Superindustria resuelve inquietudes sobre la recolección de datos personales en el marco de la emergencia sanitaria

Superintendencia De Industria Y Comercio. Concepto Jurídico No. 340961 de octubre 29 de 2020

La Superintendencia, emitió la Circular 008 de 2020 en la que recuerdan que las Resoluciones expedidas por del Ministerio de Salud y Protección Social con el fin de adoptar protocolos de bioseguridad para mitigar, controlar y realizar el adecuado manejo del riesgo de la pandemia por el Coronavirus COVID-19 respecto de diversas actividades, servicios, sectores, procesos, establecimientos y lugares, no suspenden el derecho fundamental a la protección de datos personales, y sus normas siguen vigentes y son de obligatorio cumplimiento por parte de los responsables y encargados del tratamiento de datos personales, para lo cual se debe tener en cuenta lo siguiente:

1. Información de la norma conforme a la cual se recopilan los datos personales del ciudadano, en el caso de los protocolos de bioseguridad es el artículo 4, literal b) de la Ley 1581 de 2012.
2. Garantizar la seguridad de los datos personales
3. Implementación de políticas de tratamiento de datos personales.
4. Limitación temporal del uso de los datos personales, únicamente por el tiempo que sea necesario para cumplir con los protocolos de bioseguridad.
5. Garantizar responsabilidad reforzada sobre el tratamiento de datos sensibles y no condicionar ninguna actividad al suministro de estos.
6. Obligación de registro de bases de datos personales ante la Superintendencia de Industria y Comercio para todas aquellas sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 unidades de valor tributario (UVT) y las personas jurídicas de naturaleza pública.

La Superintendencia reiteró que todos los datos personales relacionados con la salud, tales como la temperatura, son datos sensibles y deben tener dicho tratamiento conforme a la ley 1581 de 2012.

También manifestó la SIC que en  el  tratamiento  de  datos  personales  de  carácter  sensible, se  debe tener en cuenta que la recolección, uso, circulación y tratamiento de estos, debe estar rodeado de especial cuidado y diligencia en su recolección, uso, seguridad o cualquier otra actividad que se realice con estos y que ninguna actividad podrá condicionarse a que el titular suministre datos personales sensibles.

En relación con la seguridad de los datos personales recopilados, la SIC manifestó que, es  un  deber  tanto  de  los  responsables  como  encargados del tratamiento de los datos personales el establecer medidas con el fin de garantizar la seguridad de las bases de datos, y en especial que: (i) no sea adulterada la información contenida en ellas, (ii) no se pierda la información, (iii) no se pueda hacer uso, consultar o acceder sin autorización o de manera fraudulenta a las bases de datos.

La normativa no determina de manera específica qué medidas se  deben  adoptar  para  garantizar  el  principio  de  seguridad  en  el  tratamiento  de  las bases  de  datos, por  lo  que  le corresponde  a  los  responsables  y  encargados  del tratamiento implementar las medidas técnicas, humanas y administrativas que resulten idóneas  para  la  obtención  de  tal  fin,  a  través  de  la  implementación  de  un  sistema  de riesgos asociados al tratamiento de datos personales, que le permita identificar, medir, controlar  y  monitorear  los  hechos  y  situaciones  que  puedan  incidir  en  la  debida administración del riesgo.

La SIC recomienda  efectuar  una  evaluación  de  impacto  en  la  privacidad,  con  el  fin  de contar con un sistema efectivo de manejo de riesgos y controles internos dentro de la organización,   que   incluya:   (i) una descripción   detallada   de   las   operaciones   de tratamiento   de   datos   personales   que se   pretende   realizar   (recolección,   uso, almacenamiento,  circulacióny/  o  supresión),  (ii)  determinar  qué  tipo  de  datos  se requiere  para  el  cumplimiento  de  la  finalidad  específica,  (iii)  una  evaluación  de  los riesgos  específicos  para  los  derechos  y  libertades  de  los  titulares  de  los  datos personales,  (iv)  la  identificación y  clasificación  de  riesgos,  así  como  la  adopción  de medidas para mitigarlos.