Empresas deberán contar con autorización previa, informada y expresa sobre la autorización para el tratamiento de datos personales
Es común que los emprendedores, cuando están iniciando su negocio, descuiden algunos aspectos jurídicos, sea porque no los tienen en el radar o porque no creen que sean una prioridad. Uno de esos puntos que fácilmente se pasan por alto es la protección de datos personales y su omisión puede acarrear sanciones.
La Superintendencia de Industria y Comercio (SIC), recogiendo las disposiciones generales contenidas en la Ley 1581 de 2012, explica que los principios de la normativa de protección de habeas data son aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento en territorio colombiano, por parte de entidades de naturaleza pública o privada.
Por lo anterior, anotó Lorenzo Villegas, socio de CMS Rodríguez Azuero, es importante que los emprendedores tengan en cuenta este aspecto y su política esté legitimada “desde el minuto cero”, en lugar de ignorarlo o posponerlo, como suele suceder.
En ese sentido, el abogado explicó que, cuando se trata de emprendimientos relacionados con la tecnología, la legitimación viene, en esencia, de tener una política de privacidad bien estructurada, de acuerdo tanto a la ley como al modelo de negocio, pues no solo se trata de “entrar a copiar la política de otra empresa, sino que esta se debe diseñar pensando en el negocio y en la compañía”.
El primer paso para estipular una política de tratamiento de datos adecuada es contar con la autorización de los titulares de los datos, un punto clave, pues en caso de tratar con información sin el debido permiso puede exponerse a sanciones administrativas, como el bloqueo total de la actividad, acompañada de multas económicas de hasta 2.000 salarios mínimos.
Según la SIC, la autorización es el consentimiento previo, expreso e informado del titular de la información para llevar a cabo el tratamiento de datos personales, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior. Al desglosar estos términos, Villegas señala que, al referirse al consentimiento informado, se quiere decir que el titular, antes de dar la autorización, debe conocer sobre diferentes aspectos, como son las finalidades de uso, los medios de tratamiento, derechos, deberes, responsabilidades, entre otros. Sobre el consentimiento expreso, el experto agregó que dicha autorización debe comunicarse de forma escrita, oral o mediante conductas inequívocas.
“La ley define las conductas inequívocas como actos que razonablemente permiten concluir que se entregó la autorización. Es una definición amplia, pero es importante saber cómo constituir la prueba de la autorización para conservarla en el futuro”, subrayó.
Así mismo, el silencio no es una opción, pues en muchos casos se asume que “no decir que sí, hace entender que se puede utilizar la información”, acción que tampoco sería permitida.
En otros aspectos, después de recibir la autorización, se deberán tener en cuenta los principios que rigen el tratamiento de datos; de legalidad en materia de tratamiento de datos; de finalidad; de libertad; de transparencia; de veracidad; de seguridad y de confidencialidad; entre otros (ver gráfico).
