Regulación y novedades COVID-19

Protección de datos personales

Aduanero y comercio exterior

Contratación estatal y servicios públicos

Contratos comerciales

Emergencia Sanitaria

Financiero

Infraestructura y derecho urbanístico

Laboral y Seguridad Social

Migratorio

Otros

Procesos judiciales y administrativos

Propiedad intelectual e industrial

Protección al consumidor

Protección de datos personales

Recursos naturales

Sector minero energético

Sector transporte

Sociedades/ Reorganización/ Insolvencia

Tributario

Telecomunicaciones Medios

Superindustria resuelve inquietudes sobre la recolección de datos personales en el marco de la emergencia sanitaria

Superintendencia De Industria Y Comercio. Concepto Jurídico No. 340961 de octubre 29 de 2020

La Superintendencia, emitió la Circular 008 de 2020 en la que recuerdan que las Resoluciones expedidas por del Ministerio de Salud y Protección Social con el fin de adoptar protocolos de bioseguridad para mitigar, controlar y realizar el adecuado manejo del riesgo de la pandemia por el Coronavirus COVID-19 respecto de diversas actividades, servicios, sectores, procesos, establecimientos y lugares, no suspenden el derecho fundamental a la protección de datos personales, y sus normas siguen vigentes y son de obligatorio cumplimiento por parte de los responsables y encargados del tratamiento de datos personales, para lo cual se debe tener en cuenta lo siguiente:

  1. Información de la norma conforme a la cual se recopilan los datos personales del ciudadano, en el caso de los protocolos de bioseguridad es el artículo 4, literal b) de la Ley 1581 de 2012.
  2. Garantizar la seguridad de los datos personales
  3. Implementación de políticas de tratamiento de datos personales.
  4. Limitación temporal del uso de los datos personales, únicamente por el tiempo que sea necesario para cumplir con los protocolos de bioseguridad.
  5. Garantizar responsabilidad reforzada sobre el tratamiento de datos sensibles y no condicionar ninguna actividad al suministro de estos.
  6. Obligación de registro de bases de datos personales ante la Superintendencia de Industria y Comercio para todas aquellas sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 unidades de valor tributario (UVT) y las personas jurídicas de naturaleza pública.

La Superintendencia reiteró que todos los datos personales relacionados con la salud, tales como la temperatura, son datos sensibles y deben tener dicho tratamiento conforme a la ley 1581 de 2012.

También manifestó la SIC que en  el  tratamiento  de  datos  personales  de  carácter  sensible, se  debe tener en cuenta que la recolección, uso, circulación y tratamiento de estos, debe estar rodeado de especial cuidado y diligencia en su recolección, uso, seguridad o cualquier otra actividad que se realice con estos y que ninguna actividad podrá condicionarse a que el titular suministre datos personales sensibles.

En relación con la seguridad de los datos personales recopilados, la SIC manifestó que, es  un  deber  tanto  de  los  responsables  como  encargados del tratamiento de los datos personales el establecer medidas con el fin de garantizar la seguridad de las bases de datos, y en especial que: (i) no sea adulterada la información contenida en ellas, (ii) no se pierda la información, (iii) no se pueda hacer uso, consultar o acceder sin autorización o de manera fraudulenta a las bases de datos.

La normativa no determina de manera específica qué medidas se  deben  adoptar  para  garantizar  el  principio  de  seguridad  en  el  tratamiento  de  las bases  de  datos, por  lo  que  le corresponde  a  los  responsables  y  encargados  del tratamiento implementar las medidas técnicas, humanas y administrativas que resulten idóneas  para  la  obtención  de  tal  fin,  a  través  de  la  implementación  de  un  sistema  de riesgos asociados al tratamiento de datos personales, que le permita identificar, medir, controlar  y  monitorear  los  hechos  y  situaciones  que  puedan  incidir  en  la  debida administración del riesgo.

La SIC recomienda  efectuar  una  evaluación  de  impacto  en  la  privacidad,  con  el  fin  de contar con un sistema efectivo de manejo de riesgos y controles internos dentro de la organización,   que   incluya:   (i) una descripción   detallada   de   las   operaciones   de tratamiento   de   datos   personales   que se   pretende   realizar   (recolección,   uso, almacenamiento,  circulacióny/  o  supresión),  (ii)  determinar  qué  tipo  de  datos  se requiere  para  el  cumplimiento  de  la  finalidad  específica,  (iii)  una  evaluación  de  los riesgos  específicos  para  los  derechos  y  libertades  de  los  titulares  de  los  datos personales,  (iv)  la  identificación y  clasificación  de  riesgos,  así  como  la  adopción  de medidas para mitigarlos.

Superintendencia de Industria y Comercio publica la Guía sobre el tratamiento de las fotos como datos personales

Guía tratamiento de datos personales

La Guía tiene como propósito presentar algunas sugerencias a los Responsables y Encargados del Tratamiento de fotos con miras a orientarlos para que no incurran en ninguna irregularidad respecto de la regulación sobre el Tratamiento de Datos Personales.

Son diversas las perspectivas jurídicas que existen sobre las fotos (derechos de autor, derecho a la imagen, actos de competencia desleal, etc.), por lo que este texto solo hará referencia a uno de ellos: al Tratamiento de la foto como Dato Personal. Estas recomendaciones tienen un enfoque preventivo con miras a que una empresa directamente (Responsable del Tratamiento) o a través de terceros (Encargado del Tratamiento) evite vulnerar los derechos de cualquier persona o cliente (Titular del Dato).

Superindustria ratifica multa a EPS Sanitas por violar la Ley de Datos Personales

Superintendencia De Industria Y Comercio. Resolución Número 77049 de Noviembre 30 de 2020

La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos personales, ratificó la multa impuesta a la EPS SANITAS S.A.S. por ochocientos noventa y cuatro millones trescientos sesenta y cinco mil doscientos ochenta pesos ($894.365.280), luego de confirmar la vulneración de los Datos Personales de un usuario de dicha EPS. En este caso, un ciudadano se quejó porque algunos de los datos personales suministrados a la EPS fueron modificados por está causándole perjuicios. Durante la actuación administrativa se comprobó la modificación del formulario de afiliación del Titular, cambiando su municipio de residencia (Bogotá) a uno distinto (Tabio) al que él había reportado inicialmente. Todo lo anterior ocurrió sin la autorización de la persona.

Superindustria ordena a la plataforma Zoom reforzar medidas de seguridad para proteger los datos personales de los colombianos

Superintendencia De Industria Y Comercio. Resolución Número 74519 de Noviembre 23 de 2020

La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos personales, ordenó a ZOOM VIDEO COMMUNICATIONS INC. mejorar sus medidas de seguridad para proteger los datos personales y la información de los colombianos. La decisión se emitió luego de que la Superindustria realizara una investigación administrativa de manera oficiosa desde el 14 de abril de 2020, con miras a establecer si ZOOM cumplía con la regulación colombiana en materia de seguridad de la información, y si dicha compañía implementa el principio de responsabilidad demostrada en esa materia.

Superintendencia de Industria y Comercio publica la Guía para el Tratamiento de Datos Personales en la Propiedad Horizontal

Superintendencia De Industria Y Comercio. Guía para el Tratamiento de Datos Personales

La Guía tiene como objetivo principal presentar sugerencias a todo el personal que en ejercicio de su labor recolecte o trate datos personales en edificios o conjuntos residenciales, ya sean comerciales o mixtos que estén sometidos al Régimen de Propiedad Horizontal, para que a través de la guía puedan orientarse y así cumplir correctamente la regulación sobre el tratamiento de estos datos.