Proyecto de Ley Estatutaria 89 de 2017 Senado
por medio de la cual se modifica la Ley Estatutaria 1581 de 2012. El Congreso de Colombia
DECRETA:
Artículo 1°. Objeto. La presente ley tiene las siguientes finalidades:
1. Adicionar principios y medidas proactivas sobre tratamiento de datos no incluidos en la Ley 1581 de 2012 y que contribuyen a fortalecer el debido tratamiento de los datos personales.
2. Proteger a las personas respecto del indebido tratamiento de sus datos personales por parte de responsables o encargados que no residan ni estén domiciliados en el territorio de la República de Colombia.
3. Permitir que las autoridades colombianas puedan adelantar investigaciones o cualquier gestión, de oficio o a petición de parte, con miras a exigir el respeto del derecho fundamental al hábeas data y a la protección de los datos personales que sean tratados por personas ubicadas o domiciliadas fuera del territorio de la República de Colombia.
4. Fortalecer la garantía de los derechos de los colombianos cuando sus datos son exportados a otros países.
Artículo 2°. Adiciónese el siguiente parágrafo al párrafo segundo del artículo 2° de la Ley Estatutaria 1581 de 2012:
Artículo 2°. Ámbito de aplicación. (¿)
¿Parágrafo 2°. La presente ley también es aplicable al tratamiento de datos personales efectuado por responsables o encargados del tratamiento que no residan ni estén domiciliados en el territorio de la República de Colombia pero que a través de internet o de cualquier medio recolectan, almacenan, usan, circulan y en general realizan cualquier operación o conjunto de operaciones sobre datos personales de personas que residan, estén domiciliadas o ubicadas en el territorio de la República de Colombia.
Igualmente, esta ley será aplicable al tratamiento de datos efectuado por:
a) Un responsable o encargado no establecido en territorio de la República de Colombia, cuando las actividades del tratamiento estén relacionadas con la oferta de bienes o servicios dirigidos a los residentes de la República de Colombia, o bien, estén relacionadas con el control de su comportamiento.
b) Un responsable o encargado no establecido en territorio de la República de Colombia pero le resulte aplicable la legislación nacional de Colombia, derivado de la celebración de un contrato.
c) Un responsable o encargado no establecido en territorio de la República de Colombia que utilice o recurra a medios, automatizados o no, situados en ese territorio para tratar datos personales, salvo que dichos medios se utilicen solamente con fines de tránsito.
Artículo 3°. Adiciónense los siguientes literales al artículo 4° de la Ley Estatutaria 15812 de 2012:
i) Principio de protección de datos desde el diseño y por defecto. Desde antes de que se inicie el tratamiento de datos personales y durante el mismo, se deben adoptar medidas preventivas de diversa naturaleza (tecnológica, organizacional, humana, procedimentales) para evitar vulneraciones al derecho a la privacidad, así como fallas de seguridad o indebidos tratamientos de datos personales. La privacidad, el debido tratamiento de datos personales y la seguridad deben hacer parte del diseño, arquitectura y configuración predeterminada de cualquier tecnología o proceso de tratamiento de información. Se utilizarán mecanismos con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos necesarios para cumplir una finalidad específica y para que los datos personales no sean accesibles a un número indeterminado de personas.
j) Responsabilidad demostrada. Los responsables y encargados del tratamiento de datos personales deberán adoptar medidas apropiadas y efectivas para cumplir sus obligaciones legales. Adicionalmente, tendrán que evidenciar y demostrar el correcto cumplimiento de sus deberes.
Entre los mecanismos que el responsable o encargado podrá adoptar para cumplir con el principio de responsabilidad se encuentran, de manera enunciativa más no limitativa, los siguientes:
a) Destinar recursos para la instrumentación de programas y políticas de protección de datos personales.
b) Implementar sistemas de administración de riesgos asociados al tratamiento de datos personales.
c) Elaborar políticas y programas de protección de datos personales obligatorios y exigibles al interior de la organización del responsable o del encargado.
d) Poner en práctica un programa de capacitación y actualización del personal sobre las obligaciones en materia de protección de datos personales.
e) Revisar periódicamente las políticas y programas de seguridad de datos personales para determinar las modificaciones que se requieran.
f) Establecer un sistema de supervisión y vigilancia interna y/o externa, incluyendo auditorías, para comprobar el cumplimiento de las políticas de protección de datos personales.
g) Establecer procedimientos para recibir y responder dudas y quejas de los titulares.
El responsable o encargado revisará y evaluará permanentemente los mecanismos adoptados con el objeto de medir su suficiencia, nivel de eficacia en cuanto al cumplimiento de la ley y el grado de protección de los datos personales.
k) Principio de proporcionalidad. El responsable o encargado del tratamiento únicamente recolectará o tratará los datos personales que resulten adecuados, pertinentes y limitados al mínimo necesario con relación a las finalidades específicas autorizadas por el titular del dato o permitidas por la ley.
Artículo 4°. Adiciónese el siguiente parágrafo al artículo 18 de la Ley Estatutaria 1581 de 2012:
Parágrafo 2°. El encargado del tratamiento podrá, a su vez, subcontratar servicios que impliquen el tratamiento de datos personales, siempre y cuando exista una autorización previa por escrito, específica o general del responsable, o bien, se estipule expresamente en el contrato o instrumento jurídico suscrito entre este último y el encargado.
El subcontratado asumirá el carácter de encargado en los términos establecidos en la presente ley.
El encargado formalizará la prestación de servicios del subcontratado a través de un contrato. Cuando el subcontratado incumpla sus obligaciones y responsabilidades respecto al tratamiento de datos personales que lleve a cabo conforme a lo instruido por el encargado, asumirá la calidad de responsable conforme a la legislación colombiana.
Artículo 5°. Adiciónese el siguiente parágrafo al artículo 21 de la Ley Estatutaria 1581 de 2012:
¿Parágrafo 1°. La autoridad de protección de datos también ejercerá las funciones de los literales a), b) y c) respecto de responsables o encargados del tratamiento que no residan ni estén domiciliados en el territorio de la República de Colombia pero que a través de internet o de cualquier medio recolectan, almacenan, usan, circulan y en general realizan cualquier operación o conjunto de operaciones sobre datos personales de personas que residan, estén domiciliadas o ubicadas en el territorio de la República de Colombia¿.
Artículo 6°. Adiciónese el siguiente parágrafo al artículo 23 de la Ley Estatutaria 15812 de 2012:
Parágrafo 2°. No obstante lo anterior, cuando un funcionario de cualquiera de las Ramas del Poder Público incumpla las disposiciones de la presente ley y sus normas reglamentarias, la Superintendencia de Industria y Comercio podrá investigarlo y sancionarlo con las multas personales a que se refiere el literal a) del presente artículo.
Artículo 7°. Adiciónense los siguientes parágrafos al artículo 23 de la Ley Estatutaria 15812 de 2012:
Parágrafo 3°. La transferencia internacional de datos de naturaleza pública será libre y no requerirá de autorización del titular del dato.
Parágrafo 4°. Los responsables o encargados del tratamiento que transfieran datos personales a cualquier país deberán adoptar medidas contractuales o de cualquier naturaleza para garantizar la efectividad de los derechos de las personas cuyos datos son enviados a otros países. En todo caso, los responsables o encargados del tratamiento serán responsables ante el titular del dato o la autoridad de protección de datos por las eventuales vulneraciones de los derechos de los titulares de los datos que sucedan en otro país respecto de los datos que fueron transferidos por ellos.
Artículo 8°. Adiciónese un nuevo título a la Ley 1581 de 2012 que diga lo siguiente:
TÍTULO NUEVO
MEDIDAS PROACTIVAS EN EL TRATAMIENTO DE DATOS PERSONALES
Artículo nuevo. Privacidad por diseño y privacidad por defecto. El responsable o el encargado aplicará, desde el diseño, en la determinación de los medios del tratamiento de los datos personales, durante el mismo y antes de recabar los datos personales, medidas preventivas de diversa naturaleza que permitan aplicar de forma efectiva los principios, derechos y demás obligaciones previstas en esta ley.
El responsable o el encargado garantizará que sus programas, servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que impliquen un tratamiento de datos personales, cumplan por defecto o se ajusten a los principios, derechos y demás obligaciones previstas en la legislación colombiana.
Específicamente, con el fin de que únicamente sean objeto de tratamiento el mínimo de datos personales y se limite la accesibilidad de estos, sin la intervención del titular, a un número indeterminado de personas.
Artículo nuevo. Mecanismos de autorregulación. El responsable o encargado podrá adherirse, de manera voluntaria, a esquemas de autorregulación vinculante, que tengan por objeto, entre otros, contribuir a la correcta aplicación de la presente ley y establecer procedimientos de resolución de conflictos entre el responsable y titular sin perjuicio de otros mecanismos que establezca la ley, teniendo en cuenta las características específicas de los tratamientos de datos persona les realizados, así como el efectivo ejercicio y respeto de los derechos del titular.
En virtud de lo anterior se podrán desarrollar, entre otros, códigos...
Para continuar leyendo
Solicita tu prueba