Comercio electrónico : ,

Superintendencia de Industria y Comercio: Concepto 16-075042- -00003-0000.

Por: Derecho de los Negocios

3 de mayo de 2017

Asunto: Radicación: 16-075042- -00003-0000 Trámite: 113

De conformidad con lo previsto en el artículo 28 de la Ley 1755 de 2015, “por medio de la cual se regula el Derecho Fundamental de Petición y se sustituye un título del Código de Procedimiento Administrativo y de lo Contencioso Administrativo”, fundamento jurídico sobre el cual se funda la consulta objeto de la solicitud, procede la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO a emitir un pronunciamiento, en los términos que a continuación se pasan a exponer:

Atendiendo a la solicitud por usted radicada ante esta Entidad a través su comunicación de fecha 07 de abril de 2016, nos permitimos realizar las siguientes precisiones:

  1. CUESTIÓN PREVIA

Reviste de gran importancia precisar en primer lugar que la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO a través de su Oficina Asesora Jurídica no le asiste la facultad de dirimir situaciones de carácter particular, debido a que, una lectura en tal sentido, implicaría la flagrante vulneración del debido proceso como garantía constitucional.

Al respecto, la Corte Constitucional ha establecido en la Sentencia C-542 de 2005:

“Los conceptos emitidos por las entidades en respuesta a un derecho de petición de consulta no constituyen interpretaciones autorizadas de la ley o de un acto administrativo. No pueden reemplazar un acto administrativo. Dada la naturaleza misma de los conceptos, ellos se equiparan a opiniones, a consejos, a pautas de acción, a puntos de vista, a recomendaciones que emite la administración pero que dejan al administrado en libertad para seguirlos o no”.

Ahora bien, una vez realizadas las anteriores precisiones, se suministrarán herramientas de información y elementos conceptuales necesarios que le permitan absolver las inquietudes por usted manifestadas, como sigue:

  1. FACULTADES DE LA SUPERINTENDENCIA DE INDUSTRIA Y

COMERCIO EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES

La Ley 1581 de 2012, en su artículo 21 señala las siguientes funciones para esta Superintendencia:

a) Velar por el cumplimiento de la legislación en materia de protección de datos personales;

b) Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. Para el efecto, siempre que se desconozca el derecho, podrá disponer que se conceda el acceso y suministro de los datos, la rectificación, actualización o supresión de los mismos;

c) Disponer el bloqueo temporal de los datos cuando, de la solicitud y de las pruebas aportadas por el Titular, se identifique un riesgo cierto de vulneración de sus derechos fundamentales, y dicho bloqueo sea necesario para protegerlos mientras se adopta una decisión definitiva.

d) Promover y divulgar los derechos de las personas en relación con el Tratamiento de datos personales e implementara campañas pedagógicas para capacitar e informar a los ciudadanos acerca del ejercicio y garantía del derecho fundamental a la protección de datos.

e) Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley.

f) Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones.

g) Proferir las declaraciones de conformidad sobre las transferencias internacionales de datos.

h) Administrar el Registro Nacional Público de Bases de Datos y emitir las órdenes y los actos necesarios para su administración y funcionamiento.

i) Sugerir o recomendar los ajustes, correctivos o adecuaciones a la normatividad que resulten acordes con la evolución tecnológica, informática o comunicacional.

j) Requerir la colaboración de entidades internacionales o extranjeras cuando se afecten los derechos de los Titulares fuera del territorio colombiano con ocasión, entre otras, de la recolección internacional de datos personales.

k) Las demás que le sean asignadas por ley. A continuación procedemos a resolver los interrogantes de su consulta así:

Primer interrogante

“1) ¿De acuerdo con la normatividad colombiana vigente, es legalmente posible almacenar las Bases de Datos en Estructuras de almacenamiento en la nube, en el extranjero y más concretamente en los Estados Unidos de América?”

Respuesta:

Lo primero que ha de mencionarse es que, el literal g) del artículo 3 de la Ley 1581 de 2012, define el tratamiento de datos personales en los siguientes términos: “Tratamiento:

Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.”

Al respecto la Corte Constitucional en la Sentencia C-748 de 2011, señaló lo siguiente:

“El tratamiento es definido como cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. Este vocablo, al igual que los dos analizados en precedencia, es de uso en el ámbito europeo y se encuentra tanto en la Directiva 95/46 del Parlamento Europeo como en los Estándares dictados en la reciente conferencia que se dio en Madrid (España), en la que se definió tratamiento como “cualquier operación o conjunto de operaciones, sean a no automatizadas, que se apliquen a datos de carácter personal, en especial su recogida, conservación, utilización, revelación o supresión”.

“El vocablo tratamiento para los efectos del proyecto en análisis es de suma importancia por cuanto su contenido y desarrollo se refiere precisamente a lo que debe entenderse por el “tratamiento del dato personal”. En ese orden, cuando el proyecto se refiere al tratamiento, hace alusión a cualquier operación que se pretenda hacer con el dato personal, con o sin ayuda de la informática, pues a diferencia de algunas legislaciones, la definición que aquí se analiza no se circunscribe únicamente a procedimientos automatizados.

Es por ello que los principios, derechos, deberes y sanciones que contempla la normativa en revisión incluyen, entre otros, la recolección, la conservación, la utilización y otras formas de procesamiento de datos con o sin ayuda de la informática”.

Por lo anterior, el tratamiento se refiere a la utilización, recolección, almacenamiento, circulación y supresión de los datos personales que se encuentren registrados en cualquier base de datos o archivos por parte de entidades públicas o privadas y cuyo procesamiento sea utilizando medios tecnológicos o manuales, en este caso y en atención a su pregunta, lo primero que habría que mencionar es que ese tratamiento se predicaría de un almacenamiento de datos en una red informática denominada nube. En este sentido, para que pueda realizarse dicho almacenamiento debe atenderse a lo dispuesto en el literal g) del artículo 4 de la Ley 1581 de 2012, que establece el principio de seguridad, en los siguientes términos:

“Principios para el Tratamiento de datos personales. En el desarrollo, interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los

siguientes principios: (…) g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;”

En relación con dicho principio la Corte Constitucional mediante la referida sentencia consideró:

“2.3.1.1.1. Principio de seguridad: Al amparo de este principio, la información sujeta a tratamiento por el responsable o encargado, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. De este principio se deriva entonces la responsabilidad que recae en el administrador del dato. El afianzamiento del principio de responsabilidad ha sido una de las preocupaciones actuales de la comunidad internacional, en razón del efecto “diluvio de datos”, a través del cual día a día la masa de datos personales existente, objeto de tratamiento y de ulterior transferencias, no cesa de aumentar. Los avances tecnológicos han producido un crecimiento de los sistemas de información, ya no se encuentran sólo sencillas bases de datos, sino que surgen nuevos fenómenos como las redes sociales, el comercio a través de la red, la prestación de servicios, entre muchos otros. Ello también aumenta los riesgos de filtración de datos, que hacen necesarias la adopción de medidas eficaces para su conservación.

Por otro lado, el mal manejo de la información puede tener graves efectos negativos, no sólo en términos económicos, sino también en los ámbitos personales y de buen nombre.

En estos términos, el Responsable o Encargado del Tratamiento debe tomar las medidas acordes con el sistema de información correspondiente. Así, por ejemplo, en materia de redes sociales, empieza a presentarse una preocupación de establecer medidas de protección reforzadas, en razón al manejo de datos reservados. En el año 2009, el Grupo de Trabajo Sobre Protección de Datos de la Unión Europea señaló que en los Servicios de Redes Sociales” o “SRS debe protegerse la información del perfil en el usuario mediante el establecimiento de “parámetros por defecto respetuosos de la intimidad y gratuitos que limiten el acceso a los contactos elegidos”.

Existe entonces un deber tanto de los Responsables como los Encargados de establecer controles de seguridad, de acuerdo con el tipo de base de datos que se trate, que permita garantizar los estándares de protección consagrados en esta Ley Estatutaria.”

A su turno y con el fin de materializar el principio en mención, el artículo 17 de la Ley 1581 de 2012 ha establecido, entre otros, los siguientes deberes a cargo de los responsables del tratamiento de datos personales:

“Deberes de los Responsables del Tratamiento. Los Responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad: (…) d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento; (…) i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular; (…) n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.” Así mismo, respecto de los encargados del tratamiento de datos personales el artículo 18 de la mencionada ley ha señalado los siguientes deberes en relación con la seguridad: “Deberes de los Encargados del Tratamiento.

Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad: (…) b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento; (…) k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares; (…)”

De acuerdo con lo anterior, es un deber tanto de los Responsables como Encargados del Tratamiento de los datos personales el establecer medidas con el fin de garantizar la seguridad de las bases de datos, y en especial que: (i) no sea adulterada la información contenida en las bases de datos, (ii) no se pierda la información de las bases de datos, (iii) no se pueda hacer uso, consultar o acceder sin autorización o de manera fraudulenta a las bases de datos.

Ahora bien, es necesario aclarar que la normativa no determina de manera específica qué medidas se deben adoptar para garantizar el principio de seguridad en el tratamiento de las bases de datos, y hasta tanto no se instruya sobre la materia, corresponde a los responsables y encargados del tratamiento implementar las medidas técnicas, humanas y administrativas que resulten idóneas para la obtención de tal fin.

De lo anterior, cabe mencionar que el artículo 2.2.2.25.6.1., del Decreto 1074 de 2015 dispone lo siguiente:

“Demostración. Los responsables del tratamiento de datos personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y este capítulo, en una manera que sea proporcional a lo siguiente:

La naturaleza jurídica del responsable y, cuando sea del caso, su tamaño empresarial, teniendo en cuenta si se trata de una micro, pequeña, mediana o gran empresa, de acuerdo con la normativa vigente. La naturaleza de los datos personales objeto del tratamiento. El tipo de Tratamiento. Los riesgos potenciales que el referido tratamiento podrían causa sobre los derechos de los titulares.

En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, los Responsables deberán suministrar a esta una descripción de los procedimientos usados para la recolección de los datos personales, como también la descripción de las finalidades para las cuales esta información es recolectada y una explicación sobre la relevancia de los datos personales en cada caso. En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, quienes efectúen el Tratamiento de los datos personales deberán suministrar a esta evidencia sobre la implementación efectiva de las medidas de seguridad apropiadas:”

En consecuencia y en atención a su interrogante, cuando se trata de un almacenamiento, los responsables del tratamiento de datos personales deben implementar medidas que permitan el cumplimiento de las disposiciones contenidas en la ley de protección de datos personales, a través de un Programa Integral de Gestión de datos Personales y que además les permita demostrar a esta Superintendencia la implementación apropiada y efectiva de esas medidas dentro de la organización.

Ahora bien, el artículo 2.2.2.25.6.2., del Decreto 1074 de 2015 señala las políticas internas efectivas que los responsables del tratamiento deben implementar para el ejercicio de la responsabilidad demostrada así:

“La existencia de una estructura administrativa proporcional a la estructura y tamaño empresarial del responsable para la adopción e implementación de políticas consistentes con la Ley 1581 de 2012 y este capítulo.

La adopción de mecanismos internos para poner en práctica estas políticas incluyendo herramientas de implementación, entrenamiento y programas de educación.

La adopción de procesos para la atención y respuesta a consultas, peticiones y reclamos de los Titulares, con respecto a cualquier aspecto del tratamiento. La verificación por parte de la Superintendencia de Industria y Comercio de la existencia de medidas y políticas específicas para el manejo adecuado de los datos personales que administra un Responsable será tenida en cuenta al momento de evaluar la imposición de sanciones por violación a los deberes y obligaciones establecidos en la ley y en el presente capítulo.”

Por lo anterior, la responsabilidad demostrada le corresponde al responsable del tratamiento, el cual debe ser capaz de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y sus decretos reglamentarios.

Ahora bien, las organizaciones para el desarrollo, implementación y seguimiento de un programa Integral de Gestión de datos personales deben desarrollar y poner en marcha controles que permitan asegurar las políticas adoptadas por el responsable del tratamiento y su implementación al interior de cada organización, entre dichos controles se encuentra el siguiente: – Sistema de administración de riesgos asociados al tratamiento de datos personales: Las organizaciones deben identificar y manejar los riesgos asociados al tratamiento de datos personales, para lo cual deben desarrollar un sistema de administración de riesgos, acorde con la estructura organizacional, sus procesos y procedimientos internos asociados al tratamiento de datos personales, la cantidad de bases de datos y tipos de datos personales tratados por la empresa. Este sistema le permitirá a la empresa identificar, medir, controlar y monitorear todos aquellos hechos o situaciones que puedan incidir en la debida administración del riesgo a que están expuestos en desarrollo del cumplimiento de las normas de protección de datos personales.

Finalmente, se debe tener en cuenta que el responsable y encargado tienen la obligación de informar a esta Superintendencia si existen riesgos en el tratamiento de datos personales de los titulares de la información y si se presentan violaciones de los códigos de seguridad implementados.

Es necesario aclarar que, en el proyecto de Circular Externa para la implementación del Registro Nacional de Bases de Datos, se encuentra contemplado que los responsables deben a través del mismo reportar “(ii) Incidentes de seguridad. Se refiere a la violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información de una base de datos administrada por el Responsable del Tratamiento o por su Encargado, que deberán reportarse al RNBD dentro de las veinticuatro (24) horas siguientes al momento en que se detecten.”

Sin embargo, hasta que no se encuentre publicado en el diario oficial el mencionado proyecto, podrán los responsables informar a esta Superintendencia la violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información de una base de datos administrada, a la Delegatura de Protección de Datos Personales.

Ahora bien, en atención a su consulta es importante realizar unas precisiones respecto de la transferencia y transmisión internacional de datos personales. En este sentido, el artículo 2.2.2.25.1.3., del Decreto 1074 de 2015 los define de la siguiente manera:

“Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país

Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable”.

Por lo anterior, es importante mencionar respecto de su interrogante que, aunque no se específica quien realiza el almacenamiento en la nube computacional, esta superintendencia debe precisar entre los eventos de transferencia o transmisión ya que depende del sujeto que lo realice. En este sentido, la transferencia de datos la puede realizar el Responsable y/o Encargado del tratamiento de los datos personales que se encuentre ubicado en Colombia, con el fin de enviar la información dentro o fuera del país a un receptor que tiene la calidad de Responsable. Por su parte, la transmisión es la comunicación de datos personales dentro o fuera de Colombia y la realiza el Encargado por cuenta del Responsable. En este último caso, las transmisiones pueden hacerse cuando el Responsable y Encargado suscriben un contrato para el Tratamiento de datos personales bajo su control y responsabilidad y señalan lo siguiente: (i) los alcances del Tratamiento; (ii)las actividades que el Encargado realizará por cuenta del Responsable para el Tratamiento de los datos personales y (iii) las obligaciones del Encargado para con el Titular y el Responsable. El encargado deberá cumplir con las obligaciones del

Responsable bajo la política de tratamiento de la información y realizar el tratamiento de los datos personales de acuerdo a la finalidad que autorizó el titular de los mismos garantizando la confidencialidad de los datos y la seguridad de las bases de datos que los contenga. Ahora bien, el literal e) del numeral 2.1., del capítulo segundo, del Título Quinto de la Circular Única de esta Entidad dispone lo siguiente: e) Transmisión internacional de datos personales.

La información relacionada con la Transmisión internacional de datos comprende la identificación del destinatario como Encargado del Tratamiento, el país en el que este se encuentra ubicado, si se tiene un contrato de transmisión de datos en los términos señalados en el artículo 2.2.2.25.5.2 de la Sección 5 del Capítulo 25 del Decreto Único 1074 de 2015 o si la operación está cobijada por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio. En consecuencia, los responsables al realizar el registro de sus bases de datos en el Registro Nacional de Bases de Datos deben –RNBD- y en relación con la transmisión internacional de datos personales deben indicar lo siguiente: (i) la identificación de todos los destinatarios como Encargados del Tratamiento, (ii) el país en el que este se encuentran ubicados, (iii) si se tiene un contrato de transmisión de datos o si la operación está cobijada por una declaración de conformidad emitida por esta Entidad.

Asimismo y teniendo en cuenta el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo, en su artículo 2.2.2.25.5.1., se señala que para la transferencia y la transmisión internacional de datos personales se deben seguir las siguientes reglas: “1. Las transferencias internacionales de datos personales deberán observar lo previsto en el artículo 26 de la Ley 1581 de 2012”.

Lo anterior y en respuesta a su interrogante, esta Superintendencia manifiesta que, si el almacenamiento de datos en la nube es en virtud de una transferencia esta solo podrá hacerse en aquellos países donde se encuentren unos niveles adecuados de protección, es decir se encuentre conforme a los estándares fijados por esta entidad en la materia. Sin embargo y en virtud del artículo 26 de la ley en mención, no se requerirá de lo anteriormente mencionado cuando la transferencia se predique de:

“a) Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia; b) Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública; c) Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable; d) Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad; e) Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular; f) Transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial”.

Caso contrario y si se desea realizar una trasferencia internacional de datos personales hacía otro país, solamente podrá hacerse si este ha sido declarado con unos niveles adecuados de protección, ya que de no ostentar dicha declaración y para proceder a realizar esa transferencia , el interesado deberá radicar ante esta Superintendencia una solicitud de declaración de conformidad relativa a la transferencia de datos personales, la cual será tramitada por la Delegatura para la Protección de Datos y resuelta por el Superintendente Delegado para la Protección de Datos Personales, pudiendo solicitarle al peticionario la información que considere pertinente y adelantando las diligencias tendientes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de la operación.

Ahora bien, si lo que se realiza es una transmisión internacional de datos personales, el artículo 2.2.2.25.5.1., del Decreto único anteriormente referenciado señala:

“Las transmisiones internacionales de datos personales que se efectúen entre un Responsable y un Encargado para permitir que el encargado realice el tratamiento por cuenta del responsable, no requerirán ser informadas al Titular ni contar con su consentimiento cuando exista un contrato en los términos del artículo 2.2.2.25.5.2. (Decreto 1377 de 2013, arto 24)

Artículo 2.2.2.25.5.2. Contrato de transmisión de datos personales. El contrato que suscriba el Responsable con los encargados para el tratamiento de datos personales bajo su control y responsabilidad señalará los alcances del tratamiento, las actividades que el encargado realizará por cuenta del responsable para el tratamiento de los datos personales y las obligaciones del Encargado para con el titular y el Responsable. Mediante dicho contrato el Encargado se comprometerá a dar aplicación a las obligaciones del Responsable bajo la política de Tratamiento de la información fijada por este y a realizar el Tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables”.

Lo anterior y para dar alcance a su interrogante, en aquellos casos en que el almacenamiento en la nube sea mediante la transmisión, debe celebrarse un contrato de transmisión de datos personales entre el responsable y el encargado de los datos objeto del contrato y deberá sujetarse a lo preceptuado en el artículo anteriormente reseñado.

Segundo interrogante

“2) ¿Existe alguna limitación legal para que el Operador de la información, el Responsable y el Encargado del Tratamiento de Bases de Datos de titulares de datos colombianos, estuviese domiciliado en el exterior? Respuesta: Sea lo primero indicar que, la Ley 1581 de 2012, en su artículo 2, señala su ámbito de aplicación de la siguiente manera:

“Ámbito de aplicación. (…) La presente ley aplicará al tratamiento de datos personales efectuado en territorio colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales. El régimen de protección de datos personales que se establece en la presente ley no será de aplicación: a) A las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico. Cuando estas bases de datos o archivos vayan a ser suministrados a terceros se deberá, de manera previa, informar al Titular y solicitar su autorización. En este caso los Responsables y Encargados de las bases de datos y archivos quedarán sujetos a las disposiciones contenidas en la presente ley; b) A las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo; c) A las Bases de datos que tengan como fin y contengan información de inteligencia y contrainteligencia; d) A las bases de datos y archivos de información periodística y otros contenidos editoriales; e) A las bases de datos y archivos regulados por la Ley 1266 de 2008; f) A las bases de datos y archivos regulados por la Ley 79 de 1993. Parágrafo. Los principios sobre protección de datos serán aplicables a todas las bases de datos, incluidas las exceptuadas en el presente artículo, con los límites dispuestos en la presente ley y sin reñir con los datos que tienen características de estar amparados por la reserva legal. En el evento que la normatividad especial que regule las bases de datos exceptuadas prevea principios que tengan en consideración la naturaleza especial de datos, los mismos aplicarán de manera concurrente a los previstos en la presente ley (…)”.

(…)” La precitada Ley entonces se aplica al tratamiento de datos bien sea en Colombia o en el extranjero cuando el responsable o el encargado del tratamiento no se encuentre domiciliado en Colombia y le sea aplicable esta normativa de conformidad con los convenios y tratados internacionales suscritos entre el país y el país donde se encuentre radicado el sujeto que así lo permita. Asimismo, es correcto precisar que respecto de las excepciones que contempló el artículo reseñado, la Corte Constitucional expresó su posición respecto de una serie de ámbitos exceptuados de la aplicación de lo dispuesto por la Ley (Sentencia C-748 de 2011):

“(…) Tales ámbitos deben ser regulados de manera específica por el legislador a través de una ley sectorial en la que se introduzcan principios complementarios, así como otras reglas particulares dependiendo del tipo de dato, como ya ocurrió con los datos financieros y comerciales destinados a calcular el riesgo crediticio. Esta es la razón por la cual en el parágrafo del artículo 2° se indica expresamente “[e]n el evento que la normatividad especial que regule las bases de datos exceptuadas prevea principios que tengan en consideración la naturaleza especial de datos, los mismos aplicarán de manera concurrente a los previstos en la presente ley (…)”. Así y en atención a su interrogante, el responsable o el encargado del tratamiento de datos se haya sujeto a cumplir lo dispuesto en la Ley 1581 estatutaria de hábeas data se encuentre o no en Colombia, siendo en este último caso obligatorio cuando exista un convenio o tratado internacional con otro país que permita la aplicación de la Ley colombiana en esta materia. Asimismo, no tendrá aplicación esta Ley si la base de datos se encuentra en alguna de las causales de excepción que menciona el referido artículo.

“En forma adicional, cuando la autorización se otorga por parte del titular en forma expresa, pero no es posible grabar la misma, preguntamos ¿Cuáles medios probatorios serían suficientes a juicio de la SIC, que pudieran probar que la autorización efectivamente se otorgó y que suplirían la grabación respectiva? P.e. (sic) anotación de la constancia de autorización. Bajo testigos y fecha y hora de la misma (sic)”.

Respuesta:

En primera medida, resulta importante mencionar respecto de la autorización para el tratamiento de datos personales, que ésta es resultado del desarrollo del principio de libertad, definido en el literal c) del artículo 4 de la Ley 1581 de 2012, así:

“(…) El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e

informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento (…)”.

Al respecto, la Corte Constitucional Sentencia C-748 de 2011, señaló lo siguiente:

“[P]rincipio de libertad: el tratamiento sólo puede ejercerse con el consentimiento previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento. Este principio, pilar fundamental de la administración de datos, permite al ciudadano elegir voluntariamente si su información personal puede ser utilizada o no en bases de datos. También impide que la información ya registrada de un usuario, la cual ha sido obtenida con su consentimiento, pueda pasar a otro organismo que la utilice con fines distintos para los que fue autorizado inicialmente, El literal c) del Proyecto de Ley Estatutaria no sólo desarrolla el objeto fundamental de protección del habeas data, sino que se encuentra en íntima relación con otros derechos fundamentales como el de intimidad y el libre desarrollo de la personalidad. En efecto, el ser humano goza de la garantía de determinar qué datos quiere que sean conocidos y tiene el derecho a determinar lo que podría denominarse “imagen informática”. (…) En materia de manejo de información personal, el consentimiento exigido es además, calificado, por cuanto debe ser previo, expreso e informado. Sobre el particular, en la Sentencia C-1011 de 2008 se sostuvo que tales características concretan la libertad del individuo frente al poder informático. (…)

En relación con el carácter previo, la autorización debe ser suministrada en una etapa anterior a la incorporación del dato (…) En relación con el carácter expreso, la autorización debe ser inequívoca, razón por la cual, al contrario de lo sostenido por algunos intervinientes, no es posible aceptarse la existencia, dentro del ordenamiento jurídico colombiano, de un consentimiento tácito. (…) En relación con el carácter informado, el titular no solo debe aceptar el Tratamiento del dato, sino también tiene que estar plenamente consciente de los efectos de su autorización. (…)”

Por lo anterior, el tratamiento de los datos personales solo puede realizarse cuando exista la autorización previa, expresa e informada del titular, con el fin de permitirle que se garantice que en todo momento y lugar pueda conocer en dónde está su información personal, para qué propósitos ha sido recolectada y qué mecanismos tiene a su disposición para su actualización y rectificación A su turno y en consonancia con el asunto en cuestión, el artículo 2.2.2.25.2.2., del Decreto 1074 de 2015 señala lo siguiente:

“Autorización. El Responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento.”

En concordancia con lo anterior, el artículo 2.2.2.25.2.4., del precitado decreto dispone: “Modo de obtener la autorización. Para efectos de dar cumplimiento a lo dispuesto en el artículo 9 de la Ley 1581 de 2012, los Responsables del Tratamiento de datos personales establecerán mecanismos para obtener la autorización de los titulares o de quien se encuentre legitimado de conformidad con lo establecido en el artículo 2.2.2.25.4.1., del presente Decreto, que garanticen su consulta. Estos mecanismos podrán ser predeterminados a través de medios técnicos que faciliten al Titular su manifestación automatizada. Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (í) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.”

Por lo anterior, resulta indispensable que los responsables del tratamiento de los datos personales deban obtener la autorización por parte del titular a más tardar al momento de su recolección informándole la finalidad específica del tratamiento de los mismos, y debe utilizar mecanismos que garanticen su consulta posterior. En este sentido, se entiende que el titular de la información ha dado su autorización para el tratamiento de los datos personales cuando: (i) sea por escrito; (ii) sea oral o (iii) mediante conductas inequívocas, es decir, aquellas que no admiten duda o equivocación, del titular que permitan concluir de forma razonable que otorgó la autorización. El silencio no puede asimilarse a una conducta inequívoca. Cuando se trate de datos personales sensibles la autorización para el tratamiento de tales datos deberá hacerse de manera explícita. En consecuencia, la autorización para el tratamiento de datos personales no necesariamente tiene que ser escrita, pero el responsable del tratamiento debe establecer mecanismos que permitan su consulta posterior cuando es verbal o por conductas inequívocas.

Ahora bien, para proceder a demostrar que se ha otorgado la autorización para el tratamiento de datos, el responsable o encargado de los mismos, puede de acuerdo a lo consagrado en el Código General del Proceso acudir en virtud del principio de libertad probatoria como elemento fundamental al debido proceso, a cualquier medio de prueba válido y admisible, siempre que se preserve en el curso del proceso los principios y garantías constitucionales.

Cuarto interrogante

“4) En este mismo contexto, y si se trata de datos relativamente públicos (nombre, documento de identificación, dirección física o electrónica), pues pueden estar contenidos, entre otros, en registro públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva y no pertenecen a la categoría de semiprivados (no hacen relación a actividades financieras o crediticias de su titular) y mucho menos se trata de datos privados y/o sensibles, el encargado y responsable del tratamiento, ¿podría utilizarlos en una base de datos propia, sin necesidad de autorización expresa del titular?

Respuesta:

En atención a su interrogante resulta necesario precisar en primera medida que, el literal c) del artículo 3 de la Ley 1581 de 2012 define el dato personal en los siguientes términos: “Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.” Al respecto, la Corte Constitucional mediante sentencia C-748 de 2011 señaló lo siguiente:

“(…) [E]n efecto, la jurisprudencia constitucional ha precisado que las características de los datos personales –en oposición a los impersonales- son las siguientes: “i) estar referido a aspectos exclusivos y propios de una persona natural, ii) permitir identificar a la persona en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.” (…) Los datos personales, a su vez, suelen ser clasificados en los siguientes grupos dependiendo de su mayor o menor grado de aceptabilidad de divulgación: datos públicos, semiprivados y privados o sensibles”.

Por lo anterior, el dato personal es cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables que cumplen con las siguientes características: (i) están referidos a aspectos exclusivos y propios de una persona natural, ii) permiten identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación. Ahora bien, es importante mencionar que si bien la Ley 1581 de 2012 no señala una clasificación de datos personales, la Corte Constitucional en la Sentencia C- 748 de 2011, frente a dicho vació señaló lo siguiente:

“Se pregunta la Sala si la omisión de estas clasificaciones en el literal c) constituye un vicio de constitucionalidad. Para la Sala la respuesta es negativa, ya que estas definiciones no son un ingrediente indispensable para la aplicación de las garantías de la ley y, en todo caso, la ausencia de definiciones puede ser llenada acudiendo a la jurisprudencia constitucional y a otros preceptos legales. En primer lugar, la clasificación de los datos personales en públicos, semiprivados y privados o sensibles, es solamente una posible forma de categorizar los datos, pero no la única; otras clasificaciones podrían ser producto de criterios diferentes al grado de aceptabilidad de la divulgación del dato. El legislador, por tanto, tiene libertad para elegir o no elegir una categorización. Ahora bien, es cierto que el propio legislador estatutario adoptó algunas de estas clasificaciones, como la de datos sensibles, cuyo tratamiento se prohíbe con algunas excepciones en el artículo 6 del proyecto. Para poder dar sentido a este precepto, a juicio de la Sala, basta con acudir a las definiciones elaboradas por la jurisprudencia constitucional o a las definiciones de otros preceptos legales, como la Ley 1266, cuyo artículo 3 dispone:

“f) Dato público. Es el dato calificado como tal según los mandatos de la ley o de la Constitución Política y todos aquellos que no sean semiprivados o privados, de conformidad con la presente ley. Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas; g) Dato semiprivado. Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de la presente ley. h) Dato privado. Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.”

En este orden de ideas, dado que la clasificación de los datos personales no es un elemento indispensable de la regulación y, dicho vacío en todo caso puede ser remediado acudiendo a la jurisprudencia constitucional y a otras definiciones legales, especialmente al artículo 3 de la Ley 1266, en virtud del principio de conservación del derecho, el literal c) será declarado exequible en este respecto.”

Por su parte, el artículo 5 de la Ley 1581 de 2012 señala lo siguiente:

“Datos sensibles. Para los propósitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.”

Al respecto, la Corte Constitucional mediante sentencia C-748 de 2011 señaló lo siguiente:

“La Sala encuentra que esta definición se ajusta a la jurisprudencia Constitucional y su delimitación, además de proteger el habeas data, es una garantía del derecho a la intimidad, razón por la cual la Sala la encuentra compatible con la Carta Política. En efecto, como explicó la Corte en la sentencia C-1011 de 2008, la información sensible es aquella “(…) relacionada, entre otros aspectos, con la orientación sexual, los hábitos del individuo y el credo religioso y político. En estos eventos, la naturaleza de esos datos pertenece al núcleo esencial del derecho a la intimidad, entendido como aquella esfera o espacio de vida privada no susceptible de la interferencia arbitraria de las demás personas, que al ser considerado un elemento esencial del ser, se concreta en el derecho a poder actuar libremente en la mencionada esfera o núcleo, en ejercicio de la libertad personal y familiar, sin más limitaciones que los derechos de los demás y el ordenamiento jurídico.”

Conforme a esta explicación, la definición del artículo 5 es compatible con el texto constitucional, siempre y cuando no se entienda como una lista taxativa, sino meramente enunciativa de datos sensibles, pues los datos que pertenecen a la esfera íntima son determinados por los cambios y el desarrollo histórico.”

Es necesario advertir que se debe tener en cuenta que cada caso debe ser analizado de manera particular para la clasificación de un dato, por lo tanto, mediante un concepto no puede definirse si por ejemplo las direcciones físicas o electrónicas, son públicas, privadas, semiprivadas o sensibles. En segunda medida y en atención a la pregunta formulada, es importante mencionar que, de conformidad con el artículo 2 relativo al ámbito de aplicación de la Ley 1581, no se necesita autorización del titular de los datos si se encuentra en alguna de las excepciones contempladas en la norma.

En este caso, si el uso que se desea hacer de los datos que se mencionan en el interrogante están destinados a un ámbito exclusivamente personal o doméstico, es pertinente entonces, traer a colación el artículo 2.2.2.25.1.2., del Decreto 1074 de 2015 que señala:

“Articulo 2. Tratamiento de datos en el ámbito personal o doméstico. De conformidad con lo dispuesto en el literal a) del artículo 2 de la Ley 1581 de 2012, se exceptúan de la aplicación de dicha Ley y del presente Decreto, las bases de datos mantenidas en un ámbito exclusivamente personal o doméstico. El ámbito personal o doméstico comprende aquellas actividades que se inscriben en el marco de la vida privada o familiar de las personas naturales”:

Al respecto, la Corte Constitucional en la sentencia antes mencionada señaló lo siguiente: “Constitucionalidad del literal a): la excepción “las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico”. El literal a) ofrece tres contenidos normativos: (i) señala que uno de los casos exceptuados de las reglas del proyecto es el de “las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico. (ii) a continuación, indica que “cuando estas bases de datos vayan a ser suministradas a terceros se deberá, de manera previa, informar al titular y solicitar su autorización”. Por último, (iii) precisa que en este último caso, es decir, cuando los datos suministrados a un tercero, el respectivo responsable o encargado de las bases de datos y archivos quedará sujeto a las disposiciones de la Ley. En relación con el primer contenido normativo, uno de los intervinientes asegura que la excepción debe cobijar todo dato que circula internamente, es decir, no solamente a nivel personal y doméstico, sino también, por ejemplo, a nivel de una empresa, y entiende que lo que delimita la circulación interna es el tratamiento del dato sin la intención de suministrarlo a terceros.

La Sala, por el contrario, encuentra que la regla, tal cual está redactada en el proyecto, es compatible con la Constitución y que la Corte no puede extender el ámbito de la excepción a hipótesis que no fueron previstas por el legislador, por las razones que a continuación se expone: El primer contenido normativo del literal a) tiene tres elementos: (i) hace referencia a datos personales, (ii) contenido en bases de datos (iii) “mantenidos en un ámbito exclusivamente personal o doméstico”.

El último elemento, que es el cuestionado por el interviniente, se refiere al ámbito de la intimidad de las personas naturales; ciertamente, los ámbitos personal y doméstico son las esferas con las que tradicionalmente ha estado ligado el derecho a la intimidad, el cual, en tanto se relaciona con la posibilidad de autodeterminación como un elemento de la dignidad humana, no puede predicarse de las personas jurídicas.

Por tanto, esta excepción busca resolver la tensión entre el derecho a la intimidad y el derecho al habeas data. Así, en tanto los datos mantenidos en estas esferas (i) no están destinados a la circulación ni a la divulgación y (ii) su tratamiento tampoco puede dar lugar a consecuencias adversas para el titular, tiene sentido que su tratamiento éste exceptuado de algunas disposiciones del proyecto. Por ejemplo, no sería razonable que la protección de los datos personales mantenidos en estos ámbitos (por ejemplo, un directorio telefónico doméstico) estuviera a cargo de la Superintendencia de Industria y Comercio o que quien trata los datos estuviera sometido al régimen sancionatorio que prevé el proyecto. Ahora bien, no puede entenderse que el primer contenido normativo del literal a) se extienda al tratamiento de cualquier dato cuando circule internamente, como pretende ASOBANCARIA. En primer lugar, si bien es cierto una de las razones por las cuales la excepción del literal a) es razonable es porque los datos “mantenidos en un ámbito exclusivamente personal o doméstico” no están destinados a circular, de ahí no se sigue que todo dato que no circula o circula internamente deba ser exceptuado, pues para que opere la excepción, por voluntad del legislador, se requiere además que los datos sean mantenidos por una persona natural en su esfera íntima. Ciertamente, se trata de dos hipótesis diferentes, razón por la cual, por ejemplo, en el texto de la Ley 1266, si bien fueron tratadas conjuntamente, fueron unidas por la conjunción “y”, lo que significa que son dos ideas distintas. En segundo lugar, no hay razones para concluir que, en el contexto de una regulación general y mínima del habeas data, el tratamiento de datos que circulan internamente merezca las mismas consecuencias jurídicas del tratamiento de datos “mantenidos en un ámbito exclusivamente personal o doméstico”, en otras palabras, no hay argumentos constitucionales que lleven a concluir que las dos hipótesis deben recibir el mismo trato legal. El que los datos no circulen o circulen internamente, no asegura que su tratamiento no pueda tener consecuencias adversas para su titular.

Piénsese por ejemplo en las hojas de vida de los empleados de una empresa mantenidas en el ámbito interno; si bien no van a ser divulgadas a terceros, su tratamiento y circulación interna sí puede traer consecuencias negativas para el titular del dato (por ejemplo, términos sancionatorios o de ascensos), razón por la cual deben estar sujetos a las reglas generales que consagra el proyecto de ley.

En este orden de ideas, siempre y cuando se cumplan las condiciones mencionadas previamente y se entienda que, en todo caso, esta hipótesis sí se encuentra sujeta a los principios del artículo 4, para la Sala la excepción prevista en la primera regla del literal a) se ajusta a la Carta. (…)” En consecuencia, si usted desea utilizar algún dato clasificado bajo las categorías referidas al inicio de la respuesta, podría hacerlo si se encuentra comprendida su actuación dentro de la excepción prevista en el literal a) de la Ley 1581 de 2012 y siempre y cuando se cumpla con los siguientes requisitos: (i) que los datos personales no estén destinados a circular y (ii) que los datos sean mantenidos por una persona natural en su esfera íntima. En el evento en que se pretenda suministrar los datos personales que se encuentran en una base o archivo de ámbito personal o doméstico a un tercero se deberá informar previamente al titular de los mismos y solicitar su autorización y quedarán sujetas al cumplimiento de las disposiciones de la Ley 1581 de 2012 y sus decretos reglamentarios.

Finalmente le informamos que algunos conceptos de interés general emitidos por la Oficina Jurídica, así como las resoluciones y circulares proferidas por ésta Superintendencia, las puede consultar en nuestra página web http://www.sic.gov.co/drupal/Doctrina-1.

En ese orden de ideas, esperamos haber atendido satisfactoriamente su consulta, reiterándole que la misma se expone bajo los parámetros del artículo 28 de la Ley 1437 de 2011, esto es, bajo el entendido que la misma no compromete la responsabilidad de esta Superintendencia ni resulta de obligatorio cumplimiento ni ejecución.

 

Atentamente,

 

JAZMIN ROCIO SOACHA PEDRAZA

JEFE OFICINA ASESORA JURÍDICA ( C )

Elaboró: Diana Baez

Revisó: Rocio Soacha

Aprobó: Rocio Soacha

Revise el documento aquí

Compartir
Las opiniones y puntos de vista expresados en este Blog son de exclusiva responsabilidad de los autores de cada “Entrada” y no representan ni los puntos de vista de la Universidad Externado de Colombia (en adelante la “Universidad”) ni de su Departamento de Derecho de los Negocios (en adelante el “Departamento”). Se autoriza la reproducción de cualquier parte de los contenidos divulgados solamente con fines educativos, siempre que se cite la fuente.