viernes, 19 de junio de 2020
En los últimos días se ha generado una gran la polémica en cuanto al uso de los datos personales de los colombianos que han sido o buscan ser recolectados mediante aplicaciones como “Medellín me cuida”, “CaliValleCorona” y “Bogotá cuidadora”, la cual ha tomado mayor fuerza con el cuestionamiento de la ciudadanía respecto a si las entidades públicas, administradoras de las mencionadas APPs, deben cumplir con la legislación nacional vigente en materia de protección y tratamiento de datos personales.
Los requerimientos efectuados en días pasados por parte de la Superintendencia de Industria y Comercio, autoridad nacional de protección de datos, con miras a establecer si las Alcaldías de Bogotá, Medellín y demás autoridades que han implementado este tipo de aplicaciones en época de covid-19 cumplen con la regulación colombiana relativa a la recolección y tratamiento de datos personales, ha despejado ya varias dudas respecto a las obligaciones de las entidades públicas en esta materia, principalmente al haberse recordado por parte de la SIC que la Ley 1581 de 2012 y sus decretos reglamentarios, compilados todos en el Decreto Único del sector Comercio, Industria y Turismo, son aplicables respecto de datos personales tratados tanto por entidades de naturaleza privada como pública.
No obstante lo anterior, la preocupación persiste: ¿En dónde van a quedar mis datos personales?, ¿Para qué van a ser utilizados?, ¿Con quién van a ser compartidos?, ¿Hasta cuándo se mantendrá su tratamiento?, ¿Cuáles son los límites de las entidades públicas en el tratamiento de mis datos?, son algunos de los interrogantes que se mantienen.
De acuerdo con la legislación nacional vigente, la información de los colombianos puede ser suministrada a las entidades, públicas para permitir el cumplimiento de sus funciones legalmente asignadas, directamente por su titular o por cualquier tercero que actúe como Responsable y/o Encargado de la misma, incluso sin que se cuente con una autorización para el efecto, haciendo que las autoridades puedan acceder a los datos personales particularmente necesarios para el desarrollo de sus labores.
Sin embargo, esto no las excluye del cumplimiento de los deberes establecidos para garantizar la seguridad, confidencialidad y circulación restringida de la información, todos ellos enmarcados en el principio de responsabilidad demostrada (Accountability).
Lo anterior se reforzó en el recientemente expedido Decreto 620 de 2020, “por medio del cual se establecen los lineamientos generales en el uso y operación de los servicios ciudadanos digitales”, en cuyo texto se reitera que todas las entidades que conforman las ramas del Poder Público deben, entre otras obligaciones, (i) implementar un programa integral de gestión de datos personales (Pigdp); (ii) designar una persona o área que asuma la función de protección de datos personales (Oficial de Privacidad); (iii) evaluar el impacto de sus operaciones en el tratamiento de datos personales; y (iv) contar con normas, políticas, procedimientos, recursos técnicos, administrativos y humanos, dirigidos a establecer estrategias de seguridad y privacidad de la información, seguridad digital y continuidad de la prestación del servicio.
Es de anotar que, no obstante es la Superintendencia de Industria y Comercio quien tiene la competencia inicial para llevar a cabo las investigaciones con miras a identificar un presunto incumplimiento de la norma y emitir ordenes dirigidas a que las entidades públicas den cabal cumplimiento a sus obligaciones legales en la materia, es la Procuraduría General de la Nación, mediante la Procuraduría Delegada para la Defensa del Patrimonio Público, la Transparencia y la Integridad, la autoridad competente para adelantar las actuaciones disciplinarias por conductas de servidores públicos relacionadas con el cumplimiento de la Ley 1581 de 2012 y sus decretos reglamentarios.
.
