Todos los ciudadanos tenemos derecho a conocer, actualizar y rectificar toda la información que se almacene o se recopile en las bases de datos administradas por empresas privadas o entidades públicas. Este derecho está contemplado en la Ley 1581 de 2012, conocida como el Régimen General de Protección de Datos Personales, en el que, además, se señalan los principios y obligaciones que tienen todos aquellos que realicen el tratamiento de datos personales para garantizar la protección del derecho fundamental de habeas data.
El cumplimiento de obligaciones establecidas en la Ley 1581 de 2012 y sus decretos reglamentarios”, cuyo objetivo principal es orientar a los responsables y encargados del tratamiento de datos personales sobre el cumplimiento de obligaciones específicas frente al manejo de información personal, como son:
i) solicitar y conservar copia de la autorización otorgada por los titulares para el tratamiento de su información personal y de la información que debe suministrársele a estos,
ii) contar con una política de tratamiento de información personal que debe estar disponible para los titulares y
iii) contar con un aviso de privacidad, cuando no sea posible poner a disposición de los titulares directamente, la política de tratamiento.
Además, no sobra precisar que las obligaciones de los responsables y encargados del tratamiento no se concretan solamente a la elaboración de los documentos, es la Ley 1581 de 2012 y sus decretos reglamentarios señalan las obligaciones que estos tienen a cargo, las cuales deben tener en cuenta en todas las actividades que realicen, en la medida que involucren el tratamiento de datos personales.
2. RECOLECCIÓN DE INFORMACIÓN PERSONAL Y AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS PERSONAL
- ¿QUÉ ES UNA AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS PERSONALES? Es el consentimiento que da cualquier persona para que las empresas o personas responsables del tratamiento de la información, puedan utilizar sus datos personales. Para que esto se pueda hacer, la organización responsable del tratamiento de los datos debe adoptar procedimientos internos para solicitar la autorización al titular, a más tardar en el momento de la recolección de su información. La ley es clara cuando asegura que es necesario “el consentimiento previo, expreso e informado del titular”, es decir, que el dueño de la información apruebe y sepa para qué y cómo se utilizará dicha información. Además, tal autorización debe estar disponible para consultas posteriores.
- ¿EN QUÉ CASOS NO ES NECESARIA LA AUTORIZACIÓN? Aunque la ley obliga a los responsables del tratamiento de datos a contar con una autorización expresa de los titulares, en los siguientes casos no es necesario pedirla, pero sí será obligatorio cumplir los demás deberes dispuestos en la ley:
Cuando la información es requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial. En caso de hacer tratamiento de datos de naturaleza pública. Casos de urgencia médica o sanitaria. Para el tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos. Cuando se trata de datos relacionados con el Registro Civil.
- ¿CÓMO OBTENER LA AUTORIZACIÓN? Existen diferentes medios para que los titulares manifiesten su autorización para el tratamiento de sus datos:
-
Por escrito
-
De forma oral
- Mediante conductas inequívocas del titular de la información, las cuales permiten concluir a los responsables que se otorgó la autorización. Un ejemplo de esto pueden ser los casos de imágenes captadas por sistemas de video vigilancia, en los que se comunica previamente a las personas que van a ingresar a un establecimiento que sus imágenes van a ser tomadas, conservadas o usadas de cierta manera y, conociendo tal situación, los titulares ingresan al establecimiento.
Sin embargo y, sin importar el medio por el cual se obtenga dicha autorización, no puede perderse de vista que es necesario conservar prueba de la misma, pues la Ley 1581 de 2012 es clara en afirmar que se debe “solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular”.
- AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS PERSONALES SENSIBLES Los datos sensibles son aquellos que afectan la intimidad del Titular y pueden dar lugar a que sea discriminado, como aquellos que revelan su origen racial o étnico, su orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
Este tipo de datos constituyen una categoría especial de datos personales y por ello, requieren una protección reforzada y algunas consideraciones especiales a la hora de solicitar autorización para su tratamiento:
El titular debe saber que, por tratarse de datos sensibles, no está obligado a autorizar su tratamiento. Es deber del responsable de los datos, informar al titular de forma explícita y previa, cuáles datos son sensibles y cuál será la finalidad del tratamiento que se les dará. Cabe anotar que ninguna actividad podrá condicionarse a que el titular suministre datos personales sensibles.
- FINALIDAD DE LA RECOLECCIÓN DE DATOS PERSONALES La recolección de datos personales debe tener una finalidad legítima y cierta, es decir, una razón de ser de esa recolección. Además, los datos recolectados deben ser pertinentes y adecuados para alcanzar dicho fin. Por ejemplo, si lo que la organización quiere es vincular un nuevo cliente al portafolio de su empresa, debe pensar si es necesario solicitar datos como su talla de ropa o de calzado, cuando lo que se pretende es venderle productos para mascotas.
- DEBER DE INFORMAR AL TITULAR Además del deber de obtener el consentimiento de los titulares para el tratamiento de su información, quien recolecte datos personales debe informar de manera clara y expresa al titular lo siguiente:
El tratamiento al cual serán sometidos los datos personales recolectados y la finalidad de los mismos. En caso de que la organización responsable recolecte datos personales sensibles (origen racial o étnico, orientación sexual, filiación política o religiosa, etc.) o de niños y adolescentes; debe explicarle el carácter sensible que posee este tipo de información y, además, debe darle la opción al titular de elegir si responde o no dichas preguntas. Los derechos que tiene el titular de la información. La identificación, dirección física o electrónica y el teléfono de la organización o el responsable del tratamiento de los datos.
Con el fin de hacer más comprensible la información, las organizaciones o responsables del tratamiento de datos personales pueden elegir diferentes formas de trasmitir la información a los titulares: señales, dibujos, gráficas, videos, etc.; lo importante es cumplir con la obligación de comunicar de manera clara y transparente lo exigido en la ley, sin perder de vista, que deben conservar prueba de dichas comunicaciones.
- REQUISITOS ESPECIALES PARA EL TRATAMIENTO DE DATOS DE MENORES DE EDAD La ley describe los datos de los menores de edad como una categoría especial, por ello, son merecedores de una protección reforzada que le asegura el respeto de sus derechos Así que, para el tratamiento de sus datos, sus representantes legales podrán dar la autorización previo ejercicio del menor de su derecho a ser escuchado.
3. MANUAL DE POLÍTICAS Y PROCEDIMIENTOS INTERNOS Y POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES
Los responsables y encargados del tratamiento de datos personales tienen la obligación de tener un manual interno de políticas y procedimientos en el que se expliquen claramente todos los parámetros y reglas que utilizará la organización para garantizar el correcto tratamiento de los datos personales, en especial, el procedimiento que la organización utilizará para atender las quejas, consultas y reclamos presentados por los titulares en ejercicio de su derecho de habeas data.
Dicho Manual no debe confundirse con las políticas de tratamiento de la información, las cuales deben contener, como mínimo, lo siguiente: Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del responsable del tratamiento de los datos. Tratamiento al cual serán sometidos los datos y finalidad del mismo cuando no se haya informado mediante aviso de privacidad. Derechos que tiene el titular de la información. Persona o área responsable de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y/o revocar la autorización.
Procedimiento para que los titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización. Fecha de entrada en vigencia de la política de tratamiento de la información y período de vigencia de la base de datos. Cualquier cambio sustancial en las políticas de tratamiento de datos personales debe ser comunicado oportunamente a los titulares de una manera eficiente, antes de implementar las nuevas políticas. La política de tratamiento de información personal debe ser puesta en conocimiento de los titulares. Para ello, la organización o responsable de los datos, podrá utilizar documentos, formatos electrónicos, medios verbales o cualquier otra tecnología, siempre y cuando garantice y cumpla con el deber de informar al titular.
- DEBER DE ACREDITAR PUESTA A DISPOSICIÓN DE LAS POLÍTICAS DE TRATAMIENTO DE INFORMACIÓN
POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES
Para acreditar el cumplimiento del deber de poner a disposición de los Titulares las políticas de tratamiento, los Responsables deben conservar el Aviso de Privacidad que utilicen para indicar que cuentan con una política y la forma de acceder a ella. Lo anterior aplica para los casos en los que no es posible poner a disposición de los titulares tal política de manera directa.
4. AVISO DE PRIVACIDAD
- DEFINICIÓN Es una de las opciones de comunicación verbal o escrita que brinda la ley para darle a conocer a los titulares de la información, la existencia y las formas de acceder a las políticas de tratamiento de la información y el objetivo de su recolección y uso.
- CONTENIDO MÍNIMO DEL AVISO DE PRIVACIDAD Los avisos de privacidad deben contener como mínimo la siguiente información:
Nombre o razón social y datos de contacto del responsable del tratamiento.
La finalidad de la recolección de los datos y el tipo de tratamiento al que serán sometidos. Los derechos que tiene el titular de la información. Los mecanismos dispuestos por el responsable de los datos para que el titular conozca la política y los cambios que se produzcan en ella o en el aviso de privacidad correspondiente. En caso de que la organización o el responsable recolecte datos personales sensibles tales como el origen racial o étnico, orientación sexual, filiación política o religiosa, etc.; debe explicarle al titular de los datos el carácter sensible que posee este tipo de información y, además, debe darle la opción de elegir si responde o brinda estos datos.
- MEDIOS DE DIFUSIÓN DEL AVISO DE PRIVACIDAD Para la difusión del aviso de privacidad el responsable de la información puede utilizar documentos, formatos electrónicos, medios verbales o cualquier otra tecnología, siempre y cuando garantice y cumpla con el deber de informar al titular. Cabe resaltar que, si la organización o los responsables de los datos eligen la opción directa para darle a conocer la política a los titulares, no será obligatorio contar con un aviso privacidad.
5. GLOSARIO
Dato personal Se trata de cualquier información vinculada o que pueda asociarse a una persona determinada, como su nombre o número de identificación, o que puedan hacerla determinable, como sus rasgos físicos.
Dato público Es uno de los tipos de datos personales existentes. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
Dato semiprivado Son los datos que no tienen naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no solo al titular sino a cierto sector o a la sociedad en general. Los datos financieros y crediticios de la actividad comercial o de servicios, son algunos ejemplos.
Dato privado Es el dato que por su naturaleza íntima o reservada solo es relevante para el titular. Los gustos o preferencias de las personas, por ejemplo, corresponden a un dato privado.
Datos sensibles Son aquellos que afectan la intimidad del titular o pueden dar lugar a que lo discriminen, es decir, aquellos que revelan su origen racial o étnico, su orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos, entre otros. Autorización Es el consentimiento que da cualquier persona para que las empresas o personas responsables del tratamiento de la información, puedan utilizar sus datos personales.
Base de Datos Conjunto organizado de datos personales que son objeto de tratamiento. Encargado del tratamiento Es la persona natural o jurídica que realiza el tratamiento de datos personales, a partir de una delegación que le hace el responsable, recibiendo instrucciones acerca de la forma en la que deberán ser administrados los datos.
Responsable del tratamiento Es la persona natural o jurídica, pública o privada, que decide sobre la finalidad de las bases de datos y/o el tratamiento de los mismos.
Titular Es la persona natural cuyos datos personales son objeto de tratamiento. Tratamiento Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
Aviso de privacidad Es una de las opciones de comunicación verbal o escrita que brinda la ley para darle a conocer a los titulares de la información, la existencia y las formas de acceder a las políticas de tratamiento de la información y el objetivo de su recolección y uso.
Transferencia Se trata de la operación que realiza el responsable o el encargado del tratamiento de los datos personales, cuando envía la información a otro receptor, que, a su vez, se convierte en responsable del tratamiento de esos datos.
Fuente: CARLOS A BOSHELL NORMAN
