Buscar search
Índice developer_guide

CONCEPTO 279916 DE 2015

(enero 6)

<Fuente: Archivo interno entidad emisora>

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

Señores

APLISALUD LTDA

hjarango@aplisalud.com

Asunto: Radicación: 15-279916- -00001-0000
Trámite: 113
Evento: 0
Actuación: 440
Folios: 1

Estimado(a) Señores:

Con el alcance previsto en el artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, damos respuesta a su comunicación radicada en esta Entidad con el número que se indica en el asunto, en los siguientes términos:

1. OBJETO DE LA CONSULTA.

Manifiesta en su escrito lo siguiente: “(... ) Con el objetivo de dar cumplimiento a la ley de protección de datos personales agradezco me sea aclarado si en una empresa de auditoria medica integral es aplicable dicha norma, adicionalmente cuales serían los requisitos a aplicar en nuestra organización”.

A continuación nos permitimos suministrarle información relevante en relación con el tema de la consulta, con el fin de brindarle mayores elementos de juicio al respecto. Lo anterior, teniendo en cuenta que esta oficina mediante un concepto no puede solucionar situaciones particulares.

2. TRATAMIENTO DE DATOS PERSONALES.

El literal c) del artículo 3 de la Ley 1581 de 2012 define el dato personal en los siguientes términos: “Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.”

Al respecto, la Corte Constitucional mediante sentencia C-748 de 2011 señaló lo siguiente:

\"(...)

[E]n efecto, la jurisprudencia constitucional ha precisado que las características de los datos personales –en oposición a los impersonales- son las siguientes: “i) estar referido a aspectos exclusivos y propios de una persona natural, ii) permitir identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.”

(...)

Los datos personales, a su vez, suelen ser clasificados en los siguientes grupos dependiendo de su mayor o menor grado de aceptabilidad de divulgación: datos públicos, semiprivados y privados o sensibles\".

Por lo anterior, el dato personal es cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables que cumplen con las siguientes características: (i) están referidos a aspectos exclusivos y propios de una persona natural, ii) permiten identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.

Por su parte, el literal g) del artículo 3 define tratamiento en los siguientes términos: \"Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.\"

Al respecto la Corte Constitucional en la mencionada sentencia señaló lo siguiente:

\" El tratamiento es definido como cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. Este vocablo, al igual que los dos analizados en precedencia, es de uso en el ámbito europeo y se encuentra tanto en la Directiva 95/46 del Parlamento Europeo como en los Estándares dictados en la reciente conferencia que se dio en Madrid (España), en la que se definió tratamiento como “cualquier operación o conjunto de operaciones, sean a no automatizadas, que se apliquen a datos de carácter personal, en especial su recogida, conservación, utilización, revelación o supresión”

El vocablo tratamiento para los efectos del proyecto en análisis es de suma importancia por cuanto su contenido y desarrollo se refiere precisamente a lo que debe entenderse por el “tratamiento del dato personal”. En ese orden, cuando el proyecto se refiere al tratamiento, hace alusión a cualquier operación que se pretenda hacer con el dato personal, con o sin ayuda de la informática, pues a diferencia de algunas legislaciones, la definición que aquí se analiza no se circunscribe únicamente a procedimientos automatizados. Es por ello que los principios, derechos, deberes y sanciones que contempla la normativa en revisión incluyen, entre otros, la recolección, la conservación, la utilización y otras formas de procesamiento de datos con o sin ayuda de la informática. En consecuencia, no es válido argumentar que la ley de protección de datos personales cobija exclusivamente el tratamiento de datos que emplean las nuevas tecnologías de la información, dejando por fuera las bases de datos manuales, lo que resultaría ilógico, puesto que precisamente lo que se pretende con este proyecto es que todas las operaciones o conjunto de operaciones con los datos personales quede regulada por las disposiciones del proyecto de ley en mención, con las salvedades que serán analizadas en otro apartado de esta providencia. En este orden de ideas, esta definición no genera problema alguno de constitucionalidad y por tanto será declarada exequible.\"

Por lo anterior, el tratamiento se refiere a la utilización, recolección, almacenamiento, circulación y supresión de los datos personales que se encuentren registrados en cualquier base de datos o archivos por parte de entidades públicas o privadas y cuyo procesamiento sea utilizando medios tecnológicos o manuales.

3. ÁMBITO DE APLICACIÓN DE LA LEY 1581 DE 2012.

La Ley 1581 de 2012, en su artículo 2, señala el ámbito de aplicación de la siguiente manera:

“Ámbito de aplicación. Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada.

(...)”

La precitada ley aplica al tratamiento, es decir, la recolección, almacenamiento, uso, circulación o supresión, de datos personales registrados en cualquier base de datos o archivos por parte de entidades públicas o privadas.

Respecto al concepto de bases de datos o archivos la Corte Constitucional mediante Sentencia C-748 de 2011 señaló lo siguiente:

“[E]l literal b) define las bases de datos como un “(...) conjunto organizado de datos personales que sea objeto de tratamiento”. Pese a que esta definición es bastante amplia y parece coincidir más con la de banco de datos empleada en la Ley 1266, en tanto el legislador goza de libertad de configuración en la materia, puede adoptar definiciones diferentes dependiendo de la regulación.

Ahora bien, la definición se ajusta a la Carta, pues cobija todo espacio donde se haga alguna forma de tratamiento del dato, desde su simple recolección, lo que permite extender la protección del habeas data a todo tipo de hipótesis. En concordancia, la Sala recuerda, como se indicó en la consideración 2.4.3.2., que el concepto de base de datos cobija los archivos, entendidos como depósitos ordenados de datos, lo que significa que los archivos están sujetos a las garantías previstas en el proyecto de ley.”

Por lo anterior, la Ley 1581 de 2012 se aplica a los datos personales que se encuentren en bases de datos o archivos de entidades públicas o privadas, entendidos estos, como el conjunto organizados o depósitos ordenados de datos personales sujetos a tratamiento, es decir, a la recolección, el almacenamiento, el uso, la circulación o la supresión de los mismos.

Ahora bien, respecto a la aplicación de la Ley 1581 de 2012 en cuanto al tratamiento por las entidades públicas y privadas, la Corte Constitucional en la precitada Sentencia señaló:

\" [P]or último, respecto de la tercera condición -posibilidad de tratamiento de los datos por entidades públicas o privadas, para la Sala surge la duda de si el empleo del término entidades supone una restricción inconstitucional, pues podría limitar el ámbito de aplicación a datos personales susceptibles de ser tratados solamente por personas jurídicas, lo que excluiría los casos de tratamiento por personas naturales.

Sin embargo, la Sala observa que el término entidad tienen varias acepciones, una de la cuales incluye a las personas naturales. En efecto, según el Diccionario de la Real Academia de la Lengua, una entidad puede ser una “[c]olectividad considerada como unidad. Especialmente, cualquier corporación, compañía, institución, etc., tomada como persona jurídica”, pero también puede ser un “[e]nte o ser”; esta segunda definición –más amplia- cobija a las personas naturales.

Así, en atención a los principios de interpretación conforme a la Constitución y de conservación del derecho, la Sala concluye que debe entenderse -sin necesidad de condicionar la exequibilidad del precepto- que la interpretación del inciso que se ajusta a la Carta es aquella según el cual el término entidades comprende tanto las personas naturales como jurídicas. De modo que así entendida la condición, la Sala también concluye que es compatible con la Carta, pues cobija las hipótesis necesarias para que el proyecto cumpla su finalidad de brindar protección a los datos personales.

Para terminar, resalta la Sala la importancia de esta disposición, en tanto reconoce que el tratamiento de datos personales también puede ser efectuado por personas privadas; de hecho, en el mundo globalizado, el sector privado lleva a cabo una parte muy considerable del tratamiento de datos, lo que lo dota de un poder informático a gran escala y lo convierte en un potencial vulnerador del derecho al habeas data. De ahí que uno de los grandes retos de la protección de los datos personales es la creación de mecanismos para hacer responsables a los particulares por el tratamiento inadecuado y abusivo de datos personales.\"

Por lo anterior, es responsable del tratamiento de los datos personales la persona natural o jurídica pública o privada cuando decide sobre la base de datos en la que se encuentran o su tratamiento, esto es, la recolección, almacenamiento, uso, circulación o supresión de los mismos.

4. PRINCIPIOS RECTORES PARA EL TRATAMIENTO DE DATOS PERSONALES.

El artículo 4 de la Ley 1581 de 2012 consagra los principios que rigen el tratamiento de datos personales así:

“Principios para el Tratamiento de datos personales. En el desarrollo, interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los siguientes principios:

a) Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen;

b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular;

c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento;

d) Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error;

e) Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan;

f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley;

Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley;

g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

h) Principio de confidencial idad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.”

Para mayor ilustración desarrollaremos el principio de libertad definido en el literal c) del artículo 4 de la Ley 1581 de 2012 así:

\"c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.\"

Al respecto, la Corte Constitucional mediante Sentencia C-748 de 2011 señaló lo siguiente:

\" [P]rincipio de libertad: El tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

Este principio, pilar fundamental de la administración de datos, permite al ciudadano elegir voluntariamente si su información personal puede ser utilizada o no en bases de datos. También impide que la información ya registrada de un usuario, la cual ha sido obtenida con su consentimiento, pueda pasar a otro organismo que la utilice con fines distintos para los que fue autorizado inicialmente.

El literal c) del Proyecto de Ley Estatutaria no sólo desarrolla el objeto fundamental de la protección del habeas data, sino que se encuentra en íntima relación con otros derechos fundamentales como el de intimidad y el libre desarrollo de la personalidad. En efecto, el ser humano goza de la garantía de determinar qué datos quiere sean conocidos y tiene el derecho a determinar lo que podría denominarse su “imagen informática”.

(...)

En materia de manejo de información personal, el consentimiento exigido es además, calificado, por cuanto debe ser previo, expreso e informado. Sobre el particular, en la Sentencia C-1011 de 2008 se sostuvo que tales características concretan la libertad del individuo frente al poder informático

(...)

En relación con el carácter previo, la autorización debe ser suministrada, en una etapa anterior a la incorporación del dato. (... )

En relación con el carácter expreso, la autorización debe ser inequívoca, razón por la cual, al contrario de lo sostenido por algunos intervinientes, no es posible aceptarse la existencia, dentro del ordenamiento jurídico colombiano, de un consentimiento tácito. (... )

En relación con el carácter informado, el titular no sólo debe aceptar el Tratamiento del dato, sino también tiene que estar plenamente consciente de los efectos de su autorización. (... )\"

Por lo anterior, el tratamiento de los datos personales solo puede realizarse cuando exista la autorización previa, expresa e informada del titular, con el fin de permitirle que se garantice que en todo momento y lugar pueda conocer en dónde está su información personal, para qué propósitos ha sido recolectada y qué mecanismos tiene a su disposición para su actualización y rectificación.

Respecto a la autorización el artículo 2.2.2.25.2.2., del Decreto 1074 de 2015 que incorpora el Decreto 1377 de 2013 señala lo siguiente:

\"Autorización. El Responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento.\"

En concordancia con lo anterior, el artículo 2.2.2.25.2.4., del precitado decreto dispone:

“Modo de obtener la autorización. Para efectos de dar cumplimiento a lo dispuesto en el artículo 9 de la Ley 1581 de 2012, los Responsables del Tratamiento de datos personales establecerán mecanismos para obtener la autorización de los titulares o de quien se encuentre legitimado de conformidad con lo establecido en el artículo 2.2.2.25.4.1., del presente Decreto, que garanticen su consulta. Estos mecanismos podrán ser predeterminados a través de medios técnicos que faciliten al Titular su manifestación automatizada.

Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (í) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.”

Por lo anterior, los responsables del tratamiento de los datos personales deben obtener la autorización por parte del titular a más tardar al momento de su recolección informándole la finalidad específica del tratamiento de los mismos, y debe utilizar mecanismos que garanticen su consulta posterior.

Se entiende que el titular de la información ha dado su autorización para el tratamiento de los datos personales cuando: (i) sea por escrito; (ii) sea oral o (iii) mediante conductas inequívocas, es decir, aquellas que no admiten duda o equivocación, del titular que permitan concluir de forma razonable que otorgó la autorización. El silencio no puede asimilarse a una conducta inequívoca. Cuando se trate de datos personales sensibles la autorización para el tratamiento de tales datos deberá hacerse de manera explícita

5. RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO DE DATOS PERSONALES.

El artículo 3 de la Ley 1581 de 2012 señala las siguientes definiciones:

d) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.

e) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.

Respecto a las definiciones de responsables y encargados que trata el artículo 3 de la Ley 1581 de 2012, la Corte Constitucional mediante Sentencia C-748 de 2011 aclaró la diferencia entre ellos así:

“(...)

Constitucionalidad de los literales d) y e): definiciones de encargado y responsable de tratamiento del dato

En los literales d) y e) del artículo 3, se hace expresa mención al encargado y al responsable del dato, respectivamente. La Sala observa que la diferenciación de estos dos sujetos era determinante, por cuanto de ello depende el ámbito de sus deberes, enumerados en el título VI del proyecto, de modo que dichas definiciones están ligadas al principio de legalidad en materia sancionatoria y son una garantía para el titular del dato respecto de quién es obligado a cumplir diferentes prerrogativas que se desprenden del habeas data.

Sin embargo, se debe señalar desde ahora, al igual que se indicó en la sentencia C-1011 de 2008, que todos los principios de la administración de datos personales identificados en este proyecto -los cuales serán estudiados en otro acápite- son oponibles a todos los sujetos involucrados en el tratamiento del dato, entiéndase en la recolección, circulación, uso, almacenamiento, supresión, etc., sin importar la denominación que los sujetos adquieran, es decir, llámense fuente, responsable del tratamiento, operador, encargado del tratamiento o usuario, entre otros. Hechas estas aclaraciones, pasa la Sala a examinar la constitucionalidad de las definiciones.

El proyecto define al encargado del tratamiento como la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realiza el tratamiento de datos personales por cuenta del responsable del tratamiento. Por otro lado, el responsable del tratamiento es definido como la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decide sobre la base de datos y/o el tratamiento de los datos.

Estas definiciones parecen inspirarse en el derecho comunitario europeo, especialmente en la Directiva 95/46/CE y en el Dictamen 1/2010 del Grupo Consultivo sobre Protección de Datos, a las que vale la pena remitirnos por razones meramente ilustrativas y con el fin de acercamos al correcto entendimiento de uno y otro concepto, labor que a veces se torna difícil por el avance de las tecnologías de la información y otros retos que impone la globalización.

El Dictamen 1/2010 señala que lo que permite identificar al responsable de otros agentes que participan en el proceso, es que él es el que determina los fines y los medios esenciales del tratamiento de los datos. También indica en relación con los medios, que se hablará de responsable cuando el sujeto realice un control o determine elementos esenciales de los medios, tales como el tiempo que los datos deben permanecer almacenados, la forma cómo se hará su uso o se pondrán en circulación, el acceso a los mismos etc. Por su parte, precisa que el encargado es quien realiza el tratamiento por cuenta del responsable, es decir, por delegación y, por tanto, es natural y jurídicamente distinto del responsable.

Los criterios de (i) definición de los fines y medios del tratamiento del dato personal y (ii) existencia de delegación, también resultan útiles en nuestro caso para establecer la diferencia entre responsable y encargado. Ciertamente, el concepto “decidir sobre el tratamiento” empleado por el literal e) parece coincidir con la posibilidad de definir jurídica y materialmente- los fines y medios del tratamiento. Usualmente, como reconocen varias legislaciones, el responsable es el propietario de la base de datos; sin embargo, con el fin de no limitar la exigibilidad de las obligaciones que se desprenden del habeas data, la Sala observa que la definición del proyecto de ley es amplia y no se restringe a dicha hipótesis. Así, el concepto de responsable puede cobijar tanto a la fuente como al usuario, en los casos en los que dichos agentes tengan la posibilidad de decidir sobre las finalidades del tratamiento y los medios empleados para el efecto, por ejemplo, para ponerlo en circulación o usarlo de alguna manera.

De otro lado, el criterio de delegación coincide con el término “por cuenta de” utilizado por el literal e), lo que da a entender una relación de subordinación del encargado al responsable, sin que ello implique que se exima de su responsabilidad frente al titular del dato.

(...)

Ahora bien, vale la pena advertir que el encargado del tratamiento no puede ser el mismo responsable, pues se requiere que existan dos personas identificables e independientes, natural y jurídicamente, entre las cuales una -el responsable- le señala a la otra -el encargado- como quiere el procesamiento de unos determinados datos. En este orden, el encargado recibe unas instrucciones sobre la forma como los datos serán administrados. (... )

(...)

Establecida la diferencia entre responsable y encargado, la Sala observa, en primer lugar, que las definiciones de los literales d) y e) representan ejercicio legítimo de la libertad de configuración del legislador estatutario justificada en la forma cómo se desarrolla el tratamiento del dato, y en segunda lugar, que la clasificación tiene además utilidad desde el punto de vista constitucional, esta es, definir el régimen de responsabilidades y obligaciones de quienes participan en el tratamiento del dato personal.

En efecto, de acuerdo con las definiciones acogidas por el proyecto de ley, los responsables del tratamiento tienen mayores compromisos y deberes frente al titular del dato, pues son los llamados a garantizar en primer lugar el derecho fundamental al habeas data, así como las condiciones de seguridad para impedir cualquier tratamiento ilícito del dato. La calidad de responsable igualmente impone un haz de responsabilidades, específicamente en lo que se refiere a la seguridad y a la confidencial idad de los datos sujetos a tratamiento.

En la sentencia C-1011 de 2008, se señaló que en la administración de datos personales es posible identificar varias etapas, cuya diferenciación permite adscribir determinados niveles de responsabilidad a los sujetos que participan de él. Así, por ejemplo, sobre la calidad de la información, el encargado del tratamiento tendrá deberes de diligencia y cuidado en la medida en que como lo consagra el proyecto de ley, está obligado a realizar de forma oportuna, la actualización, rectificación o supresión del dato, según el caso, literal c) del artículo 18.

En esa línea, lo importante para una verdadera garantía del derecho al habeas data, es que se pueda establecer de manera clara la responsabilidad de cada sujeto o agente en el evento en que el titular del dato decida ejercer sus derechos. Cuando dicha determinación no exista o resulte difícil llegar a ella, las autoridades correspondientes habrán de presumir la responsabilidad solidaria de todos, aspecto éste sobre el que guarda silencio el proyecto de ley y que la Corte debe afirmar como una forma de hacer efectiva la protección a la que se refiere el artículo 15 de la Carta.”

Por lo anterior, el responsable del tratamiento de los datos personales es la persona natural o jurídica que decide sobre las finalidades del tratamiento y los medios empleados para el efecto, por ejemplo, para ponerlo en circulación o usarlo de alguna manera o su acceso y el encargado es la persona natural o jurídica que realiza el tratamiento de los datos personales por instrucción del responsable.

El artículo 17 de la ley 1581 de 2012 señala los siguientes deberes para los responsables del tratamiento de datos personales así:

“Deberes de los Responsables del Tratamiento. Los Responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data.

b) Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular.

c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.

d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

e) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.

f) Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a éste se mantenga actualizada.

g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.

h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley.

i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.

j) Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley.

k) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos.

l) Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.

m) Informar a solicitud del Titular sobre el uso dado a sus datos.

n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.”

En concordancia con lo anterior, es importante mencionar el deber que tienen los responsables de fijar las políticas de tratamiento de datos personales y, para ello, el artículo 2.2.2.25.3.1., del Decreto 1074 de 2015 señala lo siguiente:

“Políticas de Tratamiento de la información. Los responsables del tratamiento deberán desarrollar sus políticas para el tratamiento de los datos personales y velar porque los Encargados del Tratamiento den cabal cumplimiento a las mismas.

Las políticas de tratamiento de la información deberán constar en medio físico o electrónico, en un lenguaje claro y sencillo y ser puestas en conocimiento de los Titulares. Dichas políticas deberán incluir, por lo menos, la siguiente información.

1. Nombre o razón social, domicilio, dirección, correo electrónico, teléfono del Responsable.

2. Tratamiento al cual serán sometidos los datos y finalidad del mismo cuando esta no se haya informado mediante el aviso de privacidad.

3. Derechos que le asisten como Titular.

4. Persona o área responsable de la atención de peticiones, consultas y reclamos ante laI cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización.

5. Procedimiento para que los tiulares de la información puedan e ercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización.

6. Fecha de entrada en v gencia de la política de tratamiento de la información y período de vigencia de la base de datos.

Cualquier cambio sustancial en las políticas de tratamiento, en los términos descritos en el artículo 2.2.2.25.2.2., del presente Decreto deberá ser comunicado oportunamente a los titulares de los datos personales de una manera eficiente, antes de implementar las nuevas políticas.”

Por lo anterior, los responsables tienen la obligación de desarrollar las políticas para el tratamiento de los datos personales, las cuales deben constar en medio físico o electrónico y ser puestas en conocimiento de los titulares. Dichas políticas deberán contener los deberes de los responsables señalados en el artículo 17 de la Ley 1581 de 2012 y la información del artículo 2.2.2.25.3.1., del Decreto 1074 de 2015.

6. REGISTRO NACIONAL DE BASES DE DATOS.

El artículo 25 de la Ley 1581 de 2012 señala lo siguiente:

“Definición. El Registro Nacional de Bases de Datos es el directorio público de las bases de datos sujetas a Tratamiento que operan en el país.

El registro será administrado por la Superintendencia de Industria y Comercio y será de libre consulta para los ciudadanos.

Para realizar el registro de bases de datos, los interesados deberán aportar a la Superintendencia de Industria y Comercio las políticas de tratamiento de la información, las cuales obligarán a los responsables y encargados del mismo, y cuyo incumplimiento acarreará las sanciones correspondientes. Las políticas de Tratamiento en ningún caso podrán ser inferiores a los deberes contenidos en la presente ley.

Parágrafo. El Gobierno Nacional reglamentará, dentro del año siguiente a la promulgación de la presente Ley, la información mínima que debe contener el Registro, y los términos y condiciones bajo los cuales se deben inscribir en éste los Responsables del Tratamiento.”

Dicho artículo fue reglamentado mediante el artículo 2.2.2.26.1.2., del Decreto 1074 de 2015, que incorpora el Decreto 886 de 2014 y en el que se determina qué bases de datos deben ser inscritas en el Registro Nacional de Bases de datos:

“Ámbito de aplicación. Serán objeto de inscripción en el Registro Nacional de Bases de Datos, las bases de datos que contengan datos personales cuyo Tratamiento automatizado o manual se realice por personas naturales o jurídicas, de naturaleza pública o privada, en el territorio colombiano o fuera de él, en este último caso, siempre que al Responsable del Tratamiento o al Encargado del Tratamiento le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales. Lo anterior sin perjuicio de las excepciones previstas en el artículo 2 de la Ley 1581 de 2012.”

De acuerdo con lo cual, todas las bases que sean reguladas por la Ley 1581 de 2012 deben ser inscritas en el Registro Nacional de Bases de Datos, sin importar si el Responsable o Encargado del Tratamiento son entidades de naturaleza pública o privada y personas naturales o jurídicas, deben ser objeto de inscripción en el Registro.

Por otra parte, respecto de la información mínima que debe contener el Registro Nacional de Bases de Datos el artículo 2.2.2.26.2.1., del Decreto 1074 de 2015 establece:

“Información mínima del Registro Nacional de Bases de Datos. La información mínima que debe contener el Registro Nacional de Bases de Datos es la siguiente:

  1. Datos de identificación, ubicación y contacto del Responsable del Tratamiento de la base de datos;
  2. Datos de identificación, ubicación y contacto del o de los Encargados del Tratamiento de la base de datos;
  3. Canales para que los titulares ejerzan sus derechos;
  4. Nombre y finalidad de la base de datos;
  5. Forma de Tratamiento de la base de datos (manual y/o automatizada), y
  6. Política de Tratamiento de la información.

La Superintendencia de Industria y Comercio, como autoridad de protección de datos personales, podrá establecer dentro del Registro Nacional de Bases de Datos información adicional a la mínima prevista en este artículo, acorde con las facultades que le atribuyó la Ley 1581 de 2012 en el literal h) del artículo 21.”

En concordancia con lo anterior, esta Superintendencia expidió la Circular Externa 002 del 3 de noviembre de 2015 en la que se imparten instrucciones sobre el Registro Nacional de Bases de Datos para personas jurídicas de naturaleza privada inscritas en las Cámaras de Comercio y sociedades de economía mixta, entre ellas, la información adicional a la señalada en el artículo 2.2.2.26.2.1. del Decreto 1074 de 2015, que debe inscribirse en los siguientes términos:

a) Información amacenada en base de datos. Es la casificación de los datos personales almacenados en cada base de datos, agrupados por categorías y subcategorías, de acuerdo con la naturaleza de los mismos.

b) Medidas de seguridad de la información. Corresponde a los controles implementados por el Responsable del Tratamiento para garantizar la seguridad de las bases de datos que está registrando, teniendo en cuenta las preguntas dispuestas para el efecto en el RNBD. Tales preguntas no constituyen de ninguna manera instrucciones acerca de las medidas de seguridad que deben implementar los Responsables del Tratamiento de datos personales.

c) Procedencia de los datos personales. La procedencia de los datos se refiere a s estos son recolectados del Titular de la información o suministrados por terceros y si se cuenta con la autorización para el tratamiento o existe una causal de exoneración, de acuerdo con lo establecido en el artículo 10 de la Ley 1581 de 2012.

d) Tansferencia internacional de datos personales. La información relacionada con la Transferencia internacional de datos personales comprende la identificación del destinatario como Responsable del Tratamiento, el país en el que este se encuentra ubicado y si la operación está cobijada por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio o por una causal de excepción en los términos señalados en el artículo 26 de la Ley 1581 de 2012.

e)Tansmisión i ternacional de datos personales. La i formación relacionada con l l; Transmisión internacional de datos comprende la identificación del destinatario como Encargado del Tratamiento, el país en el que este se encuentra ubicado, si se tiene un contrato de transmisión de datos en los términos señalados en el artículo 2.2.2.25.5.2 de la Sección 5 del Capítulo 25 del Decreto Único 1074 de 2015 o si la operación está cobijada por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio.

f) Cesión o transferencia nacional de la base de datos. La información relacionada con la cesión o transferencia nacional de datos incluye la identificación del cesionario, quien se considerará Responsable del Tratamiento de la base de datos cedida a partir del momento en que se perfeccione la cesión. No es obligatorio para el cedente registrar la cesión de la base de datos. Sin embargo, el cesionario, como Responsable del Tratamiento, debe cumplir con el registro de la base de datos que le ha sido cedida.

g) Reporte de novedades. Una vez finalizada la inscripción de la base de datos en e E RNBD, se reportarán como novedades los reclamos presentados por los Titulares y los incidentes de seguridad que afecten la base de datos, de acuerdo con las siguientes reglas:

(i) Reclamos resentados por los Titulares. Corresponde a la información de los reclamos presentados por los Titulares ante el Responsable y/o el Encargado del Tratamiento, según sea el caso, dentro de un semestre calendario (enero – junio y julio - diciembre). Esta información se reportará teniendo en cuenta lo manifestado por los Titulares y los tipos de reclamos prestablecidos en el registro. El reporte deberá ser el resultado de consolidar los reclamos presentados por los Titulares ante el Responsable y el (los) Encargado (s) del Tratamiento.

(ii) Incidentes de seguridad. Se refiere a la violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información de una base de datos administrada por el Responsable del Tratamiento o por su Encargado, que deberán reportarse al RNBD dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.

La información relacionada con las medidas de seguridad, los reclamos presentados por los Titulares y los incidentes reportados por los Responsables del Tratamiento no estará disponible para consulta pública”.

Así mismo, la precitada Circular Externa señala el procedimiento para realizar el Registro Nacional de Bases de Datos, el cual deberá hacerse de acuerdo a las instrucciones contenidas en el “Manual del Usuario del Registro Nacional de Bases de Datos - RNBD” publicado en el sitio Web de la Superintendencia de Industria y Comercio, www.sic.gov.co

La inscripción se realizará en línea a partir del 9 de noviembre de 2015 en el portal Web de esta entidad www.sic.gov.co ingresa por el micrositio de “Protección de datos personales” ubicado en la barra horizontal superior, luego “Sobre la Protección de Datos Personales” y, finalmente, “Registro Bases de Datos”, en el menú vertical que se encuentra al lado izquierdo.

Ahora bien, el artículo 2.2.2.26.3.1. del Decreto 1074 de 2015 establece lo siguiente:

“Plazo de inscripción. Los Responsables del Tratamiento deberán inscribir sus bases de datos en el Registro Nacional de Bases de Datos dentro del año siguiente a la fecha en que la Superintendencia de Industria y Comercio habilite dicho registro, de acuerdo con las instrucciones que para el efecto imparta esa entidad. Las bases de datos que se creen con posterioridad a ese plazo, deberán inscribirse dentro de los dos (2) meses siguientes a partir de su creación.”

De acuerdo con lo cual, existirán dos plazos para la inscripción de una base de datos en el Registro Nacional de Bases de Datos:

  • Para las bases de datos que existen a momento de la habilitación del mismo por parte de la Superintendencia de Industria y Comercio, será dentro del año siguiente a la fecha de la entrada en funcionamiento del Registro.
  • Para las bases de datos creadas luego de la entrada en funcionamiento del Registro serán dos (2) meses desde su creación.

En todo caso, esta Superintendencia señaló en la Circular Externa 002 de 2015 que para evitar el vencimiento de este plazo e inscribir las bases de datos oportunamente, se sugiere el siguiente cronograma:

ÚLTIMOS DÍGITOS NIT (SIN EL DÍGITO DE CONFIRMACIÓN)-PLAZO

De 00 a 24 Del 09/11//2015 a 08/02/2016

De 25 a 49 Del 09/02/2016 a 10/05/2016

De 50 a 74 Del 06/05/2016 a 08/08/2016

De 75 a 99 Del 09/08/2016 a 08/11/2016

Para obtener mayor información sobre el Registro Nacional de Bases de Datos puede ingresar a nuestra página web www.sic.gov.co escoge el icono de “Protección de Datos Personales” que se encuentra en la parte superior de la página, y allí escoge ““Sobre Protección de Datos Personales”, al lado izquierdo encuentra el icono “Registro Nacional de Bases de Datos”, allí encontrará la Circular Externa 002 de 2015, el Manual del Usuario del Registro Nacional de Bases de Datos –RNBD –, la inscripción y un video tutorial.

Si requiere mayor información sobre el desarrollo de nuestras funciones y sobre las normas objeto de aplicación por parte de esta entidad, puede consultar nuestra página de internet www.sic.gov.co

Atentamente,

WILLIAM ANTONIO BURGOS DURANGO

Jefe Oficina Asesora Jurídica

×
Volver arriba