Circular Externa 008 de 2020. El Ministerio de Salud y Protección Social ha emitido varias resoluciones mediante las cuales se adoptan protocolos de bioseguridad para mitigar, controlar y realizar el adecuado manejo del riesgo de la pandemia por el Coronavirus COVID-19 respecto de diversas actividades, servicios, sectores, procesos, establecimientos y lugares.
La implementación de lo ordenado en algunas de las resoluciones implica la recolección y tratamiento de datos personales.
En atención a lo anterior, y teniendo en cuenta que es función de esta Superintendencia “impartir instrucciones en materia de (…) administración de datos personales y en las demás áreas propias de sus funciones” 1 , esta Autoridad se permite instruir lo siguiente:
PRIMERO: CUMPLIMIENTO DE LA REGULACIÓN DE TRATAMIENTO DE DATOS PERSONALES. Las Resoluciones del Ministerio de Salud y Protección Social no suspenden el derecho fundamental a la protección de datos personales, cuya normativa sigue plenamente vigente y es de obligatorio cumplimiento para los Responsables y Encargados del Tratamiento de Datos Personales.
SEGUNDO: RECOLECCIÓN DE DATOS. Es necesario tener en cuenta que:
a) No se pueden utilizar medios engañosos o fraudulentos para recolectar y realizar Tratamiento de datos personales.
b) Se debe informar a la persona la finalidad específica de la recolección de sus datos.
c) No se puede recolectar cualquier dato sino solo aquel o aquellos que sean pertinentes y adecuados para la finalidad para la cual son requeridos. Los Responsables del Tratamiento de Datos Personales deben estar en capacidad de justificar o explicar la necesidad de recolectar los datos que solicitan a las personas.
d) No se deben recolectar datos diferentes a los exigidos expresamente por el Ministerio de Salud y Protección Social para efectos de dar cumplimiento a los protocolos.
e) Salvo en los casos expresamente previstos en la ley, no se podrán recolectar datos personales sin la autorización previa, expresa e informada del Titular. La autorización se puede obtener por cualquiera de los mecanismos – escrito, verbal, electrónico o conductas inequívocas – previstos en el Artículo 7 del Decreto 1377 de 2013, pero el responsable de su tratamiento tiene el deber de conservar prueba de dicho consentimiento.
_____
Nota:
1.1 Cfr. Numeral 61 del Artículo 1 en concordancia con el numeral 5 del Artículo 3 del Decreto 4886 del 23 de diciembre de 2011, “Por medio del cual se modifica la estructura de la Superintendencia de Industria y Comercio, se determinan las funciones de sus dependencias y se dictan otras disposiciones”.
2. 2 Artículos 4, 9, 12, 17 y 18 de la Ley Estatutaria 1581 de 2012 y el Artículo 4 del Decreto 13772 de 2013 (Incorporado en el Decreto 1074 de 2015).
Estas instrucciones son de inmediata ejecución, tienen carácter preventivo, obligatorio y aplican sin perjuicio de las demás obligaciones legales que le corresponde cumplir a cualquier Responsable o Encargado del Tratamiento de Datos Personales, o de las instrucciones que emitan otras autoridades en el marco de sus atribuciones constitucionales y legales.
Adicionalmente, deben aplicarse de manera armónica e integral con lo dispuesto en la Constitución y la regulación sobre tratamiento de datos personales.
TERCERO: INFORMACÍON SOBRE LA NECESIDAD DE RECOLECTAR INFORMACIÓN. Se debe informar al ciudadano la norma específica que ordena recolectar los datos que se le solicitan para dar cumplimiento a los protocolos de bioseguridad.
Para comunicar lo anterior pueden usarse, entre otras, los avisos de privacidad para que las personas conozcan por qué se está recolectando sus datos personales.
El texto de los avisos de privacidad debe contener lo que ordena el Artículo 15 del Decreto 1377 de 20133 . Recomendamos que ese aviso se ubique en sitios que permitan a las personas enterarse de manera fácil y a simple vista de lo anteriormente indicado.
CUARTO: SEGURIDAD Y CONFIDENCIALIDAD DE LOS DATOS. Se deberán implementar las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los datos personales evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, así como garantizar los principios de confidencialidad, acceso y circulación restringida.
QUINTO: POLÍTICA DE TRATAMIENTO DE INFORMACIÓN. Se debe poner en conocimiento de las personas la Política de Tratamiento de Información (PTI), la cual no solo debe incluir los mecanismos y procedimientos para que los ciudadanos ejerzan sus derechos a conocer, actualizar, rectificar, suprimir sus datos o revocar su autorización, sino todo lo demás que ordena el Artículo 13 del Decreto 1377 de 2013.
SEXTO: LIMITACIÓN TEMPORAL DEL USO DE LOS DATOS. Los datos recolectados para dar cumplimiento a los protocolos de bioseguridad únicamente se podrán usar para los fines indicados por el Ministerio de Salud y Protección Social, y sólo se podrán almacenar durante el tiempo razonable y necesario para cumplir dichos protocolos. Una vez cumplida la finalidad, el Responsable del Tratamiento de Datos Personales deberá suprimir de oficio los datos recolectados.
SÉPTIMO: GARANTIZAR RESPONSABILIDAD REFORZADA SOBRE EL TRATAMIENTO DE DATOS SENSIBLES Y NO CONDICIONAR NINGUNA ACTIVIDAD AL SUMINISTRO DE ESTOS. En caso de que se recolecten datos sensibles4 , se debe tener en cuenta que la recolección, uso, circulación y tratamiento de estos debe estar rodeado de especial cuidado y diligencia en su recolección, uso, seguridad o cualquier otra actividad que se realice con estos. 5 Es de notar que ninguna actividad podrá condicionarse a que el titular suministre datos personales sensibles.
OCTAVO: REGISTRO DE BASES DE DATOS EN LA SIC. En el evento que se creen nuevas bases de datos para dar cumplimiento a los protocolos, es necesario que las mismas se registren ante el Registro Nacional de Bases de Datos (RNBD) administrado por la Superintendencia de Industria y Comercio. La base de datos deberá inscribirse dentro de los dos (2) meses siguientes a su creación.
Estas instrucciones son de inmediata ejecución, tienen carácter preventivo, obligatorio y aplican sin perjuicio de las demás obligaciones legales que le corresponde cumplir a cualquier Responsable o Encargado del Tratamiento de Datos Personales, o de las instrucciones que emitan otras autoridades en el marco de sus atribuciones constitucionales y legales.
Adicionalmente, deben aplicarse de manera armónica e integral con lo dispuesto en la Constitución y la regulación sobre tratamiento de datos personales.
Sírvanse por favor dar cumplimiento a lo anteriormente informado por esta Autoridad.
ANDRÉS BARRETO GONZALEZ
Superintendente de Industria y Comercio