A continuación, conozca los últimos y más recientes cambios en materia de Protección de Datos del 2022:

1. Decreto 255 de 2022 (Ministerio de Comercio, Industria y Turismo) – Normas corporativas vinculantes:

El pasado 23 de febrero de 2022, con el fin de promover la seguridad jurídica y la protección de los derechos y garantías constitucionales en el tratamiento de datos de carácter personal, el Gobierno de la Nación reguló las denominadas "Normas Corporativas Vinculantes" por medio del Decreto 255 de 2022. Las Normas Corporativas Vinculantes constituyen una alternativa para facilitar la transferencia de datos entre responsables/encargados del tratamiento, pertenecientes a un mismo grupo empresarial y ubicados en distintos países. Estas reglas se materializan a través de sistemas de autorregulación que confieren derechos y garantías a los titulares de los datos, así como deberes y obligaciones al grupo empresarial, en cumplimiento de los principios establecidos en las normas sobre protección de datos y en la aprobación que corresponde a la Superintendencia de Industria y Comercio.

Decreto disponible aquí.

2. Circular 006 de 2022 (Superintendencia de Industria y Comercio) – Tratamiento de datos personales para fines de marketing, publicidad y prospección comercial:

El pasado 15 de julio, la Superintendencia de Industria y Comercio publicó un instructivo para las empresas que utilizan tecnologías de la información y las comunicaciones en el tratamiento de datos con fines de publicidad, mercadeo y prospección comercial. En concreto, establece las siguientes instrucciones:

• Cumplir con la normativa de tratamiento de datos y salvaguardar el derecho fundamental de habeas data.
• Verificar que los datos personales hayan sido obtenidos de forma lícita y que es posible demostrar la prueba de la autorización.
• No contactar a las personas que no deseen recibir más publicidad y eliminar su información de contacto cuando los Titulares lo soliciten, implementando mecanismos para que los Titulares puedan solicitar la supresión de sus datos y/o revocar la autorización.
• Implementar mecanismos efectivos para que los Titulares puedan ejercer sus derechos de rectificación y actualización de datos, así como presentar quejas y reclamos, estableciendo canales fácilmente identificables (enlace, correo electrónico, teléfono) para este propósito.
• Responder de manera oportuna y adecuada las consultas o reclamos de los Titulares sobre sus datos personales, de conformidad con los artículos 14 y 15 de la Ley 1581 de 2012.
• No contactar a las personas en días u horarios que vulneren su "derecho a la tranquilidad".

Circular disponible aquí.

3. Decreto 1389 de 2022 (Ministerio de Tecnologías de la información y las comunicaciones) - Lineamientos generales para la gobernanza en la infraestructura de datos del sector público y el Modelo de Gobernanza de la Infraestructura de Datos:

El pasado 28 de julio de 2022, se publicó el presente Decreto buscando establecer los lineamientos generales para la gobernanza de la infraestructura de datos y crear el Modelo de Gobernanza de la Infraestructura de Datos. El Decreto define a la Infraestructura de datos como el conjunto de recursos compartidos, dinámicos y estandarizados, puestos a disposición por diferentes actores, que permite la disposición permanente de datos para su uso y generación de valor social, económico y/o público, y señala que los sujetos obligados deberán desarrollar e incorporar capacidades técnicas, humanas y administrativas que garanticen el desarrollo e implementación de las disposiciones de Infraestructura de datos.

El Decreto también propone un Modelo de Gobernanza de la Infraestructura de Datos como un conjunto de elementos políticos, técnicos, jurídicos y organizacionales que permiten articular actores, instancias, normas, políticas, planes, programas, estrategias, actores, metodologías, compromisos, procesos y procedimientos para implementar, fortalecer, administrar y manejar la infraestructura de datos, con el propósito de generar valor público, social y económico generar valor público, social y económico a través de los datos.

Decreto disponible aquí.

4. Decreto 1297 de 2012 (Ministerio de Hacienda y Crédito Público) - Regulación de las finanzas abiertas en Colombia:

El pasado 25 de julio de 2022, se publicó el presente Decreto el cual regula las finanzas abiertas u "Open Banking" en Colombia. El Decreto se propuso aclarar las reglas aplicables a la transferencia de datos de los consumidores entre entidades financieras, promover el acceso a dicha información en favor del desarrollo de nuevos servicios y funcionalidades financieras, y clarificar las reglas bajo las cuales las entidades pueden comercializar sus servicios financieros a través de plataformas electrónicas, incluyendo una mayor transparencia en los términos y condiciones de dichas interfaces y los roles de quienes intervienen en la cadena de servicios. Para ello, el Decreto desarrolla la implantación de la Banca Abierta a través de los siguientes pilares principales:

• El tratamiento y comercialización de los datos personales de los consumidores financieros.
• Ecosistemas digitales y finanzas integradas
• Iniciación de los pagos como actividad dentro del ecosistema de pagos
• Comercialización de Tecnología e Infraestructura a terceros

Decreto disponible aquí.

5. Guía de Implementación de Cláusulas Contractuales Modelo para la Transferencia Internacional de Datos Personales (Red Iberoamericana de Protección de Datos):

La Red Iberoamericana de Protección de Datos (RIPD) publicó una guía de cláusulas contractuales modelo para las transferencias internacional de datos de carácter personal. La presente guía, que cuenta con un carácter no vinculante, pretende recoger los principales aspectos para tener en cuenta a la hora de realizar transferencias internacionales de datos de carácter personal mediante la utilización de cláusulas contractuales modelo.

Guía disponible aquí.

6. Importante: Actualización Registro Nacional de Bases de Datos 2023

De acuerdo con lo dispuesto en el Título V de la Circular Única de la Superintendencia de Industria y Comercio, los Responsables del tratamiento deberán realizar la actualización del Registro Nacional de Bases de Datos así:

• Cambios no sustanciales: Anualmente, entre el 2 de enero y el 31 de marzo.
• Información relacionada con los reclamos presentados por los titulares: dentro de los quince (15) primeros días hábiles de los meses de febrero y agosto de cada año.
• Cambios sustanciales: dentro de los primeros diez (10) días hábiles de cada mes, a partir de la inscripción de la base de datos.