Protección de datos personales en Colombia: normatividad vigente, principios y procedimientos claves para su cumplimiento

La protección de datos personales en Colombia ha adquirido una relevancia considerable en los últimos años, especialmente a partir de la promulgación de la Ley 1581 de 2012 que estableció el Régimen General de Protección de Datos Personales. La importancia de esta normatividad radica en la creciente necesidad de salvaguardar la privacidad y seguridad de los ciudadanos (as) en un mundo cada vez más digitalizado, por lo que su objetivo se enmarca en proteger los derechos de las personas en relación con el manejo de su información personal. Las entidades que realizan la recepción y tratamiento de dichos datos deben hacerlo de manera adecuada, conforme a los principios legales establecidos.

Dentro de esta protección, adquiere especial relevancia el tratamiento de los datos sensibles, los cuales pueden afectar la intimidad de su titular o el uso indebido de los mismos puede generar situaciones de discriminación, de acuerdo con lo indicado por el artículo 5de la Ley 1581 de 2012:

Artículo 5°. Datos sensibles. Para los propósitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos. (Negrilla fuera del texto original)

Este artículo explora los principios, derechos y garantías que conforman el Régimen General de Protección de Datos Personales, además de las obligaciones de las empresas en la inscripción de bases de datos en el Registro Nacional de Bases de Datos – RNBD, teniendo en cuenta Ley Estatutaria 1581 de 2012, el Decreto 90 de 2018, el Decreto 1074 de 2015, el Decreto 4886 de 2011 y el Decreto 092 de 2022

Los “Principios para el tratamiento de datos personales” establecidos en el artículo 4 de la Ley 1581 de 2012, establecen los lineamientos fundamentales que deben guiar cualquier actividad relacionada con el manejo de la información personal, los cuales pueden sintetizarse de la siguiente manera:

• Legalidad: El tratamiento debe estar sujeto a las disposiciones legales vigentes.
• Finalidad: Los datos personales solo pueden ser tratados para fines legítimos e informados previamente al titular.
• Libertad: El tratamiento solo puede realizarse con el consentimiento previo, expreso e informado del titular.
• Veracidad o Calidad: Los datos recolectados deben ser veraces, completos y actualizados.
• Transparencia: El titular tiene derecho a obtener información sobre el tratamiento de sus datos en cualquier momento.
• Acceso y Circulación Restringida: Los datos solo pueden ser tratados por personas autorizadas.
• Seguridad: Se deben adoptar medidas técnicas, humanas y administrativas para proteger los datos personales.
• Confidencialidad: Los responsables del tratamiento deben mantener la confidencialidad de los datos, incluso después de terminado el tratamiento.

Así mismo, el artículo 8 de dicha Ley refiere los derechos y condiciones de legalidad para el tratamiento de datos de los titulares que les permiten controlar el uso de su información:

• Derecho de acceso: Conocer cuáles son los datos que están siendo tratados y cómo.
• Derecho de actualización y rectificación: Solicitar la corrección de datos incorrectos o desactualizados.
• Derecho de supresión: Solicitar la eliminación de datos cuando ya no sean necesarios para los fines autorizados.
• Derecho de revocación del consentimiento: Retirar el consentimiento otorgado en cualquier momento.
• Derecho a presentar quejas ante la Superintendencia de Industria y Comercio – SIC.

Ahora bien, teniendo claro los principios y derechos en el tratamiento de datos personales, es propicio mencionar las obligaciones que los responsables y encargados de ese tratamiento ostentan:

• Obtener el consentimiento del titular antes de recolectar y tratar los datos.
• Implementar políticas internas para el tratamiento adecuado de los datos.
• Adoptar medidas de seguridad para proteger los datos de acceso no autorizado o fraude.
• Permitir que los titulares accedan a sus datos y ejerzan sus derechos.

Adicionalmente, es mandatorio adoptar una Política de Tratamiento de Datos Personales, por lo cual se debe tener en cuenta el Decreto 1074 de 2015 o Decreto Único Reglamentario del Sector Comercio, Industria y Turismo que consolida las normas relacionadas con la protección de datos personales, en particular, aquellas contenidas en la Ley 1581 de 2012, además, especifica los mecanismos para la implementación de las normas de protección de datos y establece las funciones y responsabilidades de las entidades encargadas de su tratamiento.  

De igual manera, ha de señalarse el Decreto 090 de 2018, el cual no solo complementa a la Ley de Protección de Datos, sino que además establece la obligación de determinadas entidades de inscribir sus bases de datos en el RNBD administrado por la SIC. De acuerdo con el literal “a” del artículo 2.2.2.26.1.2 del Decreto 1074 de 2015, modificado a su vez por el artículo primero del Decreto 090 del 2018, se establecieron los sujetos a quienes se les impone la obligación de efectuar el registro:

“ARTÍCULO 1. Modifíquese el artículo 2.2.2.26.1.2 del Decreto 1074 de 2015 – Decreto Único Reglamentario del Sector Comercio, Industria y Turismo, el cual quedará así:

ARTÍCULO 2.2.2.26.1.2. Ámbito de aplicación. Serán objeto de inscripción en el Registro Nacional de Bases de Datos, las bases de datos que contengan datos personales cuyo Tratamiento automatizado o manual sea realizado por los responsables del tratamiento que reúnan las siguientes características:”

1. Sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 Unidades de Valor Tributario (UVT).
2.  Personas jurídicas de naturaleza pública.”

Lo anterior, propende por centralizar la información sobre el manejo de bases de datos, permitiendo un mayor control y supervisión por parte del gobierno sobre el tratamiento de los datos personales, lo cual también aplica a todas las personas, tanto públicas como privadas, que recolecten, almacenen, usen o circulen datos personales. Así mismo, cuando la norma hace referencia a las sociedades, se alude a todas las empresas que hayan sido constituidas bajo el ordenamiento comercial, sin importar su clase societaria.

El artículo segundo del Decreto 090 de 2018 que modifica el artículo 2.2.2.26.3.1 del Decreto Único Reglamentario, señaló el plazo que se debe observar por parte de estas entidades para efectuar el correspondiente registro:

“ARTÍCULO 2.2.2.26.3.1. Plazo de inscripción. La inscripción de las bases de datos en el Registro Nacional de Bases de Datos se llevará a cabo en los siguientes plazos:

1. Los Responsables del Tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 610.000 Unidades de Valor Tributario (UVT), deberán realizar la referida inscripción a más tardar el treinta (30) de septiembre de 2018, de acuerdo con las instrucciones impartidas por la Superintendencia de Industria y Comercio;
2. Los Responsables del Tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 y hasta 610.000 Unidades de Valor Tributario (UVT), deberán realizar la referida inscripción a más tardar el treinta (30) de noviembre de 2018, de conformidad con las instrucciones impartidas por la Superintendencia de Industria y Comercio.
3. Los Responsables del Tratamiento, personas jurídicas de naturaleza pública, deberán realizar la referida inscripción a más tardar el treinta y uno (31) de enero de 2019, de conformidad con las instrucciones impartidas por la Superintendencia de Industria y Comercio.

Las bases de datos que se creen con posterioridad al vencimiento de los plazos referidos en los literales a), b) y c) del presente artículo, deberán inscribirse dentro de los dos (2) meses siguientes, contados a partir de su creación“. (Negrilla fuera del texto original).

En caso de incumplimiento por parte de los responsables del tratamiento de datos personales, deben acogerse las disposiciones que consagran las sancione, para ello, el artículo 23 de la Ley 1581 de 2012 ha dispuesto que la SIC es la autoridad competente para ejercer la vigilancia y el control sobre el tratamiento de datos personales en Colombia, así como de ser la encargada de investigar y sancionar a las entidades que infrinjan las disposiciones legales relacionadas con dicha protección.

El artículo 25 de la Ley 1581 de 2012 establece que la SIC puede imponer las siguientes medidas: (i) Multas de hasta el equivalente a 2.000 salarios mínimos legales mensuales vigentes; (ii) Suspensión temporal de las actividades relacionadas con el tratamiento de datos personales; o (iii) Cierre temporal o definitivo de las operaciones que infrinjan la ley, especialmente cuando la infracción persista.

Adicionalmente, el Decreto 4886 de 2011, que reorganiza la SIC, refuerza estas facultades al otorgarle la capacidad de investigar, supervisar y sancionar a las entidades que incumplan con las obligaciones establecidas en la Ley, garantizando así la efectiva protección de los derechos de los titulares de los datos personales

El Decreto 092 de 2022, reorganiza la estructura de la SIC, y si bien no introduce nuevas disposiciones sobre protección de datos, refuerza la capacidad de la entidad para llevar a cabo sus funciones de vigilancia y control sobre el tratamiento de los mismos, en aras de investigar, sancionar y supervisar a las entidades públicas y privadas que realizan el manejo de datos personales en el país.

Teniendo en cuenta lo anterior, dichas disposiciones no son ajenas al sector salud, por ello las entidades que lo conforman deben dar cumplimiento a la normativa indicada previamente, con miras a evitar sanciones impuestas por la SIC por la violaciones de las disposiciones de la Ley 1581 de 2012 relativa al manejo de datos personales.  Para ejemplificar lo anterior, puede traerse a colación la confirmación de una sanción a una Entidad Promotora de Salud en el año 2020 mediante la Resolución No. 77049 del 30 de noviembre[1] por las siguientes infracciones:

• No garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data (Ley 1581, 2012, art. 17, literal a).
• No conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento (Ley 1581, 2012, art. 17, literal e).
• No rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento (Ley 1581, 2012, art. 17, literal g).

Con todo, puede indicarse que el marco legal proporcionado por la Ley 1581 de 2012 se ve complementado por normativas clave como el Decreto 1074 de 2015, que establece los mecanismos para la implementación efectiva de la Ley; el Decreto 90 de 2018, que refuerza la obligación de inscripción en el RNBD, permitiendo un control riguroso sobre el manejo de la información personal; el Decreto 4886 de 2011, que otorga a la SIC la capacidad de ejercer funciones de vigilancia, control y sanción sobre las entidades que incumplen las disposiciones de la Ley; y el Decreto 092 de 2022 refuerza la estructura organizativa de la SIC, mejorando su capacidad operativa para supervisar de manera efectiva el tratamiento de datos personales.

A través de estas regulaciones, no solo se garantiza la gestión adecuada de las bases de datos, sino que también se imponen sanciones significativas en caso de infracciones, creando un entorno de confianza esencial en el contexto digital actual, que se enmarca en la normativa descrita, lo cual permite asegurar la privacidad y protección de los derechos de los ciudadanos, promoviendo un manejo seguro y responsable de los datos personales en un mundo cada vez más digitalizado lo cual se torna en una prioridad para la garantía de los derechos de los ciudadanos y ciudadanas.

BIBLIOGRAFIA:

Decreto 090 de 2018. Por el cual se modifican los artículos 2.2.2.26.1.2 y 2.2.2.26.3.1 del Decreto 1074 de 2015 – Decreto Único Reglamentario del Sector Comercio, Industria y Turismo. 18 de enero de 2018. https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=85039

Decreto 092 de 2022. Por el cual se modifica la estructura de la Superintendencia de Industria y Comercio, y se determinan las funciones de sus dependencias. 24 de enero de 2022. https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=176826

Decreto 1074 de 2015. Por medio del cual se expide el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo. 26 de mayo de 2015. https://www.suin-juriscol.gov.co/viewDocument.asp?id=30019935

Decreto 4886 de 2011. Por medio del cual se modifica la estructura de la Superintendencia de Industria y Comercio, se determinan las funciones de sus dependencias y se dictan otras disposiciones. 23 de diciembre de 2011. https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=66371

Ley 1581 de 2012. Por la cual se dictan las disposiciones generales para la protección de datos personales. 17 de octubre de 2012. DO: 48587. https://www.suin-juriscol.gov.co/viewDocument.asp?ruta=Leyes/1684507

Superintendencia de Industria y Comercio, (2020). Resolución 77049 del 30 de noviembre de 2020. Radicación 18-179365. https://www.sic.gov.co/sites/default/files/boletin-juridico/Res%2077049%20EPS%20SANITAS%20VP%20F.pdf

Realizado por:
IRINA DEL CARMEN CASTILLO HERAZO
CONSULTOR LEGAL GONZALEZ PAEZ ABOGADOS S.A.S

[1] Superintendencia de Industria y Comercio, Resolución 77049 del 30 de noviembre de 2020. https://www.sic.gov.co/sites/default/files/boletin-juridico/Res%2077049%20EPS%20SANITAS%20VP%20F.pdf