Nuevas cartillas guía sobre protección de datos de la SIC

La Superintendencia de Industria y Comercio, SIC, publicó tres cartillas guía sobre Protección de Datos Personales con el propósito de orientar a los responsables del tratamiento de los mismos sobre la debida aplicación de la Ley 1581 de 2012. Estas cartillas guía hacen énfasis en los siguientes aspectos:

La guía para la gestión de incidentes de seguridad en el tratamiento de datos personales dispone una serie de recomendaciones destinadas a los responsables de custodiar o manejar los mismos y propone un plan para afrontar los incidentes de seguridad que afecten los Datos Personales bajo su custodia.

Por otro lado, la guía sobre el tratamiento de las fotos como datos personales, tiene por objeto orientar a las personas responsables del tratamiento de fotos para evitar irregularidades frente a la Ley de Protección de Datos. Esto es importante, pues según la SIC, las fotos tomadas a personas determinadas o determinables se convierten en un dato personal. Por lo anterior, la superintendencia facilitó a las personas que se encargan de tomar fotos una guía con algunas medidas necesarias para que puedan cumplir con la ley de datos personales.

Finalmente, y siendo de interés principal para los administradores y responsables del tratamiento de datos personales en las propiedades horizontales, se publicó una guía cuyo objeto es dar recomendaciones para el debido uso de los datos personales en edificios o conjuntos que se encuentren bajo el régimen de propiedad horizontal. Destacamos las siguientes recomendaciones que se encuentran en la cartilla:

1. Efectuar un diagnóstico del cumplimiento de la Ley 1558 de 2012 por medio de una evaluación interna que se puede realizar a través de la cartilla “cuestionario de diagnóstico para el cumplimiento de la Ley 1558 de 2012 en las mipymes” que publicó la misma entidad.

2. Usar los formatos modelo de la SIC para el cumplimiento de la Ley 1581 de 2012. La SIC da la posibilidad de utilizar los modelos publicados en “la cartilla de formatos modelos para el cumplimiento de obligaciones establecidas en la Ley 1581 de 2012 y sus decretos reglamentarios”.

3. Recolectar datos de manera lícita, utilizando medios que dejen en evidencia el cumplimiento de la ley. Los datos deben recolectarse de manera previa, expresa e informada y deben encontrarse en medios que faciliten el acceso a la evidencia del cumplimiento.

4. Tener en cuenta las pautas especiales para recolectar huellas dactilares, datos de salud, tomar fotos o videograbaciones. Estos datos son sensibles, por lo que se debe avisar al titular que no está obligado a autorizarlos y, en concordancia, deben tratarse con especial diligencia.

5. Cumplir con los requisitos para recolectar datos de niños, niñas y adolescentes. Los niños, niñas y adolescentes cuentan con especial protección jurídica, tanto de la Constitución como de la ley. De acuerdo a lo anterior, está prohibido tratar los datos de niños, niñas y adolescentes, excepto cuando son datos públicos y el tratamiento es autorizado por el representante legal del menor.

6. Exigir el respeto de la regulación de protección de datos y de su política de tratamiento de datos personales a los terceros que contrata. Los terceros actúan en nombre de la propiedad horizontal y es esta la que responde frente del titular de los datos. De acuerdo a lo anterior, la superintendencia recomienda que en los contratos de prestación de servicios que se pacten con terceros se incluyan deberes específicos respecto al tratamiento de datos.

7. Adoptar medidas para garantizar los principios sobre tratamiento de datos personales en edificios o conjuntos. La guía enumera 7 principios que deben tenerse en cuenta para la recolección de datos: principio de legalidad, finalidad, libertad, veracidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.

8. Respetar el derecho de los titulares de los datos e implementar mecanismos efectivos para su ejercicio. La SIC le recuerda a los edificios y conjuntos que deben reconocer los derechos de las personas que entregan sus datos, dentro de los cuales se encuentran: conocer, actualizar y rectificar su información; solicitar la prueba de la autorización de los datos; ser informado respecto al uso de sus datos; solicitar supresión de datos; acceder gratuitamente a sus datos.

9. Ubicar avisos de privacidad y avisos para informar a las personas que están siendo videovigiladas en lugares visibles y de fácil acceso.

10. Garantizar la seguridad de los datos personales. Todo tipo de dato personal debe ser protegido por cualquier medio ya sea tecnológico o físico para evitar, entre otras, acceso indebido, manipulación o destrucción de la información.

11. Eliminar los datos personales tan pronto cumplan la finalidad para la que fueron recolectados. Los datos personales se deben utilizar para una finalidad en específico y por el tiempo determinado para esta.

12. Garantizar la confidencialidad de la información. Si una persona tiene acceso a datos personales debe tener reserva con los mismos. Debido a lo anterior, es importante que los edificios y conjuntos capaciten a su recurso humano, pacten cláusulas de confidencialidad con terceros e incluso se abstengan de enviar mensajes masivos que contengan información personal de un residente.

13. Implementar procesos de accountability frente al tratamiento de datos personales. Los edificios y conjuntos tienen el deber de ajustar medidas apropiadas y efectivas para probar que se ha llevado un correcto tratamiento de datos.

‍