Gaceta del Congreso del 18-08-2017 - Número 713PLE (Contenido completo)
| Fecha de publicación | 18 Agosto 2017 |
| Número de Gaceta | 713 |
PROYECTOS DE LEY ESTATUTARIA
DIRECTORES:
IMPRENTA NACIONAL DE COLOMBIA
www.imprenta.gov.co
SENADO Y CÁMARA
AÑO XXVI - Nº 713 Bogotá, D. C., viernes, 18 de agosto de 2017 EDICIÓN DE 44 PÁGINAS
REPÚBLICA DE COLOMBIA
RAMA LEGISLATIVA DEL PODER PÚBLICO
S E N A D O D E L A R E P Ú B L I C A
JORGE HUMBERTO MANTILLA SERRANO
SECRETARIO GENERAL DE LA CÁMARA
www.camara.gov.co
GREGORIO ELJACH PACHECO
SECRETARIO GENERAL DEL SENADO
www.secretariasenado.gov.co
G A C E T A D E L C O N G R E S O
I S S N 0 1 2 3 - 9 0 6 6
PROYECTO DE LEY ESTATUTARIA
NÚMERO 89 DE 2017 SENADO
SRUPHGLRGHODFXDOVHPRGL¿FDOD/H\
Estatutaria 1581 de 2012.
El Congreso de Colombia
DECRETA:
Artículo 1°. Objeto. La presente ley tiene las
VLJXLHQWHV¿QDOLGDGHV
1. Adicionar principios y medidas proactivas
sobre tratamiento de datos no incluidos en la
Ley 1581 de 2012 y que contribuyen a forta-
lecer el debido tratamiento de los datos per-
sonales.
2. Proteger a las personas respecto del indebido
tratamiento de sus datos personales por parte
de responsables o encargados que no residan
ni estén domiciliados en el territorio de la
República de Colombia.
3. Permitir que las autoridades colombianas
puedan adelantar investigaciones o cualquier
JHVWLyQGH R¿FLRRD SHWLFLyQGHSDUWH FRQ
miras a exigir el respeto del derecho funda-
mental al hábeas data y a la protección de
los datos personales que sean tratados por
personas ubicadas o domiciliadas fuera del
territorio de la República de Colombia.
4. Fortalecer la garantía de los derechos de los
colombianos cuando sus datos son exporta-
dos a otros países.
Artículo 2°. Adiciónese el siguiente parágrafo al
párrafo segundo del artículo 2° de la Ley Estatutaria
1581 de 2012:
Artículo 2°. Ámbito de aplicación. (…)
“Parágrafo 2°. La presente ley también es
aplicable al tratamiento de datos personales efectuado
por responsables o encargados del tratamiento que
no residan ni estén domiciliados en el territorio de la
República de Colombia pero que a través de internet
o de cualquier medio recolectan, almacenan, usan,
circulan y en general realizan cualquier operación o
conjunto de operaciones sobre datos personales de
personas que residan, estén domiciliadas o ubicadas
en el territorio de la República de Colombia.
Igualmente, esta ley será aplicable al tratamiento
de datos efectuado por:
a) Un responsable o encargado no establecido
en territorio de la República de Colombia,
cuando las actividades del tratamiento estén
relacionadas con la oferta de bienes o servi-
cios dirigidos a los residentes de la Repúbli-
ca de Colombia, o bien, estén relacionadas
con el control de su comportamiento.
b) Un responsable o encargado no establecido
en territorio de la República de Colombia
pero le resulte aplicable la legislación nacio-
nal de Colombia, derivado de la celebración
de un contrato.
c) Un responsable o encargado no establecido
en territorio de la República de Colombia
que utilice o recurra a medios, automatiza-
dos o no, situados en ese territorio para tratar
datos personales, salvo que dichos medios se
XWLOLFHQVRODPHQWHFRQ¿QHVGHWUiQVLWR
Artículo 3°. Adiciónense los siguientes literales
al artículo 4° de la Ley Estatutaria 15812 de 2012:
i) Principio de protección de datos desde el
diseño y por defecto. Desde antes de que se
inicie el tratamiento de datos personales y
durante el mismo, se deben adoptar medidas
preventivas de diversa naturaleza (tecnoló-
gica, organizacional, humana, procedimen-
tales) para evitar vulneraciones al derecho a
la privacidad, así como fallas de seguridad
Página 2 Viernes, 18 de agosto de 2017 GACETA DEL CONGRESO 713
o indebidos tratamientos de datos persona-
les. La privacidad, el debido tratamiento de
datos personales y la seguridad deben hacer
SDUWH GHO GLVHxR DUTXLWHFWXUD \ FRQ¿JXUD-
ción predeterminada de cualquier tecnología
o proceso de tratamiento de información. Se
utilizarán mecanismos con miras a garanti-
zar que, por defecto, solo sean objeto de tra-
tamiento los datos necesarios para cumplir
XQD¿QDOLGDGHVSHFt¿FD\ SDUDTXHORVGDWRV
personales no sean accesibles a un número
indeterminado de personas.
j) Responsabilidad demostrada. Los respon-
sables y encargados del tratamiento de datos
personales deberán adoptar medidas apro-
piadas y efectivas para cumplir sus obliga-
ciones legales. Adicionalmente, tendrán que
evidenciar y demostrar el correcto cumpli-
miento de sus deberes.
Entre los mecanismos que el responsable o
encargado podrá adoptar para cumplir con el
principio de responsabilidad se encuentran, de
manera enunciativa más no limitativa, los siguientes:
a) Destinar recursos para la instrumentación de
programas y políticas de protección de datos
personales.
b) Implementar sistemas de administración de
riesgos asociados al tratamiento de datos
personales.
c) Elaborar políticas y programas de protección
de datos personales obligatorios y exigibles
al interior de la organización del responsable
o del encargado.
d) Poner en práctica un programa de capacita-
ción y actualización del personal sobre las
obligaciones en materia de protección de da-
tos personales.
e) Revisar periódicamente las políticas y pro-
gramas de seguridad de datos personales
SDUD GHWHUPLQDU ODV PRGL¿FDFLRQHV TXH VH
requieran.
f) Establecer un sistema de supervisión y vigi-
lancia interna y/o externa, incluyendo audi-
torías, para comprobar el cumplimiento de
las políticas de protección de datos persona-
les.
g) Establecer procedimientos para recibir y res-
ponder dudas y quejas de los titulares.
El responsable o encargado revisará y eva-
luará permanentemente los mecanismos
DGRSWDGRVFRQHOREMHWRGHPHGLUVXVX¿FLHQ-
FLD QLYHO GH H¿FDFLD HQ FXDQWR DO FXPSOL-
miento de la ley y el grado de protección de
los datos personales.
k) Principio de proporcionalidad. El respon-
sable o encargado del tratamiento únicamente
recolectará o tratará los datos personales que
resulten adecuados, pertinentes y limitados
al mínimo necesario con relación a las
¿QDOLGDGHV HVSHFt¿FDV DXWRUL]DGDV SRU HO
titular del dato o permitidas por la ley.
Artículo 4°. Adiciónese el siguiente parágrafo al
artículo 18 de la Ley Estatutaria 1581 de 2012:
Parágrafo 2°. El encargado del tratamiento
podrá, a su vez, subcontratar servicios que impliquen
el tratamiento de datos personales, siempre y cuando
H[LVWDXQDDXWRUL]DFLyQSUHYLDSRUHVFULWRHVSHFt¿FD
o general del responsable, o bien, se estipule
expresamente en el contrato o instrumento jurídico
suscrito entre este último y el encargado.
El subcontratado asumirá el carácter de encargado
en los términos establecidos en la presente ley.
El encargado formalizará la prestación de
servicios del subcontratado a través de un contrato.
Cuando el subcontratado incumpla sus obligaciones
y responsabilidades respecto al tratamiento de datos
personales que lleve a cabo conforme a lo instruido
por el encargado, asumirá la calidad de responsable
conforme a la legislación colombiana.
Artículo 5°. Adiciónese el siguiente parágrafo al
artículo 21 de la Ley Estatutaria 1581 de 2012:
“Parágrafo 1°. La autoridad de protección de
datos también ejercerá las funciones de los literales
a), b) y c) respecto de responsables o encargados del
tratamiento que no residan ni estén domiciliados en
el territorio de la República de Colombia pero que
a través de internet o de cualquier medio recolectan,
almacenan, usan, circulan y en general realizan
cualquier operación o conjunto de operaciones
sobre datos personales de personas que residan,
estén domiciliadas o ubicadas en el territorio de la
República de Colombia”.
Artículo 6°. Adiciónese el siguiente parágrafo al
artículo 23 de la Ley Estatutaria 15812 de 2012:
Parágrafo 2°. No obstante lo anterior, cuando un
funcionario de cualquiera de las Ramas del Poder
Público incumpla las disposiciones de la presente ley
y sus normas reglamentarias, la Superintendencia
de Industria y Comercio podrá investigarlo y
sancionarlo con las multas personales a que se
UH¿HUHHOOLWHUDODGHOSUHVHQWHDUWtFXOR
Artículo 7°. Adiciónense los siguientes parágrafos
al artículo 23 de la Ley Estatutaria 15812 de 2012:
Parágrafo 3°. La transferencia internacional de
datos de naturaleza pública será libre y no requerirá
de autorización del titular del dato.
Parágrafo 4°. Los responsables o encargados
GHO WUDWDPLHQWR TXH WUDQV¿HUDQ GDWRV SHUVRQDOHV D
cualquier país deberán adoptar medidas contractuales
o de cualquier naturaleza para garantizar la
efectividad de los derechos de las personas cuyos
datos son enviados a otros países. En todo caso, los
responsables o encargados del tratamiento serán
responsables ante el titular del dato o la autoridad de
protección de datos por las eventuales vulneraciones
de los derechos de los titulares de los datos que
sucedan en otro país respecto de los datos que fueron
transferidos por ellos.
Artículo 8°. Adiciónese un nuevo título a la Ley
1581 de 2012 que diga lo siguiente:
GACETA DEL CONGRESO 713 Viernes, 18 de agosto de 2017 Página 3
TÍTULO NUEVO
MEDIDAS PROACTIVAS EN EL
TRATAMIENTO DE DATOS PERSONALES
Artículo nuevo. Privacidad por diseño
y privacidad por defecto. El responsable o
el encargado aplicará, desde el diseño, en la
determinación de los medios del tratamiento de los
datos personales, durante el mismo y antes de recabar
los datos personales, medidas preventivas de diversa
naturaleza que permitan aplicar de forma efectiva los
principios, derechos y demás obligaciones previstas
en esta ley.
El responsable o el encargado garantizará que
sus programas, servicios, sistemas o plataformas
informáticas, aplicaciones electrónicas o cualquier
otra tecnología que impliquen un tratamiento de
datos personales, cumplan por defecto o se ajusten
a los principios, derechos y demás obligaciones
previstas en la legislación colombiana.
(VSHFt¿FDPHQWH FRQ HO ¿Q GH TXH ~QLFDPHQWH
sean objeto de tratamiento el mínimo de datos
personales y se limite la accesibilidad de estos, sin la
intervención del titular, a un número indeterminado
de personas.
Artículo nuevo. Mecanismos de autorre-
gulación. El responsable o encargado podrá
adherirse, de manera voluntaria, a esquemas de
autorregulación vinculante, que tengan por objeto,
entre otros, contribuir a la correcta aplicación de
la presente ley y establecer procedimientos de
UHVROXFLyQGHFRQÀLFWRVHQWUHHOUHVSRQVDEOH\WLWXODU
sin perjuicio de otros mecanismos que establezca la
OH\WHQLHQGRHQFXHQWDODVFDUDFWHUtVWLFDVHVSHFt¿FDV
de los tratamientos de datos personales realizados,
así como el efectivo ejercicio y respeto de los
derechos del titular.
En virtud de lo anterior se podrán desarrollar,
entre otros, códigos deontológicos y sistemas de
FHUWL¿FDFLyQ \ VXV UHVSHFWLYRV VHOORV GH FRQ¿DQ]D
que coadyuven a contribuir a los objetivos
anteriormente.
La autoridad de protección de datos establecerá
las reglas que correspondan para la validación,
FRQ¿UPDFLyQR UHFRQRFLPLHQWRGHORV PHFDQLVPRV
de autorregulación aludidos.
Artículo nuevo. Evaluación de impacto a
la protección de datos personales. Cuando el
responsable o encargado pretenda llevar a cabo un
tipo de tratamiento de datos personales que, por
VX QDWXUDOH]D DOFDQFH FRQWH[WR R ¿QDOLGDGHV VHD
probable que entrañe un alto riesgo de afectación
del derecho a la protección de datos personales
de los titulares, realizará, de manera previa, a la
implementación del mismo, una evaluación del
impacto a la protección de los datos personales, el
cual deberá incluir como mínimo lo siguiente:
a) Una descripción detallada de las operaciones
que involucra el tratamiento de datos perso-
QDOHV\GHORV¿QHVGHOWUDWDPLHQWR
b) Una evaluación de la necesidad y la propor-
cionalidad de las operaciones de tratamiento
FRQUHVSHFWRDVX¿QDOLGDG
F 8QD HYDOXDFLyQ GH ORV ULHVJRV HVSHFt¿FRV
para los derechos y libertades de los titulares
de los datos personales, y
d) Las medidas previstas para afrontar los ries-
gos, incluidas garantías, medidas de seguri-
dad, diseño de software, tecnologías y meca-
nismos que garanticen la protección de datos
personales, teniendo en cuenta los derechos
e intereses legítimos de los titulares de los
datos y de otras personas eventualmente
afectadas.
Los resultados de este estudio junto con las
medidas para mitigar los riesgos serán tenidos en
cuenta e implementados como parte de la aplicación
del principio de privacidad desde el diseño y por
defecto.
La autoridad de protección de datos señalará
los tratamientos que requieran de una evaluación
GHLPSDFWR DOD SURWHFFLyQGH GDWRVSHUVRQDOHVHO
contenido de estas en adición a lo ya mencionado,
los supuestos en que resulte procedente presentar el
resultado ante la autoridad de protección, así como
los requerimientos de dicha presentación, entre otras
cuestiones.
Artículo nuevo. Delegado de protección de
datos. La autoridad de protección de datos decidirá
los casos en que los responsables o encargados del
tratamiento están obligados a designar a un delegado
de protección de datos que tenga conocimientos
especializados del Derecho y la práctica en materia
de protección de datos, quien obrará de manera
autónoma, imparcial e independiente.
Dicho delegado podrá estar vinculado
laboralmente o mediante prestación de servicios y
no será destituido ni sancionado por el responsable
o encargado por desempeñar sus funciones. El
delegado de protección de datos rendirá cuentas
directamente al más alto nivel jerárquico del
responsable o encargado.
El responsable o encargado garantizará que
el delegado de protección de datos participe de
forma adecuada y en tiempo oportuno en todas
las cuestiones relativas a la protección de datos
personales. Adicionalmente, respaldarán al delegado
de protección de datos en el desempeño de las
funciones, facilitando los recursos necesarios para
el desempeño de las mismas y el acceso a los datos
personales y a las operaciones de tratamiento.
El responsable o encargado publicará los datos de
contacto del delegado de protección de datos y los
comunicará a la autoridad de protección de datos.
Los titulares de datos personales podrán ponerse
en contacto con el delegado de protección de datos
por lo que respecta a todas las cuestiones relativas al
tratamiento de sus datos personales y al ejercicio de
sus derechos.
Para continuar leyendo
Solicita tu prueba