RESUMEN: Protección de Datos Personales: Obligaciones del Tercero Subcontratado. En este oficio se aborda la naturaleza jurídica y las responsabilidades del tercero subcontratado en el tratamiento de datos personales. Se aclara que este tercero debe seguir las mismas obligaciones que el Encargado del Tratamiento, especialmente en lo que respecta al ejercicio del derecho de Habeas Data y la tramitación de consultas y reclamos de los Titulares.

Ver a continuación concepto Superintendencia de Industria y Comercio sobre: Protección de Datos Personales: Obligaciones del Tercero Subcontratado:

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

Bogotá D.C., 22 de noviembre de 2022

Asunto:         Radicación: 22-401941

Trámite:         113

Evento:          0

Actuación:     440

Folios:            13

Reciba cordial saludo

De conformidad con lo previsto en el artículo 28 de la Ley 1437 de 2011, sustituido por el artículo 1 de la Ley 1755 de 2015, “por medio de la cual se regula el Derecho Fundamental de Petición y se sustituye un título del Código de Procedimiento Administrativo y de lo Contencioso Administrativo”, fundamento jurídico sobre el cual se funda la consulta objeto de la solicitud, procede la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO a emitir un pronunciamiento, en los términos que a continuación se pasan a exponer:

1. CUESTIÓN PREVIA

Reviste de gran importancia precisar en primer lugar que la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO a través de su Oficina Asesora Jurídica no le asiste la facultad de dirimir situaciones de carácter particular, debido a que, una lectura en tal sentido, implicaría la flagrante vulneración del debido proceso como garantía constitucional.

Al respecto, la CORTE CONSTITUCIONAL ha establecido en la Sentencia C-542 de 2005:

“Los conceptos emitidos por las entidades en respuesta a un derecho de petición de consulta no constituyen interpretaciones autorizadas de la ley o de un acto administrativo. No pueden reemplazar un acto administrativo. Dada la naturaleza misma de los conceptos, ellos se equiparan a opiniones, a consejos, a pautas de acción, a puntos de vista, a recomendaciones que emite la administración pero que dejan al administrado en libertad para seguirlos o no”.

Ahora bien, una vez realizadas las anteriores precisiones, se suministrarán las herramientas de información y elementos conceptuales necesarios que le permitan absolver las inquietudes por usted manifestadas, como sigue:

1

3.                  FACULTADES DE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES

La Ley 1581 de 2012, en su artículo 21 señala las siguientes funciones para esta Superintendencia:

“a) Velar por el cumplimiento de la legislación en materia de protección de datos personales;

• Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. Para el efecto, siempre que se desconozca el derecho, podrá disponer que se conceda el acceso y suministro de los datos, la rectificación, actualización o supresión de los mismos;

• Disponer el bloqueo temporal de los datos cuando, de la solicitud y de las pruebas aportadas por el Titular, se identifique un riesgo cierto de vulneración de sus derechos fundamentales, y dicho bloqueo sea necesario para protegerlos mientras se adopta una decisión definitiva.

• Promover y divulgar los derechos de las personas en relación con el Tratamiento de datos personales e implementara campañas pedagógicas para capacitar e informar a los ciudadanos acerca del ejercicio y garantía del derecho fundamental a la protección de datos.

• Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley.

• Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones.

• Proferir las declaraciones de conformidad sobre las transferencias internacionales de datos.

• Administrar el Registro Nacional Público de Bases de Datos y emitir las órdenes y los actos necesarios para su administración y funcionamiento.

1. Sugerir o recomendar los ajustes, correctivos o adecuaciones a la normatividad que resulten acordes con la evolución tecnológica, informática o comunicacional.

• Requerir la colaboración de entidades internacionales o extranjeras cuando se afecten los derechos de los Titulares fuera del territorio colombiano con ocasión, entre otras, de la recolección internacional de datos personales.

• Las demás que le sean asignadas por ley”.

2

A continuación resolveremos los interrogantes de su consulta, en los siguientes términos:

Primer interrogante

“a) La naturaleza jurídica y la figura del tercero que es contratado por un Encargado del Tratamiento, para prestar servicios que involucran el tratamiento de datos personales por cuenta de un Responsable del Tratamiento; así como su alcance y las obligaciones que tiene a su cargo al amparo del “Régimen de Protección de Protección de Datos Personales”.”

Respuesta:

El artículo 3 de la Ley 1581 de 2011 define el dato personal así: “c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables».

Por lo anterior, el dato personal es cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables que cumplen con las siguientes características: (i) están referidos a aspectos exclusivos y propios de una persona natural, ii) permiten identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.

Por su parte, el literal g) del artículo 3 define tratamiento en los siguientes términos:

«Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.»

Por lo anterior, el tratamiento se refiere a la utilización, recolección, almacenamiento, circulación y supresión de los datos personales que se encuentren registrados en cualquier base de datos o archivos por parte de entidades públicas o privadas y cuyo procesamiento sea utilizando medios tecnológicos o manuales.

Ahora bien, la Ley 1581 de 2012, en su artículo 2, señala su ámbito de aplicación de la siguiente manera:

“(…) Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que

3

los haga susceptibles de tratamiento por entidades de naturaleza pública o privada.

(…)”

Por lo anterior, la Ley 1581 de 2012 se aplica a los datos personales que se encuentren en bases de datos o archivos de entidades públicas o privadas, entendidos estos, como el conjunto organizados o depósitos ordenados de datos personales sujetos a tratamiento, es decir, a la recolección, el almacenamiento, el uso, la circulación o la supresión de los mismos.

En concordancia con lo anterior, el artículo 3 de la Ley 1581 de 2012 señala las siguientes definiciones:

“d) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.

e) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos”.

Por lo anterior, el responsable del tratamiento de los datos personales es la persona natural o jurídica que decide sobre las finalidades del tratamiento y los medios empleados para el efecto, por ejemplo, para ponerlo en circulación, usarlo de alguna manera o determinar el acceso a los datos personales.

El encargado es la persona natural o jurídica que realiza el tratamiento de los datos personales por instrucción o delegación del responsable, incluso los sub-encargados, y es sujeto de las obligaciones contempladas en la Ley 1581 de 2012, sus decretos reglamentarios y las instrucciones impartidas por esta Entidad.

Segundo interrogante

“b) Si, para efectos de garantizar a los Titulares, el ejercicio de su derecho de Habeas Data, las obligaciones de este tercero subcontratado seguirían la misma suerte que las del Encargado del Tratamiento, en términos de los artículos 8 y 18 de la Ley 1581 de 2012. Esto es, que el tercero subcontratado asuma la obligación de garantizar el ejercicio de este derecho y tramitar las consultas o reclamos de los Titulares, de manera directa.”

4

Respuesta:

El encargado del tratamiento de datos personales deberá dar cumplimiento a las obligaciones consagradas en el artículo 18 de la Ley 1581 de 2012, en los siguientes términos:

“Deberes de los Encargados del Tratamiento. Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

1. Garantizar al Titular, en todo tiempo el pleno y efectivo ejercicio del derecho de hábeas data.

• Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

• Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley.

• Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.

• Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley.

• Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares.

• Registrar en la base de datos la leyenda «reclamo en trámite» en la forma en que se regula en la presente ley.

• Insertar en la base de datos la leyenda «información en discusión judicial» una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.

1. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.

• Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.

• Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

5

• Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio”.

Ahora bien, si el responsable del tratamiento contrata a otra empresa o un a tercero (encargado del tratamiento) para realizar cierto tratamiento de datos personales, es oportuno que se le exija el cumplimiento de su política de tratamiento de datos personales y los deberes legales consagrados en el artículo 18 mencionado en precedencia.

Es importante mencionar que los encargados del tratamiento, obran por cuenta del responsable quien responde frente a los titulares de los datos personales y las autoridades por los errores o negligencia de los encargados. Por ello, se recomienda que en los contratos de prestación de servicios celebrados con terceros se establezcan de manera clara las obligaciones especiales y los deberes que deben cumplir los encargados en el tratamiento de datos personales y que se pacten cláusulas contractuales en las que se obliguen a:

• Cumplir las políticas de tratamiento de información del responsable del tratamiento.

• Garantizar seguridad y confidencialidad de los datos personales.

• No usar los datos personales para fines diferentes a los autorizados por el titular autorizados o no acceder a los mismos (según el caso).

• No apropiarse de los datos personales (copias de planillas, formularios, grabaciones, archivos electrónicos) luego de culminado el contrato de prestación de servicios.

• Devolver al responsable todos los datos que trató durante la prestación de sus servicios.

Tercer interrogante

“c) El alcance de las obligaciones de dicho tercero en relación con la notificación a su H. autoridad de los incidentes de seguridad que pudieren afectar el Tratamiento realizado por éste, en términos del artículo 18(k) de la Ley 1581 de 2012.”

Respuesta:

El artículo 4 de la Ley 1581 de 2012 establece como uno de los principios del tratamiento de datos personales el de seguridad, en los siguientes términos:

“Principios para el Tratamiento de datos personales. En el desarrollo, interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los siguientes principios: (…)

g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere

6

la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;”

Con el fin de materializar el principio en mención, el artículo 17 de la Ley 1581 de 2012 ha establecido, entre otros, los siguientes deberes a cargo de los responsables del tratamiento de datos personales:

“Deberes de los Responsables del Tratamiento. Los Responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad: (…)

d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

(…)

i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;

(…)

n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.”

Así mismo, respecto de los encargados del tratamiento de datos personales el artículo 18 de la mencionada ley ha señalado los siguientes deberes en relación con la seguridad:

“Deberes de los Encargados del Tratamiento. Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

(…)

b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

(…)

7

k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares;

(…)”

De acuerdo con lo anterior, es un deber tanto de los Responsables como Encargados del Tratamiento de los datos personales el establecer medidas con el fin de garantizar la seguridad de las bases de datos, y en especial que: (i) no sea adulterada la información contenida en las bases de datos, (ii) no se pierda la información de las bases de datos, (iii) no se pueda hacer uso, consultar o acceder sin autorización o de manera fraudulenta a las bases de datos.

De lo anterior, cabe mencionar que el artículo 2.2.2.25.6.1., del Decreto 1074 de 2015 dispone lo siguiente:

“Demostración. Los responsables del tratamiento de datos personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y este capítulo, en una manera que sea proporcional a lo siguiente:

1. La naturaleza jurídica del responsable y, cuando sea del caso, su tamaño empresarial, teniendo en cuenta si se trata de una micro, pequeña, mediana o gran empresa, de acuerdo con la normativa vigente.

• La naturaleza de los datos personales objeto del tratamiento.

• El tipo de Tratamiento.

• Los riesgos potenciales que el referido tratamiento podrían causar sobre los derechos de los titulares.

En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, los Responsables deberán suministrar a esta una descripción de los procedimientos usados para la recolección de los datos personales, como también la descripción de las finalidades para las cuales esta información es recolectada y una explicación sobre la relevancia de los datos personales en cada caso.

En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, quienes efectúen el Tratamiento de los datos personales deberán suministrar a esta evidencia sobre la implementación efectiva de las medidas de seguridad apropiadas:”

8

(Subrayas fuera de texto)

En consecuencia, los responsables del tratamiento de datos personales deben implementar medidas que permitan el cumplimiento de las disposiciones contenidas en la ley de protección de datos personales, a través de un Programa Integral de Gestión de datos Personales y que además les permita demostrar a esta Superintendencia la implementación apropiada y efectiva de esas medidas dentro de la organización.

Ahora bien, el artículo 2.2.2.25.6.2., del Decreto 1074 de 2015 señala las políticas internas efectivas que los responsables del tratamiento deben implementar para el ejercicio de la responsabilidad demostrada así:

“1. La existencia de una estructura administrativa proporcional a la estructura y tamaño empresarial del responsable para la adopción e implementación de políticas consistentes con la Ley 1581 de 2012 y este capítulo.

• La adopción de mecanismos internos para poner en práctica estas políticas incluyendo herramientas de implementación, entrenamiento y programas de educación.

• La adopción de procesos para la atención y respuesta a consultas, peticiones y reclamos de los Titulares, con respecto a cualquier aspecto del tratamiento.

La verificación por parte de la Superintendencia de Industria y Comercio de la existencia de medidas y políticas específicas para el manejo adecuado de los datos personales que administra un Responsable será tenida en cuenta al momento de evaluar la imposición de sanciones por violación a los deberes y obligaciones establecidos en la ley y en el presente capítulo.”

Por lo anterior, la responsabilidad demostrada le corresponde al responsable del tratamiento, el cual debe ser capaz de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y sus decretos reglamentarios.

Ahora bien, las organizaciones para el desarrollo, implementación y seguimiento de un programa Integral de Gestión de datos personales deben desarrollar y poner en marcha controles que permitan asegurar las políticas adoptadas por el responsable del tratamiento y su implementación al interior de cada organización, entre dichos controles se encuentra el siguiente:

Sistema de administración de riesgos asociados al tratamiento de datos personales: Las organizaciones deben identificar y manejar los riesgos asociados al tratamiento de datos

9

personales, para lo cual deben desarrollar un sistema de administración de riesgos, acorde con la estructura organizacional, sus procesos y procedimientos internos asociados al tratamiento de datos personales, la cantidad de bases de datos y tipos de datos personales tratados por la empresa. Este sistema le permitirá a la empresa identificar, medir, controlar y monitorear todos aquellos hechos o situaciones que puedan incidir en la debida administración del riesgo a que están expuestos en desarrollo del cumplimiento de las normas de protección de datos personales.

En concordancia con lo anterior, es necesario traer a colación el numeral 2.2.2.25.4.4., del Decreto 1074 de 2015 que señala lo siguiente:

“Medios para el ejercicio de los derechos. Todo Responsable y Encargado deberá designar a una persona o área que asuma la función de protección de datos personales, que dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y el presente capítulo.”

Por lo anterior, la función del oficial de protección de datos o del área encargada de protección de datos en la organización es la de velar por la implementación efectiva de las políticas y procedimientos adoptados por ésta, para cumplir la norma de protección de datos personales, entre ellas, la administración de riesgos asociados al tratamiento de datos personales, así como la implementación de buenas prácticas de gestión de datos personales dentro de la empresa. El oficial de protección de datos personales tendrá la labor de: (I) estructurar, diseñar y administrar el programa que permita a la organización cumplir con las normas sobre protección de datos, (ii) establecer los controles de ese programa, su evaluación y revisión permanente.

Si requiere más información sobre el sistema de administración de riesgos y de la responsabilidad demostrada en el tratamiento de datos personales en general, le sugerimos consultar la “Guía para la Implementación del Principio de Responsabilidad Demostrada (Accountability)”, a través de nuestra página web www.sic.gov.co

Ahora bien, el literal f) del numeral 2.1., del capítulo segundo, del título V de la Circular Única de esta Superintendencia señala lo siguiente:

“f) Reporte de novedades. Se reportarán como novedades los reclamos presentados por los Titulares ante los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD y/o sus Encargados y los incidentes de seguridad que afecten las bases de datos administradas por cualquier Responsable del Tratamiento, así:

(…)

(ii) Incidentes de seguridad. Se refiere a la violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información de una base de datos

10

administrada por el Responsable del Tratamiento o por su Encargado, que deberán reportarse al RNBD por parte de los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.

Los Responsables del Tratamiento que no se encuentren obligados a registrar sus bases de datos en el RNBD y los Encargados del Tratamiento, deberán hacer el reporte de los incidentes de seguridad que afecten la información contenida en estas mediante el aplicativo dispuesto para tal fin en la página web de la Superintendencia de Industria y Comercio en el micrositio de la Delegatura para la Protección de Datos Personales o mediante cualquiera de los canales habilitados por la entidad para recibir comunicaciones dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.

La información relacionada con las medidas de seguridad, los reclamos presentados por los Titulares y los incidentes de seguridad reportados en el RNBD no estará disponible para consulta pública”.

(Subrayas fuera de texto)

Los incidentes de seguridad se refieren a cualquier evento o suceso que tengan como fin la violación de los códigos de seguridad, adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de los datos personales que se encuentran en una base de datos administrada por el responsable del tratamiento o por su encargado.

De conformidad con el anexo 5 del manual de usuario del registro nacional de bases de datos

– RNBD, las causales de los incidentes pueden ser por los siguientes factores:

Fraude interno: Delito no violento efectuado con la participación de los empleados o personas de confianza del responsable o encargado del tratamiento, quienes valiéndose de su posición o de la información privilegiada de la que disponen, realizan un manejo indebido de los datos personales o cualquier tipo de infraestructura que pueda incidir o representar un riesgo en el tratamiento de los mismos, bien sea en forma directa o indirecta.

Fraude externo: Cualquier acto efectuado por una persona ajena al responsable o encargado del tratamiento, buscando acceder, apropiarse, causar adulteración o eliminación a los datos personales a los cuales estos les realizan tratamiento, por ejemplo, a través de los sistemas informáticos, robo, atraco, engaños, falsificación o adulteración de documentos, cometido por personas que no pertenecen a la organización.

Daños a activos físicos: Pérdida, deterioro o cualquier afectación de los datos personales a los cuales el responsable o encargado realicen tratamiento, causados por daños a los activos

11

físicos de los mismos, por ejemplo el daño físico en los computadores de la empresa, archivos físicos como papel, cintas, discos, etc. Causados por cualquier tipo de incidencia como fenómenos naturales, accidentales o por problemas de orden público.

Falla de tecnología informática: Pérdida, indisponibilidad, adulteración o cualquier afectación de los datos personales a los cuales el responsable o encargado realicen tratamiento, causados por fallas en la infraestructura tecnológica de uno u otro.

Ejecución y/o administración de procesos: Pérdida, indisponibilidad, adulteración o cualquier afectación de los datos personales a los cuales el responsable o encargado realicen tratamiento, causados por fallas en la ejecución, aplicación y/o administración de procesos, procedimientos, protocolos, políticas de uno u otro.

Falla por negligencia o actos involuntarios de los titulares: Pérdida, indisponibilidad, adulteración o cualquier afectación de los datos personales a los cuales el responsable o encargado realicen tratamiento, causados por negligencia o actos involuntarios del mismo titular, que puede ver afectados tanto sus propios datos como los de otros titulares, por ejemplo, cuando el titular no acata las recomendaciones de seguridad frente al manejo de sus propios datos personales, como el uso de contraseñas de acceso a sistemas de información o cuentas bancarias, cuentas de correo electrónico, números de tarjetas bancarias, utilización de éstos en medios no seguros o excesiva confianza en la entrega de sus datos personales o de otros titulares a personas no autorizadas.

La gestión de incidentes de seguridad, se refiere a la documentación de los pasos a seguir una vez se detecte la comisión del incidente, tanto a nivel correctivo como preventivo. Dentro de los cuales se deben determinar tiempos, roles y responsabilidades.

El reporte de los incidentes de seguridad deberá realizarse así:

• Cuando el responsable del tratamiento de datos personales esté obligado a reportar sus bases de datos, tendrá que hacerlo a través del Registro Nacional de bases de Datos dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.

• Los responsables del tratamiento que no se encuentren obligados a registrar sus bases de datos en el Registro Nacional de Bases de Datos y los encargados del tratamiento, deberán hacer el reporte de los incidentes de seguridad dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos; mediante el aplicativo dispuesto para tal fin en la página web de la Superintendencia de Industria y Comercio en el micrositio de la Delegatura para la Protección de Datos Personales o mediante cualquiera de los canales habilitados por la entidad para recibir comunicaciones, es decir, al correo electrónico [email protected] y/o físicamente en la Carrera 13 No. 27-00 piso 1.

12

Cuarto y quinto interrogante

“a) La naturaleza, requisitos y/o formalidades a cumplir para el Tratamiento de datos personales de geolocalización.

b) Si, a falta de disposición expresa para su Tratamiento deberán regir las normas generales de protección de datos personales o, se deberá observar alguna formalidad adicional.”

Respuesta:

La normativa sobre protección de datos personales, no consagra el tratamiento específico a través de geolocalización, por lo anterior, los responsables pueden realizar cualquier tratamiento de datos personales, es decir, la recolección, el uso, el almacenamiento, la supresión o cualquier operación de los mismos, siempre y cuando sean necesarios y pertinentes para el cumplimiento de una finalidad legítima, cuenten con la autorización del titular o por mandato legal, y den cumplimiento a la Ley 1581 de 2012, sus decretos reglamentarios y las instrucciones impartidas por esta Entidad.

En ese orden de ideas, esperamos haber atendido satisfactoriamente su consulta, reiterándole que la misma se expone bajo los parámetros del artículo 28 de la Ley 1437 de 2011, esto es, bajo el entendido que la misma no compromete la responsabilidad de esta Superintendencia ni resulta de obligatorio cumplimiento ni ejecución.

En la Oficina Asesora Jurídica de la Superintendencia de Industria y Comercio estamos comprometidos con nuestros usuarios para hacer de la atención una experiencia de calidad. Por tal razón le invitamos a evaluar nuestra gestión a través del siguiente link http://www.encuestar.com.co/index.php/2100?lang=esQ

Finalmente le informamos que algunos conceptos de interés general emitidos por la Oficina Jurídica, los puede consultar en nuestra página web http://www.sic.gov.co/Doctrina-1

Atentamente,

ÁLVARO YÁÑEZ RUEDA

JEFE OFICINA ASESORA JURÍDICA

Elaboró: Carolina Garcia Revisó: Álvaro Yáñez Aprobó: Álvaro Yáñez

13

Puedes encontrar más información sobre: Protección de Datos Personales: Obligaciones del Tercero Subcontratado, en https://www.sic.gov.co/

Además del tema relacionado con: Protección de Datos Personales: Obligaciones del Tercero Subcontratado, quizás te interese leer: Política de tratamiento de datos personales de la DIAN