Upload
mrasociados-law-firm
View
1.339
Download
6
Embed Size (px)
DESCRIPTION
La Protección de Datos personales en el ámbito laboral Colombiano.
Citation preview
Privacidad en el ámbito Laboral. Recomendaciones en los Contratos laborales, administrativos y con terceros.
Ivan Dario Marrugo JimenezSocio. Marrugo Rivera & Asociados, Estudio
JurídicoTwitter: @imarrugoj
Bogotá D.C. Abril 23 de 2014
Un agrio contexto…Nuestro Modelo de Protección de Datos
Privacidad en el ámbito laboral.ConclusionesPreguntas
Agenda a tratar:
Contextualización.
Habeas Data vs. Protección de datos personales.
Es un sistema Mixto: Coexisten 2 normas. (Colisión normativa)
Declarada constitucional por la Corte mediante sentencia c-748 de 2011
Sistema de principios. Aplicable a cualquier dato contenido en una
BD que sea susceptible de tratamiento.
Nuestro Modelo de protección de datos
30 artículos. 9 Títulos. Reglamentación parcial.
◦ Decreto 1377 de 2013.◦ P. Decreto RNBD◦ Normas corporativas vinculantes◦ Criterios de Seguridad
Generalidades. Categorías especiales.
La norma
El derecho constitucional que tienen todas las personas a :ConocerActualizar Rectificar
El objeto de protección.
Las informaciones que se hayan recogido sobre ellas en bases de datos o archivos
Derecho a la Información: ART. 20. Se garantiza a
toda persona la libertad de (…) informar y recibir
información veraz e imparcial (…)
Datos personales registrados en cualquier base de datos que sean susceptibles de tratamiento por entidades públicas y privadas
¿Qué tipo de base de datos o archivos los cobija esta ley?
Base
s d
e d
ato
s o a
rch
ivos
Ámbito exclusivamente personal o doméstico.
Que tengan por finalidad la seguridad y defensa
nacional
Inteligencia y contrainteligencia
Periodística y otros contenidos editoriales;
regulados por la Ley 1266 de 2008
regulados por la Ley 79 de 1993.
Esta ley no es aplicable a:
Autorización
Bases de
datos
Dato persona
l
Encargado del
Tratamiento
Responsable del
Tratamiento
Titular
Tratamiento
Conceptos claves
Legalidad
Finalidad
libertad
Calidad o
veracidad
Transparencia
Acceso y circulación restringida
Seguridad
Confidencialidad
Principios
Datos sensibles Afectan la intimidad del titular Su uso indebido pueden generar
discriminación Datos relativos a la salud, vida sexual y
datos biométricos
Esta prohibido el tratamiento de datos sensibles, salvo las excepciones que establece la ley.
Categoría especiales de Datos
Queda proscrito el Tratamiento de datos personales de niños, niñas y adolescentes, salvo aquellos datos que sean de naturaleza pública.
La especial protección que se da a los datos personales de niños, niñas y adolescentes, es una proyección razonable que se desprende de su condición de sujetos que gozan de una especial protección constitucional.
El Gobierno Nacional reglamentará la materia, dentro de los seis (6) meses siguientes a la promulgación de esta ley.
Tratamiento de datos personales de niños, niñas y adolescentes
Art. 9. Ley 1581 de 2012Siempre?, se requerirá la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior.
La autorización del titular como elemento clave en el tratamiento de datos personales
A voces de nuestro sistema es un requisito obligatorio y el elemento habilitante para el tratamiento.
Plenamente consonante con los principios de Libertad y Finalidad de la Ley.
La ley regula la expresión del consentimiento: Libre, previo y expreso.
¿Qué es la autorización?
Desde allí, se ha dicho entonces que los datos personales sólo pueden ser registrados y divulgados con el consentimiento libre, previo y expreso del titular. La Corporación ha relacionado el principio de libertad, con la prohibición del manejo de la información adquirida de manera ilícita, de tal forma que se encuentra prohibida la obtención y divulgación de los mismos, sin la previa autorización del titular o en ausencia de mandato legal o judicial. Así, en la sentencia SU-082 de 1995, afirmó: "los datos conseguidos, por ejemplo, por medios ilícitos no pueden hacer parte de los bancos de datos y tampoco pueden circular.” En el mismo sentido, en la Sentencia T-176 de 1995, se consideró como una de las hipótesis de la vulneración del derecho al habeas data el de la recolección de la información "de manera ilegal, sin el consentimiento del titular de dato."
Sentencia C-748-2011
Art. 4. Lit. C. Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
Art. 9 Ley 1581: Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior.
El consentimiento como pieza fundamental
El Parlamento Europeo y del Consejo Europeo se refiere específicamente al consentimiento y lo define como “toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.”
Tenemos entonces que es una manifestación cualificada.
Libre: Según el Código civil debe estar exento de error, fuerza o dolo.
Expreso: sinónimo de inequívoco?? Claro, que no admita duda.
Informado: Requisito de validez. Suficiencia y pertinencia (Finalidades)
¿Cuáles serán los requisitos del consentimiento?
La información solicitada podrá ser suministrada por cualquier medio, incluyendo los electrónicos, según lo requiera el Titular.
¿Por qué medios se suministra la información?
Incongruencia entre la finalidad y el tratamiento: Autorización abierta.
Problemas frente a la Autorización
Por parte de los responsables y encargados:
Por parte de los responsables y encargados: Incongruencia entre la libertad y el
tratamiento: Autorización ilegal.
Problemas frente a la Autorización.
Por parte del titular: Desconocimiento de cuando otorgó la
Autorización. Art. 10 Decreto 1377 de 2013. Imposibilidad de Acceso a su información.
Caso Datacredito.
Problemas frente a la Autorización.
Autorización de trabajadores. Autorización de datos de menores de edad. Videovigilancia. Datos sensibles. Concepto: Datos miembros
ONG´s, fundaciones o asociaciones.
Algunas inquietudes actuales.
Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;
Datos de naturaleza pública; Casos de urgencia médica o sanitaria; Tratamiento de información autorizado por la ley para fines
históricos, estadísticos o científicos; Datos relacionados con el Registro Civil de las Personas.
Quien acceda a los datos personales sin que medie autorización previa deberá en todo caso cumplir con las disposiciones contenidas en la presente ley.
¿Cuándo no es necesario la autorización previa? Art. 10 Ley 1581
La información que reúna las condiciones establecidas en la ley de protección de datos, podrá suministrarse a las siguientes personas:
a. A los Titulares, sus causahabientes o sus representantes legales;
b. A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial;
c. A los terceros autorizados por el Titular o por la ley.
Personas a quienes se les puede suministrar la información
Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data
Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular
Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada
Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento.
Deberes de los Responsables y Encargados del tratamiento
Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones
de seguridad y privacidad de la información del Titular;
Adoptar un manual interno de políticas y procedimientos para garantizar
el adecuado cumplimiento de la presente ley y en especial, para la
atención de consultas y reclamos;
Informar al Encargado del Tratamiento cuando determinada información se
encuentra en discusión por parte del Titular, una vez se haya presentado la
reclamación y no haya finalizado el trámite respectivo;
Informar a solicitud del Titular sobre el uso dado a sus datos;
Informar a la autoridad de protección de datos cuando se presenten violaciones a
los códigos de seguridad y existan riesgos en la administración de la información
de los Titulares.
Cumplir las instrucciones y requerimientos que imparta la Superintendencia de
Industria y Comercio.
Deberes de los Responsables y Encargados del tratamiento
Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;
Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley;
Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo;
Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares;
Deberes de los Encargados del Tratamiento
Abstenerse de circular información que esté siendo controvertida por
el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia
de Industria y Comercio;
Permitir el acceso a la información únicamente a las personas que
pueden tener acceso a ella;
Informar a la Superintendencia de Industria y Comercio cuando se
presenten violaciones a los códigos de seguridad y existan riesgos en
la administración de la información de los Titulares;
Cumplir las instrucciones y requerimientos que imparta la
Superintendencia de Industria y Comercio.
Deberes de los Encargados del Tratamiento
Autoridad de Protección de Datos: Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio
Ejerce la vigilancia para garantizar que en el Tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la presente ley.
Mecanismos de Vigilancia y Sanción
Velar por el cumplimiento de la legislación en materia de protección de datos personales;
Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. Para el efecto, siempre que se desconozca el derecho, podrá disponer que se conceda el acceso y suministro de los datos, la rectificación, actualización o supresión de los mismos;
Disponer el bloqueo temporal de los datos cuando, de la solicitud y de las pruebas aportadas por el Titular, se identifique un riesgo cierto de vulneración de sus derechos fundamentales, y dicho bloqueo sea necesario para protegerlos mientras se adopta una decisión definitiva;
Proferir las declaraciones de conformidad sobre las transferencias internacionales de datos;
Administrar el Registro Nacional Público de Bases de Datos y emitir las órdenes y los actos necesarios para su administración y funcionamiento;
Funciones de la Delegatura de Protección de Datos
Multas de carácter personal e institucional hasta por el
equivalente de dos mil (2.000) salarios mínimos mensuales
legales vigentes al momento de la imposición de la sanción. Las
multas podrán ser sucesivas mientras subsista el incumplimiento
que las originó;
Suspensión de las actividades relacionadas con el Tratamiento
hasta por un término de seis (6) meses. En el acto de suspensión
se indicarán los correctivos que se deberán adoptar;
Cierre temporal de las operaciones relacionadas con el
Tratamiento una vez transcurrido el término de suspensión sin que
se hubieren adoptado los correctivos ordenados por la
Superintendencia de Industria y Comercio;
Cierre inmediato y definitivo de la operación que involucre el
Tratamiento de datos sensibles;
Procedimiento y sanciones
El Registro Nacional de Bases de Datos es el directorio público de las bases de datos sujetas a Tratamiento que operan en el país.
El registro será administrado por la Superintendencia de Industria y Comercio y será de libre consulta para los ciudadanos.
Para realizar el registro de bases de datos, los interesados deberán aportar a la Superintendencia de Industria y Comercio las políticas de tratamiento de la información, las cuales obligarán a los responsables y encargados del mismo, y cuyo incumplimiento acarreará las sanciones correspondientes. Las políticas de Tratamiento en ningún caso podrán ser inferiores a los deberes contenidos en la presente ley.
Parágrafo. El Gobierno Nacional reglamentará, dentro del año siguiente a la promulgación de la presente ley, la información mínima que debe contener el Registro, y los términos y condiciones bajo los cuales se deben inscribir en este los Responsables del Tratamiento.
Registro Nacional de Bases de Datos
Ámbito de aplicación. Art. 1 Criterios de manejo de BD. Plazos para la inscripción. Art. 12.
Proyecto de decreto RNBD
Abrir el RNBD. Formular las directrices sobre Seguridad. Países con Nivel adecuado de Protección. Consolidar labores de supervisión y control
basado en el SISI. Mas concientización de los Sujetos
obligados
Que viene…?
La situación critica en el Ámbito Laboral.
Recomendaciones en los Contratos laborales, administrativos y con terceros.
Hay un choque entre privacidad y las relaciones Laborales?
Una encuesta del American Management Association y el ePolicy Institute reveló que dos tercios de los empleadores monitorean las páginas de Internet que visitan sus empleados con el fin de evitar actividades inapropiadas. El 65 por ciento utiliza programas para bloquear conexiones a sitios web que son considerados inapropiados para los empleados. Esto representa un aumento del 27 por ciento, desde el 2001 cuando la encuesta se llevo a cabo por primera vez.
Encuestas recientes revelan que la mayoría de los empleadores monitorean a sus empleados. Esto se debe en parte a que están preocupados de demandas y otras cuestiones legales ya que la evidencia electrónica está tomando un papel cada vez más protagónico en demandas e investigaciones de agencias gubernamentales.
Búsqueda de datos de personas que solicitan trabajo. Ej: Social intelligence.
Redes sociales en el trabajo. Monitoreo de actividades de empleados. Despidos con información de fuentes
dudosas? De quien es lo que el trabajador hace? Hasta donde llega la intimidad del
trabajador?
Algunas situaciones
Información sobre el tratamiento de DP en: Selección de Personal. En la contratación. Durante el desarrollo de la relación. Datos sensibles laborales?: Sindicales,
Tendencias sexuales, Biometría? Control interno y denuncias. Gestión de nomina por encargo.
Muy importante tener en cuenta…
Selección de Personal: Destrucción de documentos y DP de descartados. Gestión documental electrónica. TRD. Política de Tratamiento Ley 1581.
En la contratación: Solicitud de certificados médicos, prueba de embarazo, polígrafo, datos sensibles.
Veamos algunas…
En el desarrollo: Permisos. Actividad online. Gustos. Redes sociales. Despidos.
Control interno y denuncias: Sistema de control conocido en la empresa (no puede ser secreto). No denuncias anónimas. Proporcionalidad. Extremar medidas de seguridad y confidencialidad. Conservación de los datos solo por el tiempo necesario. Proveer informacion al denunciado sin informar el nombre del denunciante.
Veamos algunas…
RR.HH cede datos a terceros: Ej: Planes exequiales. Bancos que manejan la nomina. Seguros de vida. OJO: Fondos de empleados.
Externalización de asuntos relativos a la relación laboral: Nomina. CTA´s. Bolsas de empleo. Regulación por contrato de cesión de datos personales.
Mala praxis
Atención a la información como activo principal.
Cuerpos normativos específicos: Acuerdo de confidencialidad – Información reservada. Política de tratamiento con detalle sobre la actividad de recursos humanos. Política de seguridad de la información – Política de monitorización y controles.
Algunas recomendaciones
Conocimiento informado: Para desvirtuar la presunción de privacidad que puede amparar al correo institucional, es necesario que el empleado o dependiente tenga conocimiento previo e informado de tal hecho, desde que firma, suscribe o acepta las condiciones generales a las que se somete en su relación laboral o legal.
Es así como los contratos laborales, los de prestación de servicios y todos los demás reglamentos que se consideren necesarios deben dejar claro, desde el principio, para el trabajador, empleado, dependiente, contratista o servidor público, que no se genera ningún tipo de expectativa de privacidad cuando se utilizan correos electrónicos institucionales u oficiales, pues se otorgan como herramientas de trabajo.
Un aspecto clave en la monitorización…
Ojo con esta perlita La Corte Constitucional, en Sentencia C-1235, de
noviembre 29 de 2005, se pronuncia sobre la denominada responsabilidad in eligendo e in vigilando, responsabilidad por un hecho ajeno o de un tercero que le puede caber a las empresas frente al deber de diligencia y cuidado sobre las herramientas electrónicas en el ámbito laboral, pues allí se compromete la responsabilidad del patrono o empresario cuando se generan perjuicios a terceros, que se hubieran podido evitar con una correcta vigilancia y control sobre estos recursos.
EL DERECHO Y LAS TECNOLOGÍAS.
Riesgos en el trabajo del Entorno Digital
Derecho del Consumo
Privacidad y Datos personales
Penal
Propiedad Intelectual
Relaciones Laborales
Rela
cion
es
lab
ora
les
Pri
vaci
dad -
In
tim
idad
¿Preguntas?Gracias por su atención
Ivan Dario Marrugo JimenezSocio de Marrugo Rivera & Asociados
Twitter: @imarrugojBogotá D.C. Abril 23 de 2014