Entidades públicas no requieren autorización para el tratamiento de datos personales

La Superintendencia de Industria y Comercio recordó los eventos en los cuales no se requiere autorización para el tratamiento de datos personales por parte de entidades públicas. No obstante, dicha facultad no es absoluta, ya que debe ajustarse a determinados presupuestos.

El siguiente caso de estudio se abordará con base en el Concepto 18 – 319930 – 2 de 2018, emitido por la Superintendencia de Industria y Comercio, referente a los eventos en los cuales las instituciones públicas no deben obtener permiso de los titulares para el tratamiento de datos personales.

La definición de datos personales se encuentra establecida en el literal c) del artículo 3 de la Ley 1581 de 2012, que dispone como dato personal toda información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables a futuro.

Según la mencionada entidad, para que dicha información sea considerada como tal (dato personal) debe cumplir las siguientes características:

• Referirse a aspectos exclusivos de una persona natural.
• Permitir la identificación de la persona con la ayuda de esos y otros datos.
• Información de propiedad exclusiva del titular.
• Que el tratamiento de dicha información esté sometido a normas espaciales que regulen su captación, administración y divulgación.

Para acceder al uso de dichos datos debe contarse con el permiso expreso del titular, tal como lo dispone el literal c) del artículo 4 de la ley en mención, el cual establece que el tratamiento de datos solo puede llevarse a cabo con el consentimiento previo, expreso e informado del titular.

Con base en lo anterior, se tiene que dicha autorización debe o puede ser expresada por escrito u oralmente, mediante conductas inequívocas que permitan concluir razonablemente que el titular consintió el uso de sus datos personales.

Excepción de autorización para entidades públicas

El artículo 10 de la Ley 1581 de 2012 establece que cuando una entidad administrativa requiera la información de determinados datos personales para el ejercicio de sus funciones (como, por ejemplo, requerir el nombre completo, número de celular o la dirección de residencia de una persona para hacer llegar una comunicación, notificación, etc.) o por orden judicial (orden de un juez), no requerirá autorización del titular. No obstante, deberá informársele que se está haciendo uso de sus datos, así como la fuente de donde provino la información.

Al respecto, la Corte Constitucional, mediante la Sentencia C – 748 de 2011, dispuso que al obtener dicha información la entidad pública deberá:

• Guardar absoluta reserva de la información.
• Informar al titular el uso que se le está dando a sus datos personales.
• Conservar con la seguridad necesaria la información, en aras de evitar su pérdida, deterioro, alteración, uso no autorizado, etc.

Lo anterior, bajo el precepto de que dicha facultad “no puede convertirse en un escenario proclive al abuso del poder informático, esta vez en cabeza de los funcionarios del Estado.”

Como conclusión, se tiene que para el uso de datos personales se debe tener expresa autorización por parte del titular. Sin embargo, en lo que concierne a la obtención de la información por parte de entidades públicas estas no requieren autorización para el uso de dichos datos, siempre que sea con el objetivo de cumplir sus funciones.

Material relacionado:

• [Análisis] Protección de datos por transferencia o transmisión de datos a terceros en otros países
• [Comunicado] Política de tratamiento y protección de datos personales
• [Análisis] Ley de Habeas Data es aplicable para datos crediticios y comerciales de adolescentes