CONCEPTO 387382 DE 2023

(octubre)

<Fuente: Archivo interno entidad emisora>

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

Bogotá D.C., octubre de 2023

Asunto:	Radicación:	23-387382
Trámite:		113
Evento:		0
Actuación:		440
Folios:		8

Reciba cordial saludo

De conformidad con lo previsto en el artículo 28 de la Ley 1437 de 2011, sustituido por el artículo 1 de la Ley 1755 de 2015, “por medio de la cual se regula el Derecho Fundamental de Petición y se sustituye un título del Código de Procedimiento Administrativo y de lo Contencioso Administrativo”, fundamento jurídico sobre el cual se funda la consulta objeto de la solicitud, procede la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO a emitir un pronunciamiento, en los términos que a continuación se pasan a exponer:

1. OBJETO DE LA CONSULTA

Atendiendo su solicitud radicada ante esta Entidad en la cual señala:

“Somos un jardín infantil que tenemos servicio de rutas. Una de las familias de usuarias de las rutas nos est exigiendo compartir la ubicación de la ruta, desde el momento que el bus sale del jardín, pero que antes de entregar a la niña tenemos 3 niños más, los cuales no han autorizado el manejo de sus datos ni de su ubicación. La solicitud es, que si nos pueden dar orientación o nos comparten la norma donde explica el porque (sic) no est permitido o es ilegal compartir esta información y más teniendo en cuenta que son niños menores de 5 años (...)”

Nos permitimos realizar las siguientes precisiones:

2. CUESTIÓN PREVIA

Reviste de gran importancia precisar en primer lugar que la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO a través de su Oficina Asesora Jurídica no le asiste la facultad de dirimir situaciones de carácter particular, debido a que, una lectura en tal sentido implicaría la flagrante vulneración del debido proceso como garantía constitucional.

Al respecto, la CORTE CONSTITUCIONAL ha establecido en la Sentencia C-542 de 2005:

“Los conceptos emitidos por las entidades en respuesta a un derecho de petición de consulta no constituyen interpretaciones autorizadas de la ley o de un acto administrativo. No pueden reemplazar un acto administrativo. Dada la naturaleza misma de los conceptos, ellos se equiparán a opiniones, a consejos, a pautas de acción, a puntos de vista, a recomendaciones que emite la administración pero que dejan al administrado en libertad para seguirlos o no.

Ahora bien, una vez realizadas las anteriores precisiones, se suministrarán las herramientas de información y elementos conceptuales necesarios que le permitan absolver las inquietudes por usted manifestadas, como sigue:

3. FACULTADES DE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO EN MATERIA DE PROTECCIÓN DE DATOS

La Ley 1581 de 2012, en su artículo 21 señala, entre otras, las siguientes funciones para esta Superintendencia:

- Velar por el cumplimiento de la legislación en materia de protección de datos personales;

- Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. Para el efecto, siempre que se desconozca el derecho, podrá disponer que se conceda el acceso y suministro de los datos, la rectificación, actualización o supresión de los mismos;

- Promover y divulgar los derechos de las personas en relación con el Tratamiento de datos personales e implementara campañas pedagógicas para capacitar e informar a los ciudadanos acerca del ejercicio y garantía del derecho fundamental a la protección de datos;

- Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los responsables del tratamiento y encargados del tratamiento a las disposiciones previstas en la presente ley;

- Solicitar a los responsables del tratamiento y encargados del tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones.

4. CONSIDERACIONES EN TORNO A LA CONSULTA PRESENTADA

El fundamento del derecho constitucional de hábeas data, es otorgar el derecho a los titulares de los datos personales, de conocer, actualizar y rectificar sus datos personales frente a los responsables del tratamiento o encargados del tratamiento. Este derecho se podrá ejercer, entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.

El tratamiento de los datos personales solo puede realizarse cuando exista la autorización previa, expresa e informada del titular o por mandato legal con el fin de permitirle que se garantice que en todo momento y lugar pueda conocer en dónde está su información personal, para qué propósitos ha sido recolectada y qué mecanismos tiene a su disposición para su actualización y rectificación.

Los responsables pueden realizar cualquier tratamiento de datos personales, es decir, la recolección, el uso, el almacenamiento, la supresión o cualquier operación de los mismos, siempre y cuando sean necesarios y pertinentes para el cumplimiento de una finalidad legítima y cuenten con la autorización del titular o por mandato legal.

El tratamiento, esto es, la recolección, el uso, el almacenamiento, la circulación y/o la supresión de los datos personales de los niños, niñas y adolescentes podrá hacerse cuando se trate de datos de naturaleza pública y cuando cumpla los requisitos de respetar el interés superior de los niños, niñas y adolescentes y que se asegure el respeto de sus derechos fundamentales.

A continuación, procedemos a mencionar las consideraciones de orden constitucional, legal, jurisprudencial y doctrinal, en el marco del interrogante planteado en su solicitud.

4.1. DEFINICIÓN Y TRATAMIENTO DE DATOS PERSONALES

Para el tratamiento de datos personales, es necesario tener en cuenta el principio de libertad, definido en el literal c) del artículo 4 de la Ley 1581 de 2012 así:

El literal c) del artículo 3 de la Ley 1581 de 2012 define el dato personal en los siguientes términos: “Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.”

De esta manera, el dato personal es cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables que cumplen con las siguientes características: (i) están referidos a aspectos exclusivos y propios de una persona natural, ii) permiten identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.

el tratamiento de los datos personales de los niños, niñas y adolescentes podrá hacerse cuando se trate de datos de naturaleza pública y cuando cumpla los requisitos de respetar el interés superior de los niños, niñas y adolescentes y que se asegure el respeto de sus derechos fundamentales. Lo anterior, sin perjuicio de lo señalado por la Corte Constitucional en el entendido que no existe una prohibición absoluta en el tratamiento de los datos de los niños, niñas y adolescentes, pues ello, daría lugar a la negación de otros derechos superiores de esta población, interpretación ésta que no se encuentra conforme con la Constitución.

4.2. TRATAMIENTO DE DATOS DE NIÑOS, NIÑAS Y ADOLESCENTES

El artículo 7 de la Ley 1581 de 2012 señala lo siguiente:

"Derechos de los niños, niñas y adolescentes. En el Tratamiento se asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes.

Queda proscrito el Tratamiento de datos personales de niños, niñas y adolescentes, salvo aquellos datos que sean de naturaleza pública. Es tarea del Estado y las entidades educativas de todo tipo proveer información y capacitar a los representantes legales y tutores sobre los eventuales riesgos a los que se enfrentan los niños, niñas y adolescentes respecto del Tratamiento indebido de sus datos personales, y proveer de conocimiento acerca del uso responsable y seguro por parte de niños, niñas y adolescentes de sus datos personales, su derecho a la privacidad y protección de su información personal y la de los demás. El Gobierno Nacional reglamentará la materia, dentro de los seis (6) meses siguientes a la promulgación de esta Ley".

En concordancia con lo anterior, el artículo 2.2.2.25.2.9., del Decreto 1074 de 2015 señala los requisitos especiales para el tratamiento de los datos personales de los niños, niñas y adolescentes en los siguientes términos:

“Artículo 12. Requisitos especiales para el Tratamiento de datos personales de niños niñas y adolescentes. El Tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, de conformidad con lo establecido en el artículo 7 de la Ley 1581 de 2012 y cuando dicho Tratamiento cumpla con los siguientes parámetros y requisitos:

1. Que responda y respete el interés superior de los niños, niñas y adolescentes.

2. Que se asegure el respeto de sus derechos fundamentales.

Cumplidos los anteriores requisitos, el representante legal del niño, niña o adolescente otorgará la autorización previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.

Todo Responsable y Encargado involucrado en el Tratamiento de los datos personales de niños, niñas y adolescentes, deberá velar por el uso adecuado de los mismos. Para este fin deberán aplicarse los principios y obligaciones establecidos en la Ley 1581 de 2012 y presente capítulo.

La familia y la sociedad deben velar porque los Responsables y Encargados del Tratamiento de los datos personales de los menores de edad cumplan las obligaciones establecidas en la Ley 1581 de 2012 y presente capítulo ".

En consecuencia, el tratamiento de los datos personales de los niños, niñas y adolescentes podrá hacerse cuando se trate de datos de naturaleza pública y cuando cumpla los requisitos de respetar el interés superior de los niños, niñas y adolescentes y que se asegure el respeto de sus derechos fundamentales. Lo anterior, sin perjuicio de lo señalado por la Corte Constitucional en el entendido que no existe una prohibición absoluta en el tratamiento de los datos de los niños, niñas y adolescentes, pues ello, daría lugar a la negación de otros derechos superiores de esta población, interpretación ésta que no se encuentra conforme con la Constitución.

Para el tratamiento de datos personales, es necesario tener en cuenta el principio de libertad, definido en el literal c) del artículo 4 de la Ley 1581 de 2012 así:

"c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento."

Al respecto, la Corte Constitucional mediante Sentencia C-748 de 2011 señaló lo siguiente:

"[P]rincipio de libertad: El tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

Este principio, pilar fundamental de la administración de datos, permite al ciudadano elegir voluntariamente si su información personal puede ser utilizada o no en bases de datos. También impide que la información ya registrada de un usuario, la cual ha sido obtenida con su consentimiento, pueda pasar a otro organismo que la utilice con fines distintos para los que fue autorizado inicialmente.

El literal c) del Proyecto de Ley Estatutaria no sólo desarrolla el objeto fundamental de la protección del habeas data, sino que se encuentra en íntima relación con otros derechos fundamentales como el de intimidad y el libre desarrollo de la personalidad. En efecto, el ser humano goza de la garantía de determinar qué datos quiere sean conocidos y tiene el derecho a determinar lo que podría denominarse su “imagen informática”.

(...)

En materia de manejo de información personal, el consentimiento exigido es además, calificado, por cuanto debe ser previo, expreso e informado. Sobre el particular, en la Sentencia C-1011 de 2008 se sostuvo que tales características concretan la libertad del individuo frente al poder informático

(...)

En relación con el carácter previo, la autorización debe ser suministrada, en una etapa anterior a la incorporación del dato. (...)

En relación con el carácter expreso, la autorización debe ser inequívoca, razón por la cual, al contrario de lo sostenido por algunos intervinientes, no es posible aceptarse la existencia, dentro del ordenamiento jurídico colombiano, de un consentimiento tácito. (...)

En relación con el carácter informado, el titular no sólo debe aceptar el Tratamiento del dato, sino también tiene que estar plenamente consciente de los efectos de su autorización. (...)

Por lo anterior, el tratamiento de los datos personales solo puede realizarse cuando exista la autorización previa, expresa e informada del titular, con el fin de permitirle que se garantice que en todo momento y lugar pueda conocer en dónde está su información personal, para qué propósitos ha sido recolectada y qué mecanismos tiene a su disposición para su actualización y rectificación.

Respecto a la autorización el artículo 2.2.2.25.2.2., del Decreto 1074 de 2015 señala lo siguiente:

"Autorización. El Responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento."

En concordancia con lo anterior, el artículo 2.2.2.25.2.4., del precitado decreto dispone:

“Modo de obtener la autorización. Para efectos de dar cumplimiento a lo dispuesto en el artículo 9 de la Ley 1581 de 2012, los Responsables del Tratamiento de datos personales establecerán mecanismos para obtener la autorización de los titulares o de quien se encuentre legitimado de conformidad con lo establecido en el artículo 2.2.2.25.4.1., del presente Decreto, que garanticen su consulta. Estos mecanismos podrán ser predeterminados a través de medios técnicos que faciliten al Titular su manifestación automatizada.

Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (í) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.”

Por lo anterior, los responsables del tratamiento de los datos personales deben obtener la autorización por parte del titular a más tardar al momento de su recolección informándole la finalidad específica del tratamiento de los mismos, y debe utilizar mecanismos que garanticen su consulta posterior.

Se entiende que el titular de la información ha dado su autorización para el tratamiento de los datos personales cuando: (i) sea por escrito; (ii) sea oral o (iii) mediante conductas inequívocas, es decir, aquellas que no admiten duda o equivocación, del titular que permitan concluir de forma razonable que otorgó la autorización. El silencio no puede asimilarse a una conducta inequívoca. Cuando se trate de datos personales sensibles la autorización para el tratamiento de tales datos deberá hacerse de manera explícita.

En conclusión, el tratamiento, esto es, la recolección, el uso, el almacenamiento, la circulación y/o la supresión de los datos personales de los niños, niñas y adolescentes podra hacerse cuando se trate de datos de naturaleza pública y cuando cumpla los requisitos de respetar el interés superior de los niños, niñas y adolescentes y que se asegure el respeto de sus derechos fundamentales. Lo anterior, sin perjuicio de lo señalado por la Corte Constitucional en el entendido que no existe una prohibición absoluta en el tratamiento de los datos de los niños, niñas y adolescentes, pues ello, daría lugar a la negación de otros derechos superiores de esta población, interpretación ésta que no se encuentra conforme con la Constitución.

El representante legal otorgará la autorización para el tratamiento de los datos personales, una vez, se haya ejercido el derecho del menor a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.

Se entiende que el representante legal del niño, niña o adolescente ha dado su autorización para el tratamiento de sus datos personales cuando: (i) sea por escrito; (ii) sea oral o (iii) mediante conductas inequívocas, es decir, aquellas que no admiten duda o equivocación, del titular que permitan concluir de forma razonable que otorgó la autorización. El silencio no puede asimilarse a una conducta inequívoca. Cuando se trate de datos personales sensibles la autorización para el tratamiento de tales datos deberá hacerse de manera explícita.

En ese orden de ideas, esperamos haber atendido satisfactoriamente su consulta, reiterándole que la misma se expone bajo los parámetros del artículo 28 de la Ley 1437 de 2011, esto es, bajo el entendido que la misma no compromete la responsabilidad de esta Superintendencia ni resulta de obligatorio cumplimiento ni ejecución.

En la Oficina Asesora Jurídica de la Superintendencia de Industria y Comercio estamos comprometidos con nuestros usuarios para hacer de la atención una experiencia de calidad. Por tal razón le invitamos a evaluar nuestra gestión a través del siguiente link http://www.encuestar.com.co/index.php/2100?lang=esQ

Finalmente le informamos que algunos conceptos de interés general emitidos por la Oficina Jurídica, los puede consultar en nuestra http://www.sic.gov.co/Doctrina-1

Atentamente,

MARIA ISABEL SALAZAR ROJAS

Jefe Oficina Asesora Jurídica