Los datos tiene que estar protegidos. Imagen: mahlness (vía Flickr).
Por: German Realpe*
En los últimos días, muchas personas se han dado cuenta como en periódicos de amplia circulación nacional, correos electrónicos y en redes sociales, se informa a las personas sobre la aplicación de la Ley 1581 de 2012 y el Decreto 1377 de 2013, o ley de datos personales. Los avisos publicados por empresas en diferentes sectores le informan a sus clientes, empleados y proveedores, que tienen sus datos personales y que si no está interesado en que se usen, administren o gestionen en cualquier momento puede hacer uso del derecho fundamental de habeas data.
Este derecho consiste en conocer, actualizar y rectificar las informaciones que se hayan recogido sobre las personas en bancos de datos y en archivos de entidades públicas y privadas. (Artículo 15, Constitución Nacional)
Se debe resaltar, para los que no conocen el tema, que en Octubre de 2012 se expidió la ley de datos personales (Ley 1581 de 2012), la cual da una serie de obligaciones a todo tipo de empresas públicas y privadas, entre ellas:
- Contar con políticas de protección de datos.
- Tener mecanismos para actualizar, eliminar y consultar los datos personales.
- Contar con la autorización del titular de manera expresa e informada, ya sea de forma física o electrónica.
- Proteger los datos personales de niños, niñas y adolescentes.
- Utilizar mecanismos de seguridad para el manejo de datos personales y sensibles.
La Ley 1581 daba un plazo, de 6 meses para adecuar las obligaciones legales, el cual se venció en abril.
Como la Ley 1581 de 2012 ordenaba reglamentar algunos puntos en el manejo de datos personales, se expidió, el 27 de junio, el Decreto 1377 de 2013, el cual reglamenta parcialmente la ley de datos personales, y resalta que:
- Se debe contar con avisos de privacidad, que es una comunicación verbal o escrita que informa sobre la existencia de las políticas de protección de datos.
- Las empresas deben tener prueba de la autorización del titular para el manejo de datos personales.
- La autorización también se puede obtener por mecanismos técnicos que faciliten al titular su manifestación automatizada.
- Los encargados de tratamiento de datos deben implementar mecanismos gratuitos, y de fácil acceso para presentar la solicitud de supresión de datos o la revocatoria de la autorización otorgada.
- Otras obligaciones y derechos que se pueden ver en el decreto 1377.
Una de las preguntas que muchos se hacen, es: ¿qué pasa con los datos que se recogieron antes de la expedición de la ley y el decreto?
El artículo 10 da una solución que para muchos es acertada pero que genera muchas dudas. El decreto menciona que si se genera una carga desproporcionada para recoger la autorización, se podrá implementar mecanismos alternos para los efectos dispuestos en el numeral 1, tales como diarios de amplia circulación nacional, diarios locales o revistas, página de Internet del responsable, carteles informativos, entre otros, e informar al respecto a la Superintendencia de Industria y Comercio, dentro de los cinco días siguientes a su implementación.
El problema que se ha generado
Los últimos días los distintos diarios de circulación nacional se han llenado de avisos para dar cumplimiento al decreto. Por ejemplo, El Tiempo registro más de 10 de avisos en un solo día. En primer lugar se debe decir que se está confundiendo el aviso de privacidad con las políticas o la autorización. Algunas empresas lo están enviando por correo electrónico más de 4 veces al día, por lo que se convierte en spam.
Se debe resaltar que el mecanismo de aviso de prensa solo se debe usar cuando exista una carga desproporcionada. Existen otras formas para comunicar a los usuarios la política de manera eficiente.
Otras empresas están generando cargas absurdas para los usuarios. Ese el caso de operadores de telefonía, que dicen que los usuarios tienen que acercarse a sus oficinas o centros de servicios. Uno de los avisos en circulación decía que esto también facultaba a entregar datos a terceros, desconociendo por completo el principio de finalidad que menciona la ley.
Que un usuario no llame, no escriba o se de baja a un correo electrónico, no significa que este dando su consentimiento o autorización para el manejo de datos. Otras empresas publican el aviso y no tienen políticas o mecanismos de protección de datos personales.
La protección de datos no se hace de la noche a la mañana, la ley impone una obligación de control constante. En cualquier momento, el usuario puede exigir que su información sea eliminada –o actualizada- de la base de datos.
La protección de datos no debe verse solo por estos días que está de moda el decreto. Colombia se encuentra en una nueva era de protección de datos, que debe analizarse, asumirse, asesorarse y cumplirse con la debida calma.
Vía: enter.co