Regulación y novedades COVID-19

Superintendencia De Industria Y Comercio. Comunicado de Prensa de marzo 24 de 2021

La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos personales, sancionó a la empresa Marketing Personal S.A. con una multa de $150.315.120 (ciento cincuenta millones trescientos quince mil ciento veinte pesos) por: no contestar oportunamente la petición de una ciudadana; además, no comunicar previamente a la ciudadana que sería reportada como morosa a una central de información financiera; no tener prueba de la existencia de la obligación reportada; y, no tener evidencia de la autorización de la ciudadana para reportarla.

Superintendencia del Subsidio Familiar. Concepto Jurídico No. 2-2020-408245 de noviembre 17 de 2021

Las Cajas de Compensación Familiar, con el objeto de cumplir con las funciones que le han sido asignadas dentro del sistema del subsidio familiar, mediante Ley 21 de 1982, deben en primera instancia recolectar, almacenar y hacer uso de los datos personales de sus afiliados, familiares y empleadores, así como de sus trabajadores. A partir de la información que ellas recaudan, podrán identificar los beneficios a los cuales tienen acceso los trabajadores beneficiarios y sus familiares, así como promover el continuo desarrollo de programas que los beneficien y focalizar sus programas y priorizar las necesidades de redistribución del ingreso entre sus beneficiarios. Los datos almacenados por las Cajas de Compensación Familiar son sensibles pues incluyen información atinente a la salud o sexualidad, datos de identificación de menores de edad, filiación, credo religioso, registros biométricos (fotografías, huellas dactilares, firmas), entre otros, los cuales pertenecen al núcleo esencial del derecho a la intimidad.

Superintendencia De Industria Y Comercio. Comunicado de Prensa de enero 16 de 2021

La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos personales, inició de oficio una actuación administrativa con el propósito de establecer si WhatsApp LLC (Estados Unidos), cumple o no con la regulación colombiana relativa a la recolección y tratamiento de datos personales. Adicionalmente, esta autoridad busca verificar si WhatsApp LLC ha implementado el Principio de Responsabilidad Demostrada en el Tratamiento de los Datos de los ciudadanos colombianos que utilizan sus servicios, para lo anterior se envió un cuestionario el cual deberá ser respondido por esta empresa de tecnología.

Corte Suprema. Sala de Casación Laboral. Radicación No. 74580 (SL4455-2020) 03 de noviembre de 2020. Magistrado ponente: Carlos Arturo Guarín Jurado

La administradora de pensiones al estar sometida a los lineamientos de la Ley 1581 de 2012 -protección de datos- tiene la obligación de custodiar, conservar y guardar la información de cotizaciones de sus afiliados, así como garantizar un contenido confiable de lo consignado en las historias laborales y la completitud de la mismas, lo que involucra el deber de organizar y sistematizar correctamente los datos y la prohibición correlativa frente al tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

Superintendencia De Industria Y Comercio. Concepto Jurídico No. 340961 de octubre 29 de 2020

La Superintendencia, emitió la Circular 008 de 2020 en la que recuerdan que las Resoluciones expedidas por del Ministerio de Salud y Protección Social con el fin de adoptar protocolos de bioseguridad para mitigar, controlar y realizar el adecuado manejo del riesgo de la pandemia por el Coronavirus COVID-19 respecto de diversas actividades, servicios, sectores, procesos, establecimientos y lugares, no suspenden el derecho fundamental a la protección de datos personales, y sus normas siguen vigentes y son de obligatorio cumplimiento por parte de los responsables y encargados del tratamiento de datos personales, para lo cual se debe tener en cuenta lo siguiente:

1. Información de la norma conforme a la cual se recopilan los datos personales del ciudadano, en el caso de los protocolos de bioseguridad es el artículo 4, literal b) de la Ley 1581 de 2012.
2. Garantizar la seguridad de los datos personales
3. Implementación de políticas de tratamiento de datos personales.
4. Limitación temporal del uso de los datos personales, únicamente por el tiempo que sea necesario para cumplir con los protocolos de bioseguridad.
5. Garantizar responsabilidad reforzada sobre el tratamiento de datos sensibles y no condicionar ninguna actividad al suministro de estos.
6. Obligación de registro de bases de datos personales ante la Superintendencia de Industria y Comercio para todas aquellas sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 unidades de valor tributario (UVT) y las personas jurídicas de naturaleza pública.

La Superintendencia reiteró que todos los datos personales relacionados con la salud, tales como la temperatura, son datos sensibles y deben tener dicho tratamiento conforme a la ley 1581 de 2012.

También manifestó la SIC que en  el  tratamiento  de  datos  personales  de  carácter  sensible, se  debe tener en cuenta que la recolección, uso, circulación y tratamiento de estos, debe estar rodeado de especial cuidado y diligencia en su recolección, uso, seguridad o cualquier otra actividad que se realice con estos y que ninguna actividad podrá condicionarse a que el titular suministre datos personales sensibles.

En relación con la seguridad de los datos personales recopilados, la SIC manifestó que, es  un  deber  tanto  de  los  responsables  como  encargados del tratamiento de los datos personales el establecer medidas con el fin de garantizar la seguridad de las bases de datos, y en especial que: (i) no sea adulterada la información contenida en ellas, (ii) no se pierda la información, (iii) no se pueda hacer uso, consultar o acceder sin autorización o de manera fraudulenta a las bases de datos.

La normativa no determina de manera específica qué medidas se  deben  adoptar  para  garantizar  el  principio  de  seguridad  en  el  tratamiento  de  las bases  de  datos, por  lo  que  le corresponde  a  los  responsables  y  encargados  del tratamiento implementar las medidas técnicas, humanas y administrativas que resulten idóneas  para  la  obtención  de  tal  fin,  a  través  de  la  implementación  de  un  sistema  de riesgos asociados al tratamiento de datos personales, que le permita identificar, medir, controlar  y  monitorear  los  hechos  y  situaciones  que  puedan  incidir  en  la  debida administración del riesgo.

La SIC recomienda  efectuar  una  evaluación  de  impacto  en  la  privacidad,  con  el  fin  de contar con un sistema efectivo de manejo de riesgos y controles internos dentro de la organización,   que   incluya:   (i) una descripción   detallada   de   las   operaciones   de tratamiento   de   datos   personales   que se   pretende   realizar   (recolección,   uso, almacenamiento,  circulacióny/  o  supresión),  (ii)  determinar  qué  tipo  de  datos  se requiere  para  el  cumplimiento  de  la  finalidad  específica,  (iii)  una  evaluación  de  los riesgos  específicos  para  los  derechos  y  libertades  de  los  titulares  de  los  datos personales,  (iv)  la  identificación y  clasificación  de  riesgos,  así  como  la  adopción  de medidas para mitigarlos.