CONCEPTO 276843 DE 2015

<Fuente: Archivo interno entidad emisora>

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

Bogotá D.C.,

Señor

ALVARO JAVIER MORENO MERCHAN

aj.morenom@outlook.com

Estimado(a) Señor:

Con el alcance previsto en el artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, damos respuesta a su comunicación radicada en esta Entidad con el número que se indica en el asunto, en los siguientes términos:

A continuación nos permitimos suministrarle información relevante en relación con los interrogantes de su consulta, con el fin de brindarle mayores elementos de juicio al respecto. Lo anterior, teniendo en cuenta que esta oficina mediante un concepto no puede solucionar situaciones particulares.

Respecto al comunicado No. 40 de Octubre 5 y 6 de 2011 de la Corte Constitucional en la que se informó: “Igualmente, se aclaró el parágrafo del artículo 23, en el sentido de que la Superintendencia de Industria y Comercio sí podrá sancionar las entidades públicas porque su competencia sancionatoria tiene la finalidad de proteger al titular del dato personal, mientras la Procuraduría protege, en específico, la función pública; es decir, las sanciones que pueden imponer las dos entidades tienen origen en el incumplimiento de deberes de naturaleza distinta. En consecuencia, para la Corte, la facultad sancionatoria que se regula en dicho artículo es tanto para las entidades públicas como para las privadas, como sujetos pasivos del derecho al habeas data. En consecuencia, la Superintendencia podría imponer multas, suspensión de la operación, cierre temporal y definitivo, sanciones que están relacionadas directamente con el dato, mientras la Procuraduría dirigirá su investigación hacia la conducta del funcionario público responsable que incumple sus deberes funcionales. ", pregunta lo siguiente:

Primer interrogante

“1. Sírvanse aclarar, si de las circunstancias descritas en los hechos 1, 2 y 3 anteriormente narrados, puede concluirse que la Superintendencia de Industria y Comercio, no obstante la competencia adjudicada legalmente a la Procuraduría General de la Nación, puede sancionar a las entidades públicas por circunstancias fácticas que implican la violación de datos personales”.

Respuesta: El parágrafo del artículo 23 de la Ley 1581 de 2012 dispone lo siguiente:

“Parágrafo. Las sanciones indicadas en el presente artículo sólo aplican para las personas de naturaleza privada. En el evento en el cual la Superintendencia de Industria y Comercio advierta un presunto incumplimiento de una autoridad pública a las disposiciones de la presente ley, remitirá la actuación a la Procuraduría General de la Nación para que adelante la investigación respectiva”.

En consecuencia, esta Superintendencia se encuentra el velar es la autoridad de protección de datos personales, y se encarga de velar por el cumplimiento de las disposiciones de la Ley 1581 de 2012 y sus decretos reglamentarios, para lo cual tiene la potestad de imponer las sanciones como: (i) multas de carácter personal o institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes;

(ii) suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses; (iii) Cierre temporal de las operaciones relacionadas con el Tratamiento de datos personales; (iv) Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles, ante el incumplimiento de las normas sobre protección de datos personales por parte de los responsables o encargados del tratamiento.

Ahora bien, ante el incumplimiento de las disposiciones sobre protección de datos personales por parte de entidades públicas esta Superintendencia debe remitir las actuaciones a la Procuraduría General de la Nación para que adelante la investigación respectiva. Así quedó plasmado en el texto definitivo de la Sentencia C-748 de 2011 al realizar el control constitucional al Proyecto de Ley Estatutaria No. 184 de 2010 Senado; 046 de 2010 Cámara, “por la cual se dictan disposiciones generales para la protección de datos personales”.

El parágrafo del artículo 23 de la Ley 1581 de 2012 fue incluido dentro del pliego de modificaciones propuesto por los Representantes ponentes al texto del proyecto de ley presentado por el Gobierno, en los siguientes términos:

“PLIEGO MODIFICATORIO

Modificaciones al texto

(…)

8. Incluir un parágrafo en el artículo 23 sanciones, indicando que las mismas sólo aplican para personas privadas que incumplan las disposiciones contenidas en la presente ley, y que para las autoridades públicas la Superintendencia de Industria y Comercio una vez realizada la investigación respectiva y de encontrar violación a la ley remitirá el expediente a la Procuraduría General de la Nación para lo de su competencia.

El artículo 23 contiene las sanciones que puede imponer la Autoridad de Control a los responsables del tratamiento y manejo de los datos personales, las cuales van desde multas hasta cierre definitivo de la operación, es claro que estas, por su naturaleza, por el procedimiento para imponerlas y por el ente que las impone, que para el presente caso la Superintendencia de Industria y Comercio no pueden aplicar a autoridades públicas, ya que no hay competencia para ello. De tal manera, se específica esta situación y se aclara que una vez adelantada la investigación por parte de la Autoridad de Control en caso de identificar alguna falta de una autoridad pública se debe remitir el expediente a la Procuraduría General de la Nación para lo de su competencia.”

En conclusión, esta Superintendencia no tiene la facultad de imponer las sanciones señaladas en el artículo 23 de la Ley 1581 de 2012 a las entidades públicas que incumplan con las disposiciones de protección de datos personales, y deberá remitir a la Procuraduría General de la Nación las actuaciones administrativas que identifiquen dicho incumplimiento, para que adelante la investigación respectiva.

Segundo interrogante

“Sírvanse señalar si el concepto referido en el comunicado de prensa No. 40 de la Corte Constitucional, del 5 y 6 de octubre de 2011, es compartido por la Superintendencia de Industria y Comercio”.

Respuesta: Nos remitimos a la respuesta anterior.

Tercer interrogante

“Respetuosamente sírvanse indicar si a la fecha alguna entidad pública ha sido sancionada. En caso de que así haya ocurrido, solicitamos copia de las resoluciones por las cuales se hayan impuesto las respectivas sanciones”.

Respuesta: El Director de Investigación de Protección de Datos Personales manifestó lo siguiente, respecto a su interrogante:

“Respecto al punto 3. Le informo que la Superintendencia de Industria y Comercio no ha impuestos sanciones por violación del Derecho General de Protección de Datos Personales contenidos en la Ley 1581 de 2012, toda vez que aun cuando en el comunicado de prensa expedido por la Corte Constitucional se estableció que las entidades públicas pueden ser objeto de sanción no ocurrió lo mismo cuando se expidió la Sentencia C-748 de 2012”.

Si requiere mayor información sobre el desarrollo de nuestras funciones y sobre las normas objeto de aplicación por parte de esta entidad, puede consultar nuestra página de internet www.sic.gov.co

Atentamente,

WILLIAM ANTONIO BURGOS DURANGO

JEFE OFICINA ASESORA JURÍDICA