130 9. Compliance de protección de datos personales
Principales obligaciones en materia de protección de
datos personales
El régimen general de protección de datos personales está contenido en la
Ley 1581 de 2012 y sus decretos reglamentarios. En adición a lo anterior, en Colombia también existe un régimen especial de protección del derecho de hábeas data en el entorno financiero, cuyas normas están contenidas principal- mente en la Ley 1266 de 2008.
Resumen de la normativa española en materia de protección de datos personales
Para mayor referencia en España las obligaciones en materia de protección de datos surgen de dos fuentes: (i) el Reglamento General de Protección de Datos (“RGPD”), norma de la Unión Europea que contiene las principales reglas de protección de datos aplicables a las empresas; y (ii) Ley Orgánica 3/2018 de protección de datos personales y garantía de derechos digitales, que detalla en ciertos aspectos el tratamiento de datos para España.
El RGPD se aplica a los datos de carácter personal, entendidos como cualquier información concerniente a personas físicas, identificadas o identificables, no siendo extensiva, por tanto, su regulación a los datos que hagan referencia a personas jurídicas; sin embargo, es de aplicación a los datos de empresarios individuales y de las personas de contacto en personas jurídicas. Esta normati- va gira en torno a los siguientes principios:
Necesidad de una base legal para llevar a cabo el tratamiento de los datos personales (es decir, de un consentimiento inequívoco, libre, revocable).
Obligación de informar al interesado o titular de los datos sobre los aspectos principales del tratamiento de sus datos personales.
Tratamiento limitado a aquellos datos personales que resulten pertinentes, ade- cuados y no excesivos conforme la finalidad para la cual fueron recolectados.
Limitaciones especiales al tratamiento de datos protegidos (por ejemplo, aquellos sobre ideología, afiliación sindical, religión, creencias, origen racial, salud, vida sexual entre otros).
Comunicación de datos personales a terceros requiere de una base legal suficiente.
Derechos de acceso, rectificación, cancelación, oposición, portabilidad, olvi- do y limitación del tratamiento de los datos personales de los titulares.
Obligación de “responsabilidad proactiva” que exige el establecimiento de medidas que garanticen y permitan demostrar el cumplimiento del RGPD.