El derecho constitucional a la protección de datos personales y su afectación en el sector solidario
Por: Javier Enrique Sandoval Gómez
Experto en Protección de Datos Personales certificado por la IAITG de España
Consultor en Protección de Datos Personales
Auditor Interno de Sistemas Integrados de Gestión certificado por el ICONTEC
Diez años de experiencia en el sector solidario
Docente universitario
Aunque poco se sabía del tema, desde el año 2012, el Congreso de la República había emitido la ley estatutaria 1581 en la cual se establecieron las disposiciones generales para la protección de los datos de las personas naturales los cuales son (y serán) objeto de tratamiento, es decir, de recolección, almacenamiento, uso, circulación y/o supresión del mismo. En el 2013 se emitió el Decreto 1377 y en el 2014 el Decreto 886 los cuales fueron derogados y reemplazados por el Decreto 1074 de 2015, el cual reglamenta la Ley 1581.
En el 2018 se emitió el Decreto 090, así como también se han publicado varios documentos y circulares externas emitidas por la Superintendencia de Industria y Comercio, quien es la autoridad sobre la materia en Colombia.
A mi juicio, considero que, durante muchos años, al tema de la protección de datos personales no se le dio la importancia que merecía, por una parte, porque se confundía con la Ley 1266 de 2008 la cual se relacionaba también con el Hábeas Data, pero era el data financiero y, por la otra, y a pesar de los grandes esfuerzos de la SIC por socializar y sensibilizar el tema, para las personas naturales aun no les era claro el derecho que esta ley les protegía ni tampoco era claro el procedimiento que se debía seguir para exigir esos derechos. Sólo hasta cuando se comenzaron a difundir las primeras sanciones económicas a las empresas que no cumplían con los requisitos de la norma fue que el tema comenzó a recobrar la importancia con la se concibió.
Hoy en día el panorama es diferente, las personas dueñas de los datos tienen mayor conocimiento acerca de los deberes que les asisten a los responsables y a los encargados del tratamiento. Así mismo, también tienen información relacionada con el cómo exigir sus derechos en cuanto al Hábeas Data se refiere y qué procedimientos deben seguir cuando sus derechos no son atendidos. Es por esto que, sólo en el 2018, se impusieron multas por violación de los datos personales a 71 empresas y estas sanciones ascendieron a 5.600 millones de pesos.
En lo que va del 2019, la suma de sanciones por violaciones a las disposiciones en la protección de datos personales ya sobrepasa los 1.000 millones de pesos. Esto no sorprende, teniendo en cuenta que, aún muchas organizaciones confunden la ley de protección de datos personales con la ley de hábeas data financiero, o con la leyde delitos informáticos e, incluso, se confunde con la ley de trasparencia de la información.
Por otra parte, no se puede desconocer que la ley de protección de datos personales es una ley ESTATUTARIA, lo que significa que tiene un rango superior sobre las demás leyes y su aplicación es de carácter prioritario. Ese rango de superioridad se lo da el hecho de que la naturaleza de su contenido vela por los “derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma” (Art. 1º de la Ley 1581
de 2012).
Autoridades en Colombia en materia de Protección de Datos Personales
Conforme con el Artículo 19 de la Ley 1581 de 2012, la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio será quien ejerza la vigilancia para garantizar que se respeten los principios, derechos, garantías y procedimientos previstos en la mencionada ley. Con base en este mandato legal, la SIC ha sido implacable con las empresas del sector privado que han incumplido con uno o varios de estos preceptos. No obstante, en el sector público la situación ha sido diferente. Y esto es porque la misma ley establece que la SIC sólo aplicará sanciones a las personas naturales y jurídicas de naturaleza privada.
En el sector público, el papel de la Superintendencia de Industria y Comercio se orienta a remitir a la Procuraduría General de la Nación en los casos en que se evidencie un presunto incumplimiento de una autoridad pública a las disposiciones de la ley. Adicionalmente, al interior de la Procuraduría General de la Nación no se habían asignado, a ninguna dependencia, las funciones de vigilancia y prevención para garantizar que en el tratamiento de datos personales se respeten los principios, garantías y procedimientos previstos en las disposiciones sobre hábeas data.
Sin embargo, desde el pasado mes de abril de 2019, esta situación relacionada con el sector público cambió. Con la emisión de la Resolución 462 del 26 de abril de 2019, la Procuraduría General de la Nación le estableció a la Procuraduría Delegada para la Defensa del Patrimonio Público, la Transparencia y la Integridad funciones de “Adelantar en primera instancia las actuaciones disciplinarias que correspondan por conductas relacionadas en el incumplimiento de las obligaciones contenidas en la Ley 1581 de 2012 y demás disposiciones que la desarrollen, modifiquen y reglamenten a cargo de los sujetos vinculados con las autoridades públicas…” (Art. 1º de la Resolución 462 del 26 de abril de 2019). Con esta resolución, esta Procuraduría Delegada podrá realizar, de manera selectiva, de oficio o por solicitud de cualquier persona, visitas a las entidades estatales o particulares que cumplen funciones públicas, cuando sea necesario.
Adicionalmente, y en el caso de que la persona natural considere que sus derechos fundamentales, consagrados en al Articulo 15 y en el Artículo 20 de la Constitución Nacional fueron violados, los jueces de la República también podrán intervenir para decidir sobre posibles demandas entabladas a las personas naturales o jurídicas, públicas o privadas, que, por no cumplir con las disposiciones de la Ley de Protección de Datos Personales, afectaron la intimidad y buen nombre del dueño de dicho dato personal.
La ley de Protección de Datos Personales y el Sector Solidario
A las entidades del sector solidario, sea que por su actividad económica estén vigiladas por la Superfinanciera o por la Supersolidaria, también les son aplicables las disposiciones de la Ley 1581 de 2012 y, por lo tanto, también son susceptibles de la vigilancia por parte de la Superindustria y Comercio.
Las entidades del sector solidario se caracterizan porque tienen procesos internos que no tienen las demás empresas de otros sectores económicos en Colombia. Estos procesos, que pueden ser el de las afiliaciones o vinculaciones de nuevos asociados, el otorgamiento de solidaridades y el otorgamiento de estímulos educativos, se deben tratar datos personales de familiares o terceros.
Adicionalmente, en muchos de estos casos, se deben registrar datos de menores de edad, los cuales, y de cara a la legislación de Hábeas Data, su tratamiento está prohibido a menos que sean datos públicos o que se apliquen las reglamentaciones específicas para poder tratar dichos datos.
Sumado a lo anterior, es distintivo en las entidades del sector solidario que suscriban convenios con terceros para que sus asociados (incluso su núcleo familiar) se beneficien de productos y/o servicios determinados o especializados. Por esto es muy importante que la entidad solidaria tenga claro que, si en la ejecución de dichos convenios se lleva a cabo tratamiento de datos personales, la entidad solidaria está obligada a adelantar las acciones exigidas en los casos en que haya intervención de un tercero que trate los datos personales de sus asociados y/o de su núcleo familiar.
Y como si fuera poco, aparte de la obligatoriedad de tener implementado un SARO, un SARC, un SARL, un SARM y un SARLAFT, a las entidades del sector solidario con actividad crediticia les es obligatorio aplicar las disposiciones de la ley de hábeas data financiero (Ley 1266 de 2008) de manera paralela a las disposiciones de la ley de protección de datos personales.
Errores más frecuentes en el cumplimiento de la ley de protección de datos
Personales Dentro de los errores más frecuentes en que incurren las personas naturales y jurídicas obligadas a implementar las disposiciones de la ley de protección de datos personales están las de creer que con tener una política de tratamiento de datos personales, de contar con una frase de autorización de los datos (que en algunos casos esta frase se enfoca a la aceptación de dicha política), de tener expuestos avisos en donde se advierte que se está siendo vigilando y monitoreado y/o porque se han registrado bases de datos en el Registro Nacional de Bases de Datos ya se está cumpliendo con lo exigido por la normatividad de habeas data.
La empresa debe tener claro que las acciones para proteger los datos personales son similares a las acciones que hay que llevar a cabo cuando se requiere implementar un sistema de gestión de la calidad o un sistema integrado de gestión. Por ello, y para el caso de los datos personales, se debe implementar un SISTEMA DE GESTIÓN DE DATOS PERSONALES, siendo necesario chequear más de setenta requerimientos establecidos en la normatividad que, hasta la fecha, ha sido publicada sobre el tema.
Por todo lo anterior es fundamental que la entidad del sector solidario se apoye de cuente con personas internas o externas que posean conocimientos profundos en la normatividad del hábeas data y del hábeas data financiero colombiano.
Foto: Café Pendientes
