Buscar search
Índice developer_guide

CONCEPTO 3783 DE 2024

(febrero)

<Fuente: Archivo interno entidad emisora>

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

Bogotá D.C, febrero de 2024

Asunto: Radicación: 24-3783
Trámite:113
Evento:0
Actuación:440
Folios:9

Reciba cordial saludo

De conformidad con lo previsto en el artículo 28 de la Ley 1755 de 2015, “por medio de la cual se regula el Derecho Fundamental de Petición y se sustituye un título del Código de Procedimiento Administrativo y de lo Contencioso Administrativo”, fundamento jurídico sobre el cual se sustenta la consulta objeto de la solicitud, procede la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO a emitir un pronunciamiento, en los términos que a continuación se pasan a exponer:

1. CUESTIÓN PREVIA

Reviste de gran importancia precisar en primer lugar que la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO a través de su Oficina Asesora Jurídica no le asiste la facultad de dirimir situaciones de carácter particular, debido a que, una lectura en tal sentido, implicaría la flagrante vulneración del debido proceso como garantía constitucional.

Al respecto, la CORTE CONSTITUCIONAL ha establecido en la Sentencia C-542 de 2005:

“Los conceptos emitidos por las entidades en respuesta a un derecho de petición de consulta no constituyen interpretaciones autorizadas de la ley o de un acto administrativo. No pueden reemplazar un acto administrativo. Dada la naturaleza misma de los conceptos, ellos se equiparán a opiniones, a consejos, a pautas de acción, a puntos de vista, a recomendaciones que emite la administración pero que dejan al administrado en libertad para seguirlos o no”.

2. FACULTADES DE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES

La Ley 1581 de 2012, en su artículo 21 señala, entre otras, las siguientes funciones para esta Superintendencia:

- Velar por el cumplimiento de la legislación en materia de protección de datos personales;

- Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. Para el efecto, siempre que se desconozca el derecho, podrá disponer que se conceda el acceso y suministro de los datos, la rectificación, actualización o supresión de los mismos;

- Promover y divulgar los derechos de las personas en relación con el Tratamiento de datos personales e implementara campañas pedagógicas para capacitar e informar a los ciudadanos acerca del ejercicio y garantía del derecho fundamental a la protección de datos;

- Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los responsables del tratamiento y encargados del tratamiento a las disposiciones previstas en la presente ley;

- Solicitar a los responsables del tratamiento y encargados del tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones.

Primer interrogante

“Si una empresa denominada X opera un restaurante que ofrece a sus clientes la posibilidad de acceder, mediante el uso de códigos QR, a diversas funcionalidades, incluyendo (i) la consulta del menú, (ii) la evaluación del servicio y (iii) la visualización de publicidad de marcas asociadas y/o proveedores del restaurante, para la cual, deben proporcionar, nombre, correo electrónico y promedio de edad.

1. ¿Podría esta empresa X entregar la base datos recolectada a las marcas y/o proveedores del restaurante?, y de ser así, ¿qué documento legal esta(sic) obligada a suscribir la empresa X con el tercero para la protección y cumplimiento de la norma de protección de datos personales?”

Respuesta:

Sea lo primero indicar que esta Oficina Asesora Jurídica no puede resolver la situación particular como la planteada en su interrogante, por lo que le brindaremos información general sobre la autorización para el tratamiento de datos personales.

El artículo 11 de la Ley 1581 de 2012 dispone lo siguiente, respecto al suministro de información por parte de los responsables y encargados del tratamiento:

Suministro de la información. La información solicitada podrá ser suministrada por cualquier medio, incluyendo los electrónicos, según lo requiera el Titular. La información deberá ser de fácil lectura, sin barreras técnicas que impidan su  ceso y deberá corresponder en un todo a aquella que repose en la base de datos”.

Por su parte, el artículo 13 de la Ley 1581 de 2012 dispone lo siguiente:

Personas a quienes se les puede suministrar la información. La información que reúna las condiciones establecidas en la presente ley podrá suministrarse a las siguientes personas:

a) A los Titulares, sus causahabientes o sus representantes legales.

b) A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.

c) A los terceros autorizados por el Titular o por la ley.”

En consecuencia, los datos personales solo pueden suministrarse a: (i) el titular, sus causahabientes o representante legal, con el fin de garantizar el derecho fundamental de conocer donde se encuentra la información; (ii) a las entidades públicas o administrativas en ejercicio de sus funciones o por orden judicial, y (iii) a un tercero previa autorización del titular o por la ley, para mayor claridad desarrollaremos el contexto en el que procede el suministro de información a los terceros autorizados por el titular o por la ley, así:

Para el tratamiento de datos personales, es necesario tener en cuenta el principio de libertad, definido en el literal c) del artículo 4 de la Ley 1581 de 2012 así:

"c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento."

(Subrayas fuera de texto original)

Por lo anterior, el tratamiento de los datos personales solo puede realizarse cuando exista la autorización previa, es decir, debe recolectarse en una etapa anterior a su incorporación en la base de datos del responsable; expresa, es decir, que no exista duda o equivocación de su aceptación; e informada del titular, es decir, que conozca las finalidades específicas de tratamiento y los efectos de su consentimiento. Lo anterior, con el fin de permitirle que se garantice en todo momento y lugar que pueda conocer en dónde está su información personal, para qué propósitos ha sido recolectada y qué mecanismos tiene a su disposición para su actualización y rectificación. Así mismo, el responsable debe utilizar mecanismos que garanticen su consulta posterior.

Respecto a la autorización el artículo 2.2.2.25.2.2., del Decreto 1074 de 2015 señala lo siguiente:

“Autorización. El Responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados, así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento.”

En concordancia con lo anterior, el artículo 2.2.2.25.2.4., del precitado decreto dispone:

“Modo de obtener la autorización. Para efectos de dar cumplimiento a lo dispuesto en el artículo 9 de la Ley 1581 de 2012, los Responsables del Tratamiento de datos personales establecerán mecanismos para obtener la autorización de los titulares o de quien se encuentre legitimado de conformidad con lo establecido en el artículo 2.2.2.25.4.1., del presente Decreto, que garanticen su consulta. Estos mecanismos podrán ser predeterminados a través de medios técnicos que faciliten al Titular su manifestación automatizada.

Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (í) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.”

Por lo anterior, los responsables del tratamiento de los datos personales deben obtener la autorización por parte del titular a más tardar al momento de su recolección informándole la finalidad específica del tratamiento de los mismos, y debe utilizar mecanismos que garanticen su consulta posterior.

Se entiende que el titular de la información ha dado su autorización para el tratamiento de los datos personales cuando: (i) sea por escrito; (ii) sea verbal o (iii) mediante conductas inequívocas, es decir, aquellas que no admiten duda o equivocación, del titular que permitan concluir de forma razonable que otorgó la autorización. El silencio no puede asimilarse a una conducta inequívoca.

El artículo 12 de la Ley 1581 de 2012 dispone lo siguiente sobre la información que se debe suministrar al titular de los datos personales al momento de recolectar su autorización:

ARTÍCULO 12. Deber de informar al Titular. El Responsable del Tratamiento, al momento de solicitar al Titular la autorización, deberá informarle de manera clara y expresa lo siguiente:

a) El Tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo.

b) El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando éstas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.

c) Los derechos que le asisten como Titular.

d) La identificación, dirección física o electrónica y teléfono del Responsable del Tratamiento.

Parágrafo. El Responsable del Tratamiento deberá conservar prueba del cumplimiento de lo previsto en el presente artículo y, cuando el Titular lo solicite, entregarle copia de esta”.

Por lo anterior, el responsable del tratamiento, al solicitar la autorización por parte del titular de los datos personales se le debe informar: (i) el tratamiento al cual serán sometidos sus datos personales, es decir, si se hará recolección, uso, almacenamiento, circulación, supresión o cualquier operación de los datos, (ii) la finalidad específica del tratamiento de los datos personales; (iii) el carácter facultativo de la respuesta, cuando el tratamiento se pretenda realizar sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes; (iv) los derechos que le asisten como titular y (v) la identificación, dirección física o electrónica y teléfono del responsable del tratamiento para que pueda ejercer sus derechos.

En consecuencia, y para responder a su interrogante, el envío de información o los datos personales por parte del responsable y/o encargado a un receptor, que a su vez es responsable del tratamiento y que se encuentra dentro del país, deberá contar con la autorización previa, expresa e informada del titular para ello, salvo que exista disposición legal que releve el consentimiento.

Segundo interrogante

“2. En el caso de que el documento legal en cuestión sea un contrato, ¿la autorización de datos personales aceptada al escanear el código QR será la misma tanto para la empresa X como para el tercero al cual se tiene la intención de transferir dicha información? Asimismo, ¿dicha autorización establece algún tipo de restricción para evitar ulteriores entregas de datos a terceros?”

Respuesta:

Reiteramos que, si se pretende un tratamiento de datos personales, diferente a la finalidad específica y exclusiva autorizada por el titular, deberá solicitar autorización del titular e informar de manera clara, suficiente y previa la nueva finalidad del tratamiento.

Tercer interrogante

“3. ¿Es factible que sobre los mismos datos personales recaigan distintos encargados del tratamiento? En otras palabras, aun cuando se trate de dos empresas con objetivos sociales diferentes, ¿ambas ostentan la condición de encargadas del tratamiento de dicha información? En este contexto, ¿podría hipotéticamente surgir la figura de subencargados?”

Respuesta:

El artículo 3 de la Ley 1581 de 2012 señala las siguientes definiciones:

“d) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.

e) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos”.

Por lo anterior, el responsable del tratamiento de los datos personales es la persona natural o jurídica que decide sobre las finalidades del tratamiento y los medios empleados para el efecto, por ejemplo, para ponerlo en circulación, usarlo de alguna manera o determinar el acceso a los datos personales.

El encargado es la persona natural o jurídica que realiza el tratamiento de los datos personales por instrucción o delegación del responsable.

Cuarto interrogante

“4. La suscripción de un contrato de transferencia de datos personales entre empresas nacionales ¿únicamente debe ser suscrito por aquellos que ostenten calidad de responsables del tratamiento? O, por el contrario, ¿Es posible que estos contratos puedan ser suscritos entre encargados del tratamiento con un tercero?

Respuesta:

El artículo 2.2.2.25.1.3., del Decreto 1074 de 2015 define transferencia de datos personales de la siguiente manera:

“4. Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país”.

De acuerdo con lo anterior, la transferencia internacional de datos es aquella comunicación de datos personales que ocurre entre un responsable del tratamiento ubicado en Colombia y otro responsable del tratamiento que se encuentra fuera o dentro del país.

Por su parte, el artículo 2.2.2.25.1.3., del Decreto 1074 de 2015 define la transmisión de datos personales, de la siguiente manera:

“5. Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable”.

De acuerdo con lo anterior, la transmisión de datos es aquella que involucra la comunicación de datos personales fuera o dentro del territorio nacional entre un responsable del tratamiento y un encargado, para que este último realice el tratamiento de esos datos por cuenta del primero.

En conclusión, la calidad de las partes dependerá de la operación que se pretenda realizar de transferencia (responsable-responsable) o transmisión (responsable-encargado) de datos personales.

Quinto interrogante

“5. En caso de suscripción de contratos de transferencia de datos personales entre encargados con un tercero, ¿Cómo se maneja la responsabilidad del tratamiento de datos personales en estos casos? Es decir, ¿el tercero asume alguna calidad en el tratamiento? ¿Asume un deber, obligación y/o responsabilidad respecto de estos?

Respuesta:

Si el responsable del tratamiento contrata a otra empresa o un a tercero (encargado del tratamiento) para realizar cierto tratamiento de datos personales, es oportuno que se le exija el cumplimiento de su política de tratamiento de datos personales y los deberes legales consagrados en el artículo 18 de la Ley 1581 de 2012.

Es importante mencionar que los encargados del tratamiento obran por cuenta del responsable quien responde frente a los titulares de los datos personales y las autoridades por los errores o negligencia de los encargados. Por ello, se recomienda que en los contratos de prestación de servicios celebrados con terceros se establezcan de manera clara las obligaciones especiales y los deberes que deben cumplir los encargados en el tratamiento de datos personales y que se pacten cláusulas contractuales en las que se obliguen a:

- Cumplir las políticas de tratamiento de información de la entidad estatal.

- Garantizar seguridad y confidencialidad de los datos personales.

- No usar los datos personales para fines diferentes a los autorizados o no acceder a los mismos (según el caso).

- No apropiarse de los datos personales (copias de planillas, formularios, grabaciones, archivos electrónicos) luego de culminado el contrato de prestación de servicios.

- Devolver a la entidad estatal todos los datos que trató durante la prestación de sus servicios.

Sexto interrogante

“6. La obligación de reporte de transferencia de datos personales en el RNBD, ¿aplica únicamente para la transferencia de datos de carácter internacional? O también, ¿debe reportarse cuando dicha operación se hizo entre empresas nacionales?”

Respuesta:

El numeral 2.1., del Capítulo Segundo del Título V de la Circular Única de esta Superintendencia, establece la información adicional a la señalada en el artículo 2.2.2.26.2.1. del Decreto 1074 de 2015, que debe inscribirse en los siguientes términos:

Los Responsables del tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 Unidades de Valor Tributario (UVT) y personas jurídicas de naturaleza pública deben inscribir en el Registro Nacional de Bases de Datos -RNBD- la siguiente información, además de la establecida mediante el Capítulo 26 del Decreto Único 1074 de 2015:

(...)

d) Transferencia internacional de datos personales. La información relacionada con la Transferencia internacional de datos personales comprende la identificación del destinatario como Responsable del Tratamiento, el país en el que este se encuentra ubicado y si la operación está cobijada por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio o por una causal de excepción en los términos señalados en el artículo 26 de la Ley 1581 de 2012.

e) Transmisión internacional de datos personales. La información relacionada con la Transmisión internacional de datos comprende la identificación del destinatario como Encargado del Tratamiento, el país en el que este se encuentra ubicado, si se tiene un contrato de transmisión de datos en los términos señalados en el artículo 2.2.2.25.5.2 de la Sección 5 del Capítulo 25 del Decreto Único 1074 de 2015 o si la operación está cobijada por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio.

(…)”

En consecuencia, dentro de la información que los responsables del tratamiento deben incluir en el Registro Nacional de Bases de Datos Personales, se encuentra la transferencia y transmisión internacional de datos personales.

En ese orden de ideas, esperamos haber atendido satisfactoriamente su consulta, reiterándole que la misma se expone bajo los parámetros del artículo 28 de la Ley 1437 de 2011, esto es, bajo el entendido que la misma no compromete la responsabilidad de esta Superintendencia ni resulta de obligatorio cumplimiento ni ejecución.

En la Oficina Asesora Jurídica de la Superintendencia de Industria y Comercio estamos comprometidos con nuestros usuarios para hacer de la atención una experiencia de calidad. Por tal razón le invitamos a evaluar nuestra gestión a través del siguiente link http://www.encuestar.com.co/index.php/2100?lang=esQ

Finalmente le informamos que algunos conceptos de interés general emitidos por la Oficina Jurídica, los puede consultar en nuestra página web https://buscadorconceptos.sic.gov.co/#/search

Atentamente,

MARIA ISABEL SALAZAR ROJAS

Jefe Oficina Asesora Jurídica

×
Volver arriba