CIRCULAR EXTERNA NÚMERO 008 DE 2020
(agosto 18)
PARA: | RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO DE DATOS PERSONALES |
---|---|
DE: | SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO |
ASUNTO: | RECOLECCIÓN Y TRATAMIENTO DE DATOS PARA DAR CUMPLIMIENTO A PROTOCOLOS DE BIOSEGURIDAD PARA MITIGAR, CONTROLAR Y REALIZAR EL ADECUADO MANEJO DEL RIESGO DE LA PANDEMIA POR EL COVID-19 |
FECHA: | 18 de agosto de 2020 |
El Ministerio de Salud y Protección Social ha emitido varias resoluciones mediante las cuales se adoptan protocolos de bioseguridad para mitigar, controlar y realizar el adecuado manejo del riesgo de la pandemia por el Coronavirus COVID-19 respecto de diversas actividades, servicios, sectores, procesos, establecimientos y lugares. La implementación de lo ordenado en algunas de las resoluciones implica la recolección y tratamiento de datos personales.
En atención a lo anterior, y teniendo en cuenta que es función de esta Superintendencia “impartir instrucciones en materia de (…) administración de datos personales y en las demás áreas propias de sus funciones1”, esta Autoridad se permite instruir lo siguiente:
Primero: Cumplimiento de la regulación de tratamiento de datos personales. Las Resoluciones del Ministerio de Salud y Protección Social no suspenden el derecho fundamental a la protección de datos personales, cuya normativa sigue plenamente vigente y es de obligatorio cumplimiento para los Responsables y Encargados del Tratamiento de Datos Personales.
Segundo: Recolección de Datos. Es necesario tener en cuenta que:
a) No se pueden utilizar medios engañosos o fraudulentos para recolectar y realizar Tratamiento de datos personales.
b) Se debe informar a la persona la finalidad específica de la recolección de sus datos.
c) No se puede recolectar cualquier dato sino solo aquel o aquellos que sean pertinentes y adecuados para la finalidad para la cual son requeridos. Los Responsables del Tratamiento de Datos Personales deben estar en capacidad de justificar o explicar la necesidad de recolectar los datos que solicitan a las personas.
d) No se deben recolectar datos diferentes a los exigidos expresamente por el Ministerio de Salud y Protección Social para efectos de dar cumplimiento a los protocolos.
e) Salvo en los casos expresamente previstos en la ley, no se podrán recolectar datos personales sin la autorización previa, expresa e informada del Titular. La autorización se puede obtener por cualquiera de los mecanismos – escrito, verbal, electrónico o conductas inequívocas – previstos en el artículo 7° del Decreto 1377 de 2013, pero el responsable de su tratamiento tiene el deber de conservar prueba de dicho consentimiento2.
Tercero: Información sobre la necesidad de recolectar información. Se debe informar al ciudadano la norma específica que ordena recolectar los datos que se le solicitan para dar cumplimiento a los protocolos de bioseguridad.
Para comunicar lo anterior pueden usarse, entre otras, los avisos de privacidad para que las personas conozcan por qué se está recolectando sus datos personales. El texto de los avisos de privacidad debe contener lo que ordena el artículo 15 del Decreto 1377 de 20133. Recomendamos que ese aviso se ubique en sitios que permitan a las personas enterarse de manera fácil y a simple vista de lo anteriormente indicado.
Cuarto: Seguridad y confidencialidad de los datos. Se deberán implementar las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los datos personales evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, así como garantizar los principios de confidencialidad, acceso y circulación restringida.
Quinto: Política de tratamiento de información. Se debe poner en conocimiento de las personas la Política de Tratamiento de Información (PTI), la cual no solo debe incluir los mecanismos y procedimientos para que los ciudadanos ejerzan sus derechos a conocer, actualizar, rectificar, suprimir sus datos o revocar su autorización, sino todo lo demás que ordena el Artículo 13 del Decreto 1377 de 2013.
Sexto: Limitación temporal del uso de los datos. Los datos recolectados para dar cumplimiento a los protocolos de bioseguridad únicamente se podrán usar para los fines indicados por el Ministerio de Salud y Protección Social, y sólo se podrán almacenar durante el tiempo razonable y necesario para cumplir dichos protocolos. Una vez cumplida la finalidad, el Responsable del Tratamiento de Datos Personales deberá suprimir de oficio los datos recolectados.
Séptimo: Garantizar responsabilidad reforzada sobre el tratamiento de datos sensibles y no condicionar ninguna actividad al suministro de estos. En caso de que se recolecten datos sensibles4, se debe tener en cuenta que la recolección, uso, circulación y tratamiento de estos debe estar rodeado de especial cuidado y diligencia en su recolección, uso, seguridad o cualquier otra actividad que se realice con estos5. Es de notar que ninguna actividad podrá condicionarse a que el titular suministre datos personales sensibles6.
Octavo: Registro de Bases de Datos en la SIC. En el evento que se creen nuevas bases de datos para dar cumplimiento a los protocolos, es necesario que las mismas se registren ante el Registro Nacional de Bases de Datos (RNBD) administrado por la Superintendencia de Industria y Comercio. La base de datos deberá inscribirse dentro de los dos (2) meses siguientes a su creación.
Estas instrucciones son de inmediata ejecución, tienen carácter preventivo, obligatorio y aplican sin perjuicio de las demás obligaciones legales que le corresponde cumplir a cualquier Responsable o Encargado del Tratamiento de Datos Personales, o de las instrucciones que emitan otras autoridades en el marco de sus atribuciones constitucionales y legales. Adicionalmente, deben aplicarse de manera armónica e integral con lo dispuesto en la Constitución y la regulación sobre tratamiento de datos personales.
Sírvanse por favor dar cumplimiento a lo anteriormente informado por esta Autoridad.
El Superintendente de Industria y Comercio,
Andrés Barreto González.
(C. F.).
Notas a la Circular Externa 008 de 2020
La Circular Externa 008 de 2020 fue publicada en el Diario Oficial 51.410 del 18 de agosto de 2020. Esta circular no ha sido modificada desde su expedición.
Es importante tener en cuenta que la Circular Externa 008 de 2020 hace referencia al Decreto 1377 de 2013 , pero este Decreto fue compilado en el Decreto 1074 de 2015.
(1) Cfr. Numeral 61 del Artículo 1 en concordancia con el numeral 5 del Artículo 3 del Decreto 4886 del 23 de diciembre de 2011, “Por medio del cual se modifica la estructura de la Superintendencia de Industria y Comercio, se determinan las funciones de sus dependencias y se dictan otras disposiciones”.
(2) Artículos 4°, 9°, 12, 17 y 18 de la Ley Estatutaria 1581 de 2012 y el Artículo 4 del Decreto 1377 de
2013 (Incorporado en el Decreto 1074 de 2015).
(3) Incorporado en el Decreto 1074 de 2015.
(4) Los datos sensibles fueron definidos en la Ley 1581 de 2012 y en el Decreto 1377 de 2013 como “aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación,
tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones
religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos
o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de
partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos
biométricos”.
(5) En efecto, la Corte Constitucional exige responsabilidad reforzada por parte de los Responsables y Encargados: “como se trata de casos exceptuados y que, por tanto, pueden generar altos riesgos en términos de vulneración del habeas data, la intimidad e incluso la dignidad de los titulares de los datos, los agentes que realizan en estos casos el tratamiento tienen una responsabilidad reforzada que se traduce en una exigencia mayor en términos de cumplimiento de los principios del artículo 4° y los deberes del Título VI” de la Ley Estatutaria 1581 de 2012.
(6) Artículo 6° del Decreto 1377 de 2013.