Redacción
A través de una circular externa del 17 de enero de 2022, la Superintendencia de Industria y Comercio (SIC) impartió instrucciones a las campañas, partidos políticos y candidatos frente al manejo de datos personales de cara a las elecciones presidenciales y de Congreso que se realizarán este año en el país.
(¡Cuidado con los datos!: peligros de exponer en redes su información).
El documento establece las reglas de juego con el fin de evitar vulneraciones sobre los derechos de los ciudadanos sobre el tratamiento de su información personal con fines políticos (Ver circular).
La SIC explica en la circular que “el artículo 15 de la Constitución ordena que en la recolección, tratamiento y circulación de datos se deben respetar la libertad y demás garantías consagradas en la Constitución. La Ley Estatutaria 1581 de 2012 define tratamiento como “cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión”’.
(Esto es lo que hacen las redes sociales y los motores de búsqueda con sus datos).
Bajo este precepto, y teniendo en cuenta que en el desarrollo de las campañas electorales, plebiscitos, referendos, consultas populares y otras formas de participación democrática existe la recolección de información de personas naturales, se busca impartir instrucciones en la materia para evitar la vulneración de los derechos que consagra la Constitución.
REGLAS
En la circular, la SIC define diez reglas que deben tener en cuentas los candidatos (as), Partidos, movimientos políticos, movimientos sociales o grupos significativos de ciudadanos que inscriban candidatos a elecciones.
A continuación le decimos cuáles son:
CUMPLIMIENTO DE LA REGULACIÓN
La primera regla es que las campañas deberán cumplir con la regulación establecida en Colombia para el tratamiento de datos personales, “cuya normativa sigue plenamente vigente y es de obligatorio cumplimiento”.
RECOLECCIÓN DE DATOS
La regulación sobre Tratamiento de Datos Personales debe aplicarse al margen de los procedimientos, metodologías o tecnologías que se utilicen para recolectar, usar o tratar ese tipo de información.
Es fundamental tener presente lo que ordenan, entre otros, los artículos 4, 9, 12, 17 y 18 de la Ley Estatutaria 1581 de 2012 y el artículo 4 del Decreto 13774 de 2013 (Incorporado en el Decreto 1074 de 2015):
– No se pueden utilizar medios engañosos o fraudulentos para recolectar y realizar Tratamiento de datos personales.
– Se debe informar a la persona la finalidad específica de la recolección de sus datos. Únicamente se podrán recolectar los datos pertinentes y adecuados para el objetivo del tratamiento. No se pueden usar los datos para finalidades diferentes a las autorizadas por la persona naturales (titular del dato personal).
– No se podrán recolectar datos personales sin la autorización previa, expresa e informada del Titular del dato. La autorización se puede obtener por cualquiera de los modos -escrito, verbal, electrónico o conductas inequívocas- previstos en el artículo 7 del Decreto 1377 de 2013, pero se debe de conservar evidencia de esta y entregarle prueba de la autorización a la persona titular del dato en caso de que la solicite.
SEGURIDAD Y CONFIDENCIALIDAD DE LOS DATOS
Se deberá implementar las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los datos personales evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, así como garantizar los principios de confidencialidad, acceso y circulación restringida.
POLÍTICA DE TRATAMIENTO DE INFORMACIÓN
Se debe poner en conocimiento de las personas la Política de Tratamiento de Información (PTI), la cual no solo debe incluir los mecanismos y procedimientos para que los ciudadanos ejerzan sus derechos a conocer, actualizar, rectificar, suprimir sus datos o revocar su autorización, sino todo lo demás que ordena el artículo 13 del Decreto 1377 de 2013 (Incorporado en el Decreto 1074 de 2015).
LIMITACIÓN TEMPORAL DEL USO DE LOS DATOS
Los datos recolectados sólo se podrán almacenar durante el tiempo razonable y necesario para cumplir las finalidades del Tratamiento. Una vez cumplida la finalidad, se deberán suprimir de oficio.
GARANTIZAR RESPONSABILIDAD SOBRE EL TRATAMIENTO DE DATOS SENSIBLES
En caso de que se recolecten datos sensibles (aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar discriminación o que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, entre otras), se debe tener en cuenta que el tratamiento de estos debe garantizar especial cuidado y diligencia en su recolección, uso, seguridad o cualquier otra actividad que se realice con ellos.
(Abc sobre la protección de datos personales).
La Corte Constitucional exige responsabilidad reforzada por parte de los Responsables y Encargados: “como se trata de casos exceptuados y que, por tanto, pueden generar altos riesgos en términos de vulneración del habeas data, la intimidad e incluso la dignidad de los titulares de los datos, los agentes que realizan en estos casos el tratamiento tienen una responsabilidad reforzada que se traduce en una exigencia mayor en términos de cumplimiento de los principios del artículo 4 y los deberes del título VI”6 de la Ley Estatutaria 1581 de 2012”.
Adicionalmente, no debe perderse de vista que el párrafo final del artículo 6 del decreto 1377 de 2013 (Incorporado en el Decreto 1074 de 2015) el cual ordena que “ninguna actividad podrá condicionarse a que el titular suministre datos personales sensibles”.
REGISTRAR BASES DE DATOS ANTE ESTA SUPERINTENDENCIA
En el evento que se creen nuevas bases de datos en el desarrollo de campañas electorales, es necesario que las mismas se inscriban ante el Registro Nacional de Bases de Datos (RNBD) administrado por la Superintendencia de Industria y Comercio.
La base de datos deberá inscribirse dentro de los dos (2) meses siguientes a su creación.
Esta instrucción sólo aplica para los Responsables del Tratamiento obligados a inscribir sus bases de datos en el Registro Nacional de Bases de Datos (RNBD), de conformidad con lo establecido en el Decreto 090 de 2018, esto es, las sociedades y entidades sin ánimo de lucro con activos totales superiores a 100.000 Unidades de Valor Tributario (UVT).
IMPLEMENTAR EL PRINCIPIO DE RESPONSABILDAD DEMOSTRADA
La regulación colombiana sobre tratamiento de datos impone al Responsable del Tratamiento el deber demostrar que ha adoptado medidas efectivas para cumplir la ley (Deber de Responsabilidad demostrada), lo que, según la Corte Constitucional se debe entender como: “219. El principio de responsabilidad demostrada, conocido en el derecho comparado como accountability en la protección de datos personales, es incorporado por la legislación interna por el Decreto 1377 de 2013, reglamentario de la Ley 1581 de 2013.
El artículo 26 de esa normativa determina que los responsables del tratamiento de datos personales deberán demostrar, a petición de la Superintendencia de Industria y Comercio, entidad que obra como autoridad colombiana de protección de datos, que han implementado medidas apropiadas y efectivas para cumplir con las citadas normas jurídicas. (…)
“El principio de responsabilidad demostrada, de acuerdo con lo expuesto, consiste en el deber jurídico del responsable del tratamiento de demostrar ante la autoridad de datos que cuenta con la institucionalidad y los procedimientos para garantizar las distintas garantías del derecho al habeas data, en especial, la vigencia del principio de libertad y las facultades de conocimiento, actualización y rectificación del dato personal.”
La SIC agregó que estas instrucciones son de inmediata ejecución y tienen carácter preventivo, obligatorio y aplican sin perjuicio de las demás obligaciones legales que debe cumplir cualquier Responsable o Encargado del Tratamiento de datos personales, y/o de las instrucciones que emitan otras autoridades en el marco de sus atribuciones constitucionales y legales.
PORTAFOLIO
