Autorización de Tratamiento de Datos Personales Colombia

La Autorización de Tratamiento de Datos Personales Colombia es la manifestación de consentimiento regulada por Ley 1581 de 2012 (Protección de Datos Personales) y Decreto 1377 de 2013 con la que su otorgante habilita a un tercero a realizar un acto determinado en Colombia.

La Ley 1581 de 2012 fue promulgada como ley estatutaria, reflejando la naturaleza de derechos fundamentales de la proteccion de datos personales en Colombia. La Corte Constitucional reviso y aprobo el estatuto en la Sentencia C-748 de 2011, senalando que el derecho al habeas data bajo el Articulo 15 de la Constitucion Politica de 1991 es el fundamento constitucional del regimen de proteccion de datos de Colombia. El termino habeas data deriva del concepto latino que significa 'debes tener los datos' y es analogo al habeas corpus para la libertad fisica, aplicado a la autodeterminacion informativa de las personas naturales.

La SIC (Superintendencia de Industria y Comercio), designada como autoridad nacional de proteccion de datos personales de Colombia por el Articulo 19 de la Ley 1581 de 2012, administra el Registro Nacional de Bases de Datos (RNBD) donde las organizaciones que procesan datos personales de ciudadanos colombianos deben registrarse, aplica el cumplimiento a traves de su Delegatura para la Proteccion de Datos Personales, y puede imponer sanciones administrativas incluyendo multas de hasta 2.000 SMMLV (aproximadamente COP $2,5 billones en valores de 2024) y suspension de actividades de tratamiento de datos para organizaciones infractoras.

La Ley 1581 de 2012 distingue entre datos personales ordinarios (cualquier informacion que permita identificar a una persona natural) y datos sensibles: raza y etnia, opiniones politicas, creencias religiosas, datos de salud, vida sexual, datos biometricos y pertenencia a sindicatos u organizaciones sociales. El Articulo 6 de la Ley 1581 de 2012 exige consentimiento explicito y previo para el tratamiento de datos sensibles, y el titular debe ser informado de que proporcionar dichos datos es de caracter facultativo (voluntario).

La Ley 1266 de 2008 (Ley de Habeas Data Financiero) complementa la Ley 1581 de 2012 para datos financieros y crediticios administrados por las centrales de riesgo como DataCredito Experian, TransUnion Colombia y CIFIN, otorgando a los colombianos el derecho a acceder, actualizar, rectificar y en casos limitados eliminar su informacion crediticia. forms-legal.com proporciona esta Autorizacion de Tratamiento de Datos Personales en Colombia como plantilla practica conforme a todos los requisitos de la SIC y la Ley 1581 de 2012.

El Decreto 1377 de 2013 (compilado en el Decreto Unico Reglamentario 1074 de 2015) reglamenta la Ley 1581 de 2012 y establece los requisitos minimos de la autorizacion: debe ser previa al tratamiento, expresa (no puede inferirse de la conducta del titular), e informada (el titular debe conocer la identidad del responsable, los datos que se tratan, la finalidad, los derechos que tiene y el caracter facultativo de responder preguntas sobre datos sensibles). La autorizacion puede otorgarse por escrito, oralmente o mediante conductas inequivocas, aunque la SIC recomienda la forma escrita para efectos probatorios.

El Registro Nacional de Bases de Datos (RNBD), administrado por la SIC, es el directorio publico de bases de datos sujetas a la Ley 1581 de 2012. Toda organizacion que procese datos personales de ciudadanos colombianos debe registrar sus bases de datos en el RNBD, describiendo la finalidad del tratamiento, el tipo de datos procesados, las politicas de retencion y los terceros con quienes se comparten los datos. La SIC puede realizar visitas de inspeccion y solicitar informacion a las organizaciones sobre sus practicas de tratamiento de datos.

La transferencia internacional de datos personales a paises que no cuentan con niveles adecuados de proteccion requiere clausulas contractuales tipo o mecanismos alternativos de garantia bajo el Articulo 26 de la Ley 1581 de 2012. La SIC ha publicado orientaciones sobre los paises con niveles adecuados de proteccion y los requisitos para transferencias a paises sin dicho nivel. Las empresas que procesan datos de ciudadanos europeos y colombianos deben articular el cumplimiento de la Ley 1581 de 2012 con el Reglamento General de Proteccion de Datos (RGPD) de la Union Europea, ya que ambos marcos pueden aplicarse simultaneamente.

La Autorizacion de Tratamiento de Datos Personales en Colombia es obligatoria siempre que una organizacion (empresa, ONG, entidad gubernamental o individuo actuando como responsable del tratamiento) recopile o procese datos personales de residentes colombianos para cualquier proposito mas alla del puramente personal o domestico. El Articulo 9 de la Ley 1581 de 2012 exige autorizacion previa, expresa e informada del titular antes de que comience el tratamiento de sus datos.

Bases de datos de clientes y CRM. Toda empresa colombiana que recopile datos personales de clientes (nombre, correo electronico, telefono, direccion, historial de compras) para comunicaciones comerciales, gestion de relaciones con clientes (CRM) o marketing digital debe obtener autorizacion escrita de cada cliente. La SIC ha iniciado investigaciones administrativas contra empresas que realizan campanas de email marketing o SMS sin consentimiento documentado del titular de los datos.

Recursos humanos y empleo. Los empleadores en Colombia deben obtener autorizacion de tratamiento de datos de los aspirantes y empleados para procesar sus datos personales: datos de verificacion de antecedentes judiciales y disciplinarios, informacion de salud para medicina laboral (salud ocupacional bajo el Decreto 1072 de 2015), informacion salarial y registros de desempeno. La autorizacion debe obtenerse antes o al momento de la recopilacion de datos, no retroactivamente.

Servicios financieros y credito. Los bancos, aseguradoras, cooperativas de ahorro y credito y demas entidades supervisadas por la Superintendencia Financiera de Colombia (SFC) deben obtener autorizacion para recopilar y reportar el historial crediticio a las centrales de riesgo bajo la Ley 1266 de 2008, incluyendo DataCredito Experian y TransUnion Colombia.

Salud y datos clinicos. Las IPS, hospitales, clinicas y centros medicos deben obtener autorizacion para tratar datos de salud como datos sensibles bajo el Articulo 6 de la Ley 1581 de 2012. La historia clinica del paciente esta protegida por la Resolucion 1995 de 1999 del Ministerio de Salud y debe conservarse durante 20 anos.

Comercio electronico y servicios en linea. Los sitios web y aplicaciones moviles que atienden usuarios colombianos deben mostrar una politica de privacidad y tratamiento de datos conforme a la Ley 1581 de 2012, y deben obtener consentimiento explicito antes de recopilar cookies de seguimiento, datos de registro, datos de comportamiento del usuario para perfilamiento comercial, o datos de geolocalicacion.

Los prestadores de servicios de salud (hospitales, clinicas, laboratorios, medicos independientes) deben obtener autorizacion de tratamiento de datos de sus pacientes para procesar datos de salud, que son datos sensibles bajo el Articulo 5 de la Ley 1581 de 2012. La historia clinica digital procesada bajo la Resolucion 1995 de 1999 y la Ley 1438 de 2011 requiere autorizacion especifica del paciente para su uso en investigaciones clinicas, ensenanza universitaria o comparticion con otras instituciones. La Superintendencia Nacional de Salud supervisa el cumplimiento de las normas de proteccion de datos en el sector salud.

Las plataformas de comercio electronico y aplicaciones moviles que operan en Colombia deben presentar a los usuarios una autorizacion de tratamiento de datos clara y accesible antes de recopilar cualquier dato personal, conforme a los lineamientos de la SIC en su Guia de Proteccion de Datos para el Sector Digital. La SIC ha sancionado a plataformas digitales por recopilar datos de menores de edad sin autorizacion de sus padres o representantes legales, ya que el Articulo 7 de la Ley 1581 de 2012 prohibe el tratamiento de datos de menores de edad salvo en las excepciones que responden a la naturaleza de los datos y a la proteccion del menor.

Una Autorizacion de Tratamiento de Datos Personales valida en Colombia, conforme a la Ley 1581 de 2012 y el Decreto 1377 de 2013, debe contener los siguientes elementos esenciales para ser legalmente efectiva y conforme con los requisitos de la SIC.

Identificacion del Responsable del Tratamiento. Nombre completo o razon social, NIT, domicilio registrado e informacion de contacto del delegado de proteccion de datos o persona de contacto para solicitudes de habeas data. El responsable es la entidad que determina los propositos y medios del tratamiento de datos personales.

Categorias de datos a tratar. Listado explicito de las categorias de datos personales a recopilar: datos de contacto (nombre, telefono, correo electronico, direccion); datos de identificacion (cedula, NIT, pasaporte); datos financieros (ingresos, historial crediticio, cuenta bancaria); datos de salud (clasificados como datos sensibles bajo el Articulo 5 de la Ley 1581 de 2012); datos biometricos (tambien datos sensibles: huellas dactilares, reconocimiento facial, escaneos de iris); y datos de ubicacion o geolocalicacion. Para datos sensibles, el formulario debe identificarlos explicitamente y notar su caracter facultativo.

Finalidades del tratamiento. Descripcion especifica y explicita de cada proposito para el que se trataran los datos, conforme al Articulo 5 del Decreto 1377 de 2013. Las declaraciones de proposito vagas no cumplen el requisito de especificidad de la Ley 1581 de 2012. Ejemplos de finalidades especificas conformes: enviar comunicaciones comerciales sobre productos y servicios; procesar ordenes de compra; reportar comportamiento de pago a centrales de riesgo bajo la Ley 1266 de 2008; y cumplir obligaciones legales y reglamentarias.

Transferencia y transmision de datos. Si los datos personales seran compartidos con terceros (encargados del tratamiento) o transferidos a receptores fuera de Colombia, esto debe divulgarse explicitamente. Las transferencias internacionales a paises sin proteccion adecuada requieren autorizacion de la SIC bajo el Articulo 26 de la Ley 1581 de 2012 o un acuerdo de transferencia de datos con clausulas contractuales tipo similares a las de la Union Europea.

Derechos del titular. Notificacion explicita de los derechos del titular bajo el Articulo 8 de la Ley 1581 de 2012: acceso gratuito a sus datos personales; actualizacion y correccion de datos inexactos; solicitud de eliminacion de datos que violen derechos o sean innecesarios para el proposito original; revocacion del consentimiento en cualquier momento; presentacion de quejas ante la SIC; y derecho a ser informado del uso de sus datos. El canal de contacto para ejercer estos derechos debe especificarse claramente. forms-legal.com incluye todos estos elementos en su plantilla de Autorizacion de Tratamiento de Datos Personales Colombia, conforme a los estandares de cumplimiento exigidos por la SIC y verificados por su Delegatura para la Proteccion de Datos Personales.

Identificacion del responsable y encargado del tratamiento. La autorizacion debe identificar claramente al responsable (quien determina las finalidades y medios del tratamiento) y al encargado (quien procesa los datos por cuenta del responsable), con sus datos de contacto y la direccion de correo electronico para ejercicio de derechos ARCO (Acceso, Rectificacion, Cancelacion y Oposicion) bajo el Articulo 8 de la Ley 1581 de 2012.

Finalidades especificas del tratamiento. La SIC exige que las finalidades sean determinadas, explicitas y legitimas. No es valida una autorizacion generica para cualquier finalidad comercial. Las finalidades mas frecuentes en Colombia incluyen: gestion de la relacion comercial, envio de comunicaciones comerciales y promocionales, analisis estadistico y segmentacion de clientes, cesion a empresas del mismo grupo economico, y transferencia a terceros proveedores de servicios (call centers, plataformas de email marketing, procesadores de pago).

Derechos del titular. La autorizacion debe informar al titular que tiene los derechos de: conocer, actualizar y rectificar sus datos; solicitar prueba de la autorizacion otorgada; ser informado del uso dado a sus datos; presentar quejas ante la SIC; revocar la autorizacion y solicitar la supresion de datos cuando no exista obligacion legal de conservarlos. El canal de atencion de derechos debe estar habilitado dentro de las 10 dias habiles exigidos por el Articulo 14 de la Ley 1581 de 2012.

Tratamiento de datos sensibles. Cuando la autorizacion incluye datos sensibles (salud, origen racial, opinion politica, datos biometricos), la SIC exige que se informe expresamente al titular que la entrega de dichos datos es facultativa, la finalidad especifica del tratamiento de datos sensibles, y quienes tendran acceso a ellos. Las multas por tratamiento indebido de datos sensibles pueden alcanzar 2.000 SMMLV bajo el Articulo 23 de la Ley 1581 de 2012.

Politica de privacidad y aviso de privacidad. La Ley 1581 de 2012 distingue entre la autorizacion (consentimiento individual del titular) y la politica de privacidad (documento corporativo que describe las practicas de tratamiento de datos). El Decreto 1377 de 2013 exige que las organizaciones publiquen su politica de privacidad en un medio de facil acceso para los titulares (tipicamente el sitio web corporativo) y la mantengan actualizada. La SIC puede ordenar la actualizacion o correccion de politicas de privacidad que no cumplan con los estandares minimos del Decreto 1377 de 2013. forms-legal.com ofrece plantillas de politica de privacidad y autorizacion de tratamiento de datos conformes a la normativa colombiana vigente.