Superintendencia de Industria y Comercio: Concepto 14-218349- -00003-0000

La Superintendencia de Industria y Comercio emitió concepto (2014) sobre la falta de competencia para investigar el tratamiento de datos personales registrados en redes sociales no domiciliadas en Colombia. En particular a partir del análisis de aplicación territorial de la Ley de Protección de datos personales; para el caso de las redes sociales no domiciliadas en Colombia, el lugar de recolección, uso, circulación, almacenamiento o supresión de los datos personales no se realiza en el territorio Colombiano. En documentos posteriores ha evaluado posturas diferentes; se comparte el documento para promover el estudio crítico de la temática.

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO
RAD: 14-218349– -00003-0000 Fecha: 2014-11-24 19:05:57
DEP: 10 OFICINAJURIDICA
10 TRA: 113 DP-CONSULTAS EVE: SIN EVENTO
ACT: 440 RESPUESTA Folios: 1

[…]

Estimado(a) Señor:

Con el alcance previsto en el artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, damos respuesta a su comunicación radicada en esta Entidad con el número que se indica en el asunto, en los siguientes términos:

A continuación nos permitimos suministrarle información relevante en relación con el tema de la consulta, con el fin de brindarle mayores elementos de juicio al respecto. Lo anterior, teniendo en cuenta que esta oficina mediante un concepto no puede solucionar situaciones particulares.

Facultades de la Superintendencia de Industria y Comercio en materia de datos personales La Ley 1581 de 2012, en su artículo 21 señala las siguientes funciones para esta Superintendencia:

a) Velar por el cumplimiento de la legislación en materia de protección de datos personales;

b) Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. Para el efecto, siempre que se desconozca el derecho, podrá disponer que se conceda el acceso y suministro de los datos, la rectificación, actualización o supresión de los mismos;

c) Disponer el bloqueo temporal de los datos cuando, de la solicitud y de las pruebas aportadas por el Titular, se identifique un riesgo cierto de vulneración de sus derechos fundamentales, y dicho bloqueo sea necesario para protegerlos mientras se adopta una decisión definitiva.

d) Promover y divulgar los derechos de las personas en relación con el Tratamiento de datos personales e implementara campañas pedagógicas para capacitar e informar a los ciudadanos acerca del ejercicio y garantía del derecho fundamental a la protección de datos.

e) Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley.

f) Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones.

g) Proferir las declaraciones de conformidad sobre las transferencias internacionales de datos.

h) Administrar el Registro Nacional Público de Bases de Datos y emitir las órdenes y los actos necesarios para su administración y funcionamiento.

i) Sugerir o recomendar los ajustes, correctivos o adecuaciones a la normatividad que resulten acordes con la evolución tecnológica, informática o comunicacional.

j) Requerir la colaboración de entidades internacionales o extranjeras cuando se afecten los derechos de los Titulares fuera del territorio colombiano con ocasión, entre otras, de la recolección internacional de datos personales.

k) Las demás que le sean asignadas por ley.

 

A continuación resolveremos sus interrogantes respecto a la protección de datos en la red social de Facebook en los siguientes términos:

 

“1. Se me indique en qué momento considera la Superintendencia de Industria y Comercio que existe violación a la privacidad de una persona en redes sociales” 

Respuesta: El literal f) del artículo 3de la Ley 1581 de 2012 define al titular en los siguientes términos: \”Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.\”

Por su parte el literal c) del precitado artículo define el dato personal en los siguientes términos: “Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.”

Al respecto, la Corte Constitucional mediante sentencia C-748 de 2011 señaló lo siguiente:

(…) [E]n efecto, la jurisprudencia constitucional ha precisado que las características de los datos personales –en oposición a los impersonales [1] – son las siguientes: “i) estar referido a aspectos exclusivos y propios de una persona natural, ii) permitir identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.”[2]

(…)

Los datos personales, a su vez, suelen ser clasificados en los siguientes grupos dependiendo de su mayor o menor grado de aceptabilidad de divulgación: datos públicos, semiprivados y privados o sensibles.[3]

Por lo anterior, el dato personal es cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables que cumplen con las siguientes características: (i) están referidos a aspectos exclusivos y propios de una persona natural, ii) permiten identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.

La Ley 1581 de 2012, en su artículo 2, señala el ámbito de aplicación de la siguiente manera:

\”Ámbito de aplicación. Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada.

La presente ley aplicará al Tratamiento de datos personales efectuado en territorio colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio nacional le sea aplicable la legislación Colombiana en virtud de normas y tratados internacionales.

(…)\”

 

En consecuencia, el tratamiento de los datos personales registrados en las redes sociales no encajan dentro del ámbito de competencia de la Ley 1581 de 2012, pues la recolección, el uso, la circulación, el almacenamiento o supresión de los datos personales no se realiza dentro del territorio Colombiano, puesto que las redes sociales no tienen domicilio en Colombia.

En efecto, el Director de Investigaciones de Protección de Datos Personales mediante comunicación enviada a esta Oficina Asesora Jurídica bajo el radicado 14-218349-1, respecto a su interrogante manifestó lo siguiente:

“Respecto del punto (1) uno de la petición consideramos que el ámbito de aplicación de la Ley 1581 de 212 (sic), se circunscribe al tratamiento de datos personales efectuados en el territorio Colombiano, luego esta Superintendencia de Industria y Comercio no tiene competencia respecto del tratamiento de la información personal registrada en la página de www. Facebook.com, por cuanto dicha compañía en la actualidad no tiene domicilio en Colombia”.

 

“2. Se me indiquen tanto los mecanismos de protección de privacidad con los que cuenta el usuario de Facebook, si existiere alguna violación a la misma, así como el procedimiento para acceder a los mismos”.

Respuesta: El código penal colombiano señala las siguientes conductas punibles, en relación con los datos personales de las personas:

ARTÍCULO 269F. VIOLACIÓN DE DATOS PERSONALES. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

ARTÍCULO 269G. SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES. El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave.

En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave.

La pena señalada en los dos incisos anteriores se agravará de una tercera parte a la mitad, si para consumarlo el agente ha reclutado víctimas en la cadena del delito.

 

Por lo anterior, si usted considera que se configura alguna conducta punible por violación a sus datos personales debe dirigirse a la Fiscalía General de la Nación para presentar la respectiva denuncia.

 

“3. De ser posible se me suministre información respecto de casos concretos manejados por la SIC pertinentes a la consulta realizada”

Respuesta: Nos remitimos a la respuesta del numeral primero, respecto a la falta de competencia de esta Entidad para investigar el tratamiento de datos personales en las redes sociales.

El Director de Investigación de Protección de Datos Personales, mediante memorando remitido a esta Oficina Asesora Jurídica bajo el número 14-218349 señaló lo siguiente respecto a su interrogante:

“En relación con el punto (3) tres de la petición advertimos que hasta la fecha y por las razones expuestas en el punto número (1), esta Superintendencia no ha adelantado investigación alguna en contra de la página www.facebook.com”

 

Si requiere mayor información sobre el desarrollo de nuestras funciones y sobre las normas objeto de aplicación por parte de esta entidad, puede consultar nuestra página de internet www.sic.gov.co

Atentamente,

(…)

Jefe Oficina Asesora Jurídica

 

[1] Ver sentencia T-729 de 2002, M.P. Eduardo Montealegre Lynett.

[2] Cfr. Sentencia T-414 de 1992, M.P. Ciro Angarita Barón

[3] Ver sentencias T-729 de 2002, M.P. Eduardo Montealegre Lynett; C-491 de 2007, M.P. Jaime Córdoba Triviño; y C-1011 de 2008, M.P. Jaime Córdoba Triviño, y artículo 3 de la Ley 1266

 

Revise el documento aquí

 

Enlaces de interés, conceptos posteriores:

• Superintendencia de Industria y Comercio: Concepto 16-075042- -00003-0000 del 05 de mayo de 2016. Tema: transmisión y transferencia internacional