Datos personales: todos somos responsables
04 de septiembre de 2018Contenido
Las normas de protección de datos personales se están robusteciendo a nivel mundial y volviéndose más estrictas, tendencia que se confirmó en mayo pasado con la entrada en vigor del Reglamento general de protección de datos (Rgpd) en la Unión Europea.
En Colombia, contamos desde los inicios de esta década con una reglamentación rigurosa en la materia, marcada por la entrada en vigor de la ley estatutaria 1581 de 2012. Aunque hayan pasado más de cinco años desde su promulgación, los empresarios colombianos siguen sin comprender todas las implicaciones de la norma, concentrándose principalmente en el registro de bases de datos ante la SIC, que ciertamente aplica a un número limitado de entidades.
La Ley 1581 establece una variedad de obligaciones que debe cumplir toda persona natural o jurídica responsable del tratamiento de datos personales, so pena de recibir una multa que puede sumar hasta 2.000 Smmlv -más de $1.500 millones- e incluso el cierre definitivo de su establecimiento.
Es preciso puntualizar que la noción de “Tratamiento de datos personales” se refiere a cualquier operación sobre datos personales, tal como la recolección, almacenamiento, uso, circulación o supresión, y que el “Responsable del tratamiento” es toda persona natural o jurídica que decide sobre la base de datos y/o el tratamiento. Así las cosas, prácticamente todas las empresas son consideradas responsables de tratamiento al manipular datos personales de clientes, proveedores y empleados.
La gran mayoría de empresarios y comerciantes colombianos son entonces responsables por las obligaciones legales estipuladas en la norma. En particular, toda persona responsable de tratamiento de datos personales debe implementar un procedimiento interno que incluya la solicitud automática de una autorización escrita de recolección y uso de los datos personales, que detalle entre otros la finalidad del tratamiento, los derechos que asisten al titular y la identificación del responsable del tratamiento.
También deben contar con un Manual Interno de políticas de tratamiento de datos personales que incluya un procedimiento para atender las consultas y reclamos de los titulares de los datos, y que garantice el derecho al habeas data.
El tratamiento de datos personales “sensibles”, por ejemplo los que atañen al origen racial, a las convicciones religiosas, a la historia clínica, a la orientación política de la persona, a la pertenencia a un sindicato o datos biométricos (huellas dactilares), debe ser de especial cuidado, toda vez que esos datos gozan de un nivel superior de protección por la delicadeza de la información que abarcan. En este caso, es obligatorio informar previamente al titular de forma explícita que no está obligado a autorizar el tratamiento, cuáles de los datos que suministra son sensibles y la finalidad del tratamiento.
Las entidades que manejan datos personales de menores de edad como los jardines infantiles y colegios son particularmente susceptibles de ser sancionados. En efecto, de conformidad con el artículo 7 de la Ley, queda prohibido el tratamiento de datos personales de niños, niñas y adolescentes. Si bien la Corte Constitucional, pronunciándose sobre la constitucionalidad de la Ley 1581 de 2012, concluyó que en ciertos casos es posible realizar el tratamiento de datos personales de menores de edad, nunca debe ponerse en riesgo la prevalencia de sus derechos fundamentales y debe inequívocamente responder a la realización de su interés superior.