BúsquedaBUSCAR
ÍndiceÍNDICE

CIRCULAR EXTERNA 5 DE 2020

(junio 17)

Diario Oficial No. 51.349 de 18 de junio de 2020

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

PARA: Responsables y encargados del tratamiento de datos personales.
DE: Superintendencia de Industria y Comercio.
ASUNTO: Recolección y tratamiento de datos personales con ocasión de los “DÍAS SIN IVA” (Decreto Legislativo 682 de 2020).

Con ocasión de los “DÍAS SIN IVA” definidos por el Decreto 682 de 2020, esta Autoridad ha tenido conocimiento de casos mediante los cuales algunos comercios están obligando a sus clientes a que se inscriban en bases de datos como requisito previo para disfrutar de los beneficios decretados por el Gobierno nacional.

En atención a lo anterior, y teniendo en cuenta que es función de esta Superintendencia “impartir instrucciones en materia de (…) administración de datos personales y en las demás áreas propias de sus funciones”[1], este Despacho se permite instruir lo siguiente:

PRIMERO. CUMPLIR PLENAMENTE LA REGULACIÓN DE TRATAMIENTO DE DATOS PERSONALES. El Decreto Legislativo 682 de 2020[2] no suspendió el derecho fundamental a la protección de datos personales, cuya normativa sigue plenamente vigente y es de obligatorio cumplimiento por los Responsables y Encargados del Tratamiento de Datos Personales.

SEGUNDO. IMPLEMENTAR LAS RECOMENDACIONES DE ESTA SUPERINTENDENCIA EN MATERIA DE PUBLICIDAD, MARKETING Y COMERCIO ELECTRÓNICO. Durante 2019 esta Superintendencia emitió dos (2) guías para que sean tenidas en cuenta por parte de quienes realizan actividades de marketing, publicidad y comercio electrónico. En tal virtud, solicitamos implementar las recomendaciones contenidas en los siguientes documentos de la Superintendencia de Industria y Comercio:

- GUÍA SOBRE EL TRATAMIENTO DE DATOS PERSONALES PARA FINES DE COMERCIO ELECTRÓNICO.

- GUÍA SOBRE EL TRATAMIENTO DE DATOS PERSONALES PARA FINES DE MARKETING Y PUBLICIDAD[3].

TERCERO. INFORMAR AL CIUDADANO SOBRE LA NECESIDAD DE RECOLECTAR SU INFORMACIÓN. Cuando se traten datos personales es importante informar al Titular si esa información se recolecta por mandato legal, o porque el Responsable o Encargado la consideran necesaria para el funcionamiento de su negocio. Si el dato se solicita por mandato legal, es pertinente indicar expresamente la disposición jurídica que así lo disponga.

Para informar lo anterior, pueden usarse, entre otras, los avisos de privacidad para que los ciudadanos conozcan por qué se está recolectando sus datos personales. El texto de los avisos de privacidad debe contener lo reglado por el artículo 15 del Decreto 1377 de 2013[4]. Recomendamos que el aviso de privacidad se ubique en sitios que permitan a las personas enterarse de manera fácil y a simple vista de lo anteriormente indicado.

En todo caso, debe tenerse presente que de conformidad con el artículo 4° del Decreto 1377 de 2013 “[…] la recolección de datos deberá limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente […]”, y que a solicitud de esta Superintendencia, “[…] los Responsables deberán proveer una descripción de los procedimientos usados para la recolección, almacenamiento, uso, circulación y supresión de información, como también la descripción de las finalidades para las cuales la información es recolectada y una explicación sobre la necesidad de recolectar los datos en cada caso. No se podrán utilizar medios engañosos o fraudulentos para recolectar y realizar Tratamiento de datos personales. […]”.

CUARTO. GARANTIZAR RESPONSABILIDAD REFORZADA SOBRE EL TRATAMIENTO DE DATOS SENSIBLES Y NO CONDICIONAR NINGUNA ACTIVIDAD AL SUMINISTRO DE LOS MISMOS.

En caso de recolectar datos sensibles[5], se deberá tener en cuenta que la recolección, uso, circulación y tratamiento de los mismos deberá hacerse con especial cuidado y diligencia en su recolección, uso, seguridad o cualquier otra actividad que se realice con los mismos. En efecto, la Corte Constitucional exige responsabilidad reforzada por parte de los Responsables y Encargados: “[…] como se trata de casos exceptuados y que, por tanto, pueden generar altos riesgos en términos de vulneración del habeas data, la intimidad e incluso la dignidad de los titulares de los datos, los agentes que realizan en estos casos el tratamiento tienen una responsabilidad reforzada que se traduce en una exigencia mayor en términos de cumplimiento de los principios del artículo 4 y los deberes del Título VI […]”[6] de la Ley Estatutaria 1581 de 2012.

Adicionalmente, no debe perderse de vista que el párrafo final del artículo 6° del Decreto 1377 de 2013 ordena que “[…] ninguna actividad podrá condicionarse a que el titular suministre datos personales sensibles […]”.

Estas instrucciones son de inmediata ejecución, tienen carácter preventivo, obligatorio y aplican sin perjuicio de las instrucciones que emitan otras autoridades en el marco de sus atribuciones constitucionales y legales. Adicionalmente, deben aplicarse de manera armónica e integral con lo dispuesto en la Constitución y la regulación sobre tratamiento de datos personales.

Sírvanse por favor dar cumplimiento a lo anteriormente informado por esta Autoridad.

Cordial saludo,

El Superintendente de Industria y Comercio,

Andrés Barreto González.

<NOTAS DE PIE DE PAGINA>.

1. Cfr. Numeral 61 del artículo 1° en concordancia con el numeral 5 del artículo 3° del Decreto 4886 del 23 de diciembre de 2011, “por medio del cual se modifica la estructura de la Superintendencia de Industria y Comercio, se determinan las funciones de sus dependencias y se dictan otras disposiciones”.

2. Por el cual se establece la exencioín especial del impuesto sobre las ventas para el anÞo 2020 y se dictan otras disposiciones con el propoísito de promover la reactivacioín de la economiía colombiana, en el marco del Estado de Emergencia Econoímica, Social y Ecoloígica decretado por el Decreto 637 de 2020.

3. Los textos están disponibles en la “Sección de publicaciones” de la Delegatura para la Protección de Datos Personales: https://www.sic.gov.co/tema/proteccion-de-datos-personales.

4. Incorporado en el Decreto 1074 de 2015.

5. Los datos sensibles fueron definidos en la Ley 1581 de 2012 y en el Decreto 1377 de 2013 como “aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos”.

6. Cfr. Corte Constitucional, sentencia C-748 de 2011, numeral 2.8.4.

×