CONCEPTO 261284 DE 2015

<Fuente: Archivo interno entidad emisora>

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

Bogotá D.C.,

Señora

MARIA FERNANDA GAVIRIA

maria.gaviria@evedisa.com.co

Estimado(a) Señora:

Con el alcance previsto en el artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, damos respuesta a su consulta radicada en esta Entidad con el número que se indica en el asunto, en los siguientes términos:

1. Objeto de la consulta

Manifiesta en su escrito lo siguiente: (…) Me podrían colaborar con unas inquietudes que tengo respecto a la Ley 1581 de 2012. Actualmente estoy realizando una auditoría al proceso de comunicaciones de la empresa y encuentro que el proceso no tiene un manual o política de protección de datos personales de los empleados y tampoco registros de autorización. El proceso de comunicaciones básicamente envía comunicados sobre campañas internas, fotos y avisos de capacitaciones con los nombres de los empleados, por lo que allí entro en discusión de que en ningún momento en el contrato de cada empleado hay un numeral que aclare cómo y para qué serán utilizados sus datos (incluido correo corporativo).

Por lo anterior, quiero saber hasta que (sic) punto la Ley (sic) rige la protección de datos de los empleados y si es factible la empresa debe solicitar el permiso para el envío de comunicados al correo corporativo”.

A continuación nos permitimos suministrarle información relevante en relación con los interrogantes de su consulta, con el fin de brindarle mayores elementos de juicio al respecto. Lo anterior, teniendo en cuenta que esta oficina mediante un concepto no puede solucionar situaciones particulares.

2. Ámbito de aplicación de la Ley 1581 de 2012

La Ley 1581 de 2012, en su artículo 2, señala el ámbito de aplicación de la siguiente manera:

“Ámbito de aplicación. Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada.

(…)”

La precitada ley aplica al tratamiento, es decir, la recolección, almacenamiento, uso, circulación o supresión, de datos personales registrados en cualquier base de datos o archivos por parte de entidades públicas o privadas.

Ahora bien, el literal c) del artículo 3 de la Ley 1581 de 2012 define el dato personal en los siguientes términos: “Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.”

Al respecto, la Corte Constitucional mediante sentencia C-748 de 2011 señaló lo siguiente:

\"(…)

[E]n efecto, la jurisprudencia constitucional ha precisado que las características de los datos personales –en oposición a los impersonales- (29) [1] son las siguientes: “i) estar referido a aspectos exclusivos y propios de una persona natural, ii) permitir identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación (30) [2].”

(…)

Los datos personales, a su vez, suelen ser clasificados en los siguientes grupos dependiendo de su mayor o menor grado de aceptabilidad de divulgación: datos públicos, semiprivados y privados o sensibles (31) [3].

(…)

Por otra parte, llama la atención de la Sala que la definición del literal c) se restrinja a los datos de las personas naturales. Por tanto, la definición pareciera reñir, en principio, con algunos pronunciamientos de esta Corporación en los que se ha admitido que las personas jurídicas también pueden ser titulares del derecho al habeas data, como la sentencia T-462 de 1997 (32) [4] y C-1011 de 2008 (33) [5].

Sin embargo, en sentir de la Sala, no se trata de una restricción que desconozca la doctrina constitucional sobre la protección del habeas data en cabeza de las personas jurídicas, ni el principio de igualdad. Ciertamente, la garantía del habeas data a las personas jurídicas no es una protección autónoma a dichos entes, sino una protección que surge en virtud de las personas naturales que las conforman. Por tanto, a juicio de la Sala, es legítima la referencia a las personas naturales, lo que no obsta para que, eventualmente, la protección se extienda a las personas jurídicas cuando se afecten los derechos de las personas que la conforman”.

En consecuencia, el dato personal es cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables que cumplen con las siguientes características: (i) están referidos a aspectos exclusivos y propios de una persona natural, ii) permiten identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.

Ahora bien, la ley de protección de datos personales, en principio solo aplica para las personas naturales y no jurídicas. Sin embargo, eventualmente, la protección se extiende a las personas jurídicas cuando se afecten los derechos de las personas naturales que la conforman.

En el evento en que se vea afectada una persona natural que conforme una persona jurídica, se debe tener en cuenta que en el tratamiento de los datos personales como la recolección, almacenamiento, uso, circulación o supresión de los mismos es necesario la aplicación del principio de libertad definido en el literal c) del artículo 4 de la Ley 1581 de 2012 así:

\"c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.\"

Al respecto, la Corte Constitucional mediante Sentencia C-748 de 2011 señaló lo siguiente:

\"[P]rincipio de libertad: El tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

Este principio, pilar fundamental de la administración de datos, permite al ciudadano elegir voluntariamente si su información personal puede ser utilizada o no en bases de datos. También impide que la información ya registrada de un usuario, la cual ha sido obtenida con su consentimiento, pueda pasar a otro organismo que la utilice con fines distintos para los que fue autorizado inicialmente.

El literal c) del Proyecto de Ley Estatutaria no sólo desarrolla el objeto fundamental de la protección del habeas data, sino que se encuentra en íntima relación con otros derechos fundamentales como el de intimidad y el libre desarrollo de la personalidad. En efecto, el ser humano goza de la garantía de determinar qué datos quiere sean conocidos y tiene el derecho a determinar lo que podría denominarse su “imagen informática”.

(...)

En materia de manejo de información personal, el consentimiento exigido es además, calificado, por cuanto debe ser previo, expreso e informado. Sobre el particular, en la

Sentencia C-1011 de 2008 se sostuvo que tales características concretan la libertad del individuo frente al poder informático

(…)

En relación con el carácter previo, la autorización debe ser suministrada, en una etapa anterior a la incorporación del dato. (…)

En relación con el carácter expreso, la autorización debe ser inequívoca, razón por la cual, al contrario de lo sostenido por algunos intervinientes, no es posible aceptarse la existencia, dentro del ordenamiento jurídico colombiano, de un consentimiento tácito. (…)

En relación con el carácter informado, el titular no sólo debe aceptar el Tratamiento del dato, sino también tiene que estar plenamente consciente de los efectos de su autorización. (…)\"

Por lo anterior, el tratamiento de los datos personales solo puede realizarse cuando exista la autorización previa, expresa e informada del titular, con el fin de permitirle que se garantice que en todo momento y lugar pueda conocer en dónde está su información personal, para qué propósitos ha sido recolectada y qué mecanismos tiene a su disposición para su actualización y rectificación.

Respecto a la autorización el artículo 2.2.2.25.2.2., del Decreto 1074 de 2015 señala lo siguiente:

\"Autorización. El Responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento.\"

En concordancia con lo anterior, el artículo 2.2.2.25.2.4., del precitado decreto dispone:

“Modo de obtener la autorización. Para efectos de dar cumplimiento a lo dispuesto en el artículo 9 de la Ley 1581 de 2012, los Responsables del Tratamiento de datos personales establecerán mecanismos para obtener la autorización de los titulares o de quien se encuentre legitimado de conformidad con lo establecido en el artículo 2.2.2.25.4.1., del presente Decreto, que garanticen su consulta. Estos mecanismos podrán ser predeterminados a través de medios técnicos que faciliten al Titular su manifestación automatizada.

Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (í) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.”

Por lo anterior, los responsables del tratamiento de los datos personales deben obtener la autorización por parte del titular a más tardar al momento de su recolección informándole la finalidad específica del tratamiento de los mismos, y debe utilizar mecanismos que garanticen su consulta posterior.

Se entiende que el titular de la información ha dado su autorización para el tratamiento de los datos personales cuando: (i) sea por escrito; (ii) sea oral o (iii) mediante conductas inequívocas, es decir, aquellas que no admiten duda o equivocación, del titular que permitan concluir de forma razonable que otorgó la autorización. El silencio no puede asimilarse a una conducta inequívoca. Cuando se trate de datos personales sensibles la autorización para el tratamiento de tales datos deberá hacerse de manera explícita.

3. Conclusiones

3.1. Los datos personales permiten asociar a una persona natural determinada o determinable con las siguientes características: (i) están referidos a aspectos exclusivos y propios de una persona natural, ii) permiten identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.

3.2. La ley de protección de datos personales, en principio solo aplica para las personas naturales y no jurídicas. Sin embargo, eventualmente, la protección se extiende a las personas jurídicas cuando se afecten los derechos de las personas naturales que la conforman.

3.3. Los responsables del tratamiento de los datos personales tienen la obligación de obtener la autorización por parte del titular al momento de su recolección informándole la finalidad específica del tratamiento, esto es, la recolección, el almacenamiento, la circulación, uso y/o supresión de los mismos a través de mecanismos que garanticen su consulta posterior.

3.4. Se entiende que el titular de la información ha dado su autorización cuando: i) sea por escrito; (ii) sea oral o (iii) mediante conductas inequívocas, es decir, aquellas que no admiten duda o equivocación del titular que permitan concluir de forma razonable que otorgó la autorización. El silencio no puede asimilarse a una conducta inequívoca.

Si requiere mayor información sobre el desarrollo de nuestras funciones y sobre las normas objeto de aplicación por parte de esta entidad, puede consultar nuestra página de internet www.sic.gov.co

Notas de referencia

----------------------------------

[1] Ver sentencia T-729 de 2002, M.P. Eduardo Montealegre Lynett.

[2] Cfr. Sentencia T-414 de 1992, M.P. Ciro Angarita Barón

[3] Ver sentencias T-729 de 2002, M.P. Eduardo Montealegre Lynett; C-491 de 2007, M.P. Jaime Córdoba Triviño; y C-1011 de 2008, M.P. Jaime Córdoba Triviño, y artículo 3 de la Ley 1266

[4] M.P. Vladimiro Naranjo Mesa.

[5] M.P. Jaime Córdoba Triviño. La Corte expresó: “Aunque el precedente citado ha contemplado que la información de esta condición es propia de las personas naturales, en criterio de la Sala nada se opone a que la categoría se extienda a las personas jurídicas. Ello debido a que, en consonancia con lo señalado a propósito del análisis de constitucionalidad del literal a) del artículo objeto de examen, la aplicación del derecho al hábeas data financiero y, en general, de los principios de administración de datos personales, se predica a favor de todo sujeto jurídico que esté en capacidad de producir información susceptible de ser objeto de los actos de recolección, tratamiento y circulación a que refiere el artículo 15 C.P. En consecuencia, es compatible con la Carta Política que dentro de la definición de dato personal, se incluya el producido por las personas jurídicas, pues éstas son titulares del derecho al hábeas data.” (negrilla fuera del texto).

Atentamente,

WILLIAM ANTONIO BURGOS DURANGO

JEFE OFICINA ASESORA JURÍDICA

Disposiciones analizadas por Avance Jurídico Casa Editorial Ltda.©
"Instituto Colombiano para la Evaluación de la Educación - ICFES"
ISSN [2500-4409 En linea]
Última actualización: 15 de mayo de 2024

Las notas de vigencia, concordancias, notas del editor, forma de presentación y disposición de la compilación están protegidas por las normas sobre derecho de autor. En relación con estos valores jurídicos agregados, se encuentra prohibido por la normativa vigente su aprovechamiento en publicaciones similares y con fines comerciales, incluidas -pero no únicamente- la copia, adaptación, transformación, reproducción, utilización y divulgación masiva, así como todo otro uso prohibido expresamente por la normativa sobre derechos de autor, que sea contrario a la normativa sobre promoción de la competencia o que requiera autorización expresa y escrita de los autores y/o de los titulares de los derechos de autor. En caso de duda o solicitud de autorización puede comunicarse al teléfono 617-0729 en Bogotá, extensión 101. El ingreso a la página supone la aceptación sobre las normas de uso de la información aquí contenida.