PROTECCION DE DATOS PERSONALES

PREGUNTAS Y RESPUESTAS

1. ¿Según la ley 1266(2008) y 1581(2012) qué es un dato personal?

 Ley 1266: Es cualquier pieza de información que pueda identificar una persona natural o
jurídica.
 Ley 1581: Es cualquier información que pueda asociarse a una persona natural
determinadas o determinables.

2. ¿Cómo está enmarcada la Ley 1581 del 2012?

 Articulo 15 de la constitución política de 1991.
 Ley estatutaria o ley especial de jerarquía.

3. ¿Qué es una ley estatutaria y que regula?

Es una ley que tiene un rango superior sobre las demás leyes y su estudio es de carácter
prioritario. Ese rango de superioridad se lo da el hecho de que la naturaleza de los temas que
trata son la espina dorsal de la Constitución Política y regula:
 las materias relacionadas con los derechos y deberes fundamentales de las personas y los
procedimientos y recursos para su protección
 La administración de Justicia
 El régimen de los partidos políticos
 Los mecanismos de participación ciudadana
 Los estados de excepción.

4. ¿Qué decreto fue el que reglamentó parcialmente la ley 1581?

Decreto 1377 del 2013

5. ¿Cuál es la ley que constituye el marco general de la PDP?

La ley 1581 del 2012

6. ¿Cuáles son las leyes que han regulado la PDP en Colombia?

La Ley 1266 de 2008 y la Ley 1581 de 2012.

7. ¿Cuál es la diferencia entre la ley 1266 del 2008 y la Ley 1581 del 2012’
 La ley 1266 protege los datos de personas naturales y jurídicas con información financiera
y crediticia.
 La ley 1581 protege los datos de personas naturales bajo un marco general.

8. ¿Cuál similitud hay entre la ley 1266 del 2008 y la Ley 1581 del 2012’
 Ambas son leyes estatutarias
 Regulan el derecho fundamental de Hábeas Data (CAR: Consulta, Actualizar y Rectificar)
la información recogida en bancos de datos públicos y privados.

9. ¿Cuál es el fin de la Ley 1581 del 2012?

Garantizar el PAU (Protección, Almacenamiento y Uso de los datos personales)

Luis Eduardo Lodoño Aguirre Página 1 de 8

Profesional en Protección de datos personales
 PROTECCION DE DATOS PERSONALES
PREGUNTAS Y RESPUESTAS

10. ¿Cuál es la legislación aplicable para definir una política de tratamiento en protección de
datos personales?
 Artículos 15 y 20 de la constitución política de Colombia
 La ley 1581 del 2012.

11. ¿Qué consagra el articulo 15 de constitución política de 1991?

El derecho de cualquier persona de conocer, actualizar y rectificar los datos personales que
existan sobre ella en bancos de datos o archivos de entidades públicas o privadas

12. ¿Qué es el Habeas Data?

Es el derecho que tienen todas las personas a conocer, actualizar y rectificar las
informaciones que se hayan recogido en bancos de datos y en archivos de entidades públicas
y privadas.

13. ¿Cuál es el derecho de habeas data?

Es todo el derecho que tienen los ciudadanos a conocer, actualizar y rectificar toda la
información que tengan las diferentes entidades y bases de datos del país y surgió como parte
fundamental de los artículos 15 y 20 de la Constitución Política.

14. ¿Cuándo se creó la primera ley de habeas data en Colombia

En el 2008 con la Ley estatutaria 1266 creada con carácter especial para el area financiera. Y
crediticia usada para calcular el riesgo crediticio de una persona, como hábitos de pago,
créditos tomados anteriormente y salario o ingresos promedios.

15. ¿Cuál es la evolución cronológica de la normativa?

 Ley 1266 de 2008: Disposiciones generales del Habeas
 Decreto 1727 de 2009: Se determina la forma en la cual los operadores de habeas data
deben presentar la información de los titulares de la información.
 Decreto 235 de 2010: Se reglamenta el intercambio de información entre entidades.
 Decreto 2280 de 2010: Se modifica el artículo 3° del Decreto 235 de 2010.
 Decreto 2952 de 2010: Se reglamentan los artículos 12 y 13 de la Ley 1266 de 2008.
 Ley 1581 de 2012: disposiciones generales para la protección de datos personales.
 Decreto 1377 de 2013: Se reglamenta parcialmente la Ley 1581 de 2012.
 Ley 1712 de 2014: Se crea la ley de transparencia y del derecho de acceso a la información
pública nacional.
 Decreto 886 de 2014: Se reglamenta el artículo 25 de la Ley 1581 de 2012, relativo al
Registro Nacional de Bases de Datos.
 Guía de principios de responsabilidad demostrada presentada por la SIC para
implementar un plan integral de PDP
 Decreto 1759 del 8 de noviembre de 2016 con el cual se amplía el plazo para llevar a
cabo el registro de las bases de datos.

Luis Eduardo Lodoño Aguirre Página 2 de 8

Profesional en Protección de datos personales
 PROTECCION DE DATOS PERSONALES
PREGUNTAS Y RESPUESTAS

16. ¿Cuál es la ley de los delitos informáticos y cuales artículos adiciona?

Es la ley 1273 del 2009 y adiciona los siguientes artículos
 Artículo 269A: Acceso abusivo a un SI
 Artículo 269B: Obstaculizar un SI
 Artículo 269C: Interceptar Datos Informáticos
 Artículo 269D: Daño Informático
 Artículo 269E: Uso de Software malicioso
 Artículo 269F: Violación de datos personales

17. ¿Cómo se clasifican los tipos de datos personales?

Publico, semiprivado, privado y sensible (especial)

18. ¿Cuál es la categoría especial de los datos personales?

Son los datos personales de los menores de 18 años

19. ¿Qué se entiende como dato sensible?

Aquel que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación

20. ¿Cuál es el objeto de una política de tratamiento de PDP?

Dar cumplimiento al artículo 13 del decreto 1377 del 2013

21. ¿Qué es un derecho arco?

Son los derechos del titular al Acceso, Rectificación, Cancelación o el de oponerse al
tratamiento de sus datos personales.

22. ¿Cuáles son los derechos de una persona natural?

Acorde a la constitución son:
 Conocer, actualizar y rectificar los datos personales frente a responsables o
 Solicitar prueba de la autorización al responsable
 Ser informado sobre el uso que le ha dado a sus datos personales.
 Presentar quejas ante la SIC queja por infracciones a lo dispuesto por la ley y demás normas
que la cambien o perfeccionen.
 Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se
respeten los principios, derechos y garantías constitucionales y legales.
 Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.

23. ¿Cuándo se limitan los derechos de un titular?

 Cuando exista un deber legal o contractual que imponga la obligación de permanecer en la
base de datos, como el caso de los trabajadores, clientes, proveedores que se encuentren
activos.
 La información relativa a los titulares inactivos podrá permanecer en las bases de datos en
cumplimiento de las normas o legislación vigente, las cuales exigen la conservación de la
información histórica y contable por plazos estrictamente legales por lo que la misma no
podrá ser suprimida en todas las ocasiones.

Luis Eduardo Lodoño Aguirre Página 3 de 8

Profesional en Protección de datos personales
 PROTECCION DE DATOS PERSONALES
PREGUNTAS Y RESPUESTAS

24. ¿Qué es RNDB?

Es el Registro Nacional de Bases de Datos – RNBD, es el directorio público de las bases de
datos sujetas a tratamiento que operan en el país, el cual es administrado por la
Superintendencia de Industria y Comercio y de libre consulta para los ciudadanos.

25. ¿Cuál fue el decreto que reglamentó el artículo 25 de la ley 1581 para el RNBD?
Decreto 886 del 2014

26. ¿Cuántos días máximo tenemos para registrar una BD nueva?

Las bases de datos que se creen con posterioridad al vencimiento de los plazos, deberán
inscribirse dentro de los dos (2) meses siguientes, contados a partir de su creación.

27. ¿Qué es un aviso de privacidad?

Es una de las opciones de comunicación verbal o escrita que brinda la ley para darle a conocer
a los titulares de la información, la existencia y las formas de acceder a las políticas de
tratamiento de la información y el objetivo de su recolección y uso.

28. ¿Cuáles son las personas sujetas al tratamiento de datos?

Son 4:
 Titular: Persona dueña del dato que se trata.
 Responsable: Persona N/J que decide.
 Encargado: Persona N/J que actúa por cuenta del responsable.
 Usuario: Persona que usa los datos conforme a la finalidad.

29. ¿Qué es la autorización en PDP?

Es el consentimiento que da la persona natural para que los responsables del tratamiento de la
información, puedan utilizar sus datos personales

30. ¿Cómo se debe solicitar la autorización de datos personales?

 Previa: Consentimiento otorgado en el momento de obtenerla.
 Expresa e informada: Consentimiento otorgado debe ser explícito y concreto

31. ¿Cuáles son los medios de obtener la autorización?

Los medios de obtener la autorización son: Escrito, Oral y Conductas Inequívocas (Aquella
que no admite duda o equivocación). En Colombia no se admite el consentimiento tácito
(silencio).

32. ¿Qué es una conducta inequívoca y bajo qué artículo se establece?

Toda manifestación de voluntad, libre, específica, informada y explícita, mediante la que el
interesado acepta el tratamiento de datos personales que le conciernen” y se establece bajo el
articulo 7 del decreto 1377 del 2013.

33. ¿Cuándo se requiere la autorización del Titular?

Siempre que se vaya a realizar cualquier actividad que implique "tratamiento" sobre unos
determinados datos.

Luis Eduardo Lodoño Aguirre Página 4 de 8

Profesional en Protección de datos personales
 PROTECCION DE DATOS PERSONALES
PREGUNTAS Y RESPUESTAS

34. ¿Cuáles son las sanciones dispuestas por la SIC por el incumplimiento de la ley?
 Multas de carácter personal e institucional hasta 2000 SMLMV
 Suspensión del tratamiento hasta por 6 meses bajo presentación de los correctivos.
 Cierre temporal de las operaciones si no hay correctivos.
 Cierre inmediato y definitivo de las operaciones que involucre el tratamiento de datos
personales.

35. ¿Cuáles son los criterios para llevar a cabo sanciones de la SIC?
 Magnitud del daño.
 Reincidencias
 Desacato
 Reconocimiento y aceptación.

36. ¿Que deben garantizar las políticas internas de una empresa en PDP?
Estructura organizativa, mecanismos internos que le de vida a la política y adopción de
procesos para el PQR

37. ¿Ante quien el titular presenta su consulta o reclamos?

Ante el Responsable o Encargado del tratamiento de los datos y es un requisito para poder
presentar una queja ante la SIC

38. ¿Cuáles son los deberes del responsable del tratamiento?

 Solicitar y conservar la autorización.
 Garantizar calidad de la información (veraz, completa, exacta, actualizable, comprobable).
 Garantizar la seguridad de la información (política de seguridad de la información).
 Suministrar al encargado datos cuyo tratamiento este autorizado.
 Garantizar los derechos del titular.
 Suministrar y exigir responsabilidad y seguridad de los datos al encargado
 Tramitar consultas, solicitudes y reclamos
 Adoptar políticas y controles.
 Informar al titular y a la SIC
 Cumplimiento a los requerimientos de la SIC

39. ¿Cuáles son las 10 recomendaciones básicas que una organización debe tener para
proteger los datos personales?
 Finalidades claras y el consentimiento por escrito.
 Area responsable de la PDP.
 Procedimientos de atención a los PQRs
 Conocimiento de las políticas en protección de datos personales
 Inventariar y clasificar la información de las bases de datos
 Conocer las etapas y procedimientos en el ciclo del tratamiento de los datos
 Identificar los riesgos e impacto si se materializan esos riesgos
 Cláusulas de confidencialidad en contratos
 Uso de lenguajes claros para informar las políticas y programas de tratamiento
 Disponer de un encargado para el manejo de los incidentes en los sistemas de DP.

Luis Eduardo Lodoño Aguirre Página 5 de 8

Profesional en Protección de datos personales
 PROTECCION DE DATOS PERSONALES
PREGUNTAS Y RESPUESTAS

40. ¿Cuál es la función principal del OPDP?

Velar por la implementación efectiva de las políticas y procedimientos para cumplir con la PDP.

41. ¿Cuáles son los artículos donde se menciona las características que debe tener el
OPDP?
Bajo el artículo 18 de la ley 1581, el articulo 23 y 27 Decreto 1377 del 2013

42. ¿La legislación colombiana exige la figura del oficial de PDP?

No la menciona expresamente la figura del OPDP, sin embargo, tácitamente se ha entendido
así, debido a las características que la misma ley ha asignado y por el derecho comparado que
así cataloga a dicho rol, responsable de hacer cumplir con el programa de protección de datos
personales al interior de la Organización.

43. ¿Cuál es beneficio de una empresa en contar con OPDP?

Los beneficios son los siguientes:

 Un experto propio en protección de datos

 Un segundo experto la Seguridad Informática
 Reducción de las preocupaciones de cumplimiento
 Para las grandes empresas, un solo responsable de interactuar con las autoridades de
protección de datos
 Una revisión de sus flujos de datos, sin costo extra
 Identificación de problemas de PDP antes de que puedan causar daño a los clientes.
 Más confianza por parte de clientes y potenciales clientes

44. ¿Qué implica un incidente de seguridad de la información?

Ausencia de algún tipo de medida de seguridad

45. ¿Cuáles son principios o propiedades básicas de la seguridad de la información?

 Confidencialidad: Disponer la información a individuos o entidades autorizadas.
 Disponibilidad: La información puede tener uso y ser accedida por personal autorizada.
 Integridad: Exactitud y completitud.

46. Cuáles son los principios rectores en el tratamiento de datos personales

Son 8: Legalidad, finalidad, libertad, Veracidad o calidad, transparencia, acceso y circulación,
seguridad y confidencialidad.

47. ¿En que se resumen los principios de la ley 1581?

Confidencialidad, seguridad y transferencia

48. ¿Cuál es la diferencia que existe entre responsable y encargado?

El responsable es una persona natural que decide, conoce y almacena la información y el
encargado es una persona natural o jurídica que trata y opera la información por orden del
responsable

Luis Eduardo Lodoño Aguirre Página 6 de 8

Profesional en Protección de datos personales
 PROTECCION DE DATOS PERSONALES
PREGUNTAS Y RESPUESTAS

49. ¿Cómo se define el tratamiento de datos personales?

Como toda operación del dato en cada etapa del ciclo de vida del dato (RAUCS= Recolección,
Almacenamiento, Uso, Circulación y Supresión).

50. ¿Cuál es la diferencia entre transferencia y transmisión?

La transferencia ocurre entre responsables de los cuales uno de ellos está por fuera de
Colombia mientras que la transmisión se presenta entre un responsable en Colombia y un
encargado fuera del país.

51. ¿Cuáles son los principios de la privacidad de la información?

Son 8: Calidad, seguridad, apertura, responsabilidad, participación individual, limitación de uso,
especificación de propósito, limitación de recolección

52. ¿Qué es el compliance?

Es una herramienta para supervisar y garantizar que la organización cumpla con la normativa
vigente bajo 3 conceptos Prevenir, Vigilar y Reaccionar.

53. ¿Qué es un derecho al olvido?

Es el derecho que tiene el titular de un dato personal a borrar, bloquear o suprimir información
personal.

54. ¿Cuáles son los conceptos claves de Accountability?

El concepto clave es de responsabilidad demostrada el contiene 3 factores claves:
 Compromiso: Todos deben tener el mismo objetivo.
 Proactividad: Cada uno debe hacer sus actividades de forma correcta.
 Responsabilidad: Cada trabajador de ser responsable de sus acciones

55. ¿Cuáles son los puntos claves que se deben hacer en un proceso de implementación de
la ley 1581 en un sistema de protección de datos personales?
Son compromisos, documentación, riesgos, controles, capacitación y comunicación.

56. ¿Cuál es la información que debe indicar el responsable o encargado del tratamiento de
los DP al titular?
 Finalidad
 Derechos del titular
 Medios por el cual el titular puede ejercer sus derechos
 La no obligatoriedad de suministro de los datos

57. ¿Qué es el GDPR?

Reglamento general de PDP de la unión europea iniciado el 24 de mayo del 2016. Añade que
la empresa tiene la obligación de informar sobre el plazo de conservación de los datos y las
posibles transferencias internacionales. A partir del 25 de mayo del 2018 inicia aplicación en
Colombia al estar incluida en la OCDE.

Luis Eduardo Lodoño Aguirre Página 7 de 8

Profesional en Protección de datos personales
 PROTECCION DE DATOS PERSONALES
PREGUNTAS Y RESPUESTAS

58. ¿Cuáles son las fases básicas de un SGSI?

Fase Actividad Salida

Fase-1 Definir la política Documento de la política
Fase-2 Definir el Alcance Registro del Alcance
Fase-3 Analisis de los riesgos Registro de los riesgos
 Activos de la información
 Definen las amenazas y las
vulnerabilidades
 Tratamiento
Fase-4 Gestión del riesgo desde el grado de Resultados y conclusiones
aseguramiento requerido
Fase-5 Selección de controles a implementar Registro de controles seleccionados
 Controles de la norma
 Controles adicionales
Fase-6 Declaración de aplicabilidad basados en Declaración de la aplicabilidad
los controles seleccionados
Fase-7 Revisión del sistema Registro de revisión del SGSI
 Medidas preventivas
 Medidas correctivas
 Mejoras propuestas
Fase-8 Auditoria Interna Plan de auditoria

Luis Eduardo Lodoño Aguirre Página 8 de 8

Profesional en Protección de datos personales