto de ley, la cual ordena la remisión del expediente al Congreso de la República, para continuar el trámite de rigor y posterior envío al Presidente de la
República.
Dada en Bogotá, D. C., a 17 días del mes de octubre de 2012.
JUAN MANUEL SANTOS CALDERÓN.
La Ministra de Justicia y del Derecho,
RUTH STELLA CORREA PALACIO.
El Ministro de Hacienda y Crédito Público,
MAURICIO CÁRDENAS SANTA MARÍA.
El Ministro de Comercio, Industria y Turismo,
SERGIO DIAZ-GRANADOS GUIDA.
El Ministro de Tecnologías, de la Información y las Comunicaciones,
DIEGO MOLANO VEGA.
NOTA: Publicada en el Diario Oficial 48587 de octubre 18 de 2012.
25
Decreto 1377 de 2013
(Junio 27)
Por el cual se reglamenta parcialmente la Ley 1581 de 2012.
EL PRESIDENTE DE LA REPÚBLICA DE COLOMBIA
En uso de sus atribuciones constitucionales, y en particular las
previstas en el numeral 11 del artículo 189 de la Constitución Política y en la Ley 1581 de 2012, y
CONSIDERANDO:
Que mediante la Ley 1581 de 2012 se expidió el Régimen General de Protección de Datos Personales, el cual, de conformidad con su artículo 1°, tiene por objeto “(...) desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma”. Que la Ley 1581 de 2012 constituye el marco general de la protección de los datos personales en Colombia. Que mediante sentencia C-748 del 6 de octubre de 2011 la Corte Constitucional declaró exequible el Proyecto de ley Estatutaria número 184 de 2010 Senado, 046 de 2010 Cámara. Que con el fin de facilitar la implementación y cumplimiento de la Ley 1581 de 2012 se deben reglamentar aspectos relacionados con la autorización del titular de información para el Tratamiento de sus datos personales, las políticas de Tratamiento de los Responsables y Encargados, el ejercicio de los derechos de los titulares de información, las transferencias de datos personales y la responsabilidad demostrada frente al Tratamiento de datos personales, este último tema referido a la rendición de cuentas. Que en virtud de lo expuesto,
26
DECRETA:
CAPÍTULO I
Disposiciones Generales
Artículo 1°. Objeto. El presente Decreto tiene como objeto reglamentar parcialmente la Ley 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales. Artículo 2°. Tratamiento de datos en el ámbito personal o doméstico. De conformidad con lo dispuesto en el literal a) del artículo 2° de la Ley 1581 de 2012, se exceptúan de la aplicación de dicha ley y del presente decreto, las bases de datos mantenidas en un ámbito exclusivamente personal o doméstico. El ámbito personal o doméstico comprende aquellas actividades que se inscriben en el marco de la vida privada o familiar de las personas naturales. Artículo 3°. Definiciones. Además de las definiciones establecidas en el artículo 3° de la Ley 1581 de 2012, para los efectos del presente decreto se entenderá por: 1. Aviso de privacidad: comunicación verbal o escrita generada por el
Responsable, dirigida al titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.
2. Dato público: es el dato que no sea semiprivado, privado o sensible.
Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
3. Datos sensibles: Se entiende por datos sensibles aquellos que
afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de
27
oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
4. Transferencia: La transferencia de datos tiene lugar cuando el
Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
5. Transmisión: Tratamiento de datos personales que implica la
comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
CAPÍTULO II
Autorización
Artículo 4°. Recolección de los datos personales. En desarrollo de los principios de finalidad y libertad, la recolección de datos deberá limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente. Salvo en los casos expresamente previstos en la ley, no se podrán recolectar datos personales sin autorización del titular. A solicitud de la Superintendencia de Industria y Comercio, los Responsables deberán proveer una descripción de los procedimientos usados para la recolección, almacenamiento, uso, circulación y supresión de información, como también la descripción de las finalidades para las cuales la información es recolectada y una explicación sobre la necesidad de recolectar los datos en cada caso. No se podrán utilizar medios engañosos o fraudulentos para recolectar y realizar Tratamiento de datos personales. Artículo 5°. Autorización. El Responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento. Los datos personales que se encuentren en fuentes de acceso público, con independencia del medio por el cual se tenga acceso, entendiéndose por tales aquellos datos o bases de datos que se encuentren a
28
disposición del público, pueden ser tratados por cualquier persona siempre y cuando, por su naturaleza, sean datos públicos. En caso de haber cambios sustanciales en el contenido de las políticas del Tratamiento a que se refiere el Capítulo III de este decreto, referidos a la identificación del Responsable y a la finalidad del Tratamiento de los datos personales, los cuales puedan afectar el contenido de la autorización, el Responsable del Tratamiento debe comunicar estos cambios al titular antes de o a más tardar al momento de implementar las nuevas políticas. Además, deberá obtener del titular una nueva autorización cuando el cambio se refiera a la finalidad del Tratamiento. Artículo 6°. De la autorización para el Tratamiento de datos personales sensibles. El Tratamiento de los datos sensibles a que se refiere el artículo 5° de la Ley 1581 de 2012 está prohibido, a excepción de los casos expresamente señalados en el artículo 6° de la citada ley. En el Tratamiento de datos personales sensibles, cuando dicho Tratamiento sea posible conforme a lo establecido en el artículo 6° de la Ley 1581 de 2012, deberán cumplirse las siguientes obligaciones: 1. Informar al titular que por tratarse de datos sensibles no está obligado
a autorizar su Tratamiento. 2. Informar al titular de forma explícita y previa, además de los requisitos
generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento, así como obtener su consentimiento expreso.
Ninguna actividad podrá condicionarse a que el titular suministre datos personales sensibles. Artículo 7°. Modo de obtener la autorización. Para efectos de dar cumplimiento a lo dispuesto en el artículo 9° de la Ley 1581 de 2012, los Responsables del Tratamiento de datos personales establecerán mecanismos para obtener la autorización de los titulares o de quien se encuentre legitimado de conformidad con lo establecido en el artículo 20 del presente decreto, que garanticen su consulta. Estos mecanismos podrán ser predeterminados a través de medios técnicos que faciliten al titular su manifestación automatizada. Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (i) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.
29
Artículo 8°. Prueba de la autorización. Los Responsables deberán conservar prueba de la autorización otorgada por los titulares de datos personales para el Tratamiento de los mismos. Artículo 9°. Revocatoria de la autorización y/o supresión del dato. Los titulares podrán en todo momento solicitar al responsable o encargado la supresión de sus datos personales y/o revocar la autorización otorgada para el Tratamiento de los mismos, mediante la presentación de un reclamo, de acuerdo con lo establecido en el artículo 15 de la Ley 1581 de 2012. La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el titular tenga un deber legal o contractual de permanecer en la base de datos. El responsable y el encargado deben poner a disposición del titular mecanismos gratuitos y de fácil acceso para presentar la solicitud de supresión de datos o la revocatoria de la autorización otorgada. Si vencido el término legal respectivo, el responsable y/o el encargado, según fuera el caso, no hubieran eliminado los datos personales, el titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización y/o la supresión de los datos personales. Para estos efectos se aplicará el procedimiento descrito en el artículo 22 de la Ley 1581 de 2012. Artículo 10. Datos recolectados antes de la expedición del presente decreto. Para los datos recolectados antes de la expedición del presente decreto, se tendrá en cuenta lo siguiente: 1. Los responsables deberán solicitar la autorización de los titulares
para continuar con el Tratamiento de sus datos personales del modo previsto en el artículo 7° anterior, a través de mecanismos eficientes de comunicación, así como poner en conocimiento de estos sus políticas de Tratamiento de la información y el modo de ejercer sus derechos.
2. Para efectos de lo dispuesto en el numeral 1, se considerarán como
mecanismos eficientes de comunicación aquellos que el responsable o encargado usan en el curso ordinario de su interacción con los titulares registrados en sus bases de datos.
3. Si los mecanismos citados en el numeral 1 imponen al responsable
una carga desproporcionada o es imposible solicitar a cada titular el
30
consentimiento para el Tratamiento de sus datos personales y poner en su conocimiento las políticas de Tratamiento de la información y el modo de ejercer sus derechos, el Responsable podrá implementar mecanismos alternos para los efectos dispuestos en el numeral 1, tales como diarios de amplia circulación nacional, diarios locales o revistas, páginas de Internet del responsable, carteles informativos, entre otros, e informar al respecto a la Superintendencia de Industria y Comercio, dentro de los cinco (5) días siguientes a su implementación.
Con el fin de establecer cuándo existe una carga desproporcionada para el responsable se tendrá en cuenta su capacidad económica, el número de titulares, la antigüedad de los datos, el ámbito territorial y sectorial de operación del responsable y el mecanismo alterno de comunicación a utilizar, de manera que el hecho de solicitar el consentimiento a cada uno de los titulares implique un costo excesivo y que ello comprometa la estabilidad financiera del responsable, la realización de actividades propias de su negocio o la viabilidad de su presupuesto programado.
A su vez, se considerará que existe una imposibilidad de solicitar a cada titular el consentimiento para el Tratamiento de sus datos personales y poner en su conocimiento las políticas de Tratamiento de la información y el modo de ejercer sus derechos cuando el responsable no cuente con datos de contacto de los titulares, ya sea porque los mismos no obran en sus archivos, registros o bases de datos, o bien, porque estos se encuentran desactualizados, incorrectos, incompletos o inexactos.
4. Si en el término de treinta (30) días hábiles, contado a partir de la
implementación de cualesquiera de los mecanismos de comunicación descritos en los numerales 1, 2 y 3, el titular no ha contactado al Responsable o Encargado para solicitar la supresión de sus datos personales en los términos del presente decreto, el responsable y encargado podrán continuar realizando el Tratamiento de los datos contenidos en sus bases de datos para la finalidad o finalidades indicadas en la política de Tratamiento de la información, puesta en conocimiento de los titulares mediante tales mecanismos, sin perjuicio de la facultad que tiene el titular de ejercer en cualquier momento su derecho y pedir la eliminación del dato.
5. En todo caso el Responsable y el Encargado deben cumplir con
todas las disposiciones aplicables de la Ley 1581 de 2012 y el presente decreto. Así mismo, será necesario que la finalidad o finalidades del Tratamiento vigentes sean iguales, análogas o
31
compatibles con aquella o aquellas para las cuales se recabaron los datos personales inicialmente.
Parágrafo. La implementación de los mecanismos alternos de comunicación previstos en esta norma deberá realizarse a más tardar dentro del mes siguiente de la publicación del presente decreto. Artículo 11. Limitaciones temporales al Tratamiento de los datos personales. Los Responsables y Encargados del Tratamiento solo podrán recolectar, almacenar, usar o circular los datos personales durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Una vez cumplida la o las finalidades del Tratamiento y sin perjuicio de normas legales que dispongan lo contrario, el Responsable y el Encargado de-berán proceder a la supresión de los datos personales en su posesión. No obstante lo anterior, los datos personales deberán ser conservados cuando así se requiera para el cumplimiento de una obligación legal o contractual. Los responsables y encargados del tratamiento deberán documentar los procedimientos para el Tratamiento, conservación y supresión de los datos personales de conformidad con las disposiciones aplicables a la materia de que se trate, así como las instrucciones que al respecto imparta la Superintendencia de Industria y Comercio. Artículo 12. Requisitos especiales para el tratamiento de datos personales de niños, niñas y adolescentes. El Tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, de conformidad con lo establecido en el artículo 7° de la Ley 1581 de 2012 y cuando dicho Tratamiento cumpla con los siguientes parámetros y requisitos: 1. Que responda y respete el interés superior de los niños, niñas y
adolescentes. 2. Que se asegure el respeto de sus derechos fundamentales. Cumplidos los anteriores requisitos, el representante legal del niño, niña o adolescente otorgará la autorización previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.
32
Todo responsable y encargado involucrado en el tratamiento de los datos personales de niños, niñas y adolescentes, deberá velar por el uso adecuado de los mismos. Para este fin deberán aplicarse los principios y obligaciones establecidos en la Ley 1581 de 2012 y el presente decreto. La familia y la sociedad deben velar porque los responsables y encargados del tratamiento de los datos personales de los menores de edad cumplan las obligaciones establecidas en la Ley 1581 de 2012 y el presente decreto.
CAPÍTULO III
Políticas de Tratamiento
Artículo 13. Políticas de Tratamiento de la información. Los Responsables del Tratamiento deberán desarrollar sus políticas para el tratamiento de los datos personales y velar porque los Encargados del Tratamiento den cabal cumplimiento a las mismas. Las políticas de Tratamiento de la información deberán constar en medio físico o electrónico, en un lenguaje claro y sencillo y ser puestas en conocimiento de los titulares. Dichas políticas deberán incluir, por lo menos, la siguiente información: 1. Nombre o razón social, domicilio, dirección, correo electrónico y
teléfono del Responsable. 2. Tratamiento al cual serán sometidos los datos y finalidad del mismo
cuando esta no se haya informado mediante el aviso de privacidad. 3. Derechos que le asisten como titular. 4. Persona o área responsable de la atención de peticiones, consultas
y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización.
5. Procedimiento para que los titulares de la información puedan ejercer
los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización.
6. Fecha de entrada en vigencia de la política de tratamiento de la
información y período de vigencia de la base de datos.
33
Cualquier cambio sustancial en las políticas de tratamiento, en los términos descritos en el artículo 5° del presente decreto, deberá ser comunicado oportunamente a los titulares de los datos personales de una manera eficiente, antes de implementar las nuevas políticas. Artículo 14. Aviso de privacidad. En los casos en los que no sea posible poner a disposición del titular las políticas de tratamiento de la información, los responsables deberán informar por medio de un aviso de privacidad al titular sobre la existencia de tales políticas y la forma de acceder a las mismas, de manera oportuna y en todo caso a más tardar al momento de la recolección de los datos personales. Artículo 15. Contenido mínimo del Aviso de Privacidad. El aviso de privacidad, como mínimo, deberá contener la siguiente información: 1. Nombre o razón social y datos de contacto del responsable del
tratamiento. 2. El Tratamiento al cual serán sometidos los datos y la finalidad del
mismo. 3. Los derechos que le asisten al titular. 4. Los mecanismos dispuestos por el responsable para que el titular
conozca la política de Tratamiento de la información y los cambios sustanciales que se produzcan en ella o en el Aviso de Privacidad correspondiente. En todos los casos, debe informar al titular cómo acceder o consultar la política de Tratamiento de información.
No obstante lo anterior, cuando se recolecten datos personales sensibles, el aviso de privacidad deberá señalar expresamente el carácter facultativo de la respuesta a las preguntas que versen sobre este tipo de datos. En todo caso, la divulgación del Aviso de Privacidad no eximirá al Responsable de la obligación de dar a conocer a los titulares la política de tratamiento de la información, de conformidad con lo establecido en este decreto. Artículo 16. Deber de acreditar puesta a disposición del aviso de privacidad y las políticas de Tratamiento de la información. Los Responsables deberán conservar el modelo del Aviso de Privacidad que utilicen para cumplir con el deber que tienen de dar a conocer a los titulares la existencia de políticas del tratamiento de la información y la forma de acceder a las mismas, mientras se traten datos personales
34
conforme al mismo y perduren las obligaciones que de este se deriven. Para el almacenamiento del modelo, el Responsable podrá emplear medios informáticos, electrónicos o cualquier otra tecnología que garantice el cumplimiento de lo previsto en la Ley 527 de 1999. Artículo 17. Medios de difusión del aviso de privacidad y de las políticas de tratamiento de la información. Para la difusión del aviso de privacidad y de la política de tratamiento de la información, el responsable podrá valerse de documentos, formatos electrónicos, medios verbales o cualquier otra tecnología, siempre y cuando garantice y cumpla con el deber de informar al titular. Artículo 18. Procedimientos para el adecuado tratamiento de los datos personales. Los procedimientos de acceso, actualización, supresión y rectificación de datos personales y de revocatoria de la autorización deben darse a conocer o ser fácilmente accesibles a los titulares de la información e incluirse en la política de tratamiento de la información. Artículo 19. Medidas de seguridad. La Superintendencia de Industria y Comercio impartirá las instrucciones relacionadas con las medidas de seguridad en el Tratamiento de datos personales.
CAPÍTULO IV
Ejercicio de los derechos de los titulares
Artículo 20. Legitimación para el ejercicio de los derechos del titular. Los derechos de los titulares establecidos en la Ley, podrán ejercerse por las siguientes personas: 1. Por el titular, quien deberá acreditar su identidad en forma suficiente
por los distintos medios que le ponga a disposición el responsable. 2. Por sus causahabientes, quienes deberán acreditar tal calidad. 3. Por el representante y/o apoderado del titular, previa acreditación de
la representación o apoderamiento. 4. Por estipulación a favor de otro o para otro. Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que estén facultadas para representarlos.
35
Artículo 21. Del derecho de acceso. Los responsables y encargados del tratamiento deben establecer mecanismos sencillos y ágiles que se encuentren permanentemente disponibles a los titulares con el fin de que estos puedan acceder a los datos personales que estén bajo el control de aquellos y ejercer sus derechos sobre los mismos. El titular podrá consultar de forma gratuita sus datos personales: (i) al menos una vez cada mes calendario, y (ii) cada vez que existan modificaciones sustanciales de las políticas de Tratamiento de la información que motiven nuevas consultas. Para consultas cuya periodicidad sea mayor a una por cada mes calendario, el responsable solo podrá cobrar al titular los gastos de envío, reproducción y, en su caso, certificación de documentos. Los costos de reproducción no podrán ser mayores a los costos de recuperación del material correspondiente. Para tal efecto, el responsable deberá demostrar a la Superintendencia de Industria y Comercio, cuando esta así lo requiera, el soporte de dichos gastos. Artículo 22. Del derecho de actualización, rectificación y supresión. En desarrollo del principio de veracidad o calidad, en el tratamiento de los datos personales deberán adoptarse las medidas razonables para asegurar que los datos personales que reposan en las bases de datos sean precisos y suficientes y, cuando así lo solicite el titular o cuando el Responsable haya podido advertirlo, sean actualizados, rectificados o suprimidos, de tal manera que satisfagan los propósitos del tratamiento. Artículo 23. Medios para el ejercicio de los derechos. Todo Responsable y Encargado deberá designar a una persona o área que asuma la función de protección de datos personales, que dará trámite a las solicitudes de los titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y el presente decreto.
CAPÍTULO V
Transferencias y transmisiones internacionales de datos personales
Artículo 24. De la transferencia y transmisión internacional de datos personales. Para la transmisión y transferencia de datos personales, se aplicarán las siguientes reglas: 1. Las transferencias internacionales de datos personales deberán
observar lo previsto en el artículo 26 de la Ley 1581 de 2012.
36
2. Las transmisiones internacionales de datos personales que se
efectúen entre un responsable y un encargado para permitir que el encargado realice el tratamiento por cuenta del responsable, no requerirán ser informadas al titular ni contar con su consentimiento cuando exista un contrato en los términos del artículo 25 siguiente.
Artículo 25. Contrato de transmisión de datos personales. El contrato que suscriba el Responsable con los encargados para el tratamiento de datos personales bajo su control y responsabilidad señalará los alcances del tratamiento, las actividades que el encargado realizará por cuenta del responsable para el tratamiento de los datos personales y las obligaciones del Encargado para con el titular y el responsable. Mediante dicho contrato el encargado se comprometerá a dar aplicación a las obligaciones del responsable bajo la política de Tratamiento de la información fijada por este y a realizar el Tratamiento de datos de acuerdo con la finalidad que los titulares hayan autorizado y con las leyes aplicables. Además de las obligaciones que impongan las normas aplicables dentro del citado contrato, deberán incluirse las siguientes obligaciones en cabeza del respectivo encargado: 1. Dar Tratamiento, a nombre del Responsable, a los datos personales
conforme a los principios que los tutelan. 2. Salvaguardar la seguridad de las bases de datos en los que se
contengan datos personales. 3. Guardar confidencialidad respecto del tratamiento de los datos
personales.
CAPÍTULO VI
Responsabilidad demostrada frente al tratamiento de datos personales
Artículo 26. Demostración. Los responsables del tratamiento de datos personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y este decreto, en una manera que sea proporcional a lo siguiente:
37
1. La naturaleza jurídica del responsable y, cuando sea del caso, su tamaño empresarial, teniendo en cuenta si se trata de una micro, pequeña, mediana o gran empresa, de acuerdo con la normativa vigente.
2. La naturaleza de los datos personales objeto del tratamiento. 3. El tipo de Tratamiento. 4. Los riesgos potenciales que el referido tratamiento podrían causar
sobre los derechos de los titulares. En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, los Responsables deberán suministrar a esta una descripción de los procedimientos usados para la recolección de los datos personales, como también la descripción de las finalidades para las cuales esta información es recolectada y una explicación sobre la relevancia de los datos personales en cada caso. En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, quienes efectúen el Tratamiento de los datos personales deberán suministrar a esta evidencia sobre la implementación efectiva de las medidas de seguridad apropiadas: Artículo 27. Políticas internas efectivas. En cada caso, de acuerdo con las circunstancias mencionadas en los numerales 1, 2, 3 y 4 del artículo 26 anterior, las medidas efectivas y apropiadas implementadas por el Responsable deben ser consistentes con las instrucciones impartidas por la Superintendencia de Industria y Comercio. Dichas políticas deberán garantizar: 1. La existencia de una estructura administrativa proporcional a la
estructura y tamaño empresarial del responsable para la adopción e implementación de políticas consistentes con la Ley 1581 de 2012 y este decreto.
2. La adopción de mecanismos internos para poner en práctica estas
políticas incluyendo herramientas de implementación, entrenamiento y programas de educación.
3. La adopción de procesos para la atención y respuesta a consultas,
peticiones y reclamos de los titulares, con respecto a cualquier aspecto del tratamiento.
38
La verificación por parte de la Superintendencia de Industria y Comercio de la existencia de medidas y políticas específicas para el manejo adecuado de los datos personales que administra un Responsable será tenida en cuenta al momento de evaluar la imposición de sanciones por violación a los deberes y obligaciones establecidos en la ley y en el presente decreto. Artículo 28. Vigencia y derogatorias. El presente decreto rige a partir de su publicación en el Diario Oficial y deroga las disposiciones que le sean contrarias.
Publíquese y cúmplase.
Dado en Bogotá, D. C., a 27 de junio de 2013.
JUAN MANUEL SANTOS CALDERÓN.
El Ministro de Comercio, Industria y Turismo,
SERGIO DÍAZ-GRANADOS GUIDA.
El Ministro de Tecnologías de la Información y las Comunicaciones,
DIEGO MOLANO VEGA.
NOTA: Publicado en el Diario Oficial 48834 de junio 27 de 2013
39
Decreto 886 de 2014
(Mayo 13)
Por el cual se reglamenta el artículo 25 de la Ley 1581 de 2012, relativo al Registro Nacional de Bases de Datos.
EL PRESIDENTE DE LA REPÚBLICA DE COLOMBIA,
en uso de sus atribuciones constitucionales, y en particular las previstas en el numeral 11 del artículo 189 de la Constitución Política y el parágrafo del artículo 25 de la Ley 1581 de 2012, y
CONSIDERANDO:
Que mediante la Ley 1581 de 2012 se expidió el Régimen General de Protección de Datos Personales, el cual, de conformidad con su artículo 1°, tiene por objeto “(...) desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma”. Que el artículo 25 de la Ley 1581 de 2012 crea el Registro Nacional de Bases de Datos, el cual se define como el directorio público de las bases de datos personales sujetas a Tratamiento que operan en el país, administrado por la Superintendencia de Industria y Comercio y de libre consulta para los ciudadanos. Que el parágrafo del citado artículo 25 dispone que el Gobierno Nacional reglamentará la información mínima que debe contener el registro, así como los términos y condiciones de inscripción a los que estarán sujetos los Responsables del Tratamiento. Que la Corte Constitucional, mediante Sentencia C-748 de 2011, declaró la constitucionalidad condicionada del artículo 25 de la Ley 1581 de 2012, para lo cual precisó que el Registro Nacional de Bases de Datos “debe permitir a cualquier persona determinar quién está haciendo tratamiento de sus datos personales para de esa forma garantizar que la persona pueda tener un control efectivo sobre sus datos personales al poder conocer clara y certeramente en qué bases se manejan sus datos personales. Por ende, el Gobierno Nacional tendrá en su labor de
40
reglamentación que acudir a los estándares internacionales y a la experiencia de otros Estados en la materia para lograr que la finalidad antes descrita de este registro se cumpla”. Que el Registro Nacional de Bases de Datos permitirá cumplir con la obligación legal de dar publicidad a la existencia de bases de datos de carácter personal y servirá de herramienta de supervisión para la efectiva protección de los derechos de los titulares.
DECRETA:
CAPÍTULO I
Disposiciones generales
Artículo 1°. Objeto. El presente decreto tiene como objeto reglamentar la información mínima que debe contener el Registro Nacional de Bases de Datos, creado por la Ley 1581 de 2012, así como los términos y condiciones bajo las cuales se deben inscribir en este los Responsables del Tratamiento. Artículo 2°. Ámbito de aplicación. Serán objeto de inscripción en el Registro Nacional de Bases de Datos, las bases de datos que contengan datos personales cuyo Tratamiento automatizado o manual se realice por personas naturales o jurídicas, de naturaleza pública o privada, en el territorio colombiano o fuera de él, en este último caso, siempre que al Responsable del Tratamiento o al Encargado del Tratamiento le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales. Lo anterior sin perjuicio de las excepciones previstas en el artículo 2° de la Ley 1581 de 2012. Artículo 3°. Deber de inscribir las bases de datos. El Responsable del Tratamiento debe inscribir en el Registro Nacional de Bases de Datos, de manera independiente, cada una de las bases de datos que contengan datos personales sujetos a Tratamiento. Artículo 4°. Consulta del Registro Nacional de Bases de Datos. Los ciudadanos podrán consultar en el Registro Nacional de Bases de Datos, la información mínima prevista en el artículo 5° del presente decreto con el fin de facilitar el ejercicio de sus derechos a conocer, actualizar, rectificar, suprimir el dato y/o revocar la autorización.
41
CAPÍTULO II
Del Registro Nacional de Bases de Datos Artículo 5°. Información mínima del Registro Nacional de Bases de Datos. La información mínima que debe contener el Registro Nacional de Bases de Datos es la siguiente: 1. Datos de identificación, ubicación y contacto del Responsable del
Tratamiento de la base de datos. 2. Datos de identificación, ubicación y contacto del o de los Encargados
del Tratamiento de la base de datos. 3. Canales para que los titulares ejerzan sus derechos. 4. Nombre y finalidad de la base de datos. 5. Forma de Tratamiento de la base de datos (manual y/o
automatizada), y 6. Política de Tratamiento de la información. La Superintendencia de Industria y Comercio, como autoridad de protección de datos personales, podrá establecer dentro del Registro Nacional de Bases de Datos información adicional a la mínima prevista en este artículo, acorde con las facultades que le atribuyó la Ley 1581 de 2012 en el literal h) del artículo 21. Artículo 6°. Responsable del Tratamiento de la base de datos. Cuando el Responsable del Tratamiento de la base de datos sea una persona jurídica, deberá indicar su denominación o Razón Social y su número de identificación tributaria, así como sus datos de ubicación y contacto. Cuando el Responsable del Tratamiento sea una persona natural, inscribirá sus datos de identificación, ubicación y contacto. Artículo 7°. Encargado del Tratamiento de la Base de Datos. Cuando el Encargado o los Encargados del Tratamiento de la Base de Datos sean o sea una persona jurídica, el Responsable del Tratamiento deberá indicar en el Registro Nacional de Bases de Datos la denominación o razón social completa y el número de identificación tributaria de dicho Encargado o Encargados, así como sus datos de ubicación y contacto. Cuando el o los Encargados del Tratamiento sean o sea una persona natural, se inscribirán sus datos de identificación, ubicación y contacto.
42
Artículo 8°. Canales para ejercer derechos. Son los medios de recepción y atención de peticiones, consultas y reclamos que el Responsable del Tratamiento y el Encargado del Tratamiento deben poner a disposición de los titulares de la información, con los datos de contacto respectivos, por medio de los cuales el titular puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir sus datos personales contenidos en bases de datos y revocar la autorización que haya otorgado para el Tratamiento de los mismos, cuando esto sea posible. Estos canales deben prever, por lo menos, la posibilidad de que el titular ejerza sus derechos a través del mismo medio por el cual fue recogida su información, dejando constancia de la recepción y trámite de la respectiva solicitud. En los casos en los que el Tratamiento de datos lo realice el Encargado, el Responsable del Tratamiento registrará la información de contacto del Encargado para que el titular pueda adelantar ante este el ejercicio de sus derechos, sin perjuicio de la posibilidad que tiene de acudir directamente al Responsable del Tratamiento. Artículo 9°. Nombre y finalidad de la base de datos. El Responsable del Tratamiento identificará cada una de las bases de datos que inscriba, de acuerdo con la finalidad para la cual fue creada. Artículo 10. Formas de Tratamiento. Los datos personales contenidos en bases de datos podrán ser tratados de manera automatizada o manual. Son bases de datos manuales los archivos cuya información se encuentra organizada y almacenada de manera física y bases de datos automatizadas aquellas que se almacenan y administran con la ayuda de herramientas informáticas. Artículo 11. Política de Tratamiento de la información. La inscripción de la política de Tratamiento de la información en el Registro Nacional de Bases de Datos no exime al Responsable del Tratamiento de su deber de ponerla en conocimiento de los titulares. La información mínima que debe contener dicha política corresponde a la prevista en el artículo 13 del Decreto número 1377 de 2013.
CAPÍTULO III
Términos y condiciones de inscripción en el Registro Nacional de Bases de Datos
Artículo 12. Plazo de inscripción. Los Responsables del Tratamiento deberán inscribir sus bases de datos en el Registro Nacional de Bases
43
de Datos dentro del año siguiente a la fecha en que la Superintendencia de Industria y Comercio habilite dicho registro, de acuerdo con las instrucciones que para el efecto imparta esa entidad. Las bases de Datos que se creen con posterioridad a ese plazo, deberán inscribirse dentro de los dos (2) meses siguientes, contados a partir de su creación. Artículo 13. Inscripción de las Bases de Datos. La Superintendencia de Industria y Comercio establecerá el procedimiento de inscripción en el Registro Nacional de Bases de Datos que deberán cumplir los Responsables del Tratamiento, previa validación de su identidad, de acuerdo con lo que para el efecto establezca esa entidad. Artículo 14. Actualización de la información contenida en el Registro Nacional de Bases de Datos. Los Responsables del Tratamiento de las bases de datos deberán actualizar en el Registro Nacional de Bases de Datos la información inscrita cuando haya cambios sustanciales, según sean definidos por la Superintendencia de Industria y Comercio. Artículo 15. Facultad Sancionatoria de la Superintendencia de Industria y Comercio. La facultad sancionatoria le corresponde a la Superintendencia de Industria y Comercio, cuando se incumpla la Ley 1581 de 2012. Artículo 16. Vigencia. El presente decreto rige a partir de su fecha de publicación en el Diario Oficial.
Publíquese y cúmplase.
Dado en Bogotá, D. C., al 13 de mayo de 2014.
JUAN MANUEL SANTOS CALDERÓN
El Ministro de Comercio, Industria y Turismo,
SANTIAGO ROJAS ARROYO.
El Ministro de Tecnologías de la Información y las Comunicaciones, DIEGO MOLANO VEGA.
44
Ministerio de Comercio, Industria y Turismo
Decreto 1759 del 8 de noviembre de 2016
Por el cual se modifica el artículo 2.2.2.26.3.1
del Decreto 1074 de 2015- Decreto Único Reglamentario del Sector Comercio, Industria y Turismo –
EL PRESIDENTE DE LA REPÚBLICA DE
COLOMBIA
En ejercicio de sus facultades constitucionales y legales, en especial, las conferidas en el numeral 11 del artículo 189 de la Constitución Política, y
CONSIDERANDO
Que el artículo 2.2.2.26.3.1 del Decreto 1074 de 2015 establece un plazo de inscripción, según el cual los responsables del tratamiento de la información personal deben inscribir sus bases de datos en el Registro Nacional de Bases de Datos dentro del año siguiente a la fecha en que la Superintendencia de Industria y Comercio habilite dicho registro, de acuerdo con las instrucciones que para el efecto imparta esa entidad. Que en atención a las múltiples solicitudes recibidas en la Superintendencia de Industria y Comercio, entidad que tiene a cargo la administración del Registro Nacional de Bases de Datos creado por Ley Estatutaria 1581 de 2012, "por la cual se dictan disposiciones generales para la protección de datos personales", se advierte la necesidad de modificar el plazo establecido para que los responsables del tratamiento de la información personal inscriban sus bases de datos en dicho registro, con el fin de aumentar la divulgación y socialización de esta obligación legal y garantizar un alto grado de cumplimiento de la citada disposición entre los destinatarios de la norma. Que, en consecuencia, se hace necesario modificar el término de un (1) año previsto en el artículo 2.2.2.26.3.1 del Decreto 1074 de 2015. Que las normas de que trata el presente Decreto fueron publicadas de conformidad con lo dispuesto en el artículo 8 de la Ley 1437 de 2011 por el término de cinco (5) días para consulta pública.
45
DECRETA: Artículo 1. Modifíquese el artículo 2.2.2.26.3.1 del Decreto 1074 de 2015 - Decreto Único Reglamentario del Sector Comercio, Industria y Turismo, el cual quedará así: "Artículo 2.2.2.26.3.1. Plazo de inscripción. La inscripción de las bases de datos en el Registro Nacional de Bases de Datos se llevará a cabo en los siguientes plazos:
a) Los Responsables del Tratamiento, personas jurídicas de naturaleza privada y sociedades de economía mixta inscritas en las cámaras de comercio del país, deberán realizar la referida inscripción a más tardar el treinta (30) de junio de 2017, de acuerdo con las instrucciones que para el efecto imparta la Superintendencia de Industria y Comercio.
b) Los Responsables del Tratamiento, personas naturales, entidades de naturaleza pública distintas de las sociedades de economía mixta y personas jurídicas de naturaleza privada que no están inscritas en las cámaras de comercio, deberán inscribir sus bases de datos en el Registro Nacional de Bases de Datos a más tardar el treinta (30) de junio de 2018, conforme con las instrucciones impartidas para tales efectos por la Superintendencia de Industria y Comercio.
Las bases de datos que se creen con posterioridad al vencimiento de los plazos referidos en los literales a) y b) del presente artículo, deberán inscribirse dentro de los dos (2) meses siguientes, contados a partir de su creación". Artículo 2. Vigencias y derogatorias. El presente Decreto rige a partir de su publicación y deroga todas las disposiciones que le sean contrarias.
PUBLÍQUESE Y CÚMPLASE
8 de Noviembre de 2016
Dado en Bogotá, D. C.
LA MINISTRA DE COMERCIO, INDUSTRIA Y TURISMO,
MARÍA CLAUDIA LACOUTURE PINEDO.
46
2. POLÍTICAS INTERNAS
Resolución Rectoral No. 32 del 22 de septiembre de 2016
Por medio de la cual se determinan las Políticas de Tratamiento de Datos Personales de los titulares en la Universidad Católica Luis Amigó.
El RECTOR GENERAL DE LA UNIVERSIDAD CATÓLICA LUIS AMIGÓ, en
ejercicio de sus atribuciones legales y estatutarias, y
CONSIDERANDO QUE: PRIMERO. En cumplimiento de la Ley 1581 de 2012 y su Decreto Reglamentario 1377 de 2013, la Funlam debe adoptar una Política del Tratamiento de los Datos Personales, la cual será informada a todos los titulares de los datos recolectados o que lleguen a obtenerse en el ejercicio de actividades laborales, comerciales, culturales y académicas, entre otras. SEGUNDO. En razón de lo anterior, la Funlam debe garantizar el respeto de los derechos de los titulares de datos personales, lo cual vincula la privacidad, la intimidad, el honor y el buen nombre, en concordancia con la autonomía universitaria, para el tratamiento de los datos personales. TERCERO. Es un derecho de todas las personas vinculadas con la Funlam y que lleguen a suministrar cualquier tipo de información o dato personal, que éstas puedan ser conocidas, actualizadas y rectificadas. CUARTO. El derecho a la intimidad tiene un marco legal en el Artículo 15 de la Constitución Política, las Leyes 1266 de 2008 y la 1581 de 2012, los Decretos Reglamentarios 1727 de 2009, 2952 de 2010 y 1377 de 2013. Sentencias C-1011 de 2008 y C-748 de 2011, entre otras. QUINTO. Es menester, de acuerdo con la legislación vigente, fijar las Políticas de Tratamiento de Datos Personales de sus titulares en la Funlam, la cual será de imperativo cumplimiento, en concordancia con las normas superiores.
RESUELVE:
Determinar las siguientes Políticas para el Tratamiento de los Datos Personales de sus titulares en la Funlam, lo cual será regido por las siguientes cláusulas: PRIMERO. Identificación: la Universidad Católica Luis Amigó, en adelante la Funlam, es una Institución de Educación Superior creada y dirigida por la
47
Congregación de Religiosos Terciarios Capuchinos, Provincia de San José, con domicilio principal en la ciudad de Medellín, extensiones de programas en Centros Regionales y con la posibilidad de crear seccionales en cualquier parte del País, conforme a lo prescrito en el Estatuto General. Direcciones:
• Medellín. Transversal 51A No. 67B-90 • Apartadó. Calle 74 No. 97 – 95 Zona Sur - Barrio La Navarra. Urabá • Bogotá. Avenida Suba. No. 128A -51 • Montería. Calle 64 No 6-108. Barrio Los Alcázares. • Manizales. Carrera 22 No. 67A - 49. • Cali. Carrera 116 No. 25-50 vía a Jamundí, Km 2 (Colegio Sagrado Corazón)
Valle del Lili.
Correo electrónico: [email protected] eléfono del responsable: (4) 448 76 66 Ext. 9570 SEGUNDO. Postulados del Tratamiento de datos personales: la Universidad Católica Luis Amigó protege los datos personales obtenidos, garantizando el respeto al derecho constitucional, al habeas data y derechos conexos en concordancia con la normatividad vigente. Esta Política fija los referentes para la obtención, recolección, uso, tratamiento, procesamiento, transferencia, intercambio y transmisión de datos personales y los compromisos que asume la Funlam y quienes sirven en ella para el tratamiento de la información personal obtenida en virtud de su actividad académica, laboral, comercial y cultural en donde la Institución actúa como responsable del trato de la misma. TERCERO. Ámbito de aplicación: la presente Política será aplicable a los datos personales registrados en las bases de datos de la Funlam cuyo titular sea una persona natural, con protección en todo el ámbito del territorio de la República de Colombia, en donde se hace presencia bien como seccionales, centros regionales, programas extendidos o centros de tutoría. CUARTO. Responsable de las bases de datos: la Funlam como Institución de Educación Superior, sin ánimo de lucro, con Personería Jurídica otorgada mediante Resolución MEN 17701 del 9 de noviembre de 1984, es quien actúa y es responsable de las bases de datos personales. QUINTO. Encargados del tratamiento de datos personales: para efectos de esta Política, la Funlam será la encargada del tratamiento de las bases de datos que tenga a su disposición. Sin embargo, en virtud de las relaciones contractuales, pueden existir personas naturales o jurídicas que administren las bases de datos
48
personales por encargo de la Institución, situación en la cual se certificará por parte de dichas personas el cumplimiento de las normas relativas al Tratamiento de Datos Personales y se suscribirá un acuerdo para compartir y tratar bases de datos personales, asumiendo las obligaciones que como ENCARGADO dispone la Ley 1581 de 2012, el Decreto 1377 de 2013, la Circular Externa 002 del 3 de noviembre de 2015 expedida por la Superintendencia de Industria y Comercio y demás normas concordantes con la materia. SEXTO. Oficial de tratamiento de datos: el Oficial de Tratamiento de Datos Personales y área responsable de la atención de peticiones, consultas y reclamos ante la cual el titular de los datos puede ejercer sus derechos: conocer, actualizar, rectificar, suprimir información y revocar la autorización de los datos personales es la Oficina de Comunicaciones y Relaciones Públicas, a quien se ha designado particularmente para cumplir esta responsabilidad. El titular podrá ejercer sus derechos mediante comunicación escrita o electrónica dirigida al E-mail: [email protected], para elevar sus consultas; así mismo, recibe solicitudes personalmente o vía correo en su sede en la transversal 51ª No. 67B-90, en la ciudad de Medellín y en el número telefónico (4) 448 76 66 ext. 9570. Esta área le dará trámite a la solicitud de conformidad con lo establecido por los Artículos 14 y 15 de la Ley 1581 de 2012 y Artículos 20 al 23 del Decreto 1377 de 2013. El ejercicio de los derechos de los titulares de los datos personales no podrá ejercerse si existe en curso una transacción comercial, terminada ésta se procederá a responder la solicitud. Lo anterior, siempre y cuando los datos personales no sean requeridos o necesarios para el cumplimiento de obligaciones de ley. SÉPTIMO. Aviso de Privacidad: la Funlam como Institución de Educación Superior, sin ánimo de lucro, con Personería Jurídica otorgada mediante Resolución MEN 17701 del 9 de noviembre de 1984, domiciliada en la ciudad de Medellín, ubicada en la dirección transversal 51ª No. 67B-90, en la ciudad de Medellín y en el número telefónico (4) 448 76 66, en su condición de responsable o encargado del tratamiento de datos de carácter personal obtenidos de sus usuarios, proveedores, contratistas, clientes y en general de todas las personas que hayan facilitado o que en el futuro faciliten sus datos personales, les informa que el tratamiento de datos personales bajo su custodia, se realiza con base en lo dispuesto por Ley 1581 de 2012, reglamentada por el Decreto 1377 de 2013, y que los titulares de datos personales contenidos en bases de datos de la Institución, pueden solicitar la suscripción, cancelación, corrección o actualización de los mismos, en los términos dispuestos por las normas aludidas, y de acuerdo con lo previsto en las POLÍTICAS DE PRIVACIDAD Y LEY DE PROTECCION DE DATOS PERSONALES, que puede ser consultado en el sitio web www.funlam.edu.co en el link Protección de datos personales.
49
En cumplimiento de dichas normas se han adoptado las medidas de tipo legal, técnicas y organizacionales necesarias para evitar la pérdida, acceso o alteración de los datos personales a los cuales da tratamiento, con el objetivo de garantizar la seguridad e integridad de los mismos. Los titulares de la información, a través de la autorización conferida para el efecto, aceptan de manera libre, expresa e inequívoca el tratamiento de sus datos personales por parte de la Institución para el cumplimiento del objeto de la prestación de servicios educativos y académicos, finalidades laborales, comerciales, investigativas, formativas o científicas e informativas. OCTAVO. Derecho de los titulares de los datos personales: son derechos de los titulares de los datos personales en la Funlam: a) Conocer, actualizar y rectificar sus datos personales frente a la Funlam. Este derecho se ejerce frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado. b) Ser informado por la Funlam, previa solicitud, respecto del uso que la Institución ha dado frente a sus datos personales. c) Presentar ante la autoridad competente las quejas por infracciones frente a lo dispuesto en la Ley. d) Revocar la autorización o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. Esto con excepción de los casos en que el titular tenga el deber legal o contractual de permanecer en las bases de datos del responsable o encargado. e) Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento. f) Solicitar prueba de la autorización otorgada a la Funlam, salvo cuando expresamente se exceptúe como requisito para el tratamiento de conformidad con lo previsto en el Artículo 10 de la Ley 1581 de 2012. g) Los derechos podrán ser ejercidos por: el titular, siempre que acredite su identidad; los causahabientes quienes deberán acreditar tal calidad; el Representante o Apoderado, previa acreditación del poder conferido u otros para el cual el titular hubiere estipulado acreditando la prueba respectiva. La Funlam conservará la prueba de la autorización otorgada por los titulares de los datos personales para su tratamiento, para lo cual utilizará los mecanismos disponibles a su alcance para mantener el registro de la forma y fecha en la que obtuvo ésta. Podrá establecer archivos físicos o repositores electrónicos con tal fin.
50
Los titulares de los datos personales pueden en cualquier momento revocar la autorización otorgada a la Funlam siempre que no lo impida una disposición legal o contractual. Para ello establecerá mecanismos ágiles que permitan la revocatoria o la solicitud de supresión de datos personales, al menos por el mismo medio por el que se otorgó. La revocatoria podrá ser total en relación con las finalidades autorizadas frente a lo cual la Funlam cesará cualquier actividad. Si fuere parcial cesarán las actividades de tratamiento solo para fines específicos, pudiendo continuar con su uso frente a otros propósitos con los cuales el titular no hubiese provocado su consentimiento. NOVENO. Tratamiento de datos personales de niños, niñas y adolescentes: la Universidad Católica Luis Amigó en cumplimiento de la Ley 1098 de 2006 sobre infancia y adolescencia, de la Ley 1581 de 2012 y de los derechos constitucionales de asociación y de información, reconoce que los menores de edad tienen la posibilidad de que éstos adquirieran la condición de usuarios de los productos y servicios de la Institución de Educación Superior, siempre y cuando actúen a través de o debidamente representados por sus padres o por quienes tengan la patria potestad del menor o su representación legal, previo ejercicio del menor de su derecho a ser escuchado, opinión que debe ser valorada teniendo en cuenta la madurez, autonomía y capacidad para atender el asunto. La Funlam asume la obligación de respetar y brindar las garantías para que los menores de edad, que tengan la condición de usuarios puedan ejercer su derecho de libertad de expresión, de libre desarrollo de la personalidad y de información, como lo consagra la Ley 1098 de 2006. En cumplimiento de la normatividad colombiana respecto a menores de edad y del proceder responsable a que está obligada la Funlam, para con la sociedad, asume los siguientes compromisos: a) Excluir del sistema de información a cualquier persona menor de edad, que haya afirmado tener una edad superior a está, en el momento de registrarse como usuario. b) Dar a conocer a las autoridades de cualquier situación delictiva de la que tenga conocimiento que ponga en peligro la integridad de un menor de edad. Para ello brindará toda la colaboración que requieran los órganos de seguridad del Estado. DÉCIMO. Autorizaciones del titular de datos personales: es necesario el consentimiento libre, previo, expreso e informado del titular de los datos personales para el tratamiento de los mismos, salvo los casos que estén expresamente autorizados en la ley como la información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial, los datos
51
de naturaleza pública, los casos de urgencia médica o sanitaria y el tratamiento de información autorizado por ley para fines históricos, estadísticos o científicos. Se entenderá que la autorización cumple con los requisitos legales cuando el titular lo manifieste por escrito, de forma oral o mediante conductas inequívocas del titular, que permitan concluir de forma razonable que otorgó la autorización, ello ocurre cuando proporciona los datos a través de los canales, software. El portal web, puntos de atención incluyendo conmutador, o cuando adquiere, se afilia o usa cualquiera de nuestros productos o servicios. La Funlam conservará las pruebas de la autorización otorgada por los titulares de datos personales para el tratamiento de los mismos conforme al Artículo 8, Decreto 1377 de 2013. DÉCIMO PRIMERO. Tratamiento al cual serán sometidos los datos y finalidad del mismo: los tratamientos de los datos personales de las personas vinculadas con la Funlam por relaciones académicas, culturales, comerciales, laborales de investigación, informativos o de otra índole tendrán las siguientes finalidades:
a) Envío de información relacionada con actividades desarrolladas por la Funlam, noticias, oferta de bienes y servicios.
b) Desarrollar la visión y principios filosóficos conforme a sus Estatutos.
c) Cumplir con la normatividad vigente en Colombia para las Instituciones de
Educación Superior, en ejercicio de las funciones de inspección y vigilancia o para el logro de los cometidos de calidad como la obtención de Registros Calificados, acreditación de programas, acreditación institucional, certificación del sistema de calidad, acreditación internacional, entre otras.
d) Cumplir las normas aplicables a proveedores, contratistas, dependientes,
que impliquen una comunicación o solicitud de información, dentro del marco del derecho común como pueden ser: las normas tributarias, comerciales, laborales, de seguridad social, entre otras.
e) Realizar encuestas de satisfacción o de expectativas de servicio que llegare
a ofertar la Funlam.
f) Mantener un contacto permanente con las personas que han tenido algún tipo de vinculación con la Funlam que pueda generar algún interés.
g) Informar sobre situaciones que requieran información oportuna para lograr
un propósito, entre otros.
52
h) Fomentar y desarrollar labores de corte investigativo, académico y docente en todos los campos.
i) La información recolectada por medios de grabación y biométricos se utilizará
con fines de seguridad de las personas, los bienes e instalaciones y de generar la trazabilidad de sus procesos académicos y administrativos, pudiendo ser empleada también como medio de prueba idóneo en cualquier evento litigioso ante cualquier autoridad judicial y administrativa.
De igual manera, y en sentido general, los titulares autorizan a la Universidad Católica Luis Amigó el tratamiento de sus datos personales para ejecutar y cumplir los contratos, acuerdos y convenios destinados a la prestación de servicios y al giro ordinario de los negocios de la Institución. Los datos suministrados por estudiantes, colaboradores, prestadores, socios y demás usuarios de la Funlam, podrán ser compartidos con otras empresas para fines comerciales o contractuales, salvo revocatoria expresa del titular de los datos, previa certificación por parte de dichas empresas del cumplimiento de las normas relativas al Tratamiento de Datos Personales y la suscripción de un acuerdo para compartir y tratar bases de datos personales. DÉCIMO SEGUNDO. Procedimientos: la Funlam en el tratamiento de datos personales, define los siguientes procedimientos, los cuales sólo pueden ser ejercidos por el titular de los datos, sus causahabientes o representantes. LITERAL A. Procedimiento para el ejercicio del derecho de los titulares de los datos personales. Para el ejercicio de sus derechos, el titular o sus representantes suministraran al menos la siguiente información:
Fecha de Radicación: ____________________________
Nombre completo del titular: _________________________________
Tipo de Identificación: CC ____ CE:____ Pasaporte:________
Número de Identificación: ___________________________________
Dirección:_______________________________________________
Teléfono: ____________________________________
Correo electrónico: _______________________________________
Tipo de Operación solicitada: Consulta de datos __ Corrección __
Actualización __ Supresión __ Revocatoria __
Descripción de los hechos que dan lugar a la solicitud:
53
Desea adjuntar algún documento que demuestre la solicitud anterior:
___________________________________
Firma
LITERAL B. Procedimiento para consulta sobre el tratamiento de datos personales. La Funlam pone a disposición de los titulares de los datos el correo electrónico [email protected], para elevar sus consultas; así mismo, recibe solicitudes personalmente o vía correo en su sede en la transversal 51ª No. 67B-90, en la ciudad de Medellín y en el número telefónico (4) 448 76 66 ext. 9570. En la solicitud el titular indicará los datos señalados en Procedimiento para el ejercicio del derecho de los titulares de los datos personales. LITERAL C. Procedimiento para corrección, actualización, rectificación o supresión de datos personales. La Funlam en cumplimiento de lo preceptuado por el régimen General de Protección de Datos Personales de Colombia, procederá a corregir, actualizar, rectificar o suprimir los datos personales a solicitud del titular o su representante, con el lleno de los datos señalados en Procedimiento para el ejercicio del derecho de los titulares de los datos personales. Si la solicitud resulta incompleta, la Funlam, requerirá al interesado dentro de los cinco (5) días hábiles siguientes la fecha de su recepción, para que subsane las fallas. La información requerida debe ser presentada por el solicitante dentro de los dos (2) meses siguientes al requerimiento; si no lo hace se entenderá que ha desistido del reclamo. El término máximo que tiene la Funlam para atender la solicitud, es de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo en debida forma. Cuando no fuere posible atender la solicitud dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su solicitud, la cual no podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término. Podrá haber suspensión de terminar por períodos de vacaciones colectivas.
54
Parágrafo. No podrá concederse la supresión de los datos personales por solicitud realizada por el titular o su representante, cuando exista un deber legal o contractual para que los datos personales permanezcan en la respectiva base de datos. LITERAL D. Procedimiento para revocar la autorización dada para el tratamiento de datos personales. El titular de los datos personales o su representante, puede revocar la autorización dada para el tratamiento de sus datos personales, remitiendo la solicitud a la Funlam conforme el Procedimiento para el ejercicio del derecho de los titulares de los datos personales. La Funlam elimina o suprime el dato dentro de los quince (15) días hábiles siguientes a la solicitud. De lo contrario, el titular, tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización. DÉCIMO TERCERO. Uso y circulación de la información en la Funlam: en la Universidad Católica Luis Amigó no se darán cambios substanciales en la forma de gestionar los datos personales ya que, por principio, garantizará la privacidad y su correcta administración. La Funlam adopta las medidas técnicas, humanas y administrativas indispensables para garantizar la seguridad de la información, de tal forma que se evite su modificación o consulta no autorizada. Los colaboradores o servidores de la Funlam deben cumplir lo establecido en esta Política al interior de la institución educativa y no podrán acceder a información con fines personales o de interés particular, ni ceder, transmitir o trasladar a terceros información que ponga en riesgo la privacidad de las personas. Del mismo modo, deberán garantizar el respeto de las leyes vigentes, de manera integral. DÉCIMO CUARTO. Videos de vigilancia y grabación de voz: en la Funlam se encuentran diferentes medios de videos de vigilancia y grabación de voz en las llamadas que ingresen a las líneas telefónicas que la Institución podrá utilizar para la seguridad de la comunidad universitaria y de los interesados en obtener información sobre sus servicios. DÉCIMO QUINTO. Tratamiento, transmisión y transferencia internacional de datos personales por parte de la Funlam: dadas las relaciones que tiene cualquier titular de datos personales con la Universidad Católica Luis Amigó, la totalidad de su información puede ser transferida al exterior cumpliendo con la normatividad que se exija para el caso. El titular de datos personales acepta esta Política y autoriza expresamente a la Funlam para transferir la información, obligándose ésta a mantener la confidencialidad de la misma y adoptando los mecanismos necesarios para que terceros que reciben la información observen la presente Política y la utilicen de manera exclusiva para asuntos directamente relacionados con el vínculo que sostienen con la Funlam, sin que pueda ser usada para fines diferentes.
55
La Funlam también podrá intercambiar información personal con autoridades gubernamentales o públicas de otro tipo (autoridades judiciales o administrativas, autoridades fiscales y organismos de investigación penal, civil, administrativa, disciplinaria, fiscal, entre otras). También podrá hacerlo con terceros participantes en procedimientos legales civiles y sus contadores, auditores, abogados y otros asesores y representantes en cuanto sea necesario o apropiado para cumplir con las leyes vigentes, incluidas las leyes distintas a las de su país de residencia, para cumplir con procesos jurídicos, para responder las solicitudes de las entidades públicas y del gobierno y para responder las solicitudes de las entidades públicas y del gobierno distintas a las de su país de residencia, para hacer cumplir nuestros términos y condiciones, para proteger sus operaciones, para proteger sus derechos, privacidad, seguridad o propiedad, los suyos o los de terceros y obtener las indemnizaciones aplicables o limitar los daños y perjuicios que nos puedan afectar. DÉCIMO SEXTO. Derogatoria y Vigencia: las presentes Políticas rigen a partir de la fecha y serán difundidas por los medios habituales de comunicación, tanto electrónicos como digitales e impresos. Deroga la Resolución Rectoral No. 20 del 1º de octubre de 2015. Será de obligatorio acatamiento para todos los que conforman la comunidad educativa de la UNIVERSIDAD CATÓLICA LUIS AMIGÓ, tanto en su domicilio principal como en sus Centros Regionales, Centros de Tutoría y futuras seccionales.
COMUNÍQUESE Y CÚMPLASE
Dado en Medellín a los veintidós (22) días del mes de septiembre (09) del año dos mil dieciséis (2016). EL RECTOR GENERAL Padre JOSÉ WILMAR SÁNCHEZ DUQUE EL SECRETARIO GENERAL FRANCISCO JAVIER ACOSTA GÓMEZ
56
Comunicado 038
Oficial de Tratamiento de Datos y Guardianes de Datos
UNIVERSIDAD CATÓLICA LUIS AMIGÓ
Secretaría General
Oficina de Comunicaciones y Relaciones Públicas
Mediante Resolución Rectoral No. 32 del 22 de septiembre de 2016, se implementaron nuevas Políticas de Tratamiento de Datos y Privacidad en la Funlam. Dicha disposición deroga expresamente la Resolución Rectoral No. 20 del 1 de octubre de 2015. Dentro del funcionamiento del sistema de protección de datos, el señor Rector General asignó como Oficial de Tratamiento de Datos al Administrador de Empresas y Magíster Carlos Hernando Zapata Sepúlveda, el cual operará desde la Oficina de Comunicaciones y Relaciones Públicas y con el e-mail: [email protected] Responsabilidades del Oficial de Datos
- Implementar las Políticas de Tratamiento de Datos de la Funlam.
- Administrar las bases de datos existentes.
- Mantener actualizadas las bases de datos (control de ingresos y
egresos).
- Reportar la existencia de las bases de datos y las modificaciones ante la SIC.
- Recibir las solicitudes de consulta y reclamo en lo relacionado con el
tratamiento de datos.
- Realizar gestión, con las unidades respectivas, para dar respuesta a las consultas o reclamos.
- Dar respuesta a las consultas o reclamos. (Para este punto es
importante tener en cuenta los plazos, así: i) Consulta: 10 días
57
hábiles, que se pueden extender por cinco días más, informando al usuario; ii) Reclamo: 12 días, con extensión de 8).
- Tener contacto con la SIC frente a requerimientos.
- Monitorear el sistema (control sobre las bases de datos) y hacer la
trazabilidad de la información frente al uso que realiza el responsable o el tercero cuando actúa como encargado.
- Controlar todos los documentos de la Funlam, para verificar la
necesidad de su tratamiento. (En este punto, y reconociendo que las unidades tienen formatos particulares, que no se controlan, se indica que todo documento debe pasar tanto por el Sistema de Gestión por Procesos, como por el oficial de tratamiento de datos).
- Reportar los incidentes ante la SIC.
- Generar y realizar seguimiento a los reportes que exige la SIC.
- Sensibilizar permanentemente a la comunidad institucional en lo
relacionado con el tratamiento de datos. Para esto, es importante tener como estrategias la inducción (personal nuevo, que como requisito deberá capacitarse en el tema, y tener su certificado como aval), y la reinducción (personal antiguo, que debe estar enterado de los cambios en la normatividad y demás información que es dinámica).
- Diseñar los protocolos de la administración de los datos.
- Otras que por su naturaleza sean inherentes al cargo.
Guardianes de datos de las diferentes unidades
Dentro del plan de implementar el Sistema de Protección de Datos de la Funlam, es menester asignar personas que se designarán como Guardianes de Datos en las diferentes unidades, las cuales tendrán la función de proteger la información y establecer los canales de comunicación con el Oficial de Datos, con el propósito de que la información que repose se utilice con base en las finalidades previamente establecidas y autorizadas por los titulares y se respete en todo caso, la reserva y privacidad de la información. Se han designado los siguientes Guardianes de Datos, los cuales tendrán una primera capacitación el 30 de septiembre, entre las 14:00 y las 16:30 horas.
58
UNIDAD: Rectoría General Martha Lucía Betancur Estrada, Secretaria. UNIDAD: Vicerrectoría de Investigaciones Paula Andrea Mafla Sánchez, Secretaria. UNIDAD: Fondo Editorial Luisa Fernanda Córdoba Quintero, Asistente Editorial. UNIDAD: Dirección de Extensión y Servicios a la Comunidad Karen Dayana Marín Marín, Secretaria. UNIDAD: Secretaría General y Vicerrectoría Académica Isabel Torres Lara, Secretaria. UNIDAD: Departamento de Gestión Humana Diana Isabel Arias Arango, Profesional en Gestión Humana. UNIDAD: Cooperación Institucional y Relaciones Internacionales OCRI Francedith del Socorro Betancur Atehortúa, Coordinadora. UNIDAD: Oficina de Comunicaciones y Relaciones Públicas Luz Mery Cardona Sánchez, Secretaria. Luis Andrés Rivera Delgado, Web Máster. UNIDAD: Oficina de Mercadeo y Publicidad Lina María Posada Martínez, Auxiliar de Mercado. UNIDAD: Oficina de Administración de Documentos Zulima Stella Restrepo Henao, Coordinadora. UNIDAD: Dirección de Planeación Deicy Carolina Correa Lopera, Secretaria. Diego Alejandro Pérez Múnera, Asistente Dirección de Planeación. Daniel Felipe Maya Lopera, Profesional Dirección de Planeación. Aleida Cecilia Hernández Rojas, Analista de Soporte SUI. Juan David Trujillo Jaramillo, Auxiliar de Sistemas. UNIDAD: Dirección de Bienestar Universitario Mayra Vanesa Rodríguez Ramírez, Secretaria.
Luz Bibiana Botero González, Técnico Auxiliar de Enfermería (archivos de salud).
Johan Adolfo Escobar García, Profesional Permanencia con Calidad.
59
UNIDAD: Vicerrectoría Administrativa y Financiera Sor Eugenia Jiménez Ortiz, Asistente. UNIDAD: Oficina de Relaciones Laborales Angélica María Jaramillo Hernández, Secretaria. UNIDAD: Almacén, Compras y Proveeduría Deyci Beatriz Trejos Castrillón, Auxiliar Administrativa. UNIDAD: Departamento de Servicios Generales Ángel de Jesús Ospina Salazar, Coordinador (fotovideo). UNIDAD: Departamento de Contabilidad, Costos y Presupuestos Astrid Elena Puerta Mejía, Auxiliar Contable. UNIDAD: Departamento de Tesorería Luz Marly Alzate Grajales, Auxiliar de Tesorería. UNIDAD: Escuela de Posgrados Mary Isabel Quiroz Loaiza, Secretaria. UNIDAD: Departamento de Biblioteca Liliana María Zapata Villa, Asistente. UNIDAD: Departamento de Admisiones y Registro Académico Erica María Tobón Taborda, Auxiliar. UNIDAD: Facultad de Educación y Humanidades María Victoria Herrera Vanegas, Secretaria. UNIDAD: Facultad de Derecho y Ciencias Políticas Liliana María Arango Marín, Secretaria. Yuliana María Palacio Agudelo, Secretaria (datos Consultorio
Jurídico). UNIDAD: Facultad de Comunicación, Publicidad y Diseño Gloria Isabel Restrepo Gallego, Secretaria. UNIDAD: Facultad de Psicología y Ciencias Sociales Alejandra María Ramírez Vélez, Secretaria. Cindy Johanna Navarro Restrepo, Profesional (datos Laboratorio). UNIDAD: Facultad de Ciencias Administrativas, Económicas y Contables Giovanna Díaz Gañan, Secretaria.
60
UNIDAD: Facultad de Ingenierías y Arquitectura Mavell Cecilia Ospina Abuchaibe. UNIDAD: Departamento de Educación Virtual y a Distancia Yesid Felipe Tapias Medina, Auxiliar. Total Guardianes de Datos Medellín: 37
CENTROS REGIONALES
En los Centros Regionales también fungirán como Guardianes de Datos los Directores, con el fin de que tengan control total de la protección de datos en la respectiva sede. UNIDAD: Centro Regional Apartadó Maryory Barrera Becerra, Directora. María Dionis Flórez Jaramillo, Secretaria Auxiliar. Andry Jasney Angulo Beytar, Auxiliar Administrativa. Yessy Paola Palacio Hernández, Auxiliar de Sistemas. Total: 4 UNIDAD: Centro Regional Bogotá Fernando Alape Benítez, Director. Luz Estella Huertas Montoya, Secretaria. Total: 2 UNIDAD: Centro Regional Manizales Hernán Robledo Giraldo, Director. Adriana Mejía Bermúdez, Coordinadora de Bienestar y Extensión.
Manuela Osorio Soto, Auxiliar Administrativa (datos Consultorio Jurídico).
Inés Yazo Vargas, Secretaria. Diana Carolina Usma Osorio, Auxiliar de Mercadeo. Total: 5 UNIDAD: Centro Regional Montería Víctor Antonio Terán Reales, Director. Martha Lucía Villadiego Yañez, Coordinadora de Bienestar. Lesvia Bernarda Madera Páez, Secretaria. Arly Alfonsina Luna Porttnoy, Secretaria. Katia Rocío Causil Polo, Auxiliar de Mercadeo. Total: 5
61
Total Guardianes de Datos Centros Regionales: 16. Total Guardianes de Datos País: 53.
Comunicado 040
UNIVERSIDAD CATÓLICA LUIS AMIGÓ
Secretaría General
Responsabilidades de los Guardianes de Datos Personales
Dentro del plan de implementación de las Políticas de Tratamiento de Datos Personales en la Funlam, se ha identificado la conveniencia de designar personas que cumplirán el papel de Guardianes de Datos en las diferentes unidades de la Institución, los cuales desarrollarán un canal de comunicación fluido con el Oficial de Tratamiento de Datos, con el propósito de otorgar la protección necesaria a los Datos Personales que se encuentren a su disposición y garantizar el cumplimiento y el respeto de las Políticas de Tratamiento de Datos Personales establecidas por la Institución. Pese a que la Ley General de tratamiento de datos y su decreto reglamentario no consignan la figura del guardián de datos personales, la Funlam cumpliendo con la debida diligencia y la responsabilidad en el tratamiento de datos personales, adopta esta figura y la considera “como la persona natural al interior de la Institución que coadyuva en su área de trabajo con la labor que desarrolla el Oficial de Tratamiento de Datos Personales. Será el primer respondiente en el cuidado, custodia, administración de los datos personales y garante de los derechos de los titulares en su área de trabajo”. Las responsabilidades asignadas son las siguientes:
1. Identificar las bases de datos existentes en su área específica y garantizar el correcto manejo de las mismas, ajustadas a las finalidades determinadas en la Política de Tratamiento de Datos.
2. Garantizar la Seguridad de la Información de acuerdo con la clasificación
y niveles de acceso definidos por el Oficial de Tratamiento de Datos al interior de su unidad.
62
3. Gestionar el acompañamiento necesario a los ejercicios de sensibilización permanente al interior de su área en el manejo de datos personales.
4. Vigilar en su área correspondiente el cumplimiento de las Políticas de
Tratamiento de Datos Personales. 5. Realizar las gestiones correspondientes para el diligenciamiento y
resolución de las solicitudes que en materia de Tratamientos de Datos Personales presenten los titulares y cuyo adelantamiento corresponda a su área, en coordinación permanente con el Oficial de Tratamiento de Datos.
6. Vigilar el cumplimiento estricto, desde su propia área, de los términos de
procedimiento dispuestos en las Políticas de Tratamiento de Datos Personales para la resolución de consultas y reclamos, con la coadyuvancia del Oficial de Tratamiento de Datos.
7. Reportar al Oficial de Tratamiento de Datos los incidentes de seguridad
que se presenten al interior de su área y que afecten las bases de datos a su disposición.
8. Llevar el registro de los reclamos realizados por los titulares de datos del
área respectiva, asegurar su resolución y guardar las evidencias correspondientes ante cualquier reclamación futura o supervisión por parte del ente de vigilancia.
9. Capacitarse permanentemente en materia de protección de datos, en las
jornadas que para ello establezca la Institución. 10. Presentar informe sobre el tratamiento de datos de su área en los términos
que lo requiera el Oficial de Datos para efectos de control en todos los niveles de la Institución.
11. Las demás que se asignen en razón de sus responsabilidades dentro de
los reglamentos, políticas, procedimientos de la Institución y la normatividad vigente.
63
Resolución Rectoral No. 54 del 15 de diciembre de 2016
SEGURIDAD DE LA INFORMACIÓN
Por medio de la cual se establecen las Políticas de Seguridad de la Información y otros asuntos derivados para su adecuada implementación y
mejoramiento.
EL RECTOR GENERAL DE LA UNIVERSIDAD CATÓLICA LUIS AMIGÓ, en uso de sus atribuciones legales y estatutarias, y
CONSIDERANDO QUE:
PRIMERO. En cumplimiento de la Ley 1581 de 2012 y su Decreto Reglamentario 1377 de 2013, la Funlam adoptó la Resolución Rectoral No. 32 de 2016 de 22 de septiembre de 2016 la cual, para su integral adopción requiere de una Política de Seguridad de la Información. SEGUNDO. En la Universidad Católica Luis Amigó –Funlam- se debe garantizar la transparencia y solidez en el uso, tratamiento, generación y custodia de la información, que le permita desarrollar las funciones sustantivas propias de su misión y dar fe pública del contenido e integridad de la misma. TERCERO. En la Funlam, se debe facilitar la modificación, actualización, acceso, apropiación y uso de la información de manera controlada en todos sus estamentos según su rol, debido a que es un bien necesario para el cumplimiento de su misión y visión; esto, al ponerse a disposición de la comunidad académica, requiere una adecuada gestión del riesgo informático y de fomentar una cultura de seguridad, frente a su vulnerabilidad inherente. CUARTO. Con el transcurrir de los avances tecnológicos y de las necesidades del mejoramiento permanente de la educación superior, la información se constituye en un bien de alto valor, que, de no contar con la seguridad adecuada, tendría muy alta probabilidad de que sea alterada, secuestrada, borrada o que se vulneren los sistemas y el servicio sea lento o inhabilitado parcial o totalmente, pudiendo afectar transitoriamente la continuidad de la Institución.
RESUELVE: Determinar las siguientes Políticas para la Seguridad de la Información, lo cual será regido por las siguientes cláusulas:
64
PRIMERO. Modelo de seguridad de la información: el modelo de seguridad de información en la Funlam, se basa en la gestión de los riesgos para identificar y minimizar las posibles fallas de seguridad a las que se expone la información, establecer una cultura de seguridad y garantizar el cumplimiento de los requerimientos legales, contractuales y regulatorios vigentes en la materia. El proceso de análisis de riesgos de los activos de información es el soporte para el desarrollo de las Políticas de Seguridad y su aplicación. En la Funlam, este modelo será liderado de manera permanente por la Dirección de Planeación. SEGUNDO. Términos y definiciones: para efectos de la aplicación de la presente Resolución aplíquense las siguientes definiciones: Comunidad Académica: es la conformada por los docentes, los estudiantes, los empleados y los graduados. Terceros: son los contratistas, proveedores, concesionarios, usuarios externos de los servicios de la Institución, pares académicos y auditores externos. TERCERO. Políticas generales de Seguridad de la Información: la Funlam ha establecido las siguientes Políticas de Seguridad de la Información, las cuales representan la visión de la Institución en cuanto a la protección de sus activos de información: 1. Existirá un Comité de Seguridad de la Información, que será el responsable de
la revisión y mejora, del Sistema de Gestión de Seguridad de la Información de la Funlam, de sus políticas y de sus reglamentos.
2. Los activos de información de la Funlam serán identificados y caracterizados
para establecer los mecanismos de protección necesarios. 3. La Funlam definirá e implantará controles procedimentales y tecnológicos para
proteger la información contra violaciones de autenticidad, accesos no autorizados, la perdida de integridad y que garanticen la disponibilidad requerida por los usuarios de los servicios ofrecidos por la Entidad.
4. La comunidad académica y los terceros serán responsables de proteger la
información a la cual accedan y procesen, para evitar su pérdida, alteración, destrucción o uso indebido.
5. Se realizarán auditorías y controles periódicos a la gestión de la seguridad de
la información de la Funlam.
65
6. Únicamente se permitirá el uso de software autorizado que haya sido adquirido legalmente por la Institución o que teniendo licencia libre tenga permiso de uso.
7. Los equipos que no sean de propiedad de la Funlam y se conecten a la red,
deberán cumplir con lo establecido en esta Política, de no hacerlo, los efectos derivados, serán responsabilidad de su dueño.
8. Es responsabilidad de todos los funcionarios y contratistas de la Funlam reportar
a la Dirección de Planeación, los incidentes de seguridad, eventos sospechosos y el mal uso de los recursos de información que se identifiquen.
9. Las violaciones a las Políticas y Controles de Seguridad de la Información serán
reportadas, registradas, monitoreadas y podrán ser objeto de sanción. 10. La Funlam contará con un Plan de Continuidad de la Institución que asegure su
funcionamiento y fortalecimiento, ante la ocurrencia de un riesgo. CUARTO. Comité de Seguridad de la Información: este comité está encargado de mantener y mejorar el sistema, sus Políticas y reglamentación. Estará compuesto de la siguiente manera: el Director de Planeación quien lo presidirá, el Oficial de Tratamiento de Datos, la Coordinadora del Departamento de Infraestructura y Desarrollo Tecnológico para la Educación, el Coordinador del SUI, la Coordinadora del Sistema de Gestión por Procesos y el Director del Programa de Ingeniería de Sistemas; además, podrá tener invitados con carácter temporal o permanente. El Comité se reunirá al menos una vez por mes y de cada reunión dejará constancia en actas, las cuales se enumerarán de manera secuencial año tras año. QUINTO. Acuerdos de confidencialidad: toda la Comunidad Académica de la Funlam y terceros deben aceptar los acuerdos de confidencialidad definidos por la Institución, los cuales reflejan los compromisos de protección y buen uso de la información de acuerdo con los criterios establecidos en ella. Para el caso de contratistas, los respectivos contratos deben incluir una cláusula de confidencialidad, de igual manera cuando se permita el acceso a la información y/o a los recursos de la Funlam a personas o entidades externas. Estos acuerdos deben aceptarse por cada uno de ellos como parte del proceso de contratación, razón por la cual dicha cláusula y/o acuerdo de confidencialidad hace parte integral de cada contrato.
66
Cuando se usen los canales de comunicación que pone a disposición la universidad debe contarse con la autorización expresa del autor para realizar cualquier intercambio o adquisición de información protegida por derechos de autor. SEXTO. Riesgos relacionados con terceros: la Funlam identifica los posibles riesgos que pueden generar el acceso, procesamiento, comunicación o gestión de la información y la infraestructura para su procesamiento por parte de los terceros, con el fin de establecer los mecanismos de control necesarios para que la seguridad se mantenga. Los controles que se establezcan como necesarios a partir del análisis de riesgos, deben ser comunicados y aceptados por el tercero mediante la firma de acuerdos, previo a la entrega de los accesos requeridos. SÉPTIMO. Uso adecuado de los activos y control de acceso: el acceso a los documentos físicos y digitales estará determinado por las normas relacionadas con el acceso y las restricciones a los documentos institucionales, según la competencia del área o dependencia específica y a los permisos y niveles de acceso de la comunidad académica y contratistas conforme a su labor y al fin específico de su requerimiento. Para la consulta de documentos cargados en el software de Gestión Documental, repositorios de información de autoevaluación o gestión, el Departamento de Gestión Humana establecerá privilegios de acceso a la comunidad académica y contratistas de acuerdo con el desarrollo de sus funciones, competencias y considerando los requerimientos de la unidad responsable de la información solicitada. La comunidad académica y los terceros que manipulen información en el desarrollo de sus funciones deberán firmar un “acuerdo de confidencialidad de la información”, donde individualmente se comprometan a no divulgar, usar o explotar la información confidencial a la que tengan acceso, respetando los niveles establecidos para la clasificación de la información; y que cualquier violación a lo estipulado en este parágrafo será considerado como un “incidente de seguridad”. El acceso a plataformas, aplicaciones, servicios y en general cualquier recurso de información de la Funlam debe ser asignado de acuerdo a la identificación previa de requerimientos de seguridad y funcionamiento que se definan por las diferentes dependencias de la Institución, así como normas legales o leyes aplicables a la protección de acceso a la información. Cualquier usuario interno o externo que requiera acceso remoto a la red y a la infraestructura de procesamiento de información de la Funlam, sea por Internet, acceso telefónico o por otro medio, siempre debe estar autenticado y sus conexiones deberán utilizar cifrado de datos.
67
OCTAVO. Acceso a redes de datos: la Funlam permite el uso controlado del internet y en general del acceso a redes de datos para el desarrollo de las actividades académicas y administrativas, por medio de equipos conectados por red cableada y con accesos por medio de red inalámbrica. Este servicio se debe controlar, verificar y monitorear, con el fin que sea aprovechado solo para los propósitos del cumplimiento de la misión de la Funlam, en el marco de la legislación vigente y el uso del mismo debe condicionarse a la aceptación de esto; cualquier utilización por fuera de ello, no está permitido y se regula con los siguientes lineamientos: En caso en que una unidad requiera un servicio específico, deberá tramitar su solicitud ante el Departamento de Infraestructura y Desarrollo Tecnológico para la Educación, quien validará si el acceso es requerido por necesidades del servicio. No está permitido conectar equipos que no sean de propiedad de la Funlam a la red cableada de la Institución, sin el permiso del Departamento de Infraestructura y Desarrollo Tecnológico para la Educación. Los datos y el software instalado en los equipos que no sean propiedad de la Funlam y que accedan a la red inalámbrica son responsabilidad de su propietario. La Funlam, puede establecer límites de uso, suspender el servicio o bloquear algunos comportamientos, acceso a ciertos servicios o dominios para proteger la red de fraudes, de actividades que no estén alineadas a los propósitos de la Institución o que atenten contra las leyes nacionales o internacionales. El acceso a la red Wifi se realizará por medio de un portal cautivo que validará el vínculo del usuario. A los terceros se les asignará clave de invitado. El usuario que se conecta por medio de la red institucional, debe tener cuidado al transmitir datos personales. La Funlam no se hará responsable al utilizar este servicio. NOVENO. Correo electrónico: la comunidad académica y los terceros autorizados a quienes la Funlam les asigne una cuenta de correo deberán seguir los siguientes lineamientos: 1. La cuenta de correo electrónico debe ser usada solo para el desempeño de
las funciones asignadas por la Funlam, inherentes a su cargo. 2. Los mensajes y la información contenida en los buzones de correo son
propiedad de la Funlam.
68
3. El envío de información corporativa debe ser realizado exclusivamente desde la cuenta de correo que la Funlam proporciona.
4. El envío masivo de mensajes publicitarios e informativos relacionados
exclusivamente con la oferta de programas y servicios educativos de la Funlam solo es potestad de la Oficina de Comunicaciones y Relaciones Públicas. Además, para terceros se deberá incluir un mensaje que le indique al destinatario como ser eliminado de la lista de distribución.
5. Todos los mensajes enviados deben respetar el estándar de formato e imagen
corporativa definido por la Funlam y deben conservar en todos los casos el mensaje legal corporativo de confidencialidad.
6. Todo correo enviado debe respetar los derechos de autor. 7. Las cuentas de correo electrónico serán creadas y asignadas en razón del
cargo y no a título personal, salvo la cuenta de los docentes que utilizan el dominio amigo.edu.co u otro que llegare a implementarse, en las condiciones y restricciones establecidas para todas las cuentas corporativas.
8. No es permitido:
• Enviar cadenas de correo, que generen cualquier tipo de discriminación o vulneren derechos fundamentales.
• Enviar o descargar archivos que comprometan la integralidad del Sistema de
información o los recursos tecnológicos. PARÁGRAFO. En cumplimiento del Régimen General de Protección de Datos Personales Ley 1581 de 2012 y su Decreto Reglamentario 1377 de 2013, la Funlam advierte que la cuenta de correo electrónico debe ser usada solo para el desempeño de las funciones asignadas por la Funlam inherentes a su cargo. Los mensajes y la información contenida en los buzones de correo son propiedad de la Funlam, por lo tanto la Universidad queda facultada para modificar contraseñas, eliminar o modificar las cuentas que considere pertinentes. La Institución también podrá acceder a los correos y chat para los fines que sean convenientes. Queda prohibido en la Funlam el envío de correos basura como: spam, cadena de correos o venta de datos personales. DÉCIMO. Recursos tecnológicos: el uso adecuado de los recursos tecnológicos asignados por la Funlam a su comunidad académica y a terceros se reglamenta bajo los siguientes lineamientos:
69
1. La instalación de cualquier tipo de software o hardware en los equipos de cómputo de la Funlam es responsabilidad del Departamento de Infraestructura y Desarrollo Tecnológico para la Educación.
2. Los usuarios no deben realizar cambios en las estaciones de trabajo
relacionados con la configuración del equipo, tales como conexiones de red, usuarios locales de la máquina, papel tapiz y protector de pantalla corporativo, entre otros. Estos cambios pueden ser realizados únicamente por el Departamento de Infraestructura y Desarrollo Tecnológico para la Educación.
3. El Departamento de Infraestructura y Desarrollo Tecnológico para la Educación
debe definir y actualizar, de manera periódica, la lista de software y aplicaciones autorizadas que se encuentran permitidas para ser instaladas en las estaciones de trabajo de los usuarios. Así mismo, realizar el control y verificación de cumplimiento del licenciamiento del respectivo software y aplicaciones asociadas.
4. La conexión a redes inalámbricas externas para usuarios con equipos portátiles
que estén fuera de la oficina y que requieran establecer una conexión a la infraestructura tecnológica de la Funlam, estarán salvaguardados con las cláusulas contractuales derivadas de las Políticas de Seguridad de la Información y de protección de datos y deben utilizar una conexión bajo los esquemas y herramientas de seguridad autorizados y establecidos por el Departamento de Infraestructura y Desarrollo Tecnológico para la Educación.
5. Sólo personal autorizado puede realizar actividades de administración remota
de dispositivos, equipos o servidores de la infraestructura de procesamiento de información de la Funlam. Las conexiones establecidas para este fin, deben utilizar los esquemas y herramientas de seguridad y administración definidos por la Dirección de Tecnología.
DECIMOPRIMERO. Control de acceso físico: todas las áreas destinadas al procesamiento o almacenamiento de información sensible, así como aquellas en las que se encuentren los equipos y demás infraestructura de soporte a los sistemas de información y comunicaciones, se consideran áreas de acceso restringido. En consecuencia, deben contar con medidas de control de acceso físico en el perímetro tales que puedan ser auditadas, así como con procedimientos de seguridad operacionales que permitan proteger la información, el software y el hardware de daños intencionales o accidentales. DECIMOSEGUNDO. Protección y ubicación de los equipos: los equipos que hacen parte de la infraestructura tecnológica de la Funlam tales como servidores, equipos de comunicaciones y seguridad electrónica, UPS, subestaciones eléctricas, aires acondicionados, plantas telefónicas, así como estaciones de trabajo y dispositivos de almacenamiento y/o comunicación móvil que contengan y/o brinden
70
servicios de soporte a la información crítica de las dependencias, deben ser ubicados y protegidos adecuadamente para prevenir la pérdida, daño, robo o acceso no autorizado de los mismos. De igual manera, se deben adoptar los controles necesarios para mantener los equipos alejados de sitios que puedan tener riesgo de amenazas potenciales como fuego, explosivos, agua, polvo, vibración, interferencia electromagnética y vandalismo, entre otros. La comunidad académica y los terceros, que tengan acceso al Data Center de la Institución no pueden fumar, beber o consumir algún tipo de alimento en este espacio. La Funlam mediante mecanismos adecuados monitoreará las condiciones ambientales de las zonas donde se encuentren los equipos (Centros de Cómputo). DECIMOTERCERO. Segregación de funciones: toda tarea en la cual los empleados tengan acceso a la infraestructura tecnológica y a los sistemas de información, debe contar con una definición clara de los roles y responsabilidades, así como del nivel de acceso y los privilegios correspondientes, con el fin de reducir y evitar el uso no autorizado o modificación sobre los activos de información de la Universidad. En concordancia: 1. Todos los sistemas de disponibilidad crítica o media de la Institución, deben
implementar las reglas de acceso de tal forma que haya segregación de funciones entre quien administre, opere, mantenga, audite y, en general, tenga la posibilidad de acceder a los sistemas de información, así como entre quien otorga el privilegio y quien lo utiliza.
2. Los módulos ejecutables nunca deberán ser trasladados directamente de las
librerías de pruebas a las librerías de producción sin que previamente sean compilados por el área asignada para tal efecto, que en ningún momento deberá ser el área de desarrollo, ni la de producción.
3. Deben estar claramente segregadas las funciones de soporte técnico,
planificadores y desarrolladores o integradores de TI. DECIMOCUARTO. Protección contra software malicioso: la Funlam establece que todos los recursos informáticos deben estar protegidos mediante herramientas y software de seguridad como antivirus, antispam, antispyware y otras aplicaciones que brindan protección contra código malicioso y prevención del ingreso del mismo a la red institucional, en donde se cuente con los controles adecuados para detectar, prevenir y recuperar posibles fallas causadas por código móvil y malicioso. Será responsabilidad del Departamento de Infraestructura y Desarrollo Tecnológico para la Educación autorizar el uso de las herramientas y asegurar que estas y el software de seguridad no sean deshabilitados bajo ninguna circunstancia, así como de su actualización permanente.
71
Solo el Departamento de Infraestructura y Desarrollo Tecnológico para la Educación, podrá instalar, desinstalar o desactivar el software y las herramientas de seguridad informática definidas por la Funlam. No está permitido escribir, generar, compilar, copiar, propagar, ejecutar o intentar introducir cualquier código de programación diseñado para auto replicarse, dañar o afectar el desempeño de cualquier dispositivo o infraestructura tecnológica. DECIMOQUINTO. Copias de respaldo: la Funlam debe asegurar que la información con cierto nivel de clasificación, definida en conjunto por el Departamento de Infraestructura y Desarrollo Tecnológico para la Educación y las dependencias responsables de la misma, contenida en la plataforma tecnológica de la Institución, como servidores, dispositivos de red para almacenamiento de información, estaciones de trabajo, archivos de configuración de dispositivos de red y seguridad, entre otros, sea periódicamente resguardada mediante mecanismos y controles adecuados que garanticen su identificación, protección, integridad y disponibilidad. Adicionalmente, se deberá establecer un plan de restauración de copias de seguridad que serán probados a intervalos regulares con el fin de asegurar que son confiables en caso de emergencia y retenidas por un periodo de tiempo determinado. Todas las dependencias que manejan archivos, tanto digitales como físicos, establecerán procedimientos explícitos de resguardo y recuperación de la información que incluyan especificaciones acerca del traslado, frecuencia, identificación, responsable de tratamiento y definirá conjuntamente los períodos de retención de la misma. Adicionalmente, debe disponer de los recursos necesarios para permitir la identificación relacionada de los medios de almacenamiento, la información contenida en ellos y la ubicación de los mismos para permitir un rápido y eficiente acceso a la información resguardada. Los medios magnéticos que contienen la información crítica deben ser almacenados en otra ubicación diferente a las instalaciones donde se encuentra dispuesta. El sitio externo donde se resguardan dichas copias, debe tener los controles de seguridad adecuados, cumplir con máximas medidas de protección y seguridad física apropiados. DECIMOSEXTO. Intercambio de información: la Funlam firmará acuerdos de confidencialidad con la Comunidad Académica y terceros que por diferentes razones requieran conocer o intercambiar información restringida o confidencial de la Institución. En estos acuerdos quedarán especificadas las responsabilidades para cada una de las partes y se deberán firmar antes de permitir su acceso o uso adecuado.
72
Todo funcionario de la Funlam es responsable por proteger la confidencialidad e integridad de la información y debe tener especial cuidado en el uso de los medios autorizados para el intercambio que puedan generar una divulgación o modificación no autorizada. Conforme a los permisos que el Departamento de Gestión Humana defina se implementarán los controles que garanticen el cumplimiento de los criterios de confidencialidad, integridad y disponibilidad requerida. La comunidad académica y los terceros, no pueden asumir en nombre de la Funlam, posiciones personales en encuestas de opinión, foros u otros medios similares. DÉCIMOSÉPTIMO. Gestión de contraseñas de usuario: todo integrante de la comunidad académica o tercero que requiera tener acceso a los sistemas de información de la Funlam debe estar debidamente autorizado y debe acceder a dichos sistemas haciendo uso como mínimo de un usuario (ID) y contraseña (password) asignado por la organización, el cual deberá cambiar en el primer ingreso al sistema y posteriormente cada 90 días y ser responsable por el buen uso de las credenciales asignadas. Bajo ninguna circunstancia el acceso a los sistemas de información (Usuario y contraseña) serán transferibles temporal o definitivamente. DÉCIMOCTAVO. Escritorio y pantalla limpia: con el fin de evitar pérdidas, daños o accesos no autorizados a la información, todos los funcionarios de la Funlam deben mantener la información restringida o confidencial bajo llave cuando sus puestos de trabajo se encuentren desatendidos o en horas no laborales. Esto incluye: documentos impresos, CDs, dispositivos de almacenamiento USB y medios removibles en general. Adicionalmente, se requiere que la información sensible que se envía a las impresoras sea recogida de manera inmediata. Todos los usuarios son responsables de bloquear la sesión de su estación de trabajo en el momento en que se retiren del puesto, la cual se podrá desbloquear sólo con la contraseña del usuario. Cuando finalicen sus actividades, se deben cerrar todas las aplicaciones y dejar los equipos apagados. Todas las estaciones de trabajo deberán usar el papel tapiz y el protector de pantalla corporativo, el cual se activará automáticamente después de cinco (5) minutos de inactividad y se podrá desbloquear únicamente con la contraseña del usuario. DÉCIMONOVENO. Segregación de redes: la plataforma tecnológica de la Funlam que soporta los sistemas de información debe estar separada en segmentos de red físicos y lógicos e independientes de los segmentos de red de usuarios, de conexiones con redes con terceros y del servicio de acceso a Internet. La división de estos segmentos debe ser realizada por medio de dispositivos perimetrales e
73
internos de enrutamiento y de seguridad si así se requiere. El Departamento de Infraestructura y Desarrollo Tecnológico para la Educación es el área encargada de establecer el perímetro de seguridad necesario para proteger dichos segmentos, de acuerdo con el nivel de criticidad del flujo de la información transmitida. La Funlam establece mecanismos de identificación automática de equipos en la red, como medio de autenticación de conexiones, desde segmentos de red específicos hacia las plataformas donde operan los sistemas de información de la Organización. Es responsabilidad de los administradores de recursos tecnológicos garantizar que los puertos físicos y lógicos de diagnóstico y configuración de plataformas que soporten sistemas de información deban estar siempre restringidos y monitoreados con el fin de prevenir accesos no autorizados. VIGÉSIMO. Identificación de requerimientos de seguridad: la inclusión de un nuevo tipo de producto de hardware, software, aplicativo, desarrollo interno o externo, los cambios o actualizaciones a los sistemas existentes en la Funlam, deben estar acompañados de la identificación, análisis, documentación y aprobación de los requerimientos de seguridad de la información, labor que será responsabilidad del Centro de Sistemas y Tecnología de la Información y las dependencias propietarias del sistema en cuestión. Los requerimientos de seguridad de la información identificados, obligaciones derivadas de las leyes de propiedad intelectual y derechos de autor deben ser establecidos en los acuerdos contractuales que se realicen entre la Funlam y cualquier proveedor de productos y servicios asociados a la infraestructura de procesamiento de información. Es responsabilidad del Centro de Sistemas y Tecnología de la Información, garantizar la definición y cumplimiento de los requerimientos de seguridad y en conjunto con la Secretaria General establecer estos aspectos en las obligaciones contractuales específicas. VIGÉSIMOPRIMERO. Información física: la información que posee, recibe o genera la Universidad debe ser mantenida, salvaguardada y usada solo para el propósito previsto y acordado con los dueños de la información ya sea en términos de derechos de autor, de datos personales o de confidencialidad de cualquier tipo, por tanto de requerir que la información esté impresa o expuesta para su difusión, deben usarse los mecanismos y procedimientos apropiados para que la misma no pueda ser accesible a personal no autorizado si requiere algún grado de reserva o que no sea alterada en caso de que deba ser divulgada. VIGÉSIMOSEGUNDO. Actualización y vacíos: Seguridad de la Información hará los análisis pertinentes, recomendará a la Rectoría General la actualización de Políticas de Seguridad en cuanto sea indispensable. De la misma manera será este Comité quien subsane cualquier vacío en la materia, de manera supletoria, en cuanto no exista norma expresa para el caso.
74
VIGÉSIMOTERCERO. Vigencia: a partir de su publicación, las Políticas y reglamentación presentada, serán prioridad de implementación bajo responsabilidad del Comité de Seguridad de la Información, para ello revisará su cumplimiento, identificará las oportunidades de mejora pertinentes, sus responsables de ejecución, coadyuvará a tramitar el presupuesto requerido y tendrá un plan operativo propio, del que rendirá cuenta al menos cada trimestre al Rector General. Será difundida por los medios habituales de comunicación, tanto electrónicos, como digitales e impresos y de obligatorio acatamiento para toda la comunidad académica y los terceros que accedan a servicios de información de la Funlam.
COMUNÍQUESE Y CÚMPLASE Dada en la ciudad de Medellín, a los quince (15) días del mes de diciembre del año dos mil dieciséis (2016). EL RECTOR GENERAL Padre JOSÉ WILMAR SÁNCHEZ DUQUE EL SECRETARIO GENERAL FRANCISCO JAVIER ACOSTA GÓMEZ
75
Capacitación
CURSO VIRTUAL
CURSO DE CAPACITACIÓN DE PROTECCIÓN DE DATOS PERSONALES
INTRODUCCIÓN El presente curso de capacitación ha sido elaborado por el Grupo de Estudios Jurídicos, línea Estudios Jurídicos en Informática y Tecnologías GEJIT, de la Facultad de Derecho de la Universidad CES. Pretende servir de guía interna para la formación, sensibilización, comprensión y aplicación del Manual de Políticas de Tratamiento de Datos, en adelante MPTD, y el Registro Nacional de Bases de Datos, en adelante RNBD. Con base en la Ley 1581 de 2012, el Decreto 1377 de 2013 y la Circular 02 de 2015. Este curso está integrado por cuatro módulos con los siguientes temas: Tema I. Introducción a la protección de datos personales Tema II. Derechos, deberes y legalidad en el tratamiento de datos Tema III. Manual de Políticas de Tratamiento de datos Tema IV. Procedimientos para el ejercicio de los derechos de los titulares de los datos. Al final se realiza una verificación de conocimientos con la finalidad de que cada una de las personas que cumpla con este curso, valide su aprendizaje y mantenga actualizados los conceptos sobre el tratamiento de datos personales.
GLOSARIO
- Tratamiento de datos personales: cualquier operación que se realice sobre datos personales, como: recolección, almacenamiento, uso, circulación o supresión.
- Titular de datos: persona natural cuyos datos personales sean objeto de Tratamiento.
- Autorización: consentimiento previo, expreso e informado del titular
para el tratamiento de sus datos personales.
76
- Dato personal: cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
- Base de Datos: conjunto de datos personales almacenados en una
base de datos.
- Responsable del Tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en colaboración con otros, tome decisiones sobre el tratamiento de los datos personales que le fueron entregados por el titular.
- Encargado del Tratamiento: persona natural o jurídica, pública o
privada, que por sí misma o en colaboración con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.
- Aviso de privacidad: comunicación verbal o escrita generada por el
Responsable, dirigida al titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento.
- Dato público: es el dato que no sea semiprivado, privado o sensible.
Por su naturaleza, pueden estar contenidos en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
- Datos sensibles: aquellos que afectan la intimidad del titular o cuyo
uso indebido puede generar su discriminación.
- Transferencia de datos: tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
- Transmisión de datos: tratamiento de datos personales que implica
la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
77
Tema 1. Introducción a la protección de datos personales
1. ¿Qué son los datos personales y por qué es importante su protección?
Cuando se habla de datos personales se hace referencia a toda la información vinculada a una persona que permite identificarla, es decir, todo aquello que se pueda decir o afirmar de una persona para describirla y diferenciarla de otras. El tratamiento de la información (particularmente los datos personales) es un tema especialmente sensible. Por eso hay un Sistema General de Protección de Datos en Colombia, con normas que la protegen. Este Sistema tiene fundamento en la Constitución Nacional: Artículo 15: “Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas”. De aquí se deriva la protección denominada Habeas Data, que es el derecho que tiene una persona a conocer, actualizar, rectificar y suprimir la información contenida en bases de datos. Artículo 20: “Se garantiza a toda persona la libertad de expresar y difundir su pensamiento y opiniones, la de informar y recibir información veraz e imparcial, y la de fundar medios masivos de comunicación”. Como se señala, esta información debe ser veraz, que coincida con la realidad; e imparcial, que no tenga ningún tipo de calificación. De los anteriores artículos se puede entonces afirmar que frente al tratamiento de datos personales existen dos derechos:
1. El derecho a la intimidad que se refiere a todo lo relacionado con la privacidad del individuo y con la dignidad humana. Solo le interesa a este. Es un derecho que sirve para exigir el respeto y la protección de los datos privados
2. El derecho a la información que se refiere a los que se dice o afirma de alguien y
que puede afectar la intimidad Cada persona es la única responsable de sus datos, información que se denomina datos personales; esa persona es considerada por la ley como el titular de la Información.
78
El titular puede autorizar de manera voluntaria, a otra persona, el tratamiento de sus datos y su información. Con este hecho el tercero no se hace dueño de los datos del titular, se hace responsable del Tratamiento de Datos Personales; el tercero a su vez, en razón de su actividad, y previa autorización del titular, puede delegar a otro para el tratamiento de estos datos, este sería Encargado del Tratamiento de Datos Personales. Con un ejemplo se puede entender más fácil: Pedro Pérez va a la empresa y al momento de pagar se le solicitan sus datos personales para dos finalidades: una para elaborar la factura (exigencia legal) y otra para estar en contacto con él y enviarle información general de los servicios. Pedro Pérez autoriza de manera voluntaria y expresa el uso de sus datos para tales fines, mediante un formato de recolección de datos, el cual firma. En este ejemplo Pedro Pérez es titular, la empresa es Responsable y Encargado del Tratamiento de Datos Personales. Retomando los artículos de la Constitución Nacional que fundamentan el Sistema General de Protección de Datos, habría que decir que estos han sido desarrollados en Colombia por las siguientes normas:
Para los efectos de tratamiento de datos personales se aplica la Ley 1581 de 2012, y cuando se traten datos financieros, crediticios, comerciales o de servicios rige la Ley 1266 de 2008.
2. ¿A qué datos no se aplica el Tratamiento? La Ley protege los datos personales, depositados en las bases de datos públicas o privadas, pero por disposición de esta, no se aplica a las bases de datos personales en los siguientes casos:
Ley 1266 de 2008Ley de Habeas Data
•“Por la cual se dictan las disposicionesgenerales del hábeas data y se regula elmanejo de la información contenida enbases de datos personales, en especial lafinanciera, crediticia, comercial, deservicios y la proveniente de tercerospaíses y se dictan otras disposiciones”.
Ley 1581 de 2012Ley de Tratamiento de Datos
Personales
•“Por el cual se dictan disposicionesespeciales para la protección de datospersonales”.
79
• A las bases de datos o archivos de manejo exclusivamente personal. • A las bases de datos y archivos que tengan por finalidad la seguridad y
defensa nacional. • A las bases de datos que tengan como fin y contengan información de
inteligencia y contrainteligencia. • A las bases de datos y archivos de información periodística. • A las bases de datos y archivos regulados por la Ley 1266 de 2008 (Ley de
Habeas Data). • A las bases de datos y archivos regulados por la Ley 79 de 1993 (Ley de
Censo poblacional).
3. ¿Cómo se clasifican los datos personales? Los datos personales se definen como “cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables”, es decir, los datos que estén relacionados con una persona, que permitan identificarla y diferenciarla de otra. Los datos personales se clasifican de acuerdo a cada una de las leyes que se han señalado anteriormente, así
Ley de Habeas Data
• Públicos: datos expresamente señalados porla ley o la Constitución Política. Tambien todosaquellos que no sean semiprivados o privados.
• Semiprivados: los que no tienen naturalezaíntima, reservada, ni pública. Su conocimientoo divulgación puede interesar no sólo al titularsino a cierto sector o grupo de personas.
• Privados: los que por su naturaleza íntima oreservada sólo son relevantes para el titular dela información.
Ley de Tratamiento de Datos
• Sensibles: los que afectan la intimidad deltitular o cuyo uso indebido puede generar sudiscriminación.
• Dato de Niños, Niñas y Adolescentes: sonaquellos relacionados con los menores deedad.
80
Ejemplos de clasificación de los datos
4. ¿Cuáles son los principios para el tratamiento de datos personales?
Para un adecuado tratamiento de los datos personales, de acuerdo con la Ley, es necesario aplicar de manera armónica e integral los siguientes principios:
Datos familiares: datos sobre las relaciones familiares o afectivas, dependientes económicos, situaciónfamiliar específica, estado civil.
Otros datos sensibles: cualquier dato que se considere susceptible de mayor protección por suscaracterísticas y que no entre en alguna de las subcategorías mencionadas.
Datos de características personales o biométricas: huella digital, tipo de sangre.
Datos de características físicas: color de piel, señas particulares, estatura, peso, tatuajes.
Datos sensibles: datos sobre la salud: historia clínica, incapacidades médicas, discapacidades, el estadofísico o mental de la persona, datos relacionados con la sexualidad.
Datos académicos: calificaciones, títulos, tarjeta profesional, certificados académicos, reconocimientos.
Datos patrimoniales: información tributaria, historial crediticio, ingresos y egresos, cuentas bancarias,seguros, referencias personales o crediticias.
Datos laborales: referencias laborales, referencias personales, solicitud de empleo, hoja de vida.
Datos electrónicos: correo electrónico, dirección IP, nombre de usuario, contraseñas, firma electrónica.
Datos personales: nombre, domicilio, teléfono, firma, RUT, registro civil, libreta militar, pasaporte, lugary fecha de nacimiento, nacionalidad, edad, fotografías.
81
Finalidad•El tratamiento de datos no puede tener
propósitos contrarios a la ley.•Los datos no pueden ser usados para
fines distintos para los cuales fueronrecolectados.
Libertad•La autorización por parte del titular para
el tratamiento de los datos personalesdebe ser libre, expresa, previa yconsentida.
Veracidad o Calidad•Los datos personales deben ser exactos
(veraces) y se deben encontraractualizados, es decir estar al dia.
Transparencia•El titular puede obtener, en todo
momento, informacion del Responsableacerca de la existencia de datos que leconciernan.
Acceso y circulación restringida•La información solo puede ser conocida y
tratada en los terminos de la autorizaciónotorgada por el Titular y para los finesseñalados en dicha autorización.
Seguridad•Únicamente el Responsable y el
Encargado pueden tratar los datospersonales, con las medidas de seguridadapropiadas para tal fin.
Confidencialidad•Solamente el Responsable, el Encargado y
el usuario pueden acceder a los datospersonales, con el consentimiento deltitular, o su representante y para lasfinalidades señaladas en la autorización
82
Tema 2. Derechos, deberes y legalidad en el tratamiento de datos
1. ¿Qué derechos tienen los titulares de los datos? (Artículo 8 Ley 1581 de
2012) Los titulares tienen derecho a conocer, actualizar, rectificar y revocar sus datos personales, frente a los Responsables o Encargados del tratamiento de datos.
2. ¿Qué deberes tienen los Responsables del Tratamiento de Datos? (Artículo 12 Ley 1581 de 2012)
Cuando el Responsable solicita al titular su autorización para el tratamiento de datos, debe informarle de manera clara y expresa lo siguiente:
•El titular tiene derecho a solicitar alResponsable o al Encargado:
•El acceso a sus datos en forma gratuita.•Prueba de la autorización para el tratamientode los datos y del uso que le da a estos.
Conocer
•El titular tiene derecho a actualizar sus datoscuando son parciales, fraccionados oincompletos.
Actualizar
•El titular tiene derecho a rectificar sus datoscuando son inexactos, induzcan a error, cuandosu tratamiento esté expresamente prohibido ono haya sido autorizado.
Rectificar
•El titular tiene derecho a revocar laautrorización y solicitar la supresión de susdatos cuando se hayan infringido losprincipios del tratamiento de datos.
Revocar
83
3. ¿Cómo se otorga la autorización para el tratamiento de datos?
Para el tratamiento de los datos personales se requiere la autorización previa, expresa e informada del titular, por cualquier medio idóneo que permita evidenciarla: medios físicos, electrónicos, mensajes de texto, páginas web, etc.
4. ¿Cuándo no se requiere autorización?
1. Cuando la información es requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
2. Cuando son datos de naturaleza pública. 3. En casos de urgencia médica o sanitaria. 4. Cuando el tratamiento de información es autorizado por la ley para fines
históricos, estadísticos o científicos. 5. Cuando los datos están relacionados con el Registro Civil de las Personas.
El Tratamiento y finalidad a la
cual serán sometidos sus
datos.
La libertad de responder a
preguntas sobre datos sensibles
o sobre los datos de las
niñas, niños y adolescentes.
Los derechos de los Titulares.
La identificación y datos del
Responsable.
84
Tema 3. Políticas de Tratamiento de Datos
¿Qué es la Política de Tratamiento de Datos? Es un documento que contiene los lineamientos generales con base en los cuales se establece la forma de recolección, administración, almacenamiento, tratamiento y cumplimiento de las garantías de los derechos de los titulares de los datos personales. ¿Es obligatoria su elaboración? La Ley 1581 de 2012 establece “la obligación de adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos”. Por su parte el Decreto 1377 de 2013 establece que los Responsables deben desarrollar sus políticas para el tratamiento de los datos personales y velar porque los Encargados del Tratamiento den cabal cumplimiento a las mismas. Las Políticas de Tratamiento de la información deben constar en medio físico o electrónico, en un lenguaje claro y sencillo y ser puestas en conocimiento de los titulares. Para el cumplimiento de la exigencia de la norma, se estableció como mínimo la siguiente información: 1. Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del
Responsable. 2. Tratamiento al cual serán sometidos los datos y finalidad del mismo cuando esta
no se haya informado mediante el aviso de privacidad. 3. Derechos que le asisten como titular. 4. Persona o área responsable de la atención de peticiones, consultas y reclamos
ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización.
5. Procedimiento para que los titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización.
6. Fecha de entrada en vigencia de la Política de Tratamiento de la Información y período de vigencia de la base de datos.
85
Tema 4. Procedimientos para el ejercicio de derecho de los titulares de los datos personales
1. ¿Qué derechos tienen los titulares de los datos personales?
Según el Decreto 1377 de 2013 tienen los siguientes derechos:
• Derecho a consultar de manera gratuita los datos que de ellos se haya recogido.
• Derecho a actualización, rectificación y supresión de los datos personales.
• Derecho a la revocatoria de la autorización otorgada para el tratamiento de
datos personales.
2. ¿Quiénes pueden ejercer los derechos de los titulares de los datos personales?
• Los titulares de los datos personales.
• Los causahabientes (herederos) de los titulares.
• Los representantes legales de los titulares. En todo caso para que los causahabientes y los representantes puedan ejercer estos derechos deberán acreditar previamente su calidad como tal. Es necesario que el titular de los datos personales, sus causahabientes o representantes, puedan ejercer sus derechos legales de manera escrita o si se prefiere oral, pero debe tenerse un soporte de ello, como un documento suscrito o una grabación.
3. ¿Cómo se ejercen los derechos de los titulares de los datos? Las solicitudes que se dirigen a las empresas para el ejercicio de los derechos de los titulares de los datos personales pueden consistir básicamente en dos: Consultas y reclamos. Trámite de las consultas En las consultas el titular de los datos, mediante el formato anteriormente señalado, solicitará se le informe qué datos o información se ha recopilado de él. El trámite de las consultas se desarrollará de acuerdo con el siguiente gráfico:
86
Trámite de los reclamos Como se señaló con anterioridad, dentro de los derechos de los titulares se encuentran los de actualización, rectificación y supresión de los datos personales y el derecho a la revocatoria de la autorización otorgada para el tratamiento de datos personales. Estos derechos se ejercen mediante el procedimiento de reclamo, el cual se desarrolla de acuerdo con siguiente gráfico, que se explicará posteriormente:
•Titular de los datos•Causahabientes•Representantes
Solicitud de consulta de datos
•Electrónico•Físico•Gravado
Medio habilitado por R.T.D./E.T.D. •Término máximo de diez
(10) días hábiles desde la fecha de recibo de la solicitud.
•Ampliación de plazo justificado máximo 5 días.
Respuesta
SOLICITUD RECLAMO: Titular, Causahabiente,
Representante.
DIRIGIDA A: R.T.D./E.T.D.
CONTENIDO SOLICITUD: Identificación del titular, descripción
de hechos del reclamo, dirección, documentos soporte.
SOLICITUD INCOMPLETA:Dentro de los cinco días siguientes a
la solicitud, se solicita que cumpla requisitos.
DESISITIMIENTO DE RECLAMO: Si no se da respuesta a requisitos en
dos meses.
COMPETENCIA: Funcionario competente da trámite. Si no es competente remitirá en dos
días y notificará al interesado.
RECLAMO COMPLETO:Se rotula el dato “Reclamo en
trámite” y motivo. Termino: dos días hábiles. Rótulo hasta que termine el
reclamo.
TÉRMINO MÁXIMO PARA ATENDER EL RECLAMO:
15 días hábiles contados a partir del día siguiente a la fecha de su recibo.
PRORROGA PLAZO RESPUESTA:Se informará al interesado los
motivos de la demora y la fecha en que se atenderá su reclamo. En
ningún caso podrá superar los ocho (8) días hábiles siguientes al
vencimiento del primer término.
(1)
(2)
(3)
(5)
(4)
87
(1) El reclamo se presenta en el formulario definido para tal efecto y dirigido al
Responsable o Encargado del Tratamiento de Datos.
(2) Si el formulario de solicitud no cumple con todos los requisitos de la ley se le notifica al titular dentro de los cinco días hábiles siguientes a la recepción para que los complete y este dispondrá de 60 días para realizarlo, de lo contrario se entenderá que ha desistido del reclamo.
(3) Si se cumple con los requisitos, se determina si quien lo recibe es el
competente para darle trámite, de lo contrario dentro de los dos días hábiles siguientes lo trasladará a quien corresponda indicándolo al titular.
(4) Cuando el reclamo está completo se le pone un rótulo al dato que diga
“reclamo en trámite” y el motivo.
(5) La respuesta al reclamo se deberá dar en un plazo de 15 días hábiles contados desde el día siguiente a la recepción completa del reclamo, tiempo que se puede extender con motivación por ocho días hábiles más.
Cuando se solicite la actualización, rectificación o supresión de datos personales, se deberá indicar el dato que es erróneo, adjuntando la documentación que sea del caso (si es necesaria). Cuando se trate de revocatoria de la autorización para el tratamiento de datos personales se deberá indicar los motivos de la misma. Esta no procederá cuando exista una obligación contractual o crediticia vigente.
Tema 5. Registro nacional de bases de datos
¿Qué es el Registro Nacional de Bases de Datos? El Registro Nacional de Bases de Datos es el directorio público de las bases de datos sujetas a Tratamiento que operan en el país. ¿Quién administra el Registro Nacional de Bases de Datos? El Registro Nacional de Bases de Datos es administrado por la Superintendencia de Industria y Comercio y es de libre consulta para los ciudadanos. ¿Cuáles son los requisitos necesarios para poder realizar el Registro de una base de datos?
88
Para realizar el registro de bases de datos se debe contar con la política de tratamiento, la cual debió ser implementada en el año 2013, de acuerdo con los parámetros señalados por la Ley 1581 de 2012 y el Decreto 1377 de 2013. ¿Quiénes tienen la obligación de inscribir sus bases de datos en el Registro Nacional? Todos los Responsables del Tratamiento de datos personales, personas jurídicas de naturaleza privada inscritas en la Cámara de Comercio y Sociedades de Economía Mixta. ¿Cuáles son los datos que se inscriben en el Registro Nacional? Los Responsables del Tratamiento no almacenan en el Registro Nacional de Bases de Datos ningún tipo de información personal. Solamente se indica:
• Tipo de información almacenada en las bases de datos. • Medidas de seguridad implementadas para la protección de los datos. • Procedencia de los datos personales contenidos en ellas. • Si dichas bases de datos están destinadas a ser transferidas o transmitidas
internacionalmente o si su cesión o transferencia será de carácter nacional. • Reportes de novedades (reclamos e incidentes de seguridad) que se presenten
sobre las mismas. ¿Cada cuánto es necesario actualizar la información contenida en el Registro Nacional de Bases de Datos? Se debe actualizar dentro de los primeros diez (10) días hábiles de cada mes, a partir de la inscripción de la base de datos, cuando se realicen cambios sustanciales en la información presentada. A partir del año 2018, la actualización se deberá realizar anualmente entre el periodo comprendido entre el 2 de enero y el 31 de marzo. Dentro de los quince (15) primeros días hábiles de los meses de febrero y agosto de cada año, los Responsables de Tratamiento deben actualizar la información de los reclamos presentados por los titulares de los datos personales. ¿Cuál es la fecha de vencimiento para el cumplimiento de la obligación de registrar las bases de datos? Acorde con la Circular 002 del 3 de noviembre de 2015, la fecha máxima para el cumplimiento de la obligación de registro de las bases de datos está fijada para el día 8 de noviembre del año 2016.
89
CAPACITADOS: Cantidad de personas que participaron en la capacitación inicial de Habeas Data, Ley 1581 de 2012:
CENRO REGIONAL CANTIDAD CENTRO REGIONAL APARTADÓ 10 CENTRO REGIONAL BOGOTÁ 8 CENTRO REGIONAL MANIZALES 20 CENTRO REGIONAL MONTERÍA 19 TOTAL 57
Las personas que asistieron de manera presencial en esa misma fecha fueron 27. Así mismo, al Comité de Funciones sustantivas asistieron 30 personas; en la sede central se capacitaron 336, por lo que en total se han formado 450 personas.
3. ORGANIZACIÓN
El Oficial de Tratamiento de Datos Personales y área responsable de la atención de peticiones, consultas y reclamos, ante la cual el titular de los datos puede ejercer sus derechos: conocer, actualizar, rectificar, suprimir información y revocar la autorización de los datos personales, es la Oficina de Comunicaciones y Relaciones Públicas, a quien se ha designado particularmente para cumplir esta responsabilidad. El titular podrá ejercer sus derechos mediante comunicación escrita o electrónica dirigida al e-mail: [email protected]; así mismo, se reciben solicitudes personalmente o vía correo en la dirección transversal 51ª No. 67B-90, sede Medellín y en el número telefónico (4) 448 76 66 ext. 9570. Esta área le dará trámite a la solicitud de conformidad con lo establecido en los Artículos 14 y 15 de la Ley 1581 de 2012 y Artículos 20 al 23 del Decreto 1377 de 2013.
4. PROCEDIMIENTOS
Procedimiento para el ejercicio de los derechos de los titulares de los datos personales Universidad Católica Luis Amigó
Objeto Documentar el procedimiento para la atención de solicitudes por quejas y reclamos, presentadas por los titulares de los datos personales. En estricta concordancia con lo establecido en la Ley 1581 de 2012.
90
1. Descripción general
La Ley 1581 de 2012 estableció disposiciones generales para la protección de datos personales por parte de todas las empresas y definió en el Título V –Procedimiento-, artículos 14 y 15, el procedimiento general que se debe seguir para dar respuesta a las consultas y reclamos por parte de los titulares de los datos personales, sus causahabientes o apoderados. 2. Alcance
El alcance de este procedimiento es para el trámite de las solicitudes de consultas y reclamos que se realicen a la compañía.
3. Glosario
Autorización: consentimiento previo, expreso e informado del titular para efectuar el Tratamiento de datos personales. Base de Datos: conjunto organizado de datos personales que sea objeto de Tratamiento. Datos personales: cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Encargado del Tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento. Responsable del Tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos. Titular: persona natural cuyos datos personales sean objeto de Tratamiento. Tratamiento: cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. Consultas: los titulares o sus causahabientes podrán consultar la información personal del titular que repose en cualquier base de datos, sea esta del sector público o privado. El Responsable del Tratamiento o Encargado del Tratamiento deberán suministrar a estos toda la información contenida en el registro individual o que esté vinculada con la identificación del titular. Reclamos: el titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de rectificación, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta ley, podrán presentar un reclamo ante el Responsable del Tratamiento o el Encargado del Tratamiento.
91
Rectificación: cuando el titular, causahabientes o representante del titular de los datos personales, solicita a la Institución que le sean corregidos sus datos personales. Actualización: cuando el titular, causahabientes o representante del titular de los datos personales, solicita a la Institución que le sea actualizados sus datos personales. Supresión: cuando el titular, causahabientes o representante del titular de los datos personales, solicita a la Institución que le sean suprimidos o eliminados sus datos personales. Revocatoria: cuando el titular, causahabientes o representante del titular de los datos personales, cancela o revoca la autorización otorgada a la Institución para el tratamiento de sus datos personales. Procedimiento Tal como se ha señalado dentro del Manual de Políticas de Tratamiento de Datos personales, los titulares tienen garantía del ejercicio de los derechos de: conocer, actualizar y rectificar el contenido de sus datos personales y revocar la autorización otorgada a responsables y encargados para el tratamiento de sus datos personales. Estos derechos se ejercen por medio de dos procedimientos ágiles y expeditos, los cuales según la Ley 1581 de 2012 son el de CONSULTA y el de RECLAMO. El de CONSULTA garantiza el derecho a conocer los datos que se tienen recolectados por parte de responsables y encargados; mientras que por medio del trámite de RECLAMO se garantizan los derechos a actualizar y rectificar los datos y a revocar la autorización para el tratamiento de los mismos. A continuación se puntualiza el procedimiento para el ejercicio de tales derechos. En primer lugar, se explica el trámite común a ambos procedimientos (Consulta y reclamo), posteriormente se habla de cada uno, con sus responsables, registro y demás acciones que se deben realizar, así como los términos respectivos. <z Actividad / Descripción / Responsable Registro Puntos de
control
01
Actividad:
Definir los medios para el ejercicio de los derechos del titular
Resolución
Tratamiento de Datos
Personales
Verificar que cuando se modifique o integre un medio, la Resolución reciba la actualizaci
Se consideran medios para el ejercicio de los derechos del titular los siguientes:
• Correo electrónico [email protected].
• Formulario en la página web www.funlam.edu.co • Comunicación formal escrita o por teléfono. • Instalaciones de la Funlam.
92
<z Actividad / Descripción / Responsable Registro Puntos de
control • Correspondencia (carta o fax). ón
pertinente. Responsable:
Oficina de Comunicaciones y Relaciones Públicas; Oficial de Tratamiento de Datos
02
Actividad: Solicitar el ejercicio de los derechos del titular Correo
electrónico
Formulario web
Cartas o
fax
Registro de
llamadas
Se deben habilitar todos los mecanismos idóneos para cumplir con tal fin.
El titular, su causahabiente o representante puede realizar la solicitud de consulta o reclamo a través de los medios establecidos.
Responsable:
Titular, causahabiente o representante
03
Actividad: Remitir la solicitud a encargado técnico
Sistema CRM
(Casos generad
os)
Todo correo electrónico, formulario en página web, formulario físico, llamada telefónica o correspondencia, debe ser direccionada al Oficial de Tratamiento de Datos Personales quien a su vez enviará a los Encargados de Tratamiento de Datos, responsables de las bases de datos, para generar un caso con la categoría “Protección de Datos” y el rótulo “consulta en trámite” o “reclamo en trámite”, de acuerdo al tipo de solicitud.do correo electrónico, formulario en página web, formulario físico, llamada telefónica o correspondencia, debe ser direccionada al Oficial de Tratamiento de Datos Personales para generar un caso con la categoría “Protección de Datos” y el rótulo “consulta en trámite” o “reclamo en trámite”, de acuerdo al tipo de solicitud. Responsable:
Encargado de Tratamiento de Datos
04
Actividad: Clasificar la solicitud: consulta o reclamo Sistema
CRM (Casos generad
os)
De acuerdo con el contenido de la solicitud se debe clasificar como consulta o como reclamo para determinar el trámite correspondiente.
93
<z Actividad / Descripción / Responsable Registro Puntos de
control Responsable:
Encargado de Tratamiento de Datos
05
Actividad: Registrar la solicitud
Sistema CRM
(Casos generad
os)
Se realiza el registro en el sistema y se coloca el rótulo correspondiente dentro de los datos del titular. Deberá dejarse constancia del soporte documental de la solicitud. Dentro de los respectivos datos del titular debe quedar constancia de fecha y hora de radicación y el rótulo correspondiente. Responsable:
Oficial de Tratamiento de Datos Personales
Trámite consulta
01
Actividad: Tramitar consulta
Respuesta a la
consulta (correo, carta,
fax, entre otros).
Recibida la solicitud, se debe dar respuesta en un término de diez (10) días hábiles, contados desde el día siguiente de la recepción. El Oficial de Tratamiento de Datos Personales remitirá la respuesta por el medio que se ha solicitado o a la dirección que ha indicado el titular. La respuesta puede ser automática, parametrizando el sistema para que este extraiga la información correspondiente. Responsable:
Oficial de Tratamiento de Datos Personales
02
Actividad: Ampliación plazo
Ampliación de plazo
(correo, carta,
fax, entre otros).
Verificar que se remita comunicación al titular con la justificación de la ampliación del plazo, y que se dé respuesta
En caso de no poder responder la consulta, en el tiempo estipulado, se debe indicar al titular que se requiere un tiempo mayor al inicialmente señalado por la Ley, justificando tal razón. Además, se deberá indicar la fecha en que se responderá la solicitud, sin que se exceda de cinco (5) días hábiles siguientes al vencimiento del primer término. En caso de no poder responder la consulta, en el tiempo estipulado, se debe indicar al titular que se requiere un
94
<z Actividad / Descripción / Responsable Registro Puntos de
control tiempo mayor al inicialmente señalado por la Ley, justificando tal razón. Además, se deberá indicar la fecha en que se responderá la solicitud, sin que se exceda de cinco (5) días hábiles siguientes al vencimiento del primer término.
en el tiempo señalado
Responsable:
Oficial de Tratamiento de Datos Personales
03
Actividad: Responder la consulta
Respuesta según medio
solicitado.
Responder a la consulta realizada por el titular, causahabiente o representante por el mismo medio o a la dirección que indique el solicitante. Se debe dejar constancia de la respuesta dentro de los registros del titular en el sistema. Responsable:
Oficial de Tratamiento de Datos Personales
Procedimiento Reclamo
01
Actividad: Verificar información
Solicitud
Recibida la solicitud, se procede a verificar que la información requerida para el trámite este completa. Si la información requerida para dar trámite a la solicitud está completa se sigue con el paso 3; en el caso de que la información esté incompleta se sigue con el paso 2. Responsable:
Oficial de Tratamiento de Datos Personales
02
Actividad: Gestionar información incompleta
Comunicación titular
Sistema
CRM
Verificar que se indique al solicitante que de no dar respuesta en dos meses se entenderá que ha desistido
En el evento de que la información para atender el reclamo esté incompleta se indicarán al titular los requisitos faltantes dentro de los cinco (5) días siguientes a la recepción del reclamo, para que subsane las fallas. Si el titular no subsana los requisitos dentro de los dos meses siguientes se entenderá que desiste del reclamo y se archiva, dejando constancia de esto. Responsable:
Oficial de Tratamiento de Datos Personales
95
<z Actividad / Descripción / Responsable Registro Puntos de
control de la solicitud y por tanto se archivará.
03
Actividad: Iniciar trámite con información completa
Sistema CRM
Si la solicitud reúne todos los requisitos señalados para el efecto se dará trámite a la misma. Se deberá dejar constancia del inicio del trámite rotulando la información con “reclamo en trámite”. Responsable:
Oficial de Tratamiento de Datos Personales
04
Actividad: Rotular la información
Sistema CRM
Se deberá rotular la información del solicitante dentro del sistema con el aviso “Reclamo en Trámite” y los motivos del mismo, el cual deberá ser visible para todos los usuarios de los datos. Responsable:
Encargado de Tratamiento de Datos
05
Actividad: Tramitar reclamo
Sistema CRM
Dentro de los 15 días hábiles siguientes a la solicitud completa se dará respuesta sobre el reclamo de manera favorable o desfavorable con las respectivas justificaciones. Se estudiará el caso, y en el evento de ser procedente el reclamo, se dará cumplimiento con la solicitud, notificando al solicitante. De no poder cumplir con la respuesta en el plazo indicado, se notificará al solicitante que se amplía el plazo por ocho (8) días hábiles adicionales y se indicará la fecha en que se responderá. Responsable:
Oficial de Tratamiento de Datos Personales
06
Actividad: Responder el Reclamo Respues
ta según medio
solicitado Responde el reclamo al titular, causahabiente o
representante por el mismo medio o a la dirección que indique el solicitante. Se debe dejar constancia de la
96
<z Actividad / Descripción / Responsable Registro Puntos de
control respuesta dentro de los registros del titular en la base de datos. Responsable:
Oficial de Tratamiento de Datos Personales
CONTROL DE CAMBIOS
Versión Descripción de los cambio realizados Versión final
Fecha de aprobación
Procedimiento consultas internas o transferencia de información Universidad
Católica Luis Amigó
Objeto
Atender las solicitudes de consultas internas o transferencia de la información, relacionadas con el Tratamiento de Datos Personales
Descripción general
La Ley 1581 de 2012 estableció disposiciones generales para la protección de datos personales por parte de todas las empresas y definió en el Título V –Procedimiento-, artículos 14 y 15, el procedimiento general que se debe seguir para dar respuesta a las consultas y reclamos por parte de los titulares de los datos personales, sus causahabientes o apoderados.
Alcance
Aplica para todos los procesos de la Funlam.
4. Glosario
Base de Datos: conjunto organizado de datos personales que sea objeto de Tratamiento.
Datos personales: cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
97
Encargado del Tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento.
Responsable del Tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los Datos.
Tratamiento: cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
5. PROCEDIMIENTO
Procedimiento
Nº Actividad / Descripción / Responsable Registr
o Puntos de
control
01
Actividad:
Definir los medios para realizar solicitud interna
Verificar que cuando se modifique o integre un medio, se socialice oportunamente a la comunidad.
Se consideran medios para solicitudes internas:
• Correos electrónicos (Guardianes de datos).
Responsable:
Oficina de Comunicaciones y Relaciones Públicas; Oficial de Tratamiento de Datos
02
Actividad:
Solicitar información relacionada con datos personales
Correo electróni
co
El requirente interno realiza la solicitud, a través de correo electrónico, al Guardián de Datos de la Unidad. Responsable:
Requirente Interno
03
Actividad:
Remitir la solicitud al Oficial de Tratamiento de Datos Personales
Sistema CRM
(Solicitud
interna)
El Guardián de Datos, por medio del formulario web “Solicitud Interna Datos Personales”, del Sistema CRM, remite la solicitud al Oficial de Tratamiento de Datos. Dicho formulario debe estar diligenciado en su totalidad, dando cuenta de la siguiente información: requirente (quién realiza la solicitud), descripción de la
98
solicitud (qué información requiere), finalidad de la información (para qué será usada), Política de Tratamiento de los Datos (cómo se protegerá la información entregada), tiempo que usará la información y su disposición final (cuánto tiempo tendrá la información, y qué hará con la misma cuando deje de usarla). Responsable:
Guardián de Datos
04
Actividad:
Autorizar la entrega de la información solicitada
Sistema CRM
(Solicitud interna
con visto
bueno)
De acuerdo con el contenido de la solicitud, el Oficial de Tratamiento de Datos Personales decide sí autoriza o no la entrega de la información requerida. Para dicho aval, y a través del formulario web “Solicitud Interna Datos Personales”, el Oficial deberá dar su visto bueno, y diligenciar, en el campo observaciones, las condiciones que deberá cumplir el requirente con la información entregada o justificando la no autorización de la solicitud. Además, debe asegurarse que el Guardián de Datos conozca la decisión tomada. Responsable:
Oficial de Tratamiento de Datos Personales
05
Actividad: Responder la solicitud interna
Correo electróni
co
Sistema CRM
(Solicitud
interna)
El Guardián de Datos, y según la decisión del Oficial, responde al requirente de la siguiente manera:
• Cuando es autorizada la solicitud: se envía correo electrónico con la respuesta de la solicitud aprobada, y la definición del medio por el cuál será entregada (memoria USB, correo electrónico, copia en el equipo, entre otros); además, se le envía la ruta del formulario web “Solicitud Interna Datos Personales”, donde además de indicar la fecha en la que se entrega la información, el requirente deberá aceptar las condiciones.
• Cuando no se autoriza la solicitud: se envía correo electrónico con la respuesta de la solicitud, dando cuenta de los motivos de la no aprobación.
99
CONTROL DE CAMBIOS
Versión Descripción de los cambio realizados
Versión final
Fecha de aprobación
5. COMITÉ DE HABEAS DATA
Teniendo en cuenta lo presupuestado en la Ley 1581 de 2012, relativo al Registro Nacional de Bases de datos, y a los Decretos 1377 de 2013, 886 de 2014, y Circular No. 2 de la SIC de 2015, es prioridad para la Universidad Católica Luis Amigó la implementación de un sistema de gestión de protección de datos, que además se articule al ya existente Sistema de Gestión por Procesos; logrando así, que el tema de protección de datos se convierta en un compromiso institucional y en parte de su quehacer, y no solo en una respuesta a un requisito legal. Dicho Sistema debe ser implementado desde el Ciclo conocido como RAUCS (Recepción, Almacenamiento, Uso, Circulación y Supresión de la información); así mismo, es importante ir avanzando en su aplicación.
Responsable:
Guardián de Datos
06
Actividad:
Establecer las acciones pertinentes para la mejora del proceso
Formato accione
s correctiv
as y preventi
vas FO-AP-
070
Determinar las posibilidades de mejora del proceso e implementar las pertinentes para aumentar la eficacia y eficiencia del mismo. El área encargada remitirá la respuesta por el medio que se ha solicitado o a la dirección que ha indicado el titular. La respuesta puede ser automática, parametrizando el sistema para que este extraiga la información correspondiente. Responsable:
Oficina de Comunicaciones y Relaciones Públicas, Oficial de Tratamiento de Datos Personales
100
Conformación del Comité de Habeas Data
Cargo
Director de Planeación Secretario General Coordinador Departamento Universitario de Información Coordinadora Departamento de Infraestructura y Desarrollo Tecnológico para la Educación Coordinadora del Sistema de Gestión por Procesos Asistente Departamento de Infraestructura y Desarrollo Tecnológico para la Educación Asistente de Planeación Oficial de Tratamiento de Datos
Actas del Comité
No. 1
ACTA DE REUNIÓN
Código:
FO-AP-001
Versión: 2
Fecha: 28-05-2013
Evento: Comité Habeas Data. Dirección de Planeación Acta Número: 1
INFORMACIÓN BÁSICA
Propósitos de la
Reunión
• Realizar una inducción al tema de la protección de datos.
Fecha: 26 de mayo de 2016 Lugar: Oficina Dirección de
Planeación
Hora de inicio Hora de finalización
101
• Definir las tareas para iniciar con el ciclo de protección de datos. 09.30 11.00
Tipo de Reunión: Seguimiento Toma de
Decisiones Informativa X
AGENDA
Orden del Día Abordado Completado Si No Si No
1 Inducción al tema de la protección de datos X X
2 Definición de actividades y compromisos para iniciar con el ciclo de implementación para la protección de datos
X X
3 Compromisos generales X X DESARROLLO DE LA REUNIÓN
Asunto Comentarios y acciones Decisiones
1. Inducción al tema de la protección de
datos
Teniendo en cuenta lo presupuestado en la Ley 1581 de 2012, relativo al Registro Nacional de Bases de datos, y a los Decretos 1377 de 2013, 886 de 2014, y Circular No. 2 de la SIC de 2015, es prioridad para la Universidad Católica Luis Amigó la implementación de un sistema de gestión de protección de datos, que además se articule al ya existente Sistema de Gestión por Procesos; logrando así, que el tema de protección de datos se convierta en un compromiso institucional y en parte de su quehacer, y no solo en una respuesta a un requisito legal. Dicho Sistema debe ser implementado desde el Ciclo conocido como RAUCS (Recepción, Almacenamiento, Uso, Circulación y Supresión de la información); así mismo, es importante ir avanzando en su aplicación, ya que entre los meses de julio y agosto, cuando se formalice el tema, las instituciones estarán en la obligación legal de registrar las bases de datos ante la SIC, contando con un año para dicho fin. Asimismo, es importante tener en cuenta, para la definición de las bases de datos de la Funlam, los tres campos o tipos de información o datos requeridos, que además deberán estar descritos en
102
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
las caracterizaciones de los procesos, y que están explicitados en la Resolución Rectoral No. 20 del 1 de octubre de 2015. Dichos campos son: • Información o dato público: es el dato que no
es semiprivado, privado o sensible. Se consideran datos públicos, entre otros, los datos relativos al estado civil de las personas, profesión u oficio, calidad de comerciante o servidor público. Por su naturaleza pueden estar contenidos en registros públicos, documentos públicos, gacetas, boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
• Información o dato semiprivado: es el dato que no tiene naturaleza íntima, reservada ni pública y cuyo conocimiento o divulgación puede interesar no solo a su titular sino a cierto sector o grupo de personas o a la sociedad en general; este tipo de datos requieren de autorización previa del titular para ser reportados a las bases de datos y poder circular (Superintendencia Financiera de Colombia).
• Información o dato sensible: son aquellos que
afectan la intimidad del titular o cuyo uso indebido puede generar discriminación, tales como el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales o de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos. Siempre requiere la autorización del titular, y su uso estará limitado a lo estipulado por la Ley.
2. Definición de
actividades
Con el objetivo de iniciar el ciclo de implementación para la Protección de Datos, la Funlam realizará las siguientes actividades.
103
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
para iniciar con el ciclo
de implementaci
ón para la protección de
datos
• Inventario de bases de datos: hacer un
inventario de las bases de datos de personas naturales con las que cuenta la Funlam. En este inventario se debe dar cuenta de: i) las unidades que recopilan información de personas; ii) qué clase de información se recopila de dichas personas, teniendo en cuenta los tres campos indicados en el punto uno de esta acta: información pública, información semiprivada, e información sensible; iii) cómo se almacena dicha información (digital o física); iv) cuál información, de la recopilada, permanece en los archivos institucionales; y v) mecanismos de resguardo y protección de dicha información, especialmente la sensible.
Teniendo en cuenta que esta Ley es nacional, es importante trabajar en conjunto con los Centros Regionales, para lo que se define enviar una carta radicada, desde la Dirección de Planeación, en la que se les pida la información indicada en el párrafo anterior.
• Integración de bases de datos para el control:
con el inventario delimitado, que dé cuenta de las bases de datos institucionales, se deberá definir cuáles de ellas se pueden controlar e integrar, en tanto la idea es reducir al máximo las bases de datos existentes; esto, atendiendo a que en la SIC se deben registrar todas. Este punto es importante revisarlo ya que en la Funlam se cuenta con bases de datos originales y otras derivadas (se amplía la original), lo que genera muchas bases de datos que pueden ser integradas en una sola, permitiendo así un control más responsable y puntual.
Para este punto de análisis sobre las bases de datos que pueden integrarse, es necesaria la participación del Coordinador del Departamento Sistema Universitario de Información y de la Coordinadora del Departamento de Infraestructura y Desarrollo
104
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
Tecnológico para la Educación. Es importante, desde ahora, tener claro que cuando el sistema esté maduro, este requerirá de un responsable; es decir, la Funlam deberá definir quién será el Administrador de las bases de datos institucionales, para quien se debe diseñar un perfil que, entre otras cosas, tenga en cuenta el conocimiento de todo el ciclo RAUCS.
3. Compromisos generales
En aras de avanzar en el proceso de implementación del Sistema de Gestión de Protección de Datos, se establecen los siguientes compromisos generales:
• Leer y analizar los documentos legales, específicos del tema: Ley 1581 de 2012, Decretos 1377 de 2013 y 886 de 2014, y Circular No. 2 de la SIC de 2015.
• Iniciar con la sistematización de evidencias sobre el avance institucional en materia de protección de datos (actas de reuniones del equipo base, actas del Comité Rectoral, informes, correos electrónicos, y demás documentación que sustente el trabajo permanente en este tema).
COMPROMISOS
Compromiso Responsable Fecha Límite
Cumplimiento
Si No En proceso
Leer y analizar los documentos legales específicos del tema
Coordinación del Sistema de Gestión por Procesos y
Dirección de Planeación Próxima
Reunión
X
Sistematización de evidencias sobre los
avances de la implementación del
Sistema de Gestión de Protección de Datos
Asistente de Planeación X
105
Realizar inventario de bases de datos institucionales
Coordinación del Sistema de Gestión por Procesos
X
Enviar carta a los Centros Regionales para solicitar información de bases de
datos
Coordinación del Sistema de Gestión por Procesos y
Dirección de Planeación
X
DOCUMENTOS ANEXOS Descripción Tipo Origen
PRÓXIMA REUNIÓN Lugar: Oficina Dirección de Planeación Fecha: 23/06/2016 Hora: 09.00hs
ASISTENCIA
Nombre Convocado Cargo Asistió Observación Si No Gustavo Ríos Fernández Director de Planeación X
Francisco Javier Acosta Gómez Secretario General X
Magdalena Trujillo Arango
Coordinadora del Sistema de Gestión por Procesos
X
Diego Alejandro Pérez Múnera
Asistente de Planeación X
INVITADOS
Nombre Convocado Cargo Asistió Observación Si No
Acta elaborada por: Diego Alejandro Pérez Múnera Fecha: 26/05/2016
106
Firmas GUSTAVO RÍOS FERNÁNDEZ Director de Planeación
FRANCISCO JAVIER ACOSTA GÓMEZ Secretario General
MAGDALENA TRUJILLO ARANGO Coordinadora Sistema Gestión por Procesos
DIEGO ALEJANDRO PÉREZ MÚNERA Asistente de Planeación
No. 2
ACTA DE REUNIÓN
Código:
FO-AP-001
Versión: 2
Fecha: 28-05-2013
Evento: Comité Habeas Data. Acta Número: 02
INFORMACIÓN BÁSICA
Propósitos de la
Reunión
Conocer los alcances del Convenio de Contratación Colectiva Protección de Datos con el CES
Fecha: 12 de agosto de 2016 Lugar: Sala de Reuniones Piso
10
Hora de inicio Hora de finalización
08.00 am 09.00 am
107
Tipo de Reunión: Seguimiento Toma de
Decisiones Informativa X
AGENDA
Orden del Día Abordado Completado Si No Si No
1 Presentación del Comité y propósito de la reunión X X
2 Alcances del Convenio Contratación Colectiva Protección de Datos con el CES X X
3 Compromisos generales X X DESARROLLO DE LA REUNIÓN
Asunto Comentarios y acciones Decisiones
1. Presentación del Comité y propósito de la reunión.
Además de presentar los integrantes del comité, que se relacionan al final del acta, se indica que, teniendo en cuenta la propuesta de contratación colectiva con la Universidad CES, en lo relacionado con la protección de datos personales, la reunión presenta como objetivo conocer los alcances de dicha propuesta, en tanto la Funlam tiene como expectativa la definición de las rutas y el trabajo necesario para efectuar el registro de las bases de datos y el seguimiento que se le debe dar a las mismas. Además, se informa que, a la fecha, la Funlam ha realizado una reunión del Comité de Habeas Data, además del ejercicio de construcción del inventario de bases de datos institucionales, entre originales y derivadas, sin contar aquellos datos impresos que no están siendo controlados.
2. Alcances del Convenio Contratación
Colectiva Protección de Datos con el
CES
El Consultor representante del convenio, presenta los alcances de la propuesta, a partir de los siguientes puntos:
1. Política de Protección de Datos. Se recomienda la revisión de la Política de Protección de Datos con la que cuenta la Funlam desde octubre de 2015, en tanto es muy extensa; así las cosas, es importante hacerla puntual, para
Enviar modelo de contrato para revisión y aprobación. Enviar plan de trabajo/cronograma de actividades.
108
DESARROLLO DE LA REUNIÓN
Asunto Comentarios y acciones Decisiones que pueda ser comunicada y entendida por los titulares. Aunque se respeta la redacción jurídica y el estilo normativo de cada Institución, el proyecto podrá sugerir cambios en la Política, y la Institución define si los acoge.
2. Capacitación, sensibilización y formación
Para este tema se realizará un plan, teniendo en cuenta la presencialidad, desde las inducciones y reinducciones, y la virtualidad, haciendo uso de la plataforma educativa virtual con la que cuenta la Funlam. Este punto es fundamental, en tanto la comunidad debe tener pleno conocimiento sobre el tema de la protección de datos, y específicamente sobre las sanciones que conduce su no cumplimiento. Sobre el procedimiento para capacitar a los centros regionales, se aclara que el convenio solo es local, por tanto, en caso de realizar alguna actividad por fuera de la sede Medellín, se cotizará dicho servicio, de manera separada; allí, se tendrán en cuenta los viáticos y gastos de viaje, porque la capacitación, como tal, no tendría ningún costo. No obstante, se recomienda para los centros regionales, el uso de la plataforma Dicom; además, la capacitación la pueden realizar los mismos integrantes de la Funlam Medellín, que ya hayan sido formados, es decir, estos pueden multiplicar a los Centros la información recibida. Con lo anterior, el Secretario General de la Funlam solicita que dicha aclaración sea incluida en el contrato. Además, como parte del proyecto, se realizará un hacking ético, que permitirá tener más conocimiento sobre el tratamiento que la Funlam viene dando a los datos y a la información de los usuarios.
109
DESARROLLO DE LA REUNIÓN
Asunto Comentarios y acciones Decisiones
3. Intervención de documentos
Se tendrá en cuenta la intervención, parametrización y formalización de documentos. Es importante aclarar que, aunque el convenio presenta unos documentos mínimos entregables, la Funlam puede solicitar la revisión de los que considere necesario, es decir no existe límite. Según lo anterior, todos los formatos que solicitan información personal serán intervenidos, en tanto los mismos, deben llevar una nota aclaratoria sobre la función o el uso que la Funlam le dará a los datos que está recolectando. Aunque la forma se definirá con el avance del proyecto, se indica que las notas aclaratorias se pueden unificar o agrupar por temas; es decir, un solo texto para los formatos, otro para los contratos, entre otros, según las particularidades de la Institución.
4. Oficial de Tratamiento de Datos Es importante que la Funlam defina un Oficial de Tratamiento de Datos, es decir la persona que será responsable del tema de protección de datos Funlam; no obstante, y teniendo en cuenta la magnitud de la Institución, se recomienda pensar en los oficiales que serán los responsables; asunto que será debatido posteriormente frente a sus perfiles. Así mismo, estos oficiales tendrán la colaboración directa de lo que se llamarán guardianes de tratamiento de datos, que posiblemente pueden ser los líderes de proceso o los coordinadores de las unidades, quienes se encargarán de reportar sus particulares a los oficiales, y en trabajo conjunto garantizarán el tratamiento adecuado de los datos. Entonces, será responsabilidad de la Funlam delimitar o seleccionar a las personas que cumplirán los roles establecidos: oficial 1, oficial 2 y guardianes por área.
110
DESARROLLO DE LA REUNIÓN
Asunto Comentarios y acciones Decisiones Se aclara que, como parte del proyecto, además de una persona que acompañe su implementación, se tendrá una segunda que se encarga de lo operativo, es decir del montaje a la plataforma de la SIC de las bases de datos que reportará la Institución, y que deberán ser modificadas, hasta 2018, cada dos meses, cuando estas presenten modificaciones sustanciales. Para esto los Consultores, revisarán y validarán el inventario ya realizado por la Funlam, para su ampliación respectiva. En este punto, es necesario trabajar en la Cultura, porque solo de ella depende que los empleados se apropien del tema, y entre todos se realice un apropiado tratamiento de datos.
5. Ruta de procesos Es necesario establecer una ruta de procesos, específicamente en lo relacionado con: proceso de consultas y proceso de reclamos (PQRS); así, se realizará un diagnóstico para conocer cómo la Funlam responde a los usuarios en todo el tema de datos (actualizar, corregir, eliminar, entre otros procedimientos). Es necesario, desde la capacitación, abordar los mitos y lograr que la comunidad conozca los alcances y límites del tratamiento de datos, para que se sepan dar las respuestas correctas. Como ejemplo, se indica que cuando un graduado solicita se le borren sus datos de la Institución, la única respuesta correcta es que no es posible, porque mientras exista una relación contractual u obligacional se debe permanecer en la base de datos.
6. Registro Nacional de datos La Institución tendrá un usuario y una contraseña para el registro de la información; es importante aclarar que no se suben las bases de datos, sino un inventario con información de lo que contienen dichas bases de datos; para esto, se tiene una plantilla con la información que será aplicada en la plataforma, y
111
DESARROLLO DE LA REUNIÓN
Asunto Comentarios y acciones Decisiones contiene aproximadamente 80 items; esta será diligenciada en su momento, después de definir las bases de datos que serán registradas. Sobre algunas preguntas realizadas al Consultor, se discriminan las siguientes consideraciones: i) el archivo histórico se puede registrar como inactivo; ii) la Funlam no trata las bases de datos del consultorio odontológico, en tanto es un arrendamiento; esto aplica porque la Institución no comparte, con dicho consultorio sus bases de datos, sino que estos tienen sus particulares; iii) la Funlam, teniendo en cuenta las excepciones por mandato legal, no podrá negarse a entregar datos a entidades como el Dane, el Ministerio de Educación Nacional o la Fiscalía, en tanto estas tienen la autoridad para tratar los datos; no obstante, deberán cumplir con las medidas de seguridad de dicha información, en tanto de este tema no están exentas; así las cosas, la Funlam debería tener un formato para la entrega de los datos a estas entidades; iv) en relación con los registros fotográficos, cuando son fotografías individuales, también se debe tener un formato de autorización para el tratamiento de las mismas, que podrá ser revocado por el usuario cuando lo desee; v) se recomienda, que desde el mismo momento de la matrícula se logre la autorización del usuario para el tratamiento de toda su información; vi) en relación con las redes sociales, en las que la Funlam tiene incidencia, no se toman como bases de datos, siempre y cuando no sean medio de contacto; no obstante, para salvaguardar la Funlam, se recomienda que en las mismas se presente un aviso que indique que dicha red social no es medio de almacenamiento de datos ni medio para la consulta.
3. Compromisos
generales
En aras de avanzar en el proceso, se establecen los siguientes compromisos generales por parte del Consultor:
112
DESARROLLO DE LA REUNIÓN
Asunto Comentarios y acciones Decisiones • Enviar a la Institución el modelo de contrato para
su revisión inicial, por parte del Secretario General, y luego la gestión de las firmas respectivas (Rector y Área Jurídica).
• Enviar un plan de trabajo o cronograma donde se
indiquen las actividades que serán realizadas en los tiempos de la consultoría, y que inician el primero de septiembre y se ejecutarán en 8 semanas. Este cronograma tendrá un espacio para que la Funlam defina las personas que participarán.
Según el último compromiso, se define que, cada ocho días, se realizará la reunión de Comité Institucional de Habeas Data, los jueves entre las 08.00 y las 09.00hs. Cada reunión, según las particularidades del tema a tratar, tendrá invitados de unidades o líderes de proceso.
COMPROMISOS
Compromiso Responsable Fecha Límite
Cumplimiento
Si No En proceso
Enviar modelo de contrato para la revisión por parte del Secretario General
Consultor externo
12 agosto 2016
X
Enviar plan o cronograma de trabajo
Consultor externo
12 agosto 2016
X
DOCUMENTOS ANEXOS Descripción Tipo Origen
PRÓXIMA REUNIÓN Lugar: Sala de reuniones piso 10 Fecha: 01/09/2016 Hora: 08.00hs ASISTENCIA Nombre Convocado Cargo Asistió Observación
113
Si No Gustavo Ríos Fernández Director de Planeación X
Francisco Javier Acosta Gómez Secretario General X
Hillmer Alirio Chona Moreno
Coordinador Departamento Universitario de Información
X
Myriam Esperanza Ruiz Romero
Coordinadora Departamento de Infraestructura y Desarrollo Tecnológico para la Educación
X
Magdalena Trujillo Arango
Coordinadora del Sistema de Gestión por Procesos
X
Piedad Amparo Saldarriaga Puerta
Asistente Departamento de Infraestructura y Desarrollo Tecnológico para la Educación
X
Diego Alejandro Pérez M.
Asistente de Planeación X
INVITADOS
Nombre Convocado Cargo Asistió Observación Si No Diego Martín Buitrago Botero Consultor CES X
Acta elaborada por: Diego Alejandro Pérez Múnera Fecha: 12/08/2016
Abog. FRANCISCO JAVIER ACOSTA G. Secretario General
DIEGO ALEJANDRO PÉREZ MÚNERA Asistente de Planeación
114
No. 3
ACTA DE REUNIÓN
Código:
FO-AP-001
Versión: 2
Fecha: 28-05-2013
Evento: Comité Habeas Data. Acta Número: 03
INFORMACIÓN BÁSICA
Propósitos de la
Reunión
Socializar las primeras actividades del plan de trabajo, con sus respectivas tareas y responsables.
Fecha: 01 de septiembre de 2016
Lugar: Sala de Reuniones Piso 10
Hora de inicio Hora de finalización
08.00 am 09.00 am Tipo de Reunión: Seguimiento X Toma de
Decisiones Informativa
AGENDA
Orden del Día Abordado Completado Si No Si No
1 Entrega contrato para firma X X 2 Socialización plan de trabajo X X
DESARROLLO DE LA REUNIÓN
Asunto Comentarios y acciones Decisiones 1. Entrega
convenio para firma
El Consultor realiza la entrega del contrato para gestionar la firma del Rector General de la Funlam.
2. Socialización
El Consultor representante del convenio, presenta las primeras cuatro actividades que
Enviar Política revisada
115
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones plan de trabajo
se desarrollarán, en torno al convenio de tratamiento de datos personales:
1. Revisión, diagnóstico en el tratamiento de datos personales y redacción de Política
Se indica que la Política de Tratamiento de Datos Personales de la Funlam se encuentra en producción; así las cosas, los resultados de la primera revisión –con las observaciones y recomendaciones-, realizadas por la entidad consultora, serán enviados a la Funlam el 05 de septiembre (lunes) para su aprobación final. Dicho ejercicio de aprobación, oficialización y publicación de la Política en el sitio web de la Funlam, tiene como fecha el 15 de septiembre (jueves). Entre tanto es importante tener en cuenta los siguientes aspectos: i) que la Política dé cuenta de todas las finalidades de la Funlam para el tratamiento de los datos personales; se recomienda que dichas finalidades se definan por áreas (docentes, graduados, estudiantes, extensión e investigación); igual, la Funlam podrá definir si lo hace por áreas o de manera general; ii) definición de procedimientos, que serán enviados por la entidad consultora, tanto el procedimiento particular para el trámite de consultas, como el trámite de requerimientos; y iii) definición del área donde estará el oficial de tratamiento de datos de la Funlam; esto permitirá identificar el perfil, los roles y las responsabilidades de dicho oficial, para determinar la necesidad de un nuevo cargo, o sí se puede cargar a uno ya existente. Para esto es importante pensar en un área que tenga fluidez con las demás dependencias y disponibilidad para todo lo que demanda el tratamiento de datos personales. Sobre este tema, se recomienda tener en cuenta unidades transversales como: Dirección de Planeación,
Aprobar, oficializar y publicar la Política. Elaborar plan de capacitación. Definir áreas responsables del oficial de tratamiento de datos personales.
116
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
Departamento de Gestión Humana, Vicerrectoría Administrativa y Financiera y Secretaría General.
2. Elaboración de un plan de capacitación al personal relacionado con el tratamiento de datos
Se define que la capacitación deberá realizarse tanto presencial como virtual, para lo que es necesario trabajar en conjunto con el Departamento de Gestión Humana y el Departamento de Educación Virtual y a Distancia. Además, para dicha capacitación se recomiendan los siguientes frentes:
• Socializaciones de desarrollo institucional (último jueves de cada mes).
• Comité de Funciones Sustantivas, con conexión de Centros Regionales.
• Encuentro con líderes de procesos –
Coordinadores de unidades.
• Plataforma Moodle (Dicom). Es importante esta estrategia virtual, en tanto podría quedar como un curso de capacitación que debe ser realizado por los empleados nuevos que ingresen a la Funlam. Para este tema, la entidad consultora, con el aval de la Institución, realiza el diseño instruccional del curso.
Se indica que para dicho ejercicio de capacitación, cada empleado, como mínimo, deberá dedicar una hora. Así las cosas, la Funlam debe definir la manera de organizar los tiempos para garantizar la participación de toda la comunidad. También, y como evidencias del proceso, se tendrán en cuenta los listados de
117
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
asistencia y documentos memoria en formato Word y PPT. Finalmente, para esta actividad, se tienen los siguientes compromisos:
• Entidad consultora: enviar al correo del Departamento de Gestión Humana ([email protected]) una propuesta de capacitación, donde se indiquen temáticas, tiempos requeridos, niveles y demás información importante para el proceso (lunes 05 de septiembre).
• Funlam: con la propuesta inicial, el Departamento de Gestión Humana, define el plan de capacitación final para su puesta en marcha (miércoles 14 de septiembre). Esta propuesta sería revisada por el Comité de Habeas Data en la reunión del jueves 15 de septiembre.
Se consultará la viabilidad de que el Consultor externo participe como invitado en la reunión del Comité de Formación, Capacitación y Desarrollo Humano, programada para el 12 de septiembre, con el fin de socializar la propuesta, y así se tomen las decisiones concernientes.
3. Revisión y recomendaciones a documentos legales relacionados con el tratamiento de datos personales
En el desarrollo de esta actividad la entidad consultante, revisa, recomienda y redacta, en caso de ser necesario, documentos genéricos aplicables a la Funlam, relacionados con el tratamiento de datos personales. De esta actividad, como evidencia, se tendrán los acuerdos de confidencialidad, acuerdo para
118
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
compartir datos personales, uso, aviso de tratamiento de datos personales, entre otros. Para todo lo anterior, se debe facilitar a la entidad consultora todo tipo de documentos en los que se realiza tratamiento de datos. En este sentido, se habla de intervenir, inicialmente, todos los documentos formalizados y categorizados por la Coordinación del Sistema de Gestión por Procesos; para ello, se gestiona el acceso del Consultor a la Intranet institucional, donde podrán descargar los documentos. Finalmente, los textos intervenidos, serán enviados por la entidad consultora, hasta el jueves 22 de septiembre. Dependiendo de la revisión, se enviarán paquetes de documentos. Además, es importante tener en cuenta que, a partir de la mencionada fecha, se realizará un inventario de los documentos institucionales que tratan datos personales pero que no están formalizados ni categorizados desde el Sistema de Gestión por Procesos, para su respectiva revisión y tratamiento. Además de lo anterior, la entidad consultora propondrá el diseño de algunos documentos importantes, que sí bien no existen en la Funlam, son fundamentales para el tema de Habeas Data; esto hace parte de los mínimos entregables.
4. Definición de perfiles de Oficiales de Tratamiento de Datos Personales
En esta actividad se definen los perfiles, roles, funciones, responsabilidades y procedimientos que deben cumplir los oficiales de tratamiento de datos dentro de la Funlam. La evidencia sería la guía para definición y roles de oficiales de tratamiento de datos.
119
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
Lo anterior, será también tratado con el Departamento de Gestión Humana; para ello, se propone una reunión para el jueves 8 de septiembre, entre las 08.00 y las 08.30hs, en la que se definan las posibles áreas encargadas.
COMPROMISOS
Compromiso Responsable Fecha Límite
Cumplimiento
Si No En proceso
Enviar la Política con las observaciones y
recomendaciones
Consultor externo
05 de septiembre
2016 X
Enviar propuesta de capacitación, donde se
indiquen temáticas, tiempos requeridos,
niveles y demás información importante
para el proceso
Consultor externo
05 de septiembre
2016 X
Enviar datos e instructivo, al Consultor, para acceso a la Intranet
Funlam (consulta documentos).
Asistente de Planeación
05 de septiembre
2016 X
Reunión para determinar posibles áreas
responsables del Oficial de Tratamiento de Datos
Comité Habeas Data
09 de septiembre
2016 X
Definir plan de capacitación en
tratamiento de datos personales
Departamento de Gestión Humana
14 de septiembre
2016 X
120
Aprobar, oficializar y publicar en el sitio web de la Funlam la Política de tratamiento de datos
personales
Secretaría General
15 de septiembre
2016 X
Entrega de documentos intervenidos
Consultor externo
22 de septiembre
2016 X
DOCUMENTOS ANEXOS Descripción Tipo Origen
PRÓXIMA REUNIÓN Lugar: Sala de reuniones piso 10 Fecha: 08/09/2016 Hora: 08.30hs ASISTENCIA
Nombre Convocado Cargo Asistió Observación Si No Gustavo Ríos Fernández Director de Planeación X
Francisco Javier Acosta Gómez Secretario General X
Hillmer Alirio Chona Moreno
Coordinador Departamento Universitario de Información
X
Myriam Esperanza Ruiz Romero
Coordinadora Departamento de Infraestructura y Desarrollo Tecnológico para la Educación
X
Magdalena Trujillo Arango
Coordinadora del Sistema de Gestión por Procesos
X
Piedad Amparo Saldarriaga Puerta
Asistente Departamento de Infraestructura y Desarrollo Tecnológico para la Educación
X
Diego Alejandro Pérez Múnera
Asistente de Planeación X
121
INVITADOS
Nombre Convocado Cargo Asistió Observación Si No Diego Martín Buitrago Botero Consultor CES X
Luis Alberto Arango Consultor CES X
Paula Andrea Posada Betancur
Coordinadora Departamento de Gestión Humana
X
Acta elaborada por: Diego Alejandro Pérez Múnera Fecha: 01/09/2016
Abog. FRANCISCO JAVIER ACOSTA G. Secretario General
DIEGO ALEJANDRO PÉREZ MÚNERA Asistente de Planeación
No. 4
ACTA DE REUNIÓN
Código:
FO-AP-001
Versión: 2
Fecha: 28-05-2013
Evento: Comité Habeas Data Acta Número: 04
INFORMACIÓN BÁSICA
122
Propósitos de la
Reunión
Definir el perfil del Oficial de Tratamiento de Datos, revisar estado de los compromisos y continuar con la asesoría sobre tratamiento de datos.
Fecha: 08 de septiembre de 2016
Lugar: Sala de Reuniones Piso 10
Hora de inicio Hora de finalización
08.00 am 10.00 am Tipo de Reunión: Seguimiento X Toma de
Decisiones Informativa
AGENDA
Orden del Día Abordado Completado Si No Si No
1 Definición de perfil Oficial de Tratamiento de Datos X X 2 Asesoría tratamientos de datos personales X X 2 Estado de los compromisos X X
DESARROLLO DE LA REUNIÓN
Asunto Comentarios y acciones Decisiones
1. Definición de perfil
Oficial de Habeas Data
Teniendo en cuenta la necesidad de contar con un Oficial de Tratamiento de Datos, y en aras de diseñar su perfil, para la decisión final de sí se requiere un cargo nuevo o sí se designa esta responsabilidad a una persona ya contratada, se definen las siguientes consideraciones: Es importante, en primer lugar, diferenciar los siguientes roles, que estarán delimitados en el Manual de Tratamiento de Datos: • Responsable: en este caso es la Funlam,
como institución. • Encargado: persona que tiene disposición
de las bases de datos (tercero). • Oficial: la persona que define la Institución
para gestionar lo relacionado con tratamiento de datos.
Con lo anterior, es importante que se defina, más que una persona, a la unidad o área que será responsable del Tratamiento de Datos, y
El Oficial de Tratamiento de Datos estará adscrito a la Dirección de Planeación, específicamente a la Coordinación del Sistema de Gestión por Procesos.
123
DESARROLLO DE LA REUNIÓN
Asunto Comentarios y acciones Decisiones a la que se adscribirá el oficial designado. Se indica, en primera instancia, que las unidades posibles son: Vicerrectoría Administrativa y Financiera, Dirección de Planeación, Secretaría General y Departamento de Gestión Humana. Finalmente, y después de una reflexión del Comité, guiada por criterios de funcionalidad y desde la Estructura Orgánica, se define que el Oficial de Tratamiento de Datos, estará en la Dirección de Planeación, específicamente en la Coordinación del Sistema de Gestión por Procesos. Dentro de los criterios para la toma de esta decisión se destacan:
• La experiencia de otras instituciones
educativas, que también han definido la Dirección de Planeación como la encargada de gestionar el tratamiento de datos.
• La Dirección de Planeación, por su direccionamiento estratégico, y por ende carácter transversal, tiene contacto con todas las unidades de la Institución.
• Por la funcionalidad, en tanto a la
Dirección de Planeación se suscriben unidades que son clave en el tema de datos, como lo son: Coordinación del Sistema de Gestión por Procesos (procesos y procedimientos), Sistema Universitario de Información (aseguramiento de datos) y Departamento de Infraestructura y Desarrollo Tecnológico para la Educación. Además, la encargada de reportar información, tanto externa como internamente, es la Dirección de Planeación.
124
DESARROLLO DE LA REUNIÓN
Asunto Comentarios y acciones Decisiones No obstante, se recuerda que la unidad que tiene a cargo el tratamiento de datos, será la responsable general de gestionar dicho tema, pero para su desarrollo es necesaria la participación de todas las unidades, quienes también serán responsables; por ello, se habla de la figura del Guardián de Datos, que en definitiva será la persona de cada unidad que apoye al Oficial en lo que implique el tratamiento de datos. Además, se recomienda continuar con la figura del Comité de Habeas Data, para dar soporte a dicho proceso y realizar el seguimiento oportuno. En este punto, la Vicerrectora Administrativa y Financiera recomienda que el tema sea tratado en un comité ya existente, para no llenar la Institución de estos cuerpos colegiados; propone, que lo concerniente al Tratamiento de Datos, se aborde desde el Comité de Compras y Desarrollo Tecnológico. En conclusión, cuando se defina el Oficial de Datos, también se decidirá sobre el comité que le acompañe. Así las cosas, el Oficial encargado de Tratamiento de Datos, tendrá las siguientes funciones: • Implementar las Políticas de tratamiento de
datos de la Funlam.
• Administrar las bases de datos existentes. • Mantener actualizadas las bases de datos
(control de ingresos y egresos). • Reportar la existencia de las bases de
datos y las modificaciones ante la SIC.
125
DESARROLLO DE LA REUNIÓN
Asunto Comentarios y acciones Decisiones • Recibir las solicitudes de consulta y
reclamo, en lo relacionado con el Tratamiento de Datos.
• Realizar gestión, con las unidades
respectivas, para dar respuesta a las consultas o reclamos.
• Dar respuesta a las consultas o reclamos.
(Para este punto es importante tener en cuenta los plazos, así: i) Consulta: diez días hábiles, que se pueden extender por cinco días más, informando al usuario; ii) Reclamo: 12 días, con extensión de ocho).
• Tener contacto con la SIC frente a
requerimientos. • Monitorear el sistema (control sobre las
bases de datos). • Controlar todos los documentos de la
Funlam, para verificar la necesidad de su tratamiento. (En este punto, y reconociendo que las unidades tienen formatos particulares, que no se controlan, se indica que todo documento debe pasar tanto por el Sistema de Gestión por Procesos, como por el oficial de tratamiento de datos).
• Reportar los incidentes ante la SIC.
• Generar y realizar seguimiento a los
reportes que exige la SIC. • Sensibilizar permanentemente a la
comunidad institucional en lo relacionado con el Tratamiento de Datos. Para esto, es importante tener como estrategias la inducción (personal nuevo, que como requisito deberá capacitarse en el tema, y
126
DESARROLLO DE LA REUNIÓN
Asunto Comentarios y acciones Decisiones tener su certificado como aval), y la reinducción (personal antiguo, que debe estar enterado de los cambios en la normatividad y demás información que es dinámica)
• Diseñar los protocolos de la administración
de los datos.
Lo anterior, indica que el Oficial de Datos tiene una función más de corte administrativo, con entendimiento básico del aspecto tecnológico. Además, debe garantizar: altas habilidades comunicativas, para el contacto directo y cercano con todas las unidades de la Institución; proactividad; pensamiento preventivo; en definitiva, ser una persona de manejo y confianza para la Funlam. Se propone que no tenga perfil de asistente, sino de profesional en Tratamiento de Datos. Por su parte, y sobre el tiempo de dedicación, el Consultor indica que ello depende de la dinámica institucional, en tanto algunas organizaciones designan a una persona con exclusividad de tiempo para el Tratamiento de Datos, mientras que otras lo suman como una función más de un empleado ya contratado. Este tema será revisado, ya que las funciones descritas anteriormente sientan la necesidad de una persona con tiempo completo para dicha gestión. Teniendo en cuenta lo anterior, se solicita a la entidad consultora, aparte de las capacitaciones generales, se orienten algunas específicas para el Oficial y la unidad que le suscribe. Asimismo, se solicita ajustar el perfil del Oficial de Tratamiento de Datos en el formato “perfil del cargo”, usado por la Funlam, y que será enviado al Consultor desde el Departamento de Gestión Humana.
127
DESARROLLO DE LA REUNIÓN
Asunto Comentarios y acciones Decisiones También, el Consultor indica que se deben tener los datos de contacto del área y del Oficial (nombres, correos, teléfonos, direcciones físicas), en tanto ello debe quedar explícito en el Manual de Tratamiento de Datos. Todo lo anterior, además, quedará plasmado en el Procedimiento de Tratamiento de Datos que será entregado a la Funlam por parte de la entidad consultora; en dicho documento se presenta todo el flujo del proceso.
2. Asesoría tratamientos
de datos personales
Continuando con el trabajo de acompañamiento en el tema mencionado, se delimitan las siguientes consideraciones: • Es fundamental tener claridades sobre el
encargo de las bases de datos. Así, cuando un tercero tiene disposición de las bases de datos debe cumplir con dos requisitos importantes: i) certificación de Política de Tratamiento de Datos; y ii) firma de convenio o acuerdo para compartir y tratar datos, indicando claramente la finalidad puntual. De no cumplirse lo anterior, en el caso de alguna fuga del dato, la responsabilidad recae sobre la Funlam. Entonces, lo importante es el encargo, la responsabilidad, que se cumpla con el mínimo de diligencia. Se recomienda a la Funlam delimitar los contratos que se tienen a la fecha con entidades externas para compartir datos y verificar que en dichos convenios se certifique el tratamiento de bases de datos.
• Teniendo en cuenta casos puntuales que se socializan en la reunión, específicamente sobre encargo a terceros de tratamiento de datos, se delimita que es importante que, tanto los contratos de los docentes como los contratos de prestación
Revisar casos de encargo de bases de datos. Definir plan de capacitación en el Comité de Capacitación, Promoción y Desarrollo Humano Citar a reunión a unidades estratégicas para verificar el tratamiento de datos.
128
DESARROLLO DE LA REUNIÓN
Asunto Comentarios y acciones Decisiones de servicios, se les ponga una cláusula de tratamiento de datos personales. En este punto es importante revisar el caso puntual de la Señora Ángela María Giraldo García, con quien se tiene un contrato por prestación de servicios, y con encargo de bases de datos, pero sin el tratamiento adecuado; entonces, se debe verificar que la mencionada certifique política de tratamiento de datos, y se firme un convenio para compartir y tratar datos, indicando la finalidad específica.
• Sobre la capacitación a la Funlam en
Tratamiento de Datos, se indica que el primer espacio será el de la Socialización de Desarrollo Institucional, que congrega a toda la comunidad, y que será realizado el 29 de septiembre entre las 15.30 y las 17.00hs. Esta capacitación estará dirigida por el Consultor externo. Por otra parte, el plan de capacitación en dicho tema, será delimitado en el Comité de Capacitación, Promoción y Desarrollo Humano, realizado el lunes 12 de septiembre, desde las 07.00hs, y en el que estará como invitado el Consultor externo.
• Ante una duda sobre los registros
audiovisuales, se indica que la Funlam debe contar con un formato para autorización de imagen, video y audio (este será entregado por la entidad consultora).
• Con el objetivo de conocer cómo se están
tratando los datos en la función de mercadeo y virtualidad, se recomienda una reunión con el Coordinador de la Oficina de Comunicaciones y Relaciones Públicas, el Auxiliar de Mercadeo, y el Coordinador del Departamento de Educación Virtual y a
129
DESARROLLO DE LA REUNIÓN
Asunto Comentarios y acciones Decisiones Distancia. La Secretaría General realizará la citación respectiva.
3. Estado de los
compromisos
Teniendo en cuenta los compromisos, definidos en la anterior reunión, se reprograman los siguientes:
• Enviar la Política de Tratamiento de Datos con las observaciones y recomendaciones –Consultor externo- (lunes 12 de septiembre).
• Enviar propuesta de capacitación, donde se indiquen temáticas, tiempos requeridos, niveles y demás información importante para el proceso –Consultor externo- (viernes 09 de septiembre, será socializado en Comité de Capacitación, Promoción y Desarrollo Humano).
Reprogramar compromisos de la reunión anterior.
COMPROMISOS
Compromiso Responsable Fecha Límite
Cumplimiento
Si No En proceso
Enviar Formato “Perfil de cargo” al Consultor para el diseño del Perfil del
Oficial de Tratamiento de Datos
Departamento de Gestión Humana
09 de septiembre
de 2016 X
Enviar propuesta de capacitación, donde se
indiquen temáticas, tiempos requeridos,
niveles y demás información importante
para el proceso
Consultor externo
09 de septiembre
2016 X
130
Entrega resultados depuración de bases de
datos
Consultor externo
09 de septiembre
de 2016 X
Enviar la Política con las observaciones y
recomendaciones
Consultor externo
12 de septiembre
2016 X
Enviar perfil del Oficial de Tratamiento de Datos, ajustado al formato Funlam
Consultor externo
15 de septiembre
de 2016 X
Envío del procedimiento (flujograma) para el
Tratamiento de Datos personales
Consultor externo
15 de septiembre
de 2016 X
Reunión con el Coordinador de la
Oficina de Comunicaciones y
Relaciones Públicas, el Auxiliar de Mercadeo, y
el Coordinador del Departamento de
Educación Virtual y a Distancia
Secretaría General
16 de septiembre
2016 X
DOCUMENTOS ANEXOS Descripción Tipo Origen
PRÓXIMA REUNIÓN Lugar: Sala de Reuniones piso 10 Fecha: 15/09/2016 Hora: 08.00hs ASISTENCIA
Nombre Convocado Cargo Asistió Observación Si No Gustavo Ríos Fernández Director de Planeación X
Francisco Javier Acosta Gómez Secretario General X
131
Hillmer Alirio Chona Moreno
Coordinador Departamento Universitario de Información
X
Myriam Esperanza Ruiz Romero
Coordinadora Departamento de Infraestructura y Desarrollo Tecnológico para la Educación
X
Magdalena Trujillo Arango
Coordinadora del Sistema de Gestión por Procesos
X
Piedad Amparo Saldarriaga Puerta
Asistente Departamento de Infraestructura y Desarrollo Tecnológico para la Educación
X
Diego Alejandro Pérez Múnera
Asistente de Planeación X
INVITADOS
Nombre Convocado Cargo Asistió Observación Si No Diego Martín Buitrago Botero Consultor CES X
Luis Alberto Arango Consultor CES X
Paula Andrea Posada Betancur
Coordinadora Departamento de Gestión Humana
X
Naira Girleza Sánchez Henao
Vicerrectora Administrativa y Financiera
X
Acta elaborada por: Diego Alejandro Pérez Múnera Fecha: 08/09/2016
Abog. FRANCISCO JAVIER ACOSTA G. Secretario General
DIEGO ALEJANDRO PÉREZ MÚNERA Asistente de Planeación
132
No. 5
ACTA DE REUNIÓN
Código:
FO-AP-001
Versión: 2
Fecha: 28-05-2013
Evento: Comité Habeas Data Acta Número: 05
INFORMACIÓN BÁSICA
Propósitos de la
Reunión
Continuar con la asesoría sobre Tratamiento de Datos personales.
Fecha: 15 de septiembre de 2016
Lugar: Sala de Reuniones Piso 11
Hora de inicio Hora de finalización
08.00 am 10.15 am Tipo de Reunión: Seguimiento X Toma de
Decisiones Informativa
AGENDA
Orden del Día Abordado Completado Si No Si No
1 Estado de los compromisos X X 2 Asesoría Tratamiento de Datos personales X X
3 Asesoría específica con el Departamento de Educación Virtual y a Distancia, y la Oficina de Comunicaciones y Relaciones Públicas.
X X
133
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
1. Estado de los compromisos
Teniendo en cuenta compromisos previos, se indica el estado actual de los mismos y las reprogramaciones de algunos de ellos: • Resolución Rectoral sobre Política de
Tratamiento de Datos: será enviada en el transcurso del día al Secretario General para su revisión final y gestión de firma del Rector. Se indica que dentro de las observaciones de la Política se presenta: diferenciación entre Responsable y Encargado; modificación en temas de procedimientos; actualización del área encargada del Oficial de Datos, en este caso Dirección de Planeación-Coordinación del Sistema de Gestión por Procesos; revisión del tema de finalidades, incluyendo una relacionada con los posibles encargados que tiene la universidad (convenios con personas naturales y jurídicas para compartir datos), entre otras observaciones que se detallan en el documento.
• Revisión documental: el ente consultor
indica que hoy inician con esta actividad que, según acta anterior, tiene como fecha de entrega el 22 de septiembre. Además, en dicha fecha, la Funlam hará entrega de los documentos, no formalizados desde el Sistema de Gestión por Procesos, para la revisión y tratamiento respectivo.
• Capacitación: el Consultor clarifica que
para el curso de formación virtual, a través de la plataforma Dicom, se hace entrega de los módulos (cinco) en Word, para que la Funlam realice el diseño y montaje respectivo; es decir, el ente consultor entrega el contenido y las evaluaciones, y la Institución realiza el montaje final. Este
Enviar Resolución con observaciones. Iniciar con la revisión documental. Enviar contenido para el montaje de del curso de capacitación virtual. Realizar cotizaciones para capacitación in situ con los Centros Regionales. Enviar perfil Oficial de Datos.
134
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
tema estará liderado por el Profesional de Gestión Humana, encargado de los procesos de formación y capacitación, y por el Coordinador del Departamento de Educación Virtual y a Distancia. Cuando se tenga el curso diseñado, se debe dar un primer acceso a los Consultores para la revisión y visto bueno. El día de hoy, el Consultor enviará la propuesta de capacitación virtual, que se aclara es la que tiene certificación para los empleados.
Por su parte, y sobre la capacitación presencial, se tiene el primer encuentro programado para el 29 de septiembre, entre las 15.30 y las 17.00hs, en el marco de la Socialización del Desarrollo Institucional. Adicional, la Funlam deberá organizar, en convenio con el Consultor, las demás fechas de capacitación, indicando los grupos a los que esta va dirigida. Se recomienda tener en cuenta: líderes de procesos y procedimientos y coordinadores de unidades (guardianes); secretarias; Dirección de Planeación y Coordinación del Sistema de Gestión por Procesos, por ser el área encargada del Oficial de Tratamiento de Datos; y los Centros Regionales. En relación con los Centros Regionales, y con el fin de realizar una sensibilización y formación personalizada, se recomienda que la capacitación sea in situ para los Centros de Bogotá, Manizales, Montería y Apartadó; así, se solicita a la Coordinadora del Departamento de Gestión Humana que realice las cotizaciones pertinentes para dichos viajes, en lo relacionado con tiquetes y viáticos, para los Consultores externos; como se indicó en el inicio del proceso, los honorarios no se contemplan, en tanto dicho servicio hace parte del convenio. Incluso, se
135
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
recomienda que para la capacitación del Centro Regional de Bogotá se tengan invitados de la Casa Provincial y las demás obras de los Religiosos Terciarios Capuchinos, en esta ciudad, para que reciban la formación. • Inventario bases de datos: el Consultor
indica que por la cantidad de bases de datos no se tiene el resultado de la revisión; por tanto, esta actividad se reprograma para el 22 de septiembre.
• Perfil Oficial de Tratamiento de Datos: el Consultor enviará hoy el perfil, ingresado en el formato de la Funlam, además de un documento genérico.
• Procedimientos: cuando se tenga
aprobada la Resolución con la Política de tratamiento de datos personales, se procederá con la formalización de los respectivos procedimientos.
2. Asesoría tratamientos de
datos personales
Continuando con la asesoría sobre tratamiento de datos personales, se resaltan las siguientes consideraciones: • Es importante tener organizada una
carpeta o folder para ir almacenando todo lo relacionado con el tema de Tratamiento de Datos.
• Todo lo relacionado con la grabación de
tratamiento de datos de la Funlam, estará contemplado en el Manual.
• Se recuerda que es importante que todos
los formatos de la Funlam estén categorizados y formalizados por la Coordinación del Sistema de Gestión por Procesos, ello con el fin de evitar problemas con la información. Así las
136
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
cosas, se deberá tomar una decisión, posterior a la revisión de los Consultores, para lograr que todos los documentos informales, sean ingresados al Sistema de Gestión por Procesos.
• Ante la pregunta de la Funlam sobre la
posibilidad de futuras auditorías para verificar el tratamiento de datos, el Consultor indica que es posible y se pueden realizar las programaciones pertinentes.
• En relación con el registro de bases de
datos se indica que la Funlam debe tener, para este ejercicio: hojas de vida de las bases de datos, donde se presenta información como nombres de las bases de datos, clasificación de la información, encargado de las bases de datos, entre otros; el formato estandarizado de hoja de vida será entregado por el ente consultor.
• Teniendo en cuenta que en el registro de
las bases de datos, la SIC realiza un serie de preguntas, entre las que se encuentra el tema de condiciones de seguridad informática, es importante delimitar si la Funlam cuenta con dichas condiciones; se pide a la Dirección de Planeación que, para la siguiente reunión, las unidades de Sistema Universitario de Información y Departamento de Infraestructura y Desarrollo Tecnológico para la Educación presenten las condiciones de seguridad informática que tiene la Institución.
• El Consultor recomienda que la Funlam
defina prontamente, en caso de ser posible, el Oficial de Tratamiento de Datos, para que se vaya apersonando del tema. Igual, a dicho oficial se le realizarán
137
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
las capacitaciones necesarias para su buen desempeño. En este sentido, la Funlam indica que se propondrá al rector, quién definirá en última instancia, un nuevo cargo, con dedicación de tiempo completo.
• Es importante recordar que las bases de
datos que se reportan son todas aquellas que tiene la Institución, tanto físicas como digitales; por ello, se recomienda que este tema se trate en la capacitación del 29 de septiembre, para que las personas se percaten de haber reportado, en la solicitud inicial, todas las bases de datos que usan desde sus unidades. Igual, se aclara que en caso de olvidar registrar alguna base de datos, se puede realizar de manera posterior, lo importante es que la Funlam siempre evidencie, ante la SIC, la responsabilidad en el manejo de los datos personales.
• Finalmente, se indica que los guardianes
de información, que estarán en contacto permanente con el Oficial de Tratamiento de datos, pueden ser los decanos, los coordinadores de unidad o líderes de procesos, o las secretarias en algunos casos; lo indispensable es que los guardianes tengan un amplio conocimiento de la unidad y la Institución.
3 Asesoría específica con
el Departamento de Educación
Virtual y a Distancia, y la
Oficina de Comunicaciones
y Relaciones Públicas.
Sobre las dudas específicas relacionadas con el Tratamiento de Datos del Departamento de Educación Virtual y a Distancia, y la Oficina de Comunicaciones y Relaciones Públicas se resalta lo siguiente: • Cuando se llama a un estudiante, y en la
conversación se validan o tratan datos personales, es necesario clarificar en la misma llamada la finalidad del tratamiento
138
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
de dichos datos, para que quede como evidencia de la autorización del usuario. En el formato de llamada, se indica que la persona autorizó, y ese sería el registro.
• Si el estudiante, de manera autónoma, realiza las actualizaciones de su información personal, por medio del sistema académico, no existe problema, en tanto el mismo sistema sienta la trazabilidad de dichos cambios.
• Cuando un investigador pide información
de datos personales de los estudiantes, solo se le podrá facilitar aquella autorizada por el mismo estudiante, quien desde el ingreso autorizó el tratamiento de sus datos; por ello la Política y el Manual hablan de Tratamiento de Datos para fines investigativos.
• Cuando se tenga aprobada la Política es
necesario realizar, desde la Oficina de Comunicaciones y Relaciones Públicas, una campaña de sensibilización y socialización de la misma, que cubra a toda la comunidad Funlam.
• Los formatos que se diligencian en las
ferias universitarias, en la mayoría de los casos por menores de edad, deben ser guardados de manera indefinida (físico o digital), ya que esa es la autorización del usuario para tratar sus datos.
• Sobre las bases de datos que envía a la
Funlam el operador logístico de ferias externas, se tienen dos opciones: tratar los datos de manera común, teniendo en cuenta que el Responsable, en caso de fuga, sería el operador, o rechazar dichos datos, porque no generan ninguna
139
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
seguridad. Lo ideal es que el operador tenga políticas de tratamiento de datos, y generar un convenio con este donde se indique la finalidad del tratamiento de datos.
• Se recomienda poner en la web
institucional una reseña que indique que la persona que envíe correos a la dirección institucional autoriza el tratamiento de sus datos.
• Sobre el uso de la información que es
remitida a la Funlam, por parte de algunas páginas comerciales, el Consultor indica que dicho tema será tratado en el comité de consultores para dar una respuesta certera.
• Es importante tener en cuenta, que
cuando un estudiante, desde el momento de su inscripción, no dé su autorización, no será posible que la Funlam trate sus datos personales. Además se recuerda que las obligaciones relacionadas con bases de datos son con las personas naturales y no con las jurídicas.
• En relación con las bases de datos de
proveedores del almacén o medios de comunicación, es importante siempre dejar una nota aclaratoria donde se clarifique la finalidad del tratamiento de esos datos.
• Sobre las imágenes, fotografías videos se
debe tener autorización para su tratamiento.
COMPROMISOS Compromiso Responsable Cumplimiento
140
Fecha Límite Si No En
proceso
Enviar Perfil del Oficial de Tratamiento de Datos
Consultor externo
15 de septiembre
de 2016 X
Enviar contenido para el diseño del curso virtual en tratamiento de datos
Consultor externo
15 de septiembre
2016 X
Enviar la Política con las observaciones y
recomendaciones
Consultor externo
15 de septiembre
2016 X
Entrega resultados depuración de bases de
datos
Consultor externo
22 de septiembre
de 2016 X
Presentar las condiciones de
seguridad informática de la Funlam
Dirección de Planeación
22 de septiembre
de 2016 X
Realizar las cotizaciones para la capitación in situ
en los Centros Regionales de Bogotá, Manizales, Apartadó y
Montería
Departamento de Gestión Humana
29 de septiembre
de 2016 X
DOCUMENTOS ANEXOS Descripción Tipo Origen
PRÓXIMA REUNIÓN Lugar: Sala de Reuniones piso 10 Fecha: 22/09/2016 Hora: 08.00hs ASISTENCIA
Nombre Convocado Cargo Asistió Observación Si No Gustavo Ríos Fernández Director de Planeación X
141
Francisco Javier Acosta Gómez Secretario General X
Hillmer Alirio Chona Moreno
Coordinador Departamento Universitario de Información
X Presenta excusa al Director de Planeación
Myriam Esperanza Ruiz Romero
Coordinadora Departamento de Infraestructura y Desarrollo Tecnológico para la Educación
X
Magdalena Trujillo Arango
Coordinadora del Sistema de Gestión por Procesos
X
Piedad Amparo Saldarriaga Puerta
Asistente Departamento de Infraestructura y Desarrollo Tecnológico para la Educación
X
Diego Alejandro Pérez Múnera
Asistente de Planeación X
INVITADOS
Nombre Convocado Cargo Asistió Observación Si No Diego Martín Buitrago Botero Consultor CES X
Luis Alberto Arango Consultor CES X
Paula Andrea Posada Betancur
Coordinadora Departamento de Gestión Humana
X
Carlos Alberto Muñoz Henao
Coordinador de la Oficina de Comunicaciones y Relaciones Públicas
X
Juan Felipe Cardona Hernández Auxiliar de Mercadeo X
Luis Andrés Rivera Delgado Web Master X
Bernardo Hugo Arboleda Montoya
Coordinador del Departamento de Educación Virtual y a Distancia
X
142
Acta elaborada por: Diego Alejandro Pérez Múnera Fecha: 15/09/2016
Abog. FRANCISCO JAVIER ACOSTA G. Secretario General
DIEGO ALEJANDRO PÉREZ MÚNERA Asistente de Planeación
No. 6
ACTA DE REUNIÓN
Código:
FO-AP-001
Versión: 2
Fecha: 28-05-2013
Evento: Comité Habeas Data. Acta Número: 06
INFORMACIÓN BÁSICA
Propósitos de la
Reunión
Continuar con la asesoría sobre tratamiento de datos personales.
Fecha: 22 de septiembre de 2016
Lugar: Sala de Reuniones Piso 10
Hora de inicio Hora de finalización
08.00 am 10.10 am Tipo de Reunión: Seguimiento X Toma de
Decisiones Informativa
AGENDA
Orden del Día Abordado Completado
143
Si No Si No 1 Formalización Oficial de Datos y Guardianes de Datos. X X 2 Estado de los compromisos X X
3 Condiciones de seguridad de la información en la Funlam
4 Asesoría tratamiento de datos personales X X DESARROLLO DE LA REUNIÓN
Asunto Comentarios y acciones Decisiones
1. Formalización
Oficial de Datos y
Guardianes de Datos.
Teniendo en cuenta que la Dirección de Planeación, es una dependencia que tiene muchos procesos sensibles a su cargo, en reunión con el Rector, se decide que el Oficial de Tratamiento de Datos Personales de la Funlam se adscriba a la Oficina de Comunicaciones y Relaciones Públicas, en tanto es una unidad transversal; así es nombrado como Oficial Carlos Hernando Zapata Sepúlveda, quien es Administrador de Empresas, Especialista en Gerencia de Servicios y Magister en Administración; además es el actual Coordinador del Centro de Contacto. No obstante, la Dirección de Planeación será un soporte importante para el trabajo del Oficial, específicamente desde la Coordinación del Sistema de Gestión por Procesos, el Departamento del Sistema Universitario de Información y el Departamento de Infraestructura y Desarrollo Tecnológico para la Educación. Además, se indica que la Funlam ofrecerá al Oficial capacitaciones externas, como Diplomaturas, en el tema de tratamiento de datos; aspecto que será asesorado por los Consultores. También, y como apoyo para el Oficial de Datos, se ha designado un equipo institucional de Guardianes de Datos, integrado por secretarias, personal auxiliar o asistente, y algunos directivos, en razón de las
Oficial de Tratamiento de Datos Personales: Carlos Hernando Zapata Sepúlveda Unidad a quien se adscribe el Oficial de Datos: Comunicaciones y Relaciones Públicas.
144
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
particularidades de las unidades. Entonces, para la Funlam se tienen designados 53 Guardianes de Datos (Anexo); 37 de ellos para la Sede Medellín, y 16 para los Centros Regionales (Apartadó: 4; Montería: 5; Manizales: 5; y Bogotá: 2). Finalmente, y como tareas pendientes de este punto se especifican:
• Capacitación puntual con la Oficina de Comunicaciones y Relaciones Públicas, a la que se adscribe el Oficial de Datos.
• Definir las responsabilidades específicas de los Guardianes de Datos y las relaciones que estos tendrán con el Oficial, en aras de socializar este tema con los implicados.
2. Estado de los
compromisos
Teniendo en cuenta compromisos previos, se indica el estado actual de los mismos: • Resolución Rectoral sobre Política de
Tratamiento de Datos: después de la revisión de los Consultores, y con algunos ajustes del Secretario General, dicha resolución ya estará aprobada por el Rector General, a más tardar el lunes 26 de septiembre.
• Revisión documental: los Consultores se encuentran en la revisión de los documentos; informan que, a la fecha, se han revisado aproximadamente 180 documentos, de los cuales a 70 se le han realizado sugerencias o correcciones internas relacionadas con el Tratamiento de Datos. Para el 29 de septiembre se espera tener toda la revisión finalizada.
• Capacitación: se indica que en el Comité de
Capacitación, Promoción y Desarrollo
145
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
Humano se determinarán las capacitaciones internas; a la fecha, ya se tiene establecida la primera capacitación general, en el marco de la Socialización del Desarrollo Institucional del 29 de septiembre. Dicho encuentro, para efecto de enviar la invitación, será llamado: “Capacitación en Política de Tratamiento de Datos Personales”.
Asimismo, se indica que las capacitaciones en los Centros Regionales, ya fueron aprobadas por el Rector General; se espera que los Consultores visiten los centros de Apartadó, Manizales, Montería y Bogotá, en donde participarán de la formación todos los empleados con tiempo exclusivo, además estarán como invitados las obras de los Religiosos Terciarios Capuchinos presentes en las regiones. Es importante que el Oficial de Datos esté presente en alguno de los centros, se sugiere Manizales, para que se vaya adecuando al manejo del tema; se indica además, que las capacitaciones sean grabadas y se le solicita al Consultor tener un orden del día o agenda de temas a tratar en las capacitaciones. Sobre la capacitación virtual, los documentos para el montaje en la plataforma serán remitidos por el Consultor al Departamento de Gestión Humana. Finalmente, queda pendiente una charla puntual, con los Guardianes, cuando ya estén definidos los roles y responsabilidades, además de los procedimientos para requisición interna. • Inventario bases de datos: se informa que
el inventario ya fue enviado a la Institución para la toma de decisiones pertinente. Así, se indica que el análisis del inventario, y la
146
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
definición de las bases de datos que serán oficiales y reportadas a la SIC se realice con el acompañamiento de la Coordinación del Sistema de Gestión por Procesos.
• Procesos y Procedimientos: en la próxima reunión del Comité, y específicamente con el Director de Planeación, los integrantes de la Coordinación del Sistema de Gestión por Procesos y el Oficial de Datos, se analizará el flujograma de procesos con el sector externo. Dicho documento ya fue enviado a la Funlam para la revisión inicial y su adecuación en los procesos particulares de la Institución. Se indica, además, la necesidad de diseñar los procedimientos de requisición interna de información, e incluso de entes externos que no tienen el carácter de oficial.
• Revisión contratos: se tiene pendiente
revisar las cláusulas que deben contener los contratos laborales o a terceros por prestación de servicios. Así las cosas, la Funlam debe entregar a los Consultores los contratos para dicha revisión.
3. Condiciones de seguridad
de la información
en la Funlam
Sobre las condiciones de seguridad de la información en la Funlam, y teniendo en cuenta lo expuesto por la Coordinadora del Departamento de Infraestructura y Desarrollo Tecnológico para la Educación, se resaltan las siguientes consideraciones: • La información sensible de la Institución
reposa en el sistema académico Uenlínea y el Sistema Contable. Dichos servidores están a cargo del Departamento del Sistema Universitario de Información, quien deberá responder por las condiciones de seguridad de los mismos.
147
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
• Se cuenta con un data center externo, que es de la empresa Flywan; además, se tiene un contrato con SIESA; sobre estos se indica que, aunque realizan soporte y actualización de software, no tienen acceso a los datos personales. No obstante, se recomienda realizar una revisión del tema, y específicamente de los contratos de prestación del servicio, para validar la oportunidad de dejar en los mismos el tema del tratamiento de datos.
• Otro servidor crítico en la Funlam en es la
web institucional, administrada por la Oficina de Comunicaciones y Relaciones Públicas; aunque se conoce que el web master realiza unos controles específicos, se sugiere que sea convocado para conocer con más detalle sobre el tema. Se aclara que sobre este servidor no solo está la página web, los micrositios de las unidades y la intranet, sino también el servidor radios, que se utiliza para los centros regionales de Apartadó y Manizales, que tienen anchos de banda limitados.
• Adicionalmente, se tiene el Servidor de
educación virtual y a distancia “Dicom”, donde reposa la información de los estudiantes matriculados en los cursos virtuales; es importante revisar el tema, y definir los controles, ya que aunque el Sistema Universitario de Información le suministra la base de datos general de estudiantes al Departamento de Educación Virtual y a Distancia, esta unidad tiene una base de datos complementaria.
• La Institución realiza, con el proveedor
Flywan, unos controles mínimos de seguridad, que tienen que ver con: accesos
148
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
restringidos, bloqueo de algunas páginas web (Facebook) y bloqueos de puertos para que no accedan a los servidores.
• También se cuenta, al interior, con un
servidor en el que reposa el aplicativo de administración de documentos “Docuware”, con la empresa Digitec, quien suministra dicho software para la digitalización del archivo central. Dicha empresa tiene un contrato con el Departamento de Administración de Documentos, para el servicio en mención. Con lo anterior, se define la necesidad de revisar el contrato para realizar los ajustes en lo concerniente al tratamiento de datos.
• El otro servidor que se tiene en el data
center es el servidor de biblioteca que lo administra el coordinador de dicha unidad; ese servidor maneja información extraída del Sistema Universitario de Información; es importante verificar qué bases de datos contiene para el tratamiento respectivo. Es también necesario revisar el tema de registro de huella digital para préstamos en biblioteca y el tema del control de inventario; sobre esto, se indica que el manual presenta información sobre el tema biométrico; no obstante, se debe generar un aviso en el que se le informe al usuario que se le tomarán datos biométricos y se le indiquen las finalidades.
• Respecto a la red interna, y como condición
de seguridad, la Funlam ha implementado mecanismos que impidan la conexión de dispositivos externos a la Institución; tampoco se permite instalar software en los equipos internos. Se resalta que lo importante es mejorar los controles existentes, en tanto el interés de la SIC no es exigir un tipo especial de control, sino
149
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
que lo importante es tener condiciones de seguridad y protección, acordes con la información que se maneja.
• Se aclara que para el tema de reporte de
incidentes de seguridad, la Funlam no cuenta con un equipo que permita hacer trazabilidad. Así las cosas, y en la medida en que se deben reportar a la SIC los incidentes ocurridos, es importante potenciar este aspecto.
Finalmente, y como tareas de este asunto, se definen: • Realizar un inventario de servidores, donde
se indiquen los responsables de los mismos.
• Diseñar, en caso de ser necesario, políticas puntuales para el tema biométrico (biblioteca, control de acceso).
• Revisar todos los contratos existentes, en temas de servidores, para verificar si se debe realizar algún ajuste en lo concerniente al tratamiento de datos.
4. Asesoría tratamientos
de datos personales
Continuando con la asesoría sobre tratamiento de datos personales, se resaltan las siguientes consideraciones: • Es importante tener claridades sobre el
tratamiento de datos, en lo relacionado con la selección de personas, específicamente con los exámenes de ingreso, ya que en algunas ocasiones la persona encargada de Salud y Seguridad en el trabajo tiene acceso a datos sensibles, relacionados en este caso con patologías. Así, y aunque quien incurre en un problema de tratamiento de datos es la empresa de salud que ofrece sin control la información,
150
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
incluso por vía telefónica, la Funlam debe salvaguardar esta información; es decir, para temas contractuales solo se podrán facilitar certificados de aptitud, que indiquen si existe alguna restricción para un cargo, más no dar cuenta de las patologías informadas. Además, es importante que en todo proceso de selección se le informe al aspirante que le serán tratados sus datos personales.
• Es necesario conocer las diferencias entre datos sensibles, públicos, privados y otros, para poder dar un tratamiento adecuado. Este tema será abordado en las capacitaciones; además se debe empezar a generar cultura sobre él.
• Como se indica en la Política, la Funlam
debe contar con una cuenta de correo electrónico institucional para el tema de control de datos; en el caso particular será [email protected]; así mismo se debe crear una extensión telefónica particular. Se solicita al Departamento de Infraestructura y Desarrollo Tecnológico para la Educación, habilitar el correo de protección de datos para: Carlos Hernando Zapata Sepúlveda (Oficial de Datos), Carlos Alberto Muñoz Henao (Coordinador de la Oficina de Comunicaciones y Relaciones Públicas) y Luz Mery Cardona Sánchez (Secretaria Oficina de Comunicaciones y Relaciones Públicas).
• El registro de bases de datos ante la SIC,
cuando se tenga toda la claridad del tema, puede tardar, por base de dato, entre dos o tres horas. Para esto es importante, y como primera función del Oficial de Tratamiento de Datos Personales, diligenciar para cada
151
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
base de datos una hoja de vida (los Consultores enviarán el formato al oficial).
• El Oficial de Tratamiento de Datos
Personales, debe disponer de una carpeta, en el medio deseado, específica para su control, y donde reposen todas las evidencias del proceso.
Finalmente, se define para la siguiente reunión del Comité, en primer lugar, revisión de procedimientos externos e internos, y en segundo lugar, caracterización de las hojas de vida de las bases de datos.
COMPROMISOS
Compromiso Responsable Fecha Límite
Cumplimiento
Si No En proceso
Aprobación de la Política de Tratamiento de Datos Personales de la Funlam
Secretaría General
Rectoría General
26 de septiembre
de 2016 X
Entrega de documentos revisados del Sistema de
Gestión por Procesos
Consultores externos
29 de septiembre
de 2016 X
Definir las responsabilidades específicas de los
Guardianes de Datos y las relaciones que estos
tendrán con el Oficial
Consultores externos
29 de septiembre
de 2016 X
Capacitación puntual con la Oficina de
Comunicaciones y Relaciones Públicas, a la que se adscribe el Oficial
de Datos
Consultores externos Por definir X
Realizar un inventario de servidores, donde se
indiquen los
Comité Habeas Data Por definir X
152
responsables de los mismos
Diseñar, en caso de ser necesario, políticas
puntuales para el tema biométrico (biblioteca,
control de acceso).
Comité Habeas Data Por definir X
Revisar todos los contratos existentes, en
temas de servidores, para verificar si se les
debe realizar algún ajuste en temas de Tratamiento
de Datos.
Consultores externos Por definir X
DOCUMENTOS ANEXOS Descripción Tipo Origen
Listado Guardianes de Datos Personales Digital Secretaría General
PRÓXIMA REUNIÓN Lugar: Sala de Reuniones piso 10 Fecha: 29/09/2016 Hora: 08.00hs ASISTENCIA
Nombre Convocado Cargo Asistió Observación Si No Gustavo Ríos Fernández Director de Planeación X
Francisco Javier Acosta Gómez Secretario General X
Hillmer Alirio Chona Moreno
Coordinador Departamento Universitario de Información
X Presenta excusa
Myriam Esperanza Ruiz Romero
Coordinadora Departamento de Infraestructura y Desarrollo Tecnológico para la Educación
X
Magdalena Trujillo Arango
Coordinadora del Sistema de Gestión por Procesos
X Se excusó. Se encuentra en Evento externo.
153
Piedad Amparo Saldarriaga Puerta
Asistente Departamento de Infraestructura y Desarrollo Tecnológico para la Educación
X
Diego Alejandro Pérez Múnera.
Asistente de Planeación X Se excusó. Se encuentra
en Evento externo. Carlos Hernando Zapata Sepúlveda
Oficial de Tratamiento de Datos Personales X
INVITADOS
Nombre Convocado Cargo Asistió Observación Si No Diego Martín Buitrago Botero Consultor CES X
Luis Alberto Arango Consultor CES X
Diana Isabel Arias Arango
Profesional Departamento de Gestión Humana
X
Carlos Alberto Muñoz Henao
Coordinador de la Oficina de Comunicaciones, Relaciones Públicas y Mercadeo
X
Juan Sebastián Cortés Echavarría Analista de Desarrollo X
Acta elaborada por: Diego Alejandro Pérez Múnera Fecha: 23/09/2016
Abog. FRANCISCO JAVIER ACOSTA G. Secretario General
DIEGO ALEJANDRO PÉREZ MÚNERA Asistente de Planeación
No. 7
154
ACTA DE REUNIÓN
Código:
FO-AP-001
Versión: 2
Fecha: 28-05-2013
Evento: Comité Habeas Data. Acta Número: 07
INFORMACIÓN BÁSICA
Propósitos de la
Reunión
Continuar con la asesoría sobre tratamiento de datos personales.
Fecha: 29 de septiembre de 2016
Lugar: Sala de Reuniones Piso 10
Hora de inicio Hora de finalización
08.00 am 10.10 am Tipo de Reunión: Seguimiento X Toma de
Decisiones Informativa
AGENDA
Orden del Día Abordado Completado Si No Si No
1 Definición procesos externos e internos X X 2 Estado de los compromisos de la consultoría X X 3 Asesoría hojas de vida base de datos X X 4 Temas varios X X
DESARROLLO DE LA REUNIÓN
Asunto Comentarios y acciones Decisiones
1. Definición procesos
externos e internos
En relación con el procedimiento de consultas y reclamos enviado por los Consultores, la Coordinación del Sistema de Gestión por Procesos realizó la revisión inicial y ajuste al formato institucional; está pendiente la revisión
Definir el sistema donde se registrarán los requerimientos.
155
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
final, en conjunto con el Oficial de Tratamiento de Datos Personales, para su envío a los Consultores quienes realizarán observaciones, en caso de ser necesario, para su aprobación final y codificación en el Sistema. Sobre este procedimiento, se aclara que existe una entrada, ya sea la consulta o reclamo del titular, causahabiente o apoderado, y una salida, que únicamente la gestiona el Oficial de Tratamiento de Datos Personales, pues es el único responsable de generar la respuesta al usuario, para el debido control. En definitiva el procedimiento da cuenta del flujo desde que entra la petición hasta que sale la respuesta, sea consulta o reclamo. De modo que el requerimiento que ingresa, ya sea vía e-mail, web, física, carta, radicado, debe llegar, en primera instancia, al Guardián de Datos, quien después de rotular sí es consulta o reclamo lo remite al Oficial, para que él lo envíe a la unidad encargada; esta última debe redactar la respuesta y enviarla al Guardián para que la remita al Oficial de Datos, quién será el único que le responda al solicitante. Se aclara que el Guardián de Datos es el primer respondiente (define si es reclamo o solicitud), pero quien toma las decisiones y contesta al solicitante es el Oficial, con el fin de llevar el control riguroso de todo el proceso y elaborar los informes semestrales que deberá radicar ante la SIC, con toda la información de consultas, reclamos e incidentes de seguridad. En este punto, es importante tener en cuenta que desde el momento en que se realice el primer registro ante la SIC de una base de datos, y hasta el 2018, la periodicidad de los informes en mención será mensual. Por tanto, el Oficial deberá llevar estadísticas, que den cuenta del número de consultas, reclamos, oportunidad en las respuestas, y demás
Ajustar y aprobar el Procedimiento de consultas y reclamos. Diseñar el procedimiento de consultas internas. Diseñar formato web para la solicitud interna.
156
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
información relevante para evidenciar la debida diligencia. Por otro lado, se define la necesidad de diseñar un subproceso para las solicitudes internas que tengan que ver con datos personales. Para esto se relaciona el siguiente flujo, con el fin de diseñar el procedimiento respectivo:
1. El requirente interno se dirige al Guardián de Datos.
2. El Guardián de Datos remite la solicitud al Oficial de Datos, por medio de un formato. Para esto, se sugiere el diseño de un formato, puede ser en plataforma tecnológica, que contemple los siguientes datos: requirente (quién), información de la solicitud (qué), finalidad de la información (para qué), Política de Tratamiento de los Datos (cómo se protegerá), tiempo que usará la información y su disposición final (cuánto).
3. El oficial de datos, con base en la
información remitida, toma la decisión final de autorizar o no el reporte solicitado, y responde al Guardián validando el formato con un visto bueno. (El formato en su diseño tendrá un espacio para el visto bueno y otro para las observaciones a que haya lugar por parte del Oficial).
4. El Guardián entrega la información al
requirente, y en el mismo formato deberá aceptar las condiciones. (El formato debe tener un campo para digitar la fecha en la que se entrega lo solicitado).
De este modo, como tareas pendientes en este punto se relacionan:
157
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
• Definir el sistema donde se registrarán
los requerimientos. Se sugiere el CRM; al sistema definido deberán tener acceso para consulta: el Oficial, el Secretario General y el Rector. Responsable: Oficial de Tratamiento de Datos Personales, acompaña Dirección de Planeación.
• Ajustar y aprobar el Procedimiento de consultas y reclamos (proceso). Responsable: Oficial de Tratamiento de Datos Personales, acompaña Coordinación del Sistema de Gestión por Procesos.
• Diseñar el procedimiento de consultas
internas (subproceso). Responsable: Oficial de Tratamiento de Datos Personales, acompaña Coordinación del Sistema de Gestión por Procesos.
• Diseñar formato web para la solicitud
interna. Responsable: Oficial de Tratamiento de Datos Personales, acompaña Sistema Universitario de Información.
Se define como fecha límite para tener los procedimientos documentados y radicados en el sistema, el jueves 13 de octubre.
2. Estado de los
compromisos de la
consultoría
Sobre los compromisos generales de la consultoría, se reporta el siguiente estado: 1. Política Tratamiento de Datos. Ya se tiene
la Resolución de la Política aprobada, oficializada y socializada. Compromiso cumplido.
2. Sensibilización y capacitación. Se está terminando el montaje de curso en la
158
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
plataforma Dicom, y se tienen establecidas las fechas para capacitar a la comunidad. Compromiso cumplido.
3. Revisión y recomendaciones a los
documentos. Se tienen aproximadamente 160 documentos revisados; ya fue entregado por parte de los Consultores el primer paquete de documentos validados y que no requieren tratamiento de datos. Se tiene este compromiso en un 30% de avance. Compromiso en ejecución.
4. Definiciones de perfiles. Se cuenta con el
perfil de Guardianes y el del Oficial. Compromiso cumplido.
5. Depuración de bases de datos. Se envía a
la Institución el inventario con las observaciones realizadas. Esta información es fundamental para diligenciar la hoja de vida de cada base de datos, como insumo para el registro ante la SIC. En este punto se define enviar a los Consultores los formatos web de inscripción y matrícula para validar el tratamiento de datos. Compromiso en ejecución.
6. Ruta de procedimientos. Se entregan los
procedimientos para consultas y reclamo. Compromiso cumplido. Nota: la Funlam está en proceso de ajustar dichos documentos con formatos institucionales y diseñar el procedimiento interno.
7. Registro nacional de bases de datos.
Cuando la SIC oficialice el montaje en la plataforma de la información de bases de datos, se realizará, por parte de los Consultores, todo el acompañamiento para dicho ejercicio. Compromiso pendiente.
159
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
3. Asesoría hojas de vida base de datos
El Consultor indica que el día 29 de septiembre enviará el formato de hoja de vida que deberá ser diligenciado por cada base de datos reportada a la SIC. Dicho formato, en Excel, presenta por cada ítem un comentario con indicaciones sobre su diligenciamiento. El Secretario General, enviará un comunicado a las unidades que reportaron base de datos, para que realicen el ejercicio inicial de diligenciamiento de las hojas de vida de dichas bases de datos; ejercicio que luego será revisado por el Oficial de Tratamiento de Datos. Finalmente, se indica que para la próxima reunión el Oficial de Datos lleve algunas hojas de vida ya diligenciadas para que los Consultores retroalimenten.
Enviar formato hoja de vida. Responsable: Consultor Enviar hoja de vida a los responsables de las bases de datos para su diligenciamiento. Responsable: Secretario General Gestionar y acompañar el diligenciamiento de las bases de datos. Responsable: Oficial de Tratamiento de Datos Personales.
4. Temas varios
Se puntualizan los siguientes temas: • Los Consultores presentan una felicitación
a la Funlam por el trabajo realizado hasta el momento, por el compromiso de la alta dirección y el trabajo responsable en todo el tema de implementación del Tratamiento de Datos Personales.
• A la fecha, se tiene un total de 55 Guardianes de Datos, en tanto, desde la última reunión hasta la fecha, se designaron dos nuevos guardianes.
• Se envía un correo de prueba a la dirección
[email protected], con el objetivo de validar sí el Oficial ya tiene
Realizar capacitación virtual con los Centros Regionales. Revisar los contratos. Validar con Departamento de Infraestructura y Desarrollo Tecnológico que el correo de protección de datos esté activo
160
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
acceso a dicho correo, y para verificar la manera de dar respuesta a la solicitud. En este punto se le pide al Consultor un listado de respuestas genéricas que sirvan de apoyo a la Funlam. También, se debe validar con el Departamento de Infraestructura y Desarrollo Tecnológico para la educación si ya está habilitado el correo en mención y si los responsables tienen el acceso.
• Sobre las capacitaciones del día 30 de
noviembre, se indica que el asesor responsable, por parte del ente consultor, será el Señor Juan Gonzalo Vélez. Además, en la capacitación con los docentes, se indica que dentro de los temas a tratar se aborden los siguientes: clasificación de la información, bases de datos particulares, tratamiento que se le debe dar a la información, sensibilización sobre los procedimientos.
• Se define capacitación virtual con los
Centros Regionales para el viernes 7 de octubre, desde las 08.00hs.
• Sobre la consulta de reuniones anterior,
acerca del tratamiento a los datos personales enviados a la Universidad por sitios web como Educarte, se define que no existe problema en recibir dichas bases de datos, en tanto son ellos los responsables del tratamiento.
• Se enviaron contratos a los Consultores
para la definición de la cláusula de tratamiento de datos que tendrán los mismos.
y con los accesos solicitados.
161
COMPROMISOS
Compromiso Responsable Fecha Límite
Cumplimiento
Si No En proceso
Enviar formato de hoja de vida base de datos
Consultores externos
29 de septiembre
de 2016 X
Enviar hoja de vida a los responsables de las
bases de datos para su diligenciamiento
Secretario General
30 de septiembre
de 2016 X
Enviar un listado con alternativas de
respuestas a los requerimientos del
usuario
Consultores externos
06 de octubre de
2016 X
Presentar nuevamente informe del estado actual
de los compromisos delimitados en el plan de
consultoría
Consultores externos
06 de octubre de
2016 X
Realizar la evaluación final, con
recomendaciones, aspectos positivos y
oportunidad de mejora, en relación con el desempeño de la Funlam en todo el
proceso
Consultores externos
06 de octubre de
2016 X
Enviar a los Consultores los formatos no
codificados para su revisión y tratamiento
Coordinación del Sistema de
Gestión por Procesos
06 de octubre de
2016 X
Validar con el Departamento de Infraestructura y
Desarrollo Tecnológico que el correo de
protección de datos esté activo y con los accesos
solicitados
Coordinación del Sistema de
Gestión por Procesos
06 de octubre de
2016 X
162
COMPROMISOS
Compromiso Responsable Fecha Límite
Cumplimiento
Si No En proceso
Realizar capacitación virtual a los Centros
Regionales
Consultores externos
Secretaría General
07 de octubre de
2016 X
Enviar a los Consultores el formato web de
inscripción y matrícula para su revisión y
tratamiento
Dirección de Planeación
13 de octubre de
2016 X
Definir el sistema donde se registrarán los requerimientos
Oficial de Tratamiento de
Datos Personales
13 de octubre de
2016 X
Ajustar y aprobar el Procedimiento de
consultas y reclamos
Oficial de Tratamiento de
Datos Personales
Acompaña:
Coordinación del Sistema de
Gestión por Procesos
13 de octubre de
2016 X
Diseñar el Procedimiento de consultas internas
Oficial de Tratamiento de
Datos Personales
Acompaña:
Coordinación del Sistema de
Gestión por Procesos
13 de octubre de
2016 X
Diseñar formato web para la solicitud interna
Oficial de Tratamiento de
Datos Personales Acompaña:
Sistema
13 de octubre de
2016 X
163
COMPROMISOS
Compromiso Responsable Fecha Límite
Cumplimiento
Si No En proceso
Universitario de Información
Gestionar y acompañar el diligenciamiento de las
bases de datos
Oficial de Tratamiento de
Datos Personales
Noviembre de 2016 X
DOCUMENTOS ANEXOS Descripción Tipo Origen
PRÓXIMA REUNIÓN Lugar: Sala de Reuniones piso 10 Fecha: 06/10/2016 Hora: 08.00hs ASISTENCIA
Nombre Convocado Cargo Asistió Observación Si No Gustavo Ríos Fernández Director de Planeación X
Francisco Javier Acosta Gómez Secretario General X
Hillmer Alirio Chona Moreno
Coordinador Departamento Universitario de Información
X No fue citado a la reunión
Myriam Esperanza Ruiz Romero
Coordinadora Departamento de Infraestructura y Desarrollo Tecnológico para la Educación
X No fue citada a la reunión
Magdalena Trujillo Arango
Coordinadora del Sistema de Gestión por Procesos
X
Piedad Amparo Saldarriaga Puerta
Asistente Departamento de Infraestructura y Desarrollo Tecnológico para la Educación
X No fue citada a la reunión
164
Diego Alejandro Pérez Múnera
Asistente de Planeación X
Carlos Hernando Zapata Sepúlveda
Oficial de Tratamiento de Datos Personales X Presenta excusa
INVITADOS
Nombre Convocado Cargo Asistió Observación Si No Diego Martín Buitrago Botero Consultor CES X
Luis Alberto Arango Consultor CES X
Carlos Alberto Muñoz Henao
Coordinador de la Oficina de Comunicaciones y Relaciones Públicas
X
Acta elaborada por: Diego Alejandro Pérez Múnera Fecha: 29/09/2016
Abog. FRANCISCO JAVIER ACOSTA G. Secretario General
DIEGO ALEJANDRO PÉREZ MÚNERA Asistente de Planeación
No. 8
ACTA DE REUNIÓN
Código:
FO-AP-001
Versión: 2
Fecha: 28-05-2013
165
Evento: Comité Habeas Data. Dirección de Planeación Acta Número: 08
INFORMACIÓN BÁSICA
Propósitos de la
Reunión
Continuar con la asesoría sobre Tratamiento de Datos Personales.
Fecha: 06 de octubre de 2016
Lugar: Sala de Reuniones Piso 10
Hora de inicio Hora de finalización
08.00 am 09.30 am Tipo de Reunión: Seguimiento X Toma de
Decisiones Informativa
AGENDA
Orden del Día Abordado Completado Si No Si No
1 Estado de los compromisos de la reunión anterior X X 2 Temas varios X X
DESARROLLO DE LA REUNIÓN
Asunto Comentarios y acciones Decisiones
1. Estado de los
compromisos de la reunión
anterior
Sobre los compromisos de la reunión anterior, se reportó el siguiente estado: 1. Revisión de documentos institucionales: el
Consultor indicó que avanzan con la revisión; reportó que hoy 6 de octubre, harán entrega de aproximadamente 50 documentos revisados y ajustados con tratamiento de datos.
2. Política de Tratamiento de Datos en contrato de trabajo y prestación de servicios: esta actividad está incluida en la revisión general de documentos.
3. Remisión de hojas de vida de bases de
datos: el Oficial de Tratamiento de Datos Personales envío la solicitud a las unidades académicas y administrativas para el diligenciamiento de las hojas de vida o fichas técnicas.
Acompañar a las unidades en el diligenciamiento de las hojas de vida de las bases de datos. Responsable: Oficial de Tratamiento de Datos. Diseñar borrador de Política de Seguridad Informática. Responsable: Dirección de Planeación.
166
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
En este punto, se indicó al Oficial: i) realizar un seguimiento personalizado a todas las unidades en el diligenciamiento de las bases de datos, ii) informar que las bases de datos que contemplen personas jurídicas colectivas no se reportan, y por lo tanto no deben tener hoja de vida; y iii) realizar un nuevo diagnóstico con las unidades para validar que todas las bases de datos hayan sido reportadas.
Asimismo, y atendiendo a que la hoja de vida tiene aproximadamente cuatro ítems, divididos en 20 preguntas, sobre el tema de seguridad, se define la necesidad de diseñar la Política de Seguridad Informática para la Funlam. La Dirección de Planeación, con sus coordinaciones, tendrá el borrador de la misma para el 20 de octubre. También, y en relación con el procedimiento a seguir en caso de destrucción de una base de datos, se sugirió la creación de un formato institucional de disposición final de las bases de datos; este formato debe ser codificado por el Sistema de Gestión por Procesos. 4. Capacitación Centro Regionales: el 7 de
octubre, desde las 8.00hs se realizará la capacitación descrita. A este espacio asistirán algunos docentes y administrativos de la sede Medellín que no participaron de los encuentros anteriores.
Además, sobre el proceso, se indicó que en la capacitación general participaron 336 personas, 226 docentes y 110 administrativos. 5. Alternativas de respuesta: el Consultor
tratará este tema con el Oficial de Datos para generar un protocolo de respuestas.
6. Remisión formatos no codificados: hoy, 6 de octubre, se enviarán al Consultor, vía
Crear formato de disposición final de las bases de datos. Responsable: Oficial de Tratamiento de Datos. Remitir los formatos no codificados y los formularios a los Consultores. Responsable: Coordinación del Sistema de Gestión por Procesos.
167
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
correo electrónico, todos los formatos no codificados que fueron reportados por las unidades, además de los formularios de inscripción a pregrados, posgrados y eventos de extensión. Además, se enviará el formulario de caracterización que diligencian los estudiantes, para su revisión y tratamiento. Se responsabiliza a Diego Alejandro Pérez Múnera.
La Coordinadora del Departamento Gestión Humana enviará el formulario de la plataforma “Trabaje con nosotros”, para darle tratamiento de datos. En la plataforma Sirce se colocará un recordatorio de la Política de Tratamiento de Datos. Asimismo, el Consultor definirá la información de tratamiento de datos que podrá estar en carteleras ubicadas en sitios estratégicos, para: control de acceso, video vigilancia y toma de datos biométricos. También se revisará el anuncio de las llamadas telefónicas y consentimiento informado para la cámara Gessel en los Centros Regionales. 7. Ajustar y aprobar el Procedimiento de
consultas y reclamos: la Coordinación del Sistema de Gestión por Procesos, teniendo en cuenta el procedimiento enviado por los Consultores, revisó y adecuó el mismo en el formato institucional; además, se envió al Oficial de Tratamiento de Datos Personales para su revisión y ajustes; posteriormente, los Consultores ofrecerán sus observaciones; será aprobado el 13 de octubre en el Comité de Habeas Data.
8. Diseñar el proceso de requerimientos de consultas internas o transferencia de la información: la Coordinación del Sistema
168
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
de Gestión por Procesos diseñó el procedimiento interno, según lo acordado en la reunión del 29 de septiembre, y se entregó al Oficial de Tratamiento de Datos Personales para su revisión y ajustes. Se esperan además las observaciones de los Consultores para su implementación.
9. Definir el sistema donde se registrarán los
requerimientos: el Oficial de Datos indicó que la empresa Monitor presentó la cotización para las dos implementaciones en el CRM: un módulo de quejas y reclamos (externo) y otro de comunicación interna. Dichas cotizaciones se entregaron al Director de Planeación, para que las revise y gestione su aprobación. La decisión debe exponerse en la siguiente reunión del Comité.
10. Diseñar formato web para la solicitud: depende de la decisión del punto 9.
11. Gestionar el registro de las bases de
datos: en el momento se están diligenciando las hojas de vida de cada base de datos, en tanto son el insumo primordial para el registro. Cuando la SIC dé apertura al registro, este será realizado con el acompañamiento de los Consultores.
12. Capacitación directivos en el Comité de Funciones Sustantivas. Se realizará el 11 de octubre.
2. Temas varios
Se puntualizan los siguientes temas: • Se solicitó a los Consultores la posibilidad
de entregar, al final de la consultoría, un manual donde se resuman los ajustes realizados, por cada uno de los puntos que contemplaba el proceso de acompañamiento.
169
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
• El Consultor recordó que la Funlam puede solicitar las capacitaciones que considere pertinentes. Se define la planeación de dos capacitaciones particulares con los Guardianes de Datos y los docentes investigadores, este último previo visto bueno de la Vicerrectoría de Investigaciones. Para ello, es importante planearlas con el Consultor Diego Buitrago, informándole además los temas puntuales. Responsable: Gestión Humana
COMPROMISOS
Compromiso Responsable Fecha Límite
Cumplimiento
Si No En proceso
Enviar a los Consultores los formatos no
codificados para su revisión y tratamiento
Coordinación del Sistema de
Gestión por Procesos
06 de octubre de
2016 X
Realizar capacitación virtual a los Centros
Regionales
Consultores externos
Departamento
de Gestión Humana
07 de octubre de
2016 X
Definir el sistema donde se registrarán los
requerimientos, teniendo en cuenta las
cotizaciones entregadas para la inclusión de módulos en el CRM
Director de Planeación
13 de octubre de
2016 X
Aprobar el Procedimiento de
consultas y reclamos
Oficial de Datos y Consultor
Externo
13 de octubre de
2016 X
Crear formato de disposición final de las
bases de datos
Oficial de Tratamiento de
Datos Personales
20 de octubre de
2016 X
170
COMPROMISOS
Compromiso Responsable Fecha Límite
Cumplimiento
Si No En proceso
Diseñar borrador de Política de Seguridad
Informática.
Dirección de Planeación
20 de octubre de
2016 X
Gestionar y acompañar el diligenciamiento de las
bases de datos
Oficial de Tratamiento de
Datos Personales
Noviembre de 2016 X
Capacitación Guardianes de Datos e
Investigadores
Consultor Externo y
Departamento de Gestión Humana
Última semana
de octubre X
Enviar pantallazo Trabaje con nosotros a
Consultores
Departamento de Gestión Humana
10 de octubre X
Acompañamiento diligenciamiento fichas técnicas de bases de
datos
Oficial de Protección de
Datos
13 de octubre X
Realización de avisos de advertencia en lugares
monitoreados
Oficial de Protección de
Datos
31 de octubre X
Tratamiento de documentos pendientes Consultores 13 de
octubre X
DOCUMENTOS ANEXOS Descripción Tipo Origen
PRÓXIMA REUNIÓN Lugar: Sala de Reuniones piso 10 Fecha: 13/10/2016 Hora: 08.00hs ASISTENCIA
Nombre Convocado Cargo Asistió Observación Si No Gustavo Ríos Fernández Director de Planeación X
Francisco Javier Acosta Gómez Secretario General X
171
Magdalena Trujillo Arango
Coordinadora del Sistema de Gestión por Procesos
X Presentó excusa
Diego Alejandro Pérez Múnera
Asistente de Planeación X
Carlos Hernando Zapata Sepúlveda
Oficial de Tratamiento de Datos Personales X
INVITADOS
Nombre Convocado Cargo Asistió Observación Si No Diego Martín Buitrago Botero Consultor CES X
Luis Alberto Arango Consultor CES X
Carlos Alberto Muñoz Henao
Coordinador de la Oficina de Comunicaciones y Relaciones Públicas
X
Acta elaborada por: Diego Alejandro Pérez Múnera Fecha: 06/10/2016
Abog. FRANCISCO JAVIER ACOSTA G. Secretario General
DIEGO ALEJANDRO PÉREZ MÚNERA Asistente de Planeación
172
No. 9
ACTA DE REUNIÓN
Código:
FO-AP-001
Versión: 2
Fecha: 28-05-2013
Evento: Comité Habeas Data. Dirección de Planeación Acta Número: 09
INFORMACIÓN BÁSICA
Propósitos de la
Reunión
Continuar con la asesoría sobre Tratamiento de Datos Personales.
Fecha: 13 de octubre de 2016
Lugar: Sala de Reuniones Piso 10
Hora de inicio Hora de finalización
08.30am 10.15am Tipo de Reunión: Seguimiento X Toma de
Decisiones Informativa
AGENDA
Orden del Día Abordado Completado Si No Si No
1 Revisión procedimientos X X 2 Estado de los compromisos X X 3 Asesoría Tratamiento de Datos Personales X X
DESARROLLO DE LA REUNIÓN
Asunto Comentarios y acciones Decisiones
1. Revisión procedimientos
Se presentan los procedimientos, para consultas externas e internas, diligenciados en los formatos institucionales. Para el Procedimiento “ejercicio de los derechos de los titulares de los datos
173
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
personales” (externos), se realizan las siguientes correcciones:
• Ampliar el término supresión, indicando lo siguiente: “Solo se puede efectuar cuando no se respetan los principios, derechos y garantías constitucionales y legales, y por solicitud de la Superintendencia de Industria y Comercio”.
• En los responsables de las todas las actividades de consultas y reclamos se debe colocar al Oficial de Tratamiento de Datos Personales, quien realiza todas las gestiones allí descritas.
Por su parte, y en relación con el Procedimiento de requisiciones internas, se entrega al Consultor, quien realizará las observaciones pertinentes, para ser devuelto en la siguiente reunión y así realizar el ajuste. Finalmente, los procedimientos serán enviados al Comité de Habeas Data para su revisión final y aprobación.
2. Estado de los
compromisos
Sobre los compromisos de la reunión anterior, se reporta el siguiente estado: 13. Revisión de documentos institucionales:
se indica que por una dificultad en el correo de los Consultores al parecer no llegaron los documentos presupuestados en la reunión pasada; no obstante, se comprometen a enviar dicho paquete el día de hoy. La revisión de los demás documentos está en marcha.
En este punto, además, el Oficial de Datos, remitirá el texto completo de la grabación telefónica de la Funlam para la revisión de los Consultores.
174
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
14. Remisión de hojas de vida de bases de datos: a la fecha se han recibido 21 hojas de vida; una de ellas será remitida, por el Oficial de Datos, al Consultor para la revisión y definición de claridades; esto con el fin de que el Oficial tenga el sustento necesario para realizar un acompañamiento oportuno en esta labor. Las observaciones de la revisión serán enviadas al Oficial el martes 18 de octubre.
15. Capacitación Centro Regionales: se
realizó el 7 de octubre, sin ningún contratiempo.
16. Alternativas de respuesta: el Consultor
indica que este tema será resuelto para la próxima reunión.
17. Remisión formatos no codificados: se envían al Consultor, por medio de correo electrónico, todos los documentos no codificados que reportaron las unidades, además de los formatos de inscripción a pregrados, posgrados, eventos de extensión, trabaje con nosotros y caracterizaciones de estudiantes.
18. Definir el sistema donde se registrarán
los requerimientos: por los trámites internos aún está en análisis para la toma de decisiones.
19. Capacitación directivos en el Comité de
Funciones Sustantivas. Se realiza el 11 de octubre sin ningún contratiempo.
En relación con otras capacitaciones, se indica que para el 27 de octubre los Guardianes de Datos tendrán encuentro formativo; se está en la organización de las capacitaciones con los docentes investigadores.
175
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
3. Asesoría Tratamiento de
Datos Personales
Se realizan las siguientes precisiones sobre el tratamiento de datos personales: • Es importante tener en la Política de
Seguridad el tema de la disposición final de las bases de datos.
• Los contratos de trabajo tendrán un otrosí relacionado con el Tratamiento de Datos y Aviso de Confidencialidad.
• En cuanto al consentimiento de los
estudiantes antiguos, es importante verificar si en el 2013 la Institución realizó alguna comunicación especial para el tema de Tratamiento de Datos, lo que podría servir como evidencia; en caso de no tener dicha comunicación ya no se pueden legalizar las bases de datos de dicho tiempo.
• Teniendo en cuenta el principio de libertad,
es necesario definir, de los datos que se piden en la inscripción, cuáles son indispensables y cuáles son opcionales. Así las cosas, y de manera previa, la Coordinadora del Departamento de Admisiones y Registro Académico, indica que podrían dejarse como datos de respuesta opcional, los siguientes: número de teléfono fijo y RH. No obstante, dicha Coordinación realizará una revisión para determinar los datos prioritarios, que en esencia son aquellos que responden a lo solicitado por el Snies, el Ministerio de Educación Nacional, el Dane, y otras instituciones.
• En relación con las revocatorias de las
autorizaciones, es importante tener claro que la Funlam puede revocar el tratamiento
176
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
de los datos, más no suprimirlos, esto en virtud del vínculo existente entre las partes.
• Es necesario identificar las empresas y/o
entidades con los que se comparten datos personales, para generar los convenios requeridos.
• Se delimita la necesidad de crear un
formato para actualización de datos. Finalmente, el Consultor reconoció las buenas prácticas de tratamiento de datos del Departamento de Admisiones y Registro Académico.
COMPROMISOS
Compromiso Responsable Fecha Límite
Cumplimiento
Si No En proceso
Envío de hoja de vida de base de datos Funlam
para revisión y observaciones
Oficial de Tratamiento de
Datos Personales
14 de octubre de
2016 X
Envío de observaciones de la hoja de vida de
bases de datos Consultor
18 de octubre de
2016 X
Revisar el Procedimiento de consultas internas Consultor
20 de octubre de
2016 X
Alternativas de respuestas para el
Oficial de Tratamiento de Datos
Consultor 20 de
octubre de 2016
X
Crear formato de actualización de datos
Oficial de Tratamiento de
Datos Personales
27 de octubre de
2016 X
Continuar con la revisión de documentos institucionales
Consultor Noviembre de 2015 X
177
DOCUMENTOS ANEXOS Descripción Tipo Origen
PRÓXIMA REUNIÓN Lugar: Sala de Reuniones piso 10 Fecha: 20/10/2016 Hora: 08.00hs ASISTENCIA
Nombre Convocado Cargo Asistió Observación Si No Gustavo Ríos Fernández Director de Planeación X
Magdalena Trujillo Arango
Coordinadora del Sistema de Gestión por Procesos
X
Diego Alejandro Pérez Múnera
Asistente de Planeación X
Carlos Hernando Zapata Sepúlveda
Oficial de Tratamiento de Datos Personales X
INVITADOS
Nombre Convocado Cargo Asistió Observación Si No Diego Martín Buitrago Botero Consultor CES X
Luis Alberto Arango Consultor CES X Acta elaborada por: Diego Alejandro Pérez Múnera Fecha: 14/10/2016
GUSTAVO RÍOS FERNÁNDEZ Presidente Ad hoc
DIEGO ALEJANDRO PÉREZ MÚNERA Asistente de Planeación
178
No. 10
ACTA DE REUNIÓN
Código:
FO-AP-001
Versión: 2
Fecha: 28-05-2013
Evento: Comité Habeas Data. Dirección de Planeación Acta Número: 10
INFORMACIÓN BÁSICA
Propósitos de la
Reunión
Continuar con la asesoría sobre Tratamiento de Datos Personales.
Fecha: 20 de octubre de 2016
Lugar: Sala de Reuniones Piso 10
Hora de inicio Hora de finalización
08.00am 10.00am Tipo de Reunión: Seguimiento X Toma de
Decisiones Informativa
AGENDA
Orden del Día Abordado Completado Si No Si No
1 Estado de los compromisos X X
2 Lectura borrador Política de Seguridad de la Información X X
2 Asesoría Tratamiento de Datos Personales X X DESARROLLO DE LA REUNIÓN
Asunto Comentarios y acciones Decisiones
1. Estado de los
compromisos
Sobre los compromisos pendientes, se reportó lo siguiente: 20. Revisión de documentos institucionales:
están en proceso de revisión. El Consultor
Diseñar formato para trámites internos Responsable: Oficial de
179
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
indicó que este compromiso estará finiquitado para el viernes 28 de octubre del año en curso. En este compromiso se recordó la cláusula que deberán llevar los contratos.
21. Remisión de hojas de vida de bases de
datos: a la fecha se han recibido 23 hojas de vida, de las cuales se han analizado 10. Se recordó la importancia de que el Oficial acompañe personalmente a las unidades para no generar reprocesos o reportes de bases de datos repetidas. En los numerales que piden información acerca de la Política de Seguridad de la Información, se debe responder que no, hasta tanto se tenga dicha normatividad construida y aprobada. Se recordó al Consultor el compromiso de revisar una de las hojas de vida para sugerencias y observaciones. Este compromiso se reprogramó para el viernes 28 de octubre.
22. Capacitación: se tiene programada
capacitación con Guardianes de Datos para el jueves 27 de octubre, entre las 14.00 y las 16.00hs, continúa pendiente planear la participación con los docentes investigadores.
23. Definir el sistema donde se registrarán
los requerimientos: se definió que para los trámites internos se diseñará un formato, codificado por el Sistema de Gestión por Procesos, y alojado en la Intranet; para los trámites externos aún está en análisis la posibilidad de trabajar dicha información por el CRM. El Director de Planeación y el Oficial de Datos se reunirán para tomar la decisión pertinente.
24. Procedimientos trámites internos y
externos: el Procedimiento de trámites
Tratamiento de Datos Personales. Definir sistema para trámites externos Responsables: Oficial de Tratamiento de Datos Personales y Director de Planeación.
180
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
externos está aprobado; solo se está a la espera de la decisión sobre el sistema que será usado para llevar el reporte; por su parte, y en relación con el Procedimiento de trámites internos, se está a la espera de las observaciones de los Consultores. Este compromiso se reprogramó para el 28 de octubre.
2. Lectura borrador
Política de Seguridad de la Información
El Director de Planeación da lectura al borrador de la Resolución Rectoral por medio de la cual se establecen las Políticas de Seguridad de la Información y otros asuntos derivados para su adecuada implementación y mejoramiento en la Funlam. Dicha Política presenta los siguientes acápites: 1) Modelo de seguridad de información; 2) Políticas generales de Seguridad de la Información; 3) Comité de seguridad de la información; 4) Términos y definiciones; 5) Acuerdos de confidencialidad; 6) Riesgos relacionados con terceros; 7) Uso adecuado de los activos; 8 ) Acceso a internet; 9) Correo electrónico; 10) Recursos tecnológicos; 11) Control de acceso físico; 12) Protección y ubicación de los equipos; 13) Segregación de funciones; 14) Protección contra software malicioso; 15) Copia de respaldo; 16) Intercambio de información; 17) Control de acceso lógico; 18) Gestión de contraseñas de usuario; 19) Escritorio y pantalla limpia; 20) Segregación de redes; 21) Identificación de requerimientos de seguridad; y 22) Servicio de Red Wifi. En la lectura se sugieren algunos ajustes y el envío de la misma al Consultor para las observaciones pertinentes. Además, el Oficial de Datos y el Director de Planeación realizarán una revisión en aras de garantizar que la Política se articule a las propuestas de seguridad que propone la SIC.
Revisión y ajuste de la Política de seguridad de la información.
181
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
3. Asesoría Tratamiento
de Datos Personales
Se realizaron las siguientes precisiones sobre el tratamiento de datos personales: • Es importante verificar el tratamiento que
está dando la Institución a todo lo relacionado con el uso de la música, y asuntos concernientes a derechos de autor. Por ejemplo, la música usada en el gimnasio y los eventos, y los videos que los docentes suben a la plataforma Dicom.
• Sobre la transferencia y transmisión de datos internacionales, y teniendo en cuenta los convenios que la Institución gestiona para la movilidad de estudiantes, se indicó que ninguna de las dos condiciones se cumple en el momento (trasferencia-trasmisión), en tanto lo único que hace la Funlam es suministrar datos para permitir la movilidad. En este sentido, sólo será necesario que los convenios existentes tengan una cláusula donde la entidad internacional se compromete a respetar y cumplir los mandatos legales colombianos, en materia de protección de datos.
• Teniendo en cuenta que no se cuenta con la
autorización de los titulares del año 2013, es importante realizar una actualización de datos de los titulares antiguos, en la que se ponga la cláusula de Tratamiento de Datos.
• En el ejercicio de diseño de las hojas de vida
de las bases de datos, es necesario tener clara la finalidad de las mismas.
• Se recordó que los informes, mensuales y
semestrales a la SIC se realizarán desde el mismo momento en que se registren las bases de datos. Cuando se tenga la Resolución de la SIC en la que se da inicio
182
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
al registro, se definirán las fechas para la entrega de dichos informes.
COMPROMISOS
Compromiso Responsable Fecha Límite
Cumplimiento
Si No En proceso
Envío de observaciones de la hoja de vida de
bases de datos Consultor
28 de octubre de 2016
X
Revisar el Procedimiento de consultas internas Consultor
28 de octubre de 2016
X
Crear formatos de actualización de datos,
trámites internos y disposición final de bases
de datos.
Oficial de Tratamiento de
Datos Personales
28 de octubre de 2016
X
Finalizar la revisión de documentos
institucionales codificados y no
codificados (cláusulas contratos y formularios
de inscripción)
Consultor 28 de
octubre de 2016
X
Definir el sistema para los trámites externos
Oficial de Tratamiento de
Datos Personales
Director de Planeación
28 de octubre de 2016
X
Revisión y ajuste de la Política de Seguridad de
la Información
Director de Planeación
Apoyan: Oficial de Tratamiento
de Datos Personales y
Consultor Externo
28 de octubre de 2016
X
183
DOCUMENTOS ANEXOS Descripción Tipo Origen
PRÓXIMA REUNIÓN Lugar: Sala de Reuniones piso 10 Fecha: 27/10/2016 Hora: 08.00hs ASISTENCIA
Nombre Convocado Cargo Asistió Observación Si No Gustavo Ríos Fernández Director de Planeación X
Francisco Javier Acosta Gómez Secretario General X
Myriam Esperanza Ruiz Romero
Coordinadora Departamento de Infraestructura y Desarrollo Tecnológico para la Educación
X
Magdalena Trujillo Arango
Coordinadora del Sistema de Gestión por Procesos
X
Diego Alejandro Pérez Múnera
Asistente de Planeación X
Carlos Hernando Zapata Sepúlveda
Oficial de Tratamiento de Datos Personales X
Carlos Alberto Muñoz Henao
Coordinador Oficina de Comunicaciones y Relaciones Públicas
X
INVITADOS
Nombre Convocado Cargo Asistió Observación Si No Diego Martín Buitrago Botero Consultor CES X
Acta elaborada por: Diego Alejandro Pérez Múnera Fecha: 20/10/2016
Abog. FRANCISCO JAVIER ACOSTA G. Secretario General
DIEGO ALEJANDRO PÉREZ MÚNERA Asistente de Planeación
184
No. 11
ACTA DE REUNIÓN
Código:
FO-AP-001
Versión: 2
Fecha: 28-05-2013
Evento: Comité Habeas Data. Dirección de Planeación Acta Número: 11
INFORMACIÓN BÁSICA
Propósitos de la
Reunión
Continuar con la asesoría sobre Tratamiento de Datos Personales.
Fecha: 27 de octubre de 2016
Lugar: Sala de Reuniones Piso 10
Hora de inicio Hora de finalización
08.00am 10.00am Tipo de Reunión: Seguimiento X Toma de
Decisiones Informativa
AGENDA
Orden del Día Abordado Completado Si No Si No
1 Estado de los compromisos X X 2 Asesoría Tratamiento de Datos Personales X X
DESARROLLO DE LA REUNIÓN
Asunto Comentarios y acciones Decisiones 1. Estado de
los compromisos
Sobre los compromisos pendientes, se reporta el siguiente estado:
185
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
25. Revisión de documentos institucionales: están en proceso de revisión. El Consultor indicó que este compromiso estará finiquitado para el viernes 28 de octubre. En la reunión se entregan 134 documentos. Quedan pendientes, además, los no codificados, los formatos de inscripción, las cláusulas para los contratos, la Política de Seguridad y lo relacionado con el texto de la operadora y la información respectiva a fotografías, videos, control de acceso y datos biométricos. Se recordó el diseño del manual, que será ubicado en el sitio web, donde quede explícito todo lo que se realizó.
26. Remisión de hojas de vida de bases de datos: a la fecha se han recibido 27 hojas de vida. Se recordó al Consultor el compromiso de revisar una de las hojas de vida para sugerencias y observaciones. Este compromiso se reprogramó para el viernes 28 de octubre cuando entregarán la hoja de vida de control y registro que servirá de modelo para el cierre de las demás.
27. Capacitación: se realizará capacitación
para los Guardianes de Datos el día 27 de octubre, entre las 14.00 y las 15.30hs. En dicho espacio el Consultor expondrá el procedimiento externo y, el Oficial de Datos, el interno. No se realizará capacitación a los investigadores, porque se considera que, con la formación general, ya recibida, fue suficiente.
28. Definir el sistema donde se registrarán
los requerimientos: está en proceso. El Director de Planeación y el Oficial de Datos se reunirán para tomar la decisión pertinente. Se reprogramó para el 04 de noviembre de 2016.
Cerrar los compromisos faltantes. Octubre 28 de 2016 Octubre 27 de 2016 Noviembre 4 de 2016 Octubre 28 de 2016
186
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
29. Procedimientos trámites internos y externos: el de trámites externos está aprobado; solo está a la espera de la decisión sobre el sistema que será usado para llevar el reporte; por su parte, y en relación con el procedimiento de trámites internos, está pendiente de las observaciones de los Consultores. Este compromiso se reprogramó para el 28 de octubre.
30. Formatos: se revisó y aprobó el Formato
Autorización de Datos, que servirá además para legalizar la autorización de tratamiento de datos por parte de los estudiantes, graduados y empleados antiguos. Es necesario hablar con el Coordinador del Sistema Universitario de Información para realizar las adecuaciones en el sistema académico, y que se permita que, para las próximas matrículas, cuando el estudiante actualice sus datos también realice la autorización de tratamiento de datos. En relación con los graduados se puede formalizar una comunicación masiva solicitando dicha actualización.
31. Bases de datos: se reconoce el trabajo
de depuración realizado por el Oficial de Datos; a la fecha, de las 57 bases de datos registradas, se han oficializado solo 27.
2. Asesoría Tratamiento
de Datos Personales
Se realizaron las siguientes precisiones sobre el Tratamiento de Datos Personales: • Recordar que las revocatorias siempre se
deben registrar en las bases de datos.
• Es importante generar el listado de entidades con quienes se comparten datos para el debido tratamiento. A estas, se les debe pedir certificación de tratamiento de bases de datos y una copia de la política
187
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
• En relación con la transferencia y transmisión internacional de datos, el Consultor, revisará, en conjunto con el Oficial de Datos, uno de los convenios que se gestionan desde la OCRI, para poder definir el tratamiento respectivo.
COMPROMISOS
Compromiso Responsable Fecha Límite
Cumplimiento
Si No En proceso
Envío de observaciones de la hoja de vida de
bases de datos Consultor
28 de octubre de 2016
X
Revisar el Procedimiento de consultas internas Consultor
28 de octubre de 2016
X
Finalizar la revisión de documentos
institucionales codificados y no
codificados (clausulas contratos, formularios de inscripción, fotografías,
videos, datos biométricos, control de
acceso, grabación operadora)
Consultor 28 de
octubre de 2016
X
Revisión y ajuste de la Política de Seguridad de
la Información Consultor
28 de octubre de 2016
X
Remisión de hoja de vida de bases de datos modelo (registro y
control)
Consultor 28 de
octubre de 2016
X
Definir con Coordinador del Sistema Universitario
de Información la adecuación del Sistema
Académico para el tratamiento de datos
(formato de matrícula)
Oficial de Tratamiento de
Datos Personales
Dirección de Planeación
4 de noviembre de 2016
X
188
COMPROMISOS
Compromiso Responsable Fecha Límite
Cumplimiento
Si No En proceso
Definir el sistema para los trámites externos
Oficial de Tratamiento de
Datos Personales
Director de Planeación
04 de octubre de 2016
X
DOCUMENTOS ANEXOS Descripción Tipo Origen
PRÓXIMA REUNIÓN Lugar: Sala de Reuniones piso 10 Fecha: 04/11/2016 Hora: 08.00hs ASISTENCIA
Nombre Convocado Cargo Asistió Observación Si No Gustavo Ríos Fernández Director de Planeación X Visita de Pares Lic. En
Educación Infantil Francisco Javier Acosta Gómez Secretario General X Visita de Pares Lic. En
Educación Infantil
Magdalena Trujillo Arango
Coordinadora del Sistema de Gestión por Procesos
X
Diego Alejandro Pérez Múnera
Asistente de Planeación X
Carlos Hernando Zapata Sepúlveda
Oficial de Tratamiento de Datos Personales X
Carlos Alberto Muñoz Henao
Coordinador Oficina de Comunicaciones y Relaciones Públicas
X
INVITADOS
Nombre Convocado Cargo Asistió Observación Si No Luis Alberto Arango Consultor CES X
189
Acta elaborada por: Diego Alejandro Pérez Múnera Fecha: 28/10/2016
CARLOS ALBERTO MUÑOZ HENAO Presidente Ad-hoc
DIEGO ALEJANDRO PÉREZ MÚNERA Secretario
No. 12
ACTA DE REUNIÓN
Código:
FO-AP-001
Versión: 2
Fecha: 28-05-2013
Evento: Comité Habeas Data. Dirección de Planeación Acta Número: 12
INFORMACIÓN BÁSICA
Propósitos de la
Reunión
Verificar estado de los compromisos faltantes.
Fecha: 03 de noviembre de 2016
Lugar: Sala de Reuniones Piso 10
Hora de inicio Hora de finalización
08.00am 09.30am Tipo de Reunión: Seguimiento X Toma de
Decisiones Informativa
AGENDA
Orden del Día Abordado Completado Si No Si No
1 Estado de los compromisos X X
190
2 Otros X X DESARROLLO DE LA REUNIÓN
Asunto Comentarios y acciones Decisiones
1. Estado de los
compromisos
Ante la inasistencia de los Consultores externos a la reunión, el Comité revisó los compromisos faltantes y les envía un correo informando de los mismos, y solicitando su cumplimiento a más tardar el 10 de noviembre de 2016. Estos compromisos son: • Revisión de documentos: al momento se
han entregado 155 documentos revisados (115 sin modificación, y 40 con tratamiento de datos). Quedan faltando: 433 documentos codificados, 57 documentos no codificados; formatos de inscripción y matrícula; texto grabación Funlam; clausulas contratos; textos para control de ingreso, video cámaras, datos biométricos, protocolos de respuesta. Se le indica que, para agilizar la revisión de los documentados, se pueden omitir los que aparecen con los siguientes códigos: PC, CP e IN, en tanto son documentos de consulta que no presentan ningún dato personal; la revisión se debe centrar en los formatos (FO).
• Hojas de vida bases de datos: entrega de la hoja de vida de Registro, como modelo para la realización de los demás.
• Procedimiento interno: enviar el
procedimiento con las observaciones para su revisión final.
• Política de Seguridad: enviar
observaciones.
Cerrar los compromisos faltantes.
2. Otros
En relación con los procedimientos internos y externos, se deben incluir en los mismos los formatos diseñados para el Tratamiento de Datos Personales.
Ajustar procedimientos. Realizar reunión Política
191
DESARROLLO DE LA REUNIÓN Asunto Comentarios y acciones Decisiones
Asimismo, se definió realizar una reunión el jueves 10 de noviembre, entre las 08.00 y las 11.00hs, para revisar, ajustar y aprobar la Política de Seguridad de la Información. Se citan al encuentro: Director de Planeación, Revisor Fiscal, Coordinadora Departamento Administración de Documentos, Coordinador Sistema Universitario de Información, Oficial de Tratamiento de Datos Personales; Asistente Departamento de Infraestructura y Desarrollo Tecnológico para la Educación y Coordinadora del Sistema de Gestión por Procesos. Se definió, por el momento, no tener más reuniones.
Seguridad de la Información.
COMPROMISOS
Compromiso Responsable Fecha Límite Cumplimiento
Si No En proceso
Cumplir compromisos faltantes Consultor
10 de noviembre de 2016
X
Revisar los procedimientos para
incluir formatos
Oficial de Tratamiento de
Datos Personales
17 de noviembre de 2016
X
DOCUMENTOS ANEXOS Descripción Tipo Origen
PRÓXIMA REUNIÓN Lugar: Fecha: Hora:
ASISTENCIA
Nombre Convocado Cargo Asistió Observación Si No Gustavo Ríos Fernández Director de Planeación X
192
ASISTENCIA
Nombre Convocado Cargo Asistió Observación Si No Francisco Javier Acosta Gómez Secretario General X
Magdalena Trujillo Arango
Coordinadora del Sistema de Gestión por Procesos
X
Diego Alejandro Pérez Múnera
Asistente de Planeación X
Carlos Hernando Zapata Sepúlveda
Oficial de Tratamiento de Datos Personales X
Carlos Alberto Muñoz Henao
Coordinador Oficina de Comunicaciones y Relaciones Públicas
X
INVITADOS
Nombre Convocado Cargo Asistió Observación Si No
Acta elaborada por: Diego Alejandro Pérez Múnera Fecha: 05/11/2016
Abog. FRANCISCO JAVIER ACOSTA G. Secretario General
DIEGO ALEJANDRO PÉREZ MÚNERA Asistente de Planeación
193
6. POLÍTICAS DE TRATAMIENTO DE DATOS
Fórmulas generales
Formatos no codificados
La Funlam hace constar que los datos aquí recogidos solo se utilizarán para efectos de la prestación de nuestros servicios y el giro ordinario de los negocios de la Institución, se garantiza que el tratamiento de los mismos, se hace amparado en la existencia de unas Políticas de Tratamiento de Datos Personales, en concordancia con lo dispuesto en la Ley 1581 de 2012 y el Decreto 1377 de 2013.
Asistencia a eventos
La Funlam hace constar que los datos aquí recogidos solo se utilizarán para efectos de prestación de nuestros servicios académicos, y se garantiza el tratamiento de los mismos, amparado en la existencia de unas Políticas de Tratamiento de Datos Personales al interior de la Institución, en concordancia con lo dispuesto en la Ley 1581 de 2012 y el Decreto 1377 de 2013. La Funlam hace constar que los datos aquí recogidos solo se utilizarán para efectos del control de asistencia y participación en el evento.
Autorización de tratamiento de datos personales investigaciones
La Funlam solicita su autorización para la recopilación, almacenamiento y tratamiento de sus datos personales, y le informa que estos datos se utilizarán únicamente para las siguientes finalidades: CONSENTIMIENTO INFORMADO, PARA LA PRESTACIÓN DEL SERVICIO EDUCATIVO, y demás finalidades descritas en la Política de Tratamiento y Protección de Datos Personales de la Institución académica. Sus datos personales son tratados y protegidos de acuerdo a lo que reglamenta dicha Política, con apego a lo dispuesto por la normativa colombiana sobre Tratamiento de Datos Personales, Ley 1581 de 2012 y el Decreto 1377 de 2013. Consulte nuestras Políticas para el Tratamiento y Protección de Datos en www.funlam.edu.co
194
Acuerdo de transmisión y transferencia de datos personales a encargado dentro o fuera del país
La Universidad Católica Luis Amigó protege los datos personales obtenidos, garantizando el respeto al derecho constitucional, al Habeas Data y derechos conexos en concordancia con la normatividad vigente. Esta Política fija los referentes para la obtención, recolección, uso, tratamiento, procesamiento, transferencia, intercambio y transmisión de datos personales y los compromisos que asume la Funlam y quienes sirven en ella para el tratamiento de la información personal obtenida en virtud de su actividad académica, laboral, comercial y cultural en donde la Institución actúa como responsable del trato de la misma.
Aviso de cartelera sin tratamiento de datos
Señor usuario la Universidad Católica Luis Amigó le informa que los datos que usted ubique en esta cartelera no están sometidos al Tratamiento de Datos Personales de la Funlam, por lo tanto la información ubicada en ella será de su total responsabilidad y no comprometen la debida diligencia de la Funlam según lo estipulado en la Ley 1581 de 2012 y su Decreto reglamentario 1377 de 2013.
Certificación de Política de Tratamiento de Datos a terceros
De acuerdo lo preceptuado por la Ley 1581 de 2012 y su Decreto 1377 de 2013 para la protección de los derechos que tienen todas las personas a conocer, actualizar y rectificar los datos personales que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales relacionados con los datos personales, __________________________ les solicita muy cordialmente le certifiquen por escrito sus Políticas de Tratamiento y Protección de Datos Personales, necesarias para que ______________________ comparta con ustedes los datos personales de los cuales ha recibido autorización por parte de sus usuarios para el tratamiento. Según la normatividad mencionada, no se podrán recolectar y/o tratar datos personales sin una finalidad específica y sin la autorización previa, expresa e informada del titular.
Comunicado para proveedores
Funlam informa que los datos personales del representante legal de nuestra Institución, entregados a ustedes, pueden seguir siendo tratados en virtud de
195
la relación contractual que une a la Funlam con su empresa, para las finalidades estrictamente acordadas en los contratos o convenios que se hayan establecido entre las partes. Solicitamos a su organización certificar la existencia de la política de tratamiento de datos personales, de igual manera le informamos que la Funlam cuenta con la Política de Tratamiento de Datos que puede consultar en nuestra página web www.funlam.edu.co
OTROSÍ # ___ PROTECCIÓN DE DATOS PERSONALES POR EMPLEADOS (O CONTRATISTAS)
Las partes firmantes del contrato de trabajo a término _________ suscrito el ___________________, por medio del presente otrosí y en cumplimiento de la Ley de Protección de Datos 1581 de 2012 y el Decreto 1377 de 2013, acordamos y suscribimos el presente documento como adición al contrato de trabajo principal en los siguientes términos:
1. El empleado reconoce la importancia de dar cumplimiento a sus responsabilidades, especialmente en cuanto a no poner en peligro la integridad, disponibilidad y confidencialidad de la información que maneja mi empresa (empleador).
2. Entre las funciones principales y secundarias, sean éstas permanentes o temporales, el empleado reconoce que el empleador le permite el acceso a las Bases de Información (contentivas de datos personales) derivado éste acceso del cargo que desempeña. En caso de que su cargo no derive un acceso directo, igualmente el empleado reconoce que la empresa es responsable y administra bases de datos y archivos, ambos contentivos de datos personales, y que eventualmente podrían ser de acceso indebido del empleado en caso de violar el presente otrosí, en cuyo caso sería directamente responsable de los perjuicios que ello acarree.
3. En consecuencia de los numerales 1 y 2, el empelado manifiesta, mediante
la suscripción del presente documento, que ha leído, entendido y comprendido que se compromete a cumplir con los Procedimientos de Seguridad implementados por el empleador en relación con los Sistemas de Información y protección de datos personales, que posee y en el futuro desarrolle la empresa, especialmente los que corresponden o tienen relación directa o indirecta con la función que desempeña en la empresa, e igualmente los que se encuentren descritos en reglamentos, manuales, guías y cualquier otro documento o normativa de la empresa.
4. El empleado se compromete a cumplir, asimismo, todas las disposiciones
relativas a la Política de la empresa en materia de uso y divulgación de información y datos personales, contenidos en bases de datos y/o archivos,
196
y a no divulgar la información que reciba a lo largo de la relación laboral con la empresa, subsistiendo este deber de secreto, aun después de que finalice dicha relación contractual y tanto si esta información es de su propiedad, como si pertenece a un cliente de la misma, o a alguna otra Sociedad que nos proporcione el acceso a dicha información, cualquiera que sea la forma de acceso a tales datos o información y el soporte en el que consten, quedando absolutamente prohibido obtener copias sin previa autorización.
5. Igualmente se compromete a mantener protegida la información de datos
personales de las personas que sean empleados, clientes, proveedores ya existentes o potenciales, que su recolección posee una finalidad definida, evitando en todo caso a desviar los fines por los cuales fue otorgada al empleador, en todo caso saliendo al saneamiento de cualquier responsabilidad que se genere en caso de que el empleado incurra en dicha violación.
6. Todos los datos incluidos en el contrato de trabajo y otrosí son obligatorios y
la negativa a suministrarlos supondrá la imposibilidad de celebrar el presente contrato de trabajo. Esta información almacenada en base de datos y/o archivo tiene la finalidad de permitir la gestión adecuada del personal y elaboración de las nóminas de los empleados, así como la prevención de riesgos laborales en aras de proteger la seguridad y salud del personal.
7. Igualmente se tiene por finalidad en el tratamiento y circulación de los datos
personales de empleados vinculados, bajo cualquier modalidad laboral ante el empleador, la disponibilidad de estos para generar programas, planes y proyectos que permitan otorgarle beneficios propios de los productos y servicios que se comercializan directamente por la empresa empleadora, o sus aliados, o cesionarios y/o cualquier tercero requiera para dar cumplimiento a convenio previo suscrito con el empleador, en consecuencia se podrá tener acceso a los datos personales de los empleados para contactarlos con el objetivo de difundir y comercializar productos y/o servicios por medios físicos o digitales.
8. El empleado, con la suscripción del presente documento entiende que el
incumplimiento de cualesquiera de las obligaciones que constan en el presente documento, intencionadamente o por negligencia, podrían implicar en su caso, las sanciones disciplinarias correspondientes por parte de la empresa y la posible reclamación por parte de la misma de los daños económicos causados. En consecuencia se reconoce que la falta a las obligaciones laborales aquí contenidas pueden considerarse falta grave por parte del empleador, previo trámite de descargos.
9. Asimismo, y por el presente contrato de trabajo, el trabajador presta su
consentimiento para que todos los datos personales contenidos en él o en
197
cualquiera de sus anexos, prórrogas o modificaciones, así como los datos personales que puedan surgir a lo largo de la relación laboral, puedan ser tratados por la empresa y puedan, asimismo, ser cedidos a otras entidades con las que la empresa concierte directa o indirectamente la prestación de un servicio relativo a sus funciones legítimas, además con las entidades de orden público que se encuentren facultadas para requerir la información que bajo confidencialidad se preserva en la empresa. En constancia de lo anterior, se firma por ambas partes
____________________________ ____________________________ EL EMPLEADOR EL TRABAJADOR(A) ____________________________ _____________________________ NIT. ______________________ ___ C.C. ________________ ____________________________ C.C. _________________________ Representante Legal
ACUERDO PARA COMPARTIR DATOS PERSONALES
ACTIVIDAD PARA LA BASE DE DATOS PERSONALES: Transmisión: SI___ NO___ Transferencia: SI___ NO___ Nacional: SI___ NO___ Internacional: SI___ NO___ Entre las partes, de una parte: ___________________________ identificada con NIT _______________ con domicilio principal en la ciudad______república de _____ representada legalmente por ___________________________ quien se identifica como aparece al pie de su respectiva firma, quién para los efectos del presente acuerdo se denominará EL ENCARGADO del Tratamiento de Datos Personales (EL ENCARGADO), y de otra parte, _________________, identificada con el NIT ____________ con domicilio principal en la ciudad de _____ república de_______, representada legalmente por ___________________________ quien se identifica como aparece al pie de su respectiva firma y quien para los efectos del presente acuerdo se denomina EL RESPONSABLE del Tratamiento de Datos Personales (EL RESPONSABLE). Se ha convenido celebrar el presente acuerdo para compartir bases de datos personales de los clientes de EL RESPONSABLE. Relación de carácter comercial que se regirá por las normas legales colombianas en todo lo atinente y en especial
198
por lo preceptuado por el artículo 25 del Decreto 1377 de 2013, y en general por las siguientes cláusulas y consideraciones:
CONSIDERACIONES Tanto EL RESPONSABLE como EL ENCARGADO manifiestan tener unas Políticas de Tratamiento y Protección de Datos Personales ajustadas a la Ley 1581 de 2012 de la república de Colombia, en las cuales se definen las finalidades para el tratamiento de los datos personales y los procedimientos para las consultas, reclamos y el ejercicio de los derechos de los titulares frente a sus datos personales y al cumplimiento de las obligaciones previstas por la Ley para quien a cualquier título realiza tratamiento de las bases de datos; políticas de EL RESPONSABLE bajo las cuales EL ENCARGADO se compromete desde ahora a regir todo el tratamiento de los datos personales que le comparta EL RESPONSABLE en desarrollo del convenio de cooperación internacional para el intercambio de docentes y estudiantes celebrado entre ambas partes. EL ENCARGADO también manifiesta que cuenta con unas Políticas de Tratamiento y Protección de Datos Personales ajustadas a la legislación propia de la república de _________ para la garantía de los derechos de los titulares frente a sus datos personales y al cumplimiento de las obligaciones previstas por la Ley para quien a cualquier título realiza tratamiento de las bases de datos del EL RESPONSABLE. EL RESPONSABLE ha obtenido de sus docentes y estudiantes, como titulares, la autorización informada, clara, previa y expresa para el Tratamiento de sus Datos Personales, con una finalidad específica, la cual hace extensiva al tratamiento que brindará a los datos personales EL ENCARGADO. EL RESPONSABLE pondrá a disposición de EL ENCARGADO todos los datos personales necesarios para el desarrollo del objeto del convenio establecido entre ambos.
CLÁUSULAS PRIMERA: OBJETO: Compartir las bases de datos presentes y futuras recolectadas por parte de EL RESPONSABLE con EL ENCARGADO con la(s) finalidad(es) de ________________________________________________. SEGUNDA: OBLIGACIONES DE EL RESPONSABLE DE TRATAMIENTO DE DATOS PERSONALES: a). Obtener la autorización previa, clara, expresa e informada de los titulares de los datos para el tratamiento de los mismos, b). Mantener actualizadas las bases de datos de sus clientes y/o usuarios; c). Tramitar las consultas y los reclamos de los titulares de los datos de
199
acuerdo a la Ley 1581 de 2012 y a sus Políticas de Tratamiento de Datos Personales. TERCERA: OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO DE DATOS PERSONALES: a). Mantener la confidencialidad de los datos compartidos por EL RESPONSABLE; b). Cumplir con las finalidades para el tratamiento de los datos personales objeto del presente acuerdo; c). Garantizar el cumplimiento de las finalidades para el cual fue autorizado el tratamiento de datos personales inicialmente a EL RESPONSABLE por parte de los titulares; d). Devolver los datos personales cuando se determine la finalización del presente acuerdo; e). Certificar la publicación de sus Políticas de Tratamiento y Protección de Datos Personales; f). Tramitar las consultas y reclamos de los titulares de los datos de acuerdo a la Ley 1581 de 2012 y a las Políticas de Tratamiento y Protección de Datos Personales de EL RESPONSABLE; g) EL ENCARGADO en ningún momento, ni de manera directa o por intermedio de EL RESPONSABLE podrá realizar oferta de productos y/o servicios comerciales, crediticios, financieros o de cualquier tipo, propios o de terceros a los clientes y/o usuarios de EL RESPONSABLE; cuando esta oferta se haga con base en la información compartida por EL RESPONSABLE a EL ENCARGADO en virtud del objeto del presente encargo; h) EL ENCARGADO realizará el tratamiento de datos personales a nombre de EL RESPONSABLE, bajo los lineamientos que este haya definido para el efecto. PARAGRAFO: Si previamente a la celebración de este acuerdo, EL ENCARGADO hubiese tenido acceso a información y datos personales proporcionados por EL RESPONSABLE, aquélla será considerada, a todos los efectos previstos en el presente documento, como Información Confidencial, salvo aquella que expresamente sea calificada por EL RESPONSABLE como información pública, y aquella a la que EL ENCARGADO hubiere tenido acceso previo de manera legítima y directa con la autorización del titular de los datos. CUARTA: DURACIÓN: El presente acuerdo estará vigente mientras subsistan las condiciones que le dieron origen al mismo, tales como el contrato de__________________________________ celebrado por las partes y hasta que las partes no expresen su voluntad mutua de terminarlos. QUINTA: CAUSALES DE TERMINACIÓN: El presente acuerdo terminará por las siguientes causales: a) Por el incumplimiento de las obligaciones adquiridas por alguna de las partes; b) Por el tratamiento de los datos personales por fuera de las finalidades señaladas en el presente acuerdo; c) Por la terminación del contrato de___________________________ celebrado entre las partes.
200
PARAGRAFO: A la terminación del presente acuerdo EL ENCARGADO restituirá los datos personales respectivos a EL RESPONSABLE, certificando de manera idónea la eliminación total de sus archivos como ENCARGADO. SÉPTIMA-COMUNICACIONES: Todas las notificaciones que deban realizarse entre las partes del presente acuerdo, se realizarán por los medios físicos y electrónicos que sean definidos entre ambas partes para tal propósito. Para los efectos del presente acuerdo, ambas partes designan como personas encargadas del tratamiento de datos e intermediarios para las comunicaciones relacionadas con el objeto, a las siguientes personas: Por EL ENCARGADO: Nombre: _________________________ Teléfono: _________________________ Email: _________________________ Cargo: ___________________________ Por EL RESPONSABLE: Nombre: __________________________ Teléfono: _________________________ Email: ___________________________ Cargo: __________________________ NOVENA. CESIÓN DEL ACUERDO: EL ENCARGADO no podrá ceder parcial ni totalmente el presente acuerdo, sin que medie autorización previa y escrita de EL RESPONSABLE. DÉCIMA. CLÁUSULA COMPROMISORIA: Toda diferencia que surja entre las partes por la interpretación del presente acuerdo, su ejecución, cumplimiento, terminación o las consecuencias futuras del mismo, no pudiendo arreglarse entre estas, será resuelta por un Tribunal de Arbitramento de la Cámara de Comercio de ______________, integrado por un árbitro nombrado por las partes y de conformidad con el reglamento de dicha Cámara. DÉCIMA PRIMERA. PERFECCIONAMIENTO: El presente contrato se perfecciona con la firma ambas partes. En constancia de lo anterior, ambas partes firman el presente acuerdo, en la ciudad de ______________república de _________, a los __ del mes de ______ de ______.
201
______________________ ______________________ NOMBRE: NOMBRE: CC CC Empresa Empresa NIT NIT ENCARGADO RESPONSABLE
Aviso áreas video vigiladas
En cumplimiento de la normativa de protección de datos personales, la Funlam le informa que estos espacios se encuentran vigilados con cámaras y controles biométricos, con la finalidad de hacer seguimientos de seguridad a los espacios de la empresa, en ningún momento para el tratamiento de datos personales.
Tomas fotográficas y registros en video
En cumplimiento de la normativa de protección de datos personales, La Funlam le informa que las imágenes en video o registros fotográficos realizados en estos espacios serán utilizados en virtud de su actividad académica, laboral, comercial y cultural en donde la Institución actúa como responsable del trato de la misma. Se adoptan los parámetros y lineamientos de la Ley 1581 de 2012, invocando los principios de finalidad y libertad que serán acatados por la Institución.
7. FICHA DE REGISTRO DE BASES DE DATOS
REGISTRO NACIONAL DE BASES DE DATOS EMPRESA: ______________________
0 Información General Nombre de la base de datos: __________________ Responsable de la Base de Datos: _______________ Encargado de la Base de Datos: ____________________________
Finalidad de tratamiento de datos: ______________________________ Descripción de la finalidad del tratamiento de datos:
202
Cantidad de titulares en la base de datos:
1 Forma de tratamiento de la Base de Datos ¿Base de datos automatizada? ¿Base de datos física? ¿Ubicación de la base de datos? Computador personal Servidor Externo Propio Servidor externo a cargo de un tercero Servidor propio
2 Información Contenida en la Base de datos Base de Datos DATOS GENERALES ¿Tiene datos de personas menores de 18 años? ¿Datos de personas mayores de 18 años? DATOS DE IDENTIFICACIÓN
Datos generales de identificación de la persona, familiares, beneficiarios o terceros. Ej: Nombre, apellido, tipo de identificación, número de identificación, fecha y lugar de expedición, nombre, estado civil, sexo, etc.
Datos específicos de identificación de la persona. Ej: firma, nacionalidad, datos de familia, firma electrónica, otros documentos de identificación, lugar y fecha de nacimiento o muerte, edad, etc.
Datos biométricos de la persona. Ej: huella, ADN, iris, Geometría facial o corporal, fotografías, videos, fórmula dactiloscópica, voz, etc.
Datos de la descripción morfológica de la persona. Ej: color de piel, color de iris, color y tipo de cabello, señales particulares, estatura, peso, complexión, etc.
DATOS DE UBICACIÓN
Datos de ubicación relacionados con actividad comercial o profesional de las personas. Ej: dirección, teléfono, correo electrónico, etc.
Datos de ubicación personal relacionados con actividad privada de las personas. Ej: domicilio, teléfono, correo electrónico, etc.
203
DATOS SENSIBLES
Datos relacionados con la salud de la persona en cuanto a órdenes y relación de pruebas complementarias como laboratorio, imagen, endoscópicas, patológicas, estudios, etc. ESTA SUBCATEGORÍA NO INCLUYE RESULTADOS NI DIAGNÓSTICOS.
Datos relacionados con el estado de salud de la persona, que incluyen resultados de pruebas, laboratorios, estudios, diagnósticos médicos, generales o especializados, psicológicos o psiquiátricos, medicamentos y/o tratamientos médicos o terapéuticos de cualquier tipo, etc.
Datos relacionados con la pertenencia a sindicatos, organizaciones sociales, de derechos humanos, religiosas, políticas
Datos de preferencia, identidad y orientación sexual de la persona, origen étnico-racial, etc.
Población en condición vulnerable. Ej: personas de la tercera edad o menores de 18 años en condición de pobreza, personas con limitaciones sicomotoras, auditivas y visuales en condiciones de pobreza, personas víctimas de la violencia, personas en situación de desplazamiento forzado por violencia, madres gestantes o lactantes o cabeza de familia en situación de vulnerabilidad, menores en condición de abandono o protección, etc.
Datos sobre personas en situación de discapacidad DATOS DE CONTENIDO SOCIOECONÓMICO
Datos financieros, crediticios y/o derechos de carácter económico de las personas.
Datos socioeconómicos como estrato, propiedad de la vivienda, etc. Datos de información tributaria de la persona
Datos patrimoniales de la persona. Ej: bienes muebles e inmuebles, ingresos, egresos, inversiones, etc.
Datos relacionados con la actividad económica de la persona
Datos relacionados con la historia laboral de la persona, experiencia laboral, cargo, fechas de ingreso y retiro, anotaciones, llamados de atención, etc.
Datos relacionados con el nivel educativo, capacitación y/o historial académico de la persona, etc.
Datos generales relacionados con afiliación y aportes al Sistema Integral de Seguridad Social. Ej: EPS, IPS, ARL, fechas de ingreso/retiro EPS, AFP, etc.
204
OTROS DATOS
Datos personales de acceso a sistemas de información. Ej: usuarios, IP, claves, perfiles, etc.
Datos sobre gustos y/o intereses particulares. Ej: deportivos, ocio, gastronómicos, turismo, moda, etc.
Datos de antecedentes judiciales y/o disciplinarios de las personas.
3 Medidas de Seguridad de la Información Base de Datos SEGURIDAD DE LA INFORMACIÓN PERSONAL ¿Tiene un documento de seguridad de la información aprobado?
¿Ha realizado documentación de procesos en torno a la seguridad de la información?
¿Tiene procedimientos de asignación de responsabilidades y autorizaciones en el tratamiento de la información?
¿Ha implementado acuerdos de confidencialidad con las personas que tienen acceso a la información?
¿Tiene controles de seguridad en la tercerización de servicios para el tratamiento de la información?
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
¿Tiene implementadas herramientas de gestión de riesgos en el tratamiento de datos personales?
¿Tiene implementado un sistema de gestión de seguridad de la información o un programa integral de gestión de datos personales?
SEGURIDAD DE LA INFORMACIÓN PERSONAL EN TORNO AL RECURSO HUMANO
¿Tiene implementados controles de seguridad de la información para el Recurso Humano antes de la vinculación y una vez finalizado el contrato laboral?
CONTROL DE ACCESO A LA INFORMACIÓN PERSONAL
¿Tiene una política de control de acceso a la información, tanto en las instalaciones físicas como a nivel tecnológico?
¿Cuenta con un procedimiento para la Gestión de usuarios con acceso a la información?
¿Ha implementado una política específica para el acceso a la información de las bases de datos con información personal sensible?
¿Tiene una política implementada de copia de respaldo de la información?
205
¿Ha implementado una política de protección para el acceso remoto a la información?
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN PERSONAL
¿Tiene implementado un procedimiento que contemple la definición de especificaciones y requisitos de seguridad de los sistemas de información?
¿Tiene implementados controles de seguridad de la información durante el mantenimiento (Control de cambios) de los sistemas de información?
¿Tiene un procedimiento implementado de auditoría de los sistemas de información que contengan datos personales?
¿Las bases de datos con información personal poseen monitoreo de consulta?
PROCESAMIENTO DE INFORMACIÓN PERSONAL
¿Cuenta con una política implementada para el correcto tratamiento de la información personal en las diferentes etapas del ciclo de vida del dato (recolección, circulación y disposición final)?
¿Cuenta con un procedimiento implementado para la validación de datos de entrada y procesamiento de la información personal, para garantizar que los datos recolectados y procesados sean correctos y apropiados, como confirmación de tipos, formatos, longitudes, pertinencia, cantidad, uso, etc.?
¿Cuenta con un control de seguridad de información para la validación de datos de salida?
¿Cuenta con una política implementada para el intercambio físico o electrónico de datos (como por ejemplo durante el comercio electrónico para la compra y venta de productos o servicios), transporte y/o almacenamiento de información personal?
¿Tiene un procedimiento o control implementado para la disposición final de la información personal (supresión, archivo, destrucción, etc.)?
GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN PERSONAL
¿Cuenta con una política y procedimientos implementados de gestión de incidentes de seguridad de la información?
¿Tiene implementada una política para mejorar la seguridad de la información personal a partir de los incidentes o vulnerabilidades detectados?
AUDITORIAS DE SEGURIDAD DE LA INFORMACIÓN PERSONAL ¿Tiene una política de auditorías de seguridad de la información?
206
¿Dentro de las auditorías de seguridad de información, tiene en cuenta el cumplimiento de requisitos, políticas y normas que específicamente le apliquen a la base de datos?
4 Autorización del titular Base de Datos ¿Cuenta con autorización del titular? Sí Algunos casos Casos de urgencias médica o sanitaria.
Tratamiento de información autorizado por la Ley para fines históricos, estadísticos o científicos.
Datos relacionados con el Registro Civil de las Personas.
Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
Datos de naturaleza pública.
Mecanismos alternos Art. 10 Decreto 1377 de 2013 incorporado Capítulo 25 del Decreto Único 1074 de 2015.
Otro. Por mandato legal o judicial. No 5 Transferencia Internacional de Datos Base de Datos ¿Realiza transferencia internacional de datos? 6 Transmisión Internacional de Datos Base de Datos ¿Realiza Transmisión Internacional de Datos? 7 Cesión de la Base de Datos Base de Datos ¿La base de datos ha sido cedida en algún momento?
8. DESARROLLO DE GESTIÓN
El Encargado del Tratamiento deberá:
- Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
- Con el fin de llevar el control riguroso de todo el proceso y elaborar los informes semestrales que deberá radicar ante la SIC, con toda la información de consultas, reclamos e incidentes de seguridad a partir del momento de inscritas las bases de datos.
- Se deberá presentar informe mensual a la alta gerencia sobre el funcionamiento general del sistema de Tratamiento de datos personales.
207
Gestión de inicio de actividades por parte de la Unidad de Tratamiento de Datos
- Personal capacitado: 336 personas en la primera fecha (30 de noviembre).
84 personas en la segunda fecha con centros regionales (Octubre 7). 30 personas en la tercera fecha, con funciones sustantivas (11 de octubre). Total: 450 personas capacitadas a nivel país.
- Se estructuró la capacitación en Tratamiento de Datos en modalidad virtual, se inició la primera cohorte con 36 personas inscritas.
- Se han tenido dos capacitaciones con Guardianes de Tratamiento de Datos. - Se brindó capacitación a las diferentes unidades para el diligenciamiento de
las bases de datos que serán registradas ante la SIC, se levantaron 46 bases de datos.
- Se han tenido reuniones con unidades clave con las cuales se han impartido instrucciones para garantizar el debido tratamiento y la seguridad de los datos, se implementó la técnica de disociación de información para los ficheros físicos.
- Se tomó la decisión de cerrar el portal virtual del Consultorio Jurídico porque no garantizaba las seguridades mínimas requeridas por la Ley.
- Se ha dado respuesta a ocho peticiones de titulares, entre ellas, a un derecho
de petición de la sede de Manizales.
- Se ha creado el Manual de Tratamiento de Datos de la Funlam que cuenta con 197 folios que dan cuenta del devenir de esta Ley dentro de la Institución.
- Se revisaron en su totalidad los 450 documentos codificados y los más de
120 documentos no codificados que fueron entregados por la asesoría de la Universidad CES.
- Se participó en la construcción de la Política de Seguridad de la Información
que dio como resultado la Resolución Rectoral No. 54 del 15 de diciembre de 2016.
- Se han emitido siete (7) comunicados desde la Unidad de Protección de
datos que van consolidando el Programa Integral de Gestión de Datos Personales en la Funlam, todo ello con el fin de estar con condiciones de demostrar la debida diligencia en el tratamiento de datos personales ante una eventual visita de la Superintendencia de Industria y Comercio.
- Estoy inscrito en el curso virtual como docente con lo cual he venido
contestando a las preguntas de los participantes sobre el tratamiento de datos, los foros del curso virtual generan preguntas permanentemente.
208
- Se está atendiendo el correo de [email protected] que en el momento es el único medio por el que los titulares ejercen su derecho.
- Esta unidad ha tenido reuniones con las agencias de práctica de algunos
programas con el fin de comprometer a las mismas en el adecuado tratamiento de datos personales que rige en la Funlam.
Resultado:
- Se está esperando la implementación del software que exige la Ley para que los titulares ejerzan sus derechos de solicitar, rectificar, actualizar y revocar el tratamiento de sus datos personales, la Dirección de Planeación tiene el encargo.
- Se espera poder registrar solamente 20 bases de datos ante la SIC con el cambio estructural en el proceso, donde se tiene previsto que casi el 50% de las personas que tiene bases de datos queden con el perfil de Usuario y no de Encargado como en el momento.
- Se está estimulando a los Guardianes de Datos para que realicen el curso
virtual de Tratamiento de Datos cuanto antes con el fin de ir mejorando las competencias en este campo.
- No se han podido poner a disposición de la comunidad universitaria los
Procedimientos tanto interno como externo para el ejercicio de los derechos en Tratamiento de Datos, debido a que aún no se cuenta con el software en la plataforma web.
- Se ha venido puliendo desde esta unidad el documento de preguntas
frecuentes con el cual se pretende empoderar a la comunidad universitaria sobre el tema.
- Queda pendiente el tema del registro nacional de bases de datos ante la SIC
proceso que contará con la colaboración de los asesores de la Universidad CES, como estaba estipulado en el contrato.
Inventario de Bases de datos Funlam – 01 de febrero de 2017
Nombre base de datos
Responsable Cantidad Número de titulares
Perfil sugerido
Actividad Física 1
209
Coordinación de práctica Actividad Física y Deporte
Jennifer Vanessa Halaby Zapata
1 580 Encargado
Bienestar 4 Historia de Asesoría psicológica
Psicólogos y practicantes de psicología
1 100-150 Encargado
Conducta de entrada Jandwin Esteban Tierradentro Cardenas
1 Encargado
Inscripciones a Deporte y Cultura
Oscar Armando López Giraldo
1 Encargado
Listado de registro de atención psicológica
Paula Andrea Cataño
1 Encargado
Call Center 1 CRM Centro de Contacto
Empresa Monitor 1 76.525 Encargado
Apartadó 1 Mercadeo Centro Regional Apartadó
Yeison Manuel Martínez Romero
1 1500 Encargado
Cali 1 Regionalización Cali Paola Andrea
Medina Moreno 1 300 Encargado
Comunicación Social
1
Prácticas Comunicación Social 2016-I
Lina María Roldán Jaramillo
1 202 Encargado
Consultorio Jurídico
3
Información estudiantes y agencias
Secretarias Consultorio, Director y Coordinador de prácticas
1 261 Encargado
Información practicantes
Secretarias y Director
1 364 Encargado
Información usuarios externos
Secretarias, Director
1 3.500 Encargado
Extensión y Servicios a la Comunidad
1
210
Participantes en eventos de Extensión
Karen Dayana Marín Marín
1 537 Encargado
Fondo Editorial 8 Árbitros Sonia Natalia
Cogollo Ospina 1 831 Encargado
Revista Drugs and Addictive Behavior
Sandra Milena Restrepo Escobar
1 9.102 Encargado
Revista JSR Juan Diego Betancur Arias
1 70 Encargado
Lampsakos Jorge Andrés Cock 1 447 Encargado Perseitas David Esteban
Zuluaga Mesa 1 589 Encargado
Colaboradores Poiésis
Hernando Alberto Bernal Zuluaga
1 62 Encargado
Revista Science Of Human Action (SOHA)
Farley Sary Rojas Restrepo
1 415 Encargado
Revista Universidad Católica Luis amigó
Fredy Fernández Márquez
1 113 Encargado
Escuela Gastronómica
2
Proveedores Marleni Valencia y Estefanía Monsalve
1 3 Encargado
Estudiantes de gastronomia
Francisco Luis Giraldo Garzón
1 132 Encargado
Graduados 1 Graduados Luisa Fernanda
Salgado González 1 28,678 Encargado
Mercadeo 4 Extensión Leidy Yuliana
Aguirre Cortés 1 9.759 Encargado
Bachilleres 2016 Leidy Yuliana Aguirre Cortés
1 2.664 Encargado
Contadores Públicos Lina María Posada Martínez
1 3.224 Encargado
Interesados en Posgrados Funlam
Lina María Posada Martínez
1 3.645 Encargado
Negocios Internacionales
1
Estudiantes Graduados
Nelson Darío Caicedo Restrepo
1 259 Encargado
OCRI 3
211
Formato solicitud de intercambio estudiante visitante
Francedith Betancur Atehortúa
1 1 Encargado
Miembros RCI Francedith Betancur Atehortúa
1 1 Encargado
Posibilidades de alojamiento
Francedith Betancur Atehortúa
1 1 Encargado
Psicología 8 Usuarios laboratorio de Psicología
Cindy Johana Navarro Restrepo
1 152 Encargado
Practicantes laboratorio de psicología
Cindy Johana Navarro Restrepo
1 63 Encargado
Alcaldías de Antioquia
Hernando Alberto Bernal Zuluaga
1 50 Encargado
Contactos y colegas Hernando Alberto Bernal Zuluaga
1 317 Encargado
Docentes de psicología Funlam
Hernando Alberto Bernal Zuluaga
1 1002 Encargado
Psicomunicaciones (Egresados)
Hernando Alberto Bernal Zuluaga
1 968 Encargado
Facultades de psicología
Hernando Alberto Bernal Zuluaga
1 46 Encargado
Rectorías universidades
Hernando Alberto Bernal Zuluaga
1 22 Encargado
Registro Académico
1
Registro Académico - ESDEGAN
Gladis Elena Gallo 1 530 Encargado
Relaciones Laborales
1
Trabajadores y Contratistas
Angélica Jaramillo 1 1.200 Encargado
Vicerrectoría Académica
1
Tiquetes Aéreos Isabel Torres Lara y Martha Lucía Betancur Estrada
1 87 Encargado
WEB Mastér 5 Bienestar virtual Luis Andrés Rivera
Delgado 1 300 Encargado
Portal Funlam Luis Andrés Rivera Delgado
1 4.280 Encargado
212
Radius Luis Andrés Rivera Delgado
1 15.426 Encargado
Sistema encuesta Luis Andrés Rivera Delgado
1 10.836 Encargado
Nsoporte Luis Andrés Rivera Delgado
1 7.057 Encargado
Total 48 bases de datos
213
Protocolo de respuesta temas Habeas Data
Universidad Católica Luis Amigó
Oficina de Tratamiento de Datos Personales
Respuesta a solicitud, consulta relacionada con tratamiento de datos personales
SEÑOR (A) ____________________________________________, en atención a su solicitud presentada el día ______________, y dentro del término legal que para el procedimiento solicitado prescriben las normas sobre tratamiento de datos personales, procedemos a dar respuesta en los siguientes términos: En la actualidad la Universidad Católica Luis Amigó trata sus datos personales: Nombre, identificación, dirección física y electrónica, teléfono fijo y celular, y __________________________. La Universidad Católica Luis Amigó cuenta con su autorización para el tratamiento de datos personales obtenida mediante ___________________________________. Asimismo la Universidad cuenta con Políticas de Tratamiento de Datos Personales que puede consultar en www.funlam.edu.co. Atento saludo,
214
Comunicados elaborados por la Unidad de Protección de Datos
Con el fin de dar cuenta de la debida diligencia de la Funlam en el cumplimiento de la Ley 1581 de 2012 se han dado las siguientes orientaciones:
Octubre 04 de 2016 Comunicado 01
Diligenciamiento de bases de datos Funlam Señores UNIDADES ACADÉMICAS Y ADMINISTRATIVAS Universidad Católica Luis Amigó Cordial saludo, La Secretaría General y la Oficina de Comunicaciones y Relaciones Públicas, atendiendo al proceso de implementación de Tratamiento de Datos Personales que adelanta la Funlam, y teniendo en cuenta las bases de datos por ustedes reportadas, solicitan de su apoyo en el diligenciamiento del formato "Hoja de vida Base de datos", que se envía en adjunto, en tanto es el insumo principal para el registro de dichas bases en el sistema de la Superintendencia de Industria y Comercio. (Nota: cada base de datos reportada, deberá tener su hoja de vida). El adjunto presenta, para cada ítem, un comentario con las orientaciones para su diligenciamiento; en caso de tener una duda, o requerir acompañamiento, se pueden comunicar con el Oficial de Tratamiento de Datos Personales de la Funlam, el Señor Carlos Hernando Zapata Sepúlveda, a la extensión 9565. Para este ejercicio, las personas que reportaron las bases en mención, cuyo inventario se adjunta también a este correo, realizarán el ejercicio con la ayuda del Guardián de Datos de la Unidad y de los dolientes de cada base de datos. Es importante tener en cuenta que las unidades que no reportaron bases de datos no podrán hacer uso de las mismas, a menos que las reporten al Oficial de Datos, con dos días máximo, después de la recepción de este correo. Así las cosas, este ejercicio de diligenciar las hojas de vida deberá ser enviado a más tardar el 13 de octubre, al correo [email protected] Agradecemos el apoyo en este proceso que redundará en la calidad de la Funlam. Atentamente, Carlos Hernando Zapata Sepúlveda Oficial de Tratamiento de Datos - Coordinador Call Center Oficina de Comunicaciones y Relaciones Públicas
215
Diciembre 05 de 2016 Comunicado 02 Capacitación virtual curso de Protección de Datos Personales
Saludo de paz y bien Conscientes de la importancia de la Protección de Datos Personales, la Institución, mediante Resolución Rectoral No.32 del 22 de septiembre de 2016, expidió las Políticas de privacidad y Tratamiento de Datos que regirán para la Universidad Católica Luis Amigó, tanto en la Sede principal como en los Centros Regionales. Todos los empleados y docentes de la Institución debemos certificar la formación en la Protección de Datos Personales. Ya se hizo en forma presencial y virtual una primera capacitación por parte de los Doctores Diego Martín Buitrago Botero, Juan Gonzalo Vélez Ramírez y Luis Alberto Arango Vanegas de la Universidad CES. Como proceso de certificación de la formación de los empleados y docentes de la Institución sobre la Protección de Datos Personales, se abre para todos los que tienen habilitado el Sistema Académico en el mes de diciembre y enero la posibilidad de hacer la inscripción en una primera cohorte en un curso virtual, el cual se podrá desarrollar desde diciembre de 2016 hasta los primeros meses del 2017. Luego se abrirán otras cohortes para quienes se les habilite posteriormente el sistema académico. Para los docentes, este curso es válido como capacitación del período 1-2017, por 40 horas. Recuerden que la Unidad encargada del Tratamiento de Datos Personales será la Oficina de Comunicaciones y Relaciones Públicas y que El Oficial de Tratamiento de Datos será Carlos Hernando Zapata Sepúlveda. La cuenta para solicitar el Tratamiento de Datos por parte de los titulares para modificación, supresión o información será [email protected] Quienes realicen el control de la información en cada una de las Unidades serán los Guardianes de Datos (37 en Medellín y 16 en Centros Regionales). Atentamente, Carlos Hernando Zapata Sepúlveda Oficial de Tratamiento de Datos - Coordinador Call Center Oficina de Comunicaciones y Relaciones Públicas
216
Diciembre 12 de 2016 Comunicado 03
Recolección de datos personales en la Funlam Comunidad Universidad Católica Luis Amigó Respetado saludo: Según lo estipulado en el Artículo 17 numeral –e- de la Ley 1581 de 2012 “el que recopila datos es responsable de la información que recoge de los titulares y que es este quien debe garantizar que la información que se suministren sea custodiada y administrada eficazmente”. Además, dando cumplimiento a lo mencionado en la Política de Tratamiento de Datos Personales de la Funlam en su cláusula segunda “se compromete a garantizar el respeto al derecho constitucional al Habeas Data y derechos conexos en concordancia con la normatividad vigente, cuya política fija los referentes para la obtención, recolección, uso, tratamiento, procesamiento, transferencia, intercambio y transmisión de datos personales” Es por esto, que a partir de la fecha con el inventario final de bases de datos registradas en la Unidad de Protección de Datos Personales Funlam, queda prohibida la recolección o almacenamiento de datos personales que no estén debidamente custodiadas e inventariadas, esta práctica será considerada como ilegal y no autorizada por la Institución y sancionada por la Ley 1581 de 2012. Gracias a todos por la colaboración y gestión en este proceso institucional. Atentamente, Carlos Hernando Zapata Sepúlveda Oficial de Tratamiento de Datos - Coordinador Call Center Oficina de Comunicaciones y Relaciones Públicas
217
Diciembre 07 de 2016 Comunicado 04 Capacitación Virtual Tratamiento de Datos Personales Funlam
Señores GUARDIANES DE DATOS Universidad Católica Luis Amigó Como un deber facultativo de la Ley 1581 de 2012, encomendado a la Funlam, es la capacitación permanente de los Guardianes de Datos, se ha estructurado el Curso Virtual de Tratamiento de Datos Personales que les dará mayor autonomía en todo lo concerniente al adecuado manejo de los datos personales en la Institución.
Por lo tanto les invito para que ahora mismo se inscriban a este curso por la plataforma académica.
Allí encontrarán entre otros las Preguntas Frecuentes con respecto al Habeas Data en la Funlam y sus respectivas respuestas.
Atentamente,
Carlos Hernando Zapata Sepúlveda Oficial de Tratamiento de Datos - Coordinador Call Center Oficina de Comunicaciones y Relaciones Públicas
218
Enero 20 de 2017 Comunicado 05 Programa Integral de Gestión de Datos Personales Señores UNIDADES ACADÉMICAS Y ADMINISTRATIVAS Universidad Católica Luis Amigó Cordial saludo, La Unidad de Protección de Datos Personales de la Funlam en cumplimiento de las responsabilidades establecidas en la Ley 1581 de 2012 se permite informar que a partir de este momento se establecerán los siguientes procedimientos:
1. Toda recolección de datos a través de formatos de asistencia a eventos en la Institución deberá tener: a) FINALIDAD: la Funlam hace constar que los datos aquí recogidos solo se utilizarán
para efectos del control de asistencia y participación en las actividades reseñadas. b) NORMA PROTECCIÓN DE DATOS: la Institución garantiza el tratamiento de los
mismos, amparado en nuestra Política de Tratamiento de Datos Personales, en concordancia con lo dispuesto en la Ley 1581 de 2012 y el Decreto 1377 de 2013.
2. Los maestros de ceremonias en los eventos institucionales deberán hacer alusión a nuestra Política de Tratamiento de Datos que deberá mencionarse al inicio del evento y hará parte integral del libreto a desarrollarse.
TEXTO: La Universitaria Católica Luis Amigó le informa que cuenta con Política de Tratamiento de Datos personales que puede ser consultada en nuestro sitio web, la cual da cumplimiento a la Ley 1581 de 2012 y al Decreto 1377 de 2013.
3. La recolección de datos para la inscripción de alumnos a cursos vacacionales que se realice por medio de planillas ubicadas en carteleras institucionales está totalmente prohibida en la Institución, y no está sometida a nuestra Política de Tratamiento de Datos Personales.
Los estudiantes que realicen estas prácticas deberán ubicar las listas en la cartelera que no tiene tratamiento de datos denominada CLASIFICADOS. Pues los datos ubicados en ella serán de su total responsabilidad y no comprometen la debida diligencia de la Funlam en Tratamiento de Datos Personales.
Fraternamente,
Carlos Hernando Zapata Sepúlveda Oficial de Tratamiento de Datos - Coordinador Call Center Oficina de Comunicaciones y Relaciones Públicas
219
Enero 20 de 2017 Comunicado 06
Preguntas frecuentes
Señores GUARDIANES DE DATOS Universidad Católica Luis Amigó Cordial saludo, Como una estrategia más para ir apropiándonos y para lograr mayor autonomía en el Tratamiento de Datos de la Institución, la Unidad de Protección de Datos ha elaborado el documento de preguntas frecuentes con sus respectivas respuestas adaptadas a la Política de Tratamiento de datos de la Funlam y a la Ley 1581 de 2012.
Les invito además a realizar el curso virtual de tratamiento de datos que nos ayuda a tener mayor conocimiento y dominio sobre el particular, además será el insumo para nuestra próxima capacitación como Guardianes de datos de la Universidad Católica Luis Amigó.
Con este insumo muchas dudas y preguntas quedarán resueltas.
Fraternamente,
Carlos Hernando Zapata Sepúlveda Oficial de Tratamiento de Datos - Coordinador Call Center Oficina de Comunicaciones y Relaciones Públicas
Enero 24 de 2017 Comunicado 08 Actualización de formatos codificados por el Sistema de Gestión por Procesos Señores UNIDADES ACADÉMICAS Y ADMINISTRATIVAS Universidad Católica Luis Amigó Cordial saludo
220
En virtud de lo dispuesto por la Ley 1581 de 2012 y el Programa Integral de Gestión de Datos Personales de la Funlam se informa a los servidores amigonianos que a partir del momento se deben actualizar todos los formatos codificados por el Sistema de Gestión por Procesos. Se deben descargar los nuevos formatos de la Intranet que ya tienen tratamiento de datos tal como lo estipula la Ley y el Decreto que la reglamenta. Siguiendo la debida diligencia en la Institución no podrán circular documentos sin el debido tratamiento de datos personales, pues se debe cumplir con los principios de veracidad y transparencia. Fraternamente, Carlos Hernando Zapata Sepúlveda Oficial de Tratamiento de Datos - Coordinador Call Center Oficina de Comunicaciones y Relaciones Públicas
221
6. PREGUNTAS FRECUENTES
1. ¿Qué es el Habeas Data? El Habeas Data es el derecho que tiene toda persona para conocer, actualizar y rectificar toda aquella información que se relacione con ella y que se recopile o almacene en centrales de información. Este derecho está regulado por la Ley 1266 de 2008 para el dato financiero y la Ley 1581 de 2012 para datos personales.
2. ¿Cuál es el tratamiento de datos que realizará La Funlam?
En cumplimiento a lo establecido en la Ley 1581 de 2012 y de acuerdo con las autorizaciones impartidas por los titulares de la información, La Funlam realizará las operaciones que incluyan recolección de datos, su almacenamiento, usos, circulación y supresión de datos. El tratamiento se realizará exclusivamente para los fines autorizados, previstos en el presente Manual de Políticas, en las Leyes que regulan la actividad de la Funlam y las derivadas de obligaciones contractuales de la Institución.
3. ¿Qué puede hacer cuando su información es utilizada para fines distintos a los autorizados? Usted podrá acudir ante la Superintendencia sin necesidad de hacer reclamación previa ante la fuente o el operador de la información. En igual sentido, si su información es utilizada por personas no autorizadas, también puede ejercer el derecho de Habeas Data ante la Delegatura de Protección de Datos Personales."
4. ¿Cuál es la importancia de los datos personales? Su importancia radica en que la información personal puede ser utilizada para varios fines, como la comercialización, la vida laboral, e incluso para cometer delitos, ya que su identidad puede ser suplantada si es que se tiene acceso a la información adecuada.
5. ¿Qué son los datos personales? Es cualquier información concerniente a personas físicas, que tenga carácter de privado, que esté ligada a su intimidad y que toque temas susceptibles de discriminación, como orientación sexual, religiosa, étnica, entre otros.
6. ¿Quién es el titular de la información?
- Es la persona física cuyos datos son objeto de tratamiento. - Si usted es titular de la información debe:
222
- Tener claridad de dónde se encuentran sus datos personales actualmente.
- Saber quién custodia sus datos personales. - Conocer qué personas tienen acceso a su información personal. - Conocer los mecanismos legales con que puede defender sus derechos
de información ante las entidades ya sea públicas o privadas. - Identificar sus bases de datos. - Entender que su información constituye un derecho y sobre ella usted
tiene el poder de decidir, quién la tiene, en qué condiciones la tiene y hasta cuándo la tiene.
7. ¿Qué mecanismos debe adoptar la Funlam como Responsable del
Tratamiento de Datos Personales?
- El aviso de privacidad. - El procedimiento para obtener la autorización del titular previo al inicio del
tratamiento. - Herramientas que garanticen condiciones de seguridad adecuadas para evitar la
adulteración, pérdida, consulta, uso o acceso fraudulento sobre la información. - Medidas tecnológicas para proteger los datos personales y sensibles. - Manual Interno de Políticas y Procedimientos para cumplir con la Ley sobre
protección de datos. 8. Con relación al título noveno de la Política de Tratamiento de Datos en la
Funlam ¿Cómo se maneja el tema de los datos que se recolectan en las ferias a los menores de edad, porque precisamente dice este inciso que debe haber autorización de padres o acudientes?
En virtud de que se presenta una colisión entre dos normas jurídicas de igual
jerarquía constitucional debe resolverse de forma que logre la óptima eficiencia de las mismas. Derechos fundamentales en colisión Ley de Habeas Data, de Tratamiento de Datos Personales y Derecho a la Educación.
En la Funlam aplicaremos el principio de armonía y se buscará teniendo en cuenta el criterio de la interpretación del artículo 8 del Código de Infancia y Adolescencia el interés superior del adolescente. Cuando se trate de datos personales de un adolescente por parte de una institución de educación superior a fin de brindarle información sobre los programas que ofrece y en general información que tenga como finalidad el derecho a la educación de los adolescentes, es posible que la autorización previa la otorgue directamente el estudiante.
9. ¿Cómo se procede con los datos de trabajo de campo de una investigación
(entrevistas y encuestas)?
223
Teniendo en cuenta la Ley de Datos Personales 1581, su Decreto Reglamentario 1377 de 2013, en el Artículo 13, y la Política de Tratamiento de Datos que rige la Funlam, le informamos que: 1. Ya no es suficiente con la autorización del consentimiento informado que obtenemos de las personas con las cuales adelantamos recolección de datos en trabajos de campo de las investigaciones. 2. Se deberá tener un formato de Tratamiento de Datos Personales el cual deberá regirse por los principios de finalidad, legalidad, veracidad, transparencia, accesibilidad, seguridad y confiabilidad de los datos obtenidos.
3. Para el caso de manejo de datos sensibles se debe contar con cuidados especiales. 4. Para la recolección de datos de menores de edad, se deberá contar con la autorización de un representante legal, tutor o apoderado.
10. Procedimiento de destrucción de bases de datos. Cuando una unidad no haga uso de la base de datos, ¿Cómo hace su respectiva devolución y deja constancia de que ya no será más responsable de esta?
Se deberán realizar con frecuencia las jornadas de supresión de unidades documentales y de datos personales con su respectivo inventario.
11. ¿Cuándo una unidad de la Institución consulta en línea los datos, los
manipula pero no los copia, sino que los deja nuevamente en el servidor de Registro Académico, no tiene encargo de tratamiento de base de datos?
En la Política de Tratamiento de Datos Personales en la Funlam, numeral décimo
tercero, se especifica cómo deben circular y cómo se usan los datos personales en la Institución.
Lo que se modifica es el uso y creación de las bases de datos, pues las que no hayan sido reportadas ante la SIC son consideradas ilegales ante la Ley 1581 de 2012 y una práctica no autorizada por la Funlam.
12. ¿Cómo manejar la utilización de formatos en cartelera para inscripción a cursos vacacionales, pues allí aparecen datos personales (Nombre, tel, C.C.)? Solo deben utilizarse nombres y correos electrónicos, lo anterior siguiendo las orientaciones de la Política de Tratamiento de Datos Personales en la Funlam, numeral décimo primero, literal a, el cual faculta el contacto permanente con las personas con que se tiene relación por el vínculo del contrato académico.
224
13. ¿Qué tipo de datos se pueden tratar con base en los amparos del contrato académico (nombre, teléfono, C.C., correo)? ¿Cuál más?
Cuando el titular adquiere la relación de estudiante debidamente legalizado por la inscripción, matrícula y pago de semestre se entiende que existe una relación contractual y sus datos se convierten en semipúblicos.
De lo anterior y siguiendo las orientaciones de la Política de Tratamiento de Datos de la Funlam, en la cláusula décimo primera, donde queda explícita la autorización del alumno por el contrato académico que se firma entre las dos partes, los titulares de los datos autorizan a la Universidad Católica Luis Amigó el tratamiento de sus datos personales para ejecutar y cumplir los contratos, acuerdos y convenios destinados a la prestación de servicios y al giro ordinario de los negocios de la Institución.
14. ¿Se puede dar información a los padres y acudientes sobre el estudiante de la Funlam?
Amparados en la Ley 1581 de 2012, su Decreto Reglamentario 1377 de 2013 y
la Política de Tratamiento de Datos de la Funlam no es posible suministrar ninguna información del estudiante de la Institución que es mayor de edad y cuyos datos están resguardados por los amparos que le otorgan dichas normas.
Para poder suministrar información a los padres o acudientes, el estudiante debe dar su autorización expresa por alguno de los siguientes medios: correo electrónico, teléfono o comunicación escrita firmada por él.
15. ¿Cómo es el procedimiento para la trasmisión y transferencia de datos personales por
parte de la Funlam? dadas las relaciones que tiene cualquier titular de datos personales con la Universidad Católica Luis Amigó, la totalidad de su información puede ser transferida al exterior cumpliendo con la normatividad que se exija para el caso. El titular de datos personales acepta esta Política y autoriza expresamente a la Funlam para transferir la información, obligándose ésta a mantener la confidencialidad de la misma y adoptando los mecanismos necesarios para que terceros que reciben la información observen la presente Política y la utilicen de manera exclusiva para asuntos directamente relacionados con el vínculo que sostienen con la Funlam, sin que pueda ser usada para fines diferentes.
R/ La Funlam también podrá intercambiar información personal con autoridades
gubernamentales o públicas de otro tipo (autoridades judiciales o administrativas, autoridades fiscales y organismos de investigación penal, civil, administrativa, disciplinaria, fiscal, entre otras).
225
También podrá hacerlo con terceros participantes en procedimientos legales civiles y sus contadores, auditores, abogados y otros asesores y representantes en cuanto sea necesario o apropiado para cumplir con las leyes vigentes, incluidas las leyes distintas a las de su país de residencia, para cumplir con procesos jurídicos, para responder las solicitudes de las entidades públicas y del gobierno y para responder las solicitudes de las entidades públicas y del gobierno distintas a las de su país de residencia, para hacer cumplir los términos y condiciones para el intercambio de información personal, para proteger sus operaciones, para proteger sus derechos, privacidad, seguridad o propiedad, los suyos o los de terceros y obtener las indemnizaciones aplicables o limitar los daños y perjuicios.
R/ ¿Cuáles son nuestras obligaciones como Responsables de los datos? Como responsables de las bases de datos de la institución es deber nuestro con el fin de dar cumplimiento a la Ley 1581 de 2012 de Protección de Datos Personales y su decreto reglamentario 1377 de 2013 y ciñéndonos a sus principios.
Le solicitamos que nos indique para que será utilizada, los datos que se requieren. Además solicitar a Confecoop Antioquia su política de Tratamiento de Datos Personales.
Confecoop se obliga a mantener la confidencialidad de la misma y adoptando los mecanismos necesarios para que terceros que reciben la información observen la presente Política y la utilicen de manera exclusiva para asuntos directamente relacionados con el vínculo que sostienen con la Funlam, sin que pueda ser usada para fines diferentes.
Agotada esta instancia con el mayor de los gustos le autorizaremos el envío de datos.
16. ¿Cómo proceder cuando en consulta psicológica se atiende a niños, y los
profesores del colegio solicitan un informe al final del proceso? ¿Es algo que suele ocurrir con frecuencia cuando se trabaja con niños remitidos por los profesores?
En virtud de lo expuesto en el artículo ocho del Código de Infancia y Adolescencia, la Ley 1581 de 2012, en su artículo siete, y la cláusula novena de la Política de Tratamiento de Datos Personales de la Funlam, no es posible entregar información de datos personales de menores de edad a otras personas que no sean sus padres, quienes tengan su patria potestad o su representación legal.
Ni el profesor, ni el establecimiento educativo están facultados para otorgar autorización para el tratamiento de los datos personales del menor, antes de iniciar la consulta psicológica se deberá tener la autorización de alguno de los ya mencionados para entregar datos personales, con los datos sensibles se debe tener mayor prudencia.
226
17. ¿Cómo se debe tratar la recolección de datos referentes a salud física o
salud mental?
El tratamiento de datos personales relativos a la salud física o mental se puede recolectar y tratar siguiendo los parámetros del secreto profesional, la normativa específica y la normativa de la Ley 1581 de 2012 y su Decreto Reglamentario 1377 de 2013. En todo caso se deberá pedir autorización expresa para el tratamiento de datos personales. Y se deberán adoptar seguridades especiales cuando se obtengan datos sensibles de los pacientes.
18. Admisiones y Registro Académico en Medellín, y las secretarias académicas en
Centros Regionales, día a día hacen rectificación de datos personales a solicitud de los estudiantes ¿De acuerdo con esta directriz ya no podrán modificarse: dirección, celular, correo electrónico y la autorización de envío de información?
Siguiendo los lineamientos del Decreto 1377 en su artículo 13, que literalmente describe las políticas que debe seguir el Responsable y/o Encargado para conseguir la autorización para el tratamiento de datos y lo preceptuado en la cláusula décimo primera de la Política de Tratamiento de Datos Funlam, la cual orienta sobre el tratamiento a que serán sometidos los datos de los titulares con los que se tiene un contrato académico, la actividad que realizan en el Departamento de Admisiones y Registro en Medellín, y las secretarias en Centros Regionales se puede seguir realizando, únicamente se incluirá en el momento de recolección de datos, sea en formato físico o digital, el texto donde el titular da autorización. Así:
Aviso de privacidad
La Funlam como Institución de Educación Superior, sin ánimo de lucro, con Personería Jurídica otorgada mediante Resolución MEN 17701 del 9 de noviembre de 1984 y reconocida como Universidad Católica Luis Amigó por medio de la Resolución MEN N° 21211 de 2016, domiciliada en la ciudad de Medellín, ubicada en la dirección transversal 51ª No. 67B-90, y en el número telefónico (4) 448 76 66, en su condición de Responsable o Encargado del Tratamiento de Datos de carácter personal obtenidos de sus usuarios, proveedores, contratistas, clientes y en general de todas las personas que hayan facilitado o que en el futuro faciliten sus datos personales, les informa que el tratamiento de datos bajo su custodia, se realiza con base en lo dispuesto por Ley 1581 de 2012, reglamentada por el Decreto 1377 de 2013. Los titulares de datos personales contenidos en bases de datos de la Institución, pueden solicitar la suscripción, cancelación, corrección o actualización de los mismos, en los términos dispuestos por las normas
227
aludidas, y de acuerdo con lo previsto en las Políticas de Privacidad y las Ley de Protección de Datos Personales, que pueden ser consultadas en el sitio web www.funlam.edu.co en el link Protección de datos personales. En cumplimiento de dichas normas se han adoptado las medidas de tipo legal, técnicas y organizacionales necesarias para evitar la pérdida, acceso o alteración de los datos personales a los cuales da tratamiento, con el objetivo de garantizar la seguridad e integridad de los mismos. Los titulares de la información, a través de la autorización conferida para el efecto, aceptan de manera libre, expresa e inequívoca el tratamiento de sus datos personales por parte de la Institución para el cumplimiento del objeto de la prestación de servicios educativos y académicos, finalidades laborales, comerciales, investigativas, formativas o científicas e informativas.
19. En el caso de las fotografías y videos de personas que por ejemplo se incluyen en los informes de los proyectos y algunos casos especiales de formación ¿Cómo se debe proceder?
R/ Con respecto a las imágenes en video o registros fotográficos se deberá tener autorización previa del titular, pues se entiende que este es un dato personal que deberá tener tratamiento adecuado desde la Ley 1581 de 2012, invocando los principios de finalidad y libertad que serán acatados por el Responsable o Encargado de Tratamiento de Datos.
La persona que da su consentimiento podrá en cualquier momento revocar su utilización para lo cual se deberán tomar las medidas necesarias. Es libre la publicación de retrato o video cuando se relacione con fines científicos, didácticos y en general culturales, o con hechos o acontecimientos de interés público o que se hubieren desarrollado en espacios públicos.
20. Casi semanalmente son requeridos informes de diferentes entidades de carácter estatal y gubernamental como Icetex, Municipio de Medellín, Gobernación de Antioquia, Fondo EPM, Sapiencia, etc, sobre los estados de matrícula, financiación, descuentos y otros que incluyen datos de contacto de los estudiantes, en este caso ¿Existe inconveniente con seguir remitiendo esta información?
Según la Ley 1581 de 2012 en su artículo 26, el Decreto 1377 de 2013 en su artículo 24 y la Política de Tratamiento de Datos de la Funlam cláusula décima tercera se contempla la posibilidad de transferencias y trasmisiones de datos con autoridades gubernamentales, públicas o de otro tipo como (autoridades judiciales o administrativas, autoridades fiscales y organismos de investigación penal, civil, administrativa, disciplinaria, fiscal, entre otras).
228
Por lo tanto no hay inconveniente con suministrar los datos personales cuando sea necesario, siempre y cuando su finalidad esté claramente relacionada con su actividad académica, laboral, comercial y cultural, en donde la Institución actúa como Responsable del trato de la misma. Todo ello en virtud del vínculo contractual académico entre ambas partes, que le da a la Funlam la facultad de tratar los datos personales de los titulares siempre bajo los principios legalidad y transparencia. Lo ideal para evitar dificultades futuras sería solicitar copia de la política de tratamiento de datos de las entidades, y que el Guardián de Datos las archive y envié copia al Oficial de Datos, para una eventual visita de la SIC.
21. ¿Cuándo un padre de familia me solicita información de un alumno qué debo hacer, y más aún cuando interpone un derecho de petición para acceder a ella?
Amparados en la Ley 1581 de Protección de Datos Personales de 2012 y su Decreto Reglamentario 1377 de 2013 los cuales velan por la intimidad de la persona, cuyo mandato constitucional está expresado en el artículo 15 de la Constitución Política de Colombia, y siguiendo los lineamientos de la Política de Tratamiento de Datos de la Funlam no es posible entregarle datos personales del alumno, sin que él dé su consentimiento previo, expreso e informado para suministrar sus datos. A menos que el alumno(a) sea menor de edad y que éste acredite ser el representante legal, en ningún otro caso se podrán entregar datos personales de los alumnos.
22. ¿Cómo proceder con los datos solicitados para estadísticas institucionales
o requeridas por parte del Estado? Se procede de acuerdo con la Ley 1581 de 2012, su Artículo 6°. Tratamiento de datos, numeral e, que aduce la debida utilización de datos con fines estadísticos:
e) El Tratamiento tenga una finalidad histórica, estadística o científica. En este
evento deberán adoptarse las medidas conducentes a la supresión de identidad de los titulares.
Además la Política de Tratamiento de datos de la Funlam, artículo décimo faculta
para el tratamiento de datos con fines estadísticos teniendo clara la finalidad y el tiempo que serán utilizados, para su posterior eliminación.
