Este artículo fue publicado hace más de un año, por lo que es importante prestar atención a la vigencia de sus referencias normativas.
Para comprender el Art. 25 del Decreto 1377 de 2013 que regula el contrato para el tratamiento de datos personales, es necesario conocer los conceptos tratamiento, encargado, responsable y titular descritos en el Art. 3 de la Ley 1581 de 2012.
El Tratamiento es la operación o conjunto de operaciones, tales como la recolección, almacenamiento, uso, circulación o supresión, sobre datos personales. Por ejemplo: la recepción y colocación dentro de una plataforma web de la información (dirección de su residencia y números de teléfono) que efectúa una empresa de sus clientes.
El Encargado del Tratamiento es la persona que a mutuo propio o de manera conjunta con otras, realiza el tratamiento de datos personales por cuenta del Responsable del Tratamiento. Muestra de ello es la empresa que almacena y administra una base de datos en una plataforma web por cuenta de otra organización.
El Responsable del Tratamiento es la persona que por sí misma o de forma asociada con otras, decide sobre la base de datos y/o el Tratamiento de los datos. Es el caso de la sociedad que emplea la base de datos de sus clientes para realizar el seguimiento de los pagos y para enviar publicidad de su portafolio de servicios.
El Titular es la persona natural cuyos datos personales serán objeto de tratamiento. Ejemplo de ello es la persona natural que entrega información de la dirección de su domicilio, números telefónicos de contacto, entre otros aspectos a otra persona.
Aunado a ello, la citada norma establece que el encargado se obliga a realizar el tratamiento de acuerdo con la política de tratamiento de información que le defina el responsable; realizar, a nombre del responsable, las operaciones de tratamiento, según la finalidad que le señaló el titular de los datos personales, la ley y los principios que lo tutela; velar por la seguridad de las bases de datos en donde se almacenan los datos personales; y guardar la respectiva confidencialidad frente al tratamiento de los datos personales.
El Decreto al señalar que durante la relación contractual el encargado del tratamiento de los datos personales obra en nombre y/o por cuenta del responsable, da a entender que éste último asume la responsabilidad por los daños causados al titular de los datos personales, en razón a la infracción por cualquiera de los dos o por ambos de las disposiciones legales y contractuales.
Ahora, es importante precisar que ello no aminora la diligencia que asume el encargado en el cumplimiento de sus obligaciones contractuales, como guardar la confidencialidad, dar un uso adecuado a los datos personales, entre otros, pues, en todo caso, el responsable, luego de indemnizar al titular, podrá repetir contra el encargado, atendiendo su participación en la causación del daño al titular.
Por último, se aclara que en una sola persona puede confluir de manera simultánea las calidades de responsable y encargado del tratamiento, por ende, en este evento no podría existir contrato de tratamiento de datos personales, pues nadie puede contratar a sí mismo. Además, dicha persona asumiría los deberes legales de ambas calidades frente al titular de los datos personales (Arts. 17 y 18 de la Ley 1581 de 2012).
Ab. José Vicente Hurtado P.
Universidad Santo Tomás, Seccional Bucaramanga.
Especialista en Derecho Comercial. Universidad Externado de Colombia.
*Exclusivo para actualicese.co
Fundada en el año 2000 con la misión de “elevar el nivel profesional del Contador Público”
