En 2018, la Superintendecia de Industria y Comercio estableció que todas las empresas que manejaran datos personales debían registrar esas bases de datos. Más allá de todo ese trámite, ¿qué deberían saber todas las personas sobre este tema? Este Taller se los explica de manera sencilla.
Les explicaremos brevemente (para no aburrirlos ni enredarlos) la normatividad de este tema. Resulta que en los artículos 15 y 20 de la Constitución, se establecen los siguientes como derechos de las personas:
- A conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución. La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley. Para efectos tributarios o judiciales y para los casos de inspección, vigilancia e intervención del Estado podrá exigirse la presentación de libros de contabilidad y demás documentos privados, en los términos que señale la ley.
- A recibir información imparcial y veraz.
Además, estos derechos se explican mucho más en algunas leyes estatutarias:
- Ley Estatutaria 1266 de 2008 «Habeas Data»: se aplica a todos los datos personales financieros, crediticios, comerciales y de servicios registrados en un banco de datos. Otro tipo de datos (por ejemplo, aquellos mantenidos en un ámbito exclusivamente personal o doméstico o los que se incluyen en una historia clínica) se encuentran excluidos de la aplicación de esta norma.
- Ley Estatutaria 1581 de 2012 «Datos Personales» y sus Decretos Reglamentarios: reconoce y protege el derecho que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos que sean susceptibles de tratamiento por entidades de naturaleza pública o privada.
De estas normas mencionadas, ¿qué debemos saber entonces?
En primer lugar, muchachos, debemos entender algunas definiciones para saber qué tipo de datos tratamos en nuestras empresas.
-Titular: persona natural cuyos datos personales se recolecten, almacenen, usen por parte de otra persona natural o jurídica.
-Dato personal: aquella información asociada a una persona y que permite su identificación. Por ejemplo, su documento de identidad, el lugar de nacimiento, estado civil, edad, lugar de residencia, trayectoria académica, laboral, o profesional. Existe también información más sensible como su estado de salud, sus características físicas, ideología política, vida sexual.
-Dato público: son considerados datos públicos, los datos relacionados al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Están guardados en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales.
-Dato semiprivado: es el dato que no tiene naturaleza íntima, reservada, ni pública y que puede interesar no sólo a su titular sino a cierto sector o grupo de personas.
Dato privado: es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular de la información.
Dato sensible: es el dato que afecta la intimidad del titular y que su uso indebido puede generar discriminación. Ejemplo: aquellos datos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales. También están aquí los datos relacionados con la salud, la vida sexual y los biométricos.
Pd: la ley prohíbe el tratamiento de datos sensibles. Solo se permite en algunas excepciones, si se cumplen ciertas condiciones.
Base de datos: es el conjunto organizado de datos personales.
Tratamiento: cualquier operación que tenga que ver con la recolección, almacenamiento, uso, circulación de datos personales. La regla general, muchachos, es que siempre es necesario obtener la autorización previa del titular (pilas se les olvida esto).
Pd: la autorización no será necesaria cuando la información la solicita una entidad pública o administrativa que tiene una orden judicial. Tampoco cuando el tratamiento sea sobre datos de naturaleza pública, en los casos de urgencia médica o sanitaria, cuando esté autorizado por la ley para fines históricos, estadísticos o científicos y cuando sean datos relacionados con el registro civil de las personas.
Responsable del tratamiento: persona natural o jurídica, pública o privada, que decide sobre alguna base de datos.
Encargado del tratamiento: persona natural o jurídica, pública o privada, que realiza el tratamiento de datos personales.
Autorización: consentimiento del titular para llevar a cabo el tratamiento de datos personales. Esta autorización puede ser obtenida por cualquier medio que después se pueda consultar.
Transferencia: la transferencia de datos se da cuando el responsable o el encargado del tratamiento, ubicado en Colombia, envía la información a un receptor, que (automáticamente) pasa a ser también un responsable (se encuentre dentro o fuera del país).
Transmisión: tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
Aviso de privacidad: comunicación verbal o escrita donde se le informa a la persona las políticas del tratamiento de datos.
¿Y cuáles son los deberes que tienen los responsables y encargados?
Muchachos, lo normal es que ustedes recolecten información y la vayan estructurando en una base de datos. Entonces, también, debe haber un responsable y encargado dentro de la empresa.
- Informar y garantizar los derechos de los titulares.
- Tramitar las consultas, solicitudes y reclamos que realicen los titulares.
- Utilizar únicamente los datos personales que se obtuvieron a través de autorización.
- Respetar las condiciones de seguridad y privacidad de la información del titular.
- Cumplir las instrucciones y los requerimientos que dicta la SIC.
- Tener una política de datos personales con todo lo establecido por la Ley.
- Registrar las bases de datos ante el Registros Nacional de Bases de Datos administrado por la Superintendencia de Industria y Comercio.
¿Qué información debemos indicar cuando estemos recolectando información del titular?
- El tratamiento al que serán sometidos y la finalidad del dato personal. Es decir, si es para envío de información, para fines estadísticos, etc.
- Los derechos tiene como titular.
- La información y los canales de comunicación a través de los que el Titular puede ejercer sus derechos.
- El derecho que tiene el titular de dar o no respuesta a preguntas que tengan que ver con datos sensibles.
¿Cuáles son las sanciones que trae la ley por no cumplir esto?
Pilas pues, muchachos. Todo a lo legal para evitar:
- Multas hasta por el equivalente de dos mil salarios mínimos mensuales legales vigentes al momento de la sanción.
- Suspensión de las actividades relacionadas con el tratamiento hasta por seis meses.
- Cierre temporal de las operaciones relacionadas con el tratamiento después de que se cumpla tiempo de suspensión.
- Cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.
Muchachos, estos son los puntos más importantes que deben tener claros. Si tienen más dudas, ya saben que este Taller los apoya.