Los edificios o conjuntos de uso residencial, comercial o mixto son personas jurídicas sometidas al régimen de propiedad horizontal.
Cuando dichas personas jurídicas recolectan o usan Datos Personales de los visitantes, empleados, residentes o cualquier persona (Titular del dato), están realizando Tratamiento de Datos Personales que debe efectuarse conforme a la Constitución y la Ley. Como tales, son Responsables de Tratamiento y deben cumplir todos los deberes legales. Es factible que para ciertas actividades acudan a terceros como las empresas de seguridad privada, las cuales actúan como Encargados del Tratamiento y también deben acatar los mandatos legales sobre protección de Datos Personales. Según el artículo 50 de la Ley 675 de 2001 “la representación legal de la persona jurídica y la administración del edificio o conjunto corresponderán a un administrador, los administradores responderán por los perjuicios que, por dolo, culpa leve o grave, ocasionen a la persona jurídica, a los propietarios o a terceros. Se presumirá la culpa leve del administrador en los casos de incumplimiento o extralimitación de sus funciones, violación de la ley o del reglamento de propiedad horizontal.”
En lo no previsto en dicha ley respecto de los administradores se aplica la Ley 222 de 1995 la cual requiere que ellos no sólo obren “de buena fe, con lealtad y con la diligencia de un buen hombre de negocios”, sino que en el ejercicio de sus funciones deben “velar por el estricto cumplimiento de las disposiciones legales o estatutarias”.
La recolección, uso, circulación y el Tratamiento de los Datos Personales solo pueden realizarse cuando exista la Autorización previa, expresa e informada del Titular, tal y como lo establece el principio de libertad definido en el literal c) del artículo 4 de la Ley 1581 de 20124. Recuerde que está prohibido “utilizar medios engañosos o fraudulentos para recolectar y realizar Tratamiento de datos personales”.
Es imperativo tener presente que la información no se puede recolectar para hacer cualquier cosa, sino solo para finalidades específicas que se deben informar a las personas. Tampoco se puede recolectar cualquier Dato Personal, sino solo aquellos que sean imprescindibles para cumplir la finalidad para la cual son colectados. En este sentido, la regulación ordena que “la recolección de datos deberá limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos” Las fotos, las videograbaciones, las huellas dactilares y la información relativa al estado de salud de las personas son ejemplos de datos sensibles. Si recolecta, usa o trata este tipo de información debe cumplir con lo que ordena el artículo 6 del decreto 1377 de 2013, a saber:
“En el Tratamiento de datos personales sensibles, cuando dicho Tratamiento sea posible conforme a lo establecido en el artículo 6° de la Ley 1581 de 2012, deberán cumplirse las siguientes obligaciones:
- Informar al titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento.
- Informar al titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento, así como obtener su consentimiento expreso.
Ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles.” El Tratamiento de datos sensibles debe estar rodeado de especial cuidado y diligencia en su recolección, uso, seguridad o cualquier otra actividad que se realice con los mismos. En efecto, la Corte Constitucional exige responsabilidad reforzada por parte de los Responsables y Encargados: “como se trata de casos exceptuados y que, por tanto, pueden generar altos riesgos en términos de vulneración del habeas data, la intimidad e incluso la dignidad de los titulares de los datos, los agentes que realizan en estos casos el tratamiento tienen una responsabilidad reforzada que se traduce en una exigencia mayor en términos de cumplimiento de los principios del artículo 4 y los deberes del título VI” Por ende, los datos sensibles deben ser objeto de mayores medidas de seguridad, confidencialidad, acceso, circulación y uso restringido.
REQUISITOS PARA PODER RECOLECTAR Y TRATAR DATOS PERSONALES DE NIÑAS, NIÑOS Y ADOLESCENTES
El artículo 2 de la Convención de las Naciones Unidas sobre los derechos del niño ordena a los Estados respetar y garantizar los derechos de los niños “sin distinción alguna, independientemente de la raza, el color, el sexo, el idioma, la religión, la opinión política o de otra índole, el origen nacional, étnico o social, la posición económica, los impedimentos físicos, el nacimiento o cualquier otra condición del niño, de sus padres o de sus representantes legales”. Los niños, niñas y adolescentes (NNA) gozan de una especial protección y son Titulares de los derechos constitucionales y legales como la Protección de sus Datos Personales. Sus derechos prevalecen sobre los demás tal y como lo ordena el artículo 44 de la Constitución.
El artículo 7 de la Ley 1581 de 2012 ordena que “en el Tratamiento se asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes”. Por otra parte, el artículo 11 del Decreto 1377 de 2013 establece que la autorización del tratamiento de datos de menores de edad debe ser otorgada por el representante legal del NNA y precisa que “el Tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, de conformidad con lo establecido en el artículo 7 de la Ley 1581 de 2012 y cuando dicho Tratamiento cumpla con los siguientes parámetros y requisitos:
- Que responda y respete el interés superior de los niños, niñas y adolescentes.
- Que se asegure el respeto de sus derechos fundamentales.
EXIJA EL RESPETO DE LA REGULACIÓN DE PROTECCIÓN DE DATOS
Si el edificio o conjunto residencial (Responsable del Tratamiento), contrata a otra empresa o a un tercero (Encargado del Tratamiento), para realizar actividades de vigilancia y seguridad u otra actividad, se debe exigir el cumplimiento de su Política de Tratamiento de Datos Personales y los deberes legales que esto conlleva, no olvidar cuando este servicio son prestados de forma ilegal (Porteros, conserjes, etc.), cuya propiedad está expuesta sanciones administrativas de dos superintendencias( Supervigilancia y Supercomercio). Con todo esto, no solo es obligatorio el desarrollo de sus políticas para el Tratamiento de los Datos Personales, también se debe velar porque los encargados del Tratamiento den cabal cumplimiento a las mismas conforme al Artículo 13 del Decreto 1377 de 2013. Recuerde que esos terceros (empresas de seguridad) obran en nombre suyo y que usted responde frente a los Titulares de los datos y las autoridades por los errores o negligencia de ellos. Además, la ley les impone a estos la obligación de cumplir una serie de deberes.
Se recomienda que en los contratos de prestación de servicios pacte con esos terceros las obligaciones especiales y los deberes que deben cumplir sobre el Tratamiento de Datos Personales. Deje claro qué pueden hacer y qué no. Es fundamental que, con las empresas de vigilancia, por ejemplo, se pacten cláusulas contractuales en las que se obliguen a:
- Cumplir las políticas de Tratamiento de información de los conjuntos o edificios
- Garantizar seguridad y confidencialidad de los Datos Personales
- No usar los Datos Personales para fines diferentes a los autorizados
- No apropiarse de los Datos Personales ni quedarse con ellos (copias de planillas, formularios, grabaciones, archivos electrónicos) luego de culminado el contrato de prestación de servicios
- Devolver al conjunto o edificio todos los datos que recolectó durante la prestación de sus servicios.
ELIMINE LOS DATOS PERSONALES TAN PRONTO CUMPLAN LA FINALIDAD PARA LA CUAL FUERON RECOLECTADOS
La Corte Constitucional ha señalado que “los datos deberán ser conservados en una forma que permita la identificación de los interesados durante un periodo no superior al necesario para los fines para los que fueron recogidos. Es decir, el periodo de conservación de los datos personales no debe exceder del necesario para alcanzar la necesidad con que se han registrado”. Teniendo en cuenta lo anterior, en el artículo 1119 del decreto 1377 de 2013 se establece que los “Responsables y Encargados del Tratamiento solo podrán recolectar, almacenar, usar o circular los datos personales durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justificaron el tratamiento”. La idea es no almacenar y usar datos indefinidamente. En otros términos, si expiró el tiempo del Tratamiento autorizado por el Titular o ya se cumplió la finalidad del mismo y no existe una norma legal que disponga lo contrario, “el Responsable y el Encargado deberán proceder a la supresión de los datos personales en su posesión”.
El citado artículo menciona algunos factores que se deben considerar en cada caso concreto para establecer el tiempo de conservación de la información como, entre otros, “las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información”. Adicionalmente, dice la norma que los datos “deberán ser conservados cuando así se requiera para el cumplimiento de una obligación legal o contractual”.
Los edificios y conjuntos pueden tratar los datos por el tiempo necesario siempre y cuando justifiquen dicho término o período razonablemente. Ahora bien, en consonancia con el Principio de Responsabilidad Demostrada, el artículo en comento ordena a los responsables y Encargados “documentar los procedimientos para el Tratamiento, conservación y supresión de los datos personales de conformidad con las disposiciones aplicables a la materia de que se trate, así como las instrucciones que al respecto imparta la Superintendencia de Industria y Comercio”.
GARANTICE LA CONFIDENCIALIDAD DE LA INFORMACIÓN
Las personas involucradas en el Tratamiento de Datos Personales deben mantener en reserva o secreto los Datos Personales que conocen con ocasión de su trabajo o gestión (personas que viven en un inmueble, datos de contacto, vehículos, visitantes, videograbaciones, trabajadores). No pueden hacer de conocimiento público los datos privados a menos que lo autorice el titular o la ley o exista orden judicial. En efecto, de conformidad con el literal h) del artículo 4 de la Ley 1581 de 2012 “todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de
la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma”.
ES IMPORTANTE QUE LOS EDIFICIOS Y CONJUNTOS:
- Capaciten a su equipo humano (empleados, contratistas), al perteneciente a empresas de vigilancia privada o seguridad, a contadores y a todos los que tienen acceso a Datos Personales contenidos en planillas, grabaciones, formularios, etc., para que no suministren ni permitan acceso a esa información a terceros no autorizados por los Titulares de los datos o la ley.
- Pacten cláusulas de confidencialidad en todos los contratos con sus empleados, contratistas, contadores, empresas de vigilancia o seguridad y terceros.
- No envíen comunicaciones electrónicas masivas que permitan a los destinatarios conocer información de otras personas (direcciones de correo electrónico, cuentas de cobro, etc.). Remitan correos electrónicos de forma tal que el destinatario sólo pueda ver su dirección de correo y no tenga acceso a las direcciones de correo de otros destinatarios de la misma comunicación.
- Remitan mensajes únicamente a personas respecto de las cuales se tenga autorización previa, expresa e informada para enviarle
IMPLEMENTE ESTRATEGIAS DE RESPONSABILIDAD DEMOSTRADA (ACCOUNTABILITY) FRENTE AL TRATAMIENTO DE DATOS PERSONALES
Los edificios o conjuntos deben establecer la manera cómo probarán que han adoptado medidas útiles para cumplir las reglas sobre el Tratamiento de datos. Es necesario tener presente que, “los responsables del tratamiento de datos personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012” y en el Decreto 1377 de 2013. Medidas “apropiadas” son aquellas ajustadas a las necesidades del Tratamiento de datos. Y “efectivas” son las que permiten lograr el resultado o efecto que se desea o espera. En otras palabras, no se deben adoptar medidas inoperantes, inservibles, inanes o infructuosas. Solo se deben instaurar aquellas adecuadas, correctas, útiles, oportunas y eficientes con el propósito de cumplir los requerimientos legales para realizar Tratamiento de Datos Personales.
Es preciso resaltar que la regulación sobre Datos Personales impone cargas probatorias en cabeza de los responsables del Tratamiento como las siguientes: Conservar prueba de haber informado al Titular, al momento de solicitarle la Autorización, de manera clara y expresa lo que ordena el artículo 12 de la Ley 1581 de 2012 y, cuando el Titular lo solicite, entregarle copia de ello.
“Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular”. “Proveer una descripción de los procedimientos usados para la recolección, almacenamiento, uso, circulación y supresión de información, como también la descripción de las finalidades para las cuales la información es recolectada y una explicación sobre la necesidad de recolectar los datos en cada caso”.
“Documentar los procedimientos para el Tratamiento, conservación y supresión de los datos personales de conformidad con las disposiciones aplicables a la materia de que se trate”. “Desarrollar sus políticas para el tratamiento de los datos personales y velar porque los Encargados del Tratamiento den cabal cumplimiento a las mismas”. “Conservar el modelo del Aviso de Privacidad que utilicen para cumplir con el deber que tienen de dar a conocer a los Titulares la existencia de políticas del tratamiento de la información y la forma de acceder a las mismas, mientras se traten datos personales conforme al mismo y perduren las obligaciones que de este se deriven”. Adoptar “las medidas razonables para asegurar que los datos personales que reposan en las bases de datos sean precisos y suficientes y, cuando así lo solicite el Titular o cuando el responsable haya podido advertirlo, sean actualizados, rectificados o suprimidos, de tal manera que satisfagan los propósitos del tratamiento”. En suma, los edificios o conjuntos deben establecer medidas útiles, apropiadas y efectivas para cumplir sus obligaciones legales.
Adicionalmente, tendrán que evidenciar y demostrar el correcto cumplimiento de sus deberes. Dichas herramientas, deben ser objeto de revisión y evaluación permanente, a fin de determinar su nivel de eficacia en cuanto al cumplimiento y grado de protección de los Datos Personales. El reto frente al Principio de Responsabilidad Demostrada va mucho más allá de la mera expedición de documentos o redacción de políticas. Se trata de una actividad constante que exige demostrar un cumplimiento real y efectivo en la práctica de sus labores. No basta hacer meras declaraciones simbólicas de buenas intenciones, sino que es obligatorio evidenciar resultados concretos respecto del debido Tratamiento de los Datos Personales.
Es esencial realizar entrenamientos periódicos y especializados al equipo humano de la organización para proveerles la experticia, guía y herramientas que requieren para el correcto desarrollo de las tareas que involucren cualquier Tratamiento de Datos Personales.
Fuente: CARLOS ALFONSO BOSHELL NORMAN
