Protección de datos personales - Autorización como hito clave para el tratamiento de datos personales

La protección de datos personales dejó de ser un asunto exclusivo del área de cumplimiento para convertirse en un factor de riesgo reputacional, sancionatorio y contractual que atraviesa cualquier operación empresarial. Desde la expedición de la Ley Estatutaria 1581 de 2012 y su decreto reglamentario 1377 de 2013, toda persona natural o jurídica que recolecte, almacene, use, circule o suprima datos de terceros en Colombia es responsable del tratamiento y está sujeta a la vigilancia de la Superintendencia de Industria y Comercio (SIC).

En esta entrada explicamos tres pilares que, en nuestra práctica, concentran la mayor parte de las consultas y los hallazgos sancionatorios: el alcance del régimen, los derechos del titular y la importancia de la autorización previa.

1. ¿Qué regula la Ley 1581 de 2012?

La Ley 1581 desarrolla el derecho fundamental consagrado en el artículo 15 de la Constitución Política, esto es, el derecho de toda persona a conocer, actualizar y rectificar la información que se haya recogido sobre ella en bases de datos. Define su ámbito de aplicación, sus principios rectores, las categorías especiales de datos, el procedimiento para el tratamiento de los datos, los derechos de los titulares de la información, las situaciones en que es y no es necesaria la autorización del titular, el deber de información que debe ejercerse frente al titular, el proceso para la corrección de información cuando sea necesario, y los deberes de los responsables y encargados del tratamiento.

La autoridad de vigilancia es la SIC, a través de la Delegatura para la Protección de Datos Personales, que tiene competencia para imponer sanciones que pueden llegar hasta 2.000 SMMLV, suspender actividades de tratamiento y ordenar el cierre temporal o definitivo de operaciones que involucren tratamiento de datos sensibles.

2. Los ocho derechos del titular

3. La autorización previa: el corazón del sistema

La regla general, sin perjuicio de las excepciones previstas en la ley, es que en el tratamiento se requiere la autorización previa e informada del titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior. Esta exigencia, contenida en el artículo 9, es el pilar operativo de todo programa de cumplimiento en materia de datos, por tres razones prácticas:

La autorización debe ser previa: solicitarla después de recolectar el dato no subsana la irregularidad. La SIC ha sancionado de forma reiterada a empresas que envían comunicaciones comerciales a bases de datos adquiridas sin verificar el origen del consentimiento.

La autorización debe ser expresa: no se presume del silencio, de la navegación en un sitio web, ni de casillas premarcadas. Debe existir una manifestación inequívoca y activa del titular.

La autorización debe ser informada: el titular debe conocer, antes de autorizar, las finalidades específicas del tratamiento, los derechos que le asisten, el carácter facultativo de las respuestas a preguntas sobre datos sensibles, y la identidad del responsable.