20 Ago Recolección y tratamiento de datos personales en establecimientos de comercio con ocasión del COVID-19
El pasado 18 de agosto de 2020 la Superintendencia de Industria y Comercio (“SIC”) expidió la Circular Externa 008 de 2020, con el fin de instruir a quienes recolectan datos personales con ocasión del cumplimiento de los protocolos de bioseguridad y demás medidas adoptadas por el Gobierno Nacional con ocasión del COVID-19. Si bien la Circular está dirigida a todas las personas que son responsables o encargados del tratamiento de datos personales, es pertinente advertir que en los comunicados oficiales la SIC ha destacado que la misma es de obligatorio cumplimiento “para todos aquellos establecimientos de comercio que, con ocasión del estado de emergencia por el COVID-19, han recolectado datos personales de los ciudadanos.”
La Circular comienza por reconocer que, debido al estado de emergencia sanitaria decretado por el Gobierno Nacional con ocasión del COVID-19, las autoridades de diferentes sectores de la economía se han visto obligadas a implementar medidas y protocolos, con el fin de contrarrestar los efectos de la pandemia. Por ejemplo, el Ministerio de Salud y Protección Social ha expedido protocolos de bioseguridad que buscan mitigar, controlar y realizar el adecuado manejo de los riesgos que pueden derivarse del COVID-19.
En esta entrada explicamos las seis principales implicaciones de la Circular 008 de 2020 de la SIC, respecto de la recolección y tratamiento de datos personales con ocasión del COVID-19, que consideramos merecen especial atención.
1. La normativa de protección de datos personales rige plenamente en el contexto del COVID-19.
El objeto principal de la Ley Estatutaria 1581 de 2012 es que todas las personas conozcan, actualicen y rectifiquen las informaciones que sobre ellas existan en bases de datos o archivos, de tal manera que los derechos fundamentales a la privacidad y a la información sean respetados en todo momento. En la Circular 008 de 2020, la SIC fue enfática en que las Resoluciones del Ministerio y Protección Social, no suspenden el derecho fundamental a la protección de datos personales ni afectan la vigencia de la normativa sobre esta materia.
2. Deberes y cuidados especiales en la recolección de datos personales.
En cuanto a la recolección de los datos, son dos los puntos relevantes que establece la Circular 008 de 2020. El primer punto se refiere a que “no se pueden utilizar medios engañosos o fraudulentos para recolectar” datos personales y que los responsables o encargados se ciñan a las reglas sobre la autorización previa que debe otorgar el titular. El segundo, a que solo se recojan datos “pertinentes y adecuados para la finalidad para la cual fueron recogidos”. Además, para cumplir con los protocolos de bioseguridad solo deben recogerse los datos expresamente exigidos por el Ministerio de Salud y Protección Social.
3. Deber de informar las finalidades del tratamiento y justificar la necesidad de recolección de datos personales.
Además de reiterar el deber de los responsables o encargados de informar las finalidades del tratamiento específicas de la recolección de sus datos a través de medios idóneos, la Circular advierte que estos deben estar en capacidad de justificar la necesidad de recolección de los datos de los titulares.
4. Limitación en el uso de los datos personales.
Los datos que sean recolectados para dar cumplimiento a los protocolos de bioseguridad no puedan ser utilizados para fines distintos a éste. Dichos datos se podrán “almacenar durante el tiempo razonable y necesario para cumplir dichos protocolos.” Además, una vez cumplida la finalidad, el responsable del tratamiento de los datos personales deberá́ suprimir de oficio dichos datos.
5. Registro de nuevas bases de datos en el RNBD para cumplir con protocolos.
El cumplimiento de los protocolos de bioseguridad puede generar la necesidad de crear nuevas bases de datos. En ese caso, los responsables deberán registrarlas en el Registro Nacional de Bases de Datos (RNBD) administrado por la SIC.
6. Protección reforzada en el tratamiento de datos sensibles.
El tratamiento de datos sensibles implica deberes reforzados para garantizar la seguridad de estos a través de medidas técnicas, humanas y administrativas. Además, la Circular recuerda que no se puede condicionar ninguna actividad a que el titular suministre datos personales sensibles.
Finalmente, la Circular también reitera algunos deberes de los responsables del tratamiento de datos personales como: i) poner en conocimiento la Política de Tratamiento de Información, ii) obtener autorización previa, expresa, libre e informada del titular para la recolección y tratamiento de los datos, salvo en los casos expresamente exceptuados por la ley y iii) garantizar los principios de seguridad, confidencialidad, acceso y circulación restringida.
No Comments