Aspectos claves que deben saber las empresas a la hora de cumplir con la normatividad de protección de datos personales en Colombia

 

Por: Carolina Trujillo Montoya

 

Diferenciar entre datos personales públicos, privados, semiprivados o sensibles:

Entendemos por dato personal cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Ahora bien, los datos personales pueden ser de carácter público, privado, semiprivado o sensible.

• Dato público es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público, pueden estar contenidos, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales que no estén sometidas a reserva.

• Dato privado es el que, por su naturaleza íntima, solo le interesa al titular o a su entorno más cercano. Ejemplo: dirección de residencia y teléfono (Registraduría Nacional del Estado Civil. Grupo de Acceso a la Información y Protección de Datos Personales).

• Dato semiprivado es aquel que además de ser de interés para el titular, puede ser de interés para cierto sector o grupo de personas. Ejemplo: fecha y lugar de nacimiento. Si bien todo dato personal sensible es privado, no todo dato privado es sensible.

• El dato sensible se ha entendido como aquel que afecta la intimidad del titular o cuyo uso indebido puede generar discriminación, como son aquellos datos que revelen el origen racial, orientación política, religiosa, filosófica; la pertenencia a sindicatos, organizaciones sociales, salud, vida sexual y datos biométricos.

Medidas que recomendamos adoptar para soportar el cumplimiento de las obligaciones que tiene una empresa en materia de datos personales:

• Documentos suscritos por el titular de los datos que contengan su autorización de uso y tratamiento de sus datos personales en donde conste el detalle de los datos frente a los cuales el titular autoriza el tratamiento y los fines específicos para los cuales se otorga la autorización, así como la delimitación del periodo del tiempo durante el cual estará vigente la autorización.

• Si la empresa tiene una aplicación o sistema web a través del cual recopila datos personales de otras personas, debe presentar algún tipo de autorización o manifestación del consentimiento previo al uso de la referida aplicación o sistema, a través de un disclaimer que deba diligenciar la persona y debe quedar almacenada dicha autorización en caso de algún tipo de reclamación futura.

• Se debe incluir siempre en los contratos una cláusula mediante la cual se regule el uso y tratamiento de los datos personales de las diferentes partes contractuales, especificando siempre los datos personales frente a los cuales se autoriza el uso y tratamiento, los fines de ese uso y tratamiento y el periodo de tiempo durante el cual va a permanecer vigente dicha autorización.

• Incluir medidas de autenticación de los titulares de los datos personales en los sistemas a través de los cuales puedan recopilarse datos de este tipo.

• Guardar la fecha y hora en la cual el titular autorizó el tratamiento de sus datos personales si la autorización se dio por medios virtuales, así la constancia del medio a través del cual se dio dicha autorización.

Si la empresa se dedica a consultar datos personales en bases de datos de consulta y uso público se debe considerar lo siguiente:

• Se deben revisar siempre las políticas de privacidad, uso y tratamiento de datos que se encuentren publicadas en páginas web de diferentes entidades a través de las cuales se realicen consultas de datos personales, incluso masivas.

• Cuando la empresa realice búsquedas en bases de datos o sistemas de consulta, de otras entidades, es importante verificar las políticas de privacidad, uso y tratamiento de datos de estas entidades, con el propósito de que no entren en conflicto con las finalidades de la búsqueda y el mecanismo que se emplee para realizarla. Además, existe la posibilidad de solicitar a la entidad la autorización para el tratamiento y uso de los datos que se obtienen de sus sistemas para los fines requeridos.

Fines legítimos para consultar datos personales

Se debe recordar que serán fines legítimos para dicha consulta aquellos que no contraríen derechos fundamentales de las personas o atenten contra su buen nombre, y dignidad humana, especialmente si es para garantizar otros derechos y/o cumplir obligaciones de orden legal, por ejemplo en materia de prevención y lucha contra el lavado de activos y financiación del terrorismo. Para efectos prácticos, la consulta tal vez no genere algún conflicto pero sí se debe tener cuidado a la hora de elaborar algún tipo de reporte o referencia basada en las consultas de datos personales que se realicen de otras personas.

Principales derechos constitucionales que se deben garantizar siempre a los titulares de los datos personales

• Derecho a conocer los datos personales que están contenidos en bases de datos, de los cuales se hace uso y/o tratamiento.

• Derecho a actualizar sus datos personales.

• Derecho a rectificar información frente a sus datos personales.

• Derecho al buen nombre.

• Derecho a la dignidad humana.

Acciones que deben conocer los titulares de los datos personales en caso de vulneración de sus derechos

• Estas personas podrán presentar derechos de petición en cualquiera de sus modalidades, los cuales deberán ser atendidos dentro del término legal que corresponda, que puede ir entre 10 y 30 días hábiles.

• Podrán presentar acciones de tutela para restablecer sus derechos o cesar la vulneración de los mismos.

• Podrán interponer quejas y denuncias ante la Superintendencia de Industria y Comercio, que es la entidad encargada de vigilar el cumplimiento de las normas en materia de datos personales. Esta entidad si encuentra que efectivamente hay conductas de vulneración de derechos a los titulares de los datos personales o que hay incumplimientos en el uso y tratamiento de los mismos, podrá impartir sanciones que podrán incluso alcanzar los dos mil (2.000) salarios mínimos mensuales legales vigentes y el cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.

¡Ojo! Si la empresa realiza consultas en las bases de datos de la Rama Judicial

Se debe tener en cuenta que las consultas en las bases de datos de la Rama Judicial, así como los buscadores de procesos judiciales, deben cumplir con la política de privacidad y uso de la respectiva entidad. Además se debe tener presente que los hallazgos que arrojen las búsquedas no podrán ser interpretados o presentados como antecedentes judiciales.

Los antecedentes judiciales de una persona se construyen a partir de las sentencias que se encuentren plenamente ejecutoriadas, es decir contra las cuales ya no procede recurso alguno, por lo que hay que tener cuidado a la hora de consultar este tipo de información para no incurrir en imprecisiones o informaciones inexactas.

Protección de datos personales cuando empleamos sistemas de Inteligencia Artificial o ChatGPT

Si se utilizan sistemas de inteligencia artificial abiertos al público como ChatGPT, se debe tener cuidado con la información que se suministra a la hora de generar la consulta ya que el sistema se alimenta con la información que los usuarios depositan en sus consultas. Recomendamos no incluir datos personales al formular solicitudes a través de estos sistemas, pues se corre el riesgo de que información de este tipo se divulgue.