Regulación y novedades COVID-19
Protección de datos personales
Superindustria multa a la compañía Marketing Personal S.A. por reportar a una ciudadana ante centrales de riesgo
Superintendencia De Industria Y Comercio. Comunicado de Prensa de marzo 24 de 2021
La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos personales, sancionó a la empresa Marketing Personal S.A. con una multa de $150.315.120 (ciento cincuenta millones trescientos quince mil ciento veinte pesos) por: no contestar oportunamente la petición de una ciudadana; además, no comunicar previamente a la ciudadana que sería reportada como morosa a una central de información financiera; no tener prueba de la existencia de la obligación reportada; y, no tener evidencia de la autorización de la ciudadana para reportarla.
Superintendencia del Subsidio Familiar se refiere a la aplicación de la ley habeas data por parte de las Cajas de Compensación Familiar
Superintendencia del Subsidio Familiar. Concepto Jurídico No. 2-2020-408245 de noviembre 17 de 2021
Las Cajas de Compensación Familiar, con el objeto de cumplir con las funciones que le han sido asignadas dentro del sistema del subsidio familiar, mediante Ley 21 de 1982, deben en primera instancia recolectar, almacenar y hacer uso de los datos personales de sus afiliados, familiares y empleadores, así como de sus trabajadores. A partir de la información que ellas recaudan, podrán identificar los beneficios a los cuales tienen acceso los trabajadores beneficiarios y sus familiares, así como promover el continuo desarrollo de programas que los beneficien y focalizar sus programas y priorizar las necesidades de redistribución del ingreso entre sus beneficiarios. Los datos almacenados por las Cajas de Compensación Familiar son sensibles pues incluyen información atinente a la salud o sexualidad, datos de identificación de menores de edad, filiación, credo religioso, registros biométricos (fotografías, huellas dactilares, firmas), entre otros, los cuales pertenecen al núcleo esencial del derecho a la intimidad.
Superintendencia de Industria y Comercio anunció que adelantará investigación para establecer si whatsapp cumple con el estándar nacional de protección de datos
Superintendencia De Industria Y Comercio. Comunicado de Prensa de enero 16 de 2021
La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos personales, inició de oficio una actuación administrativa con el propósito de establecer si WhatsApp LLC (Estados Unidos), cumple o no con la regulación colombiana relativa a la recolección y tratamiento de datos personales. Adicionalmente, esta autoridad busca verificar si WhatsApp LLC ha implementado el Principio de Responsabilidad Demostrada en el Tratamiento de los Datos de los ciudadanos colombianos que utilizan sus servicios, para lo anterior se envió un cuestionario el cual deberá ser respondido por esta empresa de tecnología.
Sala de Caación Laboral de la Corte Suprema de Justicia se pronunció sobre las obligaciones de las AFP frente al tratamiento de datos personales
Corte Suprema. Sala de Casación Laboral. Radicación No. 74580 (SL4455-2020) 03 de noviembre de 2020. Magistrado ponente: Carlos Arturo Guarín Jurado
La administradora de pensiones al estar sometida a los lineamientos de la Ley 1581 de 2012 -protección de datos- tiene la obligación de custodiar, conservar y guardar la información de cotizaciones de sus afiliados, así como garantizar un contenido confiable de lo consignado en las historias laborales y la completitud de la mismas, lo que involucra el deber de organizar y sistematizar correctamente los datos y la prohibición correlativa frente al tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
Superindustria resuelve inquietudes sobre la recolección de datos personales en el marco de la emergencia sanitaria
Superintendencia De Industria Y Comercio. Concepto Jurídico No. 340961 de octubre 29 de 2020
La Superintendencia, emitió la Circular 008 de 2020 en la que recuerdan que las Resoluciones expedidas por del Ministerio de Salud y Protección Social con el fin de adoptar protocolos de bioseguridad para mitigar, controlar y realizar el adecuado manejo del riesgo de la pandemia por el Coronavirus COVID-19 respecto de diversas actividades, servicios, sectores, procesos, establecimientos y lugares, no suspenden el derecho fundamental a la protección de datos personales, y sus normas siguen vigentes y son de obligatorio cumplimiento por parte de los responsables y encargados del tratamiento de datos personales, para lo cual se debe tener en cuenta lo siguiente:
- Información de la norma conforme a la cual se recopilan los datos personales del ciudadano, en el caso de los protocolos de bioseguridad es el artículo 4, literal b) de la Ley 1581 de 2012.
- Garantizar la seguridad de los datos personales
- Implementación de políticas de tratamiento de datos personales.
- Limitación temporal del uso de los datos personales, únicamente por el tiempo que sea necesario para cumplir con los protocolos de bioseguridad.
- Garantizar responsabilidad reforzada sobre el tratamiento de datos sensibles y no condicionar ninguna actividad al suministro de estos.
- Obligación de registro de bases de datos personales ante la Superintendencia de Industria y Comercio para todas aquellas sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 unidades de valor tributario (UVT) y las personas jurídicas de naturaleza pública.
La Superintendencia reiteró que todos los datos personales relacionados con la salud, tales como la temperatura, son datos sensibles y deben tener dicho tratamiento conforme a la ley 1581 de 2012.
También manifestó la SIC que en el tratamiento de datos personales de carácter sensible, se debe tener en cuenta que la recolección, uso, circulación y tratamiento de estos, debe estar rodeado de especial cuidado y diligencia en su recolección, uso, seguridad o cualquier otra actividad que se realice con estos y que ninguna actividad podrá condicionarse a que el titular suministre datos personales sensibles.
En relación con la seguridad de los datos personales recopilados, la SIC manifestó que, es un deber tanto de los responsables como encargados del tratamiento de los datos personales el establecer medidas con el fin de garantizar la seguridad de las bases de datos, y en especial que: (i) no sea adulterada la información contenida en ellas, (ii) no se pierda la información, (iii) no se pueda hacer uso, consultar o acceder sin autorización o de manera fraudulenta a las bases de datos.
La normativa no determina de manera específica qué medidas se deben adoptar para garantizar el principio de seguridad en el tratamiento de las bases de datos, por lo que le corresponde a los responsables y encargados del tratamiento implementar las medidas técnicas, humanas y administrativas que resulten idóneas para la obtención de tal fin, a través de la implementación de un sistema de riesgos asociados al tratamiento de datos personales, que le permita identificar, medir, controlar y monitorear los hechos y situaciones que puedan incidir en la debida administración del riesgo.
La SIC recomienda efectuar una evaluación de impacto en la privacidad, con el fin de contar con un sistema efectivo de manejo de riesgos y controles internos dentro de la organización, que incluya: (i) una descripción detallada de las operaciones de tratamiento de datos personales que se pretende realizar (recolección, uso, almacenamiento, circulacióny/ o supresión), (ii) determinar qué tipo de datos se requiere para el cumplimiento de la finalidad específica, (iii) una evaluación de los riesgos específicos para los derechos y libertades de los titulares de los datos personales, (iv) la identificación y clasificación de riesgos, así como la adopción de medidas para mitigarlos.