Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
3
NOTA DE ACEPTACIÓN
_______________________________________
_______________________________________
_______________________________________
_______________________________________
_______________________________________
_______________________________________
__________________________________
____________________________
Jurado
____________________________
Jurado
4
CONTENIDO
pág.
3. METODOLOGÍA ............................................................................................................... 30
4. RESULTADOS ................................................................................................................. 41
4.1. BASES DE DATOS EMPRESA INFRAROM SAS ...................................................... 41
4.2. Diseñar políticas de seguridad, Manuales de Procedimientos y
Recomendaciones, Formatos ................................................................................................ 49
4.2.1. POLÍTICAS INTERNAS DE SEGURIDAD (INFRAROM SAS) ...................... 49
5
4.2.3. MANUAL RECOMENDACIONES DE SEGURIDAD AL EMPLEADO .................. 75
4.2.4. DOCUMENTOS PARA LA IMPLEMENTACION DE LA LEY ESTATUTARIA DE
PROTECCION DE DATOS PERSONALES 1581 DE 2012 Y NORMAS
REGLAMENTARIAS ................................................................................................................ 88
4.3. IMPLEMENTACION DE POLÍTICAS, MANUALES Y FORMATOS......................... 95
4.4. REGISTRO NACIONAL DE BASES DE DATOS ........................................................ 95
5. CONCLUSIONES........................................................................................................... 104
6
LISTA DE TABLAS
Tabla 6 Finalidades........................................................................................... 34
7
LISTA DE FIGURAS
Fig 6 Registro.................................................................................................... 98
8
INTRODUCCIÓN
La creación de la ley estatutaria 1581 de 2012 sirve como una herramienta para
las empresas que manejan bases de datos personales, puesto que, da las pautas
para establecer el tratamiento de datos en todas sus etapas, como también
responde a la protección de los derechos fundamentales a la intimidad, la honra
y el buen nombre de los empleados, clientes, proveedores y personas que
tengan alguna relación comercial con la empresa.
Con esta ley todas las empresas deben realizar el Registro Nacional de Base de
Datos en la Superintendencia de Industria y Comercio con un plazo máximo de
Enero de 2018. Con este proyecto de grado la empresa Infrarom SAS busca dar
cumplimiento a dicha ley.
9
1. EL PROBLEMA DE INVESTIGACIÓN
10
Con la nueva normativa todas las Empresas deben realizar el Registro Nacional
de Bases de Datos ante la Superintendencia de Industria y Comercio, la cual
impartió instrucciones a los Responsables del Tratamiento de datos personales,
personas naturales y personas jurídicas para realizar dicho registro con un plazo
máximo del 30 de Junio del 2017. El Registro de las Bases de Datos debe ir de
la mano de la implementación de múltiples normas de seguridad de la
información personal, donde se debe asegurar que los datos se encuentran
protegidos.
¿Está preparada la empresa Infrarom SAS, para garantizar a sus clientes y a sus
empleados, total confidencialidad de sus datos personales, con adecuadas
políticas en el manejo de la información y efectividad en los mecanismos de
protección, en cumplimiento a los requisitos establecidos en la ley 1581 de 2012?
1.3. SUBPREGUNTAS
¿Se está manejando de forma adecuada las políticas de seguridad para las
bases de datos que contienen datos personales de empleados, clientes y
proveedores de la empresa Infrarom SAS?
¿Se cuenta con políticas, manuales y formatos que cumplan con la ley 1581 de
2012, donde se tenga en cuenta el adecuado tratamiento de los datos personales
en la empresa Infrarom SAS?
11
2. OBJETIVOS
2.1. Objetivo General
12
3. JUSTIFICACIÓN
La información, y los datos personales son los activos intangibles con que
cuentan las empresas, por tanto, debe existir confianza en el buen manejo de
estos activos que garanticen la efectividad de los mecanismos de protección. El
correcto tratamiento de los datos es de vital importancia para la empresa; así
como, tomar las medidas necesarias que garanticen al cliente, proveedores y
personas que tengan relación comercial con la empresa la total confidencialidad
de sus datos para generar y promover confianza en los clientes. Para los
ingenieros y personal especializado de la empresa, quienes están en constante
capacitación en la adecuada política del manejo de la información, la protección
de los datos de sus clientes es su principal objetivo.
13
Con la nueva normativa todas las Empresas deben realizar el Registro Nacional
de Bases de Datos en la Superintendencia de Industria y Comercio, la cual
impartió instrucciones a los a los Responsables del Tratamiento de datos
personales, personas naturales y personas jurídicas para realizar dicho registro
con un plazo máximo de Enero del 2018. El Registro de las Bases de Datos debe
ir de la mano de la implementación de normas de seguridad de la información
personal, donde se debe asegurar que los datos se encuentran protegidos.
Infrarom SAS es una Pyme constituida en abril de 2013 que debe realizar el
RNBD ante la superintendencia y por esta razón se escoge este tema para dar
desarrollo al programa integral de documentación exigida por la SIC,
implementar documentos internos de políticas y procedimientos, políticas
internas de seguridad, políticas web, reconocimiento de seguridad para los
empleados, implementación de contratos de confidencialidad, de trasmisión de
datos, consentimiento para correos electrónicos, tratamiento de datos
personales, de datos sensibles, de datos biométricos, cláusulas de video entre
otras.
14
4. DELIMITACIÓN DEL PROYECTO
4.1. Alcance
Este proyecto tiene como alcance el diseño del manual y las políticas de
Tratamiento de Datos y Protección de Datos Personales, para conocimiento de
todos los empleados, así como para todos los clientes, asesores externos,
personal temporal e invitados, para la recolección o tratamiento de datos
personales ya almacenados en las bases de datos de Infrarom SAS, teniendo
en cuenta la normas de la Ley 1581 de 2012 (Ley de Habeas Data).
Al igual que solicitar las autorizaciones para el manejo de datos personales que
se tiene en las bases de datos de la empresa y en los documentos físicos de
nuestros empleados, clientes, proveedores o personas que han tenido alguna
relación con la empresa, así como realizar un formato para futuras autorizaciones
que permita cumplir con las políticas de tratamiento de datos personales.
Establecer e implementar documentos internos de políticas y procedimientos,
políticas internas de seguridad, políticas web, reconocimiento de seguridad para
los empleados, implementación de contratos de confidencialidad, de trasmisión
de datos, consentimiento para correos electrónicos, tratamiento de datos
personales, de datos sensibles, de datos biométricos, cláusulas de video entre
otras.
4.2. Delimitación
Aplicado a todos los productos y servicios prestados por la compañía para sus
clientes, proveedores, empleados y terceros.
15
El tiempo delimitado para el proyecto es de un mes para el Registro Nacional de
Base de Datos (RNBD) en la Superintendencia de Industria y Comercio fecha
límite 30 de junio de 2017, seis meses para la implementación de los manuales
y políticas de Tratamiento de Datos y Protección de Datos Personales en todos
los servicios prestados por la compañía para sus clientes, proveedores,
empleados y terceros, y un año para la auditoria de cumplimiento para manual y
las políticas de Tratamiento de Datos y Protección de Datos Personales.
16
5. MARCO REFERENCIAL
5.1. ANTECEDENTES
17
personales, en esta investigación se identifican los vacíos que se encuentran las
leyes, viendo cómo se vulneran los derechos humanos.
18
políticas de tratamiento de los responsables y encargados y el ejercicio de los
derechos de los titulares de la información.
“La honra y el buen nombre de las personas, (...), constituyen, junto con el
derecho a la intimidad los elementos de mayor vulnerabilidad dentro del
conjunto de los que afectan a la persona a partir de publicaciones o
informaciones erróneas, inexactas o incompletas”.
19
divulgarlos, publicarlos o cederlos, conforme a los principios que regulan el
proceso de administración de datos personales que manejen las empresas. Este
derecho tiene naturaleza autónoma y relación con los derechos a la intimidad y
a la información. (Galvis, 2012)
Por otra parte la ley 1581 contempla una protección especial para el tratamiento
de los datos personales de los menores de edad, este podrá realizarse siempre
20
y cuando no se ponga en peligro o vulnere algún derecho fundamental
promoviendo su desarrollo armónico integral y la protección de sus intereses.
Las personas que autorizan el tratamiento de los datos personales de los
menores de edad deben ser su representantes legales quienes se harán
responsables de su uso.
Según la Ley 1581 de 2012 los derechos de los titulares de los datos personales
son: “conocer, actualizar y rectificar sus datos personales, solicitar la prueba de
su autorización para el tratamiento de sus datos personales, ser informado
respecto del uso que se le da a sus datos personales, revocar la autorización y/o
solicitar la supresión de sus datos personales de las bases de datos o archivos
cuando el titular lo considere, presentar quejas ante la entidad administrativa
encargada de la protección de los datos personales”. (SERVINCOOP, S.F.)
Otros deberes de los responsables del tratamiento de los datos personales son:
“informar y garantizar el ejercicio de los derechos de los titulares de los datos
21
personales, tramitar las consultas, solicitudes y reclamos, utilizar únicamente los
datos personales que hayan sido obtenidos mediante autorización, a menos que
los mismos no la requieran, respetar las condiciones de seguridad y privacidad
de información del titular, cumplir instrucciones y requerimientos impartidos por
la autoridad administrativa competente”. (Ley 1581 de 2012)
22
El Gobierno Nacional amplió el plazo para que los responsables del tratamiento
de la información personal en Colombia inscriban sus bases de datos en el
Registro Nacional de Bases de Datos ante la Superintendencia de Industria y
Comercio y deberán realizar la inscripción de las bases de datos que manejen a
más tardar el treinta (30) de junio de 2017. (Decreto N° 1759 del 8 de noviembre
de 2016). Este procedimiento se realiza de forma sencilla y rápida y puede
hacerse a través de la página web de la Superintendencia de Industria y
Comercio www.sic.gov.co, todas las empresa debe inscribir cada una de las
bases de datos que manejen, en el RNBD. Este trámite no tiene ningún costo, y
no excluye a ninguna empresa, ya sea, por el tamaño, el número de empleados
que tenga, la cantidad o tipo de datos personales que administre.
Infrarom S.A.S. es una empresa pequeña que fue fundada en el año 2013 que
vio la necesidad de prestar un servicio de excelente calidad a micro empresas y
Pymes que no tuvieran acceso o presupuesto para tener un área de tecnología,
pero que aun así necesitaran los servicios de licenciamiento, correo empresarial,
chat empresarial, alquilando los servidores en la nube, prestando todo tipo de
soporte tecnológico que requiera.
Infrarom SAS, tiene como misión “brindar soluciones eficaces e inteligentes para
gestionar los cambios necesarios para la tecnología y desarrollo de su empresa,
así mismo desea contribuir a mejorar las capacidades productivas de su empresa
tanto en la industria como en el sector en el que se encuentra y así ayudarle a
potenciar el mercado y la demanda de sus productos o servicios” (Infrarom,
2014), el alcance de este proyecto es ambicioso pero adecuado, ya que la
empresa es una Pyme que en el momento cuenta con poco tiempo de
23
constitución, se cuenta con diez clientes y 12 personas con contrato laboral con
la empresa, lo cual hace posible y facilita la recolección de los datos personales,
la recopilación de las bases de datos de nuestros clientes y la recopilación de los
datos personales de nuestros empleados y de los profesionales que han tenido
y tienen relación con la empresa. Todo esto hace posible lograr el objetivo de dar
la mayor seguridad de los datos que maneja la empresa en cada uno de sus
procesos y servicios.
Para la protección de datos personales solo existía la ley 1266 de 2008, que era
exclusiva para los datos de carácter comercial y financiero y los reportes en
centrales de riesgo; esta ley sigue vigente para los datos personales crediticios,
financieros, comerciales y de servicios registrados en un banco de datos.
24
Según la alcandía de Bogotá los documentos para Habeas Data, Regulación y
documentación son los descritos en la Tabla 1.
2010 Decreto 2952 de Reglamenta los artículos 12 y 13 de la Ley 1266 de 2008 "Por la
2010 Nivel Nacional cual se dictan las disposiciones generales del hábeas data y se
regula el manejo de la información contenida en bases de datos
personales, en especial la financiera, crediticia, comercial, de
servicios y la proveniente de terceros países y se dictan otras
disposiciones".
2012 Ley 1581 de 2012 Desarrolla el derecho constitucional que tienen todas las personas
Nivel Nacional a conocer, actualizar y rectificar las informaciones que se hayan
recogido sobre ellas en bases de datos o archivos, definiendo su
ámbito de aplicación, sus principios rectores, las categorías
especiales de datos, forma de realizar el tratamiento de los datos,
derechos de los titulares de la información, en que situaciones es
necesaria la autorización del titular y cuando no, los deberes de
información del titular, el derecho a corregir la información,
deberes de los responsables del tratamiento de los datos, la
Superintendencia de Industria y Comercio, será la autoridad de
velar por los deberes de los responsables del tratamiento de
datos.
Tabla 1. (Continuación)
2012 Sentencia 458 de Solicitud para que el certificado de antecedentes judiciales. Que
2012 Corte dice: "registra antecedentes, pero no es requerido por autoridad
judicial" sea eliminación de dicha anotación ya que se considera
25
Constitucional que se vulnera los derechos al habeas data, a la intimidad, al buen
nombre, a la honra, a la igualdad, al debido proceso, al mínimo vital
y al trabajo. Desde la ley se considera los antecedentes penales
como datos personales en la medida en que, asocian una situación
determinada con una persona natural. Estos datos personales son
propios y exclusivos de la persona. El habeas data es un medio para
proteger otros derechos, como el de la intimidad, el buen nombre,
la libertad económica y la seguridad social. En este sentido el
habeas data faculta al sujeto a conocer, actualizar, rectificar,
autorizar, incluir, excluir, etc., su información personal cuando se
encuentre en una base de datos.
2013 Decreto 1377 de Es una reglamentación parcial de la Ley 1581 de 2012, en ella se
2013 Nivel Nacional encuentran generalidades sobre la protección de datos
personales. “Asimismo, señala lo relacionado con el tratamiento de
datos en el ámbito personal o doméstico, definiciones,
autorización, políticas de tratamiento, ejercicio de los derechos de
los titulares, transferencias y transmisiones internacionales de
datos personales y responsabilidad demostrada frente al
tratamiento de datos personales”.
2014 Decreto 886 de Reglamenta el artículo 25 de la Ley 1581 de 2012, relativo al
2014 Nivel Nacional Registro Nacional de Bases de Datos, Se debe realizar la inscripción
de todas las bases de datos que contengan datos personales así
sean personas naturales o jurídicas, de naturaleza pública o
privada, en el territorio colombiano o fuera de él, en este último caso,
siempre que al Responsable del Tratamiento o al Encargado del
Tratamiento se le apliquen las leyes colombianas en virtud de
normas y tratados internacionales. En esta ley se establecen reglas
sobre la obligación ante el tratamiento de los datos personales,
consulta por parte del titular, información mínima, responsables,
encargados, canales para ejercicio de derechos, nombre y finalidad,
formas y política de tratamiento, plazos de inscripción, sanciones,
entre otras disposiciones.
Fuente: http://www.alcaldiabogota.gov.co/sisjur/listados/tematica2.jsp?subtema=20798
26
que Infrarom SAS merece toda confianza y credibilidad en cumplimiento de la
Ley 1581.
Cumplir con la norma del Registro Nacional de Base de Datos, con todo lo que
implica ésta, teniendo como prioridad la implementación de la seguridad de la
información en la empresa para evitar posibles sanciones.
Asegurarles a los clientes de Infrarom SAS que dentro del servicio prestado,
ayudaremos a la implementación de la ley 1581 con respecto a la protección y
seguridad de la información que nos corresponde por ser proveedores de
tecnología de su empresa.
1.3.1. Definiciones
27
dueña de la información, entre estos se encuentra teléfono, datos sobre el estado
civil, dirección.
Dato Personal Privado: Son datos que solo le interesan a la persona dueña del
dato y para su tratamiento requiere la autorización de la persona, ejemplo dato
de escolaridad.
Dato Personal Sensible: Estos datos son de suma importancia ya que el mal
uso de ellos pueden generar discriminación, no deben ser tratados a menos que
sea requerido para alguna emergencia vital del titular o este se encuentre
incapacitado y su obtención haya sido autorizada expresamente. Entre estos
datos encontramos raza, orientación política, religión, datos biométricos, datos
de salud.
Encargado del Tratamiento: Esta persona puede ser jurídica o natural, privada
o pública, encargada de realizar el tratamiento de datos personales y es
adjudicado como el responsable de los datos.
28
Responsable del Tratamiento: persona que decide sobre la base de datos y el
tratamiento, para implementar la política, será el responsable, en principio, la
empresa.
Titular: Persona dueña de los datos personales que van a ser tratados, puede
ser un proveedor, un cliente, un empleado, o un tercero que por relaciones
comerciales o jurídicas, proporciones los datos personales a la empresa.
Tratamiento: Hace referencia a las operaciones que se realicen con los datos
personales, ya sea de recolección, almacenamiento, uso, circulación o
supresión.
29
2. METODOLOGÍA
30
Los formatos que se van a utilizar para la recolección de los datos se reúnen en
las Tablas 1, donde se recopila los datos personales de los empleados, que
serán utilizados para cláusulas de contratos de privacidad, en la Tabla 2 se
identificarán todos los responsables del tratamiento de datos, en ellos podemos
identificar personas naturales o jurídicas que tienen accesos a las bases de datos
que contienen información personal de empleados, clientes o proveedores.
Fuente: El Autor
Fuente: El Autor
31
2.4. METODOLOGÍA DE DESARROLLO
NOMBRE:
CORREO ELECTRONICO:
TELEFONO:
INFORMACION REQUERIDA DE LA EMPRESA:
1) Adjuntar logo de la empresa para personalizar la documentación.
INFORMACION Y DATOS GENERALES PARA EL RNBD
▪ Responsable del tratamiento: (Nombre de la razón Social)
▪ NIT:
▪ Naturaleza jurídica o natural:
▪ Matricula Mercantil
▪ Dirección postal con ciudad incluida:
▪ Emails registrados en Cámara de Comercio:
a) Notificaciones Judiciales:
b) Comercial:
▪ Código CIIU (actividad económica): Información se encuentra en el Rut
▪ Nombre del representante legal:
▪ N° de cedula del representante legal y lugar de expedición:
▪ Teléfono del representante legal:
▪ Email del representante legal:
▪ Nombre del Oficial de Protección Datos del tratamiento: Persona que lidera el tema
en la empresa.
▪ N° de cedula del encargado del tratamiento y lugar de expedición:
▪ Cargo del tratamiento:
▪ Dirección del encargado del tratamiento
▪ Teléfono del encargado del tratamiento:
▪ Email del encargado del tratamiento:
▪ Canales de atención al titular de los datos:
a) Página Web: www. Favor indicar página web de la empresa
b) Correo Electrónico para la atención: Indicar el correo que se asignara para
todo el tema de ley de protección de datos. Se sugiere el correo
protecciondedatos@
32
Tabla 5 Clases de Bases de Datos
33
Tabla 6 Finalidades
34
Tabla 6. (Continuación)
35
Tabla 6. (Continuación)
36
Tabla 6. (Continuación)
37
Tabla 7 Formato de Recolección de Información de Base de Datos
xxx
Marcar X
según 2. Información que contiene la Base de datos
corresponda
Datos de menores de edad
Datos de mayores de edad
Nombre
Número de identificación
Edad
Sexo
Firma
Nacionalidad
Lugar y fecha de nacimiento o muerte
Otros documentos de Identificación
Fotografías
38
Tabla 7. (Continuación)
xxx
39
Tabla 7. (Continuación)
4. Responsable de la seguridad de la BD
NOMBRE
xxx
CARGO
xxx
CEDULA Y LUGAR DE EXPEDICION
sin puntos
TELEFONO
CORREO ELECTRONICO
@
4. Fuente: (Cómo llega la información para alimentar la base de datos, si es a través de
un formato escrito o se descarga de algún programa principal, Etc.)
Fuente: El autor
40
3. RESULTADOS
Ell objetivo principal de este trabajo es cumplir con el objetivo del artículo 4
literal g) de la Ley Estatutaria 1581 de 2012, de Protección de Datos, donde
INFRAROM SAS, es el directo responsable del tratamiento de datos
personales, para cumplir con la norma se debe implementar diferentes
medidas administrativas, técnicas y humanas que garanticen la seguridad a
de los datos personales, evitando de esta manera el fraude, la adulteración
o el uso para discriminación y violación de la integridad, .
Para poder realizar el registro se debe cumplir con las medidas de seguridad
establecidas en este trabajo. Estas las podemos clasificar en tres niveles
correspondientes a los datos público-semiprivado, privado y sensible. Cada
nivel debe ser cumplido de forma acumulativa y se dan en las siguientes
tablas.
41
los datos que han sus funciones. emisor de la datos. para el personal.
sido descartados, 2. Lista notificación, 2. Definiciones 2. Contenido
borrados o actualizada de receptor de la de las funciones mínimo: ámbito
destruidos. usuarios y notificación, de control y de aplicación,
accesos efectos y medidas autorizaciones medidas y
2. Acceso
autorizados. correctoras. delegadas por procedimientos
restringido al
3. Mecanismos 2. Procedimiento el responsable de seguridad,
lugar donde se
para evitar el de notificación y del tratamiento. funciones y
almacenan los
acceso a datos gestión de 3. Divulgación obligaciones del
datos.
con derechos incidencias. entre el personal,
3. Automatización
distintos de los personal de las descripción de
del responsable
autorizados. normas y de las las bases de
para la salida de
4. Concesión consecuencias datos,
documentos o
alteración o del procedimiento
soportes por
anulación de incumplimiento ante incidencias,
medio físico o
permisos por el de las mismas. identificación de
electrónico.
personal los encargados
4. Sistema de
autorizado. del tratamiento.
etiquetado para
identificar el tipo
de información
5. Inventario de
soportes
42
1. Archivo de 1. Dispositivos de 1. Deber de 1. Identificación 1. Acceso a
documentaci almacenamiento diligencia y personalizada datos
ón siguiendo con mecanismos custodia de la de usuarios mediante
procedimient que impidan el persona a para acceder a redes
os que acceso a personas cargo de los sistemas de seguras.
garanticen no autorizadas. documentos información y
una correcta durante la verificación de
conservación, revisión o su autorización.
localización y tramite de los
consulta y mismos 2. Mecanismos
permitan el de identificación
ejercicio de y autenticación;
los derechos contraseñas:
de los asignación,
titulares. caducidad y
almacenamient
o cifrado.
43
Tabla 10 Mediadas de Seguridad Datos Privados
44
Tabla 81 Mediadas de Seguridad Datos Sensibles
45
8. Correos corporativos esta base de datos contiene 8 registros de los correos
asignados a los empleados de la empresa, la información se considera semi-
privada, contiene nombre, correo y algunos datos del usuario, esta información
se encuentra digital en equipo de cómputo del área operativa.
46
Sensible Datos de salud, ideología, afiliación Sensible
sindical, creencias, religión, origen racial o
étnico, vida sexual, datos recabados sin
consentimiento para fines policiales, datos
biométricos (huella, iris, etc.), datos
derivados de la violencia de género.
47
CLIENTES Público Computador Comercial 450
PROSPECTO
OTROS
CORREOS Semi Computador 8
CORPORATIVOS privado Administrativo
Entre los riesgos encontrados en la empresa están los siguientes, los cuales
representan un peligro bajo pero del cual se deben tomar medidas de control.
48
acceso a la información y documentos en las diferentes oficinas,
despachos e instalaciones.
- Diferentes funcionarios de cada oficina distribuyen a su criterio,
información, comunicaciones y documentos
La presente política tiene como propósito dar a conocer cuáles son los requisitos
básicos de seguridad de la información para establecer controles efectivos sobre
todas las actividades que se desarrollan en INFRAROM SAS, con el fin de que
todos los involucrados en la operación o que prestan servicios garanticen el buen
uso de los sistemas, herramientas, recursos e información a la que tienen
acceso.
Así como, presentar los lineamientos de control para todos los empleados,
terceros y entes que tengan acceso a la información de INFRAROM SAS, para
garantizar su seguridad a través de los principios de confidencialidad, integridad
y disponibilidad, estableciendo las políticas de seguridad que se aplican a todos
los sistemas de información, la red, así como, a todas las instalaciones en las
que procesan, almacenan, o transmiten información.
49
Lo anterior, teniendo en cuenta que la organización se enfrenta a amenazas
relativas a la seguridad, en especial relacionados con el fraude asistido por
computadores, como también a las acciones de personas, los cuales cada vez
se han vuelto más comunes, ambiciosos y sofisticados. A continuación, se
describen los principales objetivos específicos:
50
protegidos de acuerdo con la normativa vigente, sin importar el medio, formato o
presentación. De igual forma aplican para todas las personas que participan en
el tratamiento, tales como: usuarios (empleados y accionistas), socios,
proveedores y entes de control que accedan independiente de su ubicación
(interna o externamente), a cualquier activo de información.
CLASIFICACIÓN DE LA INFORMACIÓN
Publica: Información que puede ser conocida por todos los miembros
enmarcados en el alcance y el público en general. Son considerados datos
públicos, entre otros, los datos relativos al estado civil de las personas, a su
profesión u oficio y a su calidad de comerciante o de servidor público. Por su
naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros
públicos, documentos públicos, gacetas y boletines oficiales y sentencias
judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
51
mediante un acuerdo contractual que exprese la necesidad de su uso para
efectos del cumplimiento del mismo y para lo cual se debe comprometer a no
divulgarla.
Confidencial: Información propia que solo está disponible para los colaboradores
de INFRAROM SAS en función de sus labores y que no puede ser conocida por
otros empleados o terceros sin autorización del Responsable de administrar la
base de datos. También se refiere a un dato personal que por su naturaleza
íntima o reservada solo interesa a su titular y para su tratamiento requiere de su
autorización previa, informada y expresa. Bases de datos que contengan datos
como Números telefónicos y correos electrónicos personales; datos laborales,
sobre infracciones administrativas o penales, administrados por
administraciones tributarias, entidades financieras y entidades gestoras y
servicios comunes de la Seguridad Social, bases de datos sobre solvencia
patrimonial o de crédito, bases de datos con información suficiente para evaluar
la personalidad del titular, bases de datos de los responsables de operadores
que presten servicios de comunicación electrónica.
CUMPLIMIENTO Y ACTUALIZACIÓN
52
a los sistemas de información que contengan las bases de datos, en especial la
que contienen información de personas.
MEDIDAS DE SEGURIDAD
Los encargados de vigilar y controlar que personas son las autorizadas a acceder
a los documentos y soportes con datos personales son los Responsables de
administrar las bases de datos, los cuales están referidos en el " Anexo 1 PL-01
Organización Bases de Datos" sobre bases de datos y sistemas de información
del presente manual.
53
La salida de documentos y soportes que contengan datos personales fuera de
las instalaciones o equipos de la organización deben estar bajo control y se
autoriza por el Responsable de administrar la base de datos. Este precepto
también es aplicable a los documentos o soportes anexados y enviados por
correo electrónico.
Control de acceso
54
El almacenamiento de datos personales en dispositivos portátiles y su
tratamiento fuera de la organización requiere una autorización previa por parte
de INFRAROM SAS, y el cumplimiento de las garantías de seguridad
correspondientes al tratamiento de este tipo de datos.
Auditorías
Las bases de datos que contengan datos personales, objeto de tratamiento por
INFRAROM SAS, clasificadas con nivel de seguridad sensible o privado, se han
de someter, al menos cada dos años, a una auditoría interna o externa que
verifique el cumplimiento de las medidas de seguridad contenidas en este
manual.
55
Serán objeto de auditoría tanto los sistemas de información como las
instalaciones de almacenamiento y tratamiento de datos.
Archivo de documentos
Los documentos deben ser archivados considerando, entre otros, criterios como
el grado de utilización de los usuarios con acceso autorizado a los mismos, la
actualidad de su gestión y/o tratamiento y la diferenciación entre bases de datos
históricas y de administración o gestión de la empresa.
56
Los sitios de almacenamiento de documentos deben disponer de llaves u
otros mecanismos que controlen su apertura, excepto cuando las
características físicas de éstos lo impidan, en cuyo caso INFRAROM SAS,
adoptará medidas alternas para impedir el acceso de personas no autorizadas.
57
de quien accede, el momento en que se produce el acceso y los documentos a
los que se han accedido. El acceso a documentos con este tipo de datos se
realiza por personal autorizado; si se realiza por personas no autorizadas deberá
supervisarse por algún usuario autorizado o por el Responsable de administrar
la base de datos.
Identificación y autenticación
Por otra parte, INFRAROM SAS, debe vigilar que las contraseñas se cambien
de forma periódica, nunca por un tiempo superior a 60 días.
58
La entrada de documentos o soportes debe registrarse indicando el tipo de
documento o soporte, la fecha y hora, el emisor, el número de documentos o
soportes incluidos en el envío, el tipo de información que contienen según la
clasificación de la información, la forma de envío y la persona responsable de la
recepción. La salida o envío de documentos o soportes, debidamente autorizada,
ha de registrarse indicando el tipo de documento o soporte, la fecha y hora, el
receptor, el número de documentos o soportes incluidos en el envío, el tipo de
información que contienen según el nivel de seguridad, la forma de envío y la
persona responsable del envío.
Los lugares que son sede de los sistemas de información que contienen datos
personales deben estar debidamente protegidos con el fin de garantizar la
integridad y confidencialidad de dichos datos; asimismo, han de cumplir con las
medidas de seguridad, correspondientes al documento o soporte acorde con la
clasificación de la información que contiene.
59
Todas las bases de datos deben tener una copia de respaldo a partir de las
cuales se puedan recuperar los datos.
INFRAROM SAS, debe conservar una copia de respaldo de los datos y de los
procedimientos de recuperación de los mismos en un lugar distinto a aquel en el
que se encuentren los equipos donde se lleva a cabo su tratamiento. Este lugar
deberá cumplir en todo caso las mismas medidas de seguridad exigidas para los
datos originales.
Registro de acceso
60
Los datos que contiene el registro de acceso deben conservarse, al menos,
durante dos años.
Redes de Comunicaciones
61
INFRAROM SAS cumple con el deber de informar con la inclusión de acuerdos
de confidencialidad y deber de secreto que suscriben, en su caso, los usuarios
de sistemas de identificación referidos en el “Anexo 1 PL-01. Organización Bases
de Datos” sobre bases de datos y sistemas de información, y mediante una
circular informativa dirigida a los mismos.
62
Acceder a las bases de datos solamente con la debida autorización y
cuando sea necesario para el ejercicio de sus funciones.
No revelar información a terceras personas ni a usuarios no autorizados.
Observar las normas de seguridad y trabajar para mejorarlas.
No realizar acciones que supongan un peligro para la seguridad de la
información.
No sacar información de las instalaciones de la organización sin la debida
autorización.
63
identificar el tipo de información que contienen mediante un sistema de
etiquetado y ser inventariados.
64
Las bases de datos almacenadas y tratadas por INFRAROM SAS, se recogen
en el “Anexo 1 PL-01. Organización Bases de Datos”, en el cual se presentan las
siguientes características de cada una de ellas:
● Información contenida
● Finalidades
● Tipo de Dato
● Sistema de tratamiento
● Cantidad de Titulares
● Control de Acceso
65
PROCEDIMIENTO DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE
INCIDENCIAS
66
registro es gestionado por el Oficial de Protección de Datos, remitirse al
FR-16 Registro de incidencias y plan de acción.
Asimismo, debe implementar los procedimientos para la recuperación de
los datos cuando aplica, indicando quien ejecuta el proceso, los datos
restaurados y, en su caso, los datos que han requerido ser grabados
manualmente en el proceso de recuperación.
Adicional, el Oficial de Protección de Datos debe informar a la
Superintendencia de Industria y Comercio, mediante el RNBD dentro de
los 15 días hábiles siguientes de haber sido detectado.
Finalmente, INFRAROM SAS notificará del incidente a los Titulares,
cuando se identifique que puedan verse afectados de manera
significativa.
67
al tratamiento cuando sea estrictamente necesario, adoptando para ello medidas
de seguridad que tengan en cuenta los riesgos asociados a la actividad.
DISPOSICIÓN FINAL
OBJETIVO
El derecho a la Protección de los Datos tiene como finalidad permitir a todas las
personas conocer, actualizar y rectificar las informaciones que se hayan recogido
68
sobre ellas en archivos o bases de datos. Este derecho constitucional, se recoge
en los artículos 15 y 20 de la Constitución Política; en la Ley Estatutaria 1581 de
2012, por la cual se dictan disposiciones generales para la Protección de Datos
Personales (LEPD); y en el Capítulo 25 del Decreto 1074 de 2015, por medio
del cual se reglamenta parcialmente la Ley 1581 de 2012 y se recopila el Decreto
1377 de 2013.
Los derechos de los niños, niñas o adolescentes se ejercerán por las personas
que estén facultadas para representarlos.
Derecho de acceso o consulta: Se trata del derecho del Titular a ser informado
por el responsable del tratamiento, previa solicitud, respecto al origen, uso y
finalidad que se les han dado a sus datos personales.
69
Reclamo de supresión: el derecho del Titular a que se supriman los datos que
resulten inadecuados, excesivos o que no respeten los principios, derechos y
garantías constitucionales y legales.
DEFINICIONES
70
público. Por su naturaleza, los datos públicos pueden estar contenidos, entre
otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y
sentencias judiciales debidamente ejecutoriadas que no estén sometidas a
reserva.
Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por
sí misma o en asocio con otros, realice el tratamiento de datos personales por
cuenta del responsable del tratamiento.
71
PROCEDIMIENTOS PARA EJERCER LOS DERECHOS DEL TITULAR
Para consultas cuya periodicidad sea mayor a una por cada mes calendario,
INFRAROM SAS solo podrá sobrar al Titular los gastos de envío, reproducción
y, en su caso, certificación de documentos. Los costos de reproducción no
podrán ser mayores a los costos de recuperación del material correspondiente.
Para tal efecto, el responsable deberá demostrar a la Superintendencia de
Industria y Comercio, cuando ésta así lo requiera, el soporte de dichos gastos.
72
Visualización en pantalla.
Por escrito, con copia o fotocopia remitida por correo certificado o no.
Fax.
Correo electrónico u otro medio electrónico.
Otro sistema adecuado a la configuración de la base de datos o a la
naturaleza del tratamiento, ofrecido por INFRAROM SAS.
El Titular de los datos puede ejercitar los derechos de reclamo sobre sus datos
mediante un escrito dirigido a INFRAROM SAS enviado, bien mediante correo
electrónico a protecciondedatos@infrarom.com, indicando en el Asunto
“Ejercicio del derecho de acceso o consulta”, o bien a través de correo postal
remitido a Diagonal 128B Bis No. 56D -20 Of. 201, BOGOTÁ D.C., BOGOTÁ. La
solicitud deberá contener los siguientes datos:
73
Documentos acreditativos de la petición formulada que se quieran hacer
valer, cuando corresponda.
INFRACCIONES Y SANCIONES
74
la imposición de la sanción. Las multas podrán ser sucesivas mientras
subsista el incumplimiento que las originó.
Suspensión de las actividades relacionadas con el tratamiento hasta por
un término de seis (6) meses. En el acto de suspensión se indicarán los
correctivos que se deberán adoptar.
Cierre temporal de las operaciones relacionadas con el tratamiento una
vez transcurrido el término de suspensión sin que se hubieren adoptado
los correctivos ordenados por la Superintendencia de Industria y
Comercio.
Cierre inmediato y definitivo de la operación que involucre el tratamiento
de datos sensibles.
El derecho a la Protección de los Datos tiene como finalidad permitir a todas las
personas conocer, actualizar y rectificar las informaciones que se hayan recogido
sobre ellas en archivos o bases de datos. Este derecho constitucional se recoge
en los artículos 15 y 20 de la Constitución Política; en la Ley Estatutaria 1581 de
2012, por la cual se dictan disposiciones generales para la Protección de Datos
Personales (LEPD); y en el Decreto 1377 de 2013, por el cual se reglamenta
parcialmente la Ley anterior y compilado en el Capítulo 25 del Decreto 1074 de
2015.
Cuando el Titular de los datos presta su consentimiento para que estos formen
parte de una base de datos de una organización u empresa, pública o privada,
ésta se hace responsable del tratamiento de estos datos y adquiere una serie de
obligaciones como son la de tratar dichos datos con seguridad y cautela, velar
por su integridad y aparecer como órgano a quien el Titular puede dirigirse para
el seguimiento de la información y el control de la misma, pudiendo ejercitar los
derechos de consultas y reclamos.
75
Si bien la responsabilidad del tratamiento de los datos recae en la organización
u empresa responsable del tratamiento, sus competencias se materializan en las
funciones que corresponden a su personal de servicio. El personal de la
organización u empresa responsable del tratamiento con acceso, directo o
indirecto, a bases de datos que contienen datos personales han de conocer la
normativa de protección de datos, la política de protección de datos de la
empresa y el Manual Interno de Seguridad; y deben cumplir con las obligaciones
en materia de seguridad de los datos correspondientes a sus funciones y cargo.
Esta política será aplicable a todos los datos personales registrados en bases de
datos que sean objeto de tratamiento por el responsable del tratamiento y se
encuentra dirigida a todos los usuarios de datos, que son tanto el personal propio
como al personal externo de INFRAROM SAS.
DEFINICIONES
76
Base de Datos: Conjunto organizado de datos personales que sea objeto de
tratamiento.
Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por
sí misma o en asocio con otros, realice el tratamiento de datos personales por
cuenta del responsable del tratamiento.
77
Aviso de privacidad: Comunicación verbal o escrita generada por el responsable,
dirigida al Titular para el tratamiento de sus datos personales, mediante la cual
se le informa acerca de la existencia de las políticas de tratamiento de
información que le serán aplicables, la forma de acceder a las mismas y las
finalidades del tratamiento que se pretende dar a los datos personales.
78
o judicial que revele el consentimiento. El tratamiento de los datos requiere la
autorización previa e informada del Titular por cualquier medio que permita ser
consultado con posterioridad, salvo en los siguientes casos que exceptúa el
artículo 10 de la LEPD:
79
la LEPD y la Constitución. En este sentido, el tratamiento solo podrá hacerse por
personas autorizadas por el titular y/o por las personas previstas en la Ley. Los
datos personales, salvo la información pública, no podrán estar disponibles en
Internet y otros medios de divulgación o comunicación masiva, salvo que el
acceso sea técnicamente controlable para brindar un conocimiento restringido
solo a los Titulares o terceros autorizados conforme a la Ley.
80
CATEGORÍAS ESPECIALES DE DATOS
Datos sensibles
Los datos sensibles son aquellos que afectan la intimidad del Titular o cuyo uso
indebido puede generar su discriminación, tales como aquellos que revelen el
origen racial o étnico, la orientación política, las convicciones religiosas o
filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos
humanos o que promueva intereses de cualquier partido político o que garanticen
los derechos y garantías de partidos políticos de oposición así como los datos
relativos a la salud, a la vida sexual y los datos biométricos.
81
El tratamiento de datos personales de niños, niñas y adolescentes está
prohibido, excepto cuando se trate de datos de naturaleza pública, y cuando
dicho tratamiento cumpla con los siguientes requisitos:
Es tarea del Estado y las entidades educativas de todo tipo proveer información
y capacitar a los representantes legales y tutores sobre los eventuales riesgos a
los que se enfrentan los niños, niñas y adolescentes respecto del tratamiento
indebido de sus datos personales, y proveer de conocimiento acerca del uso
responsable y seguro por parte de niños, niñas y adolescentes de sus datos
personales, su derecho a la privacidad y protección de su información personal
y la de los demás.
82
FUNCIONES Y OBLIGACIONES
83
Analizar, junto con el responsable de seguridad correspondiente, las
incidencias registradas para establecer las medidas correctoras
oportunas, al menos cada tres meses.
Realizar una auditoría, interna o externa, para verificar el cumplimiento de
las medidas de seguridad en materia de protección de datos, al menos
cada dos años.
84
Definir el proyecto de auditoría, interna o externa, al menos cada dos
años.
Recibir y analizar el informe de auditoría para elevar sus conclusiones y
proponer medidas correctoras al responsable del tratamiento.
Gestionar y controlar los registros de entradas y salidas de documentos o
soportes que contengan datos personales.
Usuarios
85
Las funciones y obligaciones de los usuarios de las bases de datos personales
bajo responsabilidad de INFRAROM SAS son las siguientes:
86
Uso de impresoras, escáneres y otros dispositivos de copia: Cuando se utilicen
este tipo de dispositivos debe procederse a la recogida inmediata de las copias,
evitando dejar éstas en las bandejas de los mismos.
87
Salvaguarda y protección de contraseñas: Las contraseñas proporcionadas a los
usuarios son personales e intransferibles, por lo que se prohíbe su divulgación o
comunicación a personas no autorizadas. Cuando el usuario accede por primera
vez con la contraseña asignada es necesario que la cambie. Cuando sea
necesario restaurar la contraseña, el usuario debe comunicarlo al administrador
del sistema.
Y NORMAS REGLAMENTARIAS
POLITICAS:
88
datos; derechos de los titulares; procedimiento de respuesta a peticiones,
consultas y reclamos; medidas de seguridad; y vigencia.
MANUALES:
89
3. Recomendación de seguridad para usuarios (manual del empleado):
Documento interno destinado a los usuarios de la organización con acceso a las
bases de datos que contienen datos personales y que comprende: principios de
la protección de datos; información sobre categorías especiales de datos
(sensibles y de niños, niñas y adolescentes); funciones y obligaciones en materia
de seguridad de datos personales de los usuarios, responsables y encargados;
registro de solicitudes y reclamos de los titulares; y registro de incidencias. DEBE
SER ENTREGADO A CADA UNO DE LOS EMPLEADOS.
90
3. Contrato de Cesión de Bases de Datos: Modelo de acuerdo para terceros a
quienes se le cedan las bases de datos personales. Mediante este acuerdo se
indican las características de las bases de datos cedidas, las finalidades y el
alcance para el tratamiento de los datos, la organización le informa al cesionario
la calidad de Responsable que adoptará y por lo tanto las obligaciones que en
delante debe cumplir, eximiéndole de cualquier responsabilidad por el
tratamiento que le dé a la información que le será cedida.
CONSENTIMIENTOS Y CLAUSULAS:
2. Clausula informativa: Clausula que informa al titular que sus datos serán
almacenados en una base de datos y sometidos a tratamiento por parte de la
organización. Autorización tácita. PODRA UTILIZARSE EN EVENTOS PARA
OBTENER EL CONSETIMIENTO DEL TITULAR DE LOS DATOS A TRAVES
DE PLANILLA DE ASISTENCIA.
91
4. Cláusula de aviso de regularización de las bases de datos anteriores a la
aprobación de la ley 1581 del 2012 (Consentimiento Tácito): Clausula que
informa a los titulares de los datos contenidos en bases de datos anteriores a la
entrega en vigor de la normativa sobre protección de datos sobre los derechos
legales de los titulares, la finalidad del tratamiento y las políticas de protección
de datos de la organización. Autorización tácita.
5. Cláusula de video vigilancia: Texto que informa al titular sobre las políticas de
tratamiento de video vigilancia y monitoreo. DEBE FIJARSE EN UN LUGAR
VISIBLE O ACCESO DONDE SE HAYN INSTALADO CAMARAS DE
SEGURIDAD.
92
CN-03 Consentimiento para Correos Electrónicos
10. Consentimiento para datos sensibles: Cláusula contractual para que los
titulares autoricen expresamente el tratamiento de sus datos sensibles. DEBE
SER SUSCRITO POR TODOS LOS EMPLEADOS.
11. Cláusula de datos biométricos: Clausula para que los titulares autoricen que
las huellas registradas serán incorporadas en una base de datos. DEBE SER
SUSCRITO EN CASO DE UTILIZAR DATOS BIOMETRICOS, TALES COMO:
HUELLA DACTILAR, IMÁGENES, RECONOCIMIENTO FACIAL, VIDEOS,
RECONOCIMIENTO DE RETINA, VOZ, ETC.
PROCEDIMIENTOS
93
18. Procedimiento de Acciones
FORMATOS
94
4.3. IMPLEMENTACION DE POLÍTICAS, MANUALES Y FORMATOS
Después de crear todos las políticas, manuales y formatos con todo el equipo de
Infrarom SAS y la asesoría de Protecdata, se inició el proceso de capacitación al
personal sobre las políticas de tratamiento de datos, recolección de
autorizaciones de empleados, clientes, proveedores y demás personas
registradas en las bases de datos encontrados, establecimiento de cláusulas en
e- mail cooperativos, en contáctenos de la página web, grabación de la ley de
tratamiento de datos en el PBX, implementación de medidas de seguridad y
medidas de control expuestas en los manuales del punto anterior en toda la
organización de las cuales mostramos la evidencia en las siguientes imágenes.
Fuente: El autor
95
Fig 2 Menú Principal
Fuente: El autor
Fuente: El autor
96
Fig 4 Inscripción de Base de Datos
Fuente: El autor
Fuente: El autor.
97
Fig 6 Registro
Paso 2 (Fig. 7 y 8) En esta sección se debe inscribir los canales de atención, los
medios que el encargado o responsable a dispuesto como medio de
comunicación para ejercer los derechos a que se refiere la Ley 1581 de 2012.
Fuente: El autor
98
Fig 8 Agregar Nuevo Canal
Fuente: El autor
Para poder continuar con el siguiente paso se debe asociar las Políticas de
Tratamiento de la Información, cargando el archivo con las políticas establecidas.
Como lo muestra la Fig. 9.
Fuente: El autor
99
Fig 10 Forma de Tratamiento
Fuente: El autor
100
Fig 12 Medidas de Seguridad de la Información
Fuente: El autor
Fuente: El autor
101
Fig 14 Transferencia Internacional de Datos
Fuente: El autor
Fuente: El autor
102
Fig 16 Finalización del registro
Fuente: El autor
103
4. CONCLUSIONES
Con la nueva normativa todas las Empresas deben realizar el Registro Nacional
de Bases de Datos en la Superintendencia de Industria y Comercio, la cual
impartió instrucciones a los a los Responsables del Tratamiento de datos
personales, personas naturales y personas jurídicas para realizar dicho registro
con un plazo máximo de Enero del 2018. El Registro de las Bases de Datos debe
ir de la mano de la implementación de normas de seguridad de la información
personal, donde se debe asegurar que los datos se encuentran protegidos.
104
protegidos de acuerdo con la normativa vigente, sin importar el medio, formato o
presentación. De igual forma aplican para todas las personas que participan en
el tratamiento, tales como: usuarios (empleados y accionistas), socios,
proveedores y entes de control que accedan independiente de su ubicación
(interna o externamente), a cualquier activo de información.
105
5. RECOMENDACIONES
106
6. REFERENCIAS BIBLIOGRAFÍCAS
AYALA, V., DANIEL, J., & PÁEZ Escobar, A. M. (2016). Sanciones por parte de
la Superintendencia de Industria y Comercio por el cambio de la finalidad en el
uso de los datos personales en Colombia período 2013-2014.
107
DECRETO 2952 DE 2010. Tomado de:
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=40120
FORERO LOAIZA, D. C., & Velez Trucco, S. (2016). Ley 1581 de 2012:
contextualización de la norma a nivel nacional e internacional y análisis de
algunas sanciones interpuestas.
108
REMOLINA-ANGARITA N. (2002) Centrales de información, habeas data y
protección de datos personales: Avances, retos y elementos para su
regulación. En “Derecho de Internet & Telecomunicaciones”.Legis. Bogotá,
Colombia
109