Lo que todo emprendedor debe saber de datos personales y su registro ante la sic

Hoy en día todos estamos corriendo pues debemos cumplir el término que estableció la Superintendencia de Industria y Comercio para registrar las bases de datos que contengan datos personales, el cual vence el 31 de enero de 2018. Pero más que cumplir con esta obligación ¿qué debemos saber las personas y los emprendedores sobre este tema? Aquí se los explicaremos de forma muy sencilla.

¿Sabías que los derechos de los titulares de datos personales están establecidos en la Constitución Política de Colombia?

Les explicaremos muy brevemente la normatividad en la materia para no aburrirlos con este tema. Resulta que en los artículos 15 y 20 de la Constitución, se establecen como DERECHOS DE LAS PERSONAS los siguientes:

  • A conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución. La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley. Para efectos tributarios o judiciales y para los casos de inspección, vigilancia e intervención del Estado podrá exigirse la presentación de libros de contabilidad y demás documentos privados, en los términos que señale la ley.

  • A recibir información imparcial y veraz.

 

Estos derechos son desarrollados con mayor detalle en un segundo nivel de normas, son las que llamaremos Leyes Estatutarias miremos:

  1. Ley Estatutaria 1266 de 2008 "Habeas Data": se aplica a todos los datos personales financieros, crediticios, comerciales y de servicios registrados en un banco de datos. Otro tipo de datos (por ejemplo, aquellos mantenidos en un ámbito exclusivamente personal o doméstico o los que se incluyen en una historia clínica) se encuentran excluidos de la aplicación de esta norma.

  2. Ley Estatutaria 1581 de 2012 "Datos Personales" y sus Decretos Reglamentarios: reconoce y protege el derecho que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos que sean susceptibles de tratamiento por entidades de naturaleza pública o privada.

¿De estas normas mencionadas que debemos saber entonces?

En primer lugar, debemos tener claras las siguientes definiciones, para determinar qué tipo de datos tratamos en nuestras empresas, así como que datos nuestros están siendo objeto de tratamiento por parte de otros empresarios:

Titular: Persona natural cuyos datos personales sean objeto de operaciones como la recolección, almacenamiento, uso, circulación o supresión por parte de la persona natural o jurídica que realiza el Tratamiento de sus datos personales.

Dato personal: Es toda aquella información asociada a una persona y que permite su identificación. Por ejemplo, su documento de identidad, el lugar de nacimiento, estado civil, edad, lugar de residencia, trayectoria académica, laboral, o profesional. Existe también información más sensible como su estado de salud, sus características físicas, ideología política, vida sexual, entre otros aspectos.

Dato Público: Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

Dato Semiprivado: Es el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas.

Dato Privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular de la información.

Dato Sensible: Es el dato que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos. Es importante tener en cuenta que la ley prohíbe el Tratamiento de datos sensibles, solo se permite excepcionalmente, si se cumplen ciertas condiciones.

Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. La regla general es que siempre es necesario obtener la autorización previa del Titular para el tratamiento de datos personales. La autorización no será necesaria cuando la Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial, cuando el tratamiento sea sobre datos de naturaleza pública, en los casos de urgencia médica o sanitaria, cuando el tratamiento esté autorizado por la ley para fines históricos, estadísticos o científicos, cuando sean datos relacionados con el Registro Civil de las Personas.

Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos

Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento

Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior. El Responsable del tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados así como todas las finalidades específicas del tratamiento para las cuales se obtiene el consentimiento.

Se entenderá que la autorización cumple con estos requisitos cuando se manifieste por escrito, de forma oral o mediante conductas inequívocas del Titular que permitan concluir de forma razonable que otorgó la autorización.

Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.

¿Cuáles son los deberes que tenemos los Responsables y/o Encargados del Tratamiento de datos personales?

  • Informar y garantizar el ejercicio de los derechos de los Titulares.

  • Tramitar las consultas, solicitudes y reclamos que realicen los Titulares.

  • Utilizar únicamente los datos personales que hayan sido obtenidos mediante autorización, a menos que los mismos no la requieran.

  • Respetar las condiciones de seguridad y privacidad de la información del titular.

  • Cumplir las instrucciones y los requerimientos impartidos por la SIC

  • Tener una política de datos personales con los mínimos establecidos en la Ley.

  • Proceder con el registro de las bases de datos antes el Registros Nacional de Bases de Datos administrado por la Superintendencia de Industria y Comercio, antes del 31 de Enero de 2018 por parte de personas jurídicas de naturaleza privada y sociedades de economía mixta inscritas en las cámaras de comercio del país y antes del 31 de Enero de 2019 las personas naturales, entidades de naturaleza pública distintas de las sociedades de economía mixta y personas jurídicas de naturaleza privada que no están inscritas en las cámaras de comercio.

¿Qué información debemos indicar cuando estemos recolectando información del Titular?

  • El tratamiento al cual serán sometidos y la finalidad con la que es recaudado el dato personal, por ejemplo, si es para cumplir obligaciones relacionadas con la actividad comercial por la cual está recolectando los datos, si es para envio de información promocional, para fines estadísticos etc.

  • Los derechos que le asisten como Titular.

  • La información y los canales de comunicación a través de los cuales los Titulares pueden ejercer sus derechos ante el Responsable y/o Encargado del Tratamiento.

  • El derecho que el Titular de dar o no respuesta a preguntas que versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.

¿Cuáles son las sanciones que trae la ley por el no cumplimiento de estas obligaciones?

  1. a) Multas hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción.

  2. b) Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses.

  3. c) Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio;

  4. d) Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles;

Estos son los puntos más importantes que debemos tener claros, tanto como personas por los derechos que tenemos, así como empresarios por las obligaciones que este tema nos genera.

Recuerda que, teniendo todos estos aspectos al día te evitaras multas o cierres de tu establecimiento de comercio y cumpliras de las exigencias legales.

Si tienes dudas o requieres de apoyo referente a este tema, recuerda que puedes contar con nosotros, en Taller A podemos asesorarte mientras nos tomas un café del bueno.

Fuentes:

  • Constitución Política de Colombia

  • Leyes Estatutarias: 1266 de 2008 y 1581 de 2012

  • Decretos: 1377 de 2013, 886 de 2014, 1074 de 2015, 1759 de 2016, 1115 de 2017

  • Página web Superintendencia de Industria y Comercio: http://www.sic.gov.co/proteccion-de-datos-personales