Escudo Colombia
Logo JEP
Logo JEP
Logo Jurinfo
reducir texto aumentar texto aumentar contraste volver contraste accesibilidad Mapa del sitio Tour virtual de la JEP
Acceso a Twitter
Acceso a Facebook
Acceso a Instagram
Acceso a Spotify
Acceso a YouTube
rnpe
Acceso a Intranet
Traduzca este sitio

Circular 1 de 2022 SIC

Buscar search
Índice format_list_bulleted
Buscar

Puede realizar búsquedas exactas dentro de este documento, ingrese el texto a buscar en la siguiente casilla:

CIRCULAR EXTERNA 1 DE 2022

(enero 17)

Diario Oficial No. 51.920 de 17 de enero de 2022

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

PARA: Candidatos (as) a elecciones populares. Partidos, movimientos políticos, movimientos sociales o grupos significativos de ciudadanos que inscriban candidatos a elecciones.
DE: Superintendencia de Industria y Comercio.
ASUNTO: Tratamiento de datos personales para fines de campañas electorales, plebiscitos, referendos, consultas populares y otras formas de participación democrática.
FECHA: 17 de enero de 2022.

El artículo 15 de la Constitución ordena que en la recolección, tratamiento y circulación de datos se deben respetar la libertad y demás garantías consagradas en la Constitución. La Ley Estatutaria 1581 de 2012(1) define tratamiento como “cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión”(2).

El desarrollo de campañas electorales, plebiscitos, referendos, consultas populares y otras formas de participación democrática implican la recolección, uso y tratamiento de información de personas naturales (datos personales). Dado lo anterior, y teniendo en cuenta que es función de esta Superintendencia “impartir instrucciones en materia de (…) administración de datos personales y en las demás áreas propias de sus funciones”(3), este Despacho se permite instruir lo siguiente:

Primero: Cumplimiento de la regulación de tratamiento de datos personales. El desarrollo de campañas electorales, plebiscitos, referendos, consultas populares y otras maneras de participación democrática no suspenden el derecho fundamental a la protección de datos personales, cuya normativa sigue plenamente vigente y es de obligatorio cumplimiento por los (las) candidatos (as) a elecciones populares, los partidos y movimientos políticos, movimientos sociales o grupos significativos de ciudadanos que inscriban candidatos (as) a elecciones.

Segundo. Recolección y uso de datos. La regulación sobre Tratamiento de Datos Personales debe aplicarse al margen de los procedimientos, metodologías o tecnologías que se utilicen para recolectar, usar o tratar ese tipo de información. Es fundamental tener presente lo que ordenan, entre otros, los artículos 4o, 9o, 12, 17 y 18 de la Ley Estatutaria 1581 de 2012 y el artículo 4o del Decreto 1377(4) de 2013 (Incorporado en el Decreto 1074 de 2015):

a) No se pueden utilizar medios engañosos o fraudulentos para recolectar y realizar Tratamiento de datos personales.

b) Se debe informar a la persona la finalidad específica de la recolección de sus datos. Únicamente se podrán recolectar los datos pertinentes y adecuados para el objetivo del tratamiento. No se pueden usar los datos para finalidades diferentes a las autorizadas por la persona natural (titular del dato personal).

c) No se podrán recolectar datos personales sin la autorización previa, expresa e informada del Titular del dato. La autorización se puede obtener por cualquiera de los modos –escrito, verbal, electrónico o conductas inequívocas– previstos en el artículo 7o del Decreto 1377 de 2013, pero se debe de conservar evidencia de esta y entregarle prueba de la autorización a la persona titular del dato en caso de que la solicite.

Tercero. Seguridad y confidencialidad de los datos. Se deberá implementar las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los datos personales evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, así como garantizar los principios de confidencialidad, acceso y circulación restringida.

Cuarto. Política de tratamiento de información. Se debe poner en conocimiento de las personas la Política de Tratamiento de Información (PTI), la cual no solo debe incluir los mecanismos y procedimientos para que los ciudadanos ejerzan sus derechos a conocer, actualizar, rectificar, suprimir sus datos o revocar su autorización, sino todo lo demás que ordena el artículo 13 del Decreto 1377 de 2013 (Incorporado en el Decreto 1074 de 2015).

Quinto. Limitación temporal del uso de los datos. Los datos recolectados solo se podrán almacenar durante el tiempo razonable y necesario para cumplir las finalidades del Tratamiento. Una vez cumplida la finalidad, se deberán suprimir de oficio.

Sexto. Garantizar responsabilidad reforzada sobre el tratamiento de datos sensibles y no condicionar ninguna actividad al suministro de estos.

En caso de que se recolecten datos sensibles(5), se debe tener en cuenta que el tratamiento de estos debe garantizar especial cuidado y diligencia en su recolección, uso, seguridad o cualquier otra actividad que se realice con ellos. En efecto, la H. Corte Constitucional exige responsabilidad reforzada por parte de los Responsables y Encargados: “como se trata de casos exceptuados y que, por tanto, pueden generar altos riesgos en términos de vulneración del hábeas data, la intimidad e incluso la dignidad de los titulares de los datos, los agentes que realizan en estos casos el tratamiento tienen una responsabilidad reforzada que se traduce en una exigencia mayor en términos de cumplimiento de los principios del artículo 4o y los deberes del título VI”(6) de la Ley Estatutaria 1581de 2012”.

Adicionalmente, no debe perderse de vista que el párrafo final del artículo 6o del Decreto 1377 de 2013 (Incorporado en el Decreto 1074 de 2015) el cual ordena que “ninguna actividad podrá condicionarse a que el titular suministre datos personales sensibles”.

Séptimo. Respetar los derechos de las personas cuando sus datos se utilicen para fines de publicidad o marketing.

El uso de los datos personales debe ser respetuoso de los derechos de los ciudadanos y de los mandatos legales pertinentes. Por lo tanto:

a) Solo se puede enviar publicidad a personas respecto de las cuales previamente hayan obtenido su autorización previa, expresa e informada para dicho propósito.

b) No contactar a las personas que no quieren recibir más publicidad y suprimir los datos de contacto cuando lo soliciten.

A más de tener autorización de las personas para recolectar y usar su información, se debe tener presente que estas tienen derecho a revocar su consentimiento y a solicitar la supresión de sus datos personales. Por lo anterior, es recomendable dar cumplimiento a estos principios por lo cual se sugiere:

i. Capacitar a su equipo para que respete y garantice el derecho de las personas de revocar la autorización y suprimir sus datos.

ii. Responder, dentro de los términos establecidos en los artículos 14 y 15 de la Ley Estatutaria 1581 de 2012, las consultas o reclamos que presenten las personas para ejercer sus derechos.

iii. Impartir instrucciones para que dejen de llamar o contactar a las personas cuando estas se lo solicitan.

iv. Implementar mecanismos manuales o automatizados, gratuitos, sencillos y eficaces para que las personas puedan solicitar la supresión de sus datos o la revocatoria de la autorización.

v. Vigilar y monitorear el correcto funcionamiento de esos mecanismos.

Octavo. Registrar bases de datos ante esta superintendencia. En el evento que se creen nuevas bases de datos en el desarrollo de campañas electorales, es necesario que las mismas se inscriban ante el Registro Nacional de Bases de Datos (RNBD) administrado por la Superintendencia de Industria y Comercio. La base de datos deberá inscribirse dentro de los dos (2) meses siguientes a su creación.

Esta instrucción solo aplica para los Responsables del Tratamiento obligados a inscribir sus bases de datos en el Registro Nacional de Bases de Datos (RNBD), de conformidad con lo establecido en el Decreto 090 de 2018, esto es, las sociedades y entidades sin ánimo de lucro con activos totales superiores a 100.000 Unidades de Valor Tributario (UVT).

Noveno: Implementar el principio de responsabilidad demostrada. La regulación colombiana sobre tratamiento de datos impone al Responsable del Tratamiento el deber de demostrar que ha adoptado medidas efectivas para cumplir la ley (Deber de Responsabilidad demostrada), lo que, según la H. Corte Constitucional se debe entender como:

“219. El principio de responsabilidad demostrada, conocido en el derecho comparado como accountability en la protección de datos personales, es incorporado por la legislación interna por el Decreto 1377 de 2013, reglamentario de la Ley 1581 de 2013. El artículo 26 de esa normativa determina que los responsables del tratamiento de datos personales deberán demostrar, a petición de la Superintendencia de Industria y Comercio, entidad que obra como autoridad colombiana de protección de datos, que han implementado medidas apropiadas y efectivas para cumplir con las citadas normas jurídicas. (…)

“El principio de responsabilidad demostrada, de acuerdo con lo expuesto, consiste en el deber jurídico del responsable del tratamiento de demostrar ante la autoridad de datos que cuenta con la institucionalidad y los procedimientos para garantizar las distintas garantías del derecho al hábeas data, en especial, la vigencia del principio de libertad y las facultades de conocimiento, actualización y rectificación del dato personal.”(7) (Resaltado fuera de texto).

Estas instrucciones son de inmediata ejecución, tienen carácter preventivo, obligatorio y aplican sin perjuicio de las demás obligaciones legales que debe cumplir cualquier Responsable o Encargado del Tratamiento de datos personales, y/o de las instrucciones que emitan otras autoridades en el marco de sus atribuciones constitucionales y legales. Adicionalmente, deben aplicarse de manera armónica e integral con lo dispuesto en la Constitución y la regulación sobre tratamiento de datos personales.

Sírvanse dar cumplimiento a lo anteriormente informado por esta Autoridad.

El Superintendente de Industria y Comercio,

Andrés Barreto González

CC. Consejo Nacional Electoral

Registraduría Nacional del Estado Civil

Procuraduría General de la Nación

NOTAS AL FINAL:

1. Por la cual se dictan disposiciones generales para la protección de datos personales.

2. Cfr. Literal g) del artículo 3o de la Ley Estatutaria 1581 de 2012.

3. Cfr. Numeral 61 del artículo 1o en concordancia con el numeral 5 del artículo 3o del Decreto 4886 del 23 de diciembre de 2011, “por medio del cual se modifica la estructura de la Superintendencia de Industria y Comercio, se determinan las funciones de sus dependencias y se dictan otras disposiciones

4. Por el cual se reglamenta parcialmente la Ley 1581 de 2012.

5. Los datos sensibles fueron definidos en la Ley 1581 de 2012 y en el Decreto 1377 de 2013 como “aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos”.

6. Cfr. Corte Constitucional, Sentencia C-748 de 2011, numeral 2.8.4.

Ir al inicio

×