Información que se debe reportar en el Registro Nacional de Bases de Datos, según circular 003 de 2018 de la SIC
febrero 19, 2021El concepto de Dato Personales (Perspectiva Europea- Perspectiva Colombiana)
marzo 3, 2021Iniciamos este mes, con una serie de entradas que tienen como propósito realizar un marco comparativo respecto al marco regulatorio de la protección de datos personales en Europa y el marco regulatorio colombiano. A partir de ese propósito, estaremos publicando las principales instituciones del régimen de protección de datos personales, a la luz de ambos régimenes. Este ejercicio es muy interesante toda vez que permitirá entender como estamos respecto a un estandar alto y exigente como es el Europeo.
A continuación, exponemos las principales diferencias entre las dos regulaciones. Vale precisar, que nuestra legislación es del 2012, por lo tanto, estará en muchos casos, en desventaja con la legislación europea. En ese sentido, no se trata de decir que esta bien o que esta mal, si no más bien, conocer ambos enfoques y tener claridades sobre ambas visiones. La visión de la legislación colombiana, representa el enfoque anterior que tenía la legislación europea (en especial, la española) antes de entrar en vigencia el reglamento europeo, que representa una visión mucho más amplia y actualizada y que responde (en principio) a los retos actuales que demanda una socieda hiperconectada.
Cinco aspectos diferenciadores
1. Extraterritorialidad
El Régimen Europeo establece de manera clara en su artículo 3 la extraterritorialidad de su aplicación, cuando confluyan ciertos aspectos para el tratamiento de datos personales. Al respecto hemos hablado en este blog sobre este tema, en varias oportunidades.
Extraterritorialidad de las Normas en Protección de Datos Personales
Nuestra legislación no incorpora la extraterritorialidad. De hecho, en el 2012 cuando se expidió la ley, no existía legislación a nivel mundial que abordara este aspecto. Fue a partir del reglamento europeo, que se incorporó la extraterritorialidad, precisamente, pensando en un entorno donde la prestación de servicio se puede prestar en cualquier lugar del mundo. Sin embargo, debemos recordar que precisamente por este aspecto y también por temas de transferencia internacional de datos personales de paises europeos, es fundamental el entendimiento de la regulación europea.
2. Bases legales del Tratamiento de Datos Personales
Un importante cambio, en lo que respecta para mi, de los más importantes, es la ampliación de las bases legales del tratamiento de los datos personales. Antes del reglamento, solo existía una base legal para el tratamiento de datos personales, esto erá, el consentimiento del interesado. A partir del reglamento, existen otras cinco bases legales, además del consentimiento. El consentimiento deja de ser el rey, y queda en igualidad de condiciones, con las otras cinco bases legales, que veremos en otras entradas. En el caso colombiano, solo existe una base legal para el tratamiento de datos personales, que es el Consentimiento y/o Autorización para el tratamiento de datos personales, con sus respectivas excepciones.
3. Nuevos derechos y Principios
El reglamento europeo, trae como novedad tres nuevos derechos, como es el Derecho a la portabilidad de los datos personales, la limitación del tratamiento, y derecho a no ser objeto de decisiones individuales automatizadas, también trae expresamente el derecho al olvido que es una extensión del derecho de la supresión o derecho al borrado. En el caso colombiano, estan los derechos ya previamente establecidos en el régimen europeo, como es el acceso, supresión, rectificación, supresión, revocación de la autorización, sin embargo, no incorpora estos tres nuevos derechos mencionados. Por otro lado, también incorpora principios como licitud, lealtad y transparencia (los menciona como un todo, pero cada uno tiene su propósito), limitación de la finalidad, limitación del plazo de conservación. En el caso colombiano, existen casi los mismos principios, de hecho, existen muchos más, en virtud de la jurisprudencia de la Corte Constitucional, que no se encuentran mencionados en la ley 1581 de 2012.
4. Flexibilidad DE LA NORMA en las Organizaciones
Una de las novedades que trae el reglamento europeo de protección de datos, es su enfoque. No se trata de una lista taxativa de los requisitos que debe cumplir las organizaciones sin importar su tamaño. Este reglamento, se adapta a las caracteristicas y operaciones de tratamiento que tienen las organizaciones, bajo un enfoque de riesgos, los controles vienen asociados en función de esos riesgos identificados en su operación en el tratamiento. En el caso colombiano, tal enfoque viene siendo un hibrido, por un lado, todas las organizaciones, sin importar su tamaño, (salvo el reporte en el RNBD) debe cumplir con los requisitos establecidos en la norma, así como evaluar los riesgos asociados al tratamiento de los datos personales.
5. Enfoque Responsabilidad Proactiva
Este punto, lo comparten ambas regulaciones. Sin embargo, con importantes diferencias. En el marco europeo, esta responsabilidad proactiva viene expresamente señalado en la legislación, estableciendo la protección de datos por diseño y por defecto, así como las evaluaciones de impacto en protección de datos personales, la designación de un delegado de oficial de protección de datos personales bajo ciertas circunstancias, códigos de conducta y esquemas de certificación. Estas figuras no se encuentran desarrolladas en nuestra legislación, aunque la SIC ha emitido guías, no desarrollando estas figuras, sino, mencionandolas que se deben tener en cuenta para ciertos tipos operaciones donde involucren datos personales.