La AUTORIZACIÓN en las Reuniones Virtuales

por | Sep 6, 2022 | Blog

Trasladar las relaciones interpersonales de:  encuentros, reuniones, capacitaciones, conferencias  y de  negocios a entornos digitales o virtuales, conlleva un reto para las organizaciones publico y privadas en el manejo y tratamiento de la información personales que recolectan con ocasión de las conexiones que se surten en las diferentes plataformas de internet que facilitan la interacción en cualquiera de los sectores.
El mayor de los retos entre otros se enfoca en la recolección legal de información personal, ya que en la normatividad colombiana solo existe una forma de legitimar el consentimiento de los titulares y es señalada en el articulo 9 de la ley 1581 de 2012: 
«Autorización del Titular. Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior» (negrilla fuera de texto original).
En ese sentido, es imperativo la adecuación tecnológica de las organizaciones para efectos de dar cumplimiento a este artículo, además porque el aparte final imprime la obligación a los responsables y encargados de administrar información personal, de conservar copia de la misma con el fin de poder  consultarse posteriormente, bien por el titular que otorgo el consentimiento (persona natural) o por requerimiento de la entidad que ejerce el control la inspección y la vigilancia que es la Superintendencia de Industria y Comercio.
Por su parte el decreto 1074 de 2015 en su articulo 2.2.2.25.2.4 trae las formas como los responsables y encargados puede obtener la autorización: 
  • De forma escrita, 
  • De forma oral, 
  • Mediante conductas inequívocas del titular. 
La primera por defecto siempre se usa en documentos físicos y su conservación no tienen mayor complicación en los archivos de la organización, el segundo muy utilizado por los call center de los bancos y los que prestan servicios de telemercadeo y el tercero utilizado en espacios donde utilizan sistemas de video vigilancia y se da mediante la publicación de avisos de privacidad en donde se le informa a las personas de este hecho  (que están siendo grabados) y en todo caso, tengan en cuenta que debe existir una conducta (acción) positiva del titular que no genere duda razonable de que autorizó el tratamiento.
También por el avance de la tecnología y la tendencia mundial de trasladar el mundo físico a modo virtual, especialmente como consecuencia de la pandemia, ya es común las invitaciones  a salas virtuales vía correo electrónico, whatsApp o telegram etc., y lo que es importante señalar en materia de protección de datos es que; previo al registro para cualquier tipo de reunión, el titular debe realizar el check (opt in) que traen los formularios virtuales y que es obligatorio para participar, esta acción positiva por parte de los titulares es necesaria y solo así la organización al menos de entrada, dará cumplimiento a la normatividad evitando una eventual investigación de la Superintendencia por este concepto, que no es el único pero si uno de los más importante en cuanto a la legitimación del consentimiento. ¿Ya lo implementan?.
Las mismas reglas operan para los menores de edad en donde los padres deben autorizar el tratamiento de la información personal, caso en el cual los responsables y encargados deberán dar aplicación a las mismas reglas. (Colegios, universidades etc..) el reto es una oportunidad.         
Es importante indicar que la norma trae excepciones, en donde no es necesaria la autorización y que señalamos a continuación:
  • Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial; 
  • Datos de naturaleza pública;
  • Casos de urgencia médica o sanitaria;
  • Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos;
  • Datos relacionados con el registro civil de las personas. 
Sin embargo, al no ser necesaria la autorización en los casos arriba señalados, si es importante dar cumplimiento al resto de principios y obligaciones que trae la ley 1581 de 2012 y sus decretos reglamentarios.  
¿QUÉ DEBEN INFOMAR LOS RESPONSABLE Y ENCARGADOS AL TITULAR? 
  1. Nombre o razón social y datos de contacto (mail, dirección y teléfono) del Responsable,
  2. Informar cuál es el tratamiento al que será sometida la información personal recolectada. 
  3. Indicar la finalidad,
  4. Informar los derechos de los titulares,
  5. El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes; 
  6. Informar la forma en que pueden acceder a la Política de Tratamiento de Datos de la organización.
Estos elementos son necesarios indicarlos en la autorización (aviso de privacidad), independientemente del medio utilizado; es decir; en forma electrónica, escrita, oral o mediante conducta inequívoca. 
Es así, como en pleno auge de la tecnología sea en forma virtual o en reuniones presenciales, la autorización debe ser un elemento importante a la hora en que la organización convoca, realiza y prepara encuentros con la personas apoyados en la tecnología. 
Nota: En cualquiera de los casos física o virtual, la entidad publico y/o privada debe estar en capacidad de conservar copia de la autorización que el titular otorgo previo al evento o al ingreso de la sala virtual independiente de la plataforma (tercero) utilizada, por ello el reto es importante, ya que la autorización para el tratamiento de datos es el resultado del desarrollo del derecho del habeas data consagrado en el artículo 15 de la Constitución Política y con buen contenido jurisprudencial por parte de la Corte Constitucional en donde lo reconoce como un derecho autónomo. 

Día Internacional de la Protección de Datos Personales, un asunto de conciencia

por | Sep 6, 2022 | Blog

Mucho se habla de la protección de datos personales en el mundo y en Colombia particularmente desde la promulgación de la ley estatutaria 1581 de 2012. Pero de ¿dónde nace la idea de proteger los datos de las personas? Su importancia radica desde el siglo pasado con el convenio 108 de 1981 de 28 de enero del Consejo Europeo, catalogado como el primer convenio internacional jurídicamente vinculante, que suponía que los estados que accedieran al mismo se obligaban a adoptar las garantías previstas en su articulado. 

El convenio hace referencia al tratamiento automatizado de los datos de carácter personal y fue actualizado en Estrasburgo el 10 de octubre de 2018 y aunque en principio solo accedían a él los estados parte del Concejo de Europa, posteriormente se abrió para que cualquier país pudiera adherirse, lo que han hecho países como Uruguay, México, Argentina y Colombia en palabras del superintendente de industria y comercio Andrés Barreto González “Hemos hecho todos los pasos precontractuales” lo que nos indica que muy pronto haremos parte del convenio y llama la atención porque es perfectamente aplicable al tratamiento de datos personales que realizan las compañías en el mundo. Ahora bien, en nuestro país la Superintendencia de Industria y Comercio a través de la Delegatura de Protección de Datos  Personales, es la entidad que garantiza y vigila que, en el tratamiento que se realice a los datos personales se respeten los derechos, garantías y procedimientos señalados por la ley.

Una mirada al impacto que tiene esta Delegatura en nuestro país tiene que ver que en 2019 por ejemplo, impartió 105 multas por mal uso de datos personales, equivalente a 10.150.916.837 millones de pesos y emitió 875 órdenes a entidades públicas y privadas   con el fin de que implementen medidas que garanticen la seguridad de la información.

La Superintendencia también revelo los motivos más frecuentes de las reclamaciones:

1. Calidad de la información 47,7%

2. Suplantación de identidad 31,8%

3. No comunicación previa 9,2%

4. Supresión del dato 7,2%

5. Falta de autorización 2,1%

En total son 12.850 quejas referentes al mal uso de la protección de los datos personales, con un crecimiento del 36% comparado con 2018. Así mismo, señaló algunas de las ciudades en donde se presentan las quejas, entre ellas están:  

1. Bogotá 5.670

2. Barranquilla 574

3. Cali 491

4. Medellín 466

5. Bucaramanga 218

En una encuesta que realizó la Superintendencia pudo detectar lo siguiente:

  •    Seis de cada 10 empresas no han tomado medidas apropiadas para la seguridad de datos   personales.
  •  El 65% de las empresas no han implementado medidas para la seguridad de los datos   personales.
  •    El 79% de las empresas no tienen política específica de protección de datos
  •    Se emitieron 148 órdenes a empresas, para que implementen medidas de protección. 

La Superintendencia como autoridad de protección de datos realizó también en 2019 visitas de inspección en diferentes sectores de la economía (Responsables del tratamiento) como: venta directa, salud, fintech, construcción, educación, financiamiento, propiedades horizontales, telecomunicaciones entre otras. Estas visitas son con el fin de hacer pedagogía, conciencia y sensibilizar de la importancia del cumplimiento de la norma.

Las cifras arriba expuestas son tomas de la SIC, y son un llamado a las compañías y responsables en general que operan en Colombia, para que establezcan al interior de sus organizaciones mecanismos que les permitan dar cumplimiento al Régimen General de Protección de Datos, y también a los ciudadanos para que todos tomemos conciencia de que los datos en el siglo 21 son el activo más importante de una sociedad, por lo que ellos representan, y por ende, su tratamiento debe realizarse a las luz de las disposiciones legales que el gobierno nacional ha establecido para ello.