Actividad Modulo 1

Vista previa del material en texto

COM 504 Actividad del módulo 1 
 
1 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Actividad Módulo 1 
Luis Fernando Vera Jaimes 
1227709 
Saint Leo University 
Cómputo legal en ciberseguridad 
COM-504ES-AVOL1 
Dr. Rodrigo Cadena Martínez 
09 de Julio de 2023 
Declaración de honestidad académica de la maestría en Ciberseguridad 
 
 
Incluyo mi firma a continuación como compromiso de que el contenido de esta actividad es mío, excepto las partes que tengan 
las debidas citas y referencias. Entiendo y acepto la siguiente definición de plagio: 
 
1. El plagio incluye la repetición literal sin reconocimiento de las palabras de otros autores. Todas las frases, oraciones o 
pasajes de este trabajo son tomadas directamente de una fuente si indican con citas y reconocimiento dentro del texto, además de 
que se incluyen en la página de referencias. 2. El plagio incluye tomar las ideas ajenas y presentarlas como propias. 3. 
Parafrasear el trabajo de otro escritor sin reconocerlo implica incurrir en plagio. 4. El plagio también incluye parafrasear de 
forma incorrecta. Los pasajes parafraseados (expresados en mis propias palabras) incluyen un reconocimiento adecuado de 
autoría dentro del texto y en las referencias. 5. El plagio incluye usar a otra persona u organización para preparar este trabajo y 
entregarlo como propio. 6. El plagio incluye reenviar trabajos previos, total o parcialmente, para una actividad actual sin tener 
un permiso escrito del instructor actual antes de hacerlo. 
 
Es necesario que los estudiantes se comprometan a ser honestos, justos y congruentes en sus palabras y actos, de acuerdo con el 
 
Firma del estudiante: Luis Fernando Vera Jaimes 
COM 504 Actividad del módulo 1 
 
2 
 
 
Abstract 
 
El presente documento pretende responder las actividades planteadas en el módulo 1 del curso 
de computo legal en ciberseguridad perteneciente a la maestría en ciberseguridad de Saint Leo 
University, en el se busca abordar las normativas y regulaciones en materia de privacidad de la 
información en nuestros países de origen que para mi caso puntual es Colombia. 
Se tratarán las leyes y sus principales restricciones al momento de recolectar información 
personal y como debe ser tratada y protegida por parte de las diferentes organizaciones. 
COM 504 Actividad del módulo 1 
 
3 
 
 
Actividad Módulo 1 
 
En Colombia contamos con la ley estatutaria 1581 de 2012 mediante la cual el gobierno 
nacional busca brindar protección a la información personal de los ciudadanos y delegar un ente 
de control que, ejerza la vigilancia y sancione las acciones indebidas en busca de garantizar que 
los datos personales de los ciudadanos sean tratados legalmente, para esto e genera el registro 
nacional de bases de datos donde todas las empresas e instituciones que recopilen y almacenen 
información personal de los ciudadanos registren sus bases de datos y cumplan con todas las 
normativas vigentes en el país. 
Cuestionario planteado. 
1. Investigue las leyes de privacidad de la información de su país y genere una línea de tiempo de las 
iniciativas más importantes hasta la ley vigente y sus modificaciones más recientes. 
 
 
 
 
 
 
CONSTITUCIÓN POLÍTICA DE COLOMBIA 
El 1 de enero de 1991 se promulga la constitución 
política de Colombia que en su artículo 15 establece 
"Todas las personas tienen derecho a su intimidad 
personal y familiar y a su buen nombre, y el Estado debe 
respetarlos y hacerlos respetar. De igual modo, tienen 
derecho a conocer, actualizar y rectificar las 
informaciones que se hayan recogido sobre ellas en los 
bancos de datos y en archivos de entidades públicas y 
privadas." (Asamblea Nacional Constituyente, 1991)
2008. LEY DE HABEAS DATAS. 
El 31 de diciembre de 2008 se promulga la ley 1266 
por la cual se dictan las disposiciones generales del 
hábeas data y se regula el manejo de la información 
contenida en bases de datos personales, en especial la 
financiera, crediticia, comercial, de servicios y la 
proveniente de terceros países y se dictan otras 
disposiciones (Congreso de la República de Colombia, 
2008) 
2009. LEY 1288 DE 2009 por 
medio del cual se expiden normas para fortalecer el 
marco legal que permite a los organismos, que llevan a 
cabo actividades de inteligencia y contrainteligencia, 
cumplir con su misión constitucional y legal, y se dictan 
otras disposiciones. (Congreso de la república de 
Colombia, 2009)
2010. SENTENCIA C-913 CCdeCO 
Declara inexequible la ley 1288 de 2009 por ir en contra 
a lo dispuesto en la Constitución política de Colombia 
"Las labores de inteligencia y contrainteligencia causan 
afectaciones ciertas, aunque de diversa intensidad, a la 
intimidad de las personas y que siendo ésta un derecho 
fundamental, calidad que se extiende a todas sus 
distintas facetas, entre ellas el hábeas data, el desarrollo 
legislativo de esos temas está, al menos en principio, 
sujeto a la reserva de ley estatutaria." (Corte 
Constitucional de Colombia, 2010)
2012 LEY ESTATUTUARIA 1581 La 
presente ley tiene por objeto desarrollar el derecho 
constitucional que tienen todas las personas a conocer, 
actualizar y rectificar las informaciones que se hayan 
recogido sobre ellas en bases de datos o archivos, y los 
demás derechos, libertades y garantías constitucionales 
a que se refiere el artículo 15 de la Constitución Política; 
así como el derecho a la información consagrado en el 
artículo 20 de la misma. (Congreso de la república de 
Colombia, 2012)
2013 LEY ESTATUTARIA 1621 Por 
medio de la cual se expiden normas para fortalecer el 
Marco Jurídico que permite a los organismos que 
llevan a cabo actividades de inteligencia y 
contrainteligencia cumplir con su misión constitucional 
y legal, y se dictan otras disposiciones” (Congreso de la 
Republica de Colombia, 2013)
1991 
2008 
2009 
2013 
2012 
2010 
COM 504 Actividad del módulo 1 
 
4 
 
 
 
2. Basado en la ley de privacidad de información actual, explique cuáles son las clasificaciones de información 
sugeridas por ley y a qué tipo de entidades aplica. 
 
La clasificación de datos personales en Colombia se hizo en la ley 1266 de 2008 y el decreto 1377 de 2013, dentro 
de esta clasificación encontramos los siguientes tipos de datos. (Congreso de la República de Colombia, 2008), 
(Presidencia de la República de Colombia, 2013) 
 
➢ Datos públicos: Datos que no son semiprivados, privados o sensibles (Ej. datos relativos al estado civil de las 
personas, su profesión u oficio, su calidad de comerciante o servidor público y aquellos que pueden obtenerse 
sin reserva alguna). 
 
➢ Datos Semiprivados: Datos que no tienen naturaleza íntima, reservada, ni pública y cuyo conocimiento 
interesa al titular y a cierto sector o grupo de personas o a la sociedad en general (Ej. datos financieros y 
crediticios, dirección, teléfono, correo electrónico, etc.). 
 
➢ Datos Privados: Datos que solo son relevantes para su titular (Ej. fotografías, videos, datos relacionados con 
su estilo de vida.) 
 
➢ Datos Sensibles: Aquellos que afectan la intimidad de las personas o cuyo uso indebido puede generar 
discriminación. (Origen racial, convicciones religiosas, datos de salud, vida sexual, entre otros). 
 
➢ Datos Personales de Menores: Toda la información de menores de 18 años puede ser tratada, siempre y 
cuando no se ponga en riesgo la prevalencia de sus derechos fundamentales y la información sea de naturaleza 
pública. 
 
3. ¿Qué mecanismos reglamenta la ley para la recolección, autorización y supresión del tratamiento de datos? 
 
De acuerdo con la ley 1581 de 2012 La autorización para la recolección y tratamiento de datos personales debeser 
dada por el titular de los datos previamente informada a este y realizada antes de la recolección de los datos y debe ser 
obtenida por cualquier medio que pueda ser consultado posteriormente, salvo casos de urgencia médica o sanitaria, que 
sean datos de naturaleza pública, tratamiento de información con fines históricos estadísticos o científicos o los 
relacionados con registro civil de las personas. 
 
Puntualmente en los siguientes artículos de la ley 1581 se reglamenta la recolección, autorización y supresión de los 
datos: 
ARTÍCULO 11. SUMINISTRO DE LA INFORMACIÓN. La información solicitada podrá ser suministrada por 
cualquier medio, incluyendo los electrónicos, según lo requiera el Titular. La información deberá ser de fácil lectura, sin 
barreras técnicas que impidan su acceso y deberá corresponder en un todo a aquella que repose en la base de datos. 
El Gobierno Nacional establecerá la forma en la cual los responsables del tratamiento y encargados del tratamiento 
deberán suministrar la información del Titular, atendiendo a la naturaleza del dato personal, Esta reglamentación deberá 
darse a más tardar dentro del año siguiente a la promulgación de la presente ley. (Congreso de la república de Colombia, 
2012) 
ARTÍCULO 12. DEBER DE INFORMAR AL TITULAR. El Responsable del Tratamiento, al momento de solicitar al 
Titular la autorización, deberá informarle de manera clara y expresa lo siguiente: 
a) El Tratamiento al cual serán sometidos sus datos personales y la finalidad de este; 
b) El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o 
sobre los datos de las niñas, niños y adolescentes; 
c) Los derechos que le asisten como Titular; 
COM 504 Actividad del módulo 1 
 
5 
 
d) La identificación, dirección física o electrónica y teléfono del Responsable del Tratamiento. 
PARÁGRAFO. El Responsable del Tratamiento deberá conservar prueba del cumplimiento de lo previsto en el presente 
artículo y, cuando el Titular lo solicite, entregarle copia de esta. (Congreso de la república de Colombia, 2012) 
ARTÍCULO 13. PERSONAS A QUIENES SE LES PUEDE SUMINISTRAR LA INFORMACIÓN. La información 
que reúna las condiciones establecidas en la presente ley podrá suministrarse a las siguientes personas: 
a) A los Titulares, sus causahabientes o sus representantes legales; 
b) A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial; 
Concordancias 
c) A los terceros autorizados por el Titular o por la ley. (Congreso de la república de Colombia, 2012) 
ARTÍCULO 14. CONSULTAS. Los Titulares o sus causahabientes podrán consultar la información personal del Titular 
que repose en cualquier base de datos, sea esta del sector público o privado. El Responsable del Tratamiento o Encargado 
del Tratamiento deberán suministrar a estos toda la información contenida en el registro individual o que esté vinculada 
con la identificación del Titular. 
La consulta se formulará por el medio habilitado por el Responsable del Tratamiento o Encargado del Tratamiento, 
siempre y cuando se pueda mantener prueba de esta. 
La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la 
misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los 
motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco 
(5) días hábiles siguientes al vencimiento del primer término. 
PARÁGRAFO. Las disposiciones contenidas en leyes especiales o los reglamentos expedidos por el Gobierno Nacional 
podrán establecer términos inferiores, atendiendo a la naturaleza del dato personal. (Congreso de la república de 
Colombia, 2012) 
ARTÍCULO 15. RECLAMOS. El Titular o sus causahabientes que consideren que la información contenida en una base 
de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de 
cualquiera de los deberes contenidos en esta ley, podrán presentar un reclamo ante el Responsable del Tratamiento o el 
Encargado del Tratamiento el cual será tramitado bajo las siguientes reglas: 
1. El reclamo se formulará mediante solicitud dirigida al Responsable del Tratamiento o al Encargado del Tratamiento, 
con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los 
documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) 
días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del 
requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo. 
En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un 
término máximo de dos (2) días hábiles e informará de la situación al interesado. 
2. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el 
motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo 
sea decidido. 
3. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la 
fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los 
javascript:insRow31()
COM 504 Actividad del módulo 1 
 
6 
 
motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días 
hábiles siguientes al vencimiento del primer término. (Congreso de la república de Colombia, 2012) 
ARTÍCULO 16. REQUISITO DE PROCEDIBILIDAD. El Titular o causahabiente sólo podrá elevar queja ante la 
Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante el Responsable 
del Tratamiento o Encargado del Tratamiento. (Congreso de la república de Colombia, 2012) 
 
4. ¿Tiene contemplada la ley algún tipo de restricción para la transferencia de datos entre países?, si es así 
explique qué restricciones son. 
 
En el título VIII de la ley 1581 de 2012 encontramos la reglamentación de traslado de información a terceros países 
con los siguientes artículos que lo reglamentan. 
ARTÍCULO 26. PROHIBICIÓN. Se prohíbe la transferencia de datos personales de cualquier tipo a países que no 
proporcionen niveles adecuados de protección de datos. Se entiende que un país ofrece un nivel adecuado de protección 
de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los 
cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios. 
Esta prohibición no regirá cuando se trate de: 
a) Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia; 
b) Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene 
pública; 
c) Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable; 
CONCORDANCIAS 
d) Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, 
con fundamento en el principio de reciprocidad; 
e) Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la 
ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular; 
f) <Ver en Jurisprudencia Vigencia, el análisis de la Corte a este literal> Transferencias legalmente exigidas para la 
salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.PARÁGRAFO 1o. En los casos no contemplados como excepción en el presente artículo, corresponderá a la 
Superintendencia de Industria y Comercio, proferir la declaración de conformidad relativa a la transferencia internacional 
de datos personales. Para el efecto, el Superintendente queda facultado para requerir información y adelantar las 
diligencias tendientes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de la operación. 
PARÁGRAFO 2o. Las disposiciones contenidas en el presente artículo serán aplicables para todos los datos personales, 
incluyendo aquellos contemplados en la Ley 1266 de 2008. (Congreso de la república de Colombia, 2012) 
 
 
5. ¿Cuáles son los responsables y los cargos asociados que deben contemplar en una organización para poder 
cumplir con lo requerido por la ley? 
 
En general todos los empleados de una empresa que tengan dentro de sus funciones contacto con clientes (Internos o 
Externos), proveedores y en general que para el desarrollo de sus funciones requieran solicitar y tratar datos son 
https://www.cancilleria.gov.co/sites/default/files/Normograma/docs/ley_1266_2008.htm#Inicio
COM 504 Actividad del módulo 1 
 
7 
 
responsables del trato adecuado de los mismos, la empresa deberá exigir a sus colaboradores el cumplimiento de lo 
dispuesto en los artículos 17 y 18 de la ley 1581 de 2012. 
 
ARTÍCULO 17. DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO. Los Responsables del Tratamiento 
deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras 
que rijan su actividad: 
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data; 
b) Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por 
el Titular; 
c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la 
autorización otorgada; 
d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, 
uso o acceso no autorizado o fraudulento; 
Concordancias MINRELACIONES 
e) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, 
comprobable y comprensible; 
f) Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades 
respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la 
información suministrada a este se mantenga actualizada; 
g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento; 
h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente 
autorizado de conformidad con lo previsto en la presente ley; 
i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la 
información del Titular; 
j) Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley; 
k) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley 
y en especial, para la atención de consultas y reclamos; 
Concordancias 
l) Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del 
Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo; 
m) Informar a solicitud del Titular sobre el uso dado a sus datos; 
n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan 
riesgos en la administración de la información de los Titulares. 
o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio. (Congreso de 
la república de Colombia, 2012) 
javascript:insRow37()
javascript:insRow38()
COM 504 Actividad del módulo 1 
 
8 
 
ARTÍCULO 18. DEBERES DE LOS ENCARGADOS DEL TRATAMIENTO. Los Encargados del Tratamiento 
deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras 
que rijan su actividad: 
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data; 
b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, 
uso o acceso no autorizado o fraudulento; 
c) Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley; 
d) Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados 
a partir de su recibo; 
e) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley; 
f) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley 
y, en especial, para la atención de consultas y reclamos por parte de los Titulares; 
g) Registrar en la base de datos las leyenda “reclamo en trámite” en la forma en que se regula en la presente ley; 
h) Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad 
competente sobre procesos judiciales relacionados con la calidad del dato personal; 
i) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado 
por la Superintendencia de Industria y Comercio; 
j) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella; 
k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad 
y existan riesgos en la administración de la información de los Titulares; 
l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio. 
PARÁGRAFO. En el evento en que concurran las calidades de Responsable del Tratamiento y Encargado del 
Tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos para cada uno. (Congreso de 
la república de Colombia, 2012) 
 
6. ¿Cuáles controles de seguridad se deberían implementar para poder garantizar la seguridad de la información 
de acuerdo con la clasificación requerida por la ley? Presente algunos ejemplos. 
 
Primero las empresas deben garantizar lo contenido en el artículo 4 de la ley 1581 de 2012 que exige lo siguiente: 
 
➢ Legalidad: En todo el proceso de tratamiento de los datos personales, desde el momento de su captura, 
almacenamiento y eliminación, se debe cumplir con las disposiciones normativas, empleando los datos para 
fines que estén bajo la ley y a las disposiciones reglamentarias que la desarrollen. 
➢ Finalidad: Todos los datos personales que sean capturados en el desarrollo del ejercicio de las funciones 
educativas y administrativas que tiene la Universidad, deben atender a finalidades específicas de acuerdo con 
el tratamiento que se le dará al dato. Las finalidades del tratamiento deben ser informadas a los titulares con el 
propósito que éstos conozcan las actividades que desarrollará la Universidad con los datos personales que está 
entregando. 
➢ Libertad: La recolección, almacenamiento y tratamiento de los datos personales sólo puede realizarse con la 
autorización previa y expresa del titular, quien debe ser informado sobre el tratamiento que se les dará a sus 
COM 504 Actividad del módulo 1 
 
9 
 
datos personales. La divulgación o socialización de los datos personales sin la previa autorización, o sin una 
disposición legal que lo habilite, está prohibido. 
➢ Veracidad o calidad: La Universidad debe promover que los datos personales que estarán sujetos a tratamiento 
deben ser veraces, exactos, completos y actualizados, puesde lo contrario pueden llevar a inducir a errores en 
la ejecución de tratamiento para el cual fueron capturados. 
➢ Transparencia: Cualquier titular de información podrá tener acceso, en cualquier momento, a la información 
sobre sus datos personales tratados por la Universidad. 
➢ Acceso y circulación restringida: El tratamiento de los datos personales sólo podrá ser realizado por aquellos 
que el titular haya efectivamente autorizado, o por las personas habilitadas por las disposiciones legales 
vigentes. 
➢ Seguridad: Toda la información asociada a los datos personales objeto de tratamiento por parte de la 
Universidad, deberán protegerse bajo estándares de seguridad adecuados, implementando medidas operativas, 
técnicas y humanas que eviten su pérdida, adulteración o acceso no autorizado. 
➢ Confidencialidad: La Universidad deberá garantizar la reserva de la información y datos personales que no 
estén bajo la categoría de datos públicos, por lo cual, todas las personas que tengan acceso al tratamiento de los 
datos personales deberán promover prácticas de manejo de datos que eviten su exposición o suministro a 
terceros no autorizados. (Congreso de la república de Colombia, 2012) 
 
Además de esto las organizaciones deben implementar medidas de seguridad que le permitan asegurar la 
información de estas tales como: 
 
➢ Controles de acceso más estrictos: Las empresas deben generar controles de acceso a la información de 
tal forma que solo quienes requieran tratar dicha información puedan tener acceso a ella, entre menos 
personas puedan acceder a la información más segura va a estar, en este aspecto me parece fundamental 
que desde las áreas de TI se establezcan niveles de acceso donde solo los funcionarios tengan acceso a la 
información que requieran para el desarrollo de sus funciones, por ejemplo en el área de gestión humana 
son necesarios los datos de los empleados tales como nombres, documentos, números de cuentas 
bancarias, dirección, teléfono, entre otros, pero esta información no es necesaria para el área de producción 
por lo que en producción no necesitan tener acceso a dicha información. 
 
➢ Políticas de copias de seguridad: Las empresas deben definir políticas claras para la realización de las 
copias de seguridad, total, incremental y diferencial de acuerdo con sus necesidades, no existe un estándar 
referente a la información que deban respaldar ni a la periodicidad de la realización de las copias de 
seguridad, pero si el tener una adecuado planteamiento de la política de copias de seguridad permitirá a la 
empresa recuperar sus datos ante el acontecimiento de un evento catastrófico de tal forma que se impida o 
por lo menos se minimice la pérdida de información, pero que también le permita recuperarla y continuar 
con su operación en el menor tiempo posible. Por ejemplo, en mi caso particular tenemos políticas de 
copias de seguridad Total cuando yo me vinculé al departamento pues no se manejaba ningún tipo de copia 
que respaldara la información de estudiantes y funcionarios del departamento, incremental durante el 
semestre para respaldar todos aquellos datos que se hayan modificado a lo largo del semestre y diferencial 
para cargar todos los nuevos datos que no se encontraban respalda en los backups anteriores, esta última 
copia la realizamos al final de cada semestre. 
 
➢ Contraseñas seguras: El acceso a las distintas plataformas que utiliza la empresa (correo electrónico, 
servidor de copias de seguridad NAS, etc.) debe realizarse utilizando claves de seguridad (contraseñas) 
seguras, que impidan que puedan ser fácilmente descubiertas por piratas informáticos. El uso de 
contraseñas seguras es una de las medidas de seguridad informática más importantes en una empresa. 
Como ejemplo se deben exigir contraseñas con un mínimo de caracteres, combinando mayúsculas y 
minúsculas, números y caracteres especiales, en el caso de las copias de seguridad de los profesores, en mi 
caso lo manejamos con una doble autenticación donde los profesores ponen una contraseña que solo ellos 
conocen y la otra contraseña la pongo yo de acuerdo con las políticas de gobierno de TI de la universidad y 
solo la tengo yo, al momento de una eventual recuperación de datos la copia de seguridad solo se podrá 
desencriptar usando las dos contraseñas, en caso contrario no se puede recuperar. 
 
➢ Protección de los correos electrónicos: Siendo el e-mail una de las principales herramientas de 
comunicación de las organizaciones actualmente, es fundamental implementar medidas de protección de 
los correos electrónicos para lo cual las empresas deben implementar autenticación en dos pasos, tiempo 
https://www.datos101.com/copia-de-seguridad-backup-nas/
COM 504 Actividad del módulo 1 
 
10 
 
de caducidad de las contraseñas obligando a sus colaboradores a cambiar la contraseña periódicamente, 
otra medida de protección de los e-mail puede ser la autenticación en dos pasos en donde no solo se pida la 
contraseña sino que a través de una aplicación en sus móviles se genere un código aleatorio que caducará y 
cambiará cada 30 segundos. 
 
➢ Utilizar un software integral de seguridad: utilizar un paquete de software integral que contenga 
antivirus, antimalware, antispiware, firewall que permita a la empresa monitorear alertas en tiempo real y 
poder reaccionar ante estas de manera adecuada. Por ejemplo, el uso de paquetes end point que permitan al 
área de TI monitorear y controlar alertas y amenazas a la información de la empresa. 
 
➢ Utilizar software DLP: Este tipo de software permite a las organizaciones supervisar que no se extraiga o 
se comparta información de manera indebida. 
 
➢ Trabajar en la nube: Desde mi punto de vista es una herramienta vital, el tener la información contenida 
en la nube permite a la empresa tener de su lado los sistemas de prevención y recuperación del proveedor 
cloud que elija, por ejemplo, si se contrata Office365, se tiene la seguridad de los servidores de Office 365 
a disposición de la organización respaldando su información en todo momento. 
 
➢ Involucrar a todos los empleados en la seguridad: la única manera que todas las medidas que la 
empresa pueda implementar es fundamental que sus colaboradores estén comprometidos con la aplicación 
de las mismas, el desconocimiento de las políticas de seguridad en las empresas pueden generar que si bien 
la empresa tiene diseñados e implementados los controles adecuados al mismo tiempo están generando una 
brecha de seguridad enorme pues quienes pueden dar acceso a la información no aplican los controles 
adecuados por desconocimiento, por eso me parece supremamente importante que todos y cada uno de los 
colaboradores esté inmerso en la aplicación de las políticas de seguridad informática que la organización 
pueda implementar. 
 
7. Investigue cuáles eventos relevantes de infracción a esta ley se han dado y cuáles han sido las penalizaciones 
impuestas por los organismos de control. 
 
De acuerdo con los informes y resoluciones de la Superintendencia de Industria y Comercio SIC desde el año 2010 
hasta 2017 se habían interpuesto cerca de 619 multas por un valor aproximado de $21.000 millones de pesos, y los 
incumplimientos que más se han cometido son generados por el habeas data financiero contenido en la ley 1266 de 
2008, teniendo como principales tipologías las siguientes: 
 
➢ Reporte a centrales de riesgo informaciones que no corresponden con la realidad, es decir reporte de personas 
que no son deudoras o por un tiempo mayor al de la mora en la obligación. 
 
➢ No actualizar oportunamente la información financiera relacionada con el cumplimiento de las obligaciones 
por parte de los deudores, por ejemplo, la no actualización adecuada de los pagos del deudor o la no 
actualización de información referente a suplantación de identidad. 
 
➢ No informar previa y debidamente al deudor que va a ser reportado por presentar moraen su obligación, 
impidiéndole al usuario controvertir la deuda a incluso generar el pago de la deuda antes del reporte. 
 
 
 
Dos ejemplos de sanción por la violación de la ley 1581 de 2012 son: 
 
➢ RESOLUCIÓN 3303 DEL 3 DE FEBRERO DE 2023, por medio de la cual le imponen a la sociedad 
INFRAESTRUCTURA NACIONAL LTDA. Una sanción pecuniaria por un monto de $30´403.200. puesto 
que la entidad no registró de manera adecuada sus bases de datos en el Registro Nacional de Bases de Datos 
incumpliendo con lo exigido en la ley, si bien la empresa solicitó la revocatoria de la sanción alegando un error 
en el RNBD, la SIC constató que no fue tal y que la empresa había incumplido con su registro adecuado. 
(Superintendencia de Industria y Comercio, 2023) 
 
➢ RESOLUCIÓN 18050 DEL 12 DE ABRIL DE 2023, por medio de la cual se sanciona a la entidad 
COM 504 Actividad del módulo 1 
 
11 
 
CREDIVALORES - CREDISERVICIOS S.A. por la no entrega de información en una denuncia de 
violación de la ley de protección de datos personales contenida en la resolución 38534 de 23 de junio de 2021, 
la SIC considera que vencidos los términos legales para la presentación de información la entidad 
CREDIVALORES no respondió adecuadamente en tiempo y forma y por ende le impuso una sanción 
pecuniaria por valor de $89´065.200. por el incumplimiento de los literales a, b, j y o del artículo 17 de la ley 
1581 de 2012. (Superintendencia de Industria y Comercio, 2023) 
 
8. ¿Cómo contempla esta ley la relación con las grandes tecnológicas y/o proveedores de servicios en Cloud 
(Google, Microsoft, Oracle, Amazon) que gestionan este tipo de información para sus clientes? 
 
Como ya se ha expuesto en los literales anteriores en Colombia existen regulaciones en materia de protección de datos 
y en esta se contempla de manera general los deberes y obligaciones de todas las entidades públicas y privadas a cerca 
del manejo de datos personales de la misma manera que el derecho que tienen os titulares de los datos sobre su 
información. 
 
En ese orden de ideas exige a las empresas que se debe conservar la autorización de recolección de datos a manera de 
prueba, de la misma manera deben crear una política clara de protección de datos personales que sea de conocimiento 
público y documentar los procedimientos que manejan para la protección de datos, aplicados incluso a empresas de 
comercio electrónico y los terceros que de estos dependan, en 2019 se articuló el CONPES 3975 denominado “Política 
Nacional para la Transformación digital e Inteligencia Artificial” que busca introducir las nociones del comercio 
digital pero no se centra como tal en algún tipo de regulación en materia de comercio electrónico, en general la Ley 
colombiana actual es un buen punto de partida para continuar hacia una regulación adecuada puesto que aún tienen 
muchos vacíos jurídicos y este tipo de empresas se rigen por la legislación de sus países de origen mas no por el 
nuestro. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
COM 504 Actividad del módulo 1 
 
12 
 
Referencias 
 
Asamblea Nacional Constituyente. (01 de Enero de 1991). Constitución política de Colombia. Obtenido de 
Función publica: https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=4125 
 
Congreso de la República de Colombia. (31 de Diciembre de 2008). Función pública. Obtenido de Función 
pública: https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=34488#1266 
 
Congreso de la república de Colombia. (5 de Marzo de 2009). Función pública. Obtenido de Función pública: 
https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=35366#1288 
 
Congreso de la república de Colombia. (17 de Octubre de 2012). Función pública. Obtenido de Función pública: 
https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=49981#1581 
 
Congreso de la Republica de Colombia. (17 de Abril de 2013). Función pública. Obtenido de Función pública: 
https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=52706#1621 
 
Corte Constitucional de Colombia. (16 de Noviembre de 2010). Corte Constitucional. Obtenido de Corte 
Constitucional: https://www.corteconstitucional.gov.co/RELATORIA/2010/C-913-10.htm 
 
Presidencia de la República de Colombia. (27 de junio de 2013). Función pública. Obtenido de Función pública: 
https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=53646 
 
Superintendencia de Industria y Comercio. (3 de febrero de 2023). sic.gov.co. Obtenido de sic.gov.co: 
https://www.sic.gov.co/sites/default/files/files/2023/RESOLUCIO%CC%81N%203303%20DEL%203%20DE%2
0FEBRERO%20DE%202023.pdf 
 
Superintendencia de Industria y Comercio. (12 de abril de 2023). sic.gov.co. Obtenido de sic.gov.co: 
https://www.sic.gov.co/sites/default/files/files/2023/RE18050-2023.pdf