Política de privacidad y tratamiento de datos
1.Introducción y ámbito de aplicación
Retomando la experiencia ya recorrida por los países europeos y algunos otros latinoamericanos, en materia de manejo y protección de información personal, Colombia, a través de diferentes mecanismos, ha buscado permanentemente la regulación de este tema, el cual reviste particular interés dada la tecnificación y la velocidad con la que surgen nuevas tecnologías que permiten la transmisión de información, conllevando una peligrosa intromisión en la intimidad de los individuos y las organizaciones.
En esa medida, desde principios de los años 80´s, a través de las sentencias de la Corte Constitucional, mediante las cuales se buscó proteger los derechos a la intimidad, buen nombre y en general Habeas Data, se inició con el desarrollo de esta materia en nuestro medio, hasta llegar a la implementación de su reglamentación parcial a través de la expedición de a Ley 1266 de 2008 y sus decretos reglamentarios la cual, actualmente, es considerada como una norma sectorial complementaria a la regulación general existente desde la expedición de la Ley 1581 de 2012, vigente a partir del 17 de octubre de ese año, estatuto cuya constitucionalidad fue estudiada y ratificada por el concepto previo de constitucionalidad contenido en la sentencia C- 748 de 2011 de la Corte Constitucional y que reproduce y profundiza en buena parte las obligaciones ya prescritas por la normatividad sectorial anteriormente vigente, resultando aplicable, ésta sí en su totalidad, a cualquier entidad o persona natural, pública o privada, sin importar si tiene o no ánimo de lucro, que maneje información de carácter personal, salvo por las precisas excepciones que son establecidas en su propio texto.
Este cuerpo normativo ha sido objeto de posteriores desarrollos a través de los decretos 1377 de 2013 y 886 de 2014, (compilados en el Decreto Único Reglamentario del sector Comercio, Industria y Turismo) y su texto ha sido objeto de complemento e interpretación doctrinaria principalmente a través de las guías y conceptos proferidos por la Delegatura de Protección de Datos Personales de la Superintendencia de Industria y Comercio en su calidad de autoridad nacional en la materia.
Es entonces, en virtud de lo anterior, que la Unión Colegiada del Notariado Colombiano (en adelante “U.C.N.C.”), como entidad que agrupa a la mayoría de los Notarios de Colombia en desarrollo del objetivo de promover y estimular el cumplimiento de la Constitución Política, de la ley, de los principios de Deontología Notarial por parte de los notarios asociados, y de la búsqueda constante de la adaptación de la profesión del Notario a las nuevas situaciones y preceptos legales que le incumben, dentro de los que se encuentra la legislación nacional vigente en materia de protección y tratamiento de datos personales, presenta el Código General de Tratamiento de datos de carácter personal para los Notarios Colombianos a ella afiliados, a través del cual se pretende adecuar las actividades desarrolladas por los notarios con las obligaciones que a ellos corresponden como Responsables y/o Encargados del Tratamiento de Datos Personales mediante reglas o estándares específicos
particulares que permitan conciliar el tratamiento de datos efectuado por los notarios que se adhieran a este código, facilitar el ejercicio de los derechos de los afectados y favorecer el cumplimiento de lo dispuesto en la legislación nacional vigente en materia de datos personales.
Se precisa que este código tiene el carácter de buena práctica profesional, pretendiendo, en adición a lo establecido en el párrafo anterior, presentados directrices generales en la materia para cada una de las actividades que componen los procesos administrativos y notariales de los notarios que se adhieren al código, sin suponer esto que no se deban implementar procesos y medidas de control y seguridad propias, de acuerdo con las políticas internas que se tengan en cada una de las Notarías.
Es de anotar que este Código es vinculante para cada uno de los notarios afiliados, desde el momento en que se adhieren a él en la forma establecida en el aparte correspondiente incluido en este mismo documento.
2.Marco legislativo
El notario en su doble condición, de Responsable del tratamiento de datos personales de forma independiente y de Encargado del tratamiento de datos personales en virtud de las funciones delegadas sobre la información propiedad de la nación, se ve obligado a cumplir con una serie de normas aplicables a su situación, de las cuales, a continuación, se realiza un recuento que abarca el objeto del presente Código.
1.1. Normatividad Datos Personales
- Ley1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales”: Desarrolla el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar la información que se hayan recogido sobre ellas en bases de datos y/o archivos (Hábeas Data).
- Decreto 1377 de 2013 “Por el cual se reglamenta parcialmente la Ley1581 de 2012”: Reglamenta parcialmente la ley por medio de la cual se dictan disposiciones generales para la protección de datos personales. Este decreto se encuentra compilado en el Decreto 1074 de 2015 Único Reglamentario del sector comercio, industria y turismo.
- Decreto 886 de 2014 “Por el cual se reglamenta el artículo 25 de la Ley1581 de 2012 relativo al Registro Nacional de Bases de Datos”: Establece los términos y condiciones bajo las cuales los Responsables del tratamiento deben inscribir sus bases de datos ante el Registro Nacional de Bases de Datos administrado por la Superintendencia de Industria y Este decreto se encuentra compilado en el Decreto 1074 de 2015 Único Reglamentario del sector comercio, industria y turismo.
ü Decreto 1074 de 2015 “Por medio del cual se expide el Decreto Único
Reglamentario del Sector Comercio, Industria y Turismo”: Contentivo de la compilación de la normatividad reglamentaria existente y vigente en el territorio colombiano relacionada con el sector de Comercio, Industria y Turismo.
- Decreto 090 de 2018 “Por el cual se modifican los artículos 2.2.2.26.1.2.y 2.2.2.26.3.1 del Decreto 1074 de 2015 – Decreto Único Reglamentario del Sector Comercio, Industria y Turismo”: Limita el universo de obligados que deben cumplir con la obligación de registrar sus bases de datos en el Registro Nacional de Bases de Datos. Este decreto se encuentra compilado en el Decreto 1074 de 2015 Único Reglamentario del sector comercio, industria y
- Circular Única de la Superintendencia de Industria y Comercio – TítuloV: Cuerpo normativo que reúne todas las reglamentaciones e instrucciones de la Superintendencia de Industria y Comercio que se encuentran vigentes. Para el caso que ocupa este Código, el título V de la circular recopila los temas relacionados con el Hábeas Data y la protección de datos personales (Ley 1266 de 2008 y Ley 1581 de 2012).
1.2. Normatividad transparencia y acceso a la información pública
- Ley1712 de 2014 “Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones”: Tiene como objeto regular el derecho de acceso a la información pública, los procedimientos para el ejercicio y garantía del derecho y las excepciones a la publicidad de la información por parte de los sujetos obligados1.
- Decreto103 de 2015 “Por el cual se reglamenta parcialmente la Ley 1712 de 2014 y se dictan otras disposiciones”: Reglamenta parcialmente la ley de transparencia y del derecho de acceso a la información pública nacional, principalmente en lo relativo a la gestión de la información pública.
- Decreto1081 de 2015 “Por medio del cual se expide el Decreto Reglamentario Único del Sector Presidencia de la República”: Mediante el cual se realiza la compilación de la normatividad reglamentaria existente y vigente en el territorio colombiano relacionada con el sector administrativo en cabeza de la Presidencia de la República.
1 Toda entidad pública, incluyendo las pertenecientes a todas las Ramas del Poder Público, en todos los niveles de la estructura estatal, central o descentralizada por servicios o territorialmente, en los órdenes nacional, departamental, municipal y distrital; Los órganos, organismos y entidades estatales independientes o autónomos y de control; Las personas naturales y jurídicas, públicas o privadas, que presten función pública o que presten servicios públicos respecto de la información directamente relacionada con la prestación del servicio público; Cualquier persona natural, jurídica o dependencia de persona jurídica que desempeñe función pública o de autoridad pública, respecto de la información directamente relacionada con el desempeño de su función; Las empresas públicas creadas por ley, las empresas del Estado y sociedades en que este tenga participación; Los partidos o movimientos políticos y los grupos significativos de ciudadanos; y las entidades que administren instituciones parafiscales, fondos o recursos de naturaleza u origen público.
1.3. Normatividad función notarial
- Decreto1260 de 1970 “Estatuto de Registro del Estado Civil de las personas”:
Estatuto que regula el estado civil de las personas.
ü Decreto 1260 de 1970 “Estatuto de Registro del Estado Civil de las personas”:
Estatuto que regula el estado civil de las personas.
- Ley594 de 2000 “Por medio de la cual se dicta la ley general de archivos y se dictan otras disposiciones”: Tiene como objeto establecer la reglas y principios generales que regulan la función archivística del
- Ley 734 de 2002 “Por la cual se expide el Código Disciplinario Único”:Ley mediante la cual, entre otros asuntos, se establece el régimen disciplinario especial de los notarios, se catalogan las faltas imputables a estos y se le da la calidad de órgano competente para dar aplicación a este régimen a la Superintendencia de Notariado y Registro.
- Decreto 019 de 2012 “Por el cual se dictan normas para suprimir oreformar regulaciones, procedimientos y trámites innecesarios existentes en la Administración Pública”: Busca facilitar la actividad de las personas naturales y jurídicas ante las autoridades, contribuir a la eficiencia y eficacia de éstas y desarrolla los principios constitucionales que la
ü Resolución 5633 de 2016 “Por la cual se reglamentan las condiciones y el procedimiento para el acceso a las bases de datos de la información que
- producey administra la Registraduría Nacional del Estado Civil”: Mediante la cual se reglamentan las condiciones y procedimientos a seguir por parte de las entidades públicas, de los particulares que ejercen funciones públicas y de los particulares autorizados por la ley, para el acceso y consulta a los datos y las bases de datos de la información que produce y administra la Registraduría Nacional del Estado
3.Glosario
Para el adecuado entendimiento del presente Código se debe tener en cuenta el significado de los términos que son utilizados frecuentemente en su texto con el fin de delimitar su alcance y evitar equívocos sobre los mismos. Tales términos tienen el significado que a continuación se les asigna:
1.1. Definiciones generales y de protección de datos personales
- Archivo:Conjunto de documentos acumulados en el desarrollo de los procesos adelantados por el Notario en el transcurso de su gestión.
- Autorización. Consentimiento previo, expreso e informado del Titular parallevar a cabo el Tratamiento de Datos Personales.
- Avisode Comunicación verbal o escrita generada por el Responsable del Tratamiento, dirigida al Titular para el tratamiento de sus Datos Personales, mediante la cual se le informa acerca de la existencia de las Políticas de Tratamiento de información que le son aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los Datos Personales.
El aviso de privacidad sólo será utilizado en caso de no tener a disposición del público la Política de Privacidad implementada por el Notario correspondiente.
- Basede Datos. Conjunto organizado de Datos Personales que es objeto de
- Códigogeneral de tratamiento de datos personales: Documento mediante el cual se presentan pautas generales frente al tratamiento de datos personales en los procesos particulares de los Notarios como Responsables o encargados del
- Dato Personal. Cualquier información vinculada o que pueda asociarse auna o varias personas naturales determinadas o determinables.
- Dato Personal Público. Dato que no es ni semi-privado, ni privado, nisensible, y que por su naturaleza puede estar contenidos en registros públicos, documentos públicos, gacetas, boletines oficiales, y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
Son considerados como datos públicos, entre otros, los datos relativos al registro civil de las personas, a su profesión u oficio, y a su calidad de comerciante o de servidor público.
- DatoPersonal Dato que es solo relevante para su titular.
- Dato Personal Semiprivado: Dato cuyo conocimiento o divulgación puedeinteresar a la persona titular de la información y a un cierto sector o grupo de personas como lo puede ser el dato financiero y crediticio que cuenta con un tratamiento especial en la Ley 1266 de 2008 (Ley de Habeas Data).
- Dato Personal Sensible: Dato que afecta la intimidad del Titular o cuyo usoindebido puede generar su discriminación, tal como aquel que revele el origen racial o étnico; la orientación política; las convicciones religiosas o filosóficas; la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garantice los derechos y garantías de partidos políticos de oposición; los datos relativos a la salud, a la vida sexual; y los
datos biométricos.
- Delegaturapara la Protección de Datos Personales: Autoridad de protección de datos en Colombia que forma parte de la Superintendencia de Industria y
- Encargado del Tratamiento. Persona natural o jurídica, pública o privada,que por sí misma o en asocio con otros, realiza el Tratamiento de Datos Personales por cuenta del Responsable del
- Información: Se refiere a un conjunto organizado de datos contenido encualquier documento que un Responsable o un Encargado del tratamiento genera, obtiene, adquiere, transforma o
Manual de procesos: Documento que establece el procedimiento para el tratamiento de datos personales al interior del responsable o encargado de la información.
El presente Código General se constituye en el manual de procesos que cada uno de los Notarios afiliados pondrá en práctica en su notaría. Sin embargo, de manera autónoma e independiente cada uno de ellos puede limitarlo en aspectos específicos de acuerdo con el caso particular, es decir, puede hacer las adaptaciones apropiadas a las circunstancias.
- Oficial de Privacidad. Dentro de la estructura interna de la Notaria es lapersona encargada de velar por la implementación efectiva de las políticas y procedimientos adoptados para que el Notario cumpla con la legislación nacional vigente en materia de tratamiento y protección de datos
- Política de Privacidad. Documento que informa al titular de la informacióncual es el tratamiento de los datos personales que el Notario como Responsable del tratamiento recopila en ejercicio de sus funciones.
- Peticiones, quejas, reclamos y solicitudes presentadas por cualquierpersona interesada.
- Responsabilidaddemostrada: Principio bajo el cual se establece la necesidad de demostrar la implementación de medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la legislación nacional vigente en materia de protección y tratamiento de datos
- Responsabledel Tratamiento. Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decide sobre la Base de Datos y/o el Tratamiento de los Datos
- Superintendenciade Industria y Comercio: Organismo técnico, de carácter administrativo, adscrito al Ministerio de Comercio, Industria y
- Titular de la información. Persona natural cuyos Datos Personales sonobjeto de Tratamiento;
- Tratamiento. Cualquier operación o conjunto de operaciones sobre DatosPersonales, tales como la recolección, almacenamiento, uso, circulación o supresión.
- Tratamiento automatizado.Recolección, almacenamiento, uso, acceso, circulación, transferencia, transmisión o supresión de datos personales contenidos en documentos digitales o herramientas tecnológicas.
- Tratamiento manual o físico. Recolección, almacenamiento, uso, acceso,circulación, transferencia, transmisión o supresión de datos personales contenidos en documentos físicos.
- Transferencia.Se presenta cuando el Responsable del Tratamiento, ubicado en Colombia, envía información personal a un receptor, ubicado dentro o fuera del país, y que a su vez es Responsable del Tratamiento de dicha información.
- Transmisión.Se presenta cuando el Responsable del Tratamiento, ubicado dentro o fuera del país, comparte información personal para su tratamiento por parte de Encargado del Tratamiento ubicado dentro o fuera del país.
1.2. Definiciones particulares y de la función notarial
- Autenticación. Proceso mediante el cual el Notario da fe respecto a laveracidad de un
- Conciliación. Medioalternativo a la jurisdicción para solucionar conflictos, a través del cual las partes resuelven, por si mismas, o mediante un acuerdo, un conflicto con la intervención de un tercero.
- Copia simple: Es aquella que se expide en papel de seguridad sin loscorrespondientes
- Declaraciónextra Manifestación libre y espontánea con la que una persona puede confirmar o dar fe de un testimonio o de un hecho en particular.
- Escritura pública: Es el instrumento que contiene declaraciones en actosjurídicos, emitidas ante el Notario, con los requisitos previstos en la Ley y que se incorpora al
- Escriturar:Formalizar y dar carácter legal a un acuerdo u obligación mediante una escritura o
- Fe pública notarial. La que otorga plena autenticidad a las declaracionesemitidas ante el Notario y a lo expresado por este respecto de los hechos percibidos
en el ejercicio de sus funciones, en los casos y con los requisitos que la ley establezca.
- Notaría.Oficina donde el Notario desarrolla sus
- Persona natural que presta el servicio de notariado y que cuentacon la capacidad de dar fe pública sobre los actos y documentos que conoce en ejercicio de su función, quien, por un acto voluntario y con el propósito de alcanzar elevados estándares en el desarrollo de su labor, de acuerdo con sus capacidades logísticas y económicas, adhiere al presente Código General de Tratamiento de Datos Personales.
- Registro Instrumento que de manera detallada y fidedigna deja constancia de todos los hechos relativos a la identidad, filiación y estado civil de las personas, desde su nacimiento hasta su muerte.
- Superintendenciade Notariado y Organismo que goza de autonomía administrativa y financiera, con personería jurídica, adscrita al Ministerio de Justicia y del Derecho.
- Unión Colegiada del Notariado Colombiano – “U.C.N.C.” Entidad queagrupa a la mayoría de los notarios, a través de la afiliación voluntaria, con el fin de representarlos institucionalmente y capacitarlos académicamente, facilitando herramientas jurídicas y tecnológicas para el ejercicio de la función fedataria, garantizando la prestación de un eficiente servicio en las notarías con altos estándares de calidad, transparencia, control de legalidad y observancia de los elevados principios éticos y notariales.
4.Principios del tratamiento de la información
Para todo tratamiento de datos personales deberán respetarse los principios de (i) Legalidad en materia de Tratamiento de datos; (ii) Finalidad; (iii) Libertad; (iv) Veracidad o calidad; (v) Transparencia; (vi) Acceso y circulación restringida; (vii) Seguridad; y (viii) Confidencialidad, los cuales se definen a continuación:
- Legalidad: Toda actividad que se realice involucrando datos de carácterpersonal debe sujetarse a las normas generales y particulares que cobijan las actuaciones tanto de responsables como de encargados de la información.
- Finalidad:El tratamiento de datos personales debe obedecer a una finalidad legitima de acuerdo con la Constitución y la Ley, la cual debe ser informada al
La finalidad de las bases de datos está establecida por la normatividad vigente y las necesidades de operación del Responsable del Tratamiento y no se usan para fines diferentes a los descritos en la autorización del Titular, en las políticas de privacidad vigentes o aquellos legalmente autorizados.
- Libertad: La información personal en general requiere para su tratamientodel consentimiento, previo, expreso e informado del titular de la información. Los datos personales no pueden ser obtenidos o divulgados sin contar con la mencionada autorización, o excepcionalmente, mediando mandato legal o judicial que releve la necesidad del consentimiento.
En el evento que los datos sean capturados por el Responsable del Tratamiento se deberá informar al titular de manera clara, suficiente y previa acerca de la finalidad del tratamiento de la información suministrada y, por tanto, no podrán recopilarse datos sin la clara especificación acerca de la finalidad de los mismos.
- Veracidad o calidad: La información sujeta a tratamiento debe ser veraz,completa, exacta, actualizada, comprobable y Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
Se deben adoptar medidas razonables para asegurar que los datos sean precisos y suficientes y, cuando así lo solicite el Titular o cuando el Responsable del Tratamiento lo determine, sean actualizados, rectificados o suprimidos de ser procedente.
- Transparencia:En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan;
- Accesoy circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la ley;
- Seguridad:Implica un manejo de la información con las medidas necesarias para evitar cualquier forma de adulteración, pérdida, consulta, uso o ingreso no autorizado o fraudulento de los mismos.
- Confidencialidad: Obliga a toda persona vinculada a la recolección, uso otratamiento de la información a garantizar la reserva de la misma, autorizando únicamente y de manera excepcional el suministro o comunicación de datos personales cuando ello corresponda al desarrollo de actividades autorizadas en la ley y en los términos de la misma.
4.Principios del tratamiento de la información
Para todo tratamiento de datos personales deberán respetarse los principios de (i) Legalidad en materia de Tratamiento de datos; (ii) Finalidad; (iii) Libertad; (iv) Veracidad o calidad; (v) Transparencia; (vi) Acceso y circulación restringida; (vii) Seguridad; y (viii) Confidencialidad, los cuales se definen a continuación:
- Legalidad: Toda actividad que se realice involucrando datos de carácterpersonal debe sujetarse a las normas generales y particulares que cobijan las actuaciones tanto de responsables como de encargados de la información.
- Finalidad:El tratamiento de datos personales debe obedecer a una finalidad legitima de acuerdo con la Constitución y la Ley, la cual debe ser informada al
La finalidad de las bases de datos está establecida por la normatividad vigente y las necesidades de operación del Responsable del Tratamiento y no se usan para fines diferentes a los descritos en la autorización del Titular, en las políticas de privacidad vigentes o aquellos legalmente autorizados.
- Libertad: La información personal en general requiere para su tratamientodel consentimiento, previo, expreso e informado del titular de la información. Los datos personales no pueden ser obtenidos o divulgados sin contar con la mencionada autorización, o excepcionalmente, mediando mandato legal o judicial que releve la necesidad del consentimiento.
En el evento que los datos sean capturados por el Responsable del Tratamiento se deberá informar al titular de manera clara, suficiente y previa acerca de la finalidad del tratamiento de la información suministrada y, por tanto, no podrán recopilarse datos sin la clara especificación acerca de la finalidad de los mismos.
- Veracidad o calidad: La información sujeta a tratamiento debe ser veraz,completa, exacta, actualizada, comprobable y Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
Se deben adoptar medidas razonables para asegurar que los datos sean precisos y suficientes y, cuando así lo solicite el Titular o cuando el Responsable del Tratamiento lo determine, sean actualizados, rectificados o suprimidos de ser procedente.
- Transparencia:En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan;
- Accesoy circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la ley;
- Seguridad:Implica un manejo de la información con las medidas necesarias para evitar cualquier forma de adulteración, pérdida, consulta, uso o ingreso no autorizado o fraudulento de los mismos.
- Confidencialidad: Obliga a toda persona vinculada a la recolección, uso otratamiento de la información a garantizar la reserva de la misma, autorizando únicamente y de manera excepcional el suministro o comunicación de datos personales cuando ello corresponda al desarrollo de actividades autorizadas en la ley y en los términos de la misma.
5.Responsabilidad demostrada o Accountability
De acuerdo con la legislación colombiana en materia de datos personales y en seguimiento de generalizadas prácticas internacionales en la materia, un Responsable del tratamiento debe ser capaz de demostrar, a petición de la
Superintendencia de Industria y Comercio, que ha implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y el Decreto 1377 de 2013;
Significado de Accountability
En la historia: Este término tiene su origen en el mundo anglosajón donde su uso es general y el término como tal “(…) apunta sobre todo al modo en que se ejercen las competencias y al modo en que esto puede comprobarse”2.
En el universo de datos personales: Se ha entendido que Accountability se refiere al “(…) modo como el Responsable del tratamiento debe cumplir en la práctica las regulaciones sobre la materia y a la manera como debe demostrar que lo hecho es útil, pertinente y eficiente”.3 siendo traducido como el “Principio de Responsabilidad Demostrada”, cuya evolución se presenta a continuación:
1.1. Organismos internacionales.
- En el año 1980, la Organización de Cooperación y Desarrollo Económicos(OCDE), organismo internacional cuyo objetivo es coordinar y establecer orientaciones sobre temas de relevancia internacional, aplicables por los miembros de la Organización bajo los principios de no discriminación y trato equivalente, incorporó el principio de responsabilidad demostrada en su grupo de recomendaciones estableciendo que el responsable del tratamiento de los datos personales debe cumplir con ciertas medidas que se relacionan íntimamente con la protección a la intimidad, lo cual fue actualizado en el año 2013, complementándolo con algunas sugerencias para ponerlo efectivamente en práctica por parte de los responsables del tratamiento, quienes se vieron abocados
- Implementarun programa de gestión de privacidad4
- Estaren capacidad de demostrar que el programa es apropiado para cumplir con sus responsabilidades
- Notificar a las autoridades y a los titulares de los datos sobre lasbrechas de seguridad que afectan los datos personales
- Enel año 1990, la Organización de las Naciones Unidas (ONU) mediante su documento “Principios rectores para la reglamentación de los ficheros computarizados de datos personales” dispuso que los responsables del tratamiento de datos
2 Dictamen 3/2010 sobre el principio de responsabilidad. Grupo de trabajo de protección de datos del artículo 29.
3 Guía GECTI para la implementación del principio de responsabilidad demostrada
4 Este programa debería cumplir con requisitos como lo son: (I) Ser vinculante u obligatorio para quienes estén bajo control del responsable del tratamiento; (ii) tener en cuenta la estructura, tamaño, volumen y sensibilidad de operaciones del responsable del tratamiento; (iii) estar integrado a la estructura de gobierno del responsable; (iv) establecer mecanismos internos de supervisión; (v) incluir planes de respuestas a las solicitudes de los titulares de los datos; (vi) ser objeto de actualización, monitoreo y evaluación periódica.
personales deberían adoptar medidas apropiadas para proteger las bases de datos contra riesgos naturales y humanos que generen perdida, acceso y/o uso no autorizado de los datos incorporados en ellas.
- Mediante el “Marco de Privacidad del Foro de Cooperación Económica AsiaPacifico” (APEC), del año 2004, se hiso referencia al principio de responsabilidad demostrada presentándolo dentro del contexto de las transferencias internacionales de datos personales aduciendo que todo responsable del tratamiento debe cumplir con ciertas medidas (sin especificar cuáles medidas) que asegure que el receptor proteja la información que
1.2. Unión Europea.
- Comouna medida práctica de adoptar herramientas para garantizar el derecho a la protección de los datos se tuvo en cuenta el principio de responsabilidad demostrada en la Unión Europea en el Dictamen 3/2010 del Grupo de Trabajo de protección de datos del artículo 295 por medio del cual se dispuso que, en la práctica, este principio debe traducirse en la búsqueda de minimizar los riesgos, crear y mantener una buena reputación, así como garantizar la confianza de los titulares de la información. Todo lo anterior mediante un programa de cumplimiento con medidas particulares para cada uno de los responsables del tratamiento que se adecuen a su realidad, al tratamiento de datos que realice y dependiendo de los riesgos que sea identificados por 6
- Bajo el Reglamento General Europeo de protección de datos personales, elcual entró en vigencia el pasado 25 de mayo de 2018 derogando la Directiva 95/46/CE7, se ordena a los responsables del tratamiento utilizar medidas que le permitan demostrar que el tratamiento de datos se realiza cumpliendo con todo lo ordenado por tal Reglamento, las cuales deben ser complementadas con tres instituciones, como lo son:
5 El Grupo de trabajo del artículo 29 era un grupo conformado por un representante de cada una de las autoridades de protección de datos personales de los estados miembros de la Unión Europea que tiene como objetivo (i) Dar consejos de expertos en relación con la protección de datos; (ii) Promover la aplicación de la legislación europea de protección de datos; y (iii) facilitar un dictamen sobre las leyes comunitarias que afecten el derecho a la protección de datos personales. Este grupo fue reemplazado por el Comité Europeo de Protección de Datos, creado por el Reglamento General Europeo de protección de datos personales (UE 2016/679) cuya entrada en vigor se produjo el 25 de mayo de 2018
6 El G29 toma como ejemplos de medidas de responsabilidad demostrada: (i) Establecimiento de procedimientos internos previos a la creación de nuevas operaciones de tratamiento; (ii) Establecimiento de políticas escritas y vinculantes de protección de datos; (iii) nombramiento de un funcionario responsable de la protección de datos; (iv) Oferta adecuada de formación a los miembros del personal del responsable del tratamiento; (v) Establecimiento de un mecanismo interno de tratamiento de quejas; (vi) Realización de evaluaciones de impacto sobre la privacidad en circunstancias específicas;
(vii) Establecimiento de procedimientos internos de gestión y notificaciones eficaces de fallos de seguridad; entre otros.
7 La Directiva 95/46/CE fue una directiva de la Unión Europea, adoptada en el año 1995, mediante la cual se regulaba el procesamiento de datos personales dentro de la Unión Europea, y la cual fue derogada por el Reglamento General Europeo de protección de datos personales en vigencia desde el mes de mayo de 2018.
- Laprotección de datos desde el diseño y por defecto8
- Laevaluación de impacto relativa a la protección de datos9
- Delegadode protección de datos10
1.3. Latinoamérica
En Latinoamérica, principalmente en México, Perú, Argentina, Uruguay y Colombia, el principio de responsabilidad ha sido desarrollado ampliamente como parte fundamental de la regulación dirigida a la protección y el tratamiento de datos personales.
1.3.1. México
Bajo la legislación mexicana, el principio de responsabilidad demostrada, conocido también como el principio de “rendición de cuentas”, por medio del cual los responsables del tratamiento deben velar por el cumplimiento de los principios adicionales, adoptar las medidas necesarias para su aplicación, demostrar ante titulares y la autoridad, que cumplen con sus obligaciones en torno a la protección de los datos personales y rendir cuentas al titular de la información en caso de incumplimiento.
De acuerdo con el documento “Principios y deberes en materia de protección de Datos Personales” del Instituto Nacional de Acceso a la Información y Protección de Datos – INAI, el principio de responsabilidad demostrada es definido como “las medidas que pudieran adoptarse o preverse para garantizar la observancia en materia de protección de datos”, dentro de las que se encuentran las establecidas por la Ley Federal de protección de Datos en Posesión de Particulares, incluyendo, entre otras:
- Políticasy programas de privacidad obligatorios y exigibles al interior de la organización del responsable del
- Programade capacitación actualización y concientización del personal sobre las obligaciones en materia de protección de datos personales
- Sistemade supervisión y vigilancia interna, verificaciones o auditorías externas para comprobar el cumplimiento de las políticas de
- Revisiónperiódica de políticas y programas de seguridad para determinar modificaciones que se requieran
- Procedimientospara recibir y responder dudas y quejas de los titulares de los datos
8 La protección de datos desde el diseño y por defecto implica que el responsable aplique medidas para evitar vulneraciones a los derechos de los titulares de la información desde antes de iniciar el tratamiento de los datos, y que los datos recopilados sean los estrictamente necesarios para alcanzar los fines puntuales del tratamiento, y por el tiempo que sea necesario.
9 Evaluación de naturaleza preventiva que determine los niveles de riesgos que se originen con el tratamiento de datos y la adopción de medidas para mitigarlos.
10 Persona que obrará de manera independiente para asegurar que el tratamiento de datos personales funcione correctamente.
1.3.2. Perú
El principio de responsabilidad se encuentra establecido en la Directiva de seguridad elaborado por la autoridad peruana de protección de datos, principio que se toma como la obligación del responsable del tratamiento de datos personales de mantener un nivel de protección suficiente sobre la información personal sobre la que realiza su tratamiento.
Así las cosas, más que determinar cuáles son las herramientas mediante las que es posible probar el cumplimiento de la legislación de datos personales, la Directiva enlista medidas de seguridad a implementar por parte del responsable del tratamiento, con el fin de identificar las estrategias para que dicho responsable garantice el principio de responsabilidad, la cuales se encuentran identificadas bajo tres categorías:
- Categoría básica: Las bases de datos no contienen información de más de50 personas (siempre naturales) y, excluyendo siempre datos sensibles, el número de datos personales no es mayor a
- Categoría simple: Las bases de datos no contienen información de más de100 personas (naturales y jurídicas), dentro de los datos no se encuentran datos sensibles y el tiempo de tratamiento es menor a un año.
- Categoría intermedia: Las bases de datos contiene información de hasta1000 personas (naturales y jurídicas), incluyen datos personales y el tiempo de su tratamiento puede ser superior a un año y/o
- Categoría completa: Las bases de datos contienen datos exclusivamente depersonas jurídicas o entidades públicas, su tratamiento es realizado en múltiples oficinas o dependencias y el tiempo de este puede ser indeterminado y/o superior a un año.
- Categoría critica: El tratamiento de las bases de datos se encuentra deacuerdo con lo establecido en la ley, es realizado en múltiples oficinas o dependencias y su tiempo es indeterminado o superior a un año.
1.3.3. Argentina
No obstante que Argentina no cuenta con un reglamento directamente relacionado con el principio de responsabilidad demostrada, en el año 2008 la Dirección Nacional de Protección de Datos, hoy Agencia de Acceso a la Información Pública, aprobó la Guía de Buenas Prácticas en Políticas de Privacidad para las Bases de Datos del ámbito público11 mediante la cual se establecieron las pautas de conducta frente al
11 Dirección Nacional de Protección de Datos Personales. Disposición 7/2008
tratamiento y protección de datos personales y frente a la confidencialidad que buscan optimizar los procesos en los que se realice el tratamiento de datos personales.
Dentro de estas nuevas prácticas se presentan las relacionadas con:
- Laobligación de contar con el consentimiento del titular para el tratamiento de los datos
- Cesiónde datos
- Transferenciainternacional
- RegistroNacional de Bases de Datos
- Seguridadde los datos
- Deberde secreto del Responsable del tratamiento
1.3.4. Uruguay
Al igual que en Argentina, la Unidad Reguladora y de Control de Datos Personales emitió una guía relacionada directamente con el tratamiento e intercambio de datos personales de ciudadanos por parte de los organismos públicos enfocándose principalmente en:
- El consentimientopara el tratamiento de datos personales por parte del titular de la información.
- Casosen los que no se requiere el consentimiento expreso del titular de la información.
- Políticasde difusión de datos públicos por internet (Garantía de transparencia del Estado).
1.3.5. Colombia
Bajo la legislación colombiana vigente en materia de datos personales, de acuerdo con el artículo 26 del Decreto 1377 de 2013, el principio de responsabilidad demostrada implica que todo Responsable del Tratamiento debe contar con un Programa Integral de Gestión de Datos Personales por medio del cual sea capaz de demostrar que ha implementado medidas apropiadas para cumplir con las obligaciones establecidas en la legislación nacional vigente, entre las que se encuentran, solo para hacer mención de ellas, sin perjuicio de la profundización que sobre el contenido de las mismas se hará más adelante, las siguientes:
- Laadopción de un manual de procesos y de una política de privacidad
- Procesosde tratamiento de la información en las diferentes etapas, a saber, recolección, uso, almacenamiento, transferencia y eliminación.
- Procesosde atención de peticiones, quejas y reclamos
- Implementaciónde medidas de seguridad y confidencialidad en cada proceso
- Contratoscon funcionarios, proveedores y clientes que cuenten con cláusulas de tratamiento y protección de datos personales
- Autorizacionespara el tratamiento de datos personales
- Creaciónde la estructura del oficial de privacidad
- Contarcon un inventario de bases de datos
Estas medidas se deben adoptar teniendo en cuenta el tamaño y naturaleza jurídica del responsable del tratamiento, naturaleza de los datos que son tratados, tipo de tratamiento al que se somete la información y los riesgos que implique para los titulares la recolección y posterior uso de los datos.
6.Obligaciones frente al tratamiento y la protección de datos personales
1.1. Obligaciones del Responsable del tratamiento
El Notario, al capturar o recibir información de personas naturales en el desarrollo de sus actividades y procesos internos propios como lo son, entre otros, los de gestión humana, compras y contratación y atención al cliente, adquiere la calidad de Responsable del tratamiento de los datos recopilados, de acuerdo con la cual debe cumplir con todas las obligaciones establecidas en este Código y en el artículo 17 de la Ley 1581 de 2012, a saber:
1.1.1. Obligaciones a nivel Interno:
- Adoptar procedimientos para solicitar, a más tardar en el momentode la recolección de los datos, la autorización del titular para el tratamiento de
El tratamiento de información personal requiere una autorización previa e informada por parte del titular de la información la cual puede manifestarse al Responsable del tratamiento por medios escritos, orales y/o mediante alguna conducta inequívoca.
Así las cosas, el Notario, al momento en que recopila datos personales de sus funcionarios, proveedores, clientes y/o usuarios en general, en su actuar como Responsable del Tratamiento, solicita al titular de la información autorización para realizar su tratamiento, informando siempre su calidad de Responsable del tratamiento, así como:
- Eltratamiento al cual serán sometidos los datos personales
- Lasfinalidades para las cuales los datos personales recopilados serán
- Elcarácter facultativo de la respuesta a las preguntas que versen sobre datos de naturaleza sensible o sobre los datos relacionados con niñas, niños y/o
- Losderechos que le asisten al titular de la información.
Esta autorización no es necesaria cuando el tratamiento se encuentra relacionado con ciertos casos respecto de los cuales, no obstante, se cumple con todas las disposiciones legales relacionadas con el tratamiento de la información. Estos casos son los siguientes:
- Cuandose trata de información requerida en ejercicio de las funciones legales asignadas al Notario o por orden judicial.
- Cuandolos datos de los que se trata son de naturaleza pública.
- Cuandose presentan casos de urgencia médica o sanitaria
- Cuando el tratamiento de la información se encuentra autorizado por la leypara fines históricos, estadísticos o científicos.
- Cuandose trata de datos relacionados con el Registro Civil de las
1.1.1.2. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
El Notario Responsable del tratamiento debe implementar todas las medidas técnicas, humanas y administrativas que estén a su alcance para que los datos personales en su poder cuenten con la seguridad adecuada dentro de todos los procesos adelantados en las actividades de recolección, almacenamiento, uso, circulación y/o supresión de la información.
1.1.1.3. Adoptar una política de tratamiento de la información y un manual interno de procedimientos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos;
Todo Responsable del tratamiento cuenta dentro de sus documentos corporativos con los siguientes:
1. Política de tratamiento de la información:
Documento en el que se informa a los titulares de los datos personales recolectados, el tratamiento al cual son y serán sometidos sus datos personales.
El Notario que se adhiere al presente código, tiene como deber realizar la implementación de la política de tratamiento de datos y comunicar al titular de la información, por cualquier medio, ya sea físico o digital, la existencia de esta, la cual debe incluir, al menos:
- Lasfinalidades del
- Losprocedimientos de acceso, actualización, supresión y rectificación de datos personales.
- Losderechos que le asisten como titular de la información.
- Loscanales por medio de los cuales pueden ejercerse dichos
- Vigenciade las bases de datos donde son almacenados los
- Fechade entrada en vigencia de la política.
En caso de no contar con los medios para poner a disposición inmediata de los titulares de la información su política de tratamiento de datos, el Notario tiene implementado un aviso de privacidad en las instalaciones de su notaría mediante el cual informa la existencia de la política y la forma de acceder a ella, indicando, al menos:
- Eltratamiento al cual son o serán sometidos los datos personales
- Lasfinalidades del
- Losderechos que le asisten a los titulares de la información.
Se precisa que la existencia de un aviso de privacidad no reemplaza la obligación que tiene el Responsable del tratamiento de implementar y dar a conocer al titular de la información su política de tratamiento de datos personales.
2. Manual interno de procesos
El presente código general constituye el manual interno de procesos, frente a cuyos preceptos, todo Notario signatario tiene como obligación su socialización y seguimiento de cumplimiento al interior de su Notaría.
El Notario signatario del presente documento es responsable directo de socializarlo de forma interna, así como lograr el estricto cumplimiento de lo establecido en él y en la legislación nacional vigente en materia de tratamiento y protección de datos personales.
Adicionalmente, el Notario se obliga a desarrollar el documento complementario de este Código General, de acuerdo con la estructura interna de la Notaría el cual debe contener como aspectos mínimos:
- Estructurainterna para la protección de datos personales y responsabilidades de las áreas o personas al respecto
- Formade ejercer ante la respectiva Notaría los derechos de los titulares de la información
- Procesode identificación de bases de datos
- Tratamientode la información al interior de la notaría
- Plande capacitación interna respecto del tratamiento y protección de información personal
Resulta del caso aclarar que:
- Elpresente documento constituye un Código General que, entrega directrices generales en materia de datos personales para el Notario adherido, sin embargo, los
procesos específicos y propios de cada una de las notarías listados en este aparte deben ser parte de la organización de cada Notario con base en las pautas aquí contenidas.
- ElNotario está en la obligación de estructurar e implementar el contenido del presente Código, adaptándolo a la realidad de la notaría de la que se
- EsteDocumento, así como el complemento que se haga del mismo, no debe ser puesto en conocimiento de los titulares de la información, a diferencia de la política de tratamiento de datos.
1.1.1.4. Crear una estructura interna administrativa proporcional a la estructura y tamaño del Responsable del tratamiento
Todo Notario en su calidad de Responsable del tratamiento designa una persona o área que tiene la función de velar por la implementación efectiva de las políticas y procedimientos adoptados internamente para cumplir con la ley, así como de buenas prácticas de gestión de datos personales en el desarrollo de sus actividades.
Esta persona o área es la denominada “Oficial de Privacidad” u “Oficial de Protección de Datos”, quien tiene la labor de estructurar, diseñar y administrar los procesos que permitan al Notario cumplir, monitorear y revisar el cumplimiento de las normas en la materia.
Dentro de sus principales funciones se encuentran:
- Coordinar la definición e implementación de controles de verificaciones decumplimiento de la legislación nacional vigente en materia de datos
- Servir de enlace y coordinación con las demás áreas de la Notaría paraasegurar un cumplimiento transversal de la legislación nacional vigente en materia de datos personales.
- Impulsarla cultura de protección de datos dentro de la
- Mantenerun inventario de bases de datos personales en poder de la Notaría y clasificarlas según su
- Realizar un entrenamiento general en protección de datos personales paratodos los empleados de la Notaría.
- Acompañary asistir a la Notaría en la atención de las visitas y los requerimientos de las autoridades en materia de cumplimiento normativo de protección de datos
1.1.1.5. Adoptar herramientas de implementación, entrenamiento y programas de educación
El Notario implementa diferentes mecanismos que permiten a los funcionarios de su Notaría tener el conocimiento de la legislación nacional vigente y los requisitos que por ley el Responsable o Encargado del tratamiento debe cumplir.
Así las cosas, al interior de cada notaría deben implementarse herramientas educativas como, por ejemplo:
- Capacitacionespresenciales o virtuales periódicas
- Boletinesinformativos
- Correoselectrónicos informativos
1.1.1.6. Establecer un proceso para tramitar y atender las consultas y reclamos presentados por el titular de la información y/o los sujetos autorizados por la ley
De acuerdo con la Ley 1581 de 2012, los titulares o demás sujetos autorizados por la ley podrán consultar o presentar reclamos sobre los datos personales recopilados en las bases de datos del Responsable del tratamiento, y/o en relación con el tratamiento realizado por este mismo, mediante los canales dispuestos para el efecto.
Así las cosas, cada Notario designa a una persona o área para dar trámite a las consultas y reclamos, quien debe cumplir con el proceso establecido internamente el cual, sin perjuicio de las demás políticas internas implementadas por el Notario, respetará los términos mínimos establecidos legalmente, a saber:
- Consultas: Lasconsultas son atendidas en un término máximo de 10 días hábiles contados a partir de la fecha de recibo de
Cuando no es posible atender las consultas dentro de dicho término, se informa al interesado los motivos de la demora y se señala la fecha en que se atenderán sin que esta fecha supere 5 días hábiles siguientes al vencimiento del primer término.
- Reclamos: Losreclamos son atendidos en un término máximo de 15 días hábiles contados a partir de la fecha de recibo de
Cuando no sea posible atender los reclamos dentro de dicho término, se informan al interesado los motivos de la demora y se señala la fecha en que se atenderán sin que esta fecha supere 8 días hábiles siguientes al vencimiento del primer término.
Si los reclamos resultan incompletos, se requiere al interesado dentro de los 5 días siguientes a la recepción de estos solicitando complementarlos con la información faltante.
En caso de que el Notario que recibe el reclamo no sea el Responsable competente para resolver el reclamo presentado, este le da traslado a quien corresponda en un término de 2 días hábiles informándolo a su vez al interesado.
1.1.2. Obligaciones frente al titular de la información:
- Informar debidamente al Titular sobre la finalidad de la recoleccióny los derechos que le asisten por virtud de la autorización otorgada, e informar sobre el uso dado a sus datos a solicitud del titular.
El Notario tiene la obligación de informar al titular de la información, a solicitud de él, cual es el uso que se le da o que se les ha dado a sus datos desde el momento de su recopilación; esto en virtud del derecho que tienen los titulares de “Ser informados por el Responsable del tratamiento, previa solicitud, respecto del uso que les ha dado a sus datos personales”12.
El Notario, de acuerdo con el principio de finalidad ya mencionado en aparte anterior de este mismo documento, únicamente recolecta los datos personales que son considerados pertinentes para la finalidad, o finalidades, directamente relacionadas con su actividad.
1.1.2.2. Conservar, en las condiciones previstas en la ley, copia de la respectiva autorización otorgada por el Titular.
En concordancia con la obligación de solicitar a los titulares de datos personales su autorización para realizar un tratamiento sobre dichos datos, el Responsable del tratamiento debe implementar procesos y/o mecanismos internos para que esta autorización pueda ser objeto de consulta posterior.
En virtud de lo anterior, el Notario, en su calidad de Responsable del tratamiento conserva prueba de la autorización recopilada del titular de la información con el fin de:
- Demostrarque ha cumplido con sus obligaciones de solicitar la autorización y de informar al titular de la información todo lo relacionado con el tratamiento de sus datos y de los derechos que le asisten como tal.
- Entregarlecopia al titular de la información de la autorización por el otorgada en caso de que este la solicite en ejercicio de su derecho de “Solicitar prueba de la autorización otorgada al Responsable del tratamiento (…)”13
La autorización podrá ser almacenada en el mismo medio por el cual fue recopilada, y/o, en el caso de la autorización física, podrá ser digitalizada y el original físico destruido en cumplimiento de las políticas internas de cada Notaría previo consentimiento para el efecto por parte del titular de la información, manteniéndola siempre por el tiempo en que se mantengan las finalidades para las cuales fueron recolectados los datos personales. La autorización digital tendrá plena validez como prueba de la autorización otorgada.
1.1.2.3. Suministrar la información solicitada
En virtud del derecho que tienen los titulares de “Acceder en forma gratuita a sus datos
12 Ley 1581 de 2012. Artículo 8º. Literal c)
13 Ley 1581 de 2012. Artículo 8º. Literal b)
personales”, el Notario suministrará la información solicitada por cualquier medio permitiendo de que esta sea de fácil lectura y sin barreras técnicas que impidan su acceso. La información que suministra el Notario corresponde a la que reposa en las bases de datos.
Frente al suministro de información se pone de presente que solo pueden acceder a ella:
- Lostitulares de la información.
- Loscausahabientes de los titulares de la información.
- Losrepresentantes legales de los titulares de la información.
- Lasentidades públicas o administrativas en ejercicio de sus funciones
- Quienescuenten con una orden
- Lossujetos autorizados por el titular de la información.
- Lossujetos autorizados por la
Adicionalmente, de acuerdo con el principio de acceso y circulación restringida, los datos personales no están disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que dicho acceso este restringido a los titulares de dichos datos o a terceros autorizados.
1.1.2.4. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento
En virtud del principio de veracidad, bajo el cual se prohíbe realizar tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error, los titulares de la información tienen el derecho de “Conocer, actualizar y rectificar sus datos personales (…) frente a datos imparciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento este expresamente prohibido o no haya sido autorizado”14
Así las cosas, y teniendo en cuenta la obligación del Responsable del tratamiento de garantizar los derechos de los titulares de la información, el Notario adopta medidas internas para asegurar que los datos sobre los que realiza su tratamiento son precisos y puedan ser actualizados y/o rectificados a solicitud de su titular. Dentro de las mismas se incluyen:
- Lalimitación de acceso a los archivos o sistemas donde se encuentra la información evitando una alteración en los
- Elcontrol del acceso y de las gestiones realizadas por cada uno de los funcionarios de la Notaría sobre las bases de
14 Ley 1581 de 2012. Artículo 8º. Literal a)
1.1.2.5. Revocar la autorización y/o eliminar los datos personales cuando el titular lo solicite.
El titular de la información tiene el derecho a solicitar, en cualquier momento, mediante la figura de reclamo, la eliminación de sus datos, así como la revocación de la autorización por el otorgada en un momento previo al tratamiento.
Frente a esta obligación, el Notario procederá a la supresión de los datos cuando sea solicitado y/o una vez se cumpla con las finalidades para las cuales fueron recaudados los datos. De igual forma, la revocatoria y/o supresión procede cuando la Superintendencia de Industria y Comercio determine que en el tratamiento de la información se incurrió en conductas contrarias a ley y/o a la Constitución.
Vale la pena precisar que este derecho no es absoluto teniendo en cuenta que la revocatoria de la autorización y/o la eliminación de los datos personales no procede cuando el titular de la información mantiene una relación o deber legal o contractual con el Responsable del tratamiento frente al que ejerce su derecho.
En cualquier caso, todos los datos pueden ser conservados para dar cumplimiento a una obligación legal o contractual en caso de que se requiera.
1.1.2.6. Tramitar las consultas y reclamos formulados en los términos señalados en la ley, y garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio de sus derechos.
Obligación directamente relacionada con el proceso de atención de consultas y reclamos que debe ser establecido por el Responsable del tratamiento de la información.
No obstante que, en general, el titular de la información debe, antes de elevar queja ante la Superintendencia de Industria y Comercio, como entidad de vigilancia y control, agotar el trámite de petición ante el Responsable del tratamiento, esa autoridad podrá iniciar investigación de oficio en contra del Responsable del tratamiento si considera que los hechos que generan el reclamo presentan un riesgo cierto de vulneración a la ley y/o a los derechos fundamentales de los titulares de la información, pudiendo, en tal caso:
- Ordenarmedidas necesarias para hacer efectivo el derecho de habeas
- Impartirinstrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones del Responsable del
- Imponersanciones de acuerdo con lo establecido en la Ley 1581 de
1.1.3. Obligaciones frente al encargado del tratamiento:
Como complemento de las obligaciones mencionadas en los puntos anteriores, el Notario, frente a quienes por cualquier razón tienen acceso a la información tratada
por el Notario en cumplimiento de un encargo realizado por su parte, debe:
- Garantizar que la información que se suministre al Encargado delTratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;
- Actualizarla información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a éste se mantenga actualizada
- Suministraral Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la ley;
- Exigiral Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;
1.1.4. Obligaciones frente a la Superintendencia de Industria y Comercio:
- Reportarincidentes de seguridad
Se entiende por incidente de seguridad “(…) cualquier evento en los sistemas de información o bases de datos manuales o sistematizadas, que atente contra la seguridad de los datos personales en ellos almacenados”15.
Teniendo en cuenta lo anterior, el Responsable del tratamiento, además de cumplir con las instrucciones y requerimientos que le imparta la Superintendencia de Industria y Comercio, informa a esa autoridad cuando dentro de sus actividades se presentan riesgos y/o violaciones a sus políticas y/o procedimientos dirigidos a la seguridad de la información personal sobre la cual realiza el tratamiento.
Lo anterior, considerando que la violación a las políticas de seguridad que se tengan dentro de los procesos propios de la Notaría, genera un alto riesgo para los titulares de la información y así mismo son causantes de impactos negativos a la reputación del Notario.
6.2. Obligaciones como encargados del tratamiento
El Notario, cuando captura o recibe información de personas naturales en su calidad de Encargado del tratamiento de la información recaudada en virtud de su función pública, como lo es la información relacionada con las escrituras públicas y los registros civiles, debe, de acuerdo con el artículo 18 de la Ley 1581 de 2012, cumplir con las siguientes obligaciones:
15 “La Ley 1581 de 2012 no hace distinción alguna respecto de los incidentes que deben ser reportados a la Superintendencia, por lo que, independientemente de su impacto, deben reportarse a esta entidad todos los incidentes ocurridos.”. Página 20. Guía para la Implementación del Principio de Responsabilidad Demostrada (Accountability)
6.2.1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data y tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la ley
Al concurrir la calidad de Responsable y de Encargado del tratamiento en el Notario, éste, en cualquiera que sea la calidad en la que actúa, da trámite a las consultas y reclamos que sean presentados por los titulares de la información en ejercicio de su derecho al Habeas Data mediante la persona o área que sea designada para el efecto dando cumplimiento al proceso de peticiones, quejas y reclamos implementado.
6.2.2. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento
Al concurrir la calidad de Responsable y de Encargado de tratamiento en el Notario, este implementa todas las medidas técnicas, humanas y administrativas que están a su alcance para que los datos personales en su poder se mantengan seguros.
6.2.3. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley
Tal manual incluye las responsabilidades del Notario, ya sea que actúe como Responsable y/o como Encargado de tratamiento de la información.
7.Derechos de los titulares de la información
Se enumeran nuevamente los derechos con los que cuentan todos los titulares de la información, a saber:
- Conocer,actualizar y rectificar sus datos
- Solicitar prueba de la autorización otorgada salvo cuando expresamente seexceptúe como requisito para el Tratamiento;
- Ser informados, previa solicitud, respecto del uso que se les ha dado a susdatos personales;
- Presentarante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la ley de protección de datos personales y las demás normas que la modifiquen, adicionen o complementen;
- Revocar la autorización y/o solicitar la supresión del dato cuando en eltratamiento no se respeten los principios, derechos y garantías constitucionales y
- Acceder en forma gratuita a sus datos personales que hayan sido objeto deTratamiento al menos una vez al mes y en la medida en que no exista una restricción legal para el
8.El notario y sus actividades como Responsable y/o como Encargado del tratamiento frente a la legislación colombiana dirigida al tratamiento y a la protección de información personal
El notario y sus actividades como Responsable y/o como Encargado del tratamiento frente a la legislación colombiana dirigida al tratamiento y a la
protección de información personal
7.1. Flujo de la información personal
- Capturade información
El notario realiza la captura de datos personales por diferentes medios, ya sean estos físicos o mediante herramientas digitales y/o de telecomunicación en ejercicio de sus diferentes actividades.
Captura física
El Notario recibe información a través de diferentes tramites dentro de los que generalmente se encuentran:
- Recopilaciónde hojas de vida
- Creaciónde expedientes laborales
- Hojasde ruta – tramite de escrituración
- Planillasde registro – Consulta de escrituras
- Planillasde registro – Solicitud de copias de escrituras
- Documentode solicitud de información para registros civiles
- Documentode solicitud de información para tramites de matrimonio civil
- Planillasde registro – Solicitud de copias de registros civiles
- Formatosde registro de firma
En cada uno de los procesos, se cuenta con documentos que incorporan un texto de autorización que el titular de la información suscribe mediante su firma (Ver Anexo 1) y que es guardado como prueba de esta en el archivo físico propio de la notaría y/o en el servidor interno de la notaría, esto último, en caso de que estos documentos sean digitalizados previa autorización del titular de la información.
Los textos de autorización que se encuentran en la documentación de cada uno de estos procesos contienen la información necesaria para que los titulares de la información conozcan, como mínimo:
- Eltratamiento al cual serán sometidos los datos personales
- Lasfinalidades para las cuales los datos personales recopilados son
- Elcarácter facultativo de la respuesta a las preguntas que versan sobre datos de naturaleza sensible o sobre los datos relacionados con niñas, niños y/o adolescentes, a menos que legalmente resulten imprescindibles para el trámite que se
- Losderechos que le asisten como titular de la información.
- La forma de acceder a la política de privacidad que rige el tratamiento de sus
Captura por medio de dispositivos digitales y/o de telecomunicación
Se puede realizar a través de cualquiera de los siguientes canales:
- Páginaweb
- VideoVigilancia (Conducta inequívoca)
- Contactotelefónico
En cada uno de los medios utilizados, se cuenta con un texto de autorización, guion dirigido a conseguir la autorización o un aviso de privacidad dirigido a validar la autorización mediante conductas inequívocas. (Ver anexo 1)
Los textos, avisos y/o guiones utilizados en estos medios contienen la información necesaria para que el titular de la información conozca, al menos:
- Eltratamiento al cual son sometidos los datos personales
- Lasfinalidades para las cuales los datos personales recopilados son
- Elcarácter facultativo de la respuesta a las preguntas que versen sobre datos de naturaleza sensible o sobre los datos relacionados con niñas, niños y/o adolescentes, a menos que legalmente resulten imprescindibles para el trámite que se
- Losderechos que le asisten como titular de la información.
- La forma de acceder a la política de privacidad que rige el tratamiento de susdatos
8.1.2. Uso de la información
Los datos personales que el Notario recopila, almacena, utiliza, y/o de cualquier otra forma trata, son administrados por él, en su calidad de Responsable y/o de Encargado del tratamiento de dichos datos con el apoyo de su personal autorizado para el efecto, asegurando su confidencialidad y ¡que, en virtud del principio de finalidad, los datos solo son utilizados de acuerdo con los lineamientos trazados por la Constitución Nacional, por la legislación nacional vigente en materia de protección de t datos personales, en materia notarial y en materia de transparencia, así como por la política de privacidad propia establecida por el Notario.
En virtud de lo anterior, el notario utiliza la información personal que recopila en el desarrollo de sus actividades, para las siguientes finalidades:
8.1.2.1. Como Responsable del tratamiento
- Tratamientode la información personal en las actividades de gestión humana
El Notario, en su calidad de Responsable del tratamiento, y en desarrollo de sus actividades de selección, contratación, bienestar y retiro de su personal, previa autorización otorgada por los titulares de la información, recolecta, almacena y realiza el tratamiento de datos personales públicos, semi-privados, privados y aún sensibles, tanto de los funcionarios como de sus familiares, incluyendo menores de edad, con el fin de realizar los procesos ya mencionados, así como para mantener la relación laboral que se tiene con sus funcionarios y cumplir sus obligaciones legales.
8.1.2.1.2. Tratamiento de la información personal en las actividades de compras y contratación
El Notario, en su calidad de Responsable del tratamiento, en desarrollo de sus actividades de contratación de proveedores especializados en servicios requeridos por él, recolecta, almacena y realiza el tratamiento de los datos personales de diversos proveedores con el fin de contactarlos debido a la prestación de sus servicios, de acuerdo con sus necesidades. En el caso de los proveedores contratados el Notario realiza el tratamiento de la información con el fin de obtener el producto y/o servicio requerido, así como para cumplir con los pagos y obligaciones legales a favor de estos y realizar el registro de la información para la gestión contable resultante de dicha adquisición de productos y/o servicios.
8.1.2.1.3. Tratamiento de la información personal en las actividades de video vigilancia
El Notario, en su calidad de Responsable del tratamiento, recolecta y almacena información privada y sensible, como lo es la imagen de los funcionarios y usuarios de las Notarías, mediante sus cámaras de video vigilancia, información que es almacenada en sus repositorios propios con el fin de monitorear la seguridad dentro de las instalaciones de la notaría, realizar investigaciones administrativas, o penales y ponerla a disposición de las autoridades competentes en ejercicio de sus funciones.
8.1.2.1.4. Tratamiento de la información personal en las actividades de registro y almacenamiento de información
El Notario, en su calidad de Responsable del tratamiento, recolecta y almacena información de los usuarios de los servicios prestados por la Notaría con el fin de mantener un registro y control sobre las diferentes actuaciones que se relacionan con los trámites notariales, dentro de los que se encuentran:
- Recolecciónde información durante el trámite previo a la extensión de una escritura pública.
- Registrode solicitud de consulta y/o copia de escrituras públicas.
- Almacenamientode certificados de salud relacionados con la
imposibilidad de realizar biometría.
- Recolecciónde información durante la solicitud del trámite de registro civil de
- Recolecciónde información durante la solicitud del trámite del matrimonio
- Registrode solicitud de copia de registro civil de
El tratamiento de la información correspondiente a cada una de estas actuaciones se trata en este documento dentro del punto correspondiente al procedimiento del respectivo trámite notarial.
8.1.2.2. Como Encargado del tratamiento
El Notario, como Encargado del tratamiento de la información personal que recopila en ejercicio de sus actividades como particular con funciones públicas, realiza el tratamiento de la información recogida, exclusivamente en virtud de las obligaciones establecidas en las normas que componen la legislación en materia de derecho notarial, principalmente en lo que respecta a los trámites de escrituración, registro civil, autenticaciones, registro de firma, declaraciones extra juicio y conciliaciones.
En tales procedimientos el Notario se rige estrictamente a los postulados impuestos por la normatividad vigente, de manera que sólo recopila y guarda la información que el ejercicio de sus funciones le impone conservar para el adecuado cumplimiento de sus funciones, la cual no utiliza para propósitos diferentes a los expresamente consagrados por la legislación que regla su actividad.
8.1.2.3. Como Responsable y/o Encargado del tratamiento
- Tratamientode información personal de naturaleza sensible
El Notario únicamente recopila y realiza el tratamiento de información sensible, tanto en su calidad de Responsable como en su calidad de Encargado del tratamiento, en los casos que sea necesario para el adecuado desarrollo de sus actividades y prestación de servicios.
En caso de requerir realizar el tratamiento de datos sensibles, a menos que el mismo se haga en ejercicio de un deber legal siguiendo las prescripciones de la normatividad vigente, el Notario cuenta siempre con la autorización previa y expresa de su Titular informando, como mínimo:
- Cualesdatos de los que se están recopilando son de naturaleza sensible
- Eltratamiento al cual serán sometidos los datos personales
- Lasfinalidades para las cuales los datos personales recopilados serán
- Elcarácter facultativo de la respuesta a las preguntas que versen sobre este tipo de datos, así como sobre los datos relacionados con niñas, niños y/o
- Losderechos que le asisten al titular de la información.
El Notario nunca establece como condición para realizar alguna de sus actividades, o prestar alguno de sus servicios, el suministro de datos personales sensibles, a menos que estos resulten absolutamente necesarios para la actividad o servicio correspondiente, o su entrega sea legalmente obligatoria.
8.1.2.3.2. Tratamiento de información personal de niños, niñas y adolescentes
El Notario únicamente recopila y realiza el tratamiento de información de niños, niñas y adolescentes, tanto en su calidad de Responsable como en su calidad de Encargado del tratamiento, en los casos que sea necesario para el adecuado desarrollo de sus actividades y prestación de servicios, y velando siempre por que dicho tratamiento responda y respete el interés superior del menor de edad y asegure el respecto de sus derechos fundamentales.
En caso de requerir realizar el tratamiento de estos datos, el Notario contará siempre con la autorización previa y expresa de su representante legal, informando, como mínimo:
- Eltratamiento al cual serán sometidos los datos personales
- Lasfinalidades para las cuales los datos personales recopilados serán
- Elcarácter facultativo de la respuesta a las preguntas que versen sobre este tipo de datos, así como sobre los datos sensibles.
- Losderechos que le asisten al menor de edad como titular de la información.
El Notario nunca establece como condición para realizar alguna de sus actividades, o prestar alguno de sus servicios, el suministro de datos personales de menores de edad, a menos que estos resulten absolutamente necesarios para la actividad o servicio correspondiente, o su entrega sea legalmente obligatoria.
7.1.2.3.3. Tratamiento de la información personal en las actividades de atención al cliente
El Notario, en su calidad de Responsable y/o de Encargado del tratamiento, y en desarrollo de sus actividades de atención al usuario y dar trámite a las peticiones, quejas y reclamos recibidos, recolecta, almacena y realiza el tratamiento de los datos personales de sus usuarios con el fin de cumplir con sus obligaciones legales, así como dar respuesta adecuada a los requerimientos de estos y mantener registros históricos.
8.1.3. Transmisión de la información
La transmisión de la información, ya sea de forma física o digital, al interior de la notaría o con terceros, se realiza a través de mecanismos que cuentan con los niveles de seguridad establecidos por el Notario y sus asesores de tecnología de acuerdo con su capacidad física, logística, tecnológica y económica, procurando que los datos se entreguen y reciban de forma confidencial y segura.
Para el efecto, el Notario a) sólo realiza acuerdos de tratamiento de la información con proveedores de reconocida experiencia y excelente reputación en el mercado; b) procura que la información que se comparte con sus proveedores sea la mínima necesaria para el cumplimiento de las labores encargadas; c) mantiene con sus proveedores acuerdos de trasmisión de información que contienen cláusulas correspondientes a sus deberes como encargados de la información y la responsabilidades que deben asumir en caso de falencias en sus servicios que deriven en la inadecuada conservación de los datos, fallas de seguridad o accesos indebidos.
8.1.4. Creación de bases de datos, inventario de bases de datos y su registro ante el Registro Nacional de Bases de Datos – RNBD
Una Base de Datos, tal y como se define en este mismo documento, es un conjunto organizado de datos personales, ya sea de forma física o digital, objeto de tratamiento por parte del Responsable y/o del Encargado. Ya sea que este conjunto de datos se encuentre en medios físicos o digitales.
Así las cosas, listados o archivos de documentos que contengan datos que sean tratados por el Notario en el desarrollo de sus actividades, conforman bases de datos, las cuales, de acuerdo con las actividades y los procedimientos propios del Notario, pueden conservarse en:
- ArchivosExcel
- Sistemaspropios de la Notaría (Ejemplo: Sistema contable, video vigilancia)
- Carpetasdigitales (Computador)
- Carpetaso repositorios físicos
- Cuadernosy/o planillas físicas de control
Se precisa que una Base de Datos no se describe únicamente por si su contenido son datos personales o no, también se define de acuerdo con la forma de tratamiento (física o digital) y según con las finalidades para las cuales son tratados los datos que la componen.
Un ejemplo claro frente a este último punto es el siguiente:
- Unsistema contable cuenta con la información de funcionarios, de proveedores y de clientes de la Notaría.
- Este sistema, no obstante siendo un mismo repositorio, está compuesto portres bases de datos diferentes; la de funcionarios, la de proveedores y la de clientes según las finalidades para las que cada una de ellas ha sido concebida, las cuales, sin embargo, coinciden en este caso en la finalidad de realizar transacciones de tipo contable y financiero.
Ahora bien, el Notario, con el fin de mantener controladas sus Bases de Datos, identifica y clasifica los datos que almacena en sus diferentes calidades (Responsable y Encargado), según la finalidad para la cual los recolecta, así como:
- Laclasificación de los datos de acuerdo con su naturaleza (pública, privada, semi- privada y/o sensible)
- Laubicación de los datos
- Encuál tramite son obtenidos los datos
- Sise debe solicitar autorización o no para su tratamiento
- Sise está conservando prueba de la autorización recopilada
- Sise están recolectando datos sensibles o datos de niños, niñas y adolescentes
A partir de esta verificación a continuación, se efectúa un recuento de las Bases de Datos que, como parte de sus actividades ordinarias, son tratadas generalmente por el Notario:
Como responsable del tratamiento:
Bases de datos físicas ü Banco de hojas de vida ü Expedientes laborales ü Registro consulta de escrituras públicas ü Registro solicitud de copias de escrituras publicas ü Fichero firma registrada ü Poderes Ventanilla Única de Registro (VUR) ü Proveedores ü Atención al cliente ü Certificados médicos – Usuarios |
Bases de datos automatizadas ü Banco de hojas de vida ü Expedientes laborales ü Nómina ü Escrituración – Usuarios ü Copias de registros civiles ü Poderes Ventanilla Única de Registro (VUR) ü Conciliaciones ü Proveedores ü Video Vigilancia |
Como encargado del tratamiento:
Únicamente realiza tratamiento de bases de datos físicas, a saber:
Bases de datos físicas
- Protocolode escrituración
- Registrocivil de nacimiento
- Librode antecedentes – Registro civil de nacimiento
- Librode varios
- Actascomplementarias
- Registrocivil de matrimonio
- Registrocivil de defunción
En caso de que el Notario cuente con Bases de Datos adicionales a las que son identificadas en este manual general, estas son identificadas e incluidas en su propio inventario de Bases de Datos.
- RegistroNacional de Bases de Datos
De acuerdo con el artículo 25 de la Ley 1581 de 2012, el Registro Nacional de Bases de Datos es el directorio público de las bases de datos sujetas a tratamiento que operan en el país que es administrado por la Superintendencia de Industria y Comercio. Tal registro es alimentado por los registros de bases de datos realizados por todos los Responsables del tratamiento obligados a realizarlo.
El Notario, por su parte, es un Responsable del tratamiento en varias de sus actividades; sin embargo, de acuerdo con lo establecido en el Decreto 090 de 2018 (compilado en el Decreto 1074 de 2015 Único Reglamentario del sector comercio, industria y turismo), las personas naturales no tienen la obligación de registrar sus bases de datos ante el Registro Nacional de Bases de Datos.
No obstante, encontrarse dentro de esta excepción de responsabilidad, el Notario no se exime de cumplir con lo establecido legalmente para velar por la protección de datos personales por lo que, además de cumplir con sus obligaciones legales, el Notario mantiene el inventario de sus bases de datos conformado y actualizado.
8.1.5. Archivo (Conservación y almacenamiento) y/o destrucción de la información
El archivo de la información personal se realiza al interior de la notaría bajo controles y medidas ambientales y de seguridad establecidas por el Notario mediante los cuales se busca proteger los datos almacenados, en la medida en que sus circunstancias físicas, logísticas y económicas se lo permiten.
El almacenamiento de la información física en archivos propios cuenta con medidas de control de acceso de acuerdo con la estructura de las instalaciones físicas de la Notaría, teniendo como medida mínima una separación entre el archivo y las instalaciones en las cuales se atiende al público.
En materia de archivo y custodia de documentos, el Notario da cumplimiento a las
obligaciones legales de conservación para cada uno de los casos, estableciendo medidas tales como:
- Lostomos de protocolo se mantienen debidamente encuadernados prestando mayores seguridades de integridad y conservación16.
- En cuanto a la documentación relacionada con las funciones notariales, elprotocolo que cuente con más de 30 años es transferido por el Notario al Archivo General Notarial del Círculo al que pertenece la Notaría1717 y, en caso de no ser posible por circunstancias no adjudicables a la responsabilidad del Notario, los libros se mantienen en las condiciones de seguridad establecidas por la
- Encuanto al archivo relacionado con los procesos administrativos propios del notario, en los que actúa como Responsable del tratamiento, el Notario los mantiene:
- Por el tiempo en el que se mantengan las finalidades para las cuales losrecolectó;
- Porun periodo de 10 años en cuanto a los libros y papeles del comerciante1818; y/o
- Porel tiempo establecido legalmente, como es el caso de los expedientes laborales los cuales deben ser conservados por un término de 80 años a partir del retiro del funcionario y/o las historias clínicas ocupacionales que deben ser conservadas por 20 años.
Por su parte, el almacenamiento de la información digital se realiza mediante servidores físicos, que se encuentran en las instalaciones de la notaría bajo las medidas de seguridad determinadas por el Notario de acuerdo con la estructura de sus instalaciones físicas.
La destrucción de medios físicos y electrónicos es realizada sobre aquella información, y/o sobre los documentos que la contienen, que no mantenga un valor administrativo, probatorio o sobre la que no se prevea se tenga fines históricos y/o estadísticos.
La eliminación de información personal y/o de documentos que contienen dicha información siempre se realiza cumpliendo las siguientes condiciones:
- Únicamentesobre aquello sobre lo que se cuenta con autorización para su eliminación.
- Se realiza de forma irreversible a través de mecanismos que no permiten sureconstrucción y/o posterior
- Serealiza de forma segura velando por proteger la privacidad y/o confidencialidad de la información.
16 Decreto 960 de 1970. Artículo 108
17 Ley 594 de 2000. Artículo 43.
18 Código de Comercio. Artículo 60. Conservación de libros y papeles de comercio.
- Se documenta la destrucción mediante acta de eliminación en donde seconsigna que información fue destruida o eliminada, la fecha en que se realizó el proceso, el método de destrucción o eliminación utilizado y la firma del supervisor del
Sin perjuicio de las pautas generales anteriormente establecidas en cuanto a la conservación y destrucción de la información personal, el Notario, dentro del complemento a este Código, establece las medidas que internamente, y de manera autónoma, ha establecido para el almacenamiento, cuidado y destrucción de la información.
- Flujode información en los procesos administrativos
8.2.1. Proceso de gestión Humana
El Notario, siendo este proceso uno sobre los cuales actúa como Responsable del tratamiento, y dentro del cual se recopila información de toda naturaleza (pública, semiprivada y/o privada), cumplen siempre los requisitos establecidos por la legislación de tratamiento y la protección de datos personales colombiana teniendo como parámetro el proceso que se describe a continuación.
8.2.1.1. Selección de personal
- Elfuncionario encargado del proceso de selección abre
- Elfuncionario de la Notaría recepciona hojas de vida por diferentes medios:
Recepción física: Funcionario de la Notaría recibe hoja de vida de forma física y procede a solicitar al titular de la información, o a quien hace entrega de la hoja de vida, el diligenciamiento del formato mediante el cual se autoriza el tratamiento de los datos personales, texto que cuenta, como mínimo, con la siguiente información:
- Identificacióndel responsable del tratamiento
- Finalidadespara las cuales serán utilizados los datos personales entregados
- Derechosdel titular de la información
- Periodode conservación y eliminación de los datos
- Descripciónde los derechos del titular
- Canalmediante el cual el titular de la información puede ejercer sus
- En caso de tratarse de un tercero quien entrega la información.Declaración de persona que entrega la hoja de vida en la cual manifiesta contar con la autorización del titular de la información para hacer entrega de su información.
- Indicaciónde procesamiento y/o destrucción del documento dentro de
un período de seis meses en caso de no ser llamado a participar de algún proceso laboral.
(Ver numeral 1.2.1 del anexo 1)
Recepción digital: Funcionario de la Notaría recibe hoja de vida mediante correo electrónico al cual le da respuesta informando al titular de la información que su hoja de vida fue recibida, y así mismo comunicando que fueron recopilados los datos personales con el fin de dar trámite al proceso de selección. Esta respuesta electrónica cuenta además con la siguiente información:
- Identificacióndel responsable del
- Derechosdel titular de la información.
- Periodode conservación y eliminación de los datos
- Derechosdel titular de la información.
- Canalmediante el cual el titular de la información puede ejercer sus
- Indicación de procesamiento y/o destrucción del documento dentro deun período de seis meses en caso de no ser llamado a participar de algún proceso
(Ver numeral 1.2.1 del anexo 1)
- Notariorealiza revisión de las hojas de vida y procede a solicitar referencias personales y laborales de candidatos.
- El funcionariode la Notaría agenda entrevistas con candidatos que cumplen perfil
Notario realiza entrevista agendada y solicita, en caso de que no se haya recopilado antes, autorización para el tratamiento de datos personales mediante formato que cuenta, como mínimo, con la siguiente información:
- Identificacióndel responsable del tratamiento
- Finalidadespara las cuales serán utilizados los datos personales solicitados
- Derechosdel titular de la información
- Periodode conservación y eliminación de los datos
- Descripciónde los derechos
- Canalmediante el cual el titular de la información puede ejercer sus
(Ver numeral 1.2.1 del anexo 1)
- Siel candidato cumple con perfil requerido, se realiza (a opción del notario correspondiente):
- Pruebade conocimiento, y/o
- Pruebaspsicotécnicas, y/o
- Pruebascomplementarias (polígrafo – visita domiciliaria)
- Siel candidato cumple con el perfil requerido, el funcionario de la Notaría encargado le hace entrega de la orden para realizar examen médico.
- Siel candidato cumple con el perfil requerido, se le informa que fue seleccionado
Las hojas de vida e información adicional recopilada de quienes sean descartados en cada una de las diferentes etapas del proceso, son:
- Almacenadasde forma física en el archivo propio de la Notaría, siguiendo las medidas de seguridad establecidas por el Notario, o
- Eliminadassiguiendo el proceso de destrucción mencionado anteriormente en este mismo documento (Ver numeral 1.5 de este mismo documento).
En ninguna circunstancia la documentación relacionada con los candidatos parte de un proceso de selección será utilizada como hoja borrador (o papel reciclable) por los funcionarios de la Notaría.
8.2.1.2. Contratación de personal
- Candidato seleccionado hace entrega de documentación solicitada y firmacontrato laboral con Notario, contrato que puede ser, de acuerdo con la política interna de cada Notaría:
- Contratolaboral a término indefinido
- Contratolaboral a término fijo
- Contratopor prestación de servicios
El mencionado contrato, sin importar el tipo de contrato del que se trate, cuenta como mínimo, en cuanto a la protección y tratamiento de datos personales se refiere, con cláusulas relacionadas con:
- Obligaciones del funcionario frente al tratamiento y protección de lainformación personal que llegue a conocer y manipular en ejercicio de sus
- Indemnidad del Notario en virtud de las actuaciones del funcionariofrente a la protección y el tratamiento de la información personal que llegue a conocer
y manipular en ejercicio de sus funciones.
- Autorización para el tratamiento de los datos personales otorgada alNotario por parte del
(Ver numeral 1.2.1 del anexo 1)
- El Funcionario de la Notaría encargado de las actividades del proceso degestión humana realiza las afiliaciones legales, en caso de aplicarse, crea al nuevo funcionario en el sistema de nómina y conforma su expediente laboral físico.
En caso que el expediente laboral sea digitalizado, el documento será almacenado dentro del servidor propio de la notaría.
8.2.1.3. Gestión de incapacidades
- El Funcionario presenta incapacidad al encargado del proceso de gestiónhumana dentro de la Notaría
- ElFuncionario encargado del proceso de gestión humana registra incapacidad (novedad) en el sistema de nómina y realiza trámite de recobro ante la EPS, en caso de aplicar.
- ElFuncionario encargado del proceso de gestión humana almacena incapacidad en expediente labora físico. En caso de que el expediente laboral se encuentre digitalizado, la incapacidad será incluida dentro del archivo digital almacenado en el servidor propio de la notaría.
8.2.1.4. Actividades de bienestar
Generalmente el Notario agenda actividades de bienestar en las cuales se hacen presentes únicamente los funcionarios de la Notaría y en las que, en adición a las fotografías tomadas por los mismos funcionarios, no son tomadas ni fotos ni videos de dicha actividad por parte del Notario como empleador.
Sin embargo, en caso de que a la actividad asistan familiares de los funcionarios de las notarías, incluyendo menores de edad y se requieran datos personales de ellos y/o se quiera contar con registro fotográfico y/o de video de la actividad, el Notario solicitará los datos mediante formato de autorización de datos personales al momento de la inscripción para la actividad o por medio de avisos instalados a la entrada de la actividad que cuentan, como mínimo, con la siguiente información:
- Identificacióndel Responsable del tratamiento
- Finalidadespara las cuales serán utilizados los datos personales solicitados
- Elcarácter facultativo de la respuesta a las preguntas que versen sobre datos de naturaleza sensible o sobre los datos relacionados con niñas, niños y/o adolescentes
- Derechosdel titular de la información
- Losderechos que le asisten como titular de la información
- Canalesmediante los cuales pueden ejercerse los derechos
(Ver numeral 1.3 del anexo 1)
- Retirode personal
- ElFuncionario presenta renuncia, o Notario entrega carta de
- ElFuncionario encargado del proceso de gestión humana de la Notaria hace entrega de documentación a funcionario saliente, como lo es, entre otros, certificado laboral, comprobantes de pago de seguridad social y orden de examen médico de
- ElFuncionario del área de tecnología, o asesor externo de tecnología, desactiva los perfiles de acceso con los que el funcionario saliente contaba y, así mismo, desactiva el correo electrónico corporativo asignado al funcionario saliente, si lo
- Losexpedientes laborales de los funcionarios salientes son almacenados en el archivo propio de la Notaría, por un tiempo de hasta 80 años contados desde el momento en que finalizó la relación
8.2.2. Proceso de compras y contratación
El Notario, al requerir un producto o servicio prestado por un proveedor especializado, sigue, a rasgos generales el proceso que se presenta a continuación cumpliendo siempre los requisitos establecidos por la legislación de tratamiento y la protección de datos personales colombiana.
- El Funcionario del área administrativa de la Notaría realiza búsqueda deproveedores y solicita una o varias cotizaciones.
- Una vez recibidas las cotizaciones, el funcionario del área administrativa dela Notaría analiza propuestas y las presenta al
- ElNotario escoge
Las propuestas de los proveedores que no son elegidos son destruidas de acuerdo con el proceso mencionado en aparte anterior de este mismo documento. (Ver numeral 8.1.5 de este mismo documento)
- Funcionario del área administrativa de la Notaría solicita documentación alproveedor, a saber:
- Formatode registro de proveedores propio de la Notaría
(Ver numeral 1.2.2 del anexo 1)
- RUT
- Cámarade Comercio
- Certificación
- El Funcionario del área administrativa crea proveedor en sistema contablepropio de la Notaría y crea expediente físico del
En caso de que el expediente sea digitalizado, el documento es almacenado dentro del servidor propio de la notaría.
- Se firma contrato de prestación de servicios que cuenta como mínimo, encaso de que el proveedor recopile, reciba o acceda a información personal sobre la cual el Notario actúe como Responsable o como Encargado de tratamiento, con cláusulas dirigidas a:
- Lasobligaciones del proveedor frente al tratamiento y protección de la información personal que llegue a recopilar, conocer y/o manipular en ejercicio de sus funciones como proveedor Encargado del
- La indemnidad del Notario en virtud de las actuaciones del proveedorfrente a la protección y el tratamiento de la información personal que llegue a conocer y manipular en ejercicio de sus funciones.
- Laobligación del proveedor de atender auditorías por parte del Notario en virtud de la obligación legal que tiene este último de verificar que su Encargado del tratamiento se encuentre cumpliendo con sus obligaciones, legales y contractuales, en materia de protección y tratamiento de datos
(Ver numeral 1.2.2 del anexo 1)
En caso de que el Notario deba compartir información personal con el proveedor para el desarrollo de sus funciones como proveedor Encargado del tratamiento de la información, se seguirá lo establecido en el proceso de transmisión de información establecido anteriormente en este documento. (Ver numeral 8.1.3 de este mismo documento).
8.3. Tramites Notariales
- Tramitesde Escrituración
Definida por la real academia española como la “Acción de escriturar”19, mediante la escrituración, el Notario, actuando como encargado del estado colombiano, formaliza y da carácter legal a un acuerdo u obligación mediante el documento denominado Escritura Pública, tomada esta como “(…) el instrumento que contiene las declaraciones emitidas ante notario (…)”20, y la cual es perfeccionada mediante el
19 www.rae.es
20 Decreto 960 de 1970. Artículo 13.
procedimiento de recepción, extensión, otorgamiento y autorización, etapas mediante las cuales el notario recopila información personal tanto de los interesados como de terceros que llegaren a estar involucrados en el trámite.
Así las cosas, y en la búsqueda del cumplimiento legal de todos los requisitos establecidos por la legislación notarial y la dirigida a reglamentar el tratamiento y la protección de datos personales, el Notario sigue los procesos que se disponen a continuación, junto con los requisitos legales impuestos por las mencionadas normas.
8.3.1.1. Escrituración
- La parte interesada en el negocio, directamente o por medio de un terceroautorizado para el efecto, radica documentos necesarios para iniciar tramite de escrituración. Los documentos pueden ser recibidos de forma física o mediante correo electrónico.
Documentos físicos: El Funcionario de la Notaría (área de radicación de documentos) recibe documentos y, una vez efectuada su revisión, recopila datos personales de las partes involucradas en el trámite, así como del tercero que radica los documentos, en caso de presentarse la situación, mediante la denominada “Hoja de ruta”.
La hoja de ruta utilizada por el funcionario de radicación, luego de haber consignado los datos personales recibidos, es firmada por quien radica los documentos, autorizando el tratamiento de los datos personales, texto que cuenta, como mínimo, con la siguiente información:
- Identificacióndel responsable del
- Finalidadespara las cuales serán utilizados los datos personales
- Derechosdel titular de la información.
- Descripciónde los derechos
- Canal mediante el cual el titular de la información puede ejercer sus
- Declaraciónde persona quien entrega los documentos mediante la cual afirma contar con la autorización de las partes interesadas para hacer entrega de la información.
Documentos electrónicos: El funcionario de la Notaría (Área de radicación de documentos) recibe los documentos mediante correo electrónico y, una vez efectúa su revisión, incorpora los datos personales de las partes involucradas en el trámite en la denominada “Hoja de ruta”.
El funcionario de radicación da respuesta al correo electrónico recibido informando que fueron admitidos los documentos y/o manifestando la necesidad de adicionar
información para iniciar el trámite, comunicando, así mismo, que fueron recopilados los datos personales con el fin de dar continuidad al trámite de escrituración.
Esta respuesta electrónica cuenta además con la siguiente información:
- Identificacióndel responsable del
- Derechosdel titular de la información.
- Canalmediante el cual el titular de la información puede ejercer sus
- Declaración de la persona quien entrega los documentos mediante lacual afirma contar con la autorización de las partes interesadas para hacer entrega de la información.
- El funcionario de radicación digita la información personal en el sistema delmódulo de escrituración con el que trabaja la Notaría (software) y asigna cita para trámite de firmas de la
- El Notario y/o el área jurídica, en representación del Notario, identifica lasdeclaraciones de las partes, realiza la revisión de documentos radicados en la Notaría y, en cumplimiento del Estatuto del Notariado21, indaga y revisa que se cumpla con los requisitos legales, en adición a verificar:
- Quelas declaraciones han sido realmente emitidas por los
- Quelas declaraciones se acomodan a la finalidad de los comparecientes, a las normas legales y a la clara expresión idiomática.
- Los fines prácticos y jurídicos que los otorgantes se proponen alcanzarcon sus declaraciones.
- La Capacidad de las partes intervinientes en el trámite teniendo encuenta que el instrumento puede llegar a resultar nulo de acuerdo con lo establecido en el artículo 1504 del Código Civil22.
- El Área de digitación elabora la minuta de la escritura de acuerdo con lainformación incorporada en los documentos radicados en la Notaría, velando porque contenga todos los elementos esenciales, así como las estipulaciones especiales que los interesados acuerden, redactando el documento en la forma establecida por el Estatuto del Notariado23, en idioma castellano y en lenguaje sencillo, jurídico y
Como parte de las notas y/o constancias que son incluidas en las escrituras se considera viable incorporar una denominada “Aviso de Privacidad” (Ver numeral 1.2.3 del Anexo 1) mediante la cual se les informa a las partes firmantes del documento que sus datos son recopilados por el Notario en su calidad de Encargado del tratamiento, en adición a informar:
21 Decreto 960 de 1970. Artículos 14, 15, 17 y 30
22 Código Civil. Artículo 1504. Incapacidad absoluta y relativa.
23 Decreto 960 de 1970. Artículos 15 y 16
- Eltratamiento al cual son o serán sometidos los datos personales
- Lasfinalidades del
- Losderechos que le asisten a los titulares de la información.
- Losmedios por los cuales puede conocer la política bajo la cual se regula el tratamiento de sus datos
- El Notario, o el área jurídica de la Notaría, realiza la revisión de la redacciónde la minuta en donde verifica:
- Quelas declaraciones de los otorgantes se encuentren redactadas con toda claridad y precisión.
- Quela redacción se acomode a los propósitos de los declarantes y a la esencia y naturaleza del
- Que se encuentren explícitamente las estipulaciones relativas a losderechos constituidos, transmitidos, modificados o extinguidos.
- Quese establezca claramente el alcance de dichos derechos y las obligaciones que los otorgantes asumen.
- Previovisto bueno del notario y/o del área jurídica, las partes realizan lectura de la minuta, ya sea de forma física o digital (de acuerdo con las herramientas disponibles en cada Notaría), y:
- Expresansu
- Corrigeno realizan modificaciones al contenido de la
En este último caso, las modificaciones y/o correcciones son nuevamente revisadas por el Notario y/o por área jurídica previa modificación de la minuta por parte del área de digitación.
- Elárea de caja procede a liquidar los gastos de escrituración y las partes intervinientes realizan el
- Área de digitación, luego de realizar las correcciones y/o modificacionespresentadas por las partes, y con el visto bueno del Notario y/o del área jurídica, procede con la extensión de la escritura en papel de seguridad notarial la cual cuenta con un numero asignado una vez se
- Las partes intervinientes proceden a firmar la escritura y a consignar en laparte final de la escritura los “generales de ley”24, a saber:
- Nombre
24 Decreto 960 de 1970. Articulo 25
- Apellido
- Numerode cedula
- EstadoCivil
- Edad: Únicamente en los casos en que la parte sea menor adulto25o cuando se trate de adoptados y/o adoptantes para los casos de las escrituras públicas de adopción.
- Domicilio
Frente a los dos últimos puntos anteriores, y de acuerdo con la Instrucción Administrativa 03 de 2018 de la Superintendencia de Notariado y Registro, se precisa que las firmas y las constancias y/o advertencias no deben superar, de manera desproporcionada, la extensión de la declaración.
- Las partes intervinientes en el trámite proceden a realizar la autenticación parala escritura, ya sea mediante autenticación biométrica o, por excepción, mediante autenticación (Ver tramite de autenticación).
Para el caso en que dentro de la documentación se cuente con un poder otorgado para realizar un trámite relacionado con bienes inmuebles, teniendo en cuenta la naturaleza del acto, el funcionario del área de autenticaciones procede a:
- Verificar existencia/inexistencia del poder en la Ventanilla Única deRegistro (VUR)
- Realizarla autenticación del apoderado
- Digitalizarel poder con el fin de cargarlo en la Ventanilla Única de Registro Inmobiliario26
- Elfuncionario del área de autenticación procede a almacenar copia del poder:
De forma digital: Dentro del servidor propio de la Notaría.
De forma física: En el archivo interno propio de la Notaría.
- El Área de protocolo incluye sellos, el área jurídica realiza una última revisióny el Notario procede a autorizar el instrumento una vez verificado el cumplimiento de
todos los requisitos legales mediante su firma autógrafa.
25 Ley 1098 de 2006. Código de Infancia y Adolescencia. Artículo 3º. “Para todos los efectos de esta ley, son sujetos titulares de derechos todas las personas menores de 18 años, sin perjuicio de lo establecido en el artículo 34 del código civil, se entiende por (…) adolescente las personas entre 12 y 18 años de edad.”
26 Decreto 019 de 2012. Artículo 89. De los poderes “(…) Los poderes mencionados serán digitalizados en las notarías y consulados y consignados en un repositorio especial creado para tal efecto en la Ventanilla Única de Registro Inmobiliario, VUR, una vez autorizada la escritura pública o la diligencia de reconocimiento de contenido y firma por el notario o cónsul, según sea el caso, a fin de facilitar a los notarios destinatarios su consulta, la confrontación con la copia física que tengan en su poder y la verificación de los mismos.”
- El área de protocolo procede a anotar la escritura autorizada por el Notarioen el libro de relación27, con lo cual se considera la escritura incorporada al protocolo, a la vez que toma copias para cada una de las
En adición a lo anterior, de acuerdo con las políticas internas establecidas por el notario, el área de protocolo siempre mantiene el protocolo de forma física y, a lo que se suma que:
- Digitalizala escritura y la almacena en el servidor interno de la Notaría; y/o
- Almacenala hoja de ruta junto con la o las minutas relacionadas con la ruta de escrituración
- Sehace entrega de las escrituras a las
- Se almacena el protocolo y los libros de relación e índice en el archivopropio de la Notaría hasta su envío al archivo general de la nación, en caso de esto último ser
8.3.1.2. Consulta de escrituras públicas
De acuerdo con el Estatuto del Notariado “Cualquier persona podrá consultar los archivos notariales, con el permiso y bajo la vigilancia del notario o de la persona autorizada para el efecto”.
En virtud de lo anterior, el Notario, o quien lo representa, actúa de la siguiente forma:
- Áreade protocolo recibe solicitud de consulta de escritura por parte del usuario
- Áreade protocolo solicita al usuario copia de su documento de identidad y el diligenciamiento de la planilla de control y de solicitud de copias mediante el cual el usuario, además de entregar sus datos personales, autoriza el tratamiento de estos con su firma, signo de aprobación y entendimiento del texto de autorización que se encuentra dentro de la mencionada
El mencionado texto de autorización cuenta, al menos, con:
- Laidentificación del Responsable del tratamiento
- Eltratamiento al cual son sometidos los datos personales
- Lasfinalidades para las cuales los datos personales recopilados son
- Losderechos que le asisten al titular de la información.
- Loscanales por medio de los cuales puede ejercer sus
27 Decreto 960 de 1970. Articulo 22
(Ver numeral 1.2.3 del Anexo 1)
La autorización que se solicita al usuario tiene como finalidad la de contar con su consentimiento para realizar el tratamiento de sus datos de manera que se mantenga un control sobre las consultas realizadas28.
Estas planillas se almacenan en el archivo propio de la Notaría, manteniendo así prueba de la autorización otorgada por los solicitantes titulares de la información, en cumplimiento de la legislación nacional en materia de tratamiento de datos personales.
- El área de protocolo pone a disposición del usuario interesado la escriturasolicitada, ya sea de forma física o de forma digital de acuerdo con las herramientas propias implementadas en la Notaría, para consulta, bajo permanente supervisión, de acuerdo con el artículo 114 del Estatuto del
8.3.1.3. Solicitud de copias de escrituras públicas
De acuerdo con lo establecido en el Estatuto del Notariado29, toda persona tiene derecho a obtener copias de las escrituras pública, dada su naturaleza de documento público y es el notario quien tiene la posibilidad de expedirlas, ya sea de forma total o parcial, de acuerdo con lo solicitado por el usuario, dando plena fe de su correspondencia con el documento original.
Con el fin de cumplir con lo anterior, el Notario al recibir solicitud de copia de una escritura, mediante su funcionario del área de protocolo, actúa de la siguiente forma:
- Elárea de protocolo recibe solicitud de copia de escritura por parte del usuario interesado, el cual informa:
- Tipode copia requerida: Autentica30 o simple31
- Extensiónde la copia: Total (incluyendo anexos) o parcial (sin anexos)
- Tipode papel: De seguridad o común
- El área de protocolo solicita al usuario copia de su documento de identidad yel diligenciamiento de la planilla de control y de solicitud de copias mediante el cual el usuario, además de entregar sus datos personales, autoriza el tratamiento de estos con su firma, signo de aprobación y entendimiento del texto de autorización que se encuentra incluido dentro de la mencionada planilla.
El mencionado texto de autorización cuenta, al menos, con:
28 Acuerdo 42 de 2002. Archivo General de la Nación. Artículo 5º
29 Decreto 960 de 1970. Artículos 79 y 80
30 Decreto 960 de 1970. Artículo 79. La copia autentica es “La copia autorizada que hace plena fe de su correspondencia con el original”
31 Superintendencia de Notariado y Registro. Instrucción Administrativa No. 02 de 2014. “La copia simple es la reproducción de un documento cualquier sin autenticarlo.”
- Laidentificación del Responsable del tratamiento
- Eltratamiento al cual serán sometidos los datos personales
- Lasfinalidades para las cuales los datos personales recopilados serán
- Losderechos que le asisten al titular de la información.
- Loscanales por medio de los cuales puede ejercer sus
(Ver numeral 1.2.3 del Anexo 1)
Esta autorización busca contar con el consentimiento de los usuarios para realizar el tratamiento de sus datos procurando mantener un control de las copias entregadas.
Estas planillas se almacenan en el archivo propio de la Notaria manteniendo prueba de la autorización otorgada por los solicitantes titulares de la información en cumplimiento de la legislación nacional en materia de tratamiento de datos personales.
- Elárea de protocolo, de acuerdo con lo establecido en el Estatuto del Notariado, expide la copia solicitada, en un tiempo no mayor a 8 días hábiles siguientes a la solicitud32.
Frente a la solicitud de copias de escrituras públicas, toda persona tiene derecho a obtenerlas, y al ser los datos incluidos en ellas considerados como públicos, de acuerdo con la definición de Dato Público referenciada al inicio del presente documento, pueden ser solicitados y tratados por cualquier persona de acuerdo con lo establecido en el Decreto 1377 de 201333.
8.3.2. Tramite de Registro Civil
De acuerdo con el Estatuto del Registro del Estado Civil de las personas, el Notario se encuentra facultado para llevar el registro del estado civil de las personas34.
En virtud de lo anterior, el Notario actúa de la siguiente manera en cada una de las etapas del registro:
8.3.2.1. Registro Civil de Nacimiento
- Usuariointeresado y autorizado por la ley, solicita trámite de registro de
32 Decreto 960 de 1970. Artículo 87
33 Decreto 1377 de 2013. Artículo 5º
34 Decreto 1260 de 1970. Articulo 118
De acuerdo con el Estatuto del Registro del Estado Civil de las personas, están en el deber de denunciar los nacimientos y solicitar su registro:
- Elpadre
- Lamadre
- Losdemás ascendientes
- Losparientes mayores más próximos
- Eldirector o administrador del establecimiento público o privado en que haya ocurrido
- Lapersona que haya recogido el recién nacido en estado de abandono
- Eldirector o administrador del establecimiento que se haya hecho cargo del recién nacido expósito
- Elpropio interesado mayor de 18 años.
- ElFuncionario de registro valida calidad del usuario, solicita datos personales y documentos requeridos para el trámite.
En cuanto a la solicitud de datos personales, el funcionario de registro solicita al usuario diligencie formato que, además de contar con los espacios para los datos, cuenta con texto relativo al tratamiento y la protección de datos personales, el cual es firmado por el usuario declarando así que autoriza el tratamiento de sus datos personales y entiende todo lo informado en dicho texto. Esta autorización cuenta, como mínimo, con lo siguiente:
- Identificacióndel responsable del
- Finalidadespara las cuales serán utilizados los datos personales
- Derechosdel titular de la información.
- Canalmediante el cual el titular de la información puede ejercer sus
Adicionalmente son solicitados los siguientes documentos:
- Certificadonacido vivo
- Documentode identificación de usuario
En caso de que el usuario se identifique como una madre soltera, esta diligencia un acta complementaria dirigida al Instituto Colombiano del Bienestar Familiar.
- Funcionariode registro realiza el documento de registro civil y toma:
- Huellasplantares para los menores de 7 años.
- Huellasde los dedos pulgares de la mano para los mayores de 7 años.
Registro civil en línea: Para el caso en que el Notario realiza el trámite en línea con la Registraduría Nacional del Estado Civil, el funcionario encargado ingresa datos en la plataforma de dicha entidad e imprime formato para validación de datos por parte del usuario(s). Luego del visto bueno dado por usuario(s) el funcionario realiza el proceso dispuesto en este punto.
- Notariofirma manualmente el registro de
- Funcionariode registro hace entrega de registro civil de nacimiento autentico al
- Se hace envío de copia del Registro Civil a la Registradurìa Nacional delEstado Civil y el original es almacenado de forma física en el archivo interno propio de la Notaria junto con los documentos anexos al registro (libro de antecedentes), de acuerdo con lo establecido en El Estatuto del Registro del Estado Civil de las personas35. En caso de que el registro sea digitalizado, el documento será almacenado dentro del servidor propio de la Notaría.
De igual forma se hace envío mensual de las actas complementarias al Instituto Colombiano de Bienestar Familiar.
8.3.2.2. Solicitud de copias de Registro Civil de Nacimiento
De acuerdo con lo establecido en El Estatuto del Registro del Estado Civil de las Personas36, los funcionarios encargados de llevar el registro del estado civil podrán expedir copias y certificados de las actas y folios que reposen en sus archivos.
Con el fin de cumplir con lo anterior, el Notario al recibir solicitud de copia de un registro civil de nacimiento, mediante su funcionario del área de protocolo, actúa de la siguiente forma:
- Áreade protocolo recibe solicitud de copia del Registro por parte del usuario interesado el cual informa:
- Tipode copia: Parte general del Registro Civil de nacimiento
- Tipode copia: Parte especial del Registro Civil de nacimiento
- Tipode copia: Registro Civil de nacimiento completo
- Áreade protocolo, luego de validar si el Registro Civil se encuentra en la Notaría, solicita al usuario copia de su documento de
35 Decreto 1260 de 1970. Artículo 8º
36 Decreto 1260 de 1970. Artículo 110
- Áreade protocolo valida la calidad con la que cuenta el usuario para obtener copia del Registro Civil, de acuerdo con lo siguiente:
- Usuariosolicita parte genérica:
Según la Registraduría Nacional del Estado Civil “Los Registros Civiles contienen datos de naturaleza pública que no requieren del consentimiento previo del titular para su tratamiento o entrega, en concordancia con lo indicado en el artículo 115 del Decreto Ley 1260 de 1970”37
De acuerdo con lo anterior, los datos contenidos en la parte genérica del Registro Civil, los cuales son el nombre del inscrito, su sexo, lugar y fecha de nacimiento son datos considerados como públicos, los cuales son entregados al usuario por el funcionario de protocolo sin autorización.
Esta copia no contiene la información contenida en la parte especial.
- Usuariosolicita parte especial:
De acuerdo con el Estatuto del Registro del Estado Civil de las Personas, en la sección especial se consignarán, el nombre de la madre y del padre, la identificación, profesión y oficio, nacionalidad y estado civil de los dos, así como su código del registro civil de nacimiento y de matrimonio.
Así las cosas, al recibir una solicitud de expedición de copia del Registro Civil de nacimiento que incluya la parte especial, el funcionario de protocolo da cumplimiento a la legislación de datos personales bajo la cual la información personal únicamente podrá ser suministrada a (i) titulares de la información; (ii) causahabientes del titular de la información; (iii) representantes legales del titular de la información; (iv) entidades públicas o administrativas en ejercicio de sus funciones legales; (v) terceros autorizados por el titular de la información; y (vi) a quien se le ordene judicialmente.38
En adición a lo anterior, el nombre de los progenitores y la calidad de la filiación solo serán entregados en los casos en que se encuentre la necesidad de demostrar parentesco.
- Usuariosolicita Registro Civil de nacimiento completo
El funcionario de protocolo aplica lo mencionado en los dos puntos anteriores.
- Validada la calidad del usuario, funcionario de protocolo le solicita diligenciarel “formato de autorización” establecido por la Registraduría Nacional del Estado Civil y complementado por el Notario (Ver numeral 2.5 del anexo 1) mediante el cual el
37 Ley 1260 de 1970
38 Ley 1581 de 2012. Artículo 13
usuario, además de entregar sus datos personales, autoriza el tratamiento de estos con su firma, signo de aprobación y entendimiento del texto de autorización que se encuentra dentro de la mencionada planilla.
El mencionado texto de autorización cuenta, al menos, con:
- Laidentificación del Responsable del tratamiento
- Eltratamiento al cual serán sometidos los datos personales
- Lasfinalidades para las cuales los datos personales recopilados serán
- Losderechos que le asisten al titular de la información.
- Loscanales por medio de los cuales puede ejercer sus
El Notario conoce frente a este punto de solicitud de copia del registro en específico, que el texto de autorización implementado busca contar con el consentimiento de los usuarios para hacer uso de su información con el único fin de controlar y mantener un registro de las copias entregadas.
Estas planillas se almacenan en el archivo propio de la Notaría manteniendo así prueba de la autorización otorgada por los solicitantes titulares de la información en cumplimiento de la legislación nacional en materia de tratamiento y datos personales.
- Área de protocolo, de acuerdo con lo establecido en el Estatuto del Registrodel Estado Civil de las Personas, y una vez realizada la respectiva validación, procede a expedir la copia
8.3.2.3. Registro Civil de Matrimonio
- Matrimonioreligioso
- Usuarios, una vez habiendo contraído matrimonio, solicitan el registro de sumatrimonio en sus registros civiles de
- Funcionariode registro solicita a los usuarios documentación requerida, a saber:
- Registrocivil de nacimiento
- Partidade matrimonio
- El Funcionario de registro realiza el documento de registro civil el cual esfirmado manualmente por el
- ElFuncionario de registro hace entrega del registro civil de matrimonio autentico a los
- ElFuncionario de registro envía comunicación del matrimonio al Notario donde se encuentra el registro civil de nacimiento de cada uno de los contrayentes, y se almacena el original de forma física en el archivo interno propio de la Notaría junto con los documentos anexos al registro (libro de varios). En caso de que el registro sea digitalizado, el documento será almacenado dentro del servidor propio de la Notaría.
8.3.2.3.2. Matrimonio civil
- Usuariossolicitan diligencia de matrimonio ante
- Funcionariode registro solicita a los usuarios datos personales y
En cuanto a la solicitud de datos personales, el funcionario de registro solicita a los usuarios diligenciar formato que, además de contar con los espacios para los datos, cuenta con texto relativo al tratamiento y la protección de datos personales, el cual es firmado por los usuarios declarando así que autorizan el tratamiento de sus datos personales y entienden todo lo informado en dicho texto. Esta autorización cuenta, como mínimo, con lo siguiente:
- Identificacióndel responsable del
- Finalidadespara las cuales serán utilizados los datos personales
- Derechosdel titular de la información.
- Canalmediante el cual el titular de la información puede ejercer sus
Adicionalmente son solicitados los siguientes documentos:
- Registrocivil de nacimiento
- Existenciade menores de edad entre los contrayentes: Inventario solemne de bienes o declaración de inexistencia de bienes
- Funcionariode registro reconoce solicitud, asigna fecha de matrimonio y fija
- Unavez llevada a cabo la diligencia de matrimonio por el Notario, el funcionario de registro realiza el documento de registro civil el cual es firmado manualmente por el
- ElFuncionario de registro hace entrega del registro civil de matrimonio autentico a los usuarios.
- El Funcionario de registro envía comunicación del matrimonio al Notariodonde se encuentra registrado el registro civil de nacimiento de cada uno de los contrayentes, y se almacena el original de forma física en el archivo interno propio de la Notaría junto con los documentos anexos al registro (libro de varios). En caso de que el registro sea digitalizado, el documento este almacenado dentro del servidor propio de la Notaría.
8.3.2.4. Registro Civil de Defunción
- Interesadosolicita registro civil de defunción de la persona
Pueden solicitar la inscripción de una muerte en el registro civil:
- Conyuguesobreviviente
- Parientesmás próximos del difunto
- Personasque habiten en la casa en donde ocurrió el fallecimiento
- Médicoque haya asistido al difunto en su última enfermedad
- Funerariaque atienda su sepultura
- Funcionariode registro solicita al interesado documentación requerida, a saber:
- Muertenatural: Certificado de defunción
- Muerteviolenta: Certificado de defunción Autorización del inspector de policía
- Funcionariode registro realiza el documento de registro civil el cual es
firmado manualmente por el Notario.
- Funcionario de registro hace entrega del registro civil de defunción autenticoal
- Funcionario de registro envía reporte de registros civiles de defunción a laRegistraduría Nacional del Estado Civil y almacena el original de forma física en el archivo interno propio de la Notaria. En caso de que el registro sea digitalizado, el documento será almacenado dentro del servidor de la Notaría.
8.3.3. Tramite de Autenticación biométrica
El Notario se encuentra legalmente facultado para realizar el reconocimiento de firmas y del contenido de los documentos que un usuario presente ante él.39
En complemento a lo anterior, la Ley Anti-trámites40 establece que debe obtenerse la huella dactilar como medio de identificación, en todos los trámites y actuaciones que se cumplan ante, entre otros, particulares que ejercen funciones administrativas, mediante herramientas electrónicas que logren inter-operar con la base de datos de la Registraduría Nacional del Estado Civil para verificar la identidad de los usuarios para el caso de los Notarios.
En virtud de lo anterior, la Superintendencia de Notariado y Registro reguló la prestación del servicio de biometría en línea para la identificación personal inmediata mediante medios tecnológicos que permiten cotejar la identidad del titular de la huella con la base de datos de la Registraduría, estableciendo que:
- LosNotarios en ejercicio de sus funciones, en los actos y trámites en los que se exija la obtención de la huella dactilar como medio de identificación inmediato de la persona, deberán reemplazar la imposición de la huella dactilar por su captura mediante la utilización de medios electrónicos, a efectos de cotejar la misma con la base de datos de la Registraduría Nacional del Estado Civil, en todos los trámites que sea necesaria la verificación de la identidad personal.
- Elmencionado procedimiento es obligatorio para todos los Notarios del país, como para los usuarios del servicio
- Implementación:A partir del 1 de enero de 201641
En cumplimiento de esta obligación legal, el Notario procede a realizar la autenticación de la siguiente manera:
39 Decreto 960 de 1970. Artículo 68
40 Decreto 019 de 2012. Artículos 17 y 18
41 Superintendencia de Notariado y Registro. Resolución 14681 de 2015 “Por la cual se regula la prestación del servicio de biometría en línea para la identificación personal inmediata mediante medios tecnológicos de interoperabilidad necesarios para cotejar la identidad del titular de la huella con la base de datos de la Registraduría Nacional del Estado Civil, en los términos dispuestos en el Decreto Ley 019 de 2012.
- Elusuario interesado solicita trámite de autenticación.
- Elfuncionario de autenticación de la Notaría revisa documentos que el usuario requiere y solicita documento de identidad.
Para el caso en que los usuarios sean ciudadanos extranjeros, el funcionario de autenticación procede a solicitar mediante planilla de registro los datos personales de dichos usuarios, por medio de la cual autorizan el tratamiento de sus datos a fin de llevar control de las actuaciones realizadas, y proceder con la autenticación mediante la autenticación tradicional.
El mencionado texto de autorización cuenta, al menos, con:
- Laidentificación del Responsable del tratamiento
- Eltratamiento al cual serán sometidos los datos personales
- Lasfinalidades para las cuales los datos personales recopilados serán
- Losderechos que le asisten al titular de la información.
- Loscanales por medio de los cuales puede ejercer sus
Estas planillas se almacenan en el archivo propio de la Notaría manteniendo así prueba de la autorización otorgada por los solicitantes titulares de la información en cumplimiento de la legislación nacional en materia de tratamiento y datos personales.
- Usuario autoriza directamente el tratamiento de datos personales mediantetexto puesto en su conocimiento en el dispositivo móvil del sistema de autenticación biométrica, adquirido en calidad de comodato con la “U.C.N.C.”, en la medida en que, de acuerdo con la Superintendencia de Notariado y Registro “Tanto el operador del sistema biométrico certificado por la RNEC, como los notarios, deberán sujetarse a lo estatuido por la Ley 1581 de 2012 y el Decreto Reglamentario, en relación a la protección de datos personales de los usuarios que requieren el servicio notarial”.42
- Una vez autorizado el tratamiento de datos, el funcionario de autenticaciónprocede a:
- Tomarfotografía del usuario
- Escanearcódigo de barras de documento de identidad y/o incluir información del usuario en el sistema de autenticación
- Tomarhuella del usuario mediante herramienta de huellero digital
En caso de que la toma de huella no sea posible debido a situaciones medicas como
lo puede ser la dermatitis43, el funcionario de autenticación solicita certificado médico en el que conste la presencia de la afectación, y procede a realizar la autenticación tradicional.
Los certificados médicos que sean entregados por los usuarios son almacenados en el archivo propio de la notaría.
- Sistemarealiza cotejo de la información con la base de datos de la Registraduría Nacional del Estado Civil.
Cotejo negativo
El funcionario de autenticación informa al usuario que la autenticación no puede ser realizada por resultados negativos en el cotejo de la información entregada con la base de datos de la Registraduría Nacional del Estado Civil.
Cotejo positivo
El funcionario de autenticación continua con el procedimiento.
- El usuario procede a incluir su firma por medio del dispositivo móvil delsistema de autenticación biométrica de la Notaría.
- Notario aprueba trámite con su firma digital y funcionario de autenticaciónrealiza impresión de certificado del cotejo biométrico el cual es firmado nuevamente por el Notario, esta vez manualmente.
- Sehace entrega del documento autenticado al usuario y finaliza el trámite.
Frente a este trámite de autenticación y acceso, con fines de cotejo y validación, a la base de datos de la Registraduría Nacional del Estado Civil, el Notario nunca crea archivos y/o bases de datos compuestas por la información consultada en esa entidad al conocer que “(…) Está totalmente prohibido recolectar, enrolar y almacenar huellas digitales o imágenes de estas, o complementar bases de datos con la información consultada de las bases de datos de la Registraduría Nacional del Estado Civil.”44
Excepciones a la autenticación biométrica (cotejo con Registraduría Nacional del Estado Civil): De acuerdo con la reglamentación de este procedimiento, la Superintendencia de Notariado y Registro determinó cuatro situaciones que, en caso de presentarse, avalan continuar con la autenticación de la forma tradicional.
Estas situaciones, consideradas únicas excepciones, son45:
43 Inflamación que afecta la piel
44 Registraduría Nacional del Estado Civil. Resolución 5633 de 2016. Articulo 29
- Cuandose presenta caso fortuito o fuerza mayor, como lo son fallas eléctricas, de conectividad, o del sistema, que afectan todo el circulo notarial o cuando se trata de notaria única. En tal caso se puede continuar con la autenticación mediante de la forma tradicional, dejando registro de la situación presentada, acompañado de la certificación expedida por el operador del sistema de biometría en línea.
- En caso de que la falla sea únicamente en la Notaria a la que el usuario deacerca a realizar el trámite, el notario, previa certificación del operador del sistema de biometría en línea, indica la situación presentada al usuario y le informa cuales son las notarías más cercanas en las que puede adelantar el acto o trámite respectivo.
- Cuando la huella dactilar del usuario no tenga condiciones suficientes paraser confrontada con la base de datos de la Registraduría por aspectos médicos, siempre y cuando esta situación sea acreditada por certificación médica.
- Cuando se realicen diligencias fuera del despacho notarial las cuales seefectúan mediante sistema tradicional hasta tanto se adquieran los dispositivos técnicos y equipos móviles o en el caso en que, habiéndose incorporado, se acredite la imposibilidad de traslado del dispositivo existente fuera de la Notaria.
8.3.4. Tramite de Registro de Firma
De acuerdo con el Estatuto del Notariado, el Notario se encuentra en la capacidad de dar testimonio de que la firma puesta en un documento corresponde al de la persona que la ha registrado ante él, previa confrontación de las dos46.
De acuerdo con lo anterior, con el fin de registrar una firma y dar fe de su autenticidad, el notario actúa de la siguiente manera:
- Usuariointeresado solicita trámite de registro de
- Funcionariode autenticaciones solicita a usuario documentos tales como:
- RUT
- Cámarade Comercio
- Cédulade Ciudadanía
- Una vez el usuario hace entrega de los documentos solicitados, diligencia laficha de registro de firma incorporando sus datos personales, incluyendo su huella y la firma mediante la cual el usuario autoriza el tratamiento de sus datos declarando que conoce lo que se le ha informado, siendo esto, como mínimo:
- Laidentificación del Responsable del tratamiento
46 Decreto 960 de 1970. Artículo 73
- Eltratamiento al cual serán sometidos los datos personales
- Lasfinalidades para las cuales los datos personales recopilados serán
- Losderechos que le asisten al titular de la información.
- Loscanales mediante los cuales podrá ejercer los
(Ver numeral 1.2.6 del Anexo 1)
- Funcionariode autenticaciones almacena la ficha de registro de firma junto con sus documentos soporte:
De forma digital: Dentro del servidor de la Notaría.
(Datos + documentos digitales)
De forma física: En el archivo interno propio de la Notaría.
Una vez realizado el trámite de registro de firma, el usuario interesado puede realizar el trámite de autenticación de documentos que la contengan, el cual se compone de los siguientes pasos:
- Elinteresado o su representante se acerca a la Notaría con documento firmado solicitando su autenticación
- Elfuncionario de autenticaciones confronta la firma en el documento contra la firma
- Asímismo, el funcionario de autenticaciones contacta a titular de la firma y verifica:
- Ubicacióndel titular de la firma
- Veracidaddel documento
- Verificadolo anterior, se procede a realizar la autenticación. (Ver tramite de autenticación)
8.3.5. Tramite de Declaraciones Extra proceso
De acuerdo con el Estatuto del Notariado, el Notario tiene como función redactar los instrumentos mediante el cual se consignan las declaraciones emitidas ante él, sin perjuicio de que la parte interesada, o sus asesores, se presenten con el instrumento por ellos redactado.
De acuerdo con lo anterior, frente a declaraciones extra-proceso, el Notario actúa de la siguiente manera:
- Elusuario interesado solicita tramite de declaración extra-proceso.
- ElNotario, mediante el funcionario asignado, redacta y/o transcribe la declaración presentada por el usuario interesado en físico dentro de su sistema
- Deacuerdo con el Estatuto del Notariado, el Notario, o su representante, vela por la legalidad de la declaración y pone de presente las irregularidades que observa de las cuales deja constancia.
- Una vez redactada la declaración, y revisada por el usuario interesado, seprocede a impresión y firma del documento por parte del
- Posteriormente,el usuario interesado procede a realizar la autenticación.
(Ver tramite de autenticación)
En ninguna circunstancia las copias de los documentos contentivos de las declaraciones de los usuarios que queden en poder de los funcionarios de la Notaría son utilizadas como hoja borrador (o papel reciclable).
Estos documentos siguen los procesos de archivo y/o de destrucción de la información ya establecidos anteriormente en este mismo documento. (Ver numeral
8.1.5 de este mismo documento).
- Tramitede Conciliación
Las normas colombianas relativas a la conciliación establecen, “Se podrán conciliar todas las materias que sean susceptibles de transacción, desistimiento y conciliación ante (…) los Notarios”47.
De acuerdo con lo anterior, el Notario está al servicio del derecho y no de ninguna de las partes y presta su asesoría y consejo a todos los otorgantes en actitud conciliadora al seguir el siguiente procedimiento:
- Usuariointeresado presenta documentos junto con la solicitud de conciliación ante el área jurídica de la Notaría.
- Áreajurídica realiza revisión de documentos y determina si el trámite si es susceptible de conciliación ante
Si la revisión se realiza inmediatamente:
- Trámitesusceptible de conciliación: El área jurídica programa cita de audiencia de conciliación y envía notificaciones a las partes
- Trámiteno susceptible de conciliación: El área jurídica hace devolución
47 Ley 640 de 2001. Articulo 19
inmediata de los documentos al usuario interesado.
Si la revisión se realiza en momento posterior:
- Trámite susceptible de conciliación: El área jurídica programa cita deaudiencia de conciliación y envía notificaciones a las partes
- Trámite no susceptible de conciliación: área jurídica informa a usuariointeresado e informa que sus documentos están disponibles en la Notaría para devolución. En caso de que el usuario no solicite la devolución, el Notario almacena los documentos en su archivo propio.
- Notariolleva a cabo audiencia de conciliación.
- Losusuarios autorizan el tratamiento de sus datos suscribiendo el formato en donde declaran que se les ha informado, como mínimo:
- Laidentificación del Responsable del tratamiento
- Eltratamiento al cual serán sometidos los datos personales
- Lasfinalidades para las cuales los datos personales recopilados serán
- Losderechos que le asisten al titular de la información.
- Loscanales mediante los cuales podrá ejercer los derechos
(Ver numeral 1.2.8 del Anexo 1)
- Alterminar la audiencia:
- Sellega a un acuerdo: Se redacta acta de conciliación la cual contiene48:
- Lugar,fecha y hora de
- Identificacióndel
- Identificaciónde las personas comparecientes a la
- Asuntoobjeto de la conciliación.
- Resultadode la audiencia de conciliación.
En caso de haberse logrado un acuerdo, se indica en el acta la cuantía, modo, tiempo y lugar de cumplimiento de lo pactado.
– No se presentan las partes o no se llega a un acuerdo: Se redacta
48 Ley 640 de 2001. Artículo 1º incluido
el Acta de conciliación Fallida la cual contiene49:
- Fechade presentación de
- Fechade la
- Asuntoobjeto de la conciliación.
- Finalmente,de acuerdo con las políticas internas establecidas por el Notario, éste:
- Mantieneel acta/constancia junto con los documentos relacionados con el trámite de forma física; y/o
- Digitaliza el acta/constancia y la almacena en el servidor interno de laNotaría; y/o
- Digitalizael acta/constancia y los documentos relacionados con el trámite y los almacena en el servidor interno de la Notaría.
9.Seguridad de la información
- Medidasde seguridad y controles
Con el fin de mantener la seguridad de los datos personales que son recopilados, almacenados y utilizados en cada una de las actividades y/o procesos, el Notario cuenta con medidas y unos controles que permiten asegurar que las políticas adoptadas para el tratamiento y la protección de datos personales en efecto han sido implementadas y seguidas al interior de la Notaría, de acuerdo con sus posibilidades logísticas, físicas y económicas, entre las cuales se encuentran:
9.1.1. Medidas de seguridad
- Antivirusy firewalls en los equipos de cómputo de la Notaría
- Perfilesde usuarios y de acceso y manipulación de datos y monitoreo
- Planesde back-up, o copias de respaldo, diaria, semanal y mensualmente
- Bloqueode puertos USB
- Bloqueode página web con acceso personales y/o redes sociales
- Prohibiciónde instalación de aplicativos de mensajería instantánea en equipos de computo
- Videovigilancia y control de acceso mediante huellero (optativo)
49 Ley 640 de 2001.
- Bloqueode sesiones luego de 5 minutos de inactividad
- Registrode consulta y copias de protocolos tomadas por funcionarios de la Notaría
- Registrode consulta y copias de protocolos solicitados por usuarios
- Accesorestringido a área de archivo físico y área de computo
9.1.2. Controles
- Actualizaciónperiódica de políticas y procedimientos de Protección de Datos Personales
- Identificaciónde manera continua de requerimientos legales
- Seguimientoa nuevas regulaciones
- Capacitacionesque responden a temas y a asuntos de protección de datos personales
- Revisionesfrecuentes de los procedimientos y documentación
- Revisiónperiódica del inventario de bases de datos
9.2. Riesgos y análisis del riesgo
Los riesgos, tomados como una contingencia o proximidad de un daño50 asociados con el tratamiento de datos personales, deben ser identificados por los Notarios que se adhieren a este Código.
Es por lo anterior, que cada uno de los Notarios que se adhieren a este código desarrolla de manera autónoma un sistema de administración de riesgos acorde con su estructura organizacional, sus procesos internos y las bases de datos existentes, el cual les permite identificar, medir, controlar y monitorear las situaciones que puedan generar un riesgo al que se está expuesto en el cumplimiento de las normas de tratamiento y protección de datos personales.
Todo lo anterior se hace viable a través de la implementación del programa que contempla las siguientes etapas:
- Identificación
Se establecen los riesgos a los que se exponen los datos personales (i) documentando el ciclo de la información en cada uno de los procesos internos; (ii) definiendo la metodología de identificación de los riesgos; (iii) identificando los riesgos que ya se hayan presentado.
- Medición
Etapa que tiene como fin determinar la posibilidad de ocurrencia de los riesgos
50 www.rae.es
relacionados con el tratamiento y la protección de datos personales y el impacto de estos en caso de materializarse.
- Control
Etapa relacionada con las acciones que se deben tomar para disminuir la posibilidad de la materialización de los riesgos y/o las consecuencias de dicha materialización, identificando tanto el tipo de controles como si son suficientes, efectivos y oportunos.
- Monitoreo
Etapa consistente en realizar un seguimiento permanente por medio del cual se valida la implementación de las medidas establecidas, llevando un registro de incidentes que contemple los datos afectados, los titulares de esos datos, la fecha del incidente y las acciones correctivas que fueron implementadas.
- Evaluación
Etapa en la que (i) cada uno de los responsables internos deben evaluar periódicamente sus riesgos; (ii) se evalúa el cumplimiento de la ley y de las medidas implementadas internamente en cada uno de los procesos.
9.7.3. Notificación de incidentes y brechas de seguridad
Reiterando lo ya mencionado a este respecto, se entiende por incidente de seguridad “(…) cualquier evento en los sistemas de información o bases de datos manuales o sistematizadas, que atente contra la seguridad de los datos personales en ellos almacenados”51 y/o a cualquier “(…) violación de los códigos de seguridad o la perdida, robo y/o acceso no autorizado de datos personales que sean tratados por el Responsable del tratamiento”52.
De acuerdo con lo anterior, son tipos de incidentes de seguridad53, entre otros, los que:
- Afectanla confidencialidad de los datos personales
- Afectanla disponibilidad de los datos personales
- Afectanla integridad de los datos personales
Las causales de los incidentes de seguridad se presentan principalmente por:
- Fraudeinterno
- Fraudeexterno
- Dañosa activos físicos
- Fallade tecnología informática
- Ejecucióny/o administración de procesos
51 “La Ley 1581 de 2012 no hace distinción alguna respecto de los incidentes que deben ser reportados a la Superintendencia, por lo que, independientemente de su impacto, deben reportarse a esta entidad todos los incidentes ocurridos.”. Página 20. Guía para la Implementación del Principio de Responsabilidad Demostrada (Accountability)
52 Manual de Usuario del Registro Nacional de Bases de Datos – RNBD. Página 125
53 Manual de Usuario del Registro Nacional de Bases de Datos – RNBD. Páginas 126 y 127
- Fallapor negligencia o actos involuntarios
Teniendo en cuenta lo anterior, el Notario, además de cumplir con las instrucciones y requerimientos que le imparte la Superintendencia de Industria y Comercio, informa a esa autoridad cuando, dentro de sus actividades, se presenten riesgos y/o violaciones a sus políticas y/o procedimientos dirigidos a la seguridad de la información personal sobre la cual realiza el tratamiento.
El mencionado reporte se realiza mediante cualquiera de los canales que la Superintendencia de Industria y Comercio tenga habilitados para el efecto dentro de los quince (15) días hábiles siguientes al momento en que sea detectado el incidente y/o sea puesto en conocimiento de la persona o área encargada de atenderlo.
10. Adhesiones al Código General de Tratamiento de Datos Personales
-
Una vez el Notario adscrito a la “U.C.N.C.” conozca el presente Código General, podrá adherirse a él informándolo a la “U.C.N.C.” mediante comunicación escrita manifestando su interés de dar cumplimiento a lo dispuesto en este documento en tres niveles:
- Nivellegal
- Nivelprocesos
- Niveldocumental
11.Autoridades de control y vigilancia
-
Con el fin de garantizar el cumplimiento legal de los procesos y normatividad notarial y/o de tratamiento de datos personales, el Notario se encuentra bajo la vigilancia de dos autoridades nacionales, a saber:
- Superintendenciade Notariado y Registro
- Superintendenciade Industria y Comercio
Es de anotar que en lo que ha tratamiento y protección de datos personales se refiere, la Superintendencia de Notariado y Registro ha establecido que “(…) en principio, las funciones de vigilancia, control, así como el poder sancionatorio respecto al manejo y administración de información personal reposada en las bases de datos de las Notarías corresponde a la Superintendencia de Industria y Comercio. (…) Ahora bien, lo anterior no obsta para que la Superintendencia de Notariado y Registro tenga competencia para entrar a conocer, investigar y, eventualmente, sancionar situaciones relacionadas con los asuntos regulados por la Ley 1581 de 2012 cuando con ocasión o por efecto de estas se configuren también conductas atribuibles a los Notarios que resulten sancionables a la luz de la Ley 734 de 2002, en concordancia con lo dispuesto en los decretos 960 de 1970 y 1069 de 2015.”54
54 Superintendencia de Notariado y Registro. Documento SNR2018ER051474
A su vez, la Superintendencia de Industria y Comercio ha establecido que “(…) pese al ejercicio de funciones públicas en desarrollo de la descentralización por colaboración establecida en la Ley 489 de 1998, las notarías son particulares, los cuales, a pesar de contar con autorización para el ejercicio de las referidas prerrogativas, no son entidades públicas y en tal sentido, se hallan sujetas a las eventuales investigaciones y/o sanciones establecidas en la Ley 1581 de 2012 cuando la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio evidencia alguna conducta contraria al régimen de protección de datos personales dispuesto en la Ley 1581 de 2012 y sus decretos reglamentarios.”55
12.Vigencia
-
El presente Código General entrará a regir en cada Notaría desde el momento en el que el Notario se adhiera a él.