CONCEPTO 420817 DE 2023

(octubre)

<Fuente: Archivo interno entidad emisora>

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

Bogotá D.C., octubre de 2023

Asunto:	Radicación:	23-420817
Trámite:		113
Evento:		0
Actuación:		440
Folios:		6

Reciba cordial saludo

De conformidad con lo previsto en el artículo 28 de la Ley 1437 de 2011, sustituido por el artículo 1 de la Ley 1755 de 2015, “por medio de la cual se regula el Derecho Fundamental de Petición y se sustituye un título del Código de Procedimiento Administrativo y de lo Contencioso Administrativo”, fundamento jurídico sobre el cual se sustenta la consulta objeto de la solicitud, procede la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO a emitir un pronunciamiento, en los términos que a continuación se pasan a exponer:

1. CUESTIÓN PREVIA

Reviste de gran importancia precisar en primer lugar que la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO a través de su Oficina Asesora Jurídica no le asiste la facultad de dirimir situaciones de carácter particular, debido a que, una lectura en tal sentido implicaría la flagrante vulneración del debido proceso como garantía constitucional.

Al respecto, la CORTE CONSTITUCIONAL ha establecido en la Sentencia C-542 de 2005:

“Los conceptos emitidos por las entidades en respuesta a un derecho de petición de consulta no constituyen interpretaciones autorizadas de la ley o de un acto administrativo. No pueden reemplazar un acto administrativo. Dada la naturaleza misma de los conceptos, ellos se equiparán a opiniones, a consejos, a pautas de acción, a puntos de vista, a recomendaciones que emite la administración pero que dejan al administrado en libertad para seguirlos o no.”

Ahora bien, una vez realizadas las anteriores precisiones, se suministrarán las herramientas de información y elementos conceptuales necesarios que le permitan absolver las inquietudes por usted manifestadas, como sigue:

2. FACULTADES DE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO EN MATERIA DE PROTECCIÓN DE DATOS

La Ley 1581 de 2012, en su artículo 21 señala, entre otras, las siguientes funciones para esta Superintendencia:

- Velar por el cumplimiento de la legislación en materia de protección de datos personales;

- Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. Para el efecto, siempre que se desconozca el derecho, podrá disponer que se conceda el acceso y suministro de los datos, la rectificación, actualización o supresión de estos;

- Promover y divulgar los derechos de las personas en relación con el Tratamiento de datos personales e implementara campañas pedagógicas para capacitar e informar a los ciudadanos acerca del ejercicio y garantía del derecho fundamental a la protección de datos;

- Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los responsables del tratamiento y encargados del tratamiento a las disposiciones previstas en la presente ley;

- Solicitar a los responsables del tratamiento y encargados del tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones.

A continuación, resolveremos los interrogantes de su consulta en los siguientes términos:

Primer interrogante y segundo interrogante

“1. El productor, distribuidor o comercializador que conozca sobre un bien sujeto a una campaña de servicio o seguridad (con posible afectación a la salud, la vida, seguridad e integridad de las personas) y esté obligado a contactar directa e inmediatamente a los consumidores: ÁPodrá (sic) contactarse con los consumidores finales que adquirieron el bien por cualquier vía, esto es, correo electrónico, mensajería electrónica y número telefónico o de celular, sin contar con la autorización, previa y expresa del titular del dato para esta finalidad, con el objetivo de garantizar la salud, vida, seguridad e integridad del titular que es a su vez el consumidor que adquirió un bien sujeto a una campaña de servicio o seguridad?

2. El productor, distribuidor o comercializador que conozca sobre una campaña de servicio o seguridad de un bien y esté obligado a informar directa e inmediatamente a los consumidores: ÁPodrá adoptar todos los esfuerzos, cuando no cuente con una base de datos actualizada de los consumidores finales que adquirieron el bien sujeto a una campaña de servicio y seguridad, como por ejemplo, adquirir bases de datos de terceros, del RUNT o compañías similares?""

Respuesta:

Para el tratamiento de datos personales, es necesario tener en cuenta el principio de libertad, definido en el literal c) del artículo 4 de la Ley 1581 de 2012 así:

"c) Principio de libertad: El Tratamiento solo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento."

Por lo anterior, el tratamiento de los datos personales solo puede realizarse cuando exista la autorización previa, es decir, debe recolectarse en una etapa anterior a su incorporación en la base de datos del responsable; expresa, es decir, que no exista duda o equivocación de su aceptación; e informada del titular, es decir, que conozca las finalidades específicas de tratamiento y los efectos de su consentimiento. Lo anterior, con el fin de permitirle que se garantice en todo momento y lugar que pueda conocer en dónde está su información personal, para qué propósitos ha sido recolectada y qué mecanismos tiene a su disposición para su actualización y rectificación.

Respecto a la autorización el artículo 2.2.2.25.2.2., del Decreto 1074 de 2015 señala lo siguiente:

"Autorización. El Responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento."

En concordancia con lo anterior, el artículo 2.2.2.25.2.4., del precitado decreto dispone:

“Modo de obtener la autorización. Para efectos de dar cumplimiento a lo dispuesto en el artículo 9 de la Ley 1581 de 2012, los Responsables del Tratamiento de datos personales establecerán mecanismos para obtener la autorización de los titulares o de quien se encuentre legitimado de conformidad con lo establecido en el artículo 2.2.2.2.5.4.1., del presente Decreto, que garanticen su consulta. Estos mecanismos podrán ser predeterminados a través de medios técnicos que faciliten al Titular su manifestación automatizada.

Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (í) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.”

Por lo anterior, los responsables del tratamiento de los datos personales deben obtener la autorización por parte del titular a más tardar al momento de su recolección informándole la finalidad específica del tratamiento de los mismos, y debe utilizar mecanismos que garanticen su consulta posterior.

Se entiende que el titular de la información ha dado su autorización para el tratamiento de los datos personales cuando: (i) sea por escrito; (ii) sea verbal o (iii) mediante conductas inequívocas, es decir, aquellas que no admiten duda o equivocación, del titular que permitan concluir de forma razonable que otorgó la autorización. El silencio no puede asimilarse a una conducta inequívoca.

Tercer interrogante

“3. Á Toda la información contenida en el RUNT es de carácter público, incluyendo, por ejemplo, el correo electrónico, la dirección de domicilio y número telefónico de una persona natural inscrita ante este registro?”

Respuesta:

De acuerdo con el artículo 9 de la Ley 769 de 2002 “Por la cual se expide el Código Nacional de Tránsito Terrestre y se dictan otras disposiciones”, toda la información contenida en el RUNT será de carácter público.

Ahora bien, el artículo 10 de la Ley 1581 de 2012, dispone que para los datos de naturaleza pública no es necesario la autorización del titular. Sin embargo, a pesar de no ser necesaria la autorización del titular para su uso por parte del responsable y/o encargado deberán en todo caso cumplir con las disposiciones de la Ley 1581 de 2012 y sus principios reglamentarios, en especial la aplicación de los siguientes principios rectores para el tratamiento de los datos personales, de conformidad con el artículo 4 de la Ley 1581 de 2012:

“Principios para el Tratamiento de datos personales. En el desarrollo, interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los siguientes principios:

a) Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen;

b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular;

c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento;

d) Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error;

e) Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan;

f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley;

Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley;

g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

h) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.”

De esta manera y en el marco de su consulta, frente al principio de finalidad, el literal b) del artículo 4 de la mencionada Ley 1581 de 2012 define el principio de finalidad así: "b) Principio de finalidad: el tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, la cual debe ser informada al titular".

Por lo anterior, el tratamiento de los datos personales de un titular solo puede hacerse cumpliendo con una finalidad legitima y destinada a realizar los fines exclusivos para los cuales fue entregada por el titular a cada uno de los responsables del tratamiento. Así mismo, debe tenerse en cuenta que el tratamiento de los datos personales debe ser necesario y pertinente.

Cuarto interrogante

“4. El productor, distribuidor o comercializador que conozca sobre una campaña de servicio o seguridad y esté obligado a informar directa e inmediatamente a los consumidores y no tenga una base de datos actualizada de los consumidores finales que adquirieron el bien, Ádeberá contar con la autorización previa, expresa e informada de los titulares de la información, que son a su vez los consumidores finales del bien sujeto a una campaña de servicio o seguridad, para poder confirmar y/o consultar sus datos personales de contacto (correo electrónico, dirección y número telefónico) ante operadores de la información?"

Respuesta:

De conformidad con lo dispuesto el literal c) del artículo 3 de la Ley 1266 de 2008, la siguiente corresponde a la definición de operador de información:

“ARTÍCULO 3o. Definiciones. Para los efectos de la presente ley, se entiende por:

c) Operador de información. Se denomina operador de información a la persona, entidad u organización que recibe de la fuente datos personales sobre varios titulares de la información, los administra y los pone en conocimiento de los usuarios bajo los parámetros de la presente ley. Por tanto el operador, en cuanto tiene acceso a información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstos para garantizar la protección de los derechos del titular de los datos. Salvo que el operador sea la misma fuente de la información, este no tiene relación comercial o de servicio con el titular y por ende no es responsable por la calidad de los datos que le sean suministrados por la fuente; (...)

De esta manera, el operador de información es responsable por la diligencia y cuidado de la calidad de la información a partir de la recepción del dato suministrado por la fuente de información.

A su vez, de conformidad con el artículo 7 de la precitada Ley, los siguientes son los deberes de los operadores de bancos de datos:

“ARTÍCULO 7o. Deberes de los operadores de los bancos de datos. Sin perjuicio del cumplimiento de las demás disposiciones contenidas en la presente ley y otras que rijan su actividad, los operadores de los bancos de datos están obligados a:

1. Garantizar, en todo tiempo al titular de la información, el pleno y efectivo ejercicio del derecho de hábeas data y de petición, es decir, la posibilidad de conocer la información que sobre él exista o repose en el banco de datos, y solicitar la actualización o corrección de datos, todo lo cual se realizará por conducto de los mecanismos de consultas o reclamos, conforme lo previsto en la presente ley.

2. Garantizar, que en la recolección, tratamiento y circulación de datos, se respetarán los demás derechos consagrados en la ley.

3. Permitir el acceso a la información únicamente a las personas que, de conformidad con lo previsto en esta ley, pueden tener acceso a ella.

(...)

8. Tramitar las peticiones, consultas y los reclamos formulados por los titulares de la información, en los términos señalados en la presente ley.

(...)” (Subrayas fuera de texto original)

Teniendo en cuenta lo anterior, los operadores de información deberán permitir el acceso a la información de las personas que puedan tener acceso a ella de conformidad con lo previsto en la Ley 1266 de 2008. Así mismo, deberán tramitar las peticiones, consultar y reclamos formulados por los titulares de la información.

De acuerdo con lo anterior, el literal I del artículo 16 del Título V de la Ley 1266 de 2008, establece lo relacionado con las consultas:

“I. Trámite de consultas. Los titulares de la información o sus causahabientes podrán consultar la información personal del titular, que repose en cualquier banco de datos, sea este del sector público o privado. El operador deberá suministrar a estos, debidamente identificados, toda la información contenida en el registro individual o que esté vinculada con la identificación del titular.

La petición, consulta de información se formulará verbalmente, por escrito, o por cualquier canal de comunicación, siempre y cuando se mantenga evidencia de la consulta por medios técnicos.

La petición o consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la petición o consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su petición, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

PARÁGRAFO. La petición o consulta se deberá atender de fondo, suministrando integralmente toda la información solicitada.”

Así las cosas, ante la solicitud de información al operador de información, este deberá suministrar los datos solicitados, siempre que corresponda al titular de la información o sus cuasihabitantes.

En ese orden de ideas, esperamos haber atendido satisfactoriamente su consulta, reiterándole que la misma se expone bajo los parámetros del artículo 28 de la Ley 1437 de 2011, esto es, bajo el entendido que la misma no compromete la responsabilidad de esta Superintendencia ni resulta de obligatorio cumplimiento ni ejecución.

En la Oficina Asesora Jurídica de la Superintendencia de Industria y Comercio estamos comprometidos con nuestros usuarios para hacer de la atención una experiencia de calidad. Por tal razón le invitamos a evaluar nuestra gestión a través del siguiente link http://www.encuestar.com.co/index.php/2100?lang=esQ

Finalmente le informamos que algunos conceptos de interés general emitidos por la Oficina Jurídica, los puede consultar en nuestra http://www.sic.gov.co/Doctrina-1

Atentamente,

MARIA ISABEL SALAZAR ROJAS

Jefe Oficina Asesora Jurídica