1. GENERALIDADES
De acuerdo con la definición establecida en la Ley 1581 de 2012, el dato personal es cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables, como el nombre, la edad, el sexo, el estado civil, el domicilio, entre otros. Estos datos pueden almacenarse en cualquier soporte físico o electrónico y ser tratados de forma manual o automatizada. La Ley 1266 de 2008 define los siguientes tipos de datos de carácter personal: a) Dato privado: “Es el dato que por su naturaleza íntima o reservada sólo es relevante para el Titular”. b) Dato semiprivado: “Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su Titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV” de la Ley 1266. c) Dato público: “Es el dato calificado como tal según los mandatos de la Ley o de la Constitución Política y todos aquellos que no sean semiprivados o privados”, de conformidad con la Ley 1266 de 2008. “Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas”. Adicionalmente, la Ley 1581 de 2012 establece las siguientes categorías especiales de datos personales: d) Datos sensibles: Son “aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos”. La Ley 1581 de 2012 prohíbe el tratamiento de datos sensibles con excepción de los siguientes casos: (i) cuando el Titular otorga su consentimiento, (ii) el Tratamiento es necesario para salvaguardar el interés vital del Titular y éste se encuentre física o jurídicamente incapacitado, (iii) el tratamiento es efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad, (iv) el Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y (v) el Tratamiento tenga una finalidad histórica, estadística o científica, en este último caso deben adoptarse las medidas conducentes a la supresión de identidad de los Titulares. e) Datos personales de los niños, niñas y adolescentes: Se debe tener en cuenta que aunque la Ley 1581 de 2012 prohíbe el tratamiento de los datos personales de los niños, niñas y adolescentes, salvo aquellos que por su naturaleza son públicos, la Corte Constitucional precisó que independientemente de la naturaleza del dato, se puede realizar el tratamiento de éstos “siempre y cuando el fin que se persiga con dicho tratamiento responda al interés superior de los niños, niñas y adolescentes y se asegure sin excepción alguna el respeto a sus derechos prevalentes”. También la ley define los siguientes roles: a) Responsable de Tratamiento: “Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos”. La Superintendencia de Industria y Comercio, de acuerdo con la ley es Responsable de Tratamiento de datos personales contenidos en sus bases de datos, b) Encargado del Tratamiento: “Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento”. La SIC podrá realizar el tratamiento de sus datos personales a través de Encargados. Adicionalmente, para este documento se incluyen los siguientes roles. c) Administrador de base de datos personales: Funcionario o Encargado que tiene a cargo y realiza tratamiento a una o más bases de datos que tiene información personal. d) Gestor: La Oficina Asesora de Planeación llevará el control del registro de las bases de datos con información personal que hay en la SIC y apoyara el ingreso de la información en el Registro Nacional de Base de Datos. e) Garante: La Oficina de Servicios al Consumidor y de Apoyo Empresarial (OSCAE) coordinará y tramitará la atención y respuesta de las peticiones, quejas y reclamos relacionados con la ley de protección de datos personales que los titulares realicen a la Superintendencia. 1.1 DISPOSICIONES GENERALES ESTABLECIDAS EN LA LEY 1581 DE 2012 PARA LA PROTECCIÓN DE DATOS PERSONALES La Ley 1581 de 2012 desarrolla el derecho constitucional a conocer, actualizar y rectificar la información recogida en bases de datos y los demás derechos, libertades y garantías a que se refieren los artículos 15 y 20 de la Constitución (derecho a la intimidad y derecho a la información, respectivamente). La citada ley se aplica a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por parte de entidades públicas o privadas. Considerando el modo de conservación de una base de datos, se puede distinguir entre bases de datos automatizadas y bases de datos manuales o archivos. Las bases de datos automatizadas son aquellas que se almacenan y administran con la ayuda de herramientas informáticas. Las bases de datos manuales o archivos son aquellas cuya información se encuentra organizada y almacenada de manera física, como las fichas de pedidos a proveedores que contengan información personal relativa al proveedor, como nombre, identificación, números de teléfono, correo electrónico, etc. La ley exceptúa del régimen de protección (i) los archivos y las bases de datos pertenecientes al ámbito personal o doméstico; (ii) los que tienen por finalidad la seguridad y la defensa nacionales, la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo, (iii) los que tengan como fin y contengan información de inteligencia y contrainteligencia, (iv) los de información periodística y otros contenidos editoriales, (v) los regulados por la Ley 1266 de 2008 (información financiera y crediticia, comercial, de servicios y proveniente de terceros países) y (vi) los regulados por la Ley 79 de 1993 (sobre censos de población y vivienda).1. GENERALIDADES De acuerdo con la definición establecida en la Ley 1581 de 2012, el dato personal es cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables, como el nombre, la edad, el sexo, el estado civil, el domicilio, entre otros. Estos datos pueden almacenarse en cualquier soporte físico o electrónico y ser tratados de forma manual o automatizada. La Ley 1266 de 2008 define los siguientes tipos de datos de carácter personal: a) Dato privado: "Es el dato que por su naturaleza íntima o reservada sólo es relevante para el Titular". b) Dato semiprivado: "Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su Titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV" de la Ley 1266. c) Dato público: "Es el dato calificado como tal según los mandatos de la Ley o de la Constitución Política y todos aquellos que no sean semiprivados o privados", de conformidad con la Ley 1266 de 2008. "Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas". Adicionalmente, la Ley 1581 de 2012 establece las siguientes categorías especiales de datos personales: d) Datos sensibles: Son "aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos". La Ley 1581 de 2012 prohíbe el tratamiento de datos sensibles con excepción de los siguientes casos: (i) cuando el Titular otorga su consentimiento, (ii) el Tratamiento es necesario para salvaguardar el interés vital del Titular y éste se encuentre física o jurídicamente incapacitado, (iii) el tratamiento es efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad, (iv) el Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y (v) el Tratamiento tenga una finalidad histórica, estadística o científica, en este último caso deben adoptarse las medidas conducentes a la supresión de identidad de los Titulares. e) Datos personales de los niños, niñas y adolescentes: Se debe tener en cuenta que aunque la Ley 1581 de 2012 prohíbe el tratamiento de los datos personales de los niños, niñas y adolescentes, salvo aquellos que por su naturaleza son públicos, la Corte Constitucional precisó que independientemente de la naturaleza del dato, se puede realizar el tratamiento de éstos "siempre y cuando el fin que se persiga con dicho tratamiento responda al interés superior de los niños, niñas y adolescentes y se asegure sin excepción alguna el respeto a sus derechos prevalentes". También la ley define los siguientes roles: a) Responsable de Tratamiento: "Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos". La Superintendencia de Industria y Comercio, de acuerdo con la ley es Responsable de Tratamiento de datos personales contenidos en sus bases de datos, b) Encargado del Tratamiento: "Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento". La SIC podrá realizar el tratamiento de sus datos personales a través de Encargados. Adicionalmente, para este documento se incluyen los siguientes roles. c) Administrador de base de datos personales: Funcionario o Encargado que tiene a cargo y realiza tratamiento a una o más bases de datos que tiene información personal. d) Gestor: La Oficina Asesora de Planeación llevará el control del registro de las bases de datos con información personal que hay en la SIC y apoyara el ingreso de la información en el Registro Nacional de Base de Datos. e) Garante: La Oficina de Servicios al Consumidor y de Apoyo Empresarial (OSCAE) coordinará y tramitará la atención y respuesta de las peticiones, quejas y reclamos relacionados con la ley de protección de datos personales que los titulares realicen a la Superintendencia. 1.1 DISPOSICIONES GENERALES ESTABLECIDAS EN LA LEY 1581 DE 2012 PARA LA PROTECCIÓN DE DATOS PERSONALES La Ley 1581 de 2012 desarrolla el derecho constitucional a conocer, actualizar y rectificar la información recogida en bases de datos y los demás derechos, libertades y garantías a que se refieren los artículos 15 y 20 de la Constitución (derecho a la intimidad y derecho a la información, respectivamente). La citada ley se aplica a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por parte de entidades públicas o privadas. Considerando el modo de conservación de una base de datos, se puede distinguir entre bases de datos automatizadas y bases de datos manuales o archivos. Las bases de datos automatizadas son aquellas que se almacenan y administran con la ayuda de herramientas informáticas. Las bases de datos manuales o archivos son aquellas cuya información se encuentra organizada y almacenada de manera física, como las fichas de pedidos a proveedores que contengan información personal relativa al proveedor, como nombre, identificación, números de teléfono, correo electrónico, etc. La ley exceptúa del régimen de protección (i) los archivos y las bases de datos pertenecientes al ámbito personal o doméstico; (ii) los que tienen por finalidad la seguridad y la defensa nacionales, la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo, (iii) los que tengan como fin y contengan información de inteligencia y contrainteligencia, (iv) los de información periodística y otros contenidos editoriales, (v) los regulados por la Ley 1266 de 2008 (información financiera y crediticia, comercial, de servicios y proveniente de terceros países) y (vi) los regulados por la Ley 79 de 1993 (sobre censos de población y vivienda).