1. Políticas de Tratamiento
1.1. Artículo 13. Políticas de Tratamiento de la información.
1.1.1. Tratamiento al cual serán sometidos los datos y finalidad del mismo cuando ésta no se haya informado mediante el Aviso de Privacidad. Fecha de entrada en vigencia de la política de Tratamiento de la información y período de vigencia de la base de datos. Cualquier cambio sustancial en las políticas de Tratamiento, en los términos descritos en el artículo 5 del presente decreto, deberá ser comunicado oportunamente a los Titulares de los datos personales de una manera eficiente, antes de implementar las nuevas políticas.
1.2. Artículo 14. Aviso de privacidad.
1.2.1. En los casos en los que no sea posible poner a disposición del Titular las políticas de Tratamiento de la Información, los Responsables deberán informar por medio de un Aviso de Privacidad al Titular sobre la existencia de tales políticas y la forma de acceder a las mimas, de manera oportuna y en todo caso a más tardar al momento de la recolección de los datos personales.
1.3. Artículo 15. Contenido mínimo del Aviso de Privacidad
1.3.1. Nombre o razón social y datos de contacto del Responsable del Tratamiento. El Tratamiento al cual serán sometidos los datos y la finalidad del mismo. Los derechos que le asisten al Titular. Privacidad deberá señalar expresamente el carácter facultativo de la respuesta a las preguntas que versen sobre este tipo de datos.
1.4. Articulo 16. Deber de acreditar puesta a disposición del aviso de privacidad y las políticas de Tratamiento de la información
1.4.1. Aviso de Privacidad que utilicen para cumplir con el deber que tienen de dar a conocer a los Titulares la existencia de políticas del Tratamiento de la información y la forma de acceder a las mismas, mientras se traten datos personales conforme al mismo y perduren las obligaciones que de este se deriven.
1.5. Artículo 17. Medios de difusión del aviso de privacidad y de las políticas de Tratamiento de la información
1.5.1. Para la difusión del Aviso de Privacidad y de la política de Tratamiento de la información, el Responsable podrá valerse de documentos, formatos electrónicos, medios verbales o cualquier otra tecnología, siempre y cuando garantice y cumpla con el deber de informar al Titular.
1.6. Artículo 18. Procedimientos para el adecuado Tratamiento de los datos personales
1.6.1. Los procedimientos de acceso, actualización, supresión y rectificación de datos personales y de revocatoria de la autorización deben darse a conocer o ser fácilmente accesibles a los Titulares de la información e incluirse en la política de Tratamiento de la información.
1.7. Artículo 19. Medidas de seguridad
1.7.1. La Superintendencia de Industria y Comercio impartirá las instrucciones relacionadas con las medidas de seguridad en el Tratamiento de datos personales.
2. Autorización
2.1. Artículo 4. Recolección de los datos personales.
2.1.1. En desarrollo de los princlplos de finalidad y libertad, la recolección de datos deberá limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente. Salvo en los casos expresamente previstos en la Ley, no se podrán recolectar datos personales sin autorización del Titular.
2.2. Artículo 5. Autorización.
2.2.1. Los datos personales que se encuentren en fuentes de acceso público, con independencia del medio por el cual se tenga acceso, entendiéndose por tales aquellos datos o bases de datos que se encuentren a disposición del público, pueden ser tratados por cualquier persona siempre y cuando, por su naturaleza, sean datos públicos. En caso de haber cambios sustanciales en el contenido de las políticas del Tratamiento a que se refiere e! Capítulo III de este Decreto, referidos a la identificación del Responsable y a la finalidad del Tratamiento de los datos personales, los cuales puedan afectar el contenido de la autorización, el Responsable del Tratamiento debe comunicar estos cambios al Titular antes de o a más tarda¡- al momento de implementar las nuevas políticas.
2.3. Artículo 6. De la autorización para el Tratamiento de datos personales sensibles
2.3.1. informar al Titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento.
2.4. Artículo 7. Modo de obtener la autorización
2.4.1. Para efectos de dar cumplimiento a lo dispuesto en el artículo 9 de la Ley 1581 de 2012, los Responsables del Tratamiento de datos personales establecerán mecanismos para obtener la autorización de los Titulares o de quien se encuentre legitimado de conformidad con lo establecido en el artículo 20 del presente decreto, que garanticen su consulta.
2.5. Artículo 8. Prueba de la autorización.
2.5.1. Los Responsables deberán conservar prueba de la autorización otorgada por los Titulares de datos personales para el Tratamiento de los mismos.
2.6. Artículo 9. Revocatoria de la autorización y/o supresión del dato
2.6.1. 1581 de 2012. La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos. El Responsable y el Encargado deben poner a disposición del Titular mecanismos gratuitos y de fácil acceso para presentar la solicitud de supresión de datos o la revocatoria de la autorización otorgada. Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización y/o la supresión de los datos personales.
2.7. Artículo 10. Datos recolectados antes de la expedición del presente decreto
2.7.1. os Responsables deberán solicitar la autorización de los Titulares para continuar con el Tratamiento de sus datos personales del modo previsto en el artículo 7 anterior, a través de mecanismos eficientes de comunicación, así como poner en conocimiento de estos sus políticas de Tratamiento de la información y el modo de ejercer sus derechos. Tratamiento de la información y el modo de ejercer sus derechos, el Responsable podrá implementar mecanismos alternos para los efectos dispuestos en el numeral 1, tales como diarios de amplia circulación nacional, diarios locales o revistas, página de Internet del responsable, carteles informativos, entre otros, e informar al respecto a la Superintendencia de Industria y Comercio, dentro de los cinco días siguientes a su implementación. Responsable y Encargado podrán continuar realizando el Tratamiento de los datos contenidos en sus bases de datos para la finalidad o finalidades indicadas en la política de Tratamiento de la información, puesta en conocimiento de los Titulares mediante tales mecanismos, sin perjuicio de la facultad que tiene el Titular de ejercer en cualquier momento su derecho y pedir la eliminación del dato. disposiciones aplicables de la Ley 1581 de 2012 y el presente Decreto.
2.7.1.1. Parágrafo.
2.7.1.1.1. La implementación de los mecanismos alternos de comunicación previstos en esta norma deberá realizarse a más tardar dentro del mes siguiente de la publicación del presente decreto.
2.8. Artículo 11. Limitaciones temporales al Tratamiento de los datos personales.
2.8.1. Tratamiento y sin perjuicio de normas legales que dispongan lo contrario, el Responsable y el Encargado deberán proceder a la supresión de los datos personales en su posesión. No obstante lo anterior, los datos personales deberán ser conservados cuando así se requiera para el cumplimiento de una obligación legal o contractual.
2.9. Articulo 12. Requisitos especiales para el Tratamiento de datos personales de niños niñas y adolescentes
2.9.1. Que responda y respete el interés superior de los niños, niñas y adolescentes. Todo Responsable y Encargado involucrado en el Tratamiento de los datos personales de niños, niñas y adolescentes, deberá velar por el uso adecuado de los mismos. Tratamiento de los datos personales de los menores de edad cumplan las obligaciones establecidas en la Ley 1581 de 2012 y el presente decreto.
3. Disposiciones Generales
3.1. Artículo 1. Objeto
3.1.1. tiene como objeto reglamentar parcialmente la Ley 1581 de 2012
3.2. Artículo 2. Tratamiento de datos en el ámbito personal o doméstico
3.2.1. El ámbito personal o doméstico comprende aquellas actividades que se inscriben en el marco de la vida privada o familiar de las personas naturales.
3.3. Artículo 3. Definiciones
3.3.1. Además de las definiciones establecidas en el artículo 3 de la Ley Son considerados datos públicos, entre otros, Jos datos relativos al estado civil de las personas, a su profesión u oficio ya su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
4. Ejercicio de los Derechos de los Titulares
4.1. Artículo 20. Legitimación para el ejercicio de los derechos del Titular
4.1.1. Por el Titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición el responsable. Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento. Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que estén facultadas para representarlos.
4.2. Artículo 21. Del derecho de acceso
4.2.1. Los Responsables y Encargados del Tratamiento deben establecer mecanismos sencillos y ágiles que se encuentren permanentemente disponibles a los Titulares con el fin de que estos puedan acceder a los datos personales que estén bajo el control de aquéllos y ejercer sus derechos sobre los mismos. Para consultas cuya periodicidad sea mayor a una por cada mes calendario, el Responsable sólo podrá cobrar al Titular los gastos de envío, reproducción y, en su caso, certificación de documentos. Los costos de reproducción no podrán ser mayores a los costos de recuperación del material correspondiente.
4.3. Artículo 22. Del derecho de actualización, rectificación y supresión.
4.3.1. En desarrollo del principio de veracidad o calidad, en el Tratamiento de los datos personales deberán adoptarse las medidas razonables para asegurar que los datos personales que reposan en las bases de datos sean precisos y suficientes y, cuando así lo solicite el Titular o cuando el Responsable haya podido advertirlo, sean actualizados, rectificados o suprimidos, de tal manera que satisfagan los propósitos del Tratamiento.
4.4. Artículo 23. Medios para el ejercicio de los derechos
4.4.1. Todo Responsable y Encargado deberá designar a una persona o área que asuma la función de protección de datos personales, que dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y el presente Decreto.
5. Transferencias y Transmisiones de Datos Personales
5.1. Artículo 24. De /a transferencia y transmisión internacional de datos persona/es.
5.1.1. Las transferencias internacionales de datos personales deberán observar lo previsto en el artículo 26 de la Ley 1581 de 2012. Las transmisiones internacionales de datos personales que se efectúen entre un Responsable y un Encargado para permitir que el Encargado realice el Tratamiento por cuenta del Responsable, no requerirán ser informadas al Titular ni contar con su consentimiento cuando exista un contrato en los términos del artículo 25 siguiente.
5.2. Artículo 25. Contrato de transmisión de datos personales
5.2.1. Salvaguardar la seguridad de las bases de datos en los que se contengan datos personales. Guardar confidencialidad respecto del Tratamiento de los d.
6. Responsabilidad Frente al Tratamiento de Datos Personales
6.1. Artículo 26. Demostración
6.1.1. La naturaleza de los datos personales objeto del Tratamiento. El tipo de Tratamiento. 4~ Los riesgos potenciales que el rsferi10 Tratamiento podrían causar sobre los derechos de los Titulares.
6.2. Artículo 27. Políticas internas efectivas
6.2.1. En cada caso, de acuerdo con las circunstancias mencionadas en los numerales 1,2, 3 Y 4 del artículo 26 anterior, las medidas efectivas y apropiadas implementadas por el Responsable deben ser consistentes con las instrucciones impartidas por la Superintendencia de Industria y Comercio. La adopción de mecanismos internos para poner en práctica estas políticas incluyendo herramientas de implementación, entrenamiento y programas de educación. La verificación por parte de la Superintendencia de Industria y Comercio de la existencia de medidas y políticas específicas para el manejo adecuado de los datos personales que administra un Responsable será tenida en cuenta al momento de evaluar la imposición de sanciones por violación a los deberes y obligaciones establecidos en la ley y en el presente decreto.
6.3. Artículo 28. Vigencia y derogatorias
6.3.1. El presente decreto rige a partir de su publicación en el Diario Oficial y deroga las disposiciones que le sean contrarias.