CONCEPTO 571469 DE 2024
(enero)
<Fuente: Archivo interno entidad emisora>
SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO
Bogotá D.C, enero de 2024
Señor (a):
XXXXX
| Asunto: | Radicación: | 23-571469 |
| Trámite: | 113 | |
| Evento: | 0 | |
| Actuación: | 440 | |
| Folios: | 7 | |
Reciba cordial saludo
De conformidad con lo previsto en el artículo 28 de la Ley 1755 de 2015, “por medio de la cual se regula el Derecho Fundamental de Petición y se sustituye un título del Código de Procedimiento Administrativo y de lo Contencioso Administrativo”, fundamento jurídico sobre el cual se sustenta la consulta objeto de la solicitud, procede la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO a emitir un pronunciamiento, en los términos que a continuación se pasan a exponer:
1. CUESTIÓN PREVIA
Reviste de gran importancia precisar en primer lugar que la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO a través de su Oficina Asesora Jurídica no le asiste la facultad de dirimir situaciones de carácter particular, debido a que, una lectura en tal sentido, implicaría la flagrante vulneración del debido proceso como garantía constitucional.
Al respecto, la CORTE CONSTITUCIONAL ha establecido en la Sentencia C-542 de 2005:
“Los conceptos emitidos por las entidades en respuesta a un derecho de petición de consulta no constituyen interpretaciones autorizadas de la ley o de un acto administrativo. No pueden reemplazar un acto administrativo. Dada la naturaleza misma de los conceptos, ellos se equiparán a opiniones, a consejos, a pautas de acción, a puntos de vista, a recomendaciones que emite la administración pero que dejan al administrado en libertad para seguirlos o no".
2. FACULTADES DE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES
La Ley 1581 de 2012, en su artículo 21 señala, entre otras, las siguientes funciones para esta Superintendencia:
- Velar por el cumplimiento de la legislación en materia de protección de datos personales;
- Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. Para el efecto, siempre que se desconozca el derecho, podrá disponer que se conceda el acceso y suministro de los datos, la rectificación, actualización o supresión de los mismos;
- Promover y divulgar los derechos de las personas en relación con el Tratamiento de datos personales e implementara campañas pedagógicas para capacitar e informar a los ciudadanos acerca del ejercicio y garantía del derecho fundamental a la protección de datos;
- Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los responsables del tratamiento y encargados del tratamiento a las disposiciones previstas en la presente ley;
- Solicitar a los responsables del tratamiento y encargados del tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones.
Sea lo primero indicar que de conformidad con lo dispuesto en el numeral 2 del artículo 14 de la Ley 1437 de 2011, "Por la cual se sustituye el Título II del Código de Procedimiento Administrativo y de lo Contencioso Administrativo", el término para responder los derechos de petición de consulta, como lo es el presentado por usted, es de 30 días hábiles.
En efecto, la mencionada disposición a la letra, señala:
"Artículo 14. Términos para resolver las distintas modalidades de peticiones. Salvo norma legal especial y so pena de sanción disciplinaria, toda petición deberá resolverse dentro de los quince (15) días siguientes a su recepción. Estará sometida a término especial la resolución de las siguientes peticiones:
(...)
2. Las peticiones mediante las cuales se eleva una consulta a las autoridades en relación con las materias a su cargo deberán resolverse dentro de los treinta (30) días siguientes a su recepción. (...)" (Negrillas y subrayas fuera del texto original)
En consecuencia, esta Oficina Asesora Jurídica cuenta con dicho término para responder las consultas presentadas, por lo que, frente a su consulta, el término vence el próximo 12 de febrero de 2024.
Primer interrogante
“1. Si bien es cierto que el derecho constitucional lo tienen las personas naturales y por ello todo aquel que recolecte su información personal, deberá obtener la autorización, previa, expresa e informada para el tratamiento de sus datos personales, la pregunta es, ¿cuándo una persona natural actuando en calidad de representante legal de una persona jurídica (empresa), se le recolecta información respecto a ella, se le debe solicitar también la autorización para el tratamiento de sus datos personales?”
Respuesta:
El literal c) del artículo 3 de la Ley 1581 de 2012 define el dato personal en los siguientes términos: “Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.”
Por lo anterior, el dato personal es cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables que cumplen con las siguientes características: (i) están referidos a aspectos exclusivos y propios de una persona natural, ii) permiten identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.
Por su parte, el literal g) del artículo 3 define tratamiento en los siguientes términos: "Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión."
Por lo anterior, el tratamiento se refiere a la utilización, recolección, almacenamiento, circulación y supresión de los datos personales que se encuentren registrados en cualquier base de datos o archivos por parte de entidades públicas o privadas y cuyo procesamiento sea utilizando medios tecnológicos o manuales.
En consecuencia, la ley de protección de datos personales, solo aplica para las personas naturales y no jurídicas. Sin embargo, eventualmente, la protección se extiende a las personas jurídicas cuando se afecten los derechos de las personas naturales que la conforman, caso en el cual deberá dar cumplimiento a las disposiciones contenidas en la ley de protección de datos personales y sus decretos reglamentarios, entre ellos, el principio de libertad.
Ahora bien y con la finalidad de dar solución a su interrogante, tenga en cuenta que el código civil define persona jurídica y efectúa algunas precisiones sobre la representación de la siguiente manera:
ARTICULO 633. DEFINICION DE PERSONA JURIDICA Se llama persona jurídica, una persona ficticia, capaz de ejercer derechos y contraer obligaciones civiles, y de ser representada judicial y extrajudicialmente.
ARTICULO 639. REPRESENTACION LEGAL. Las corporaciones son representadas por las personas autorizadas por las leyes o las ordenanzas respectivas, y a falta de una y otras, por un acuerdo de la corporación que confiera este carácter.
Así las cosas, la forma como una empresa ejerce sus derechos y contrae sus obligaciones, es mediante un representante legal, el cual, se encarga entre otras, de establecer vínculos civiles y comerciales con otros sujetos de derecho. No obstante, lo anterior, no debe perderse de vista que si bien, en estricto sentido el representante legal es una persona natural, esta se encuentra actuando en representación de una persona ficticia y debe ejercer sus atribuciones legales observando en todo caso las normas predicables en relación con las personas jurídicas.
En tal sentido, no es factible que un representante legal, que se insiste, representa jurídicamente a una persona ficticia, pretenda extender el ámbito de aplicación de la ley 1581 de 2012 para con ello exigir la autorización para el tratamiento de datos de una persona jurídica, que se reitera, es excluida del ámbito de aplicación de la precitada norma estatutaria.
En consecuencia, los datos corporativos de una persona jurídica tales como correo institucional, celular corporativo, cuenta bancaria, dirección de contacto, entre otras, escapan de la órbita de protección de la ley 1581 de 2012 y el representante legal, deberá en todo caso, brindar los datos pertinentes que permitan la interacción comercial con otros sujetos de derecho sin que, para el efecto, deba otorgar la autorización de tratamiento de que trata la ley en mención.
No obstante lo anterior, tenga en cuenta que los datos personales del representante legal tales como su correo electrónico personal, su teléfono privado o su dirección de residencia, entre otros, se reputan datos personales y en consecuencia, deberá observarse en estricto sentido, el ámbito de protección de datos personales establecido en la ley 1581 de 2012.
Segundo interrogante
“2. ¿Puedo contactar a una persona natural de quien no tengo previa autorización de tratamiento de sus datos personales y en ese acercamiento como primera pregunta solicitar y obtener la autorización correspondiente? En caso de una respuesta afirmativa podría seguirlo contactando, de lo contrario suspender cualquier tipo de contacto con esa persona.”
Respuesta:
Sea lo primero indicar que esta Oficina Asesora Jurídica no puede resolver la situación particular como la planteada en su interrogante, por lo que le brindaremos información general sobre la autorización para el tratamiento de datos personales.
Para el tratamiento de datos personales, es necesario tener en cuenta el principio de libertad, definido en el literal c) del artículo 4 de la Ley 1581 de 2012 así:
“c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.”
(Subrayas fuera de texto original)
Por lo anterior, el tratamiento de los datos personales solo puede realizarse cuando exista la autorización previa, es decir, debe recolectarse en una etapa anterior a su incorporación en la base de datos del responsable; expresa, es decir, que no exista duda o equivocación de su aceptación; e informada del titular, es decir, que conozca las finalidades específicas de tratamiento y los efectos de su consentimiento. Lo anterior, con el fin de permitirle que se garantice en todo momento y lugar que pueda conocer en dónde está su información personal, para qué propósitos ha sido recolectada y qué mecanismos tiene a su disposición para su actualización y rectificación.
Respecto a la autorización el artículo 2.2.2.25.2.2., del Decreto 1074 de 2015 señala lo siguiente:
“Autorización. El Responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento.”
En concordancia con lo anterior, el artículo 2.2.2.25.2.4., del precitado decreto dispone:
“Modo de obtener la autorización. Para efectos de dar cumplimiento a lo dispuesto en el artículo 9 de la Ley 1581 de 2012, los Responsables del Tratamiento de datos personales establecerán mecanismos para obtener la autorización de los titulares o de quien se encuentre legitimado de conformidad con lo establecido en el artículo 2.2.2.25.4.1., del presente Decreto, que garanticen su consulta. Estos mecanismos podrán ser predeterminados a través de medios técnicos que faciliten al Titular su manifestación automatizada.
Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (í) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.”
Por lo anterior, los responsables del tratamiento de los datos personales deben obtener la autorización por parte del titular a más tardar al momento de su recolección informándole la finalidad específica del tratamiento de los mismos, y debe utilizar mecanismos que garanticen su consulta posterior.
Se entiende que el titular de la información ha dado su autorización para el tratamiento de los datos personales cuando: (i) sea por escrito; (ii) sea verbal o (iii) mediante conductas inequívocas, es decir, aquellas que no admiten duda o equivocación, del titular que permitan concluir de forma razonable que otorgó la autorización. El silencio no puede asimilarse a una conducta inequívoca.
Cuando se trate de datos personales sensibles la autorización para el tratamiento de tales datos deberá hacerse de manera explícita, es decir, verbal o escrita.
El artículo 12 de la Ley 1581 de 2012 dispone lo siguiente sobre la información que se debe suministrar al titular de los datos personales al momento de recolectar su autorización:
“ARTÍCULO 12. Deber de informar al Titular. El Responsable del Tratamiento, al momento de solicitar al Titular la autorización, deberá informarle de manera clara y expresa lo siguiente:
a) El Tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo.
b) El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando éstas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.
c) Los derechos que le asisten como Titular.
d) La identificación, dirección física o electrónica y teléfono del Responsable del Tratamiento.
Parágrafo. El Responsable del Tratamiento deberá conservar prueba del cumplimiento de lo previsto en el presente artículo y, cuando el Titular lo solicite, entregarle copia de esta”.
En consecuencia el responsable del tratamiento, al solicitar la autorización por parte del titular de los datos personales se le debe informar: (i) el tratamiento al cual serán sometidos sus datos personales, es decir, si se hará recolección, uso, almacenamiento, circulación, supresión o cualquier operación de los datos, (ii) la finalidad específica del tratamiento de los datos personales; (iii) el carácter facultativo de la respuesta, cuando el tratamiento se pretenda realizar sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes; (iv) los derechos que le asisten como titular y (v) la identificación, dirección física o electrónica y teléfono del responsable del tratamiento para que pueda ejercer sus derechos.
En ese orden de ideas, esperamos haber atendido satisfactoriamente su consulta, reiterándole que la misma se expone bajo los parámetros del artículo 28 de la Ley 1437 de 2011, esto es, bajo el entendido que la misma no compromete la responsabilidad de esta Superintendencia ni resulta de obligatorio cumplimiento ni ejecución.
En la Oficina Asesora Jurídica de la Superintendencia de Industria y Comercio estamos comprometidos con nuestros usuarios para hacer de la atención una experiencia de calidad. Por tal razón le invitamos a evaluar nuestra gestión a través del siguiente link http://www.encuestar.com.co/index.php/2100?lang=esQ
Finalmente le informamos que algunos conceptos de interés general emitidos por la Oficina Jurídica, los puede consultar en nuestra página web https://buscadorconceptos.sic.gov.co/#/search
Atentamente,
MARIA ISABEL SALAZAR ROJAS
Jefe Oficina Asesora Jurídica