Superindustria resuelve inquietudes sobre la recolección de datos personales en el marco de la emergencia sanitaria
Superintendencia De Industria Y Comercio. Concepto Jurídico No. 340961 de octubre 29 de 2020
La Superintendencia, emitió la Circular 008 de 2020 en la que recuerdan que las Resoluciones expedidas por del Ministerio de Salud y Protección Social con el fin de adoptar protocolos de bioseguridad para mitigar, controlar y realizar el adecuado manejo del riesgo de la pandemia por el Coronavirus COVID-19 respecto de diversas actividades, servicios, sectores, procesos, establecimientos y lugares, no suspenden el derecho fundamental a la protección de datos personales, y sus normas siguen vigentes y son de obligatorio cumplimiento por parte de los responsables y encargados del tratamiento de datos personales, para lo cual se debe tener en cuenta lo siguiente:
- Información de la norma conforme a la cual se recopilan los datos personales del ciudadano, en el caso de los protocolos de bioseguridad es el artículo 4, literal b) de la Ley 1581 de 2012.
- Garantizar la seguridad de los datos personales
- Implementación de políticas de tratamiento de datos personales.
- Limitación temporal del uso de los datos personales, únicamente por el tiempo que sea necesario para cumplir con los protocolos de bioseguridad.
- Garantizar responsabilidad reforzada sobre el tratamiento de datos sensibles y no condicionar ninguna actividad al suministro de estos.
- Obligación de registro de bases de datos personales ante la Superintendencia de Industria y Comercio para todas aquellas sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 unidades de valor tributario (UVT) y las personas jurídicas de naturaleza pública.
La Superintendencia reiteró que todos los datos personales relacionados con la salud, tales como la temperatura, son datos sensibles y deben tener dicho tratamiento conforme a la ley 1581 de 2012.
También manifestó la SIC que en el tratamiento de datos personales de carácter sensible, se debe tener en cuenta que la recolección, uso, circulación y tratamiento de estos, debe estar rodeado de especial cuidado y diligencia en su recolección, uso, seguridad o cualquier otra actividad que se realice con estos y que ninguna actividad podrá condicionarse a que el titular suministre datos personales sensibles.
En relación con la seguridad de los datos personales recopilados, la SIC manifestó que, es un deber tanto de los responsables como encargados del tratamiento de los datos personales el establecer medidas con el fin de garantizar la seguridad de las bases de datos, y en especial que: (i) no sea adulterada la información contenida en ellas, (ii) no se pierda la información, (iii) no se pueda hacer uso, consultar o acceder sin autorización o de manera fraudulenta a las bases de datos.
La normativa no determina de manera específica qué medidas se deben adoptar para garantizar el principio de seguridad en el tratamiento de las bases de datos, por lo que le corresponde a los responsables y encargados del tratamiento implementar las medidas técnicas, humanas y administrativas que resulten idóneas para la obtención de tal fin, a través de la implementación de un sistema de riesgos asociados al tratamiento de datos personales, que le permita identificar, medir, controlar y monitorear los hechos y situaciones que puedan incidir en la debida administración del riesgo.
La SIC recomienda efectuar una evaluación de impacto en la privacidad, con el fin de contar con un sistema efectivo de manejo de riesgos y controles internos dentro de la organización, que incluya: (i) una descripción detallada de las operaciones de tratamiento de datos personales que se pretende realizar (recolección, uso, almacenamiento, circulacióny/ o supresión), (ii) determinar qué tipo de datos se requiere para el cumplimiento de la finalidad específica, (iii) una evaluación de los riesgos específicos para los derechos y libertades de los titulares de los datos personales, (iv) la identificación y clasificación de riesgos, así como la adopción de medidas para mitigarlos.