CONCEPTO 280700 DE 2015
(enero 12)
<Fuente: Archivo interno entidad emisora>
SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO
Señora
MARIA CATALINA JACOME CLAVIJO
rosoriog@coralydelgadoabogados.com
| Asunto: | Radicación: | 15-280700- -00001-0000 |
| Trámite: | 113 | |
| Evento: | 0 | |
| Actuación: | 440 | |
| Folios: | 1 | |
Estimado(a) Señora:
Con el alcance previsto en el artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, damos respuesta a su comunicación radicada en esta Entidad con el número que se indica en el asunto, en los siguientes términos:
Manifiesta en su escrito lo siguiente: “Tengo una compañía que presta servicios de manejo de mensajes de texto con operadores de telefonía celular. Necesariamente manejamos bases de datos de clientes, proveedores y empleados. Estoy en el proceso de ajustarme a las disposiciones legales sobre la materia. Pero estudiando el decreto 1377 de 2013, encuentro dos conceptos, i) Política de Tratamiento de Base de Datos y ii) Aviso de Privacidad. Tengo la duda de cuál de los dos documentos debo elaborar para informar a los terceros sobre el tratamiento que debo darle a las bases de datos que con ocasión de mi negocio manejamos”
A continuación nos permitimos suministrarle información relevante en relación con el tema de la consulta, con el fin de brindarle mayores elementos de juicio al respecto. Lo anterior, teniendo en cuenta que esta oficina mediante un concepto no puede solucionar situaciones particulares.
El artículo 17 de la Ley 1581 de 2012 señala, entre otras, el siguiente deber para los responsables del tratamiento:
“Deberes de los Responsables del Tratamiento. Los Responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:
(...)
k) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos.
(...)”
En concordancia con lo anterior, respecto el deber que tienen los responsables de fijar las políticas de tratamiento de datos personales y, para ello, el artículo 2.2.2.25.3.1., del Decreto 1074 de 2015 señala lo siguiente:
“Políticas de Tratamiento de la información. Los responsables del tratamiento deberán desarrollar sus políticas para el tratamiento de los datos personales y velar porque los Encargados del Tratamiento den cabal cumplimiento a las mismas.
Las políticas de tratamiento de la información deberán constar en medio físico o electrónico, en un lenguaje claro y sencillo y ser puestas en conocimiento de los Titulares. Dichas políticas deberán incluir, por lo menos, la siguiente información.
1. Nombre razón social, domicilio, dirección, correo electrónico teléfono el Responsable.
2. Tratamiento al cual serán sometidos los datos y finalidad del mismo cuando esta no se haya informado mediante el aviso de privacidad.
3. Derechos que le asisten como Titular.
4. Persona o área responsable de la atención de peticiones, consultas y reclamos ante laI cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización.
5. Procedimiento para que los tiulares de la información puedan e ercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización.
6. Fecha de entrada en v gencia de la política de tratamiento de la información y período de vigencia de la base de datos.
Cualquier cambio sustancial en las políticas de tratamiento, en los términos descritos en el artículo 2.2.2.25.2.2. del presente Decreto deberá ser comunicado oportunamente a los titulares de los datos personales de una manera eficiente, antes de implementar las nuevas políticas.”
En consecuencia, los responsables tienen la obligación de desarrollar las políticas para el tratamiento de los datos personales, las cuales deben constar en medio físico o electrónico y ser puestas en conocimiento de los titulares. Dichas políticas deberán contener los deberes de los responsables señalados en el artículo 17 de la Ley 1581 de 2012 y la información relacionada, entre otras, con la finalidad y clase de tratamiento al que serán sometidos los datos personales.
Respecto al principio de finalidad es preciso mencionar lo siguiente:
El literal b) del articulo 4 de la mencionada ley define el principio de finalidad así: \" b) Principio de finalidad: el tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, la cual debe ser informada al titular\".
Al respecto, la Corte Constitucional mediante Sentencia C-748 de 2011 señaló lo siguiente:
\"Principio de finalidad: En virtud de tal principio, el tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, la cual debe ser informada al titular.
La definición establecida por el legislador estatutario responde a uno de los criterios establecidos por la Corporación para el manejo de las bases de datos. Sin embargo, debe hacerse algunas precisiones.
Por una parte, los datos personales deben ser procesados con un propósito específico y explícito. En ese sentido, la finalidad no sólo debe ser legítima sino que la referida información se destinará a realizar los fines exclusivos para los cuales fue entregada por el titular. Por ello, se deberá informar al Titular del dato de manera clara, suficiente y previa acerca de la finalidad de la información suministrada y por tanto, no podrá recopilarse datos sin la clara especificación acerca de la finalidad de los mismos. Cualquier utilización diversa, deberá ser autorizada en forma expresa por el Titular.
Esta precisión es relevante en la medida que permite un control por parte del titular del dato, en tanto le es posible verificar si está haciendo usado para la finalidad por él autorizada. Es una herramienta útil para evitar arbitrariedades en el manejo de la información por parte de quien trata el dato.
Así mismo, los datos personales deben ser procesados sólo en la forma que la persona afectada puede razonablemente prever. Si, con el tiempo, el uso de los datos personales cambia a formas que la persona razonablemente no espera, debe obtenerse el consentimiento previo del titular.
Por otro lado, de acuerdo la jurisprudencia constitucional y los estándares internacionales relacionados previamente, se observa que el principio de finalidad implica también: (i) un ámbito temporal, es decir que el periodo de conservación de los datos personales no exceda del necesario para alcanzar la necesidad con que se han registrado y (ii) un ámbito material, que exige que los datos recaudados sean los estrictamente necesarios para las finalidades perseguidas.
En razón de lo anterior, el literal b) debe ser entendido en dos aspectos.
Primero, bajo el principio de necesidad se entiende que los datos deberán ser conservados en una forma que permita la identificación de los interesados durante un periodo no superior al necesario para los fines para los que fueron recogidos. Es decir, el periodo de conservación de los datos personales no debe exceder del necesario para alcanzar la necesidad con que se han registrado.
En la Sentencia C-1011 de 2008, la Corporación reiteró la importancia de la existencia de unos criterios razonables sobre la permanencia de datos personales en fuentes de información. Además, sostuvo que este periodo se encuentra en una estrecha relación con la finalidad que pretende cumplir. Así, a partir del estudio de la jurisprudencia, construyó una doctrina constitucional comprehensiva sobre la caducidad del dato negativo en materia financiera y concluyó que dentro de las prerrogativas mismas del derecho al habeas data, se encuentra esta garantía, como una consecuencia del derecho al olvido. Sobre el particular observó la providencia:
“De acuerdo con lo señalado en el artículo 15 Superior, la Corte identifica como facultades que conforman el contenido del derecho al hábeas data, las de (i) conocer la información personal contenida en las bases de datos, (ii) solicitar la actualización de dicha información a través de la inclusión de nuevos datos y (iii) requerir la rectificación de la información no ajustada a la realidad. Junto con las prerrogativas expuestas, la Corte, habida cuenta los precedentes jurisprudenciales anteriores que señalaban la necesidad de establecer un límite al reporte financiero negativo, estableció un nuevo componente del derecho al hábeas data, la de la caducidad del dato negativo.”
(...)
La Corte reitera que los procesos de administración de datos personales de contenido crediticio cumplen un propósito específico: ofrecer a las entidades que ejercen actividades de intermediación financiera y, en general, a los sujetos que concurren al mercado, información relacionada con el grado de cumplimiento de las obligaciones suscritas por el sujeto concernido, en tanto herramienta importante para adoptar decisiones sobre la suscripción de contratos comerciales y de crédito con clientes potenciales. Esta actividad es compatible con los postulados superiores, pues cumple con propósitos legítimos desde la perspectiva constitucional, como son la estabilidad financiera, la confianza en el sistema de crédito y la protección del ahorro público administrado por los establecimientos bancarios y de crédito.
Es precisamente la comprobación acerca de la finalidad específica que tienen los operadores de información financiera y crediticia la que, a su vez, permite determinar los límites al ejercicio de las actividades de acopio, tratamiento y divulgación de datos.” Segundo, los datos personales registrados deben ser los estrictamente necesarios para el cumplimiento de las finalidades perseguidas con la base de datos de que se trate, de tal forma que se encuentra prohibido el registro y divulgación de datos que no guarden estrecha relación con el objetivo de la base de datos. En consecuencia, debe hacerse todo lo razonablemente posible para limitar el procesamiento de datos personales al mínimo necesario. Es decir, los datos deberán ser: (i) adecuados, (ii) pertinentes y (iii) acordes con las finalidades para las cuales fueron previstos.\"
Por lo anterior, el tratamiento de los datos personales de un titular sólo puede hacerse para los casos autorizados de manera previa y expresa por éste cumpliendo con una finalidad legítima y destinada a realizar los fines exclusivos para los cuales fue entregada por el titular al responsable del tratamiento.
En consecuencia, cada responsable debe fijar sus políticas de tratamiento de datos personales de acuerdo a la finalidad específica que se requiera con el tratamiento de datos personales del titular.
El artículo 2.2.2.25.1.3. del Decreto 1074 de 2015, que incorpora el Decreto 1377 de 2013, define los avisos de privacidad en los siguientes términos:
“Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales”.
Por su parte, el artículo 2.2.2.25.3.2 del precitado decreto dispone lo siguiente:
“Aviso de privacidad. En los casos en los que no sea posible poner a disposición del Titular las políticas de Tratamiento de la Información, los Responsables deberán informar por medio de un Aviso de Privacidad al Titular sobre la existencia de tales políticas y la forma de acceder a las mismas, de manera oportuna y en todo caso a más tardar al momento de la recolección de los datos personales”.
En concordancia con lo anterior, el artículo 2.2.2.25.3.3. del mencionado decreto señala:
“Contenido mínimo del Aviso de Privacidad. El Aviso de Privacidad, como mínimo, deberá contener la siguiente información:
1. Nombre o razón social y datos de contacto del Responsable del Tratamiento.
2. El Tratamiento al cual serán sometidos los datos y la finalidad del mismo.
3. Los derechos que le asisten al Titular.
4. Los mecanismos dispuestos por el Responsable para que el Titular conozca la política de Tratamiento de la información y los cambios sustanciales que se produzcan en ella o en el Aviso de Privacidad correspondiente. En todos los casos, debe informar al Titular cómo acceder o consultar la política de Tratamiento de información.
No obstante lo anterior, cuando se recolecten datos personales sensibles, el Aviso de Privacidad deberá señalar expresamente el carácter facultativo de la respuesta a las preguntas que versen sobre este tipo de datos.
En todo caso, la divulgación del Aviso de Privacidad no eximirá al Responsable de la obligación de dar a conocer a los Titulares la política de Tratamiento de la información, de conformidad con lo establecido en este Decreto”.
Ahora bien, los responsables deben acreditar la puesta a disposición del aviso de privacidad en los términos del artículo 2.2.2.25.3.4. del citado decreto así:
“Deber de acreditar puesta a disposición del aviso de privacidad y las políticas de Tratamiento de la información. Los Responsables deberán conservar el modelo del Aviso de Privacidad que utilicen para cumplir con el deber que tienen de dar a conocer a los Titulares la existencia de políticas del Tratamiento de la información y la forma de acceder a las mismas, mientras se traten datos personales conforme al mismo y perduren las obligaciones que de este se deriven. Para el almacenamiento del modelo, el Responsable podrá emplear medios informáticos, electrónicos o cualquier otra tecnología que garantice el cumplimiento de lo previsto en la Ley 527 de 1999”.
El artículo 17 del mencionado decreto dispone los medios de difusión del aviso de privacidad así:
Medios de difusión del aviso de privacidad y de las políticas de Tratamiento de la información. Para la difusión del Aviso de Privacidad y de la política de Tratamiento de la información, el Responsable podrá valerse de documentos, formatos electrónicos, medios verbales o cualquier otra tecnología, siempre y cuando garantice y cumpla con el deber de informar al Titular.
Por lo anterior, el aviso de privacidad tiene como objeto que el responsable informe al titular de los datos personales sobre las politicas de tratamiento de información, la forma de acceder a ellas y la finalidad que se pretende con sus datos pesonales en el tratamiento, el cual puede ser difundido a través de documentos, formatos electrónicos, medios verbales o cualquier otra tecnología. Los responsables deberán conservar el modelo del aviso de privacidad por cualquier medio informatico, electrónico o cualquier otra tecnología que permita: (i) que la infromación se accesible para su posterior consulta; (ii) que el documento sea conservado en el formato en que se haya generado o en algún formato que permita demostrar que reproduce con exactitud la información; (iii) que se conserve, toda la información que permita determinar el origen, la fecha y la hora en que fue producido el documento.
4.1. Los responsables tienen la obligación de desarrollar las políticas para el tratamiento de los datos personales, esto es, la recoleccion, al almacenamiento, el uso, la circualcion y/o la supresión de los mismos, las cuales deben constar en medio físico o electrónico y ser puestas en conocimiento de los titulares. Dichas políticas deberán contener los deberes de los responsables señalados en el artículo 17 de la Ley 1581 de 2012 y la información relacionada, entre otras, con la finalidad y clase de tratamiento al que serán sometidos los datos personales
4.2. El aviso de privacidad tiene como objeto que el responsable informe al titular de los datos personales sobre las politicas de tratamiento de información, la forma de acceder a ellas y la finalidad que se pretende con sus datos pesonales en el tratamiento, el cual puede ser difundido a través de documentos, formatos electrónicos, medios verbales o cualquier otra tecnología.
Si requiere mayor información sobre el desarrollo de nuestras funciones y sobre las normas objeto de aplicación por parte de esta entidad, puede consultar nuestra página de internet www.sic.gov.co
Atentamente,
WILLIAM ANTONIO BURGOS DURANGO
Jefe Oficina Asesora Jurídica