Normatividad Colombiana relacionada con información, privacidad de datos personales y propiedad intelectual

1. Introducción

En un mundo donde la información es un activo invaluable y la propiedad intelectual un motor de innovación y desarrollo, la normatividad que protege estos bienes se convierte en un pilar fundamental para cualquier sociedad. Colombia, como parte del concierto global, ha desarrollado un marco legal robusto y detallado para salvaguardar tanto los derechos de las personas sobre su información personal como los derechos de los creadores sobre sus obras intelectuales. Este artículo tiene como objetivo explorar y analizar la normatividad colombiana vigente que regula aspectos críticos relacionados con la información y la propiedad intelectual.

A lo largo del documento, se procurará mantener una línea temporal que siga el orden en el que se promulgaron las leyes. No obstante, en aras de la claridad, en ciertos casos se romperá esta secuencia cronológica o se agruparán diferentes leyes, decretos o resoluciones relacionadas con el mismo tema.

2. Privacidad e intimidad

2.a) Constitución Política de Colombia, Artículo 15

En el ámbito de la protección de la información personal, la Constitución Política de Colombia establece derechos fundamentales que garantizan la intimidad y el buen nombre de las personas, así como el acceso, actualización y rectificación de los datos personales en posesión de entidades públicas y privadas. Estas disposiciones reflejan un compromiso constitucional con la privacidad y la dignidad humana en un contexto donde el manejo de grandes volúmenes de datos personales es una realidad cotidiana.

• Derecho a la Intimidad y Buen Nombre: Todas las personas tienen el derecho a su intimidad personal y familiar y a su buen nombre. El Estado debe respetar y hacer respetar estos derechos.

• Derecho a Conocer, Actualizar y Rectificar Información: Las personas tienen el derecho a conocer, actualizar y rectificar la información que se haya recogido sobre ellas en bancos de datos y archivos de entidades públicas y privadas.

2.b) Ley 1266 de 2008: Habeas Data Financiera y Seguridad en Datos Personales

Proporciona un marco legal que protege los derechos de los individuos frente al manejo indebido de su información personal y promueve la transparencia y la responsabilidad en el manejo de datos.

Establece el marco regulatorio para el manejo de la información contenida en bases de datos personales, con especial énfasis en la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países.

El principal objetivo es proteger los derechos fundamentales de las personas relacionadas con el manejo de su información personal. La ley garantiza el derecho a la privacidad y a la seguridad de los datos personales, así como el derecho a acceder y corregir dicha información.

Se aplica a todas las bases de datos que contengan información personal relacionada con: información financiera, crediticia, comercial, de servicios y aquella proveniente de terceros países.

1. Derecho de Acceso: Los titulares de los datos tienen el derecho de solicitar y obtener toda la información existente sobre su persona en las bases de datos.

2. Derecho de Corrección: Si la información contenida en las bases de datos es falsa, incorrecta o está desactualizada, los titulares tienen el derecho de solicitar su corrección.

3. Derecho de Eliminación: Los titulares pueden solicitar la eliminación de sus datos personales de las bases de datos si se demuestra que la información es incorrecta o no se ha manejado de acuerdo con los principios establecidos en la ley. No aplica en los casos en los cuales el responsable de la base de datos tiene derechos para albergarlos o publicarlos, como es el caso de las centrales de riesgos.

Los responsables del manejo de las bases de datos tienen varias obligaciones incluyendo:

1. Garantizar la Seguridad: Deben adoptar medidas técnicas, humanas y administrativas necesarias para garantizar la seguridad de los datos personales y evitar su adulteración, pérdida, consulta, uso o acceso no autorizado.

2. Transparencia: Deben informar claramente a los titulares sobre la existencia de la base de datos y el tratamiento que se dará a su información personal.

3. Acceso y Rectificación: Deben permitir y facilitar a los titulares el ejercicio de sus derechos de acceso, corrección y eliminación de sus datos personales.

La ley establece procedimientos específicos para el ejercicio de los derechos de los titulares y la responsabilidad de las autoridades competentes en la supervisión y sanción de incumplimientos. Las sanciones pueden incluir multas y otras medidas administrativas para garantizar el cumplimiento de la ley.

2.c) Ley 1581 de 2012 - Protección de Datos Personales

Marco legal para la protección de los datos personales en Colombia. A continuación, se describen los principios fundamentales, los tipos de datos sensibles, los derechos de los niños y adolescentes, y el registro nacional de bases de datos:

La ley se rige bajo los siguientes principios:

1. Legalidad de Tratamiento de Datos: El tratamiento de datos personales debe realizarse conforme a las disposiciones legales vigentes.

2. Principio de Finalidad: Los datos personales deben recolectarse con una finalidad específica, explícita y legítima, y no deben ser tratados de manera incompatible con esa finalidad.

3. Principio de Libertad: El tratamiento de los datos personales solo puede realizarse con el consentimiento previo, expreso e informado del titular.

4. Principio de Veracidad o Calidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible.

5. Principio de Transparencia: Se debe garantizar al titular el derecho a obtener información sobre sus datos personales en cualquier momento y sin restricciones.

6. Principio de Acceso y Circulación Restringida: Los datos personales no pueden estar disponibles en medios de comunicación masiva y deben ser accesibles solo a personas autorizadas.

7. Principio de Seguridad: Se deben tomar las medidas técnicas, humanas y administrativas necesarias para asegurar los datos personales y evitar su adulteración, pérdida, consulta, uso o acceso no autorizado.

8. Principio de Confidencialidad: La información debe ser mantenida en reserva, incluso después de finalizada la relación con el titular de los datos.

La ley define los datos sensibles como aquellos que afectan la intimidad del titular o pueden generar discriminación. Estos incluyen:

• Origen racial o étnico.

• Orientación política.

• Convicciones religiosas o filosóficas.

• Pertenencia a sindicatos, organizaciones sociales, de derechos humanos o partidos políticos.

• Información sobre salud.

• Vida sexual.

• Datos biométricos.

También establece restricciones adicionales para el tratamiento de datos sensibles, debido a su potencial para afectar gravemente la privacidad y la dignidad de las personas.

Establece medidas especiales para la protección de datos personales de niños y adolescentes, reconociendo su derecho a la privacidad y a la protección de su información personal.

Exige que todas las bases de datos que contengan datos personales de ciudadanos colombianos se encuentren relacionadas en el Registro Nacional de Bases de Datos y agrega que la Superintendencia de Industria y Comercio es la entidad encargada de mantenerlo, en el deben registrarse:

• Nombre de la base de datos.

• Datos personales que se capturan.

• Ubicación de la base de datos.

• Formato de almacenamiento (físico o digital).

• Cantidad de registros almacenados.

2.d) Decreto 1377 de 2013

El Decreto 1377 de 2013 reglamenta la Ley 1581 de 2012 y establece disposiciones específicas sobre:

1. Autorización del Titular de la Información: El tratamiento de datos personales requiere la autorización del titular, la cual debe ser clara, previa, expresa e informada.

2. Políticas de Tratamiento: Los responsables y encargados del tratamiento de datos deben desarrollar y publicar políticas claras sobre el tratamiento de datos personales, incluyendo medidas de seguridad y procedimientos para la atención de consultas y reclamaciones.

3. Ejercicio de los Derechos del Titular: El titular de los datos tiene derecho a acceder, actualizar, rectificar y eliminar sus datos personales, y a revocar la autorización para su tratamiento.

La Ley 1581 de 2012 y su decreto reglamentario establecen claros principios y procedimientos que deben seguirse para el tratamiento de datos personales, protegiendo a los individuos contra el uso indebido de su información y promoviendo la confianza en el manejo de sus datos por parte de entidades públicas y privadas.

2.e) Ley 2300 del 10 de julio de 2023 “Derecho A La Intimidad De Los Consumidores"

Su objetivo es el de establecer medidas para proteger el derecho a la intimidad de los consumidores y garantizar el respeto durante la gestión de las cobranzas. Se aplica a entidades que realicen gestiones de cobranza como bancos o empresas de gestión de cartera.

Sus principales disposiciones son:

• Canales de contacto: Solo se pueden usar los canales autorizados por el consumidor para cobranzas.

• Frecuencia de contacto: Limita la frecuencia de contacto para cobranzas (no más de una vez al día ni varias veces en una semana por diferentes canales).

• Prohibiciones:

  • Contactar a referencias personales para cobranzas.

  • Realizar gestiones de cobranza en el domicilio o lugar de trabajo.

  • Consultar al consumidor sobre los motivos de incumplimiento.

• Publicidad: Extiende las regulaciones al envío de mensajes publicitarios por SMS, aplicaciones web, correos electrónicos y llamadas telefónicas.

• Excepciones: Permite contactos para informar sobre operaciones monetarias, ahorros voluntarios, cesantías, información solicitada por el consumidor o alertas de transacciones sospechosas.

• Sanciones: El incumplimiento será sancionado por la Superintendencia Financiera de Colombia y la Superintendencia de Industria y Comercio, según sus competencias.

2.f) Circular Externa No. 01 del 26 de junio de 2024

Complementa la Ley 2300 de 2023. Su objetivo principal es aclarar y detallar las competencias de la Delegatura para la Protección de Datos Personales de la SIC en la aplicación de la ley.

La circular enfatiza que la Delegatura para la Protección de Datos Personales es competente para tramitar quejas, reclamos y denuncias relacionadas con el uso indebido de canales no autorizados para cobranza y publicidad, así como la frecuencia excesiva de dichos contactos. Autoriza a la SIC para que intervenga cuando los datos personales son usados sin autorización para contactarse con referencias personales, o cuando se vulneran los derechos de habeas data en contextos publicitarios. También aclara que los productores y proveedores de bienes y servicios deben consultar el Registro de Números Excluidos de la Comisión de Regulación de Comunicaciones para evitar el envío de publicidad a consumidores que han optado por no recibir dichos mensajes.

Subraya que, aunque la Delegatura para la Protección de Datos Personales puede abordar cuestiones de habeas data y tratamiento indebido de datos personales, carece de facultades para garantizar el derecho autónomo a la intimidad en situaciones no relacionadas con el manejo de datos personales. Así, temas como la frecuencia y horarios de contacto, o consultas sobre motivos de incumplimiento financiero, no caen bajo su competencia

2.g) SIC - Circular Externa 002 Del 2024-08-21 – Inteligencia artificial

La Superintendencia de Industria y Comercio (SIC), en su función de Autoridad de Protección de Datos Personales, proporciona directrices sobre el manejo de datos personales en el contexto de los sistemas de inteligencia artificial (IA):

• Se debe garantizar el derecho a los titulares a obtener acceso a sus datos personales.

• Adoptar medidas tecnológicas, humanas, administrativas, físicas, contractuales y de cualquier otra naturaleza que aseguren la seguridad de los datos personales.

• Antes del diseño y desarrollo de sistemas de IA, se debe realizar y documentar un estudio de impacto en la privacidad.

• Los administradores de datos personales deben ajustar sus sistemas de administración de riesgos para abordar los riesgos asociados con el tratamiento de la información por sistemas de inteligencia artificial.

3. Propiedad intelectual

3.a) Ley 23 de 1982 - Derechos de Autor

El régimen de derechos de autor en Colombia, regulado principalmente por la Ley 23 de 1982 y complementado por la Decisión 351 del Acuerdo de Cartagena de 1993, proporciona una protección integral a las obras del ingenio humano. Este marco legal distingue entre derechos morales, que son perpetuos e inalienables, y derechos patrimoniales, que permiten la explotación económica de las obras. Esta distinción es crucial para entender cómo se equilibran los intereses de los autores con las necesidades del mercado y la sociedad.

Con relación a sus obras cualquier autor tiene los siguientes derechos:

• Derechos Morales:

  • Paternidad: Reconocimiento del autor como creador de la obra.

  • Divulgación: Derecho a decidir si su obra ha de ser divulgada y en qué forma.

  • Integridad: Derecho a oponerse a cualquier deformación, mutilación o modificación de la obra.

  • Arrepentimiento: Derecho a retirar la obra del comercio, después de indemnizar a los titulares de derechos patrimoniales.

  • Anonimato y Seudónimo: Derecho a que su obra se divulgue anónimamente o bajo seudónimo.

  Estos derechos son perpetuos, inalienables, inembargables, irrenunciables y fundamentales.

• Derechos Patrimoniales:

  • Beneficios Económicos: Derecho a obtener beneficios económicos por la explotación de la obra.

  • Reproducción, Comunicación, Distribución, Traducción, Adaptación y Transformación:

  Son transferibles y se pueden limitar temporal o geográficamente.

3.b) Decisión 351 – Acuerdo de Cartagena, diciembre 1993

• Protección de Obras: Reconoce una adecuada y efectiva protección a los autores y demás titulares de derechos sobre las obras del ingenio, en los campos literario, artístico o científico.

• Protección Equivalente entre Países Miembros: Cada país miembro concederá a los nacionales de otro país una protección no menos favorable que la reconocida a sus propios nacionales en materia de derechos de autor y derechos conexos.

3.c) La Ley 603 de 2000 y modificaciones a la Ley 222 de 1995: Reporte de gestión

Refuerzan la importancia de la transparencia y la integridad en la gestión empresarial, especialmente en lo que respecta a la propiedad intelectual y los derechos de autor. Las empresas deben garantizar el cumplimiento de estas normativas para evitar sanciones severas, incluida la responsabilidad penal para sus representantes legales. Estas medidas buscan fomentar una cultura empresarial responsable y alineada con los estándares legales y éticos.

El Artículo 43 de la Ley 222 de 1995 establece sanciones penales específicas para aquellos que, a sabiendas, cometan ciertas irregularidades en la gestión empresarial. Las sanciones incluyen prisión de uno a seis años para quienes:

1. Suministren datos falsos a las autoridades o emitan constancias o certificaciones que no reflejen la realidad.

2. Ordenen, toleren, realicen o encubran falsedades en los estados financieros o en sus notas.

La Ley 603 de 2000 introduce modificaciones significativas a los Artículos 46 y 47 de la Ley 222 de 1995, ampliando los requisitos y las responsabilidades del informe de gestión. Entre las modificaciones más relevantes se destacan:

1. Informe de Gestión: La ley exige que el informe de gestión contenga una exposición fiel y detallada sobre la evolución de los negocios, así como sobre la situación económica, administrativa y jurídica de la sociedad.

2. Numeral 4: Requiere que el informe de gestión incluya el estado de cumplimiento de las normas sobre propiedad intelectual y derechos de autor por parte de la sociedad. Esto obliga a las empresas a ser transparentes respecto al uso de software y otros productos sujetos a derechos de autor.

3. Verificación y Sanciones: La Ley 603 de 2000 otorga a las autoridades tributarias colombianas la facultad de verificar el estado de cumplimiento de las normas sobre propiedad intelectual y derechos de autor. Las sanciones por incumplimiento pueden llegar hasta 200 salarios mínimos mensuales legales vigentes (SMMLV).

Se destaca que el Artículo 270 del Código Penal colombiano establece sanciones adicionales relacionadas con la propiedad intelectual:

• Publicación no Autorizada: Se impondrá una pena de prisión de 2 a 5 años y una multa de 20 a 200 SMMLV a quien publique, total o parcialmente, sin autorización previa y expresa del titular del derecho, un programa de ordenador o soporte lógico.

Las disposiciones de estas leyes subrayan la seriedad de las infracciones relacionadas con la falsificación de información financiera y el uso indebido de software. En particular, el uso de software pirata en una empresa se clasifica como un delito penal, y el representante legal puede enfrentar penas de prisión debido a la responsabilidad penal derivada de la gestión empresarial.

4. Delitos electrónicos

4.a) Decreto 1360 de 1989: Protección de Propiedad Intelectual del Software

Establece disposiciones relacionadas con la inscripción de soportes lógicos en el Registro Nacional del Derecho de Autor, así como la protección de la propiedad intelectual del software. Esta regulación fue un paso significativo para salvaguardar los derechos de los creadores de software y fomentar la innovación en el campo de la tecnología.

El Decreto y las disposiciones complementarias constituyen un marco legal integral para la protección de la propiedad intelectual del software en Colombia. Estas regulaciones son fundamentales para promover la innovación, proteger los derechos de los creadores y fomentar un entorno propicio para el desarrollo tecnológico en el país.

Una de las principales disposiciones es la creación del Registro Nacional del Derecho de Autor, un mecanismo mediante el cual los creadores pueden inscribir sus obras literarias, científicas, artísticas y, en este caso, de software. Este registro proporciona una evidencia legal de la autoría y la titularidad de las obras, lo que brinda a los creadores una protección adicional y les permite hacer valer sus derechos en caso de infracción.

El decreto también establece medidas específicas para proteger la propiedad intelectual del software. Reconoce que el software es una forma de expresión creativa y, como tal, merece la misma protección que otras obras literarias, artísticas y científicas. Esto implica que los creadores de software tienen derechos exclusivos sobre sus creaciones, incluido el derecho a controlar la reproducción, distribución y modificación de su obra.

Reforma del Código Penal Colombiano

Además, el Decreto 1360 de 1989 se ha complementado con reformas posteriores al Código Penal Colombiano, que han fortalecido las sanciones contra la violación de los derechos de autor. Estas reformas buscan disuadir actividades como la piratería de software y garantizar que los creadores reciban la protección y el reconocimiento que merecen por su trabajo.

4.b) Ley 44 de 1993 sobre Derechos de Autor

El Decreto 1360 de 1989 se complementa con disposiciones de la Ley 44 de 1993 sobre Derechos de Autor, que establece sanciones para aquellos que infrinjan los derechos de autor. Por ejemplo, el artículo 51 de esta ley establece penas de prisión y multas para aquellos que inscriban una obra literaria, científica o artística a nombre de una persona distinta del autor verdadero, o que alteren el contenido de la obra de manera fraudulenta.

4.c) La Ley 599 de 2000: Código Penal Colombiano

Aborda diversos delitos que atentan contra la libertad individual, la intimidad y otros derechos, así como también aquellos relacionados con los derechos de autor y la seguridad pública.

En el Título III, Capítulo VII, se establecen disposiciones específicas sobre la violación de la intimidad, la reserva y la interceptación de comunicaciones. Esto incluye la violación ilícita de comunicaciones, el ofrecimiento, venta o compra de instrumentos para interceptar comunicaciones privadas, la divulgación y el uso indebido de documentos reservados, así como el acceso abusivo a sistemas informáticos y la violación de comunicaciones oficiales.

• Artículo 192: Violación ilícita de comunicaciones.

• Artículo 193: Ofrecimiento, venta o compra de instrumento apto para interceptar la comunicación privada entre personas.

• Artículo 194: Divulgación y empleo de documentos reservados.

• Artículo 195: Acceso abusivo a un sistema informático.

• Artículo 196: Violación ilícita de comunicaciones o correspondencia de carácter oficial.

• Artículo 197: Utilización ilícita de equipos transmisores o receptores.

Por otro lado, en el Título VII se tipifican los delitos contra los derechos de autor, como la violación de los derechos morales y patrimoniales del autor, la defraudación de estos derechos y la violación de los mecanismos de protección de los derechos patrimoniales.

• Artículo 270: Violación a los derechos morales de autor.

• Artículo 271: Defraudación a los derechos patrimoniales de autor.

• Artículo 272: Violación a los mecanismos de protección de los derechos patrimoniales de autor y otras defraudaciones.

Finalmente, en el Título XII se abordan los delitos contra la seguridad pública, entre el artículo 357 en el que se incluye el daño a obras o elementos de los servicios de comunicaciones, energía y combustibles. Estas disposiciones buscan proteger la integridad de los sistemas y servicios fundamentales para el funcionamiento de la sociedad.

4.d) La Ley 1273 de 2009 de delitos electrónicos

Establece un marco legal robusto para prevenir y sancionar los delitos informáticos, asegurando que los avances tecnológicos vayan acompañados de medidas de seguridad adecuadas. Esta ley refuerza la confianza en el uso de las TIC, tanto para las personas como para las organizaciones, al garantizar que los delitos cibernéticos sean tratados con la seriedad que merecen.

Siendo Colombia pionera en la promulgación de éste tipo de leyes en la región, la Ley 1273 de 2009 es un hito significativo en la legislación colombiana, pues adiciona al Código Penal un nuevo título, que aborda los delitos informáticos y protege la integridad de la información y de los sistemas que utilizan Tecnologías de la Información y las Comunicaciones (TIC).

Esta ley establece un nuevo bien jurídico tutelado denominado "de la protección de la información y de los datos", alineándose con los estándares internacionales como la antigua ISO 17799:2005 y la serie ISO 27000, que abogan por la confidencialidad, integridad y disponibilidad de los datos.

Define claramente las actividades ilícitas desarrolladas mediante el uso de TIC como delitos informáticos, que pueden ser objeto, lugar o medio del delito.

• Capítulo 1: Delitos Contra la Confidencialidad, Integridad y Disponibilidad de los Datos y los Sistemas Informáticos

1. 1. Acceso Abusivo a un Sistema Informático: Acceder sin autorización a un sistema informático protegido o sin protección adecuada.

   2. Obstaculización Ilegítima de Sistema Informático o Red de Comunicación: Interferir o interrumpir el funcionamiento de un sistema informático o red de comunicaciones de manera ilegítima.

   3. Interceptación de Datos Informáticos: Interceptar sin autorización transmisiones de datos informáticos que no sean de acceso público.

   4. Daño Informático: Dañar, borrar, deteriorar, alterar o suprimir datos informáticos o programas informáticos sin autorización.

   5. Uso de Software Malicioso: Producción, tráfico, utilización, venta, entrega o introducción de software malicioso (malware).

   6. Violación de Datos Personales: Acceder, utilizar, modificar, destruir, suprimir o divulgar datos personales sin autorización.

   7. Suplantación de Sitios Web para Capturar Datos Personales: Crear o manipular sitios web con la intención de capturar datos personales de manera fraudulenta.

• Capítulo 2: Otros Delitos Informáticos

1. 1. Hurto por Medios Informáticos o Semejantes: Apropiarse de bienes ajenos mediante el uso de sistemas informáticos o tecnologías similares.

   2. Transferencia no Consentida de Activos: Realizar transferencias de activos sin la autorización de su propietario legítimo utilizando sistemas informáticos.

La Ley establece circunstancias agravantes para estos delitos que incrementan las penas, incluyendo:

1. Sobre TICs Estatales, Oficiales o del Sector Financiero.

2. Servidor Público en Ejercicio de sus Funciones.

3. Abuso de Confianza o Relación Contractual.

4. Revelación de Información en Perjuicio de Otro.

5. Obtención de Provecho Propio o para un Tercero.

6. Fines Terroristas o Riesgo a la Ciberdefensa Nacional.

7. Utilización de un Tercero de Buena Fe.

8. Responsabilidad en Administración, Manejo o Control de Información.

4.e) Convenio de Budapest contra la Ciberdelincuencia

El 16 de marzo de 2020, Colombia formalizó su adhesión al el también conocido como el Convenio sobre Ciberdelincuencia del Consejo de Europa. Este acuerdo, considerado un estándar mundial en la lucha contra la ciberdelincuencia, establece un marco legal para la prevención, investigación y sanción de delitos cometidos a través de las tecnologías de la información y las comunicaciones (TIC).

La adhesión de Colombia marca un paso significativo en su compromiso por fortalecer la lucha contra la ciberdelincuencia. Al armonizar sus leyes con los estándares internacionales, mejorar las técnicas de investigación y fomentar una cooperación más estrecha tanto a nivel internacional como con el sector privado, Colombia está mejor equipada para enfrentar los desafíos de la ciberdelincuencia y proteger la integridad y seguridad de su infraestructura digital. A continuación, se destacan los aspectos más relevantes del convenio y sus implicaciones para Colombia.

Los objetivos principales del convenio son:

1. Armonización de Leyes:

   • El Convenio de Budapest busca estandarizar las legislaciones nacionales de los estados miembros en materia de ciberdelincuencia. Esto incluye la tipificación de una amplia gama de delitos informáticos, tales como el acceso no autorizado a sistemas, la interferencia en datos y sistemas, la falsificación informática y los delitos relacionados con el contenido.

2. Mejora de Técnicas de Investigación:

   • El convenio promueve la adopción de técnicas avanzadas de investigación y procedimientos judiciales específicos para la recolección de pruebas electrónicas, asegurando que los sistemas legales nacionales estén equipados para enfrentar los desafíos que presenta la ciberdelincuencia.

3. Aumento de la Cooperación Internacional:

   • Entre Estados: Fortalece la cooperación judicial y policial entre los países adheridos, facilitando la asistencia mutua en investigaciones y procedimientos relacionados con delitos informáticos.

   • Estados ↔ Sector Privado: Promueve la colaboración entre las autoridades gubernamentales y el sector privado, especialmente los proveedores de servicios de internet y telecomunicaciones, para detectar y combatir de manera más efectiva la ciberdelincuencia.

Este convenio trae grandes beneficios para Colombia como son:

• Estandarización Legal: La adhesión al Convenio de Budapest permite a Colombia alinear su legislación nacional con los estándares internacionales, mejorando la coherencia y efectividad de sus leyes contra la ciberdelincuencia.

• Fortalecimiento de Capacidades: Colombia se beneficiará de las mejores prácticas y técnicas de investigación avanzadas que promueve el convenio, incrementando su capacidad para detectar, investigar y perseguir delitos informáticos.

• Cooperación y Colaboración: La membresía al convenio facilita una mayor cooperación internacional, esencial para abordar la naturaleza transnacional de la ciberdelincuencia. Colombia podrá participar en redes de intercambio de información y apoyo mutuo, incrementando la eficacia en la persecución de ciberdelincuentes a nivel global.

• Participación del Sector Privado: Fomentará una colaboración más estrecha con el sector privado, vital para la recolección de pruebas y la prevención de delitos informáticos. La cooperación entre los sectores público y privado es crucial para responder de manera efectiva a las amenazas cibernéticas.

5. Aspectos tributarios

5.a) Ley 1819 de 2016, Reforma Tributaria de 2016

Establece una exclusión del IVA para los servicios relacionados con SaaS, almacenamiento en la nube, hosting de páginas web, mantenimiento remoto de software y otros servicios de computación en la nube. Con el fin de fomentar la adopción de tecnologías digitales en el país y reducir los costos asociados al uso de estos servicios tecnológicos.

1. Exclusión del IVA a Servicios Digitales: El artículo 187, modifica el artículo 476 del Estatuto Tributario, introduce una exclusión del Impuesto al Valor Agregado (IVA) para algunos servicios en la nube. Esto incluye, entre otros, el suministro de servicios como el Software como Servicio (SaaS), el almacenamiento en la nube, el hosting de páginas web y otros servicios de computación en la nube.

   • SaaS: Se refiere al acceso a software a través de internet, donde los usuarios no compran licencias tradicionales de software, sino que pagan por acceder a la plataforma de software hospedada en servidores del proveedor.

   • Servicios de almacenamiento en la nube: Empresas que almacenan datos en servidores remotos (ej.: Google Cloud, Amazon Web Services).

2. Aplicación de la Exclusión a Servicios Específicos: La computación en la nube y servicios relacionados como el hosting de servidores, el mantenimiento a distancia de programas y el procesamiento de datos están específicamente mencionados como servicios excluidos del IVA bajo el artículo 187. Esto significa que los usuarios y empresas en el exterior que acceden a estos servicios brindados desde Colombia no están obligados a pagar el impuesto por su adquisición, siempre que dichos servicios cumplan con las condiciones definidas en la ley.

5.b) Clarificación de la DIAN en 2017:

Para aclarar el tratamiento tributario de los servicios digitales establecidos en la Ley 1819 de 2016, la DIAN (Dirección de Impuestos y Aduanas Nacionales) emitió un concepto unificado el 25 de agosto de 2017, donde se especificaron los servicios digitales exentos del IVA. Según este concepto, la computación en la nube, que incluye servicios como SaaS, IaaS (Infraestructura como Servicio) y PaaS (Plataforma como Servicio), está dentro de la categoría de servicios excluidos del IVA.

1. Servicios excluidos del IVA: El concepto especifica cuáles servicios relacionados con la informática y las tecnologías de la información están excluidos del IVA. Entre los más relevantes se encuentran:

   • Suministro de páginas web.

   • Servidores de hosting.

   • Servicios de computación en la nube (Cloud computing), en todas sus modalidades:

     • Software como Servicio (SaaS): acceso a aplicaciones o software a través de internet sin necesidad de instalarlo en el equipo del usuario.

     • Infraestructura como Servicio (IaaS): alquiler de recursos de infraestructura (como servidores, almacenamiento, redes).

     • Plataforma como Servicio (PaaS): servicios que permiten a los usuarios desarrollar, gestionar y ejecutar aplicaciones en una plataforma alojada en la nube.

   • Mantenimiento a distancia de programas y equipos: servicios de mantenimiento o actualización de software realizados de manera remota.

2. Definición de "Servicios en la nube": La DIAN, en el concepto, hace una definición clara de lo que se entiende por servicios en la nube. Se refiere a cualquier servicio en el cual los usuarios tienen acceso a recursos de software, almacenamiento, procesamiento, plataformas, entre otros, a través de la internet. Estos servicios no requieren que el usuario instale o posea físicamente los recursos tecnológicos.

3. Alcance para prestadores nacionales y extranjeros: El concepto aclara que tanto los proveedores nacionales como extranjeros que presten estos servicios en Colombia están sujetos a la exclusión del IVA, siempre que cumplan con los criterios establecidos.

4. No aplicación del IVA a servicios en la nube: Los servicios digitales como el SaaS, IaaS, y PaaS no deben generar IVA en Colombia, ya que no se considera que haya una transferencia de bienes (software o infraestructura) de forma física o tradicional. En cambio, son servicios prestados de manera remota y automatizada a través de internet.

6. Trabajo remoto

6.a) Ley 1221 de 2008 - Teletrabajo: Fomento de una Modalidad Laboral Flexible

Establece el marco legal para el teletrabajo en Colombia, reconociéndolo como una modalidad laboral válida y promoviendo su implementación tanto en el sector público como en el privado. Esta ley aborda diversas dimensiones del teletrabajo, desde sus formas de aplicación hasta las garantías laborales y de seguridad social para los teletrabajadores.

• Reconocimiento y Formas de Aplicación: La ley reconoce el teletrabajo como una alternativa laboral válida, permitiendo que los empleados realicen sus funciones desde lugares distintos al sitio de trabajo tradicional, utilizando las tecnologías de la información y comunicación para mantenerse conectados con su empleador y equipo de trabajo.

• Política Pública de Fomento al Teletrabajo: Esta legislación establece una política pública de fomento al teletrabajo, con el objetivo de incentivar su adopción y promover su práctica en el país. Esto incluye medidas de apoyo para la población vulnerable, así como garantías laborales, sindicales y de seguridad social para los teletrabajadores.

• Reglamentación y Obligaciones: El decreto reglamentario 884 detalla las condiciones laborales específicas para el teletrabajo, estableciendo las relaciones entre empleadores y teletrabajadores, así como las obligaciones tanto para entidades públicas como privadas. También se definen las responsabilidades de las Administradoras de Riesgos Laborales (ARLs) y la Red de Fomento para el Teletrabajo en la implementación y seguimiento de esta modalidad laboral.

6.b) Resolución 2886 de 2012

Esta resolución define las entidades que forman parte de la Red de Fomento del Teletrabajo y establece las obligaciones que les corresponden en la promoción y difusión de esta práctica laboral en el país.

6.c) Ley 2088 de 2021 - Trabajo en Casa: Flexibilidad Laboral en Circunstancias Excepcionales

Complementa la legislación existente sobre teletrabajo al abordar las circunstancias ocasionales y excepcionales en las que los trabajadores pueden desempeñar sus funciones desde casa. Esta modalidad, diferente al teletrabajo tradicional, se aplica en situaciones temporales que impidan realizar las labores presencialmente, como contingencias relacionadas con la pandemia de Covid-19.

• Flexibilidad y Contingencia: La ley permite que los empleados trabajen desde casa en circunstancias ocasionales y excepcionales, como una medida de flexibilidad laboral ante situaciones imprevistas o emergencias. Establece un término de hasta tres meses, prorrogables según las necesidades específicas de cada caso.

• Apoyo y Conectividad Digital: Para garantizar que los trabajadores puedan desempeñar sus funciones en casa de manera efectiva, la ley prevé el cambio del auxilio de transporte por uno de igual valor para cubrir los costos de conectividad digital, asegurando así el acceso a los recursos necesarios para trabajar de forma remota.

7. Historias Clínicas

Dada la importancia para el sector salud de la normatividad asociada con las historias clínicas, agrupamos en éste capítulo las leyes y decretos que regulan éste tipo de documentos.

Este marco normativo asegura que las historias clínicas sean manejadas de manera ética y segura, protegiendo los derechos de los pacientes y garantizando la confidencialidad de su información médica.

La regulación de las historias clínicas en Colombia se basa en varias leyes y decretos que aseguran la privacidad, el manejo adecuado y el acceso a estos documentos. A continuación, se detallan los aspectos más relevantes de cada normativa:

7.a) Ley 23 de 1981

• Artículo 34: La historia clínica es un registro obligatorio de las condiciones de salud del paciente. Se considera un documento privado sometido a reserva. Solo puede ser conocido por terceros previa autorización del paciente o en los casos previstos por la ley.

7.b) Resolución 1995 de 1999

Esta resolución establece las normas para el manejo de la historia clínica. Los artículos más relevantes son:

• Artículo 1: Define la historia clínica como un conjunto de documentos en los cuales se registra cronológicamente el estado de salud del paciente y todos los actos médicos y administrativos que han intervenido en su atención.

• Artículo 14: Establece que la historia clínica debe ser conservada por un mínimo de 20 años desde la última atención al paciente, y debe ser manejada con los principios de confidencialidad y reserva.

7.c) Sentencia T-837 de 2008

• Acceso a la Información Médica: El acceso a la información médica de un paciente por parte de sus familiares no debe garantizarse en contravía del derecho a la intimidad y al libre desarrollo de la personalidad del paciente.

Esta sentencia refuerza el principio de confidencialidad y la necesidad de proteger la privacidad del paciente, incluso frente a familiares.

7.d) Decreto 2106 de 2019

• Artículo 102:

  • Establece que las historias clínicas deben ser entregadas en un término máximo de cinco (5) días calendario a partir de la solicitud.

  • La historia clínica puede ser remitida por medios electrónicos si el usuario lo autoriza, y este envío será gratuito.

8. Gestión de la información

8.a) Ley 527 de 1999 - Validez Jurídica y Probatoria de la Información Electrónica

Establece la validez jurídica y probatoria de la información electrónica, una normativa esencial en la era digital. Esta ley asegura que los mensajes de datos y las firmas digitales sean reconocidos con la misma fuerza y efecto que sus equivalentes en papel, proporcionando un marco de confianza para las transacciones electrónicas y la administración pública en el ámbito digital.

• Validez de la Información Electrónica: En toda actuación administrativa o judicial, no se negará eficacia, validez o fuerza obligatoria y probatoria a todo tipo de información en forma de un mensaje de datos, por el solo hecho de ser un mensaje de datos o por no haber sido presentado en su forma original.

• Firma Digital: El uso de una firma digital tiene la misma fuerza y efectos que el uso de una firma manuscrita.

• Definiciones Clave:

  • Mensaje de Datos: Información generada, enviada, recibida, almacenada o comunicada por medios electrónicos.

  • Originalidad de los Mensajes de Datos: Se considera original si se puede garantizar su integridad. Se basa en los criterios de: Autenticidad, Integridad, Disponibilidad, Fiabilidad, Inalterabilidad y Rastreabilidad, esenciales para la validez y probatoria de la información electrónica.

  • Conservación de Mensajes y Documentos: Establece las bases para la conservación y custodia de los mensajes y documentos electrónicos, asegurando su autenticidad y integridad.

• • Socialización de lecciones aprendidas: Compartir aprendizajes dentro de la organización y con otras entidades del sector.

8.b) Ley 594 de 2000: Ley General de Archivos

Es una legislación fundamental en Colombia que establece las pautas y procedimientos para la gestión documental y archivística en el país. Esta ley tiene como objetivo principal garantizar la transparencia, la organización y el uso óptimo de la información dentro de las entidades públicas y privadas, así como asegurar la preservación y el acceso adecuado a los archivos.

Su implementación adecuada contribuye a mejorar la transparencia, la eficiencia y la rendición de cuentas en las organizaciones, al tiempo que garantiza el acceso oportuno y confiable a la información para todos los interesados.

• Transparencia y Organización: Una de las principales características de la Ley 594 es su enfoque en la transparencia y la organización de la información. Establece que todas las entidades, tanto públicas como privadas, deben llevar a cabo una gestión documental adecuada, lo que implica organizar, clasificar y mantener los documentos de manera ordenada y accesible para su consulta.

• Uso Óptimo de la Información: La ley también promueve el uso óptimo de la información, reconociendo el valor estratégico que tienen los archivos para la toma de decisiones y la operación eficiente de las organizaciones. Establece que los documentos deben ser gestionados de manera que se puedan aprovechar plenamente, facilitando la recuperación de la información relevante en el momento adecuado.

• Almacenamiento, Retención y Destrucción: La Ley 594 establece pautas claras sobre cómo guardar los documentos, cuánto tiempo deben ser conservados y cómo deben ser destruidos cuando ya no son necesarios. Define los criterios para determinar la vigencia y la disposición final de los documentos, así como las responsabilidades de los encargados de su custodia y manejo.

• Responsabilidad y Duración: En cuanto a la responsabilidad, la ley establece claramente quién es el responsable de la gestión documental dentro de una entidad y por cuánto tiempo deben mantenerse los registros en cumplimiento de los requisitos legales y administrativos. Esto ayuda a garantizar la integridad y la disponibilidad de la información a lo largo del tiempo.

8.c) Ley 1341 de 2009 - Ley de Tecnologías de la Información y las Comunicaciones (TICs)

Establece el marco legal para el desarrollo y el uso de las tecnologías de la información y las comunicaciones en Colombia. Esta ley reconoce los derechos de los usuarios de TICs y exige al gobierno implementar medidas para garantizar el acceso a estas tecnologías. A continuación, se destacan los aspectos más relevantes de la ley en relación con los derechos y programas de acceso a las TICs:

1. Libertad de Expresión: Garantiza que todos los usuarios puedan expresar libremente sus pensamientos y opiniones a través de las TICs.

2. Difusión del Pensamiento y Opiniones: Protege el derecho de difundir el pensamiento y las opiniones sin restricciones indebidas.

3. Libre Desarrollo de la Personalidad: Permite que las personas utilicen las TICs para el libre desarrollo de su personalidad, incluyendo la búsqueda de información y la interacción con otros.

4. Informar y Recibir Información Veraz e Imparcial: Asegura que los usuarios puedan acceder a información veraz e imparcial y compartirla con otros.

5. Educación y Acceso al Conocimiento: Promueve el acceso a la educación, el conocimiento, la ciencia, la técnica y los bienes y valores culturales a través de las TICs.

La Ley 1341 de 2009 establece programas específicos para ampliar el acceso a las TICs entre diversas poblaciones, con un enfoque particular en los sectores más vulnerables:

1. Población Pobre y Vulnerable: Implementa programas para proporcionar acceso a las TICs a las personas de bajos recursos y en situación de vulnerabilidad.

2. Población Rural: Desarrolla iniciativas para mejorar el acceso a las TICs en áreas rurales, donde la conectividad suele ser limitada.

Se basa en principios que garantizan un funcionamiento transparente para la sociedad:

1. Neutralidad Tecnológica: Promueve la neutralidad tecnológica, permitiendo que las tecnologías evolucionen sin imponer preferencias por una tecnología específica sobre otra.

2. Libre Adopción de Tecnologías: Fomenta la libre adopción de tecnologías por parte de los usuarios y proveedores, sin restricciones innecesarias.

3. Libre Competencia: Garantiza un entorno de libre competencia en el mercado de las TICs, favoreciendo la innovación y el desarrollo de mejores servicios.

4. Uso del Espectro Radioeléctrico: Regula el uso del espectro radioeléctrico, asegurando su gestión eficiente y su disponibilidad para diversos servicios de telecomunicaciones.

5. Masificación del Gobierno en Línea: Impulsa la masificación del Gobierno en Línea, facilitando el acceso de los ciudadanos a servicios gubernamentales a través de las TICs.

Al garantizar derechos básicos como la libertad de expresión y el acceso a la información, y al promover programas específicos para poblaciones vulnerables y rurales, esta ley busca cerrar la brecha digital y asegurar que todos los ciudadanos puedan beneficiarse de las oportunidades que ofrecen las TICs. Además, los principios de neutralidad tecnológica y libre competencia crean un entorno propicio para la innovación y el crecimiento del sector de las comunicaciones en el país.

8.d) Ley 1712 de 2014: Transparencia en el Acceso a la Información Pública

Establece un marco robusto para garantizar el derecho de los ciudadanos a acceder a la información pública, promoviendo la transparencia y la rendición de cuentas en el sector público colombiano. Al asegurar que la información sea accesible, completa, procesable y actualizada, la ley fortalece la participación ciudadana y contribuye a una administración pública más abierta y responsable.

Definiciones Clave

• Base de Datos: La ley las define como “un conjunto organizado de datos contenido en cualquier documento que los sujetos obligados generen, obtengan, adquieran, transformen o controlen”.

Principios de la Información Pública

1. Datos Primarios: La información debe ser original y no debe haber sido modificada desde su origen.

2. Accesibles: La información debe estar disponible para cualquier persona que la solicite sin necesidad de justificación.

3. Completos: La información debe ser íntegra, sin omisiones que puedan afectar su comprensión o utilidad.

4. Procesables: La información debe estar en formatos que permitan su procesamiento y análisis por parte de los usuarios.

5. No Discriminados: Todos los ciudadanos deben tener acceso equitativo a la información, sin privilegios o restricciones indebidas.

6. Oportunos: La información debe estar disponible en el momento adecuado para que pueda ser útil y relevante.

7. Actualizados: La información debe ser actualizada regularmente para reflejar la realidad y los cambios recientes.

8. Sin Restricción: La información pública debe ser libre de cualquier restricción de acceso, salvo las excepciones previstas por la ley (como la seguridad nacional, la privacidad, entre otros).

Clasificación de la Información

La ley propone una clasificación de la información de las entidades públicas en tres categorías principales:

1. Información Pública: Toda información que un sujeto obligado genere, obtenga, adquiera, o controle en su calidad de tal.

2. Información Pública Clasificada: Información que, estando en poder o custodia de un sujeto obligado en su calidad de tal, pertenece al ámbito propio, particular y privado o semi-privado de una persona natural o jurídica. Su acceso podrá ser negado excepto en circunstancias legítimas y necesarias que protejan los derechos particulares o privados.

3. Información Pública Reservada: Información que, estando en poder o custodia de un sujeto obligado en su calidad de tal, es exceptuada del acceso a la ciudadanía debido a que su divulgación podría dañar intereses públicos.

Ente de Control

• Procuraduría General de la Nación: La Procuraduría es el ente encargado de supervisar y garantizar el cumplimiento de la Ley de Transparencia. Su función es asegurarse de que las entidades públicas cumplan con las disposiciones de acceso a la información y actúen con transparencia y rendición de cuentas.

Obligaciones de las Entidades Públicas

• Publicación Proactiva: Las entidades públicas están obligadas a publicar de manera proactiva y permanente la información relevante sobre sus actividades, procedimientos, decisiones y funciones.

• Respuesta a Solicitudes: Las entidades deben responder de manera efectiva y en tiempo oportuno a las solicitudes de información hechas por los ciudadanos.

• Formatos Accesibles: La información debe ser puesta a disposición del público en formatos accesibles y fáciles de entender, incluyendo formatos electrónicos y físicos.

Excepciones

Aunque la ley promueve la máxima transparencia, también reconoce ciertas excepciones donde el acceso a la información puede ser restringido, tales como:

• Información que afecte la seguridad nacional.

• Información que comprometa la privacidad y la protección de datos personales.

• Información confidencial relacionada con procesos judiciales o administrativos en curso.

Impacto y Aplicaciones

Gracias a la Ley 1712, hoy en día tenemos portales de datos abiertos que facilitan el acceso a la información pública. Ejemplos destacados incluyen:

• DANE (Departamento Administrativo Nacional de Estadística): Proporciona datos estadísticos que son fundamentales para el análisis económico y social.

• IGAC (Instituto Geográfico Agustín Codazzi): Ofrece información geográfica y cartográfica que es crucial para la planificación territorial.

• IDEAM (Instituto de Hidrología, Meteorología y Estudios Ambientales): Publica datos sobre el clima y el medio ambiente, esenciales para la gestión de riesgos y la planificación ambiental.

• Portal .gov.co: Centraliza la información y servicios del gobierno, facilitando el acceso a datos públicos por parte de los ciudadanos.

Estos portales permiten a los ciudadanos y profesionales de diversos sectores económicos y sociales utilizar datos primarios para la publicación de información postprocesada, generando valor y promoviendo el desarrollo basado en información veraz y accesible.

8.e) Plan Nacional de Desarrollo del Gobierno Santos: Ley 1753 de 2015

La Ley 1753 de 2015 - Plan Nacional de Desarrollo 2014-2018 promulgada el 9 de junio de 2015, establece el Plan Nacional de Desarrollo bajo el lema "Todos por un nuevo país". Entre sus diversas disposiciones, el parágrafo 2° literal b) del artículo 45 es particularmente relevante para el manejo de tecnologías y sistemas de información en entidades estatales.

Parágrafo 2° Literal b) del Artículo 45: Director de Tecnologías y Sistemas de Información:

• Cada entidad estatal debe tener un Director de Tecnologías y Sistemas de Información (TI).

• Este director es responsable de ejecutar los planes, programas y proyectos de TI en la entidad correspondiente.

• Cada entidad pública debe realizar los ajustes necesarios en su estructura organizacional para acomodar esta posición, sin incrementar los gastos de personal.

• El Director de TI debe reportar directamente al representante legal de la entidad.

• Debe acatar los lineamientos que en materia de TI defina el Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC).

8.f) El Decreto 1078 de 2015

El Decreto Único Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones, conocido formalmente como Decreto 1078 de 2015, fue promulgado el 26 de mayo de 2015 y tiene como objetivo principal compilar, organizar y unificar toda la normativa existente relacionada con el sector de Tecnologías de la Información y las Comunicaciones (TIC) en Colombia. Este decreto es una pieza clave en la estructura jurídica del país para el sector TIC, proporcionando un marco coherente y simplificado que facilita la comprensión y aplicación de las leyes y regulaciones.

1. Compilación Normativa: El decreto unifica en un solo cuerpo normativo diversas disposiciones legales y reglamentarias que antes estaban dispersas en múltiples decretos y resoluciones. Esto incluye normas relacionadas con telecomunicaciones, televisión, servicios postales, protección de derechos de los usuarios, gestión del espectro radioeléctrico, y otras áreas clave del sector TIC.

2. Gestión del Espectro Radioeléctrico: Una parte importante del decreto está dedicada a la administración y gestión del espectro radioeléctrico, que es un recurso limitado y esencial para el funcionamiento de los servicios de telecomunicaciones. El decreto establece las normas para la asignación, uso y control del espectro, y los procedimientos para su administración.

3. Protección de los Derechos de los Usuarios: El decreto establece normas claras para proteger los derechos de los usuarios de servicios TIC, incluyendo disposiciones sobre la atención al cliente, la resolución de quejas y reclamaciones, la protección de datos personales, y el derecho a la información.

4. Fomento del Desarrollo del Sector TIC: El decreto incluye medidas para promover la innovación, la inversión en infraestructura, y el desarrollo de nuevas tecnologías en el sector TIC. Esto incluye incentivos para la investigación y el desarrollo tecnológico, y el apoyo a la expansión de la conectividad y la inclusión digital en todo el país.

5. Disposiciones Transitorias y Finales: El decreto contiene disposiciones transitorias para facilitar la implementación de las nuevas normas y la transición desde el marco normativo anterior. También establece la derogación de normas previas que han sido reemplazadas o integradas en el nuevo decreto.

Fue creado con el propósito de consolidar y simplificar el marco normativo del sector TIC en Colombia. Esto no solo mejora la claridad y la eficiencia en la aplicación de las normas, sino que también apoya el desarrollo sostenible del sector al proporcionar un marco legal claro y actualizado que respalda la modernización tecnológica, la expansión de servicios, y la protección de los derechos de los usuarios.

Es fundamental para la regulación del sector TIC en Colombia. Al compilar toda la normativa relevante en un solo documento, facilita la tarea de los reguladores, operadores y otros actores del sector al permitirles acceder de manera más eficiente a las reglas que rigen sus actividades. Además, proporciona una base sólida para el desarrollo de políticas y estrategias que buscan impulsar la digitalización y la innovación en el país.

8.g) Decreto 415 de 2016

El Decreto 415 de 2016 complementa la Ley 1753 estableciendo detalles adicionales sobre la estructura y el nivel organizacional del área de tecnologías y sistemas de información en las entidades estatales.

• Artículo 2.2.35.4. Nivel Organizacional: Dependencia Estratégica de TI:

• • Cuando una entidad cuenta con una dependencia encargada del accionar estratégico de las Tecnologías y Sistemas de la Información y las Comunicaciones (TIC), esta debe formar parte del comité directivo.

  • Esta dependencia debe reportar directamente al nominador o representante legal de la entidad.Decreto 415 de 2016

Esta ley brinda importancia estratégica al director de tecnologías y sistemas de información que le confieren responsabilidad y ante la cual hay que tomar ciertas consideraciones:

1. Poder de Decisión: Estas disposiciones brindan al Director de Tecnologías y Sistemas de Información un lugar en el nivel más alto de toma de decisiones dentro de las entidades estatales. Esto asegura que las estrategias de TI estén alineadas con los objetivos generales de la entidad.

2. Responsabilidad: Al asignar un Director de TI y establecer una dependencia estratégica de TI, la ley y el decreto también asignan claramente la responsabilidad por los errores y las fallas en la implementación y gestión de los sistemas de información. Esto fomenta una mayor rendición de cuentas y transparencia en el manejo de los recursos tecnológicos.

3. Adaptación Organizacional: Las entidades estatales deben adaptar sus estructuras organizacionales para cumplir con estos requisitos sin aumentar los costos de personal. Esto implica una optimización de los recursos existentes y una integración efectiva de la función de TI en la administración pública.

4. Alineación con MinTIC: Los directores de TI deben seguir los lineamientos establecidos por el MinTIC, asegurando una coherencia en las políticas y estrategias tecnológicas a nivel nacional. Esto facilita una mejor coordinación y uniformidad en el uso de tecnologías de información en el sector público.

8.h) Decreto 1008 de 2018 (modifica al Decreto 1078 de 2015)

Es una normativa expedida el 14 de junio de 2018 en Colombia, y está relacionada con la gestión y administración del espectro radioeléctrico en el país. Este decreto introduce modificaciones al Decreto Único Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones (Decreto 1078 de 2015), específicamente en lo que concierne a la asignación y uso del espectro radioeléctrico.

1. Modificación de la Gestión del Espectro Radioeléctrico: El Decreto 1008 de 2018 ajusta las disposiciones del Decreto 1078 de 2015 en lo relacionado con la administración y gestión del espectro radioeléctrico, que es un recurso esencial para la prestación de servicios de telecomunicaciones y radiodifusión.

2. Asignación del Espectro: Se establecen nuevas directrices para la asignación del espectro radioeléctrico, mejorando los procesos para otorgar concesiones de uso del espectro a través de mecanismos como subastas o asignaciones directas. Estos procesos buscan optimizar el uso de este recurso limitado y fomentar la competencia en el sector.

3. Condiciones de Uso del Espectro: El decreto incluye disposiciones sobre las condiciones que deben cumplir los operadores que reciben concesiones de espectro, como las obligaciones de cobertura, calidad de servicio, y eficiencia en el uso del espectro asignado. Además, se establecen los procedimientos para la renovación, modificación, o revocación de estas concesiones.

4. Promoción de la Competencia: Uno de los objetivos del Decreto 1008 de 2018 es promover la competencia en el sector de telecomunicaciones mediante una gestión más eficiente y transparente del espectro. Esto incluye la adopción de medidas para evitar la concentración indebida del espectro en manos de unos pocos operadores, asegurando así un acceso más equitativo a este recurso.

5. Facilitación de Nuevas Tecnologías: El decreto busca facilitar la implementación de nuevas tecnologías y servicios de telecomunicaciones, como el despliegue de redes de quinta generación (5G) y otras innovaciones que requieren acceso al espectro radioeléctrico. Las normas del decreto permiten una mayor flexibilidad en el uso del espectro, adaptándose a las necesidades cambiantes del mercado.

6. Transparencia y Participación: Se refuerzan los mecanismos de transparencia y participación pública en los procesos de asignación del espectro, garantizando que los procedimientos sean abiertos y que los interesados puedan participar en igualdad de condiciones. Esto incluye la publicación de información relevante y la consulta pública de los procesos de asignación.

El Decreto 1008 de 2018 tiene como objetivo modernizar y optimizar la administración del espectro radioeléctrico en Colombia, adecuando las regulaciones a las necesidades del mercado actual y futuro. Al mejorar los procesos de asignación y uso del espectro, se busca no solo fomentar la competencia y la innovación en el sector de telecomunicaciones, sino también garantizar una gestión más eficiente y sostenible de este recurso limitado.

El espectro radioeléctrico es fundamental para el funcionamiento de las telecomunicaciones, y una gestión adecuada es crucial para el desarrollo del sector. El Decreto 1008 de 2018, al actualizar las normas y procedimientos del Decreto 1078 de 2015, juega un papel clave en garantizar que Colombia esté bien posicionada para aprovechar las oportunidades que ofrecen las nuevas tecnologías, como las redes 5G, al mismo tiempo que protege los intereses públicos y promueve un entorno competitivo y dinámico.

8.i) Ley 1955 del 25 de mayo de 2019: Plan Nacional de Desarrollo 2018-2022 del gobierno de Iván Duque

La Ley 1955 de 2019, que establece el Plan Nacional de Desarrollo (PND) 2018-2022, titulada "Pacto por Colombia, pacto por la equidad", incluye varios artículos que destacan la importancia del acceso a la información y la transformación digital en el sector público. A continuación, se describen los artículos más relevantes relacionados con estos temas:

Artículo 136: Acceso a la Información

Descripción:

• La Contraloría General de la República (CGR) tiene la facultad de acceder sin restricciones a los sistemas de información y bases de datos de entidades públicas y privadas que manejen recursos o funciones públicas.

• Esta disposición busca garantizar que la CGR pueda cumplir efectivamente sus funciones de control fiscal y auditoría, asegurando la transparencia y el adecuado uso de los recursos públicos.

Implicaciones:

• Las entidades investigadas están obligadas a proporcionar información oportuna y en tiempo real sobre sus procesos.

• Esto promueve la rendición de cuentas y facilita el control efectivo por parte de la CGR, mejorando la transparencia y reduciendo la posibilidad de corrupción.

Artículo 147: Transformación Digital Pública

Descripción:

• El artículo establece una serie de componentes que deben ser incorporados en la transformación digital del sector público, enfocados en las tecnologías emergentes de la Cuarta Revolución Industrial.

Componentes Clave:

1. Datos Públicos Abiertos: Promoción de la apertura y accesibilidad de datos públicos para fomentar la transparencia y la innovación.

2. Gestión de Riesgos de Seguridad Digital: Implementación de estrategias para identificar y mitigar riesgos en la seguridad de la información.

3. Estándares y Modelos: Aplicación y aprovechamiento de estándares, modelos, normas y herramientas reconocidas para mejorar la eficiencia y seguridad de los sistemas de información.

4. Interoperabilidad: Priorizar la interoperabilidad entre sistemas de información para facilitar el intercambio de datos y la coordinación entre entidades.

5. Servicios en la Nube: Fomentar el uso de servicios en la nube por sus beneficios en términos de escalabilidad, costo y eficiencia.

6. Software Libre y Código Abierto: Promoción del uso de tecnologías basadas en software libre o de código abierto, con justificación de necesidades tecnológicas basadas en análisis de costo-beneficio.

7. Tecnologías Emergentes: Inclusión de tecnologías como DLT, Big Data, IA, IoT y Robótica.

8. Portal Único del Estado Colombiano: Desarrollo de un portal centralizado para acceder a todos los servicios digitales del gobierno.

9. Trámites Digitales: Digitalización de todos los trámites gubernamentales.

10. Gobierno Abierto: Uso de tecnología para fomentar la participación ciudadana y el gobierno abierto.

11. Medios de Pago Electrónicos: Promoción del uso de medios de pago electrónicos para mejorar la eficiencia y transparencia en las transacciones económicas.

Artículo 148: Política de Gestión y Desempeño Institucional

Descripción:

• Este artículo se enfoca en mejorar la eficiencia y efectividad del sector público mediante varias iniciativas tecnológicas y de gestión.

Iniciativas Clave:

1. Territorios y Ciudades Inteligentes: Desarrollo de estrategias para convertir territorios y ciudades en entornos inteligentes mediante el uso de tecnologías avanzadas.

2. Optimización de Compras Públicas: Mejora en los procesos de compras públicas para garantizar transparencia y eficiencia.

3. Software Público: Fomento del uso y oferta de software desarrollado por el sector público.

4. Tecnologías Emergentes: Aprovechamiento de tecnologías emergentes para mejorar los servicios y procesos públicos.

5. Confianza y Seguridad Digital: Implementación de políticas robustas para garantizar la seguridad y la confianza en los servicios digitales.

6. Participación y Democracia Digital: Promoción de la participación ciudadana y la democracia a través de medios digitales.

7. Gastos Públicos: Publicación y aprovechamiento de la información sobre gastos públicos para fomentar la transparencia y la rendición de cuentas.

Estos artículos subrayan el compromiso del gobierno colombiano con la modernización del sector público a través de la digitalización y el uso de tecnologías avanzadas, lo cual es crucial para mejorar la transparencia, la eficiencia y la participación ciudadana.

8.j) Directiva Presidencial 03 y Resolución 500 del MinTIC de 2021: Lineamientos y Estándares para la Estrategia de Seguridad Digital

Establecen los lineamientos y estándares para una estrategia de seguridad digital en Colombia. Estos documentos adoptan un modelo integral de seguridad y privacidad y definen actividades esenciales en las etapas de Prevención, Protección y Detección, Respuesta y Comunicación, y Recuperación y Aprendizaje.

El modelo de seguridad y privacidad se basa en la implementación de medidas y controles que abarquen las diferentes fases de la gestión de la seguridad digital, asegurando una protección integral contra diversas amenazas cibernéticas.

Fases del Modelo de Seguridad y Privacidad

• Prevención: Establecer medidas proactivas para evitar incidentes de seguridad y proteger los activos de información.

  • Controles de acceso: Implementar mecanismos para controlar quién accede a la información.

  • Protección de infraestructura y gestión de identidades: Asegurar la infraestructura tecnológica y gestionar identidades digitales.

  • Privacidad y protección de la información: Garantizar la confidencialidad y protección de datos.

  • Evitar la fuga de datos: Implementar controles para prevenir la pérdida de información.

  • Seguridad de la plataforma tecnológica: Proteger la tecnología utilizada por la organización.

  • Recursos tecnológicos para la gestión de seguridad: Utilizar herramientas tecnológicas adecuadas.

  • Identificación y gestión de riesgos: Reconocer y mitigar riesgos mediante controles.

  • Plan de continuidad del negocio: Prepararse para mantener operaciones durante incidentes.

  • Pruebas de ataques: Realizar simulaciones de ataques para evaluar la seguridad.

  • Herramientas de correlación de eventos: Utilizar SIEM (Gestión de eventos de información de seguridad) y SOC (Centro de operaciones de seguridad).

  • Monitoreo de fuentes de información: Vigilar diferentes canales para identificar posibles ataques.

  • Colaboración con autoridades: Trabajar con las autoridades para fortalecer la ciberseguridad.

• Protección y Detección: Descubrir oportunamente eventos e incidentes de seguridad.

  • Identificación y análisis de incidentes: Reconocer y analizar incidentes de seguridad.

  • Gestión de vulnerabilidades: Proteger infraestructuras críticas expuestas en el ciberespacio.

  • Monitoreo de comportamientos inusuales: Detectar y predecir actividades sospechosas.

  • Identificación del origen y tipos de ataques: Realizar auditorías de seguridad, análisis de vulnerabilidades, hacking ético, pruebas de penetración e ingeniería social.

• Respuesta y Comunicación: Reaccionar de manera efectiva ante incidentes de seguridad y comunicar adecuadamente.

  • Planes de respuesta a incidentes: Definir procedimientos para gestionar incidentes.

  • Reportes a COLCERT o CSIRT sectorial: Informar incidentes que requieran intervención.

  • Comunicación de afectaciones: Informar a las autoridades sobre fugas o afectaciones a la privacidad.

  • Tratamiento de evidencias forenses: Manejar adecuadamente las pruebas de incidentes (identificación, recolección, embalaje y disposición).

• Recuperación y Aprendizaje: Restaurar las operaciones y aprender de los incidentes para mejorar la seguridad.

  • Planes de recuperación y resiliencia: Mantener y actualizar planes para recuperar infraestructuras y sistemas afectados.

  • Recuperación de sistemas de información: Restaurar sistemas al estado previo al incidente.

  • Ajustes en sistemas de gestión de riesgos: Modificar sistemas de seguridad en función de los incidentes ocurridos.

  • Socialización de lecciones aprendidas: Compartir aprendizajes dentro de la organización y con otras entidades del sector.

8.k) Resolución 00460 de 2022 que establece el Plan Nacional de Infraestructura de Datos (PNID)

Busca establecer un marco sólido para la gestión de datos en Colombia, asegurando que se realice de manera eficiente, ética y segura. Esto permitirá una mejor utilización de los datos como un recurso estratégico para impulsar el desarrollo nacional y fomentar la confianza pública en la administración y uso de la información. Es un plan crucial para el desarrollo de una infraestructura de datos eficiente y segura que respalde la transformación digital del país y fomente la toma de decisiones basadas en datos.

Se basa en los siguientes principios:

1. Calidad: Los datos utilizados y gestionados en la infraestructura nacional sean de alta calidad. Esto incluye atributos específicos como: Exactitud, Completitud, Integridad, Actualización, Coherencia, Relevancia, Accesibilidad y Confiabilidad

2. Confianza pública y gestión ética de datos: Este principio enfatiza la importancia de generar y mantener la confianza del público en el manejo de sus datos. Se promueve una gestión ética que respete los derechos de privacidad de los individuos y utilice los datos de manera transparente y responsable.

3. Estandarización e interoperabilidad: Que los datos sean compatibles y puedan ser compartidos eficientemente entre diferentes sistemas y plataformas. La estandarización implica la adopción de formatos y protocolos comunes que faciliten la integración de datos provenientes de diversas fuentes, mientras que la interoperabilidad se refiere a la capacidad de estos sistemas para trabajar juntos de manera fluida, facilitando el intercambio de información y la colaboración entre entidades.

4. Fácil búsqueda, accesibilidad, interoperabilidad y reutilización (FAIR): Asegurando que la información sea fácil de localizar, accesible para quienes tengan los permisos adecuados, interoperable entre diferentes sistemas, y reusable, es decir, que los datos puedan ser utilizados nuevamente en diferentes contextos o aplicaciones sin restricciones indebidas.

5. Privacidad y diseño por defecto:La privacidad debe ser considerada desde el inicio de cualquier proceso de gestión de datos, incorporando medidas de protección de la privacidad en el diseño de sistemas y prácticas operativas. "Diseño por defecto" implica que la configuración inicial de cualquier sistema o plataforma debe ser la más segura y privada posible, protegiendo la información de los usuarios sin requerir ajustes adicionales por parte de estos.

6. Sectorización estratégica: Identificar y gestionar los datos según diferentes sectores estratégicos del país, permitiendo un enfoque más organizado y específico en la recopilación, almacenamiento y utilización de la información, para así mejorar la toma de decisiones en áreas clave.

7. Seguridad y protección de datos: La seguridad de la información es fundamental para el Plan Nacional de Infraestructura de Datos. Este principio abarca la implementación de medidas técnicas y organizativas adecuadas para proteger los datos contra accesos no autorizados, alteraciones, divulgaciones y destrucciones indebidas. Esto incluye la adopción de prácticas robustas de ciberseguridad, la gestión de riesgos, y la preparación para incidentes de seguridad que puedan comprometer la integridad de la infraestructura de datos.

8.l) Directiva Presidencial No. 2 del 24 de febrero de 2022

Es un documento emitido por la Presidencia de la República de Colombia, que establece directrices para la implementación y fortalecimiento de la Política Pública en materia de Seguridad Digital en las entidades del sector público. Esta directiva refuerza la importancia de integrar la seguridad digital dentro de la gestión pública, alineándose con las políticas ya establecidas en el Modelo Integrado de Planeación y Gestión (MIPG).

El objetivo principal de esta directiva es reiterar y reforzar la importancia de la Seguridad Digital y la Privacidad de la Información dentro de la administración pública, asegurando que las entidades gubernamentales implementen medidas eficaces para proteger la información y los sistemas digitales. Esto es especialmente relevante en un contexto global donde las amenazas cibernéticas son cada vez más sofisticadas y pueden comprometer la integridad, confidencialidad y disponibilidad de la información.

Dentro del MIPG, existen dos políticas clave que abordan los temas de Seguridad y Privacidad de la Información, así como la Seguridad Digital:

1. Política de Gobierno Digital – Habilitador Transversal de Seguridad y Privacidad de la Información:

   • Esta política busca asegurar que la transformación digital del gobierno se realice de manera segura, protegiendo los datos e información que manejan las entidades públicas. Se centra en la seguridad de la información y en la privacidad, garantizando que los sistemas y servicios digitales implementados sean confiables y estén protegidos contra amenazas.

   • Como habilitador transversal, esta política se aplica a todas las actividades de gobierno digital, asegurando que la seguridad y la privacidad sean aspectos integrados desde la planificación hasta la ejecución de los proyectos y servicios digitales.

2. Política de Seguridad Digital:

   • La Política de Seguridad Digital tiene como objetivo principal proteger los activos digitales del Estado y los ciudadanos. Esto incluye la protección contra ciberataques, la gestión de riesgos digitales, y la creación de una cultura de seguridad dentro de las instituciones públicas.

   • Esta política abarca un enfoque integral de seguridad, incluyendo la prevención, detección, respuesta y recuperación ante incidentes de seguridad digital. También promueve la colaboración entre las diferentes entidades públicas para fortalecer la seguridad digital a nivel nacional.

La Directiva Presidencial No. 2 del 24 de febrero de 2022 impone las siguientes directrices:

• Reforzamiento de la Seguridad Digital: Las entidades públicas deben adoptar medidas proactivas para proteger sus sistemas y la información que manejan. Esto incluye la actualización de protocolos de seguridad, la capacitación del personal, y la implementación de tecnologías de ciberseguridad avanzadas.

• Integración de la Seguridad en el MIPG: Las políticas de seguridad digital y de privacidad de la información deben integrarse completamente en la planificación y gestión de todas las entidades públicas, asegurando que la seguridad sea un componente clave en todos los procesos y decisiones.

• Evaluación y Monitoreo: Las entidades deben realizar evaluaciones continuas de su seguridad digital, identificar vulnerabilidades, y tomar las medidas necesarias para mitigarlas. Además, se establece la importancia de monitorear continuamente las amenazas y ajustar las estrategias de seguridad conforme sea necesario.

• Colaboración y Coordinación: La directiva enfatiza la necesidad de una colaboración estrecha entre las diferentes entidades del sector público, así como con el sector privado y otras organizaciones, para fortalecer la seguridad digital a nivel nacional.

Esta directiva es crucial en el fortalecimiento de la seguridad digital en Colombia, asegurando que todas las entidades públicas se alineen con las mejores prácticas y políticas en materia de seguridad de la información y ciberseguridad. Al integrar estos aspectos dentro del MIPG, el gobierno colombiano busca no solo proteger los activos digitales del Estado, sino también generar confianza entre los ciudadanos en los servicios digitales ofrecidos por el gobierno.

9. Ciberseguridad y ciberdefensa

9.a) CONPES 3701 de 2011: Política Nacional de Seguridad Digital

El Consejo Nacional de Política Económica y Social (CONPES) de Colombia, a través del documento 3701 de 2011, estableció la Política Nacional de Seguridad Digital. Esta política fue diseñada con el objetivo principal de generar confianza en el uso de las tecnologías digitales y establecer un marco de gestión de riesgos en el entorno digital. La política reconoce la importancia de la seguridad digital como un componente esencial para el desarrollo económico y social del país.

• Gestión de Riesgos: La política se centra en un enfoque de gestión de riesgos para mitigar las amenazas digitales y proteger la infraestructura crítica del país.

• Generar Confianza: Busca fomentar un ambiente de confianza para usuarios y empresas que utilizan servicios digitales, promoviendo un uso seguro y responsable de las tecnologías.

• Concepto de Seguridad Digital: Establece y promueve el concepto de "seguridad digital" como un pilar fundamental para la protección de la información y los sistemas.

• Ejes de Acción: Identifica y define ejes de acción específicos para fortalecer y consolidar las capacidades del país en materia de seguridad digital.

En pro de su implementación se diseñaron las siguientes estrategias y acciones:

• Fortalecer Capacidades Operativas y Administrativas: Incluye el desarrollo de planes y programas para mejorar las capacidades operativas y administrativas de las entidades encargadas de la seguridad digital.

• Consolidar Recursos Humanos y Tecnológicos: Promueve la capacitación y especialización del recurso humano, así como la inversión en infraestructura tecnológica.

• Elaboración de un Plan de Fortalecimiento: Especifica la necesidad de elaborar un plan para fortalecer las capacidades del Grupo colCERT, el cual es el punto focal nacional para la gestión de incidentes digitales en Colombia.

9.b) CONPES 3854 de 2016: Lineamientos de Política para Ciberseguridad y Ciberdefensa

El documento CONPES 3854 de 2016 establece los lineamientos de política para ciberseguridad y ciberdefensa en Colombia. Esta política refuerza y amplía las iniciativas introducidas por el CONPES 3701 de 2011, con un enfoque más específico en la ciberseguridad y la ciberdefensa.

• Gestión de Riesgos: Similar a la política de 2011, mantiene un enfoque en la gestión de riesgos para enfrentar las amenazas cibernéticas.

• Generar Confianza: Continúa con la misión de generar confianza en el uso de las tecnologías digitales a través de medidas robustas de ciberseguridad.

• Ejes de Acción: Define ejes de acción claros para fortalecer y consolidar las capacidades de ciberseguridad y ciberdefensa en el país.

Se diseñaron las siguientes fortalezas y acciones

• Fortalecimiento Institucional: Enfatiza en la necesidad de fortalecer las capacidades operativas, administrativas, humanas, científicas, y tecnológicas de las instituciones responsables de la ciberseguridad.

• Coordinación Interinstitucional: La política establece una coordinación intersectorial entre el ColCERT, el Comando Conjunto Cibernético (incluyendo las unidades cibernéticas del Ejército Nacional, la Armada Nacional y la Fuerza Aérea), y el Centro Cibernético Policial. Esta coordinación es gestionada desde la Presidencia de la República a través del Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC), con el apoyo de la Fiscalía General de la Nación y el CSIRT de gobierno.

• Plan de Fortalecimiento: El documento destaca la elaboración de un plan específico para fortalecer las capacidades operativas y administrativas del Grupo colCERT, consolidándolo como el punto focal nacional para la gestión de incidentes digitales en Colombia.

Ambos documentos, el CONPES 3701 de 2011 y el CONPES 3854 de 2016, reflejan el compromiso de Colombia en establecer un marco robusto y coordinado de ciberseguridad y ciberdefensa, con el objetivo de proteger su infraestructura digital y generar un entorno de confianza para el desarrollo de la economía digital.

9.c) Política Nacional de Confianza y Seguridad Digital CONPES 3995 – Julio 2020

Establece la Política Nacional de Confianza y Seguridad Digital en Colombia. Su objetivo principal es fortalecer las capacidades de seguridad digital de los ciudadanos, el sector público y el sector privado en el país.

Es una iniciativa integral que busca preparar a Colombia para enfrentar los desafíos de la era digital. Al fortalecer las capacidades de seguridad digital de los ciudadanos, el sector público y el sector privado, y al adoptar modelos, estándares y marcos de trabajo adecuados, Colombia puede mejorar su resiliencia frente a amenazas cibernéticas y garantizar un entorno digital seguro y confiable para todos.

A continuación, se describen los aspectos más relevantes de esta política.

Los objetivos de la política son:

1. Fortalecer Capacidades en Seguridad Digital:

   • Ciudadanos: Mejorar el conocimiento y las habilidades de los ciudadanos en materia de seguridad digital, para que puedan proteger su información personal y actuar de manera segura en el entorno digital.

   • Sector Público: Capacitar a las entidades del sector público en prácticas de seguridad digital, asegurando que los sistemas y datos gubernamentales estén protegidos contra amenazas cibernéticas.

   • Sector Privado: Apoyar a las empresas privadas en la implementación de medidas de seguridad digital, garantizando la protección de sus activos digitales y la continuidad de sus operaciones.

2. Actualizar el Marco de Gobernanza de Seguridad Digital:

   • Establecer y mejorar las estructuras y mecanismos de gobernanza necesarios para coordinar las acciones de seguridad digital a nivel nacional.

   • Promover la colaboración entre diferentes sectores y niveles de gobierno para una respuesta efectiva a incidentes de seguridad digital.

3. Adopción de Modelos, Estándares y Marcos de Trabajo en Seguridad Digital:

   • Modelos de Seguridad Digital: Analizar y adoptar modelos de seguridad que sean apropiados para el contexto colombiano, asegurando que se adapten a las necesidades específicas del país.

   • Estándares Internacionales: Implementar estándares internacionales reconocidos en seguridad digital, como ISO/IEC 27001, para garantizar un nivel adecuado de protección y gestión de riesgos.

   • Marcos de Trabajo: Utilizar marcos de trabajo establecidos, como el NIST Cybersecurity Framework, para estructurar y guiar las iniciativas de seguridad digital en el país.

Los componentes clave de la política se enumeran a continuación:

1. Capacitación y Sensibilización:

   • Programas educativos y campañas de sensibilización dirigidas a diferentes audiencias, incluyendo ciudadanos, empleados públicos y empresas, sobre la importancia de la seguridad digital y las prácticas seguras en línea.

2. Mejora de la Infraestructura de Seguridad:

   • Inversiones en infraestructura tecnológica para mejorar la seguridad de las redes y sistemas de información en todo el país.

   • Implementación de tecnologías avanzadas de ciberseguridad, como la inteligencia artificial y el análisis de big data, para detectar y responder a amenazas cibernéticas.

3. Fortalecimiento de la Cooperación Internacional:

   • Colaboración con organismos internacionales y países aliados para compartir información sobre amenazas cibernéticas y mejores prácticas en seguridad digital.

   • Participación en iniciativas globales y regionales de ciberseguridad para fortalecer la postura de seguridad digital de Colombia.

4. Regulación y Cumplimiento:

   • Desarrollo y actualización de marcos regulatorios que apoyen la implementación de medidas de seguridad digital en todos los sectores.

   • Supervisión y cumplimiento de las normativas de seguridad digital por parte de entidades reguladoras y de control.

10. Inteligencia

10.a) La Ley 1453 de 2011: Vigilancia e interceptación de comunicaciones

Representa un paso significativo en el fortalecimiento de las capacidades de las autoridades para combatir la criminalidad en Colombia, al dotarlas de herramientas legales que les permiten acceder a información relevante y realizar acciones de vigilancia cuando sea necesario para el desarrollo de investigaciones criminales. Afectando el Código Penal, el Código de Procedimiento Penal, el Código de Infancia y Adolescencia, así como las reglas sobre extinción de dominio, con el objetivo principal de fortalecer las medidas de seguridad en el país.

Uno de los aspectos más destacados de esta ley es el artículo 53, el cual otorga facultades a la Fiscalía General de la Nación para llevar a cabo la interceptación de cualquier tipo de comunicaciones realizadas a través de redes públicas o privadas. Esta disposición confiere a la Fiscalía un importante instrumento para la investigación y persecución de delitos, permitiéndole acceder a información relevante para casos judiciales.

Por otro lado, el artículo 239 establece la posibilidad de realizar vigilancia y seguimiento de personas por parte de la Policía Judicial, siempre y cuando existan motivos razonablemente fundados para inferir que el individuo en cuestión pueda proporcionar información útil para una investigación en curso. Esta medida, que implica un seguimiento pasivo por un tiempo determinado, busca recabar datos que contribuyan al esclarecimiento de hechos delictivos, aunque se establece un límite de un año para obtener resultados concretos, tras el cual se cancelará la orden de vigilancia.

10.b) Ley Estatutaria 1621 del 17 de abril de 2013: Inteligencia y Contrainteligencia

Esta ley tiene como objetivo principal proporcionar un marco jurídico sólido que permita a los organismos de inteligencia y contrainteligencia cumplir eficazmente con su misión, en concordancia con los principios constitucionales y legales del país.

Entre las disposiciones de esta ley se encuentran medidas destinadas a garantizar el respeto por los derechos fundamentales de los ciudadanos, así como la transparencia y la rendición de cuentas en el ejercicio de las labores de inteligencia y contrainteligencia. Se establecen lineamientos claros sobre la recolección, tratamiento y utilización de la información obtenida, con el propósito de proteger la privacidad y la intimidad de los individuos, así como prevenir posibles abusos por parte de los organismos de inteligencia.

Además, la Ley Estatutaria 1621 busca promover la profesionalización y la ética en el desempeño de las actividades de inteligencia y contrainteligencia, mediante la implementación de mecanismos de control y supervisión. Asimismo, se establecen disposiciones para fortalecer la cooperación y coordinación entre los diferentes organismos de inteligencia, así como con otras entidades del Estado, con el fin de enfrentar de manera efectiva las amenazas a la seguridad nacional y el orden constitucional.

11. Conclusiones

Colombia ha desarrollado un marco regulatorio extenso y detallado relacionado con la información y la protección de datos, que refleja un compromiso significativo con la transparencia y la seguridad de la información en la era digital. Sin embargo, a pesar de estos avances, el país enfrenta desafíos considerables para la implementación y el cumplimiento efectivo de estas leyes.

Robustez y Huecos en la Regulación

El marco regulatorio colombiano en materia de información, como se ha demostrado, es bastante robusto. No obstante, a pesar de su amplitud, existen numerosos huecos en la regulación que pueden ser explotados por infractores y delincuentes para evadir sanciones. La tecnología y las prácticas delictivas evolucionan rápidamente, y la normativa a menudo no puede mantenerse al día con estas dinámicas. Esta brecha entre la ley y la práctica puede resultar en situaciones donde los responsables de violaciones de la seguridad de la información o de la privacidad de los datos personales no sean debidamente sancionados.

Desafíos Contextuales

La implementación efectiva de estas leyes presenta un desafío mayor en un país como Colombia, donde problemas como el narcotráfico, la extorsión, las bandas armadas organizadas y las disidencias de la guerrilla prevalecen. Estos problemas absorben gran parte de los recursos del Estado, tanto financieros como humanos, y desvían la atención y el esfuerzo que podrían dedicarse a fortalecer la protección de la información y garantizar el cumplimiento de las leyes existentes.

Además, el entorno de inseguridad y corrupción puede facilitar que infractores evadan la justicia, minando así la efectividad de las regulaciones. Las entidades encargadas de la vigilancia y control a menudo carecen de los recursos necesarios para realizar su labor de manera efectiva, de mantener a sus funcionarios actualizados en las mejores prácticas, realizar una efectiva inteligencia de amenazas y mantener un arsenal de herramientas informáticas actualizadas con recurso humano competente para administrarlo y utilizarlo en contra de la cibercriminalidad. Ésto en combinación con la aparición acelerada de nuevas prácticas y tecnologías de los delincuentes informáticos resulta en una aplicación desigual y, a veces, ineficaz de la normativa.

Incongruencias Legislativas

Un aspecto crítico que resalta en el análisis del marco regulatorio es la existencia de incongruencias entre ciertas leyes. Por ejemplo, la Ley 1581 de 2012 exige la protección estricta de los datos personales, mientras que la Ley 1712 de 2014 promueve la transparencia y el acceso público a una gran cantidad de datos. Estas leyes, aunque bien intencionadas, pueden entrar en conflicto cuando la información pública disponible permite la inferencia de datos personales.

Esta situación no es única de Colombia. Un ejemplo relevante es el caso en los Estados Unidos, donde se demostró que al cruzar las bases de datos de los partidos políticos con las bases de datos de los hospitales, se pudo identificar a individuos en el 87% de los registros basándose en información como el código postal, la fecha de nacimiento y el sexo. Este tipo de inferencias plantea serias preocupaciones sobre la privacidad y la seguridad de los datos personales, subrayando la necesidad de una revisión y armonización continua de las leyes para evitar brechas y proteger adecuadamente la información de los ciudadanos.

11.b) Reflexión Final

La construcción de un marco regulatorio efectivo en el ámbito de la información y la protección de datos es un proceso continuo que requiere adaptabilidad y una vigilancia constante. Colombia ha dado pasos importantes en esta dirección, pero aún queda mucho por hacer para cerrar las brechas existentes y superar los desafíos contextuales.

Es crucial que las autoridades continúen trabajando en la actualización y armonización de las leyes, así como en el fortalecimiento de las capacidades de las entidades encargadas de su implementación y vigilancia. Solo mediante un esfuerzo concertado y sostenido se podrá garantizar que las regulaciones no solo existan en el papel, sino que se traduzcan en una protección efectiva de la información y los datos personales en la práctica.

Bibliografía

• https://www1.funcionpublica.gov.co/web/eva/gestor-normativo

• “De los delitos contra los derechos de autor en el Código Penal colombiano”, Juan carlos Álvarez Álvarez, María Adelaida Ceballos Bedoya, Álvaro Mauricio Muñoz Sierra, https://dialnet.unirioja.es/descarga/articulo/4608191.pdf

• “La piratería en colombia. Una visión a sus posibles causas y propuestas para su posible solución”, Martín Felipe Barbosa Giraldo, https://repositorio.uniandes.edu.co/server/api/core/bitstreams/58cea904-fd06-4284-a40f-1d6bad4a0072/content

• Constitución Política de Colombia, Artículo 15

• Ley 23 de 1981

• Ley 23 de 1982

• Decreto 1360 de 1989

• Resolución 1995 de 1999

• Decisión 351 del Acuerdo de Cartagena, diciembre 1993

• Ley 527 de 1999

• Ley 594 de 2000

• La Ley 599 de 2000

• La Ley 603 de 2000 y sus modificaciones a la Ley 222 de 1995

• Sentencia T-837 de 2008

• Ley 1266 de 2008

• Ley 1221 de 2008

• La Ley 1273 de 2009

• Ley 1341 de 2009

• La Ley 1453 de 2011

• CONPES 3701 de 2011

• Ley 1581 de 2012

• Ley Estatutaria 1621 del 17 de abril de 2013

• Ley 1712 de 2014

• Ley 1753 de 2015

• Decreto 1078 de 2015

• CONPES 3854 de 2016

• Decreto 415 de 2016

• Ley 1819 de 2016, Reforma Tributaria de 2016

• Clarificación de la DIAN del 25 agosto de 2017

• Decreto 1008 de 2018

• Ley 1955 del 25 de mayo de 2019

• Decreto 2106 de 2019 art. 102

• CONPES 3995 de Julio 2020

• Ley 2088 de 2021

• Directiva Presidencial 03 y Resolución 500 del MinTIC de 2021

• Convenio de Budapest contra la Ciberdelincuencia

• Resolución 00460 de 2022 que establece el Plan Nacional de Infraestructura de Datos (PNID)

• Directiva Presidencial No. 2 del 24 de febrero de 2022

• Ley 2300 de 2023 y Circular 01 del 26 de junio de 2024 de la SIC

• SIC - Circular Externa 002 Del 2024-08-21 – Inteligencia artificial

Licencia

Normatividad Colombiana relacionada con información y propiedad intelectual está bajo una licencia de Creative Commons Reconocimiento-CompartirIgual 4.0 Internacional.