EL TRATAMIENTO DE DATOS PERSONALES EN MEDIO DE LA PANDEMIA ¿Se requiere o no la autorización del titular?

por | Jul 8, 2020 | Covid-19, Protección de datos personales

En Colombia, la Ley 1581 de 2012 establece la obligación de solicitar la autorización de los titulares para poder recolectar y tratar sus datos personales, excepto en los casos que ella misma menciona.

Actualmente, y en virtud del Estado de Emergencia Económica, Social y Ecológica declarada como consecuencia de la pandemia, el Gobierno Nacional ha tomado medidas para contrarrestar sus efectos, evitar su propagación y contener el contagio, para lo cual, tanto el sector privado como el público han aunado esfuerzos para fortalecer la salud pública.

Estos esfuerzos se pueden notar tanto en la ejecución de proyectos para garantizar la atención de las personas contagiadas, así como en el manejo de la información; también, se han creado aplicaciones de carácter informativo para orientar a la población sobre el COVID-19 y, además, sirve de registro de datos para las personas que consideran presentar los síntomas del coronavirus. Otra de las acciones que se han organizado de manera conjunta con el sector privado es la entrega de ayudas socio económicas a la población más vulnerable, para lo cual hacen uso de bases de datos para poder contactarlos y que éstos logren acceder a estos apoyos.

Por otra parte, ahora que comenzó la fase de reactivación económica, por instrucción del Gobierno Nacional, y como parte de los protocolos de bioseguridad ordenados, las empresas en sus locales comerciales y demás sitios donde se permite el acceso al público, registran las personas que ingresan, tomando sus datos personales, y en la mayoría de los casos, toman estos datos, y los tratan, sin solicitar la autorización de su titular, basándose en la situación de emergencia que atraviesa el país.

En la mayoría de las situaciones antes descritas, se ha recolectado y usado los datos personales sin la autorización de los titulares, amparándose en la emergencia que vivimos y el bien que se persigue, de lo cual ha surgido una gran interrogante, ¿Realmente la emergencia producto de la pandemia habilita la recolección y tratamiento, incluso transmisión, de los datos personales sin la autorización de su titular?

Aunque la Ley no es completamente clara, la Corte Constitucional si lo ha sido, al punto que ha establecido los requisitos que deben cumplirse para poder recolectar y tratar los datos personales sin la autorización del titular en caso de una emergencia médica o sanitaria, y como veremos a continuación, el solo Decreto de Emergencia Sanitaria NO HABILITA el tratamiento de los datos personales sin la debida y expresa autorización de su titular.

Como se dijo al inicio, la Ley 1581 de 2012, ordena que para el Tratamiento de Datos Personales se requiere la autorización previa e informada del Titular; no obstante, la misma ley, en su Art. 10, establece los casos en los que esta autorización no será necesaria, entre los cuales se encuentra “c) Casos de urgencia médica o sanitaria;”

Esta excepción es la que ha servido de base para la “habilitación” del tratamiento de datos sin autorización de su titular, lo cual ha resultado también como una herramienta para que personas se aprovechen de esta circunstancia para usar medios fraudulentos para recolectar datos y suplantar identidades.

Ahora bien, dado que la Ley no desarrolla propiamente cómo opera la excepción vista, fue la Corte Constitucional en su sentencia C-748 de 2011, cuando examinó la constitucionalidad de la Ley 1581 de 2012, quien de manera específica estableció los requisitos para la aplicación de la norma frente a los casos de urgencia médica y sanitaria.

Requisitos para que no sea necesaria la autorización del titular, en el marco de una urgencia médica y sanitaria:

  1. Que suceda en una situación concreta de urgencia.
  2. Que no sea posible obtener la autorización del titular o resulte particularmente problemático gestionarla.
  3. Que, dadas las circunstancias de apremio, se pongan en riesgo o peligro otros derechos fundamentales, ya sea del titular o de terceras personas.

Como se puede observar, el solo Decreto de Emergencia Sanitaria no exime la obligación de obtener la autorización del titular para recolectar sus datos y darles el tratamiento requerido, pues en cada caso específico de emergencia, se debe evaluar el cumplimiento de los requisitos antes mencionados.

No debe perderse de vista que, el tratamiento de datos personales no es algo que deba tomarse a la ligera pues al estar involucrados derechos fundamentales de las personas, tanto la Ley como las autoridades son garantistas y protectoras, y de verificarse algún incumplimiento las consecuencias son bastante severas.

Incluso en medio de esta pandemia, hemos visto como la Superintendencia de Industria y Comercio (SIC) ha iniciado actuaciones administrativas para verificar si se está cumpliendo con la regulación colombiana relativa a la recolección y tratamiento de datos personales. Tal ha sido el caso de la Alcaldía Mayor de Bogotá, a propósito de su plataforma “Bogotá Cuidadora”, en la que los ciudadanos registraran y reportaran diferentes datos sobre el coronavirus (nombre, dirección, correo electrónico, identificación, localidad, número telefónico, horarios de salida, etc.), aunque la página aclara que todo es con el fin de minimizar los riesgos de contagio y propagación de la epidemia del covid-19.

Otros casos similares que están en revisión por parte de la SIC son:

  • La Alcaldía de Medellín, por su aplicación “Medellín me Cuida”.
  • La Gobernación del Valle y la Alcaldía de Cali, por su plataforma “CaliValleCorona”.
  • La Agencia Nacional Digital y el Instituto Nacional de Salud, como titulares de “CoronaApp”.

¿A qué sanciones se podrían enfrentar de verificarse el incumplimiento de las normas en materia de tratamiento de datos personales?

Multa de hasta 2.000 Salarios Mínimos Mensuales Legales Vigentes

($ 1.755.604.000 pesos)

Suspensión de las actividades relacionadas con el Tratamiento hasta por 6 meses.

Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.

¿QUÉ SE REVISA?

  • Tipo de actividad que realiza.
  • Datos que recolecta.
  • Política de Tratamiento de Datos Personales.
  • Aviso de privacidad.
  • Autorizaciones de los titulares para las distintas bases de datos que emplee.
  • Cumplimiento de la normativa de protección del tratamiento de datos personales.

¿QUÉ CONTIENE EL INFORME?

El informe que se presenta estará estructurado de la siguiente manera:

  • Informe general donde se describe la auditoría realizada, los hallazgos obtenidos y los cambios sugeridos para adecuarlo a la legislación vigente.
  • Cuadro descriptivo de los hallazgos, con la ubicación exacta de cada uno de los problemas detectados para facilitar la implementación de los cambios sugeridos.
  • Documentación necesaria para implementar los correctivos recomendados. Se presentan todos los documentos para la correcta gestión del tratamiento de datos personales de conformidad con la ley (Política de Tratamiento de datos Personales, Aviso de Privacidad, Autorizaciones de los titulares)
  • Adicionalmente, se realizan las recomendaciones en el ámbito laboral y comercial, así como dentro del funcionamiento de la empresa o actividad que desarrolle, para la implementación de la gestión del tratamiento de datos personales según lo ordenado por la legislación colombiana.

Por último, le recordamos que, si su empresa cuenta con una página, también le ofrecemos el servicio de DIAGNÓSTICO LEGAL DE PÁGINA WEB. Para conocer un poco más de este servicio, haga click aquí.

Si tiene alguna inquietud o necesita asesoría, no dude en comunicarse con nosotros.

Seguir leyendo

CONOZCA LAS VENTAJAS DE LA FIDUCIA EN GARANTÍA

CONOZCA LAS VENTAJAS DE LA FIDUCIA EN GARANTÍA

facebookinstagramlinkedin Circular Basica Jurídica de la Super Intendencia Finaciera C.E. 029 DEL 2014 RelacionadosHoy en día, cuando analizamos el mundo empresarial y el mercados nacional e internacional, uno de los factores que más influencia los negocios, es el...