Suscríbete
Este artículo fue publicado hace más de un año, por lo que es importante prestar atención a la vigencia de sus referencias normativas.

Concepto 13269399 de 27-12-2013


Actualizado: 27 diciembre, 2013 (hace 10 años)

Superintendencia de Industria y Comercio
Concepto 13269399
27-12-2013

Estimado(a) Señores:

Con el alcance previsto en el artículo 28 del Código de Procedimiento Administrativo y
Contencioso Administrativo, damos respuesta a su consulta radicada en esta Entidad con el número que se indica en el asunto, en los siguientes términos:

1. Objeto de la consulta

Manifiesta en su escrito lo siguiente: \"(…) El Ministerio ha contratado a un empresa para la atención de la mesa de Ayuda para los aplicativos tales como (…); cada vez que un usuario llama para hacer una consulta sobre alguno de estos temas se le preguntan datos personales, tales como nombres y apellidos, documento de identidad, ciudad, dirección y teléfono, que se archivan en una base de datos con el fin de dar respuesta a su petición y para hacer seguimiento al número de llamadas atendidas; ¿es necesario preguntarle al peticionario en cada llamada si autoriza la entrega de esos datos personales y su finalidad? o se entiende que nos encontramos en aplicación de lo dispuesto en el artículo 10 numeral literal a) (sic) de la ley (sic) 1581 de 2012 (…)\"

A continuación nos permitimos suministrarle información relevante en relación con el tema de la consulta, con el fin de brindarle mayores elementos de juicio al respecto. Lo anterior, teniendo en cuenta que esta oficina mediante un concepto no puede solucionar situaciones particulares.

2. Facultades de la Superintendencia de Industria y Comercio en materia de datos personales

La Ley 1581 de 2012, en su artículo 21 señala las siguientes funciones para esta Superintendencia:

a) Velar por el cumplimiento de la legislación en materia de protección de datos personales;

b) Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. Para el efecto, siempre que se desconozca el derecho, podrá disponer que se conceda el acceso y suministro de los datos, la rectificación, actualización o supresión de los mismos;

c) Disponer el bloqueo temporal de los datos cuando, de la solicitud y de las pruebas aportadas por el Titular, se identifique un riesgo cierto de vulneración de sus derechos fundamentales, y dicho bloqueo sea necesario para protegerlos mientras se adopta una decisión definitiva.

d) Promover y divulgar los derechos de las personas en relación con el Tratamiento de datos personales e implementara campañas pedagógicas para capacitar e informar a los ciudadanos acerca del ejercicio y garantía del derecho fundamental a la protección de datos.

e) Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley.

f) Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones.

g) Proferir las declaraciones de conformidad sobre las transferencias internacionales de datos.

h) Administrar el Registro Nacional Público de Bases de Datos y emitir las órdenes y los actos necesarios para su administración y funcionamiento.

i) Sugerir o recomendar los ajustes, correctivos o adecuaciones a la normatividad que resulten acordes con la evolución tecnológica, informática o comunicacional.

j) Requerir la colaboración de entidades internacionales o extranjeras cuando se afecten los derechos de los Titulares fuera del territorio colombiano con ocasión, entre otras, de la recolección internacional de datos personales.

k) Las demás que le sean asignadas por ley.

2.1. Ámbito de aplicación de la Ley 1581 de 2012

La Ley 1581 de 2012, en su artículo 2, señala el ámbito de aplicación de la siguiente manera:

\"Ámbito de aplicación. Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada.

(…)\"

La precitada ley aplica al tratamiento, es decir, la recolección, almacenamiento, uso, circulación o supresión, de datos personales registrados en cualquier base de datos o archivos por parte de entidades públicas o privadas.

Respecto al concepto de bases de datos o archivos la Corte Constitucional mediante Sentencia C-748 de 2011 señaló lo siguiente:

\"El literal b) define las bases de datos como un “(…) conjunto organizado de datos personales que sea objeto de tratamiento”. Pese a que esta definición es bastante amplia y parece coincidir más con la de banco de datos empleada en la Ley 1266, en tanto el legislador goza de libertad de configuración en la materia, puede adoptar definiciones diferentes dependiendo de la regulación.

Ahora bien, la definición se ajusta a la Carta, pues cobija todo espacio donde se haga alguna forma de tratamiento del dato, desde su simple recolección, lo que permite extender la protección del habeas data a todo tipo de hipótesis. En concordancia, la Sala recuerda, como se indicó en la consideración 2.4.3.2., que el concepto de base de datos cobija los archivos, entendidos como depósitos ordenados de datos, lo que significa que los archivos están sujetos a las garantías previstas en el proyecto de ley.\"

Por lo anterior, la Ley 1581 de 2012 se aplica a los datos personales que se encuentren en bases de datos o archivos de entidades públicas o privadas, entendidos estos, como el conjunto organizados o depósitos ordenados de datos personales sujetos a tratamiento, es decir, a la recolección, el almacenamiento, el uso, la circulación o la supresión de los mismos.

Ahora bien, respecto a la aplicación de la Ley 1581 de 2012 en cuanto al tratamiento por las entidades públicas y privadas, la Corte Constitucional en la precitada Sentencia señaló:

\"[P]or último, respecto de la tercera condición –posibilidad de tratamiento de los datos por entidades públicas o privadas, para la Sala surge la duda de si el empleo del término entidades supone una restricción inconstitucional, pues podría limitar el ámbito de aplicación a datos personales susceptibles de ser tratados solamente por personas jurídicas, lo que excluiría los casos de tratamiento por personas naturales.

Sin embargo, la Sala observa que el término entidad tienen varias acepciones, una de la cuales incluye a las personas naturales. En efecto, según el Diccionario de la Real Academia de la Lengua, una entidad puede ser una “[c]olectividad considerada como unidad. Especialmente, cualquier corporación, compañía, institución, etc., tomada como persona jurídica”, pero también puede ser un “[e]nte o ser”; esta segunda definición –más amplia- cobija a las personas naturales.

Así, en atención a los principios de interpretación conforme a la Constitución y de conservación del derecho, la Sala concluye que debe entenderse –sin necesidad de condicionar la exequibilidad del precepto- que la interpretación del inciso que se ajusta a la Carta es aquella según el cual el término entidades comprende tanto las personas naturales como jurídicas. De modo que así entendida la condición, la Sala también concluye que es compatible con la Carta, pues cobija las hipótesis necesarias para que el proyecto cumpla su finalidad de brindar protección a los datos personales.

Para terminar, resalta la Sala la importancia de esta disposición, en tanto reconoce que el tratamiento de datos personales también puede ser efectuado por personas privadas; de hecho, en el mundo globalizado, el sector privado lleva a cabo una parte muy considerable del tratamiento de datos, lo que lo dota de un poder informático a gran escala y lo convierte en un potencial vulnerador del derecho al habeas data. De ahí que uno de los grandes retos de la protección de los datos personales es la creación de mecanismos para hacer responsables a los particulares por el tratamiento inadecuado y abusivo de datos personales.\"
Por lo anterior, es responsable del tratamiento de los datos personales la persona natural o jurídica pública o privada cuando decide sobre la base de datos en la que se encuentran o su tratamiento, esto es, la recolección, almacenamiento, uso, circulación o supresión de los mismos.

2.2. Casos en los que no se necesita autorización del titular de los datos personales

El artículo 10 de la Ley 1581 de 2012 señala los casos en que no es necesaria la autorización, entre ellos, lo siguiente: \"a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.\"

Respecto a esta excepción la Corte Constitucional mediante Sentencia C-748 de 2011, señaló lo siguiente: En relación, con las autoridades públicas o administrativas, señaló la Corporación que tal facultad “no puede convertirse en un escenario proclive al abuso del poder informático, esta vez en cabeza de los funcionarios del Estado. Así, el hecho que el legislador estatutario haya determinado que el dato personal puede ser requerido por toda entidad pública, bajo el condicionamiento que la petición se sustente en la conexidad directa con alguna de sus funciones, de acompasarse con la garantía irrestricta del derecho al hábeas data del titular de la información. En efecto, amén de la infinidad de posibilidades
en que bajo este expediente puede accederse al dato personal, la aplicación del precepto bajo análisis debe subordinarse a que la entidad administrativa receptora cumpla con las obligaciones de protección y garantía que se derivan del citado derecho fundamental, en especial la vigencia de los principios de finalidad, utilidad y circulación restringida.

Para la Corte, esto se logra a través de dos condiciones: (i) el carácter calificado del vínculo entre la divulgación del dato y el cumplimiento de las funciones de la entidad del poder Ejecutivo; y (ii) la adscripción a dichas entidades de los deberes y obligaciones que la normatividad estatutaria predica de los usuarios de la información, habida consideración que ese grupo de condiciones permite la protección adecuada del derecho.

En relación con el primero señaló la Corporación que “la modalidad de divulgación del dato personal prevista en el precepto analizado devendrá legítima, cuando la motivación de la solicitud de información esté basada en una clara y específica competencia funcional de la entidad.” Respecto a la segunda condición, la Corte estimó que una vez la entidad administrativa accede al dato personal adopta la posición jurídica de usuario dentro del proceso de administración de datos personales, lo que de forma lógica le impone el deber de garantizar los derechos fundamentales del titular de la información, previstos en la Constitución Política y en consecuencia deberán: “(i) guardar reserva de la información que les sea suministrada por los operadores y utilizarla únicamente para los fines que justificaron la entrega, esto es, aquellos relacionados con la competencia funcional específica que motivó la solicitud de suministro del dato personal; (ii) informar a los titulares del dato el uso que le esté dando al mismo; (iii) conservar con las debidas seguridades la información recibida para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento; y (iv) cumplir con las instrucciones que imparta la autoridad de control, en relación con el cumplimiento de la legislación estatutaria.”

En relación con la orden judicial, dijo la Corporación que “si bien no existe una autorización expresa del titular que circunscriba la circulación del dato, la posibilidad de acceso resulta justificada en la legitimidad que tienen en el Estado Constitucional de Derecho las actuaciones judiciales, ámbitos de ejercicio de la función pública sometidos a reglas y controles, sustentados en la eficacia del derecho al debido proceso y rodeado de las garantías anejas a éste, en especial, los derechos de contradicción y defensa.

Así, reconociéndose la importancia de esta actividad en el régimen democrático, entendida como pilar fundamental para la consecución de los fines estatales de asegurar la convivencia pacífica y la vigencia de un orden justo y advirtiéndose, del mismo modo, que el acto de divulgación en este caso responde a una finalidad constitucionalmente legítima, el precepto examinado es exequible.”

Por lo anterior, las autoridades administrativas podrán realizar el tratamiento de los datos personales sin autorización del titular, siempre y cuando la solicitud de información esté basada en una clara y específica competencia funcional de la entidad y garanticen la protección de los derechos de hábeas data del titular.

Las entidades públicas o los particulares que ejerzan funciones administrativas deberán cumplir especialmente con los siguientes principios, consagrados en el artículo 4 de la Ley 1581 de 2012:

\"b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.\"

Es decir, las entidades administrativas deben utilizar los datos personales únicamente para los fines que justificaron la entrega de los mismos, esto es, aquellos relacionados con la competencia funcional específica que motivó la solicitud de suministro del dato personal, e informar al titular el uso de los mismos.

Principio de seguridad: La información sujeta a Tratamiento por el Responsable del tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

Las entidades administrativas deben implementar las medidas técnicas, humanas y administrativas necesarias para garantizar la seguridad de los datos personales evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

3. Conclusiones

3.1. La Ley 1581 de 2012 se aplica a las bases de datos personales susceptibles de tratamiento, esto es, la recolección, el uso, el almacenamiento, la circulación y supresión de los datos personales por parte de cualquier persona natural o jurídica, pública o privada.

3.2. No se necesita de autorización del titular de los datos personales cuando la  Información sea requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial y podrán realizar el tratamiento de los datos personales siempre y cuando la solicitud de información esté basada en una clara y específica competencia funcional de la entidad y garanticen la protección de los derechos de hábeas data del titular.

Si requiere mayor información sobre el desarrollo de nuestras funciones y sobre las normas objeto de aplicación por parte de esta entidad, puede consultar nuestra página de internet www.sic.gov.co

Proyectó: Carolina García
Revisó: William Burgos D.

Atentamente,
WILLIAM ANTONIO BURGOS DURANGO
Jefe Oficina Asesora Jurídica

Más artículos sobre

Concepto / OficioDerecho ComercialNORMATIVIDADDerecho LaboralAuditoría y revisoría fiscalDerecho ComercialEstándares InternacionalesFinanzasImpuestosPropiedad HorizontalDesarrollo ProfesionalContabilidad

Superindustria y Comercio

Resolución 11923 del 14-03-2022

Circular Externa 003 de 30-03-2020

Sentencia 9758 de 27-08-2019

Resolución 93503 de 27-12-2018

Resolución 92709 de 21-12-2018

Concepto 18-216299 de 08-10-2018

Sentencia 9757 de 06-08-2018

Circular Externa 003 de 01-08-2018

Concepto 18-117301-00001-0000 de 21-05-2018

Concepto 18184591 de 19-02-2018

Sentencia 00002175 de 14-02-2018

Sentencia 00001727 de 05-02-2018

Descubre más recursos registrándote o logueándote. Iniciar sesión Registro gratuito
, ,