La Superintendencia de Industria y Comercio, mediante la presente doctrina, reitera que el tratamiento de los datos personales solo puede realizarse cuando exista la autorización previa, expresa e informada del titular, con el fin de permitirle que se garantice que en todo momento y lugar pueda conocerse en dónde está su información personal, cómo fue recolectada y los medios para que la misma sea actualizada y rectificada.
Por otra parte, la Superintendencia de Industria y Comercio aclaró que el silencio del titular en ningún momento puede ser considerado una conducta inequívoca de autorización al responsable de los datos personales.
El registro nacional de bases de datos –RNBD– es un directorio público administrado por la Superintendencia de Industria y Comercio, que puede ser consultado libremente por cualquier ciudadano.
La ley de protección de datos es aplicable independiente de si la relación entre el responsable del tratamiento de datos y el receptor superan la frontera nacional. La Ley 1581 de 2012 prohíbe la transferencia a países que no proporcionen seguridad en el tratamiento de datos.
Andrés Guzmán Caballero, CEO de Adalid, explica cómo se pueden eliminar, de forma segura y definitiva, archivos de un computador o un celular. Los datos legalmente protegidos solamente son aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación.
La finalidad y usos que se le darán a los datos, contar con una persona o área responsable de la protección de datos, procedimientos de actualización de los mismos al interior de la organización, y dar a conocer las políticas internas sobre el tema, son algunos puntos que se deben tener en cuenta.
Todo acreedor bancario tiene derecho a poseer información de relevancia crediticia sobre su cliente, y está legitimado para usar dicha información bajo las condiciones que su posición contractual le impone en el marco de los derechos y obligaciones inherentes al crédito, por su esencia y naturaleza.
Cuando se realice la transferencia internacional de datos personales a países que tienen un nivel adecuado de protección de datos personales, el responsable en virtud del principio de responsabilidad demostrada debe ser capaz de demostrar que ha implementado medidas apropiadas y efectivas para garantizar el adecuado tratamiento de los datos personales que transfieren a otro país y para otorgar seguridad a los registros al momento de efectuar dicha transferencia. Si la trasferencia internacional de datos personales se pretende hacer a un país que no se encuentre dentro de la lista emitida por la Superintendencia de Industria y Comercio, el responsable deberá: 1) Verificar si la operación está comprendida dentro de una de las causales de excepción establecidas en el artículo 26 de la Ley 1581 de 2012, entre ellas, que el titular de los datos personales haya otorgado su autorización de manera expresa e inequívoca para la transferencia; y 2) Verificar si ese país cumple con los estándares señalados en el numeral 3.1 del capítulo tercero del título V de la Circular única de la Superintendencia de Industria y Comercio.
Mediante concepto, la Superintendencia de Industria y Comercio señaló que las fuentes y operadores de información deben garantizar al titular de la información que los datos personales suministrados al operador son veraces, completos, exactos y comprobables, y tomar las medidas necesarias para que dicha información esté permanentemente actualizada y rectificarla cuando sea incorrecta. Cuando el titular de la información requiera hacer consulta o presentar reclamaciones puede hacerlo de manera verbal o escrita a través de líneas de atención telefónica o medios electrónicos siempre y cuando sea posible verificar la identidad del titular y se garantice la seguridad de la información. Por otra parte, señala la entidad que, de acuerdo con la finalidad de interés público de la información financiera, crediticia, comercial, de servicios y la proveniente de terceros, la ley consagra la posibilidad de consultar dicha información de manera gratuita al menos una vez cada mes calendario.
El 30 de septiembre de 2018 se cumplirá el plazo para que las sociedades y entidades sin ánimo de lucro con activos superiores a 20.225 millones de pesos registren sus bases de datos ante la SIC. A través del Decreto 0090 de 2018 el Ministerio de Comercio redujo el universo de sujetos obligados a efectuar el RNBD.
La Ley 1581 de 2012, la cual establece las disposiciones generales para la protección de datos personales, señala las excepciones para su aplicación, y no se encuentran dentro de las mismas las que tengan que ver con procesos disciplinarios de entidades educativas; por ello, les es aplicable dicha ley y los decretos reglamentarios en calidad de responsables o encargados del tratamiento de los mismos.
El tiempo corre para las personas jurídicas y naturales que no se han inscrito en el Registro Nacional de Bases de Datos –RNBD–. Hay que recordar que la fecha se amplió hasta el 30 de junio de este año.
La Ley 1581 de 2012 se aplica a los datos personales que se encuentren en bases de datos o archivos de entidades públicas o privadas, entendidos estos, como conjuntos organizados o depósitos ordenados de datos personales sujetos a tratamiento, es decir, a la recolección, el almacenamiento, el uso, la circulación o la supresión de los mismos. Por lo anterior, las imágenes captadas en cámaras de vigilancia encuadran dentro del concepto de dato personal y en consecuencia, les resulta aplicable el régimen de protección de datos personales prevista en dicha ley. Sin embargo, cuando la grabación se lleve a cabo en un ámbito exclusivamente personal o doméstico, se realice con finalidad periodística o tenga como finalidad la seguridad y defensa nacional, no le resultará aplicable lo dispuesto en la ley de protección de datos personales.