Importancia del dato personal depende de la categoría a la que pertenezca

Carolina Solano Medina, líder de la Unidad de Derecho Corporativo, Negocios Internacionales y Litigios de VS+M Abogados, afirma que el objetivo principal de la política sobre el tratamiento de datos personales es establecer un procedimiento para atender las consultas y reclamos de los titulares.

¿Qué parte de la ley debe cumplir una empresa y qué otra parte se puede seguir trabajando posterior a la inscripción de la base de datos, sin incumplir?

Hoy, la totalidad de las obligaciones establecidas en la Ley 1581 del 2012 y el Decreto 1377 del 2013 son exigibles por parte de los entes de control; de ahí que no aconsejo hacer una distinción frente al tiempo del registro de la base de datos. Las empresas deben cumplir con la totalidad de las obligaciones ya. El único plazo previsto por el marco jurídico se trata del momento de hacer el registro y que vence el 31 de diciembre del 2016.

¿Qué es lo mínimo que debe realizar una empresa para cumplir la ley?

Recomendamos verificar sus prácticas en materia de protección de datos personales antes de hacer el registro de su base de datos. Esto le permitirá identificar su grado de cumplimiento; de tal manera:

• Determine si cuenta con las autorizaciones apropiadas para evidenciar el consentimiento de quien ha entregado su dato personal y si tales evidencias están organizadas y son de fácil consulta.
• Determine si cuenta con una política sobre el tratamiento de datos personales, y si es conocida y aplicada por quienes tienen que responder a los requerimientos de los titulares de los datos personales.
• Determine niveles de seguridad sobre las bases de datos físicas y digitales que le permitan cumplir con su deber de custodia.
• Determine si sus encargados o terceros contratados para usar la base de datos por instrucción de su empresa, conocen el alcance de sus deberes de protección de datos personales y si hay contrato escrito y claro que asigne responsabilidades por el uso de los datos personales.

¿Qué condición puede afectar para que un dato personal tenga más peso ante la ley, la frecuencia de su uso, el manejo o la característica del mismo?

La importancia del dato personal no depende de la frecuencia del uso ni de su manejo, sino de la categoría a la que pertenezca. La ley prevé que existen varias categorías de datos personales según sus características y a cada una se le asigna un nivel distinto de protección:

1. La primera es la de datos personales públicos, que son aquellos que se encuentran en bases de datos públicas y según la Sentencia C-748 del 2011 no exigen autorización de su titular para ser obtenidos.
2. La segunda son los datos personales privados. Son aquellos que por su naturaleza íntima o reservada solamente son relevantes para el titular de la información. Estos solo pueden ser obtenidos y usados si el titular entrega una autorización o si por orden de autoridad judicial deben entregarse.
3. La tercera son los datos personales sensibles. Son los datos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación y por lo tanto son secretos. Guardan relación directa con los derechos fundamentales a la dignidad, intimidad y libertad. Estos solo pueden ser obtenidos y usados si el titular da una autorización especial. El nivel de la obligación de custodia es superior.

¿Cuál es el límite para que un dato deje de ser relevante para no tenerlo en cuenta ante la Ley de Protección de Datos?

El dato deja de ser relevante si es público. Hay que aclarar que dato público no es aquel que se ponga a disposición del público como ocurre con la información que se comparte en internet o redes sociales, entre otros escenarios, sino que es aquel que tiene carácter público por estar en una base de datos pública. Ejemplos de estas son el RUP, RUNT, SMIT, licencias de conducción y registro mercantil de las Cámaras de Comercio.

¿Es necesario crear un documento o una política por cada tipo de dato personal que maneja una empresa o se puede reunir en un solo documento?

El objetivo principal de la política sobre el tratamiento de datos personales es establecer un procedimiento para atender las consultas y reclamos de los titulares. En este sentido, una empresa puede establecer procedimientos para sus empleados, proveedores y clientes, o puede elegir un solo procedimiento para todos estos tipos de titulares. La decisión es potestativa de la empresa y no existe una exigencia concreta por parte de la ley.

¿Aplicar la Ley de Protección de Datos significa que se debe contratar más personal para implementarla y mantenerla?

La ley no impone la obligación de contratar más personal. Lo que exige es que haya una persona o área responsable y que sea proporcional al tamaño y oficio de la empresa.

Con la inscripción en el Registro Nacional de Bases de Datos de la base de datos de una empresa y el reporte de las políticas del tratamiento de la información, ¿se podría decir que esta cumple con lo solicitado? ¿Qué más tiene que hacer la empresa?

Registrar la base de datos e informar sobre su política de tratamiento de datos personales son dos de las muchas obligaciones que tienen las empresas en materia de Habeas Data; a continuación citamos las otras:

1. Las empresas deben solicitar permanentemente autorización adecuada de nuevos integrantes de las bases de datos.
2. Guardar evidencia ordenada de las autorizaciones.
3. Abstenerse de usar los datos personales fuera del alcance de las autorizaciones entregadas.
4. Mantener la información actualizada.
5. Registrar cambios de la información suministrada a la SIC.
6. Custodiar los datos personales.
7. Atender reclamos y consultas.
8. Publicar la política de tratamiento de datos personales.

¿Se pueden comprar bases de datos de personas para utilizarlas con fines de comercio o publicidad?

Es posible comprar las bases de datos, siempre y cuando el vendedor cuente con autorización de los titulares para transmitir a un tercero la información para usarla con fines comerciales y de publicidad. Si el vendedor no cuenta con la autorización de cada titular, entonces el comprador estará haciendo un uso no autorizado de los datos personales y podría ser sancionado por la SIC.

Material relacionado

• [Entrevista] Cultura de protección de datos personales aún es insuficiente
• [Comercial] Proceso de registro de bases de datos: en noviembre termina el plazo
• [Comercial] Personas jurídicas con bases de datos deben efectuar reporte especial en la SIC