Usted está aquí

SuperIndustria se pronuncia sobre la obligación que tienen los Responsables del tratamiento de datos personales de obtener autorización del titular

En días pasados la Superintendencia de Industria y Comercio emitio un concepto respecto de la obligación que tiene los Responsables del tratamiento de datos personales de obtener autorización por parte de los titulares de los mismos, para poder realizar el respectivo tratamiento y, además deben informarles la finalidad de dicho tratamiento.

 

Por lo anterior, se debe conceptualizar que es un dato personal, para lo cual esta entidad mencionó que en concordancia con la Ley 1581 de 2012, es cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables que cumplen con las siguientes características: (i) están referidos a aspectos exclusivos y propios de una persona natural, ii) permiten identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales en lo relativo a su captación, administración y divulgación.

 

Por su parte, el tratamiento de datos personales, se entiende como la utilización, recolección, almacenamiento, circulación y supresión de los datos personales que se encuentren registrados en cualquier base de datos o archivos por parte de entidades públicas o privadas y cuyo procesamiento sea utilizando medios tecnológicos o manuales.

 

En cuanto a datos sensibles, esta Superintendencia se refirió a que son aquellos que afectan la intimidad de las personas el uso indebido de los mismos puede generar su discriminación, pues está relacionada, entre otros aspectos, con la salud, la orientación sexual, los hábitos del individuo y el credo religioso y político.

 

Aunado a lo anterior, la Ley 1581 de 2012 señala los eventos en los que se puede realizar el tratamiento de datos sensibles, esto es, la recolección, el almacenamiento, el uso, la circulación o supresión de los mismos, entre ellos, cuando el titular haya dado su autorización explícita para ello, o cuando se trate de datos relacionados con la salud que resultan necesarios para la adecuada prestación del servicio médico y permiten salvaguardar un interés vital del titular y este se encuentre física o jurídicamente incapacitado.

 

En consecuencia, los responsables del tratamiento de datos personales deben obtener la autorización expresa por parte del titular a más tardar al momento de su recolección informándole la finalidad específica del tratamiento de los mismos, y debe utilizar mecanismos que garanticen su consulta posterior.

 

Adicionalmente, esta entidad recalcó que en todo caso se entiende que el titular de la información ha dado su autorización para el tratamiento de sus datos personales cuando: (i) sea por escrito; (ii) sea oral o (iii) mediante conductas inequívocas, es decir, aquellas que no admiten duda o equivocación, del titular que permitan concluir de forma razonable que otorgó la autorización, pero por ninguno motivo el silencio podrá asimilarse a una conducta inequívoca. En el caso de los datos sensibles, la autorización explícita se refiere solo a que sea de manera escrita o verbal.

 

Por último, la Superintendencia hizo especial énfasis a los datos personales relativos a la salud de los titulares, ya que se consideran datos sensibles, así las cosas la Ley 1581 de 2012 señala los eventos en los que se puede realizar el tratamiento de datos sensibles, esto es, la recolección, el almacenamiento, el uso, la circulación o supresión de los mismos, entre ellos, cuando el titular haya dado su autorización explícita para ello, o cuando exista una ley que releve el consentimiento previo del titular cuando ha establecido la obligatoriedad de un determinado tratamiento de datos personales.



 

PDF icon Descargar Archivo (517.28 KB)