Hoja de Ruta para Entidades

2014
HOJA DE RUTA PARA LA ADECUACIN DE BASES DE DATOS A

LAS NORMAS DE PROTECCIN DE DATOS PERSONALES
Programa Nacional de Servicio al Ciudadano (PNSC)
INTRODUCCIN A LA HOJA DE RUTA
Desde hace varios aos, ha venido consolidndose a nivel mundial un campo del derecho que se propone
la proteccin de todos los ciudadanos cuyos datos personales son objeto de algn tipo de utilizacin a
travs de bases de datos. El surgimiento de la informtica, capaz de administrar y transformar informacin
personal de forma masiva y veloz, aument la preocupacin de los pases y de las organizaciones
internacionales sobre esta materia, lo que llev a la construccin generalizada de marcos jurdicos de
proteccin de datos.
Hoy en da, existen unas reglas universales que buscan asegurar que los datos reservados o ntimos no
caigan en manos de terceros sin contar con la previa, expresa y libre autorizacin otorgada por el titular
de la informacin. De igual forma existen muchas previsiones que se orientan a exigir condiciones
mnimas de seguridad y confidencialidad de las entidades o empresas que administran bases de datos en
las que se encuentren incorporados datos personales de los ciudadanos- titulares de la informacin. Una
de las preocupaciones ms elevadas es que las bases de datos puedan ser usadas para discriminar a los
ciudadanos- titulares o para crear perfiles que puedan provocar decisiones adversas e ilegtimas de parte
de los servidores que tienen acceso a dicha informacin.
El momento que actualmente se vive a nivel mundial, no podra ser ms demostrativo de la importancia
que tiene el que los Estados expidan regulaciones especializadas relacionadas con la privacidad y la
proteccin de los datos personales. Se observa entonces que los distintos sistemas de proteccin de los
derechos, tanto el universal, como los regionales instan a los Estados a establecer dentro de sus
ordenamientos unos principios mnimos que han de regir el manejo de la informacin de datos, y por
tanto, la interpretacin de las directrices debe hacerse de conformidad con estos estndares de
proteccin.
1. MARCO NORMATIVO A TENER EN CUENTA
El artculo 15 de la Constitucin Poltica, en el captulo de Derechos Fundamentales, consagra los

derechos de todas las personas a conservar su intimidad, mantener su buen nombre y a la
proteccin y garanta de su derecho al Habeas Data. A partir de lo anterior, se colige que, desde
un inicio, la proteccin de la privacidad de los datos personales se encuentra ntimamente
relacionada con el derecho a la intimidad y al buen nombre.
As, es preciso resaltar que con el fin de desarrollar el derecho al Habeas Data, se han
incorporado al ordenamiento jurdico Colombiano distintas normas que propenden por la buena
administracin de la informacin personal, comercial y financiera de los ciudadanos- titulares,
dentro de las cuales se encuentran la Ley 1266 de 2008, la Ley 1581 de 2011 y el Decreto 1377
de 2013.
1.1. La Ley 1266 de 2008
La Ley 1266 de 2008 tiene por objeto desarrollar el derecho constitucional que tienen todas las
personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en
Bancos de Datos, y los dems derechos, libertades y garantas constitucionales relacionadas con
la recoleccin, tratamiento y circulacin de datos personales a que se refiere el artculo 15 de la
Constitucin Poltica, particularmente en relacin con la informacin financiera, crediticia,
comercial, de servicios y la proveniente de terceros pases.
No se trata, entonces, de una regulacin etrea o intangible, sino por el contrario de un marco
regulatorio que responde a la necesidad de normativizar el da a da de los negocios comerciales.
Vale la pena resaltar que siempre que una persona se acerque a una entidad financiera a solicitar
un crdito, o cualquier otro servicio, se le solicita brindar una gran cantidad de informacin
relacionada con su estado financiero, o sobre la existencia de otros productos de crdito que
hubiere solicitado, y referencias comerciales y personales, entre otras.
As, entre ms datos se obtengan, y entre mejor calidad refleje tal informacin, se determina una
mejor valoracin del riesgo crediticio. Por otra parte, y en virtud de los deberes de la entidad
financiera de conocer ampliamente a su cliente, para efectos de las normas sobre lavado de
activos, la informacin recabada ser cada vez ms amplia y ms concreta, implicando tambin
conocer el origen de los fondos con los cuales el titular cumplir sus obligaciones financieras o
que sern depositados en las cuentas de diferente ndole, conociendo tambin particularidades
sobre la actividad econmica del cliente y su relacin con otras entidades financieras. Se
construye as un expediente completo sobre el cliente, que ser enriquecido con el paso del
tiempo, de manera constante, reflejndose all todos los cambios, novedades, comportamientos
y decisiones de cada cliente respecto de los diferentes productos, tanto favorables como
desfavorables.
Es palpable que a medida que las empresas van creciendo, es directamente proporcional el
crecimiento de las bases de datos de sus clientes. Por ello, nace la necesidad de regular de
manera expresa el comportamiento de los actores dentro de la cadena de flujo de la informacin
comercial, financiera o crediticia, rgimen que est plasmado en la Ley 1266 de 2008.
1.2. La Ley 1581 de 2011 y el Decreto 1377 de 2013
No obstante fueron implementados y reglamentados los impulsos legislativos ya mencionados, se

haca necesario an que se estableciera un sistema robusto de proteccin que otorgue a los
Titulares de la Informacin mecanismos precisos para salvaguardar sus derechos ante los
Responsables o Encargados del tratamiento de los datos personales, planteando, tambin, la
posibilidad de acudir a la Autoridad de Control. Por esta razn, siguiendo los principios
planteados en las anteriores normativas, se expide la Ley 1581 de 2012 que surge como una
complementacin de la Ley 1266 de 2008, norma esta ltima que se refiere a un mbito muy
preciso de datos y responde a particulares necesidades de los usuarios del sector financiero que
es necesario conservar, y cuyo carcter limitado impone la necesidad de regular el universo de
los tipos de datos no cobijados por la Ley 1266 de 2008.
Como mbito de aplicacin, el artculo 2 de la Ley 1581 de 2012 establece con claridad que Los
principios y disposiciones contenidas en la presente ley sern aplicables a los datos personales
registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de
naturaleza pblica o privada, situacin que impone la necesidad de que las entidades
estatales, de cualquier nivel, observen lo all establecido y adecen su actividad a los principios,
deberes y responsabilidades dispuestos por la citada Ley.
En ese sentido, la Ley 1581 de 2012 regula el derecho al Habeas Data, especialmente en lo
referente al derecho a conocer, actualizar, y rectificar informacin contenida en bases de datos o
archivos, conforme a lo establecido en el artculo 15 y 20 de la Constitucin Poltica de Colombia.
A diferencia de la Ley 1266 de 2008, la presente Ley cuenta con un mbito de aplicacin ms
amplio, puesto que tiene como propsito proteger, no slo los datos financieros, crediticios,
comerciales y de servicios, sino todos los datos en general, estableciendo otros trminos de
clasificacin, tales como informacin personal, reservada, y sensible.
As, con la expedicin de la Ley 1581 de 2012, se pretende introducir al ordenamiento jurdico las
mejores prcticas internacionales en materia de proteccin de datos, fijadas en el Convenio 108
de 1981 del Consejo de Europa, la Directiva Europea 95/46 de 1995, la Resolucin 45/95 de 1990
de la ONU y la Resolucin de Madrid de 2009, con el objetivo de lograr, con esta Ley, la
acreditacin de Colombia como un pas seguro en proteccin de datos y as poder acceder a
mercados internacionales de informacin, sin restricciones. Por ello, de no encontrarse adecuada
la actividad de las entidades estatales, a la normatividad en materia de proteccin de datos
personales, se truncara la posibilidad de acceder al mercado de transferencia de informacin
internacional, proveniente de Estados Unidos, de Pases miembros de la OCDE y de la Comunidad
Europea, pues stos protegen la privacidad de la informacin mediante la medicin de
estndares de proteccin que permitan caracterizar a los pases terceros como Puertos Seguros
de recepcin de informacin.
Como se ha expuesto en apartes anteriores, tanto en la jurisprudencia como en el mbito

internacional se han fijado una serie de principios para la administracin de datos
personales. Estos principios, como se ha resaltado, buscan impedir el uso abusivo y arbitrario de
la facultad informtica. Por ello, la Ley 1581 de 2012, define el marco general o los parmetros
generales que deben ser respetados para poder afirmar que el proceso de acopio, uso y difusin
de datos personales sea constitucionalmente legtimo, entre los cuales se encuentran los
principios de legalidad, finalidad, libertad, transparencia, seguridad, confidencialidad, garanta de
veracidad y calidad de la informacin y lmites en el acceso y circulacin restringida en materia de
tratamiento de datos.
De esa manera, la Ley ha fijado los lmites frente a las actividades de responsables y encargados
del tratamiento de la informacin que permitirn garantizar los derechos de los titulares de los
mismos, propugnando que los datos sean adquiridos, tratados y manejados de manera lcita,
garantizando que el tratamiento de la informacin de los ciudadanos - titulares obedezca a una
finalidad legtima de acuerdo con la Constitucin y la Ley y que slo pueda ejercerse con el
consentimiento, previo, expreso e informado del titular. Los datos personales no podrn ser
obtenidos o divulgados sin previa autorizacin, o en ausencia de mandato legal o judicial que
releve el consentimiento, el cual es adems, calificado, por cuanto debe ser previo, expreso e
informado. Por ello, el silencio del Titular nunca podra inferirse como autorizacin del uso de su
informacin, por lo que el principio de libertad no slo implica el consentimiento previo a la
recoleccin del dato, sino que dentro de ste se entiende incluida la posibilidad de retirar el
consentimiento y de limitar el plazo de su validez.
As, como principio esencial, el tratamiento de la informacin slo podr hacerse por personas
autorizadas por el titular y/o por las personas previstas en la Ley. Adems, se prohbe que los
datos personales, salvo informacin pblica, se encuentren disponibles en Internet, a menos que
se ofrezca un control tcnico para asegurar el conocimiento restringido. Por ello, se debe evitar
que los datos privados, semiprivados, reservados o secretos puedan estar junto con los datos
pblicos, y por tanto, los primeros no pueden ser objeto de publicacin en lnea, a menos que se
ofrezcan todos los requerimientos tcnicos y se debe eliminar cualquier posibilidad de acceso
indiscriminado, mediante la digitacin del nmero de identificacin a los datos personales del
ciudadano- titular.
Asimismo, el marco normativo aplicable requiere que la informacin sujeta a tratamiento por las
entidades del Estado, y tambin por entidades privadas, se deber manejar con las medidas
tcnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros
evitando su adulteracin, prdida, consulta, uso o acceso no autorizado o fraudulento,
garantizando la reserva de la informacin, inclusive despus de finalizada su relacin con alguna
de las labores que comprende el tratamiento, pudiendo slo realizar suministro o comunicacin
de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la
presente Ley y en los trminos de la misma.
Con ocasin en lo anterior, se establece como regla general la prohibicin de someter a

tratamiento los datos sensibles, salvo algunas excepciones a dicha regla, en las que el
tratamiento de tales datos es indispensable para la adecuada prestacin de servicios como la
atencin mdica y la educacin- o para la realizacin de derechos ligados precisamente a la
esfera ntima de las personas como la libertad de asociacin y el ejercicio de las libertades
religiosas y de opinin.
Promulgada la Ley 1581 de 2012, se expide por el Gobierno Nacional el Decreto 1377 de 2013,
cuya finalidad, entre otras, es facilitar la implementacin y cumplimiento de la Ley 1581 de 2012,
reglamentando aspectos relacionados con la autorizacin del Titular de informacin para el
Tratamiento de sus datos personales, los contenidos mnimos de las polticas de Tratamiento de
los Responsables y Encargados, la forma en que se garantiza el ejercicio de los derechos de los
Titulares de informacin, las transferencias de datos personales y el desarrollo del principio de
responsabilidad demostrada frente al tratamiento de datos personales.
En virtud de lo expuesto, y en tanto el Decreto 1377 de 2013 introdujo al ordenamiento jurdico

los elementos y requisitos esenciales cuyo cumplimiento debe verificarse para determinar si el
actuar de cada entidad es adecuado con respecto a la normatividad descrita, es preciso partir de
esta normativa para establecer, con claridad, las cualidades de los sujetos intervinientes en el
flujo de informacin de carcter personal, para identificar los deberes y derechos que la Ley ha
establecido para limitar el actuar de los mismos frente a la administracin de informacin.
En virtud de lo establecido por el mencionado Decreto, adems de ser necesario contar con la
autorizacin para realizar el tratamiento de los datos personales, la cual debe otorgarse a ms
tardar en el momento en que se realice la recoleccin de los datos a ser tratados, debe
observarse la figura de las Polticas de Tratamiento, documento que debe hacerse disponible en
medio fsico o electrnico, escrito de manera clara y sencilla para su compresin, con el objeto
de informar al Titular sobre el tratamiento que se le dar a los datos y la finalidad para la cual es
tratado el mismo. De la misma manera, en tal poltica debern constar los derechos de los
titulares, as como la persona o rea responsable del Tratamiento de los datos personales, ante la
cual se pueden ejercer los derechos legales y presentar las reclamaciones relacionadas con el
derecho al Hbeas Data, y el procedimiento o las maneras para ejercerlos.
Por otra parte, el Decreto 1377 de 2013 seala que los responsables del tratamiento de datos
personales deben estar en capacidad de demostrar, a peticin de la Superintendencia de
Industria y Comercio, Autoridad nica en materia de Proteccin de Datos, que han implementado
medidas apropiadas y efectivas para cumplir con las obligaciones que la Ley les impone,
proporcionales a la naturaleza jurdica de la organizacin empresarial responsable del mismo.
Entre tales medidas se encuentran la obligacin de conservar la copia de la respectiva
autorizacin otorgada por el Titular de manera tal que se pueda verificar con posterioridad,
conservar la informacin bajo las condiciones de seguridad necesarias para impedir su
adulteracin, prdida, consulta, uso o acceso no autorizado o fraudulento e informar, a solicitud
del Titular, sobre el uso dado a sus datos. Asimismo, resaltamos, como elemento integrante de
las medidas apropiadas, el deber de los Responsables de informar a la autoridad de proteccin
de datos cuando se presenten violaciones a los cdigos de seguridad y existan riesgos en la
administracin de la informacin de los Titulares.
La verificacin por parte de la Superintendencia de Industria y Comercio de la existencia de
medidas y polticas especficas para el manejo adecuado de los datos personales que administra
un Responsable ser tenida en cuenta al momento de evaluar la imposicin de sanciones por
violacin a los deberes y obligaciones establecidos en la Ley y en el Decreto 1377 de 2013.
2. PROPSITO DE LA HOJA DE RUTA
Expuesto lo anterior, es necesario resaltar que con el fin de generar un ambiente de correcto y
cabal entendimiento de la normatividad de proteccin de datos personales por parte de las
entidades de la Administracin Pblica y, con el objetivo de atender los lineamientos y mejores
prcticas para que al momento de la creacin, mantenimiento y supresin de bases de datos, las
entidades cumplan la normatividad aplicable con base en las mejores prcticas, se ha elaborado
la presente hoja de ruta para unificar criterios respecto del tratamiento de datos personales por
parte del Estado Colombiano que servir para elevar los estndares internacionales de
transparencia gubernamental y respeto de los derechos ciudadanos- titulares.
De esa manera, hemos elaborado un procedimiento sencillo y expedito al alcance de todo

servidor pblico que haga parte de una Entidad que acte como responsable o encargada de la
informacin administrada en sus bases de datos que almacenen informacin personal.
La aplicacin de la presente Hoja de Ruta parte de la tipologa de datos que administre la Entidad,
as como del proceso de auto-calificacin que cada Entidad haya realizado conforme al formato
de Auto-Diagnstico que se ha dispuesto para determinar el nivel de cumplimiento de la Ley y la
aplicacin de buenas prcticas en proteccin de datos, para entidades pblicas del orden
nacional.
En ese sentido, encontrar a continuacin los pasos o etapas que debe agotar la Entidad, que
deben ser observadas y aplicadas por la Entidad conforme a la proteccin de datos personales en
general, y qu actividades especficas debe aplicar conforme a la tipologa de datos que sta
administre.
3. HOJA DE RUTA PRINCIPAL PARA LA ADMINISTRACIN DE DATOS PERSONALES
POR LAS ENTIDADES DE LA ADMINISTRACIN PBLICA
DEFINICIONES A TENER EN CUENTA

Con el fin de lograr un cabal entendimiento a los pasos y recomendaciones plasmadas en la Hoja
de Ruta que debe aplicar la Entidad, es necesario se tengan en cuenta las siguientes definiciones:
a) Autorizaciones: Consentimiento otorgado por el Titular de la informacin para realizar el

tratamiento de los datos personales, informndole sobre cules datos personales sern
recolectados, as como todas las finalidades especficas para las cuales ser usado el dato
recolectado, obteniendo de esa manera el consentimiento especfico del Titular de los datos.
En ningn caso el silencio podr tomarse como el otorgamiento de una autorizacin.
b) Aviso de Privacidad: Mecanismo subsidiario de comunicacin, verbal o escrita, generada por

el Responsable, acerca de la existencia de las polticas de Tratamiento de informacin que le
sern aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se
pretende dar a los datos personales. El Aviso de Privacidad ser, entonces, la forma de
informar a los titulares sobre la existencia de las polticas de tratamiento cuando no sea
posible ponerlas a disposicin de los titulares, deber que debe cumplirse a ms tardar al
momento de la recoleccin de los datos personales.
c) Base de datos: Se entiende por base de datos o banco de datos, a un conjunto de datos
pertenecientes a un mismo contexto y almacenados sistemticamente para su posterior uso,
por tanto incluye desde bases de datos de personal, empresas de servicios, contratistas y
candidatos hasta sistemas robustos de informacin.
d) Contratos de Transmisin de Datos: El Artculo 25 del Decreto 1377 de 2013 lo define como
el contrato que suscriba el Responsable con los Encargados para el tratamiento de datos
personales bajo su control y responsabilidad, sealando los alcances del tratamiento, las
actividades que el encargado realizar por cuenta del responsable para el tratamiento de los
datos personales y las obligaciones del Encargado para con el titular y el responsable.
e) Cookie: Es un archivo que enva un servidor web al disco duro del internauta que lo visita,
con informacin sobre sus preferencias y sobre sus pautas de navegacin a la hora de
ingresar a internet.
f) Datos de trfico: Son los datos de comunicacin relativos a las actividades en las redes
pblicas, en los que se incluye informacin relativa al origen de la comunicacin, el destino
de la misma, la fecha, la hora, el contenido de la comunicacin, el destino y su duracin,
entre otros.
g) Datos pblicos: Se catalogan como datos pblicos todos aquellos que no son de naturaleza
semiprivada o privada, como tambin los contenidos en documentos pblicos, sentencias
judiciales debidamente ejecutoriadas que no estn sometidas a reserva, y los relativos al
estado civil de las personas. Entre los datos de naturaleza pblica a resaltar se encuentran:
los registros civiles de nacimiento, matrimonio y defuncin, y las cdulas de ciudadana
apreciadas de manera individual y sin estar vinculadas a otro tipo de informacin.
h) Datos personales: La clasificacin de datos personales, hace referencia a cualquier

informacin vinculada o que pueda asociarse a una o varias personas naturales
determinadas o determinables. Se engloban dentro de esta clasificacin todos los datos
tratados dentro de las Hojas de Ruta, como por ejemplo datos sensibles, datos de la salud,
datos laborales, etc.
i) Datos sensibles: El artculo 5 de la Ley 1851 de 2012 seala que se entiende por datos
sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su
discriminacin, tales como aquellos que revelen el origen racial o tnico, la orientacin
poltica, las convicciones religiosas o filosficas, la pertenencia a sindicatos, organizaciones
sociales, de derechos humanos o que promueva intereses de cualquier partido poltico o que
garanticen los derechos y garantas de partidos polticos de oposicin as como los datos
relativos a la salud, a la vida sexual y los datos biomtricos.. Los datos de naturaleza
sensible deben ser asimilados como una tipologa de datos personales.
j) Encargado del Tratamiento: La Ley 1581 de 2012 define al Encargado del Tratamiento como
aquella persona natural o jurdica, pblica o privada, que por s misma o en asocio con otros,
realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento. En
otras palabras, el Encargado es quien realiza el tratamiento de datos personales en virtud de
la delegacin o mandato por parte del Responsable. Entre dichos encargos se encuentran la
obtencin de autorizaciones por parte de los ciudadanos y la verificacin de cumplimiento
de la finalidad en la recoleccin por parte de la Entidad.
k) Entes fiscalizadores: Entidades que en ejercicio de sus funciones legales pueden solicitar
lcitamente a otras entidades los datos personales que obren en sus bases de datos, tales
como la Fiscala General de la Nacin, Contralora General de la Repblica, Unidad de
Informacin y Anlisis Financiero, etc.
l) Funcin legal: Potestad otorgada por el ordenamiento jurdico a la Entidad para poder
realizar el tratamiento.
m) Informacin privada: Informacin que por encontrarse en un mbito privado, slo puede ser
obtenida y ofrecida por orden de autoridad judicial en el cumplimiento de sus funciones, as
como por decisin del titular de los mismos. Es el caso de los libros de los comerciantes, de
los documentos privados, de las historias clnicas o de la informacin extrada a partir de la
inspeccin del domicilio.
n) Informacin reservada o secreta: Informacin que por su estrecha relacin con los derechos
fundamentales del titular, como su dignidad, intimidad y libertad, se encuentra reservada a
su rbita exclusiva y no puede siquiera ser obtenida ni ofrecida ni siquiera por autoridad
judicial en el cumplimiento de sus funciones. Cabe mencionar la informacin gentica, y los
llamados "datos sensibles", como, por ejemplo, la orientacin sexual de las personas, su
filiacin poltica o su credo religioso, cuando ello, directa o indirectamente, pueda conducir a
una poltica de discriminacin o marginacin, o relacionados con la ideologa, la inclinacin
sexual, los hbitos de la persona, etc.
o) Informacin semi-privada: La informacin que presenta para su acceso y conocimiento un

grado mnimo de limitacin, de tal forma que la misma slo puede ser obtenida y ofrecida
por orden de autoridad administrativa en el cumplimiento de sus funciones o en el marco de
los principios de la administracin de datos personales. Es el caso de los datos relativos a las
relaciones con las entidades de la seguridad social o de los datos relativos al
comportamiento financiero de los ciudadanos
p) Mecanismos de defensa de permetro: Son los mecanismos relacionados con firewalls,

sistemas deteccin de intrusos, sistemas de prevencin, software anti-virus/anti-spyware.
q) Mecanismos de PQRs: Los mecanismos atinentes a que los titulares conozcan, actualicen,
rectifiquen y supriman sus datos personales, se refieren concretamente a procedimientos
eficientes de Peticiones, Quejas y Reclamos. Esto quiere decir, mecanismos de atencin al
titular con los que cuenten las entidades, para que los Titulares de la Informacin puedan
presentar solicitudes de peticin, quejas o reclamos respecto a sus datos personales.
r) Polticas de Tratamiento: Documento disponible en medio fsico o electrnico, escrito de

manera clara y sencilla para asegurar su compresin, con el objeto de informar al Titular
sobre el tratamiento que se le dar a los datos y la finalidad para la cual es tratado el dato.
De la misma manera, en tal poltica debern constar los derechos de los titulares, as como la
persona o rea responsable del Tratamiento de los datos personales, ante la cual se pueden
ejercer los derechos legales y presentar las reclamaciones relacionadas con el derecho al
Hbeas Data, y el procedimiento o las maneras para ejercerlos. En la poltica de tratamiento
deben constar, de manera clara, la forma de ejercer, por parte del titular de la informacin,
el derecho a revocar la autorizacin otorgada para el tratamiento, as como los
procedimientos para ejercer el derecho a conocer, actualizar, rectificar, y suprimir el dato.
s) Polticas internas efectivas: Documento cuyo objetivo tiende a demostrar, ante un

requerimiento de la Superintendencia de Industria y Comercio, autoridad nacional en
materia de proteccin de datos personales, la existencia de una estructura administrativa
proporcional a la estructura y tamao de la Entidad, as como la adopcin de mecanismos
internos para poner en prctica estas polticas incluyendo herramientas de implementacin,
entrenamiento, programas de educacin y procesos para la atencin y respuesta a consultas,
peticiones y reclamos de los Titulares, con respecto a cualquier aspecto del tratamiento, as
como la implementacin efectiva de las medidas de seguridad apropiadas, que demuestre
de manera efectiva el cumplimiento de sus deberes como responsable del tratamiento.
t) Responsable del Tratamiento: Siguiendo lo dispuesto por la Ley 1581 de 2012, y el Decreto
1377 de 2013, se denomina Responsable del Tratamiento a toda persona natural o jurdica,
pblica o privada, que por s misma o en asocio con otros, tenga poder de decisin sobre las
bases de datos y/o el Tratamiento de los datos, entendiendo por tratamiento Cualquier
operacin o conjunto de operaciones sobre datos personales, tales como la recoleccin,
almacenamiento, uso, circulacin o supresin. El Responsable define, entonces, la forma en
que se almacenan, recolectan y administran tales datos, definiendo, tambin, los fines
esenciales para los cuales se realiza el tratamiento. Asimismo, est obligado a solicitar y
conservar la autorizacin en la que conste el consentimiento expreso del titular de la
informacin, as como a mantenerlo informado, con suficiencia y claridad, acerca de las
finalidades especficas del tratamiento mismo.
u) Root-kits: Programas tpicamente clandestinos y maliciosos que permiten un acceso

constante y privilegiado a un equipo de manera oculta del control de los administradores.
Corrompe el funcionamiento normal del sistema operativo y de otras aplicaciones. Se utiliza
para esconder algunas aplicaciones que podran actuar en el trasfondo sistema atacado.
v) Tratamiento de datos o de informacin: Cualquier operacin o conjunto de operaciones

sobre datos personales, tales como la recoleccin, almacenamiento, uso, circulacin o
supresin.
1. LA CREACIN DE LA BASE DE DATOS

Paso N 1: Identificar la funcin legal de la Entidad
Como primer paso, y con el fin de aproximar a la Entidad a los principios bsicos del correcto
manejo de informacin personal proveniente de los ciudadanos- titulares, es preciso anotar que
la administracin de los datos personales empieza desde antes de que se comience a recolectar
la informacin de la poblacin.
Obligacin legal
As, debe partirse de un elemento esencial en el da a da de la Entidad: la determinacin de la
funcin que la Ley le ha otorgado.
De esta manera, la funcin legal ejercida por la Entidad, a la hora de realizar cualquier
tratamiento sobre datos personales es crucial, puesto que todo tratamiento debe estar atado a
una facultad otorgada por el ordenamiento que autorice su finalidad.
Mejores prcticas
En ese sentido, antes de iniciar la recoleccin de cualquier tipo de informacin y de crear una
determinada base de datos, se recomienda que la Entidad realice las siguientes actividades:
La Entidad debe, primero, identificar cul es la disposicin normativa que la habilita para
recolectar los datos personales que busca recopilar. Para ello la Entidad debe buscar la
disposicin expresa en la Ley que la habilite para ello, y tomar nota de las expresiones de la
misma.
Una vez se precisada la norma habilitante, esta debe tenerse muy en cuenta a lo largo del
proceso, toda vez que podr ser consultada posteriormente.
Luego, debe analizarse la norma y consultar si en ella se estipula algn procedimiento
especial para la obtencin, almacenamiento y utilizacin de la informacin.
Habindose realizado lo anterior, y teniendo presente y a la mano la norma que otorga a la

Entidad las funciones legales correspondientes, esta tendr que confrontar tales disposiciones
con la finalidad buscada en la recoleccin de datos, como se describe a continuacin.
Cuando una Entidad solicite la divulgacin de informacin que permitan ubicar,

contactar y comunicarse con el ciudadano-titular de la informacin, su entrega y
disposicin se deber hacer mediante la intervencin de un tercero de
Datos de
confianza, independiente e imparcial, el cual verificar que la intervencin en la
ubicacin,
informacin solicitada cumpla a cabalidad con las funciones de la Entidad que
contacto y
solicita la informacin.
comunicacin
En este proceso la Entidad debe velar siempre por el respeto de los derechos
a la honra, al buen nombre, a la intimidad personal y familiar y, al debido
proceso.
Paso N 2: Definir la necesidad y la finalidad en la recoleccin
Obligaciones legales
Teniendo clara la funcin que ha sido otorgada por la Ley a la Entidad para adelantar las acciones
de cara al ciudadano- titular, es necesario tener claro el objetivo de la recoleccin de la
informacin que se pretende recabar. Ntese que el artculo 4 de la Ley 1581 de 2012 trae a
colacin el principio de finalidad, por el cual se entiende que el tratamiento de datos debe
obedecer a una finalidad legtima de acuerdo con la Constitucin y la Ley y que, como se anotar
en apartes posteriores, sta finalidad debe ser informada al ciudadano- titular, quien debe
otorgar una autorizacin, un consentimiento previo, expreso e informado para llevar a cabo el
tratamiento de los datos personales. Esta finalidad legitima los procesos de administracin de la
informacin a recopilar.
Cuando la formulacin de la finalidad verse sobre datos personales de ubicacin,
contacto y comunicacin, la Entidad debe tener en cuenta que sta ser legtima
cuando no existan otras alternativas menos invasivas de la privacidad y siempre
y cuando el tratamiento sea necesario y apropiado para cumplir el objetivo
propuesto con la recopilacin de los datos. Por ello, la Entidad deber estimar si
la prdida de privacidad es proporcional al beneficio obtenido por el ciudadano-
Datos de titular, al brindar sus datos de ubicacin y contacto.
ubicacin,
Por su parte, estos datos slo pueden ser procesados para proveer los servicios
contacto y requeridos por los ciudadanos- titulares, donde su utilizacin estar sujeta a que
comunicacin se provea al ciudadano- titular informacin previa, expresa, clara y suficiente
antes de obtener la correspondiente autorizacin.
Para cualquier otro propsito que disponga la Entidad, se deber obtener la

autorizacin conforme a lo dispuesto en la Ley, momento en el cual se
informarn a los ciudadanos- titulares los mecanismos que posee para retirar la
autorizacin de tratamiento.
Mejores prcticas
Con base en lo anterior, la Entidad debe definir el porqu de la recoleccin. Para ello debe
realizarse un ejercicio interno en virtud del cual la Entidad debe:
Realizar un listado de objetivos. Estos sern los fines para los cuales recolectar la
informacin.
Precisar qu datos se requieren para cumplir tales objetivos.
Realizar un cuidadoso examen acerca de la sensibilidad de los mismos, sealando si estos

constituyen informacin semi-privada, privada, reservada o secreta, sensible, o pblica,
segn las definiciones propuestas al inicio de esta hoja de ruta.
Definir a cul de las finalidades enlistadas se adeca, procediendo a agruparla informacin
que considera necesaria, dependiendo de la finalidad del tratamiento de los datos
personales.
En resumen, la Entidad debe partir de la identificacin de su funcin legal para as contrastar

dichas funciones con el propsito y los motivos por los cuales se realizar la recoleccin de los
datos.
Es de anotar que la finalidad para la recoleccin de informacin delimitar el uso que se dar a
los datos recabados. En otras palabras, no podr la Entidad realizar el tratamiento de la
informacin con miras a una finalidad distinta a aquella que se determine como objetivo para la
recoleccin de los datos personales. Esto, salvo que medien razones de innovacin, desarrollo,
ciencia o estadstica, as como polticas estatales que favorezcan a toda la poblacin.
En los casos en los que existan alertas de epidemia en la poblacin, la Entidad
encargada de recopilar los datos personales deber identificar todos los datos
Datos de la salud que necesitar recopilar para combatir la problemtica. Los datos que se
requieran para combatir la epidemia o cualquier situacin similar, deben estar
justificados dentro de la finalidad y la necesidad de la recoleccin.
Paso N 3: Identificar el lmite temporal para el manejo de la informacin
La finalidad escogida definir tambin el factor de tiempo durante el cual se adelantar el
tratamiento de los datos personales, pues, segn lo requiere la Ley 1581 de 2012, el tratamiento
de la informacin debe realizarse por un periodo acorde a la finalidad y necesidad planteada
anteriormente.
As, el siguiente paso ser detallar de manera consciente, cul ser el periodo de tiempo
razonable al cabo del cual se agotar la finalidad para la cual se recolect la informacin.
Mejores prcticas
Debe anotarse que no se requiere establecer un nmero determinado de das, meses o aos,
pero s es considerada una buena prctica hacer referencia a circunstancias o condiciones que
marquen el agotamiento de la finalidad identificada.
Al momento de formular el lmite temporal para el tratamiento de datos

Datos de
personales de ubicacin, contacto y comunicacin, la Entidad deber formularla
ubicacin,
teniendo en cuenta que en esta tipologa de datos la temporalidad debe
contacto y
obedecer estrictamente al tiempo necesario para prestar el servicio al
comunicacin
ciudadano- titular.
Es necesario resaltar que la retencin injustificada y el tratamiento perpetuo de los datos
personales atenta contra los derechos de los ciudadanos- titulares y puede hacer responsable a
la Entidad, as como al servidor pblico encargado del manejo de dicha informacin, por los
perjuicios que ello genere al ciudadano- titular.
Paso N 4: Identificar a los ciudadanos - titulares de la informacin
Es muy importante que la Entidad conozca y determine la poblacin que va a brindar sus datos
para las finalidades ya identificadas. Esta labor permite saber quines van a aportar sus datos
personales y qu tipo de datos alimentarn las bases de la Entidad.
Mejores prcticas
Lo anterior permitir a la Entidad definir a su vez, si la finalidad para la cual se recopila la
informacin genera algn tipo de beneficio para los ciudadanos- titulares, siendo entonces
necesario que se detallen estos beneficios, as como las situaciones adversas que pueden
derivarse de los mismos. De la misma manera, la Entidad debe tener claridad acerca de la
posibilidad de generar perfiles de los ciudadanos- titulares, a partir de la informacin
recolectada.
Los beneficios detallados, que deben ser informados a los ciudadanos- titulares, pueden ser
exigidos por stos, al paso que deben tambin conocer las situaciones adversas o la posibilidad
de que se les incorpore en un grupo determinado de personas que cumplen caractersticas
comunes.
As, si existen ciertos requisitos, parmetros, calidades o situaciones objetivas verificables para
determinar si deben recabarse datos de un ciudadano- titular especfico, la Entidad debe
elaborar un check-list acerca de tales caractersticas, el cual servir para evitar recabar
informacin innecesaria.
Para estos fines, la Entidad debe tener en cuenta que los ciudadanos- titulares que en el futuro
exijan ser parte de una base de datos no podr negarse injustificadamente el ingreso a las
plataformas de informacin. En otras palabras, a estos ciudadanos- titulares se les debe
garantizar su derecho a consultar la informacin entregada.
Debe tenerse en cuenta que la Ley 1581 de 2012, dispone que el ciudadano- titular tiene el
derecho de comprobar que los datos que circulen sobre l han sido previamente autorizados,
solicitar prueba de ello y revocar su autorizacin, conocer, actualizar y rectificar sus datos
personales en los casos en que estos sean inexactos, incompletos o fraccionados, que induzcan a
error o cuyo tratamiento se encuentre prohibido. Es preciso resaltar que el ciudadano- titular
tiene derecho a exigir que su informacin sea tratada de conformidad con los lmites impuestos
por la Ley y la Constitucin, al paso que, en caso de incumplimiento, existe un recurso efectivo
para lograr el restablecimiento de sus derechos.
Mejores prcticas
Como se ver ms adelante, los derechos del ciudadano- titular deben ser incluidos, enunciados
claramente, dentro de la Poltica de Tratamiento de Datos Personales que debe elaborar la
Entidad.
Paso N 5: Designar al Responsable y Encargado de las bases de datos
La Entidad debe elegir al servidor pblico o rea Responsable de administrar las bases de datos
que se van a crear. No debe confundirse lo anterior con las figuras de Responsable y Encargado
del Tratamiento, las cuales fueron definidas en la parte introductoria de esta Hoja de Ruta
principal.
Mejores prcticas
La seleccin del personal responsable debe realizarse atendiendo a la idoneidad y a las
competencias necesarias para adelantar la labor, para que de esta manera se escojan los
servidores pblicos ms capacitados en el manejo de informacin. Para tales fines, la Entidad
deber:
Evaluar las competencias de cada uno de ellos.

Evaluar la experiencia de los servidores pblicos de cara a la tarea que van a realizar.
Evaluar el conocimiento en materia de seguridad de la informacin, con el fin de escoger los
servidores pblicos que, a futuro, tengan las capacidades suficientes para atender incidentes
de esta ndole.
De esta manera, independiente de la naturaleza del responsable (individual o colectivo) la

Entidad debe crear un rgimen de responsabilidades acorde con las funciones de los servidores
pblicos designados como responsables, as como un reglamento que consagre las consecuencias
de la mala administracin de la informacin.
Adicionalmente se debe tener en cuenta, que si los servidores pblicos

pertenecientes al rea encargada de administrar los datos personales son
Datos de la salud profesionales de la salud, la Entidad deber indicarles a estos servidores que
deben suscribir un acuerdo de confidencialidad sobre los datos personales de
esta naturaleza, indicndole adems las consecuencias por incumplirlo.
Datos acerca del Si se tratan datos personales relativos al honor, la intimidad, la identidad sexual
honor, la y la libre expresin, la Entidad deber indicarles a los servidores pblicos
intimidad, la pertenecientes al rea encargada de administrar esta informacin, que deben
identidad sexual suscribir un acuerdo de confidencialidad, con el fin de que estos datos no sean
y la libre divulgados en perjuicio de los ciudadanos- titulares de la informacin.
expresin
La Entidad debe asegurarse de comunicarle a los servidores pblicos al momento de conferirle la

funcin, la existencia de dichos regmenes de responsabilidades y de sanciones aplicables.
Paso N 6: Formular la Poltica de Tratamiento de Datos Personales
Si se trata de datos reservados, los servidores pblicos designados para la

Datos de la salud administracin de estos datos, no podrn en ningn momento transferir ni
delegar esta funcin, por lo que la Entidad deber velar porque ello no ocurra.
Cumplido lo anterior y para la correcta administracin de datos personales, la Entidad debe

elaborar la Poltica de Tratamiento de Datos Personales, en cumplimiento de la Ley 1581 de 2012
y el Decreto 1377 de 2013, con el fin de que en esta se definan los aspectos esenciales aplicables
a la administracin de ellos. De esta manera se debe proceder a elaborar un documento que
contenga como mnimo los siguientes elementos:
Mejores prcticas
Nombre, razn social, domicilio, direccin, correo electrnico y telfono del Responsable y
del Encargado de las bases de datos personales.
Derechos de los ciudadanos- titulares de la informacin.
Servidor pblico o rea responsable de atender las Peticiones, Quejas y Reclamos que se
presenten ante la Entidad.
Fecha de su entrada en vigencia.
Los servidores pblicos que tendrn acceso a las bases de datos.
El uso de contraseas y procedimientos de autenticacin de quien est autorizado a
consultar las bases de datos.
Si los datos a recolectar son susceptibles de crear perfiles acerca de la poblacin,

deber garantizar que la informacin que pueda ser usada para actos
discriminatorios, sea conocida nicamente por los servidores pblicos
autorizados para dicho fin, garantizando adems, que solamente ciertos
Datos laborales servidores pblicos de la Entidad tengan acceso a ella.
Por este motivo, la Entidad deber garantizar que los servidores pblicos que
tendrn acceso a estas bases de datos ser un grupo bastante pequeo en
comparacin a quienes tendrn acceso a otros tipos de datos.
Mejores prcticas
En la formulacin de la Poltica, adems de incluir los aspectos generales anteriormente

mencionados, debe incluirse tambin un aparte dedicado al Responsable y Encargado de las
bases de datos, en la cual se indique la identificacin de estos servidores pblicos y las
obligaciones y funciones que deben desempear.
Datos de Si la Poltica de Tratamiento est encaminada a administrar datos de ubicacin,

ubicacin, contacto y comunicacin, ser deber de la Entidad incluir en ella el tratamiento
contacto y que se le darn a las cookies, como tambin la informacin que debe contener
comunicacin acerca de las partes involucradas y la finalidad en su uso.
Una vez dentro de la Entidad se hayan definido estos aspectos esenciales de la Poltica de
Tratamiento, se debe proceder a elaborar un Folleto Informativo que ser dirigido a todos los
ciudadanos- titulares, en donde se explique cul es la funcin legal de la Entidad, la finalidad que
busca con la recoleccin de los datos personales y la necesidad de recopilarlos. Este Folleto
Informativo debe ser redactado en un lenguaje claro para que cualquier ciudadano- titular lo
entienda.
Por ltimo, la Entidad debe tener muy en cuenta que la Poltica de Tratamiento tiene una
naturaleza cambiante, en donde es permitido modificar e incluir apartes dentro de esta cada vez
que sea necesario.
Conformacin del Comit especializado
La Entidad proceder a conformar el Comit especializado el cual ser un rgano colegiado

encargado de cumplir funciones consultivas en favor de la Entidad en cuanto a la proteccin de
datos personales. Este Comit deber estar conformado por los servidores pblicos ms
experimentados en los temas de proteccin de datos personales, el Responsable y Encargado de
la informacin, los miembros que componen el rea responsable de la administracin de los
datos personales y los servidores pblicos o sus delegados que dentro de la Entidad se estime
conveniente incluir.
Para efectos de su convocatoria, dentro de la Entidad deber identificarse, primero, a los sujetos
llamados a conformarlo, atendiendo los servidores anteriormente mencionados, para que en las
situaciones que prev esta Hoja de Ruta y en los casos en los que la Entidad lo considere
conveniente, sean convocados al Comit y citados a la mesa de trabajo que se adelantar,
indicando adems, la fecha, hora y lugar en la que sesionar y los temas que sern tratados en la
reunin.
Las sesiones adelantadas por el Comit especializado para la proteccin de datos

personales debern llevarse a cabo dentro de las instalaciones de la Entidad.
Toda vez que al interior de la Entidad se lleven a cabo las reuniones del Comit
especializado, debern elaborarse las respectivas actas y constancias de la reunin.
Entre las funciones que estar llamado a cumplir se encuentra la de rgano de consulta interna
ante las dudas o inquietudes que puedan surgir en la Entidad conforme a la administracin de
datos personales. En sntesis ser el rgano colegiado interno de carcter consultivo que podr
ser convocado cuando la Entidad as lo requiera.
En este sentido, los servidores pblicos dedicados a la administracin de los datos personales
deben reportar al Comit cualquier falencia en las medidas de tratamiento de la informacin
durante la administracin de datos personales y convocarlo para que se genere un espacio de
discusin acerca de los vacos identificados y se incluyan dentro de la Poltica de Tratamiento de
Datos Personales nuevas medidas que permitan hacer frente a la realidad en la administracin de
datos personales.
Cuando se requiera definir el manejo que se dar a la informacin

Datos
clasificada o reservada, la Entidad deber hacerlo en sesiones secretas,
reservados
con participacin nicamente del personal autorizado para ello.
Paso N 7: Elaborar el Reglamento de Seguridad de la Entidad
Luego de definir la Poltica de Tratamiento, es momento de formular la Poltica de Seguridad para
la administracin de datos personales, la cual, siendo igual de significativa que la anterior poltica,
permite disear las medidas de seguridad para la salvaguarda de los datos personales, de cara a
los riesgos inherentes a la administracin de este tipo de informacin.
De esta manera, la Entidad debe preparar las plataformas fsicas contenedoras de la informacin,
ya sea los computadores y equipos de hardware dedicados al almacenamiento de los datos
personales, y los programas y dems aplicaciones software- que garanticen un proceso exitoso
en la recoleccin, manejo y cancelacin de la informacin.
Mejores prcticas
Por estos motivos y antes de elaborar las medidas de seguridad propiamente dichas, se deber:
Destinar los recursos tcnicos y de talento humano especializados para implementar las
medidas de seguridad necesarias para mantener la integridad de los datos personales de los
ciudadanos- titulares.
Capacitar constantemente a los servidores pblicos involucrados en la labor, acerca de los
riesgos a los que se pueden enfrentar los datos personales, implementando sesiones de
capacitacin para ello.
Una vez definidos estos aspectos se proceder a elaborar las polticas de seguridad en la que se
logre identificar los miembros de la gestin, quienes sern los autorizados para consultar
internamente la informacin, restringiendo el acceso a los servidores que no estn habilitados
para ello. Adicionalmente es de suma importancia que luego de sealar lo anterior, la Entidad
adece sus plataformas de informacin para recopilar los datos, siempre formulando estas
polticas de acuerdo a la naturaleza de los datos que se van a recopilar y la forma como estos van
a ser consultados.
Paso seguido, se debern definir los niveles de seguridad en los van a ser clasificados los datos
recolectados, dependiendo de la naturaleza de los mismos y de los riesgos a los que estarn
expuestos:
o Nivel bsico de seguridad para las bases que administran una cantidad baja de datos
personales, como tambin para aquellas que manejan datos que no tienen la calidad de
reservados, privados o sensibles.
o Nivel medio de seguridad para las bases de datos que administran un nmero
considerable de datos y para aquellas que manejen datos que tengan un nivel de
privacidad moderado y no se cataloguen dentro de los niveles de seguridad bsico o alto.
o Nivel alto de seguridad para las bases que administran gran cantidad de datos, como
tambin para aquellas que manejan datos de naturaleza reservada, privada o sensible.
Si los datos personales del ciudadano- titular permiten conocer la identificacin

y la ubicacin de una persona con una filiacin sindical en particular, los niveles
Datos laborales
de seguridad aplicables sern los de clasificacin media o alta, pero nunca
bsica.
Si la naturaleza de los datos a administrar es de naturaleza reservada, el nivel de

seguridad aplicable debe ser el ms riguroso y no podr ser inferior al nivel alto
de seguridad.
Este tipo de polticas debern ser aplicadas con el mayor rigor cuando los
Datos
datos sean administrados por miembros de fuerza pblica o militar.
reservados
Dentro de las medidas que caractericen la proteccin de este tipo de datos,
deben consignarse protocolos especiales para la proteccin de los mismos,
los cuales deben ser diseados por el personal experto en esta materia y
atendiendo la naturaleza secreta de cada dato.
Se debe tener presente que la motivacin y la justificacin que gener la clasificacin de las
bases de datos en distintos niveles de seguridad o en un nivel especifico, deben estar
consignadas dentro de un documento elaborado por los Responsables de la informacin. Sin
embargo, la clasificacin de la informacin segn los niveles de seguridad puede cambiar si la
realidad as lo amerita.
Luego de lo anterior, la Entidad debe implementar medidas de seguridad para la administracin

de los datos personales, tales como contraseas de acceso a la informacin, tarjetas de
seguridad, puertas cerradas para acceder a las plataformas fsicas, almacenamiento de la
informacin de manera cifrada o codificada y en general cualquier medida que sea considerada
conveniente para restringir el acceso a la informacin y al lugar donde esta se encuentre.
Subsiguientemente, se debe definir dentro de las medidas de seguridad los siguientes aspectos:
Protocolos de seguridad dedicados a dar respuesta a las fallas de seguridad del

sistema.
Descripcin de los recursos protegidos.
Medidas, normas, procedimientos, reglas y estndares encaminados a garantizar el
nivel de seguridad exigido para cada base de datos.
Descripcin de los sistemas de informacin aplicados en el proceso de seguridad.
Es muy importante que adems de definir los elementos de salvaguardia de la integridad de los
datos personales, se tenga en cuenta que durante la administracin de la informacin pueden
ocurrir hechos que vulneren los datos almacenados, por lo que es necesario que se definan los
procedimientos para la gestin de incidentes e incumplimientos de las medidas de seguridad, los
cuales deben estar dedicados a contener y recuperar los datos perdidos ante una falla, identificar
a quienes es necesario notificar ante el suceso e investigar y dar respuesta a los incidentes.
Acorde a los datos que se pretenda recolectar, deber reunirse el personal idneo a la labor para
identificar los riesgos a los que se pueden ver expuestas las bases de datos y disear los
protocolos especiales para la mitigacin del riesgo o actuacin ante la ocurrencia de uno de ellos,
con el fin de que si ocurre un suceso negativo, las polticas de seguridad tengan predispuestos los
procesos de contencin y recuperacin, y las medidas para evaluar los acontecimientos y generar
polticas para prevenirlos en el futuro:
Tanto las polticas de seguridad como la Poltica de Tratamiento de Datos Personales admiten
cambios justificados y motivados segn los riesgos y situaciones existentes.
Estas polticas deben contener adems, un registro de sucesos en el que se plasmen todos los
acontecimientos que ocurran en relacin con la base de datos. El responsable y/o Encargado
debe elaborar un informe peridico que indique:
Los acontecimientos del sistema.

El rendimiento de los sistemas de seguridad.
Los problemas que se han presentado.
Las soluciones ideadas a las fallas.
Cuando se logren definir todos los aspectos anteriormente descritos, las polticas de seguridad
formuladas conformarn el Reglamento de Seguridad de la Entidad, el cual debe ser construido
antes de la recoleccin de los datos personales de los ciudadanos- titulares y ser incluido dentro
de la Poltica de Tratamiento de Datos Personales.
Paso N 8: Capacitacin de los servidores pblicos
Mejores prcticas
Posterior a ser definida la Poltica de Tratamiento de Datos Personales e incluirse en esta el
Reglamento de Seguridad de la Entidad, los servidores pblicos que van a ser involucrados en la
recoleccin de los datos, deben ser capacitados con respecto a estas polticas, sin olvidar por
supuesto que entre los mdulos de aprendizaje se debe incluir adems, el rgimen sancionatorio
aplicable ante un incumplimiento y un mdulo dedicado exclusivamente al Cdigo de tica de la
Entidad.
Es importante que al finalizar cada uno de los mdulos, se evale el conocimiento adquirido
por los servidores pblicos en las capacitaciones realizadas.
Para todo lo anterior, deber destinarse el tiempo adecuado para transmitir al servidor los
conocimientos necesarios para administrar la informacin, sin olvidar que esto puede ser sujeto a
evaluaciones peridicas que midan el conocimiento de los servidores pblicos encargados.
Para la administracin de datos de naturaleza estadstica y poblacional, la

Entidad deber capacitar al personal encargado del tratamiento, con el fin de
Datos
brindarles los conocimientos necesarios para identificar los riesgos que se
estadsticos y
puedan generar para la seguridad pblica del Estado o de la Entidad.
poblacionales
Los servidores pblicos, en caso de duda, debern contactarse con entidades
cuyas funciones se encuentren relacionadas con esta clase de riesgos.
Paso N 9: Definir la Poltica de Trazabilidad e Interoperabilidad de Datos Personales
Eventualmente pueden presentarse hechos dentro de la Entidad que ameriten la transferencia

de datos entre entidades, por lo cual es necesario que antes de administrar los datos personales,
se encuentren definidas las polticas que respondan a este tipo de situaciones. Esta Poltica
especial debe contener los protocolos de seguridad dedicados a los procesos de trazabilidad e
interoperabilidad que eviten la ocurrencia de riesgos tales como la adulteracin, perdida,
consulta, uso o acceso no autorizado de los datos, o implementacin fraudulenta de los mismos.
El Responsable y Encargado de las bases de datos se encuentra en la obligacin de identificar los

riesgos que existen en el proceso de interoperabilidad o trazabilidad entre entidades, para lo cual
y en aras de la seguridad de la informacin, deben formularse igualmente protocolos especiales
de seguridad ante la ocurrencia de un riesgo, estos, dirigidos a mitigar y reparar el dao causado
en el transcurso de estas operaciones. En este tipo de casos la Entidad puede cooperar con la
Entidad a la cual se le hayan transferido los datos personales.
Mejores prcticas
Debern implementarse adems, mecanismos para el seguimiento de las actividades que se
realizan con los datos transferidos, un registro de los datos que entran y salen de la Entidad y
en general, mecanismos para el monitoreo de los datos personales.
Debe preverse por parte de la Entidad, la transferencia de datos a otro pas, caso en el cul,
debe tenerse en cuenta que la transferencia de estos datos se podr hacer siempre y cuando
el receptor de la informacin garantice las medidas de seguridad y administracin adecuadas
para el tratamiento, por lo que antes de realizar la operacin, la Entidad exportadora de
informacin debe desplegar las acciones de verificacin de estos aspectos.
Consecuente a ser elaborada la Poltica de Trazabilidad e Interoperabilidad de Datos Personales,
esta deber ser igualmente incluida dentro de la Poltica de Tratamiento de Datos Personales,
toda vez que esta representa la matriz para la administracin de datos personales.
Paso N 10: Elaborar el Aviso de Privacidad y la Autorizacin dirigida al ciudadano- titular
Antes de iniciar la recoleccin de los datos personales por parte de la Entidad, es necesario que
se creen los documentos de Aviso de Privacidad y de Autorizacin, los cuales sern entregados y
suscritos respectivamente al ciudadano-titular de la informacin.
El Aviso de Privacidad tiene la finalidad de comunicar al ciudadano- titular de la informacin

acerca de las Polticas de Tratamiento que componen la administracin de sus datos, la cual debe
incluir como mnimo, segn el artculo 15 del Decreto 1377 de 2013, lo siguiente:
Nombre o razn social y datos de contacto del responsable del tratamiento.

El tratamiento de los datos y la finalidad de la recoleccin.
Los derechos del ciudadano- titular.
Los mecanismos dispuestos por el Responsable para que el ciudadano- titular conozca la
Poltica de Tratamiento de la Informacin y los cambios sustanciales que se puedan
producir en ella.
Mejores prcticas
Debe indicarse tambin la dependencia de la Entidad, los servidores pblicos que tendrn acceso
a sus datos y la razn que los habilita para ello, as como la informacin que le permita al
ciudadano- titular ejercer sus derechos.
Por ltimo y con respecto al Aviso de Privacidad, para dar cumplimiento a la normatividad
pertinente, la Entidad debe planificar de qu forma los ciudadanos- titulares pueden consultar los
cambios en la Poltica de Tratamiento de los datos personales en el futuro y comunicarla al
ciudadano- titular. Deber entonces informar acerca de los mecanismos ya sea va web,
personalmente en las instalaciones de la Entidad, telefnicamente por medio de una lnea de
atencin (call-center), o la que se considere ms conveniente, pero siempre respetando este
derecho del ciudadano- titular.
La Autorizacin del ciudadano permite que ste al ser debidamente informado acerca de la
administracin de sus datos personales, pueda consentir de manera libre, previa y expresa la
recopilacin de estos. Por estos motivos, al momento de recopilar los datos del ciudadano-
titular, se debe informar a este acerca de la finalidad y la necesidad que tiene la Entidad en la
labor y obtener la autorizacin del ciudadano- titular antes de usar sus datos.
Mejores prcticas
Si durante la recopilacin de los datos personales, necesariamente se tiene que involucrar a
un menor de edad o a un incapaz (segn las disposiciones establecidas en el Cdigo Civil)
debe surtirse un procedimiento especial para conseguir su autorizacin, toda vez que debe
contarse con la debida participacin de su representante.
Si al recolectar los datos de un ciudadano- titular, necesariamente debe involucrarse la
informacin de un tercero, se debe pedir autorizacin a este; por lo que la Entidad debe
estar preparada para pedir la autorizacin de toda persona que se vea involucrada en el
proceso y sean requeridos sus datos.
Es de resaltar que la Entidad debe obtener esta autorizacin a ms tardar al momento de
recolectar los datos personales del ciudadano- titular de la informacin, segn el artculo 5
del Decreto 1377 de 2013.
Es muy importante que si el tratamiento de los datos personales se realiz antes del veintisiete
(27) de junio de 2013, el Responsable de los datos se comunique con los ciudadanos- titulares de
la informacin con el fin de refrendar las autorizaciones exigidas por la Ley y poder continuar con
el tratamiento de sus datos. No obstante si luego de intentar refrendar la autorizacin por parte
de estos ciudadanos- titulares, estos no solicitan la supresin de sus datos personales dentro de
un trmino de treinta (30) das, la Entidad puede seguir haciendo uso de estos.
La Entidad puede prescindir de la autorizacin en los casos en los que la Ley se lo permita, por
ejemplo ante urgencias mdico-sanitarias, en virtud de su funcin pblica, un mandato judicial o
legal que releve el consentimiento, segn lo permite la Ley 1581 de 2012 en su artculo 4, literal
c y especficamente en el artculo 10.
Paso N 11: Descripcin de las bases de datos personales
Mejores prcticas
Antes de desplegar los procesos de obtencin de la informacin, es necesario que dentro de la
Entidad se describa en detalle la base de datos que va a contener la informacin, indicando como
mnimo:
La Poltica de Tratamiento que se aplicar a la base de datos.
La naturaleza de los datos que contendr.
El volumen y la cantidad de datos que se estima almacenar.
El responsable de la base de datos y el encargado designado para administrarla.
El tiempo hasta el cual esta base de datos va a ser usada.
La manera cmo se van a recolectar los datos personales de los ciudadanos- titulares.
La naturaleza de los datos recabados indicando si existen datos sensibles.
La especificacin del rea o dependencia que se encargar de manera directa del
tratamiento.
El contexto en el cual se recolectarn los datos que all se contendrn.
La existencia de algn requerimiento legal que establezca la necesidad de compartir la
informacin con otra Entidad de la Administracin Pblica o con entidades privadas.
Conforme a la descripcin de la base de datos reservados, ser necesario incluir

adems los siguientes elementos:
Quienes (reas o servidores pblicos) podrn tener acceso a dichos datos.
Datos El procedimiento que certifique la idoneidad de la persona que vaya a tener
reservados acceso a esta informacin.
Las formalidades y limitaciones a su acceso.
Las personas a quienes definitivamente se les negar el acceso.
Las medidas necesarias para proteger el material clasificado.
Se debe recordar que las bases de datos personales recopiladas por la Entidad, no pueden
mezclarse en ningn momento con los datos propios de la Entidad, es decir que las bases de
datos personales deben ser minuciosamente individualizadas y separadas de los dems datos
administrados.
La descripcin de las bases de datos personales debe ser consignada en un rotulo que sea visible
antes de consultar las bases de datos de manera interna. En este aspecto la Entidad estimar la
manera ms apropiada para incluir la descripcin de los datos personales, la cual deber
incluirse a manera de portada antes de acceder a la informacin de las bases.
Si los datos son de naturaleza reservada, la base de datos que los vaya a
Datos contener debe ser descrita de tal manera que permita indicar fcilmente su
reservados contenido, teniendo en cuenta que esta descripcin no debe vulnerar la reserva
de estos datos.
2. LA RECOLECCIN DE LA INFORMACIN
Paso N 12: Preparar el proceso de recoleccin de los datos personales
Lo primero que se debe aclarar, es la manera como se va a llevar a cabo el proceso de
recoleccin, en el que se debe priorizar, al momento de recolectar los datos personales, la
Autorizacin que el ciudadano-titular de la informacin debe suscribir, como tambin el Aviso de
Privacidad que debe ser entregado a este una vez finalice el procedimiento.
Mejores prcticas
Durante el proceso de recoleccin de los datos, la Entidad debe elaborar un plan estratgico que
permita determinar la manera como se va a recolectar la informacin, el tiempo estimado de la
obtencin y si el procedimiento se har de manera personal ante el ciudadano- titular de la
informacin o a travs de medios telefnicos, electrnicos, entre otros.
Si existe algn tipo de inquietud o duda dentro de la Entidad para definir los procedimientos
de recoleccin de los datos personales, se debe proceder a convocar el Comit especializado
para dirimir las dudas. Este Comit podr ser citado las veces que sea necesario.
Si la Entidad eligi un medio de comunicacin verbal, debe guardar el soporte de la
Autorizacin y del Aviso de Privacidad mediante una grabacin, y si decide elegir mtodos
escritos, ya sea electrnicos o fsicos, deber registrar todas las autorizaciones y los avisos en
un fichero que almacene estos soportes.
La Entidad debe prever los casos en los que pueda requerir informacin adicional de los
ciudadanos- titulares, para lo que es necesario se analicen los supuestos y se desplieguen los
mecanismos para retomar el contacto con el ciudadano- titular de los datos. Estos supuestos
deben contar igualmente con los procedimientos de autorizacin y de aviso de privacidad
pertinentes.
La Entidad debe procurar que los soportes y toda la informacin que tenga sea digitalizada
con el fin de administrarla de manera ms ordenada y eficiente. De no ser posible, se deben
implementar procedimientos de archivstica con el fin de que los expedientes y documentos
relativos al proceso sean registrados y almacenados de manera adecuada.
Tambin es necesario que al momento de recolectar los datos personales de la poblacin, existan
protocolos especiales de seguridad aplicables al proceso de obtencin, en el cual se garantice
que no existir intromisin alguna en la labor. En el momento en que se genere comunicacin
con el ciudadano- titular, se debe informar a ste sobre la existencia de dichas medidas con el fin
de que las tenga presente y participe en la seguridad de sus datos personales.
Cumplidos las anteriores instrucciones, es posible proseguir a recopilar los datos identificados,
teniendo en cuenta en todo momento como parmetro de la recoleccin, que la obtencin de
los datos debe ser interpretada a la luz de la finalidad y la necesidad que motiv el proceso, y a la
funcin legal que le permite a la Entidad realizar dicha labor.
Paso N 13: Entablar contacto con el ciudadano- titular para la recoleccin
Respecto de la informacin de carcter estadstico de la poblacin, la Entidad al

Datos momento de contactarse con el ciudadano- titular para adelantar el proceso de
estadsticos y obtencin de los datos personales, deber abstenerse de recoger informacin
poblacionales de ciudadanos- titulares que puedan ver comprometida su vida, su integridad
fsica o su libertad, con ocasin en la recoleccin.
Mejores prcticas
Definido lo anterior, la persona encargada por la Entidad para adelantar la labor, debe
abstenerse de usar mecanismos secretos de recoleccin de informacin, como por ejemplo
grabadoras ocultas, y en general todo mecanismo que recolecte informacin innecesaria o de
manera secreta y fraudulenta en contra de la voluntad del ciudadano- titular.
Si la informacin a recolectar es requerida al ciudadano- titular de la informacin

Datos laborales por medio de su hoja de vida, la Entidad no podr obligarlo durante el proceso,
al suministro de una fotografa en el documento.
Al momento de realizar la entrevista o proceso de recoleccin de datos personales, se debe

informar verbalmente al ciudadano- titular acerca de toda la informacin relevante, la cual debe
estar contenida adems, en el Aviso de Privacidad. Posteriormente, deben darse indicaciones
especiales acerca de la informacin que le ser solicitada y la manera en la cual deber
suministrarla.
Al comunicarse con el ciudadano- titular el servidor pblico designado debe implementar un

lenguaje sencillo y claro, que expresado amablemente permita resolver cualquier duda que el
ciudadano- titular tenga en el momento de la obtencin de sus datos.
Si durante el proceso de recoleccin se va a hacer uso de una grabadora de voz o

multimedia, el encargado de recopilar la informacin debe contar con el consentimiento del
ciudadano- titular antes de empezar el proceso e impartir indicaciones acerca de la
composicin de la obtencin de datos. Estos dispositivos deben situarse en un lugar visible,
con el fin de generar mayor confianza en el ciudadano- titular.
Durante la recoleccin de los datos personales el servidor pblico encargado de recopilar los
datos personales del titular de la informacin, debe obtener la suscripcin de la Autorizacin por
parte del ciudadano- titular y darle el Aviso de Privacidad, luego, debe entregarle a este una
copia de su Autorizacin y del Aviso de Privacidad para que este conozca los derechos que le
asisten y dems informacin all contenida.
En el caso que se pretenda recolectar datos personales relativos a la historia

clnica de los ciudadanos- titulares, esta informacin no podr ser obtenida sin
Datos de la salud
previo consentimiento del ciudadano- titular de la informacin, o por medio de
mandato judicial o legal que releve este consentimiento.
Si la Entidad va a administrar datos personales, relativos a la ubicacin, contacto

y comunicacin, deber pedir en todo momento autorizacin de los usuarios
para el tratamiento de los datos de trfico de comunicacin y datos de
Datos de
localizacin. Sin embargo, si el tratamiento se realizar en razn a una
ubicacin,
comunicacin que el ciudadano- titular ha entablado con la Entidad, se podr
contacto y
prescindir de dicha autorizacin.
comunicacin
En caso que el usuario niegue la autorizacin para la utilizacin de una Cookie, la
Entidad deber informar de forma clara, expresa, suficiente y oportuna las
consecuencias derivadas de su negacin.
Al momento de entregar copia de la Autorizacin y el Aviso de Privacidad, el encargado de
suministrarlos debe informar brevemente de qu constan e indicar lo qu debe hacer el
titular de los datos para efectos de cualquier duda, inquietud, peticin, queja o reclamo que
tenga en el futuro.
Finalmente, al terminar la recoleccin de informacin, si el ciudadano-titular expresa algn tipo

de comentario u opinin a la recopilacin, estos deben ser registrados. Cuando se recojan dichas
opiniones o comentarios, estos deben almacenarse junto a la descripcin de los sucesos y
circunstancias que los acompaaron, ya que esta informacin tambin se considera dato
personal. Su obtencin debe contar tambin con la autorizacin y el consentimiento del
ciudadano- titular.
Paso N 14: Crear copias de seguridad (back ups)
Mejores prcticas
Luego de haber recopilado los datos personales de la poblacin, con el fin de mitigar el riesgo
operativo al que se encuentran expuestas las bases de datos, la Entidad debe proceder a crear
una copia de seguridad de todos los datos personales que recolect y almacenarla en una
plataforma o lugar diferente al que se encuentra localizada la informacin original.
A estas copias de seguridad les ser aplicable las mismas medidas de seguridad a las aplicadas a
las Bases de Datos objeto de tratamiento.
Paso N 15: Registrar la Base de Datos
Obligacin legal
Cumplidos los anteriores pasos, la Entidad debe proceder a incluir la Base de Datos creada dentro
del Registro Nacional de Bases de Datos manejado por la Superintendencia de Industria y
Comercio, en el cual se debe indicar:
La finalidad y los usos del fichero.

Los ciudadanos o colectivos de los cuales se recopil informacin.
Una descripcin bsica de los tipos de datos recopilados.
Los rganos de administracin y el rea encargada dentro de la Entidad para la
administracin de la base de datos.
La manera como el ciudadano- titular puede ejercer el derecho a cancelar, rectificar
o modificar sus datos personales.
Las medidas de seguridad aplicable a la base de datos.
Es de gran importancia que al momento de registrar la Base de Datos, la Entidad aporte a la

Superintendencia de Industria y Comercio la Poltica de Tratamiento de Datos Personales
adoptada.
Paso N 16: Autoevaluar el proceso de apertura y recoleccin de los datos personales
Mejores prcticas
Al finalizar los anteriores pasos se debe efectuar dentro de la Entidad la socializacin de lo
transcurrido, indicando las dificultades y falencias que pudieron presentarse. El Comit
encargado debe citar a todos los miembros participantes de la labor y al Responsable y
Encargado de los datos personales, con el fin de contar con su participacin en la autoevaluacin.
Si de all surge la necesidad de modificar la Poltica de Tratamiento, esta debe evaluarse y
proceder a realizar la modificacin pertinente.
3. MANEJO DE LA BASE DE DATOS

Paso N 17: Estructurar los canales de atencin al ciudadano
Una vez recolectada la informacin, la Entidad debe tener en cuenta que durante el proceso de
recoleccin de los datos personales y despus de este, se debern atender las solicitudes de los
ciudadanos- titulares conforme a sus datos personales, para lo cual debe preparar a sus
dependencias a brindar el adecuado servicio al ciudadano, de tal manera que este pueda
consultar en cualquier momento:
o La finalidad de la recoleccin de datos.

o Los datos personales que la Entidad tiene de este.
o Los medios para introducir sus datos personales en los casos en que sea
conveniente.
o La manera para contactarse con el responsable de sus datos.
En todo caso, cuando la informacin que haya sido recolectada versa sobre
datos personales de naturaleza laboral, la Entidad debe tener en cuenta que si
ha recopilado informacin que pueda ser discriminatoria en contra del
ciudadano- titular de la informacin, ya sea por razones de raza, nivel
socioeconmico, tendencias ideolgicas, econmicas, religiosas, polticas o
sindicales, deber restringirse el acceso a esta informacin, los servidores
pblicos que por estricto cumplimiento de sus funciones podrn acceder a esta
Datos laborales
informacin. Adicionalmente se deber restringir el acceso a estos datos por
medios remotos y en caso que el titular desee conocerla, podr hacerlo
nicamente ante las oficinas de atencin de la Entidad.
Cuando se cuente con informacin relativa al estado de salud del ciudadano-

titular de la informacin, estos datos debern someterse al mismo proceso de
restriccin.
Mejores prcticas
En estas oficinas de atencin se debern incluir formatos y proformas para que los ciudadanos-
titulares puedan elevar ante la Entidad peticiones, quejas y reclamos (PQRs) en ejercicio de sus
derechos. En estos casos, la Entidad debe verificar al momento en que un ciudadano- titular exija
un derecho o prerrogativa sobre algn dato de naturaleza personal, su identidad y la legitimacin
que lo habilita para ello.
Cuando ello ocurra, la Entidad deber otorgarle al ciudadano-titular de la informacin, el Folleto

Informativo indicado en el Paso N 6 de la presente Hoja de Ruta.
Cuando los ciudadanos- titulares de la informacin hayan proporcionado datos a

Datos la Entidad con fines estadsticos o poblacionales, o referentes a registros
estadsticos y administrativos u otros relativos al estado civil de los ciudadanos, estos no
poblacionales podrn ser difundidos en forma individualizada, ni de cualquier otra manera que
permita la identificacin de los titulares de la informacin.
Paso N 18: Permitir al ciudadano- titular consultar sus datos personales
Instauradas las oficinas de atencin, el ciudadano- titular puede acudir a estas con el fin de
consultar la informacin personal que reposa en las bases de datos de la Entidad, por tal motivo
deber permitir que el ciudadano- titular de la informacin acceda y consulte sus datos
personales, disponiendo de trmites adelantados directamente ante la Entidad o de manera
remota, ya sea telefnicamente, va web o e-mail, o contactndose con el Responsable o
Encargado de la informacin.
Datos acerca del No obstante si la naturaleza de los datos est relacionada con el honor, la
honor, la intimidad, la identidad sexual y la libre expresin de las personas, esta
intimidad, la informacin no podr ser divulgada por medio de dispositivos de escucha o de
identidad sexual filmacin, ni por medio de aparatos pticos o de cualquier otro tipo que
y la libre permitan que servidores pblicos, o en general personas no autorizadas, lleguen
expresin a conocer su contenido.
Mejores prcticas
o En este proceso, el ciudadano- titular de la informacin puede solicitar ser informado
acerca de la Poltica de Tratamiento de Datos Personales.
o Igualmente se debe contar con los mecanismos que permitan a la Entidad corroborar
la identidad del consultante, previniendo fraudes o suplantaciones.
Si al revelar informacin sobre el ciudadano- titular que pidi acceder y consultar sus datos se
requiere a su vez revelar informacin sobre un tercero, se deber haber obtenido la autorizacin
de ste para revelar la informacin.
Si la Entidad est administrando datos de naturaleza laboral que versan sobre la
existencia y negociacin de un conflicto laboral colectivo, como por ejemplo la
negociacin que existe entre empleador y trabajadores en virtud de un pliego de
peticiones sindical, deber permitir que tanto los trabajadores agremiados como
todo aquel trabajador que se vea involucrado dentro de esta relacin, puedan
consultar y acceder a esta informacin.
Con base en ello, la Entidad desplegar los protocolos de identificacin de

estos sujetos con el fin de que se logre acreditar su inters en el conflicto
laboral y les sea permitido consultar esta informacin, restringiendo
igualmente, el acceso a servidores pblicos, y en general a cualquier tipo de
Datos laborales personas, que no tengan inters alguno en la relacin.
Estos mecanismos sern aplicables tambin, en los casos en que el

ciudadano- titular de la informacin sea un trabajador que desea conocer su
historial laboral.
Por otro lado, cuando la informacin a la que desea acceder el ciudadano- titular
de la informacin sea relativa a su seguridad social en temas pensionales, la
Entidad estructurar el suministro de la informacin de tal manera que pueda
conocer de manera ordenada y entendible el estado de sus cuentas, las semanas
cotizadas, los montos aportados, los tiempos restantes para obtener una
pensin, etc.
Cuando se permita el acceso al ciudadano- titular de la informacin por parte de la Entidad, esta
debe ser brindada de forma gratuita, a menos que el ciudadano eleve ms de una vez la misma
consulta, en un periodo corto de tiempo, es decir de manera reiterada en el correr de dos meses,
caso en el cual deber exigirse el pago de un valor equivalente al costo de la reproduccin y
envo al solicitante, que en ningn momento podr representar un lucro en favor de la Entidad.
Mejores prcticas
En todo momento, el ciudadano-titular de la informacin debe tener la posibilidad de
actualizar por s mismo los datos personales. Para ello, la Entidad dispondr de los canales
para que el sujeto pueda realizar esa labor sin necesidad de interponer una peticin.
Datos acerca del Cuando los datos personales versen sobre el honor, la intimidad, la identidad
honor, la sexual y la libre expresin del ciudadano- titular de la informacin, la Entidad
intimidad, la debe facilitar los mecanismos para que el ciudadano pueda corregir la
identidad sexual informacin que no sea exacta, real o adecuada, teniendo en cuenta que no
y la libre puede pedir soportes para demostrar estas situaciones.
expresin
Es de resaltar que si los datos personales del ciudadano- titular se

Datos de la
encuentran contenidos dentro de la historia clnica del mismo, estos no
salud
podrn ser consultados por medios masivos o remotos, como por
ejemplo internet.
Paso N 19: Atender las Peticiones, Quejas y Reclamos (PQRs) dirigidas a crear, modificar, rectificar
o actualizar los datos personales.
Internamente se destinar la estructura administrativa dirigida a la atencin de las PQRs,
proporcional al tamao de la Entidad. De esta manera, cuando el ciudadano- titular acuda a la
Entidad a presentar un requerimiento, esta debe ofrecer los formatos correspondientes, ya sea
en versin fsica o electrnica, para que los ciudadanos- titulares de la informacin lo diligencien
y puedan formular sus peticiones, quejas o reclamos de manera sencilla. Este formulario deber
pedir, como mnimo:
La identificacin del ciudadano- titular.

Los datos sobre los cules versa su solicitud.
Los datos de contacto.
La motivacin que da origen a la solicitud.
Los documentos que soportan su peticin, queja o reclamo.
Si el diligenciamiento del formulario no se hizo de manera correcta o se hizo de manera

incompleta, deber informrsele al ciudadano- titular dicha situacin dentro de los cinco (5) das
subsiguientes a la recepcin, con el fin que este corrija las fallas. Debe indicarse las razones por
las cuales requiere corregir su solicitud y la manera como debe hacerlo.
Mejores prcticas
Una vez remitida la peticin, queja o reclamo, en un trmino no mayor a dos (2) das, se debe
proseguir a incluir dentro de los datos sobre los que verse el requerimiento, la leyenda peticin-
queja-o -reclamo en trmite siempre distinguiendo el tipo de comunicacin que entabl el
ciudadano.
Esta leyenda podr ser borrada en el momento en que culmine y sea atendida la PQR.
Posteriormente, la Entidad contar con un trmino mximo de quince (15) das para responder el
acto. Este trmino podr prorrogarse pero nunca por ms de ocho (8) das adicionales al primer
trmino. Cuando opere esta prrroga la Entidad deber avisar al ciudadano- titular sobre dicho
suceso, indicando las razones que justifiquen esta decisin. En todos los casos, la Entidad deber
abstenerse de prorrogar este trmino a menos que realmente sea necesario.
Durante el trmite de la PQR la Entidad deber categorizar los requerimientos segn su

antigedad, los tiempos de respuesta, el tipo, las veces en las que se ha presentado y dems
aspectos que individualicen cada una de las peticiones, elevadas por la ciudadana.
Si el ciudadano- titular desea actualizar sus datos personales, la Entidad debe atender a su
solicitud por cualquier medio, permitiendo que el ciudadano indique las razones por las cuales
elev su requerimiento, a lo cual deber proceder a:
o Crear, si la informacin no haba sido consignada dentro de la base de datos.

o Rectificar, si la informacin consignada era errada.
o Actualizar, si la informacin consignada no se encuentra vigente.
Si la PQR formulada por el ciudadano no tiene como finalidad ninguna de las pretensiones
aqu mencionadas, sino la de suprimir los datos personales bajo pedido, ser necesario
remitirse al Paso N 28 donde se explican los procedimientos pertinentes a este tipo de
requerimiento.
Mejores prcticas
Si al finalizar el proceso resulta que la Entidad debe incluir nuevos datos personales en sus
bases, debe proceder a cumplir con las instrucciones descritas en la Etapa de Recoleccin de
la Informacin, toda vez que all se consignan obligaciones en favor de los derechos de los
ciudadanos- titulares de la informacin.
Al culminar el trmite, internamente la Entidad deber registrar dentro de las bases de datos, los
acontecimientos ocurridos que la hayan modificado por medio de una anotacin que ser
incluida en esta.
Paso N 20: Actualizar de oficio las bases de datos
La Entidad debe brindarle al ciudadano- titular los medios idneos para que este pueda actualizar
su informacin cuando ello de lugar. De igual forma, la Entidad debe velar por actualizar
peridicamente los datos de los ciudadanos, operacin que deber llevarse a cabo segn los
tiempos preestablecidos y la naturaleza del dato.
Cuando la Entidad administre datos relativos a la situacin judicial y penal de los

ciudadanos, deber contar con los mecanismos necesarios para que de oficio, se
Datos acerca del
actualice la informacin contenida en las bases de datos.
honor, la
intimidad, la
De esta manera, debe proceder a vigilar el estado de las sentencias que
identidad sexual
modifican la situacin jurdica del ciudadano- titular. En el caso que una persona
y la libre
haya sido condenada por un delito, la Entidad deber estar atenta a la
expresin
culminacin de la condena impuesta, y proceder a corregir su informacin en los
supuestos en los cuales la persona haya sido absuelta.
Paso N 21: Calificacin del proceso por parte del ciudadano- titular
Mejores prcticas
Cuando finalice el proceso de atencin de solicitudes para la actualizacin de los datos
personales, se debe pedir al ciudadano- titular que califique el servicio prestado. Para dar
cumplimiento a ello, la Entidad debe implementar un procedimiento de calificacin al finalizar la
atencin al ciudadano en el que este, si desea hacerlo, calificar la atencin brindada por el
servidor pblico encargado, de la siguiente manera: excelente, muy bueno, bueno, regular o
malo, dependiendo de la percepcin que haya tenido en el proceso.
La calificacin que el ciudadano- titular le otorgue al proceso debe ser annima y contabilizada
de tal manera que al finalizar el periodo se pueda obtener un ponderado de las calificaciones
emitidas por la ciudadana, ello con el fin de prevenir una atencin imparcial en contra del
ciudadano que otorg una calificacin negativa.
Paso N 22: Cambio de finalidad en el tratamiento de la informacin
Durante el tratamiento de los datos personales administrados por la Entidad, puede surgir la
necesidad de utilizar los datos en otra finalidad, a lo que la Entidad deber pedir nuevamente la
autorizacin a los ciudadanos- titulares para que se pueda realizar un nuevo tratamiento de la
informacin de forma legtima.
Paso N 23: Interoperar con otras eentidades de la Administracin Pblica
Esta operacin permite que la Entidad pueda compartir informacin con otras entidades, sean de
naturaleza pblica o privada. Esta operacin podr llevarse a cabo por la Entidad de manera
sistemtica o por rutina, al haber establecido una finalidad mediante un contrato o una norma
legal, o excepcional en los casos en que exista una situacin especial que as lo requiere, como
por ejemplo en los casos en los que medie una orden judicial.
Si la Entidad que comparte informacin con otra Entidad, maneja datos de

Datos de ubicacin, contacto y comunicacin, se encontrar autorizada a realizar esta
ubicacin, operacin slo para la prevencin y control de fraudes en las comunicaciones y
contacto y el cumplimiento de las disposiciones legales y regulatorias que as lo permitan,
comunicacin por lo que la Entidad deber identificar la funcin legal que le permita
especficamente interoperar.
Paso N 24: Suscribir el Contrato de Transmisin de datos
Antes de transferir informacin a otra Entidad de manera sistemtica, se deben considerar las
consecuencias legales de hacerlo, como tambin la existencia de algn deber de confidencialidad
para con el ciudadano- titular de la informacin. Si la Entidad desea transferir datos a otra, debe
primero determinar si cuenta con la habilitacin dada por su funcin legal; esto lleva a la Entidad
a verificar si la transferencia se llevar a cabo en ejercicio de las funciones otorgadas por la
legislacin o por una norma que as lo habilita.
Mejores prcticas
Por este motivo, antes de suscribir el contrato de transmisin, dentro de la Entidad deben
debatirse los siguientes cuestionamientos:
Qu objetivo se busca?
Qu informacin necesita ser transferida sin que sea excesiva para su finalidad?
Quin requiere acceder a los datos transferidos?
La funcin legal de la Entidad receptora, cubre el tratamiento de los datos personales?
Cmo debe ser compartida la informacin?
Qu riesgo representa para el ciudadano- titular la operacin? Qu posibilidad de dao
existe en contra de este?
Podra lograrse el objetivo planteado, sin transferir la informacin?
Una vez respondidas estas preguntas, la Entidad tendr la informacin suficiente para sustentar
la celebracin del contrato de transmisin de datos que va a ser suscrito con la otra Entidad.
Mejores prcticas
En todo caso, la Entidad deber abstenerse de transferir datos que se encuentran en
trmite, ya sea bajo una peticin, queja o reclamo, es decir que tengan inscrita la leyenda:
Peticin, queja o reclamo en trmite; tampoco podr transferir los datos personales en los
casos en los que ello no se encuentre permitido.
Teniendo en cuenta lo anterior, es posible proceder a celebrar el contrato de transmisin de

datos con la Entidad receptora de los datos personales, indicando en este, segn lo dispone el
artculo 25 del Decreto 1377 de 2013, los siguientes elementos:
Las partes que van a suscribir el contrato.

Las razones que dieron origen a la transmisin.
Las instrucciones formuladas por la Entidad Responsable que la Entidad Encargada debe
seguir.
Los datos personales sobre los cuales se realiza la operacin.
Las salvaguardas de seguridad aplicables a las bases de datos.
Las medidas de confidencialidad aplicables a los datos transferidos.
Los documentos anexos que garanticen que la Entidad receptora cumple con las medidas
de seguridad y confidencialidad.
El rea encargada en la Entidad receptora de administrar los datos personales.
El perfil de los servidores encargados de esa labor.
Si se van a transferir datos de naturaleza sensible, estos deben ser encriptados.
La referencia donde se exprese la aceptacin por parte de la Entidad receptora de los
datos personales a transmitir.
El sealamiento de algn rgimen especfico de eliminacin o retencin de datos.
La fecha y firma de los suscriptores.
Una vez suscrito el contrato y transferidos los datos, si la Entidad remitente evidencia que la
receptora de la informacin est incumpliendo las garantas otorgadas para salvaguardar la
seguridad e integridad de los datos personales, podr suspender la transferencia de informacin,
y reportar el suceso a la Superintendencia de Industria y Comercio.
Cualquier transferencia de datos y en general cualquier ingreso o salida de ellos se deben

registrar, indicando qu informacin se ha compartido, cuando, a quin y con qu
propsito.
Paso N25: Gestionar incidentes de seguridad
Mejores prcticas
Si durante el manejo de datos personales ocurren fallas de seguridad que pongan en peligro los
derechos de los ciudadanos- titulares de la informacin, ya sean fraudes, robos de identidad o
suplantaciones, entre otros, la Entidad debe desplegar los protocolos de seguridad y de
respuesta preestablecidos para combatir la situacin. Por ello, en el momento en que surja la
noticia acerca de un presunto incidente de seguridad, lo primero que debe hacer la Entidad es
investigar los sucesos y esclarecer la ocurrencia del mimo.
Luego, si de la investigacin hecha por la Entidad resulta el descubrimiento de un incidente, debe

desplegar con urgencia, junto al rea especializada, los planes de respuesta al incumplimiento de
las medidas de seguridad, para que una vez evaluadas las posibilidades y las soluciones al
problema, estas sean aplicadas con el fin de mitigar y reparar los daos ocasionados por la falla
de seguridad.
En el caso en el que el incidente haya afectado los datos acerca del honor,
la intimidad, la identidad sexual y la libre expresin del titular de la
Datos acerca informacin, la Entidad debe reparar al particular que pudo ser agraviado.
del honor, la
intimidad, la La Entidad deber contribuir, mediante la recomendacin de apoyos
identidad psicolgicos u otros mecanismos adecuados, a la reparacin de los daos
sexual y la libre morales causados a una persona en los casos en los cuales se haya
expresin concretado un riesgo derivado de la administracin de los datos relativos
al honor, la identidad sexual, la intimidad y la libre expresin de los
ciudadanos.
Finalmente y tras controlarse el incidente, la experiencia obtenida en este proceso debe ser
consignada dentro de las polticas de seguridad de la informacin y aportadas dentro de los
procedimientos de contencin y respuesta ante incidentes de seguridad, la cual debe ser
implementada en los casos en los que lo ocurrido haya sido un incidente imprevisible por la
Entidad.
Paso N 26: Notificar el incumplimiento de las medidas de seguridad
Mejores prcticas
Cuando ocurra el incidente de seguridad que ponga en peligro la integridad de los datos
personales y su privacidad, o pueda generar algn riesgo a los derechos de los ciudadanos-
titulares de la informacin, la Entidad deber proceder a notificar estos sucesos a los ciudadanos
interesados, esto, concomitante a la gestin del incidente.
En este sentido, es obligacin de la Entidad notificar a la Superintendencia de Industria y

Comercio y a las autoridades competentes el tipo de suceso, as como al ciudadano-titular de la
informacin.
Si ocurren incidentes que puedan afectar la intimidad del ciudadano tales como intromisiones en
alguno de los sistemas de seguridad, fugas de informacin, usos no adecuados, accesos no
autorizados, alteraciones de los datos personales, revelaciones no autorizadas, destruccin de los
datos, suplantacin del ciudadano- titular de los datos o cualquier tipo de fraude en los que se
vean involucrados los datos personales, ser necesario notificar a los sujetos nombrados
anteriormente.
Para dar cumplimiento a lo anterior, la Entidad debe proceder a notificar el incumplimiento a las
autoridades as como al ciudadano- titular; este ltimo con la mayor brevedad de tiempo,
haciendo uso de mecanismos que permitan conocer dicha incidencia.
La Notificacin de Incumplimiento al ciudadano- titular debe indicar como mnimo la siguiente

informacin:
Descripcin de las circunstancias del incidente y la fecha o periodo en que ha ocurrido.

Los datos personales expuestos al incidente de seguridad.
Las recomendaciones pertinentes sobre las acciones que ha de tomar.
Las medidas correctivas tomadas por el Encargado de los datos personales con el fin de
reducir el riesgo de dao.
El procedimiento a seguir en el cual el ciudadano- titular podr obtener informacin
adicional con respecto al suceso.
Los datos de contacto del rea encargada que pueda responder, en nombre de la
Entidad, preguntas acerca del incidente.
Paso N 27: Auto-Certificacin de la Entidad
Mejores prcticas
La Entidad deber adelantar peridicamente procesos de auto-certificacin de sus polticas, los
cuales se llevarn a cabo elaborando anualmente un informe que consigne el resultado de la
evaluacin interna en cuanto a su desempeo en polticas de privacidad y en general en
proteccin de datos personales. Lo anterior debe ser incluido en un documento que debe ser
redactado de manera comprensible y puesto al conocimiento del pblico.
Este documento servir como prueba ante la Superintendencia de Industria y Comercio del
surgimiento de posibles conflictos por la implementacin de las anteriores polticas o ante
auditorias en proteccin de datos.
Paso N 28: Autoevaluar el proceso de manejo de los datos personales
Mejores prcticas
Finalizados los anteriores pasos, el Comit especializado debe ser convocado para evaluar los
procedimientos adelantados despus de la recoleccin de la obtencin de los datos; de esta
manera, se proceder a autoevaluar el rendimiento de la Entidad en la etapa de manejo de las
bases de datos.
Dentro de esta operacin se evaluarn los sucesos ocurridos durante el manejo de estos, se
estimarn las dificultades que pudieron presentarse y se postularn y aprobarn las medidas a
incluir para modificar la Poltica de Tratamiento de Datos Personales.
4. CIERRE DE LA BASE DE DATOS

Paso N 29: Atender las peticiones, quejas y reclamos dirigidos a suprimir los datos personales
Es de resaltar que durante la etapa de manejo de los datos personales administrados por la
Entidad, los ciudadanos-titulares de la informacin pueden elevar solicitudes a esta con el fin de
suprimir los datos personales contenidos dentro de las bases de datos, por ello, cuando el sujeto
solicite la supresin de sus datos personales, la Entidad deber pedir a este la siguiente
informacin:
Mejores prcticas
Su identificacin.
Sus datos de contacto.
Los datos sobre los cuales versa su solicitud.
Una explicacin breve acerca de los motivos que dan origen a esta.
Las copias de los documentos que dan soporte a esta solicitud.
Una vez radicada esta solicitud, se debe indicar al solicitante los tiempos de respuestas que
existen para dar trmite a esta, y acatando los tiempos descritos en el Paso N 19 de la presente
Hoja de Ruta. De esta manera mientras se da respuesta a la solicitud, debe inscribirse una
leyenda sobre el dato objeto del requerimiento que diga: peticin, queja o reclamo en trmite
de la misma manera como se hara si existe una exigencia para actualizar los datos personales.
Del mismo modo como se seal en el Paso N 19, durante el trmite de la PQR la Entidad
deber categorizar los requerimientos segn su antigedad, los tiempos de respuesta, el tipo, las
veces en las que se ha presentado y dems aspectos que individualicen cada una de las
peticiones, quejas o reclamos elevados por la ciudadana. Este procedimiento deber cumplirse
todas las veces que la Entidad atienda una peticin, queja o reclamo.
Cuando finalmente se d respuesta al ciudadano- titular de la informacin, la Entidad tiene la

posibilidad de responder que:
o Su solicitud es incompleta o necesita subsanarse, para lo cual deber remitirse

nuevamente a lo dispuesto en el Paso N 19 que hace alusin a este tema.
o Concede su solicitud, caso en el cual debe proceder a suprimir los datos personales
bajo pedido.
o No concede su solicitud, donde deber motivar su respuesta y exponer las razones de
fondo por las que no accedi a la solicitud del ciudadano.
Mejores prcticas
Este procedimiento puede ser ofrecido ante las oficinas de la Entidad, va web o
electrnicamente por medio del uso de e-mail.
Mejores prcticas
Una vez finalizado el anterior proceso de atencin de solicitudes para la cancelacin de los datos
personales, se le debe pedir al ciudadano- titular que califique el servicio prestado, en el
entendido que este podr elegir si lo hace o no. La calificacin que el ciudadano- titular le
otorgue al proceso debe ser annima y contabilizada de tal manera que al finalizar el periodo se
pueda obtener un ponderado de las calificaciones.
Para dar correcto cumplimiento a esta instruccin, ser necesario remitirse al Paso N 20 de la
presente Hoja de Ruta.
Paso N 31: Determinar el cumplimiento de la finalidad, necesidad y temporalidad en la
administracin de datos personales
En la Entidad deben implementarse dentro de los sistemas de administracin, mecanismos de
alerta que indiquen al Responsable o al Encargado de los datos personales en qu momento
culmina la finalidad por la cual se administran los datos personales, la necesidad por la cual estos
fueron recolectados y el trmino de tiempo predispuesto para usar la informacin recogida
segn el criterio de temporalidad.
En ese sentido, una vez surgida la alerta relativa a la terminacin de la finalidad, necesidad y
temporalidad mencionadas, el Responsable o Encargado debe examinar si requiere o no
prorrogar este trmino con el fin de continuar el tratamiento de los datos personales si as lo
requiere:
o Si necesita prorrogarlo, debe obtener nuevamente el consentimiento por parte del

ciudadano- titular. (Si ello ocurre debe surtir nuevamente los pasos descritos en la Etapa
de Recoleccin de la Informacin).
o Si no necesita prorrogarlo, puede proseguir a aplicar lo que a continuacin se indica.
Mejores prcticas
Para tomar una decisin correcta acerca de si es procedente prorrogar o no el termino de uso de
la informacin personal de los titulares de los datos, la Entidad, al momento en el cual examine si
la base de datos sigue siendo necesaria o por el contrario puede ser cancelada, debe tener en
cuenta factores jurdicos como la caducidad de las acciones relacionadas con los datos
personales, la prescripcin de derechos y la duracin de una relacin jurdica ya entablada, ya
que si dentro de la Entidad se suprime un dato que puede ser requerido posteriormente, se
estara originando una situacin que en el futuro puede representar problemas para la Entidad.
Tratndose de datos personales de naturaleza laboral, la Entidad, al momento

de examinar el cumplimiento de la finalidad por la cual se recolectaron sus datos
personales, debe tener en cuenta que podr proceder a cancelar estos datos
cuando haya finalizado el vnculo laboral entre la Entidad y el ciudadano- titular
de la informacin.
Datos laborales
Una vez clarificada esta situacin, es posible remitirse directamente al Paso N
32 relativo a la anonimizacin de los datos personales.
Sin embargo, debern conservarse los datos personales que acrediten
que existi una relacin laboral entre la Entidad y el ciudadano- titular
de la informacin.
Paso No. 32: Suprimir los datos personales
Si la Entidad en virtud a una solicitud por parte del ciudadano-titular de la informacin, o en
razn al agotamiento de la finalidad, necesidad o temporalidad en la recoleccin de datos, debe
proceder a eliminar los datos de un ciudadano, deber implementar entonces los siguientes
procedimientos segn sea el caso:
o Si los datos se encuentran plasmados en papel y archivos fsicos, eliminar los datos
implementando procedimientos de destruccin documental.
o Si los datos son almacenados electrnicamente, se deber borrar la informacin de las
plataformas informticas.
Es de resaltar que si la Entidad maneja datos personales de ubicacin, contacto y

comunicacin, podr conservar los datos de trfico en las siguientes situaciones:
Si se ha recibido el consentimiento del ciudadano-titular.

Datos de Si se utilizan para aportar valor agregado a un servicio.
ubicacin, Si se utilizan con fines de facturacin o pago de interconexiones, en un
contacto y periodo acorde con la necesidad de conservarlos, atendiendo a los factores
manejo de prescripcin o caducidad de las acciones procedentes para el cobro o
facturacin de los mismos.
Si se utiliza para prevenir fraudes.
Si se tienen para responder a peticiones, quejas o reclamos de los
ciudadanos- titulares de la informacin.
En lo que respecta a datos estadsticos o poblacionales, cuando la Entidad

considere que estos ya no son tiles en razn a que su contenido ya no es
requerido por la Entidad, debern ser eliminados por el rea encargada de su
administracin:
Datos
estadsticos y
Mediante procedimientos de destruccin documental en los casos en los que
poblacionales
estos estn consignados en archivos fsicos.
En los casos en los cuales estos datos se encuentren almacenados en medios
electrnicos, se debe acatar las instrucciones descritas en el Paso N 33 que a
continuacin se explica.
Paso N 33: Anonimizar o despersonalizar los datos personales
Mejores prcticas
No obstante lo dispuesto en el paso anterior, la anonimizacin o despersonalizacin de los datos
personales es un proceso viable para la Entidad en los casos en los que no desee desechar la
informacin recolectada en tanto la informacin es despojada de los aspectos que permitan ligar
la informacin recopilada con la personalidad del titular de la misma. En ese sentido, se retiran
aquellos apartes de informacin de naturaleza sensible que pueda generar discriminacin en
contra de los ciudadanos- titulares de aquella.
La Entidad puede optar por procesos de anonimizacin o despersonalizacin de los datos

personales de los ciudadanos- titulares de la informacin en los casos en los que existan fines
cientficos, histricos o estadsticos que permitan un posterior uso de la informacin, o en los
casos en que medie autorizacin judicial o de autoridad competente que permita conservar los
datos personales de los ciudadanos- titulares de la informacin.
Cuando las bases de datos contengan informacin estadstica de la

Datos poblacin, en relacin con el impacto de enfermedades y los esfuerzos
estadsticos y para prevenir a todos los ciudadanos- titulares acerca de sus
poblacionales implicaciones, la Entidad correspondiente deber asegurar la
anonimizacin de los datos de los ciudadanos - titulares de la
informacin.
Datos de
En los casos en los que la Entidad administre datos de trfico, estos
ubicacin,
debern ser eliminados o hechos annimos cuando sean usados para la
contacto y
transmisin de las comunicaciones que los contienen.
comunicacin
Conforme a lo anterior, la Entidad podr optar por este procedimiento una vez se vea obligada a
cancelar las bases de datos en los casos en que se haya cumplido su finalidad, necesidad o
temporalidad, o cuando el ciudadano- titular as lo pida y resulte procedente. De igual manera
podr acudir a este proceso cuando los datos recabados por la Entidad permitan detectar
automticamente la identificacin de una persona y represente un riesgo para el ciudadano-
titular de la informacin.
Este procedimiento debe ser implementado por la Entidad en los casos en los que los datos
personales sean requeridos para fines cientficos, estadsticos, histricos o para el beneficio de la
poblacin nacional.
Este proceso deber ser implementado en todo momento por parte de la

Entidad, en los casos en los que se transfiera la informacin a otras entidades
Datos de la salud
por razones sanitarias o de salud pblica, especficamente sobre los datos de
contenido sensible.
En este orden de ideas, si la Entidad luego de evaluar si este proceso es el ms conveniente,

decide anonimizar o despersonalizar los datos personales contenidos en sus Bases de Datos, en
lugar de borrarlos o eliminarlos por completo, deber entonces cumplir las siguientes
instrucciones:
Inicialmente deber seleccionar los datos que deben ser cancelados y despojados de aquella
informacin que pueda llegar a individualizar a su titular, luego, proceder a eliminar la
informacin que ostente naturaleza sensible o que pueda generar discriminacin en contra del
ciudadano-titular, como tambin aquella informacin que haga referencia a su esfera personal y
pueda originar la creacin de perfiles que puedan afectar sus derechos.
De esta manera, la Entidad ha anonimizado los datos personales recogidos en un principio, pero
conservando aquella informacin que no pone en peligro los derechos del ciudadano- titular de
la informacin.
Si los datos personales versan sobre el historial laboral de una persona, esta
Datos laborales
informacin debe ser sometida a procesos de anonimizacin.
Finalmente y para efectos de transparencia, la Entidad debe informar al titular de los datos
personales acerca del proceso llevado a cabo sobre su informacin y sobre el estado actual de
sus datos personales.
Paso N 34: Publicar la gestin y el desempeo de la Entidad en cuanto a la proteccin de datos
Mejores prcticas
En estas instancias la Entidad deber proceder a elaborar un Informe Final del proceso, el cual
ser de naturaleza pblica y se indicarn los resultados de la recoleccin, teniendo en cuenta que
si se requiere publicar informacin relacionada con algn dato personal, dicho dato debe estar
previamente anonimizado.
Al momento de publicar la gestin y el rendimiento de la Entidad en

cuanto a la administracin y manejo de datos poblacionales y estadsticos,
la informacin que se encuentre consignada en estos estudios no debe
divulgar datos individuales de la poblacin.
Datos Por tanto la Entidad al momento de divulgar esos estudios debe
estadsticos y procurar brindar la informacin de manera consolidada, sin que sea
poblacionales posible identificar a los ciudadanos- titulares de los datos
individualmente considerados.
Deber entonces implementar procesos de anonimizacin y
despersonalizacin de los datos personales de la manera como se
explica en el Paso N 33 de la presente Hoja de Ruta.
No obstante, si la Entidad maneja datos personales relativos a la salud, la

Datos de la
divulgacin de las historias clnicas de los ciudadanos- titulares de la
salud
informacin, no podr hacerse sin su consentimiento previo.
Paso N 35: Finalizacin del proceso de cierre de las bases de datos
Mejores prcticas
Al finalizar el proceso de cierre de las bases de datos y de la informacin innecesaria, se debe
proceder a verificar si la eliminacin o anonimizacin de los datos se ha realizado de manera
correcta. Para estos fines la Entidad deber con los servidores pblicos encargados de la
evaluacin, verificar cada uno de los pasos surtidos en la apertura, obtencin, manejo y
cancelacin de las Bases de Datos, con el fin que se revise si la Entidad cumpli o no los
procedimientos aqu descritos.
Si se hizo de manera correcta la administracin de los datos, se proceder a certificar la

cancelacin de los datos y a archivar los datos anonimizados. Si por el contrario se ha omitido
algn paso dentro de la presente Hoja de Ruta, ser necesario efectuar las instrucciones omitidas
y evaluar las consecuencias de ello con el objetivo de repararlas.
El Informe Final en el que se certifique que la Entidad cumpli satisfactoriamente la

administracin de los datos personales deber contener soportes que acrediten el cumplimiento
y ser archivado.
Paso N 36: Autoevaluacin final de la administracin de datos personales
Mejores prcticas
Luego de haber culminado esta etapa, el Comit especializado debe reunirse con el fin de evaluar
el proceso de cancelacin de las Bases de Datos e interiorizar la experiencia obtenida en esta
etapa para efectos de proponer y evaluar medidas pertinentes destinadas a la Poltica de
Tratamiento de Datos Personales. Se debern discutir inicialmente las dificultades
experimentadas durante la cancelacin de los datos personales, como tambin las falencias que
se lograron vislumbrar.
Posteriormente, se deben proponer los mtodos para evitarlas y mejorar el proceso, con la
finalidad de que luego de efectuado un consenso se elijan las medidas a incorporar dentro de la
Poltica de Tratamiento de Datos Personales.
4. HOJA DE RUTA PARA LA ADMINISTRACIN DE DATOS PERSONALES DE
NATURALEZA FINANCIERA, CREDITICIA Y COMERCIAL, DIRIGIDA A LAS
EENTIDADES DE LA ADMINISTRACIN PBLICA
DEFINICIONES ESPECIALES A TENER EN CUENTA

a) Agencia de Informacin Comercial: Es toda aquella Entidad que tiene como actividad principal
la recoleccin, validacin y procesamiento de informacin comercial sobre las empresas y los
comerciantes. Para efectos de la Ley 1266 de 2008, las agencias de informacin comercial
son operadores de informacin y fuentes de informacin.
b) Fuente de informacin: Es quien tiene la funcin de recibir o conocer los datos personales del
titular de la informacin, en virtud a una relacin comercial o financiera, basado en el
mandato legal o por la autorizacin otorgada por parte del titular de la informacin.
Conforme a dicha funcin la Fuente recopila los datos y los facilita al operador de
informacin.
c) Informacin Comercial: Aquella informacin histrica y actual relativa a la situacin

financiera, patrimonial, de mercado, administrativa, operativa, y sobre el cumplimiento de
obligaciones y dems informacin relevante para analizar la situacin integral de una
empresa.
d) Informacin negativa: Esta informacin hace alusin a obligaciones dinerarias incumplidas y

reconvenidas en mora por parte del acreedor, por retardo injustificado del titular de la
informacin, la cual reposa en los bancos de datos de una Entidad. La informacin no podr
tener connotacin negativa, en los casos en los que la mora haya sido originada en razn al
secuestro, la desaparicin forzada o el desplazamiento forzoso del titular de la informacin.
e) Informacin positiva: Es aquella que se reporta sobre el titular de la informacin en los casos
en los que sus obligaciones se reportan como cumplidas.
f) Operador de informacin: Es quien recibe la informacin de la fuente y tiene como

responsabilidad administrar y poner en conocimiento del usuario dicha informacin. Al
momento en el que el operador tiene acceso a la informacin deber garantizar la debida
proteccin de los derechos de los titulares de la informacin. En el caso en que el operador
acte tambin como fuente de informacin, le sern aplicables las disposiciones normativas
para uno y otro.
g) Usuario de informacin: Es quien tiene la posibilidad de acceder a la informacin personal de

uno o varios titulares de la informacin suministrada por el operador o directamente por la
fuente de informacin. Este sujeto tiene la obligacin de cumplir los deberes plasmados en la
normatividad y garantizar el derecho fundamental de habeas data de los ciudadanos y
titulares de la informacin. Si el usuario entrega informacin directamente al operador de
informacin, ser tratado como fuente y asumir sus responsabilidades.
h) Titular de la informacin: La expresin de titular de la informacin, segn lo dispone la Ley

1581, hace alusin a la Persona natural cuyos datos personales sean objeto de
Tratamiento, definicin que debe complementarse con los trminos de la Ley 1266 de 2008,
en tanto aquella dispone que Titular ser la persona natural o jurdica a quien se refiere la
informacin que reposa en un banco de datos y sujeto del derecho de hbeas data y dems
derechos y garantas a que se refiere la presente ley.
1. CREACIN DE LOS BANCOS DE DATOS

Paso N 1: Identificacin de la funcin legal de la Entidad
Para iniciar la recopilacin de los datos personales de la poblacin, que tienen naturaleza
financiera, comercial y crediticia, la Entidad debe identificar cul es la norma que la habilita para
recoger estos datos y la funcin que la Ley le ha otorgado.
Es de resaltar que la informacin que la Entidad recopilar tiene como finalidad realizar estudios
de riesgo de los ciudadanos- titulares de la informacin y anlisis crediticio a los que estos sern
sometidos, no obstante la informacin recopilada no debe hacer prevalente las obligaciones
incumplidas por parte de este sujeto, sino que tambin debe hacer caso a otros factores tcnicos
que permitan complementar el tratamiento de los datos personales.
Aclarada la funcin legal y la naturaleza de estos datos, la Entidad debe tener en cuenta, en lo
que respecta al tratamiento de datos personales referentes a esta tipologa, las disposiciones
normativas contenidas dentro de la Ley 1266 de 2008 y sus reglamentaciones, las cuales son
aplicables de manera preferente, de cara a la Hoja de Ruta Principal.
Teniendo clara la funcin que ha sido otorgada por la normatividad a la Entidad e identificada la
calidad en la cual esta actuar segn la Ley 1266 de 2008, es necesario tener en cuenta el
objetivo de la recoleccin de la informacin que se pretende recabar. Esta finalidad debe
obedecer a una finalidad legtima de acuerdo a la Constitucin y la Ley, la cual debe ser
informada al ciudadano- titular en los casos en los que la Entidad acte como fuente de
informacin.
Paso N 2: Determinar si la Entidad ser fuente, operadora o usuaria de los datos personales
La Ley 1266 de 2008 establece unos deberes especiales dependiendo del tipo de sujeto dentro
del flujo de la informacin comercial y financiera que se recaba del ciudadano- titular. As:
Si la Entidad es quien va a recibir los datos personales suministrados por el ciudadano- titular
de la informacin, sta actuara como fuente de informacin.
Si la Entidad es quien recibe de una fuente diferente los datos personales relativos a esta
tipologa, los administra y los comparte a los usuarios de la informacin, sta actuar como
operadora de informacin.
Si la Entidad es quien accede y consulta los datos personales de uno o varios ciudadanos-
titulares de la informacin suministrada por el operador o la fuente, sta actuar como
usuaria de la informacin.
La identificacin de la calidad en la cual actuar la Entidad, permite determinar los deberes

especiales que le aplicarn y los derechos que debe garantizar al ciudadano- titular de la
informacin segn la Ley 1266 de 2008. Es de vital importancia que la Entidad precise la calidad
en la que actuar, toda vez que la Ley le instituir diferentes deberes y obligaciones segn el tipo
de sujeto que sea dentro de la relacin.
Paso N 3: Identificar el lmite temporal para el manejo de la informacin
Uno de los aspectos ms importante que debe tener en cuenta la Entidad en este proceso, es
que la limitacin temporal aplicable a los datos financieros, comerciales y crediticios tiene unas
indicaciones especiales.
La informacin positiva podr ser almacenada de manera perpetua, mientras que la informacin
negativa tiene una limitacin especial, por lo que la Entidad debe tener en cuenta hasta qu
momento puede almacenar estos datos en los casos en los que administre bancos de datos como
operadora de la Entidad.
As, el siguiente paso ser determinar cul ser el periodo de tiempo que ocupar la Entidad para
efectos de administrar los datos personales que se van a recolectar. Para efectos de calcular este
tiempo, es necesario que la Entidad tenga en cuenta que al usar esta informacin con el fin de
calcular el riesgo crediticio y financiero de una persona, la delimitacin temporal debe obedecer
nicamente a esta finalidad:
Si el ciudadano- titular de la informacin ha incumplido una obligacin crediticia y ha sido

constituido en mora, deber tener en cuenta que el tiempo mximo de permanencia dentro
del banco de datos ser por un periodo de tiempo equivalente al doble de esa mora, una vez
se cumpla la obligacin. Para mayor entendimiento, la mora debe ser entendida como el
retardo injustificado en el cumplimiento de una obligacin por parte del deudor de esta,
unido por supuesto, al requerimiento por parte del acreedor. Por ejemplo: Si la mora en la
que incurri el ciudadano- titular de la informacin es menor a dos (2) aos, la permanencia
de la informacin negativa no podr permanecer en los bancos de datos por un periodo
mayor al doble de este tiempo, es decir, que no podr ser mayor a cuatro (4) aos a partir de
saldada la obligacin.
Si el ciudadano- titular de la informacin incurri en mora por un trmino de diez (10)
meses, la permanencia de la informacin negativa en las bases de datos de la Entidad, sea en
la calidad en la que acte, podr permanecer nicamente hasta por veinte (20) meses. Por
otra parte si la obligacin tuvo mora por un trmino de veintisis (26) meses, poco ms de
dos (2) aos, la informacin negativa podr estar nicamente por cuarenta y ocho (48)
meses.
Si la Entidad acta, ya sea como operadora, fuente o usuaria de la informacin, debe acatar estos
tiempos con respecto a la permanencia de la informacin negativa en sus bancos de datos. En
todo momento que se vaya a incluir este tipo de informacin en los bancos de datos, la Entidad,
si acta como operadora de la informacin, deber dar previo aviso al ciudadano- titular de la
informacin acerca de su inclusin.
Es necesario resaltar que la retencin injustificada y el tratamiento perpetuo de los datos

personales atenta contra los derechos de los ciudadanos- titulares, y puede hacer responsable a
la Entidad, as como al servidor pblico encargado del manejo de dicha informacin, por los
perjuicios que ello genere al ciudadano- titular.
Paso N 4: Identificar a los ciudadanos - titulares de la informacin
Es muy importante que la Entidad conozca y determine la poblacin que va a brindar sus datos
para las finalidades ya mencionadas. Esta labor permite saber quines van a aportar sus datos
personales y qu tipo de datos alimentarn los bancos de datos de la Entidad.
Luego de precisar la poblacin a la cual se van a recabar sus datos personales, deben identificarse
las situaciones adversas que pueden generarse ante el ofrecimiento de estos. De la misma
manera, la Entidad debe tener claridad acerca de la posibilidad de generar perfiles de los
ciudadanos- titulares, a partir de la informacin recolectada.
A punto seguido, detallados los requisitos, parmetros, calidades y situaciones objetivas de

naturaleza verificable para calificar si un ciudadano- titular puede hacer parte o no del banco de
datos de la Entidad, es necesario elaborar un check-list acerca de las caractersticas que los
ciudadanos- titulares deben cumplir al momento de recopilar sus datos personales.
Esta medida evita que se recojan datos innecesarios dentro de la labor adelantada por la Entidad.
Como se ver ms adelante, los derechos del ciudadano- titular deben ser incluidos y enunciados
claramente, dentro del Manual Interno de Polticas y procedimientos para la administracin de
datos personales que debe elaborar la Entidad.
Paso N 5: Designar el rea encargada de los banco de datos
Luego de identificar a los ciudadanos-titulares de la informacin, la Entidad debe seleccionar el

personal responsable de los datos personales objeto de tratamiento, los cuales deben elegirse
conforme a criterios de idoneidad y acorde a las capacidades necesarias para adelantar la labor.
De esta manera se escogern los servidores pblicos ms capacitados en el manejo de
informacin de naturaleza financiera, comercial y crediticia.
Para tales fines, la Entidad deber:
Evaluar las competencias de cada uno de ellos.

Evaluar la experiencia de los servidores pblicos de cara a la tarea que van a realizar.
Evaluar el conocimiento en materia de seguridad de la informacin, con el fin de escoger
los servidores pblicos que tengan las capacidades suficientes para atender incidentes de
esta ndole.
As, independiente de la naturaleza del responsable (individual o colectivo) la Entidad debe crear
un rgimen de responsabilidades acorde con las funciones de los servidores pblicos designados
como responsables, as como un reglamento que consagre las consecuencias de la mala
administracin de la informacin.
La Entidad debe asegurarse de comunicarle a estos servidores al momento de conferirle la

funcin, la existencia del rgimen de responsabilidad y las sanciones aplicables.
Paso N 6: Elaborar el Manual Interno de Polticas y Procedimientos para la administracin de datos

personales
Luego de lo anterior y para la correcta administracin de datos, la Entidad debe elaborar el

Manual Interno de Polticas y Procedimientos para la administracin de datos financieros,
comerciales y crediticios, con el fin de definir los aspectos esenciales aplicables a la
administracin de ellos. De esta manera se debe proceder a elaborar un documento que
contenga como mnimo los siguientes aspectos:
Nombre, razn social, domicilio, direccin, correo electrnico y en general los datos de
contacto del rea designada para el manejo de los datos personales, independiente de si
acta como fuente, operadora o usuaria de la informacin.
Fecha de su entrada en vigencia.
Servidores pblicos que tendrn acceso a las bases de datos.
Uso de contraseas y procedimientos de autenticacin de quien est autorizado a
consultar las bases de datos.
Incluidos estos aspectos generales dentro del Manual, los cuales debern ser implementados por
toda Entidad que administre datos de esta naturaleza, es momento de introducir en este las
funciones y las obligaciones propias del rea designada para administrar los bancos de datos
dependiendo de la calidad en que acta la Entidad.
Si acta como fuente de informacin, la Entidad deber acatar en su totalidad el contenido
anteriormente descrito para el Manual y en adicin incluir:
Los mecanismos que permitan verificar que la informacin suministrada al operador o al

usuario de informacin sea veraz, exacta, actualizada y comprobable.
La disposicin de los recursos tcnicos y de talento humano que garanticen que la
informacin debidamente actualizada sea suministrada a los dems sujetos, sea operador o
usuario de informacin.
Los mecanismos para la rectificacin de la informacin y posterior reporte oportuno al
operador de ella y al usuario cuando diera lugar.
Las polticas de conservacin y archivo de las autorizaciones otorgadas por el ciudadano-
titular de la informacin, sin olvidar imponer las restricciones pertinentes para evitar la
transferencia de informacin cuyo suministro no este previamente autorizado.
Los mecanismos de seguridad que sern implementados para proteger los datos personales
recopilados por la Entidad, previniendo el deterioro, prdida, alteracin o uso fraudulento o
no autorizado de los datos personales.
La infraestructura administrativa predispuesta para la atencin de peticiones, consultas y
reclamos (PCRs). En estos casos deben consignarse los mecanismos que permitan a la
Entidad reportar al operador de informacin cualquier discusin que suscite alrededor de un
dato personal o que est siendo objeto de rectificacin o actualizacin.
Si por el contrario acta como operadora de informacin deber incluir dentro de su Manual, sin
perjuicio de lo inicialmente mencionado, lo siguiente:
Los mecanismos para garantizar al ciudadano- titular de la informacin el ejercicio del

derecho de habeas data, es decir todo lo relativo al conocimiento, actualizacin, rectificacin
y retiro de los datos personales.
Los elementos de verificacin con el fin de garantizar que los ciudadanos- titulares que
tengan acceso a los datos personales, estn legitimadas para ello.
Los mecanismos de seguridad que sern implementados para proteger los datos personales
recopilados por la Entidad, previniendo el deterioro, prdida, alteracin o uso fraudulento o
no autorizado de los datos personales.
Los mecanismos de comunicacin con la fuente de informacin, con el fin de que le sean
reportados peridicamente y de manera oportuna, la actualizacin y rectificacin de los
datos personales.
La fuente y la infraestructura administrativa para dar trmite a las PCRs formuladas por la
ciudadana.
Los procedimientos de circulacin de la informacin al usuario de informacin, cuando ello
sea procedente.
Si acta como usuaria de informacin, el respectivo Manual deber contener adems:
La determinacin de los fines por los cuales la informacin le fue entregada.

Los procedimientos de registro y archivo de la informacin que ha sido suministrada a ella,
sea por la fuente o por el operador de informacin.
Los mecanismos para informar a los ciudadanos- titulares de la informacin acerca del uso
que se est dando a la informacin.
Los procedimientos de seguridad para proteger los datos personales de riesgos tales como
deterioro, prdida, alteracin o uso fraudulento o no autorizado de los datos personales.
En cualquiera de los casos, la Entidad debe disear los protocolos de respuesta para atender las
instrucciones impartidas por los organismos de control.
Es de suma importancia que si dentro de la Entidad existe algn tipo de inquietud a los datos
personales, se constituya un Comit especializado para dirimir estas dudas; este Comit podr
ser convocado las ocasiones que as se requiera.
El Comit deber estar compuesto del rea especializada del manejo de los datos y por el
personal experto para el manejo de informacin personal de naturaleza financiera, comercial
y crediticia. Esta instruccin deber ser acatada independiente a la calidad en la que acta la
Entidad.
Entre las funciones que estar llamado a cumplir se encuentran la de rgano de consulta
interna ante las dudas o inquietudes que puedan surgir en la Entidad conforme a la
administracin de datos personales. En sntesis ser el rgano colegiado interno de carcter
consultivo que podr ser convocado cuando la Entidad as lo requiera.
Una vez se hayan detallado estos elementos debe elaborarse el Folleto Informativo dirigido a los
ciudadanos- titulares de la informacin y en general a toda la ciudadana, en el cual se indiquen
aspectos como la funcin legal de la Entidad, las limitaciones temporales al tratamiento de la
informacin, los aspectos generales de la Poltica y la calidad en la que la Entidad acta en la
relacin con el ciudadano- titular que brinda sus datos para las finalidades antes descritas.
Paso N 7: Capacitacin de los servidores pblicos
Antes de iniciar la recoleccin de los datos personales de carcter comercial y financiero, los
servidores pblicos que van a ser involucrados en la recopilacin de informacin deben ser
capacitados acerca del Rgimen Sancionatorio aplicable ante un incumplimiento en sus deberes y
el Cdigo de tica de la Entidad.
Es de suma importancia que dentro de las capacitaciones a los servidores pblicos, se incluya un
mdulo pedaggico dedicado a la Ley Estatutaria 1266 de 2008 (Ley de Habeas Data) y sus
reglamentos, en donde se cualifique acerca de la relacin especial que existe entre la Entidad y
los ciudadanos- titulares de la informacin en virtud a este ordenamiento.
Cuando estas capacitaciones se lleven a cabo, la Entidad crear los mdulos de aprendizaje que
considere necesarios para instruir al servidor pblico en el manejo de este tipo de datos; estos
mdulos sern distribuidos en periodos que cuenten con la intensidad adecuada de horas para
transmitir al servidor los conocimientos necesarios.
Dentro de las capacitaciones anteriormente nombradas debe incluirse un mdulo dedicado a la

seguridad de los datos, en el cual se instruya a los servidores acerca de los nuevos riesgos que
amenazan los datos personales. Estas capacitaciones deben llevarse a cabo de forma peridica
por la Entidad y en compaa de asesores expertos en la seguridad de la informacin.
Con el fin de garantizar el entendimiento por parte del servidor pblico, al finalizar las
capacitaciones se evaluarn los conocimientos adquiridos por estos.
Paso N 8: Definir las polticas de seguridad para la recoleccin de los datos personales
Antes de recolectar los datos personales, la Entidad debe disponer las plataformas fsicas
contenedoras de la informacin, ya sean computadores, discos duros, programas (software),
medidas de seguridad y dems, que garanticen un proceso exitoso de recoleccin de datos
personales.
As, luego de haber definido las Polticas y Procedimientos para el tratamiento de los datos
personales, es necesario precisar los recursos tcnicos y de talento humano especializado, los
cuales sern destinados a la labor y tambin para conformar las medidas de seguridad
implementadas, con el fin de mantener la integridad de los datos personales de los ciudadanos-
titulares de la informacin. Es de recordar que ya se ha debido capacitar al personal
seleccionado.
Dentro de este momento se requiere adems, que se especifique detalladamente quien ser
parte del personal autorizado para consultar internamente la informacin recopilada, en el
entendido que no cualquier servidor puede tener acceso a estos datos.
Cumplido lo anterior, se deben predefinir los niveles de seguridad en los que van a ser
clasificados los datos recolectados, dependiendo de la naturaleza de los datos, as:
o Nivel bsico de seguridad para los bancos que manejan una cantidad baja de datos, como
tambin para aquellos que administran informacin que no se encuentra asociada con
datos de naturaleza sensible, privada o reservada.
o Nivel medio de seguridad para los bancos que administran una cantidad considerable de
datos, como tambin para aquellos que manejan datos con un nivel de privacidad
moderado y no se cataloguen dentro de los niveles de seguridad bsico o alto.
o Nivel alto de seguridad para los bancos que administran una gran cantidad de datos,
como tambin para aquellos que manejan datos asociados con informacin reservada,
privada o sensible.
La clasificacin del nivel de seguridad segn los riesgos a los que se encuentran expuestos los
bancos de datos deben responder a un anlisis objetivo, cuyas razones deben plasmarse en un
documento elaborado por los Responsables de la informacin. Esta clasificacin ser
acompaada de las medidas tcnicas pertinentes para mantener los niveles de seguridad
asignados, as como los riesgos que se han identificado en torno al tratamiento de los datos.
Definidos los niveles de seguridad aplicables a los datos que se van a recolectar, la Entidad
definir los protocolos de seguridad dedicados a dar respuesta a las fallas de seguridad del
sistema que se puedan presentar a lo largo de la administracin de los datos personales.
Una vez culminadas las instrucciones descritas, es de suma importancia que se implementen
protocolos para la gestin de incidentes e incumplimientos de las medidas de seguridad, toda vez
que la Entidad est expuesta a riesgos que eventualmente pueden generar una falla en los
sistemas dedicados a proteger los datos personales de los ciudadanos-titulares de la informacin.
Para dar cumplimiento a lo anterior, se deber disear la forma de contener y recuperar los
datos que se puedan perder, de investigar el origen del incidente, y de notificar a las autoridades
competentes y a los ciudadanos- titulares de la informacin cuando se presenten tales
situaciones.
Diseadas las polticas de seguridad aplicables a los datos personales que va a manejar la
Entidad, cuando acte ya sea como fuente, operadora o usuaria de la informacin, es necesario
que la Entidad formule en un documento el Reglamento de Seguridad de la Informacin, el cual
contendr las medidas y protocolos ya identificados.
La Entidad debe tener en cuenta que si en algn momento ocurre uno de los riesgos previstos, o
uno imprevisto, en contra de los datos personales, se deben desplegar los procedimientos de
contencin y recuperacin de los datos.
Si los riesgos son catalogables como imprevistos por la Entidad, deber entonces evaluar los
acontecimientos que acompaaron el suceso y generar medidas para ser incluidas dentro del
Manual Interno de Polticas y Procedimientos para la administracin de datos personales y evitar
la ocurrencia de estos riesgos en el futuro.
Las polticas de seguridad implementadas, deben ser dinmicas, cambiantes y acordes a la

realidad. No obstante, cada vez que se planee incluir dentro de stas una medida nueva, deber
contarse con una evaluacin interna, adelantada por el personal idneo en la materia.
Paso N 9: Registrar los sucesos en la administracin de datos
Acompaado de las medidas de seguridad, la Entidad llevar un registro de acontecimientos que

versen sobre los bancos de datos personales de naturaleza crediticia, financiera y comercial, en
donde se inscribirn los sucesos de los sistemas de seguridad, el rendimiento del sistema, los
acontecimientos problemticos que hayan ocurrido y la manera cmo se solucionaron estos
problemas.
Una vez registrados, el Encargado de los bancos de datos deber realizar un Informe Peridico
que describa los resultados encontrados en esta labor.
Paso N 10: Elaborar el documento de Autorizacin cuando acte como fuente, y solicitarlo cuando
acte como operadora de informacin
Si la Entidad acta en calidad de fuente de informacin, es necesario que elabore las

autorizaciones dirigidas al ciudadano- titular de la informacin con el fin que ste acepte el
tratamiento de sus datos personales.
De la misma forma en que se mencion en el paso anterior, certificar las autorizaciones es una
obligacin de la fuente de informacin, por lo que la Entidad deber guardar soporte de estos
documentos.
Cuando la Entidad se disponga a elaborar este documento, deber introducir en ste, como
mnimo:
Los canales por los cuales el ciudadano-titular podr contactarse con el rea responsable
de manejar sus datos personales.
Las finalidades para las cuales se tratarn sus datos personales.
Los derechos de los que dispone como ciudadano- titular de la informacin.
Las polticas de tratamiento y la manera en que el ciudadano-titular puede ejercer sus
derechos.
Al momento de conseguir la autorizacin del ciudadano- titular, su consentimiento debe ser

emitido de manera libre, con una indicacin especfica e informada de su acuerdo con el
procesamiento de sus datos personales.
Si la Entidad acta como operadora de informacin, deber solicitar a la fuente de informacin,

copia o evidencia de esta, con el fin de conservarla. Esta obligacin tiene especial importancia,
toda vez que la Entidad que acte en esta calidad, no podr hacer uso de la informacin si no
tiene la debida autorizacin del ciudadano- titular de la informacin para su tratamiento.
Paso N 11: Definir polticas de trazabilidad e interoperabilidad de los datos personales
En los casos en los que la Entidad acte como fuente, operadora o usuaria de informacin, sta
debe tener en cuenta que existirn situaciones en las que tenga que suministrar datos a otras
entidades, ya sean de carcter pblico o privado, por lo que es necesario que antes de
administrar los datos personales se encuentren definidas las polticas que respondan ante este
tipo de situaciones.
Durante el desarrollo de estas operaciones, la Entidad aplicar las polticas de seguridad ya
establecidas para combatir la adulteracin o prdida de la informacin, as como la consulta, uso
o acceso no autorizado o fraudulento a los datos transferidos. Sin embargo, para dar aplicacin a
estas polticas es necesario que se detallen los riesgos especiales que se pueden presentar,
cuando se pretende compartir informacin con otras entidades.
Para realizar operaciones encaminadas a interoperar (compartir la informacin), las entidades

tienen la obligacin de cooperar cada vez que as lo requieran en virtud del Decreto 19 de 2012.
Cuando la Entidad acta como fuente de la informacin y transfiera datos personales a otra
Entidad con el fin de que sta los administre, deber certificarle al operador de informacin que
cuenta con la autorizacin otorgada por el ciudadano- titular de los datos. Por su parte, en los
casos en los que la Entidad acte como operadora de informacin deber solicitarle a la fuente
los soportes de las autorizaciones toda vez que esta actuar como administradora de los datos
personales. Estas indicaciones debern llevarse a cabo en los casos en los que as se requiera, de
la manera como fueron descritas en el Paso anterior.
Si acta como usuaria de informacin, deber guardar soporte de toda la informacin que la
operadora o la fuente de informacin le han otorgado, utilizndola nicamente para los fines por
los cuales esta informacin les fue conferida.
En los casos en los que la Entidad tenga la calidad de fuente de la informacin, deber
certificar al operador que cuenta con la debida autorizacin por parte del ciudadano- titular
de la informacin para tratar sus datos personales.
Si actuar como operadora, deber por consiguiente pedir dicha certificacin por parte de la
fuente de la informacin.
Paso N 12: Descripcin de las bases de datos
Antes de desplegar los procesos de obtencin de la informacin y en los casos en los que la
Entidad acte como fuente de informacin, es necesario que realice un ejercicio interno para
describir en detalle el banco de datos que va a contener la informacin que se va a recopilar.
La descripcin que debe constar en un documento que sirva de soporte para dar respuesta a los
requerimientos de la Superintendencia de Industria y Comercio frente al Registro Nacional de
Bases de Datos, debe indicar el volumen de datos que se manejarn, el rea encargada para su
manejo y los lmites temporales conforme a su tratamiento.
Esta informacin, junto a la dems pertinente al manejo de los bancos de datos, deben
registrase ante la Superintendencia de Industria y Comercio, procedimiento que ser
detallado en el Paso N 14 de la presente Hoja de Ruta.
Luego de precisar las caractersticas generales de la informacin que se recoger, la Entidad
deber incluir la descripcin del banco de datos, un resumen de la manera como estos datos van
a ser recogidos, la identificacin de los casos en que se encontrar obligada a compartir los datos
con alguna otra entidad y determinar quin ser el operador de la informacin y quienes los
usuarios de los datos personales.
No se puede olvidar que los bancos de datos personales no pueden ser mezclados en ningn
momento con las bases de datos propias de la Entidad que no tengan naturaleza financiera,
comercial o crediticia.
2. LA RECOLECCIN DE LA INFORMACIN
Paso N 13: Obtencin de los datos personales
En las anteriores etapas la Entidad cre la infraestructura necesaria para obtener los datos
comerciales, financieros y crediticios de la poblacin en los casos en los que la Entidad vaya a
actuar como fuente de informacin. De igual forma, se presentaron los lineamientos para
adecuar la infraestructura necesaria para que tanto los operadores y usuarios de la informacin,
quienes no recopilan los datos, puedan administrar y acceder a estos respectivamente. En caso
de que a lo largo del manejo de los datos, independientemente de la calidad en la que acte la
Entidad, surgen inquietudes acerca de cmo se debe proceder ante una determinada situacin,
se deber acudir al Comit especializado para dirimir estas dudas.
Si la Entidad acta como fuente de informacin tendr contacto directo con el ciudadano- titular
de los datos personales, por tanto, deber disear un plan estratgico que permita determinar la
manera como se va a recolectar la informacin. En este plan, debe indicarse si el procedimiento
se har de manera personal ante el ciudadano- titular de la informacin, o si se va a hacer uso de
medios telefnicos, electrnicos, entre otros.
Una vez decidido el medio de recoleccin de la informacin, se adecuarn esos mecanismos de

tal manera que se garantice el otorgamiento de la Autorizacin por parte del ciudadano-titular de
la informacin. Si la Entidad escogi un medio de comunicacin verbal, guardar soporte de la
autorizacin mediante una grabacin, y si decide elegir mtodos escritos, ya sean electrnicos o
fsicos, deber almacenar todas las autorizaciones, toda vez que deber suminstrasela, luego, al
operador de la informacin.
En los casos que la Entidad acte como fuente de informacin, es necesario que al momento de
recopilar la informacin, recopile tambin los datos necesarios para contactarse con el
ciudadano- titular en el momento en que se requiera actualizar sus datos personales.
La Entidad debe procurar que los soportes y todos los datos de naturaleza comercial, financiera o
crediticia que tenga, sea digitalizada para efectos de administrarla de manera ms ordenada y
eficiente. De no ser ello posible, puede implementar procedimientos de gestin documental con
el fin de que los expedientes relativos al proceso sean registrados y almacenados de manera
adecuada.
La Entidad proceder a estimar un tiempo mximo de duracin del proceso de obtencin de
datos personales, disponiendo adems de los protocolos de seguridad que eviten la ocurrencia
de incidentes. Con el fin de que estas medidas surtan efecto, el servidor pblico encargado de
recopilar los datos del ciudadano- titular deber comunicarle a ste acerca de su participacin en
estas medidas de seguridad, informndole tambin acerca de los riesgos a los que puede estar
expuesta su informacin y la manera en que la entidad ha planeado mitigarlos.
Si la Entidad acta como operadora de informacin debe limitarse a recibir la informacin de la

fuente, toda vez que la Entidad administrar los datos personales del ciudadano- titular
previamente recogidos. Por su parte, si acta como usuaria de informacin, deber:
Conservar la informacin suministrada por el operador de informacin o por la fuente,

utilizndola nicamente para los fines por los cuales le fue entregada.
Informar a los ciudadanos- titulares en los casos en los que este lo solicite, acerca del uso
que est dando a la informacin.
Velar por la seguridad de los datos personales, protegindolos igualmente de prdida,
alteracin, uso no autorizado fraudulento y deterioro de la informacin.
Cumplir con las instrucciones que llegue a impartir una autoridad de control conforme a la
Ley 1266 de 2008.
Paso N 14: Registrar la Base de Datos
Cumplidos los anteriores pasos, la Entidad que acta como fuente de informacin debe proceder
a incluir el banco de datos creado dentro del Registro Nacional de Datos manejado por la
Superintendencia de Industria y Comercio, en el cual se debe indicar:
La finalidad y los usos del fichero en donde se deber indicar el tipo de datos
recopilados y el objetivo connatural a su recoleccin.
Una descripcin bsica de los tipos de datos recopilados.
Los ciudadanos o colectivos de ellos a los cuales se recopil su informacin.
Los rganos de administracin y el rea encargada dentro de la Entidad para la
administracin de la base de datos, en los casos en los que esta acte tambin
como operadora de la informacin.
La manera como el ciudadano- titular puede ejercer su derecho a cancelar, rectificar
o modificar sus datos personales.
Las medidas de seguridad aplicable a las bases de datos.
Es de gran importancia que al momento de registrar el Banco de Datos, la Entidad aporte a la

Superintendencia de Industria y Comercio el Manual Interno de Polticas y Procedimientos
adoptado para el manejo de los datos personales
Paso N 15: Estructuracin de los canales de atencin al ciudadano
Durante el proceso de recoleccin de los datos personales y despus de este, la Entidad atender
las solicitudes de los ciudadanos conforme a sus datos personales, para lo cual debe estructurar
sus oficinas de servicio al ciudadano de tal manera que ste pueda ejercer en todo momento y
de la manera ms expedita posible, las siguientes acciones:
Ejercer su derecho al Habeas Data mediante consultas o reclamos.

Solicitar la certificacin de la existencia de la autorizacin expedida por la fuente de la
informacin.
Solicitar informacin acerca de los usuarios autorizados para consultar su informacin.
En estos medios de atencin, fsicos, electrnicos o telefnicos, se pondrn a disposicin de los

ciudadanos formatos y proformas para que stos puedan elevar ante la Entidad peticiones,
consultas y reclamos relacionados con la administracin de sus datos, los cuales sern explicados
en el Paso N 19.
Paso N 16: Contacto con el ciudadano- titular en la recoleccin
Cuando se entable contacto con el ciudadano- titular, debe impartirse instruccin a los servidores
pblicos encargados de hacer uso de un lenguaje claro y sencillo, sin olvidar que puede
recomendar a ste hacer uso de los formatos y proformas diseadas para que eleve, presente o
radique sus peticiones.
Cuando el ciudadano- titular se dirija a las oficinas de atencin, debe otorgrsele el Folleto
Informativo acerca de la funcin legal de la Entidad, la finalidad de la recoleccin de datos, su
necesidad y la temporalidad en el almacenamiento que a estos aplica, indicado en el Paso N 6.
La persona encargada por la Entidad para entablar contacto con el ciudadano- titular, se
abstendr de usar mecanismos secretos de recoleccin de informacin, como por ejemplo
grabadoras ocultas, y en general todo mecanismo que recolecte informacin innecesaria o de
manera secreta y fraudulenta en contra del ciudadano.
Antes de obtener los datos personales del ciudadano- titular de la informacin, ste debe
suscribir el documento de autorizacin, o manifestar de manera inequvoca tal situacin, para lo
cual la Entidad debe velar por que el ciudadano- titular acepte explcitamente que sus datos sean
administrados por la Entidad fuente de informacin.
Si al momento de recopilar los datos, el servidor pblico encargado de la labor ve la necesidad de

recoger los datos de un tercero, pedir la autorizacin de este sujeto, toda vez que este tambin
ser un ciudadano- titular de la informacin y sus datos no podrn ser tratados sin contar con
una autorizacin al respecto.
Luego de lo anterior, la Entidad debe informar al ciudadano- titular, de forma clara y expresa, qu
datos le sern solicitados, y la manera cmo debe suministrarlos.
Si durante el proceso de recoleccin se va a hacer uso de una grabadora de voz o multimedia, el

encargado de recopilar la informacin debe contar con el consentimiento del ciudadano- titular
antes de empezar el proceso de grabacin e impartir indicaciones acerca de la forma de
obtencin de los datos. Estos dispositivos deben situarse en un lugar visible, para efectos de
generar confianza en el ciudadano- titular.
Cuando el procedimiento culmine, se le entregar al ciudadano- titular de la informacin una

copia de su autorizacin indicndole adems los derechos que le asisten, las polticas y
procedimientos de tratamiento aplicables y la informacin que contenga los mecanismos para
interponer las peticiones, consultas y reclamos.
Se debe indicar al ciudadano- titular que en caso de tener alguna opinin o comentario acerca
del proceso, estos pronunciamientos, recomendaciones, comentarios u opiniones, tambin
tienen la calidad de datos personales, por lo que se registrarn y administrarn como cualquier
otro dato de esa naturaleza.
Cuando se proceda a recoger la opinin de los ciudadanos- titulares de la informacin, esta se

almacenar junto a la descripcin de los sucesos y circunstancias que la acompaaron. La
obtencin de estos datos debe contar tambin con la autorizacin y el consentimiento del
ciudadano- titular.
Paso N 17: Auto-evaluacin del proceso de apertura y de recoleccin de los datos personales
Al finalizar los anteriores pasos, la Entidad-fuente de informacin efectuar un ejercicio de

socializacin de las etapas anteriores del proceso, en el que se resaltarn las dificultades y
falencias que pudieron presentarse. El Comit especializado debe citar a todos los miembros
participantes de la labor y al rea interna designada para el manejo de los datos personales, con
el fin de que participen en el proceso de autoevaluacin.
Si de all surge la necesidad de modificar la Poltica de Tratamiento, debe evaluarse tal situacin
en la reunin y, al cabo de la misma, debe tomarse la decisin sobre si se proceder o no, a
realizar la modificacin pertinente. Para efectos de poder dar cumplimiento a las propuestas que
de all surjan, la Entidad deber:
Llevar a cabo las reuniones con una periodicidad mnima de cada dos (2) meses.
Elaborar actas de las reuniones, en las cuales se especifiquen las tareas y tiempos que
deben ser llevados a cabo por los servidores designados.
3. MANEJO DE LOS BANCOS DE DATOS
Paso N 18: Interoperar con otras entidades
En el caso en que la Entidad interopere con otras entidades, incluyendo aquellas que se localicen
en otros pases, debe proceder a surtir un procedimiento que garantice la integridad y la
seguridad de los datos; por estos motivos, es necesario que cuando la Entidad-fuente de
informacin vaya a transferir los datos personales de naturaleza financiera, comercial y crediticia,
suministre al operador o la fuente, la siguiente informacin:
El nombre del deudor de la obligacin que dio lugar a la creacin del dato.
La condicin en la que este acta, ya sea como deudor principal, deudor solidario, avalista o
fiador, siempre y cuando se acredite dicha condicin.
El monto de la obligacin o la cuota vencida que da origen al dato.
El tiempo que existe de mora y la fecha del pago, en el caso en que ello ya haya ocurrido.
Toda la informacin relevante al dato.
Por el contrario, cuando la Entidad acta como operador o usuaria de la informacin, debe velar
por la correcta transmisin de estos datos, verificando que durante la operacin se transfiera toda
la informacin aqu descrita.
Cumplido lo anterior, los datos sern transferidos de manera ntegra y en su totalidad, sin omitir
aspecto alguno que le reste vigencia a su existencia.
Paso N 19: Permitir la consulta de los datos personales
La Entidad permitir que el ciudadano- titular de la informacin acceda y consulte sus datos
personales, disponiendo de trmites gestionables directamente ante la Entidad o de manera
remota, ya sea telefnicamente, va web o e-mail, o contactndose con el Responsable o
Encargado de la informacin.
La consulta que los ciudadanos - titulares realicen sobre sus datos debe ser brindada de manera
gratuita, a menos que el ciudadano- titular repita una misma consulta en un lapso no superior a
dos meses, caso en el cual podr establecerse, de conformidad con los mecanismos legales
vigentes, una tasa administrativa de acuerdo al costo de la operacin y que en ningn momento
represente un lucro en favor de la Entidad.
La consulta de los datos personales debe ser garantizada tambin por el operador de la
informacin, a los siguientes sujetos:
Los ciudadanos- titulares de la informacin, incluyendo a las personas debidamente
autorizadas por estos, tambin a sus causahabientes. En estos casos, la Entidad debe
cerciorarse que las personas que representen al ciudadano- titular, acrediten su calidad.
Los usuarios de la informacin.
Las autoridades judiciales cuando medie una orden judicial.
Otras entidades pblicas en los casos en los que as se requiera en virtud a la funcin legal
que as lo habilite.
Los organismos de control y los entes disciplinarios, fiscales o administrativos, en los casos
en los que exista una investigacin en curso.
A los operadores de datos cuando exista la debida autorizacin por parte del ciudadano-
titular
Paso N 20: Atencin de las Peticiones, Consultas y Reclamos (PCRs)
Quienes vayan a atender a los ciudadanos, deben estar debidamente capacitados para ello. Por
este motivo, antes de dar trmite a las peticiones, consultas y reclamos formulados por el
ciudadano, los servidores pblicos deben estar previamente instruidos acerca de cmo cumplir
esa labor.
Los ciudadanos- titulares y sus causahabientes tienen el derecho de dirigirse a la Entidad con el
fin de que esta brinde la informacin que solicita, ya que es deber de esta suministrar al
ciudadano- titular o quien haga sus veces, toda la informacin contenida en su registro individual
o que est vinculada a su identificacin personal.
Internamente, la Entidad debe disear e implementar la estructura administrativa dirigida a la

atencin de las PCRs que formule la ciudadana, mediante mecanismos proporcionales al
tamao de la Entidad y a la cantidad de informacin que administra.
Cuando el ciudadano- titular acuda a la Entidad a presentar una solicitud, esta ofrecer los
formatos correspondientes, ya sea en versin fsica o electrnica, para que el ciudadano- titular o
quien haga sus veces, formule su peticin o consulta de manera sencilla.
El formulario de peticin, consulta o reclamo ser elaborado de tal forma que contendr como
mnimo:
o La identificacin del ciudadano- titular.

o Los datos sobre los que versa su solicitud.
o Los datos de contacto incluyendo su direccin.
o La motivacin que da origen a su solicitud.
o Los documentos que se pretenden hacer valer.
Es de vital importancia que en el momento que la Entidad reciba una consulta, esta debe ser
entendida como una solicitud hecha por parte del titular de la informacin o quien haga sus
veces, con el fin de conocer la informacin personal que reposa en los bancos de datos de la
Entidad. Por peticin se deber entender como un mecanismo por medio del cual dicho
ciudadano-titular exige a la Entidad determinada accin, en la cual se puede involucrar una
consulta propiamente dicha. A su vez, el reclamo es un requerimiento por parte del titular de la
informacin o quien haga sus veces, con el fin de corregir o actualizar sus datos personales
financieros, comerciales y crediticios en poder de la Entidad.
Para tramitar peticiones o consultas; una vez formulada por el ciudadano- titular de la
informacin, la Entidad:
La atender y responder en un trmino no mayor a diez (10) das hbiles contados a partir
de su formulacin. Sin embargo, si la Entidad no puede contestar el requerimiento en este
trmino, deber hacrselo saber al ciudadano- titular, indicndole las razones que llevaron a
la demora. En estos casos la Entidad no puede tomarse ms de cinco (5) das hbiles luego
de haber vencido el primer periodo de tiempo.
En todos los casos en los que brinde respuesta, la Entidad debe atender de fondo la peticin
formulada y siempre suministrando integralmente toda la informacin.
El ciudadano- titular de la informacin o quien haga sus veces, tiene el derecho de formular
peticiones o reclamos ante la Entidad con el fin de que rectifique o actualice la informacin
obrante en los bancos de datos, para lo cual puede valerse del instrumento idneo para ello.
Para tramitar reclamos; cuando el ciudadano- titular de la informacin formule por escrito el
requerimiento, la Entidad deber seguir las siguientes instrucciones:
La Ley 1266 de 2008, en su artculo 16, numeral II, le otorga a la Entidad un trmino mximo
de quince (15) das hbiles para el reclamo, no obstante, en los casos en los que no sea
posible atender el requerimiento en este trmino, deber informar esta situacin al
ciudadano- titular, indicndole all las razones que dieron origen a esa demora y
comunicndole que el reclamo ser atendido en un trmino no mayor a ocho (8) das hbiles
contados a partir del primer vencimiento.
Si luego de culminar el trmite, la Entidad debe suministrar los datos al ciudadano- titular de
este, ser necesario que lo haga dentro del trmino de los trminos de respuesta ya
mencionados.
En los casos en los que el operador de informacin no sea la misma fuente de esta, deber
remitir el requerimiento a este ltimo en un trmino mximo de dos (2) das hbiles para que
este se haga cargo del reclamo. Sea cual fuere el caso, debe atenderse el reclamo en un periodo
de tiempo no mayor a quince (15) das hbiles contados a partir de su presentacin, prorrogables
por ocho (8) das ms, siguiendo las instrucciones especiales descritas anteriormente.
Definido el tiempo de respuesta al reclamo, si este fue remitido directamente ante la fuente
de informacin, esta tendr la obligacin de resolverla directamente, habilitada a prorrogar
el tiempo de respuesta si se viere obligada a ello. Sin embargo, la fuente de informacin que
haya recibido el reclamo, deber informar al operador sobre este suceso en mximo (2) das
hbiles contados a partir de su recibimiento.
Posteriormente y en todos los casos, cuando el operador o la fuente reciba el reclamo, debe
revisar detalladamente los planteamientos y las observaciones all plasmadas con el fin de
determinar si fue interpuesta de manera correcta.
Si luego de lo anterior se encuentra que el ciudadano- titular no realiz la solicitud de manera
correcta o lo hizo de manera incompleta, la Entidad informar al sujeto la situacin dentro de
los cinco (5) das hbiles contados desde la recepcin del requerimiento con el fin de que
realice la respectiva correccin o complementacin. Si ello ocurre, ser necesario que se le
indique al sujeto las razones por las cuales requiere corregir su solicitud y la manera como
debe hacerlo, para que en este entendido, si despus de un (1) mes contado desde que se
hizo el requerimiento el ciudadano no corrige su requerimiento, se entender que ha
desistido de ella.
Si al finalizar el trmite del reclamo, resulta que la Entidad debe actualizar o rectificar la
informacin contenida en el banco de datos, debe proceder a ello en el menor tiempo
posible.
Conforme a lo siguiente, la Entidad debe tener en cuenta que ello ser aplicable tanto a las
peticiones, consultas y reclamos:
Si efectivamente la peticin, consulta o reclamo fue interpuesta de manera correcta, la

Entidad que la haya recibido deber incluir, en un trmino no menor a dos (2) das hbiles,
dentro de los datos del solicitante, la leyenda peticin, consulta o reclamo en trmite
segn sea el caso.
Cuando la PCR haya sido resulta, esta leyenda podr ser borrada, antes de ello, no ser
procedente.
Si al finalizar la atencin al ciudadano- titular de la informacin o quien hizo sus veces, este no se
encuentra conforme con la respuesta otorgada y acude al proceso judicial, el operador de la
informacin debe incluir una leyenda en los datos personales debatidos que diga informacin en
discusin judicial en un trmino no mayor a dos (2) das hbiles. Podr retirarse la leyenda hasta
el momento en que se tenga un fallo en firme.
Cuando culmine la atencin al titular, es necesario que se registre el acontecimiento dentro

de la base de datos, por medio de una anotacin. Todo acontecimiento que verse sobre un
dato personal debe ser registrado.
Una vez finalice el proceso de atencin de solicitudes formuladas por el ciudadano- titular o
quien hizo sus veces, se debe pedir que califique el servicio prestado. Esta calificacin debe ser
annima y contabilizada de tal manera que al finalizar el periodo se pueda obtener un ponderado
de calificaciones.
Si durante el proceso de calificacin el ciudadano- titular desea que la Entidad sepa quin
formul la calificacin, la Entidad puede proceder a no anonimizar su calificacin.
Paso N22: Actualizar la informacin
Si la Entidad acta como operadora de informacin, se encontrar en la obligacin de actualizar

los datos personales que reciba de la fuente de informacin, dentro de los diez (10) das
calendario contados desde su recepcin.
Las novedades que recaigan sobre los datos personales obrantes dentro de la Entidad debern
ser reportadas a la fuente de informacin. Claro est que las actualizaciones de la informacin
pueden surgir en virtud a peticiones, consultas y reclamos (PCRs) formulados por el ciudadano-
titular de la informacin o quien haga sus veces.
Si por el contrario acta como fuente de informacin, deber actualizarla una (1) vez cada mes.
En este sentido, cada vez que se reporten novedades en el transcurso del manejo de los bancos
de datos, la Entidad proceder a actualizar la informacin.
Paso N23: Permitir el uso de la informacin
En los casos en que la Entidad acte como operadora de la informacin, permitir que el
ciudadano-titular de esta acceda a la misma en los casos en los que ste lo requiera, para las
siguientes finalidades:
Realizar estudios de mercado o investigaciones comerciales y estadsticas.

Adelantar trmites ante autoridades pblicas o privadas, cuando esa informacin sea
pertinente.
Cualquier otra actividad en la que se haya obtenido autorizacin por parte del ciudadano-
titular de la informacin.
Paso N24: Gestionar incidentes de seguridad
Durante la administracin de datos personales pueden ocurrir fallas de seguridad que pongan en
peligro los derechos de los ciudadanos- titulares de la informacin; entre estos riesgos se
encuentran los fraudes, los robos de identidad, las suplantaciones, etc.
En el momento en que surja la noticia acerca de un presunto incidente de seguridad, lo primero

que debe realizarse dentro de la Entidad es investigar los sucesos y esclarecer la ocurrencia del
mimo. Si de la investigacin hecha por la Entidad resulta el descubrimiento de un incidente, se
disear con urgencia, junto al rea especializada, los planes de respuesta al incumplimiento de
las medidas de seguridad.
Una vez evaluadas las posibilidades y las soluciones al problema, debe aplicarlas con el fin de
mitigar y reparar los daos por la falla. La experiencia obtenida por incidentes imprevisibles por la
Entidad se consignar dentro de las polticas de seguridad de la informacin y aportadas dentro
de los procedimientos de contencin y respuesta ante incidentes de seguridad.
Paso N 25: Notificar el incumplimiento de las medidas de seguridad
Si dentro de la Entidad ocurre algn incidente de seguridad que ponga en peligro la integridad de
los datos personales y su privacidad, o pueda generar algn riesgo a los derechos de los
ciudadanos- titulares de la informacin, la Entidad proceder a notificar estos sucesos a la
Superintendencia de Industria y Comercio, a las autoridades competentes segn el tipo de
suceso y a los ciudadanos- titulares de la informacin.
Entre los incidentes que pueden ocurrir y afectar la intimidad del ciudadano- titular, existen:
o Intromisiones en los sistemas de seguridad.

o Ocurrencia de incidentes relacionados con fugas.
o Usos no adecuados.
o Accesos no autorizados.
o Alteraciones de los datos personales.
o Revelaciones no autorizadas.
o Destruccin de los datos.
o Suplantacin del ciudadano- titular de los datos.
o O cualquier tipo de fraude en los que se vean involucrados los datos personales.
Ante la ocurrencia de estos sucesos, se proceder a notificar el incumplimiento al ciudadano-

titular, a la mayor brevedad, haciendo uso de mecanismos que permitan que este se entere
rpidamente acerca de la ocurrencia de tal incidente. La notificacin de incumplimiento al
ciudadano- titular indicar como mnimo la siguiente informacin:
Descripcin de las circunstancias del incidente y la fecha o periodo en que ha ocurrido.

Datos personales expuestos al incidente de seguridad.
Recomendaciones pertinentes sobre las acciones que ha de tomar.
Medidas correctivas tomadas por el Encargado de los datos personales con el fin de
reducir el riesgo de dao.
Procedimiento a seguir en el cual el ciudadano- titular podr obtener informacin
adicional con respecto al suceso.
Informacin de contacto con el rea encargada que pueda responder, en nombre de la
Entidad, preguntas sobre el incidente.
Paso N 26: Autoevaluacin del proceso de manejo de los datos personales
Finalizados los anteriores pasos, el Comit especializado ser convocado para evaluar los
procedimientos adelantados desde la ltima vez que sesion, evaluando los sucesos ocurridos,
las dificultades que pudieron presentarse y, la postulacin y aprobacin de nuevas medidas a
incluir para modificar el Manual Interno de Polticas y Procedimientos para el tratamiento de
datos personales.
4. RETIRO DE LOS DATOS PERSONALES

Paso N 27: Atender a los ciudadanos-titulares de la informacin, para eliminar la informacin
negativa
La informacin negativa de un ciudadano- titular permanecer en los bancos de datos hasta el

momento en que el criterio de temporalidad preestablecido en el Paso N 3 lo permita. Esta
situacin se puede originar en los casos en los que el ciudadano- titular certifique que ha
cumplido su obligacin, ya sea por pago de la misma, o por cualquier medio que extinga la
obligacin.
Cuando ello ocurra, el ciudadano- titular puede solicitar a la Entidad, cuando esta medie como
operadora de la informacin, que proceda a retirar la informacin negativa de los bancos de
datos. Se debe tener en cuenta que la informacin positiva del ciudadano- titular puede ser
almacenada de manera perpetua.
Paso N 28: Retirar la informacin negativa
En atencin a la limitacin temporal aplicable a la informacin, descrita en el Paso N 3 de la

presente Hoja de Ruta, la Entidad debe proceder a retirar la informacin negativa de un
ciudadano- titular en los casos en los que cumpla la temporalidad descrita por la Ley 1266 de
2008. Si omite el retiro de esta informacin de los bancos de datos, puede ser sancionada por la
Superintendencia de Industria y Comercio.
Es de resaltar que la Entidad para tomar esta decisin, deber acatar los tiempos mximos de
duracin de este tipo de informacin, los cuales fueron descritos en el Paso N 3 de la presente
Hoja de Ruta, en lo que concierne a la temporalidad de los datos personales.
Una vez finalice el proceso de atencin de solicitudes para el retiro de los datos personales, se
debe pedir al ciudadano- titular que califique el servicio prestado, quien decidir voluntariamente
si lo har. Ello debe ocurrir en los casos en los que el ciudadano- titular de la informacin se
dirige a la Entidad para que la informacin negativa sea eliminada.
La calificacin que el ciudadano- titular le otorgue al proceso debe ser annima y contabilizada
de tal manera que al finalizar el periodo se pueda obtener un ponderado de las calificaciones.
Paso N 30: Finalizacin del proceso de cancelacin de las bases de datos
Al finalizar el proceso de retiro de la informacin negativa, se debe proceder a verificar si la

operacin se realiz de manera correcta. Si es as, se proceder a certificar la cancelacin de
estos. En caso contrario ser necesario efectuar las instrucciones omitidas.
Las certificaciones y soportes que acrediten que la informacin se cancel de manera correcta,
deber ser archivada.
Paso No. 31: Autoevaluacin final de la administracin de datos personales
Luego de haber culminado esta etapa, el Comit especializado debe reunirse con el fin de evaluar
el proceso de cancelacin de las bases de datos e interiorizar la experiencia en esta etapa, con el
fin de proponer medidas para ser incluidas en la Poltica de Tratamiento de las Bases de Datos.,
para esto:
Deben discutirse las dificultades que se presentaron, as como las falencias que se
lograron ver y los mtodos para evitarlas.
Deben evaluarse y elegir las medidas encaminadas a modificar la Poltica de
Tratamiento de los Datos Personales.

Hoja de Ruta para Entidades

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Hoja de Ruta para Entidades

Enviado por

Direitos autorais:

Formatos disponíveis

2014

HOJA DE RUTA PARA LA ADECUACIN DE BASES DE DATOS A

El artculo 15 de la Constitucin Poltica, en el captulo de Derechos Fundamentales, consagra los

1.1. La Ley 1266 de 2008

1.2. La Ley 1581 de 2011 y el Decreto 1377 de 2013

No obstante fueron implementados y reglamentados los impulsos legislativos ya mencionados, se

Como se ha expuesto en apartes anteriores, tanto en la jurisprudencia como en el mbito

Con ocasin en lo anterior, se establece como regla general la prohibicin de someter a

En virtud de lo expuesto, y en tanto el Decreto 1377 de 2013 introdujo al ordenamiento jurdico

De esa manera, hemos elaborado un procedimiento sencillo y expedito al alcance de todo

DEFINICIONES A TENER EN CUENTA

a) Autorizaciones: Consentimiento otorgado por el Titular de la informacin para realizar el

b) Aviso de Privacidad: Mecanismo subsidiario de comunicacin, verbal o escrita, generada por

h) Datos personales: La clasificacin de datos personales, hace referencia a cualquier

o) Informacin semi-privada: La informacin que presenta para su acceso y conocimiento un

p) Mecanismos de defensa de permetro: Son los mecanismos relacionados con firewalls,

r) Polticas de Tratamiento: Documento disponible en medio fsico o electrnico, escrito de

s) Polticas internas efectivas: Documento cuyo objetivo tiende a demostrar, ante un

u) Root-kits: Programas tpicamente clandestinos y maliciosos que permiten un acceso

v) Tratamiento de datos o de informacin: Cualquier operacin o conjunto de operaciones

1. LA CREACIN DE LA BASE DE DATOS

Habindose realizado lo anterior, y teniendo presente y a la mano la norma que otorga a la

Cuando una Entidad solicite la divulgacin de informacin que permitan ubicar,

Paso N 2: Definir la necesidad y la finalidad en la recoleccin

Para cualquier otro propsito que disponga la Entidad, se deber obtener la

Realizar un cuidadoso examen acerca de la sensibilidad de los mismos, sealando si estos

En resumen, la Entidad debe partir de la identificacin de su funcin legal para as contrastar

Paso N 3: Identificar el lmite temporal para el manejo de la informacin

Al momento de formular el lmite temporal para el tratamiento de datos

Paso N 4: Identificar a los ciudadanos - titulares de la informacin

Evaluar las competencias de cada uno de ellos.

De esta manera, independiente de la naturaleza del responsable (individual o colectivo) la

Adicionalmente se debe tener en cuenta, que si los servidores pblicos

La Entidad debe asegurarse de comunicarle a los servidores pblicos al momento de conferirle la

Si se trata de datos reservados, los servidores pblicos designados para la

Cumplido lo anterior y para la correcta administracin de datos personales, la Entidad debe

Si los datos a recolectar son susceptibles de crear perfiles acerca de la poblacin,

En la formulacin de la Poltica, adems de incluir los aspectos generales anteriormente

Datos de Si la Poltica de Tratamiento est encaminada a administrar datos de ubicacin,

Conformacin del Comit especializado

La Entidad proceder a conformar el Comit especializado el cual ser un rgano colegiado

Las sesiones adelantadas por el Comit especializado para la proteccin de datos

Cuando se requiera definir el manejo que se dar a la informacin

Paso N 7: Elaborar el Reglamento de Seguridad de la Entidad

Si los datos personales del ciudadano- titular permiten conocer la identificacin

Si la naturaleza de los datos a administrar es de naturaleza reservada, el nivel de

Luego de lo anterior, la Entidad debe implementar medidas de seguridad para la administracin

Protocolos de seguridad dedicados a dar respuesta a las fallas de seguridad del

Los acontecimientos del sistema.

Paso N 8: Capacitacin de los servidores pblicos

Para la administracin de datos de naturaleza estadstica y poblacional, la

Paso N 9: Definir la Poltica de Trazabilidad e Interoperabilidad de Datos Personales

Eventualmente pueden presentarse hechos dentro de la Entidad que ameriten la transferencia

El Responsable y Encargado de las bases de datos se encuentra en la obligacin de identificar los

Paso N 10: Elaborar el Aviso de Privacidad y la Autorizacin dirigida al ciudadano- titular

El Aviso de Privacidad tiene la finalidad de comunicar al ciudadano- titular de la informacin

Nombre o razn social y datos de contacto del responsable del tratamiento.

Paso N 11: Descripcin de las bases de datos personales

Conforme a la descripcin de la base de datos reservados, ser necesario incluir

Paso N 13: Entablar contacto con el ciudadano- titular para la recoleccin

Respecto de la informacin de carcter estadstico de la poblacin, la Entidad al

Si la informacin a recolectar es requerida al ciudadano- titular de la informacin

Al momento de realizar la entrevista o proceso de recoleccin de datos personales, se debe