La Superintendencia de Industria y Comercio mediante concepto 20-167335 del 27 de julio de 2020, preciso el manejo que deben dar los centros comerciales a los datos recaudados a sus visitantes, en los siguientes términos:
"Primer interrogante
¿Puede un centro comercial exigir a un ciudadano que quiere ingresar a sus instalaciones que exhiba su cédula de ciudadanía para proceder a leer o capturar, a través del código de barras, TODA la información que se almacena en dicho documento?
Respuesta:
El literal c) del artículo 3 de la Ley 1581 de 2012 define el dato personal en los siguientes términos: “Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.”
Al respecto, la Corte Constitucional mediante sentencia C-748 de 2011 señaló lo siguiente:
"(…)
[E]n efecto, la jurisprudencia constitucional ha precisado que las características de los datos personales –en oposición a los impersonales- son las siguientes: “i) estar referido a aspectos exclusivos y propios de una persona natural, ii) permitir identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.”
(…)
Los datos personales, a su vez, suelen ser clasificados en los siguientes grupos dependiendo de su mayor o menor grado de aceptabilidad de divulgación: datos públicos, semiprivados y privados o sensibles".
Por lo anterior, el dato personal es cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables que cumplen con las siguientes características: (i) están referidos a aspectos exclusivos y propios de una persona natural, ii) permiten identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.
Por su parte, el literal g) del artículo 3 define tratamiento en los siguientes términos: "Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión."
Al respecto la Corte Constitucional en la mencionada sentencia señaló lo siguiente:
"[E]l tratamiento es definido como cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. Este vocablo, al igual que los dos analizados en precedencia, es de uso en el ámbito europeo y se encuentra tanto en la Directiva 95/46 del Parlamento Europeo como en los Estándares dictados en la reciente conferencia que se dio en Madrid (España), en la que se definió tratamiento como “cualquier operación o conjunto de operaciones, sean a no automatizadas, que se apliquen a datos de carácter personal, en especial su recogida, conservación, utilización, revelación o supresión”
El vocablo tratamiento para los efectos del proyecto en análisis es de suma importancia por cuanto su contenido y desarrollo se refiere precisamente a lo que debe entenderse por el “tratamiento del dato personal”. En ese orden, cuando el proyecto se refiere al tratamiento, hace alusión a cualquier operación que se pretenda hacer con el dato personal, con o sin ayuda de la informática, pues a diferencia de algunas legislaciones, la definición que aquí se analiza no se circunscribe únicamente a procedimientos automatizados. Es por ello que los principios, derechos, deberes y sanciones que contempla la normativa en revisión incluyen, entre otros, la recolección, la conservación, la utilización y otras formas de procesamiento de datos con o sin ayuda de la informática. En consecuencia, no es válido argumentar que la ley de protección de datos personales cobija exclusivamente el tratamiento de datos que emplean las nuevas tecnologías de la información, dejando por fuera las bases de datos manuales, lo que resultaría ilógico, puesto que precisamente lo que se pretende con este proyecto es que todas las operaciones o conjunto de operaciones con los datos personales quede regulada por las disposiciones del proyecto de ley en mención, con las salvedades que serán analizadas en otro apartado de esta providencia. En este orden de ideas, esta definición no genera problema alguno de constitucionalidad y por tanto será declarada exequible."
Por lo anterior, el tratamiento se refiere a la utilización, recolección, almacenamiento, circulación y supresión de los datos personales que se encuentren registrados en cualquier base de datos o archivos por parte de entidades públicas o privadas y cuyo procesamiento sea utilizando medios tecnológicos o manuales.
En el tratamiento de los datos personales como la recolección, almacenamiento, uso, circulación o supresión de los mismos debe tenerse en cuenta el principio de libertad definido en el literal c) del artículo 4 de la Ley 1581 de 2012 así: "c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento."
(Subrayas fuera de texto) Al respecto, la Corte Constitucional mediante Sentencia C-748 de 2011 señaló lo siguiente: "[P]rincipio de libertad: El tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento. Este principio, pilar fundamental de la administración de datos, permite al ciudadano elegir voluntariamente si su información personal puede ser utilizada o no en bases de datos. También impide que la información ya registrada de un usuario, la cual ha sido obtenida con su consentimiento, pueda pasar a otro organismo que la utilice con fines distintos para los que fue autorizado inicialmente. El literal c) del Proyecto de Ley Estatutaria no sólo desarrolla el objeto fundamental de la protección del habeas data, sino que se encuentra en íntima relación con otros derechos fundamentales como el de intimidad y el libre desarrollo de la personalidad. En efecto, el ser humano goza de la garantía de determinar qué datos quiere sean conocidos y tiene el derecho a determinar lo que podría denominarse su “imagen informática”. (...) En materia de manejo de información personal, el consentimiento exigido es además, calificado, por cuanto debe ser previo, expreso e informado. Sobre el particular, en la Sentencia C-1011 de 2008 se sostuvo que tales características concretan la libertad del individuo frente al poder informático (…) En relación con el carácter previo, la autorización debe ser suministrada, en una etapa anterior a la incorporación del dato. (…) En relación con el carácter expreso, la autorización debe ser inequívoca, razón por la cual, al contrario de lo sostenido por algunos intervinientes, no es posible aceptarse la existencia, dentro del ordenamiento jurídico colombiano, de un consentimiento tácito. (…) En relación con el carácter informado, el titular no sólo debe aceptar el Tratamiento del dato, sino también tiene que estar plenamente consciente de los efectos de su autorización. (…)"
Por lo anterior, el tratamiento de los datos personales solo puede realizarse cuando exista la autorización previa, expresa e informada del titular, con el fin de permitirle que se garantice que en todo momento y lugar pueda conocer en dónde está su información personal, para qué propósitos ha sido recolectada y qué mecanismos tiene a su disposición para su actualización y rectificación. La autorización del titular fue reglamentada a través del artículo 2.2.2.25.2.2., del Decreto 1074 de 2015 que señala lo siguiente: "Autorización. El Responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento." En concordancia con lo anterior, el artículo 2.2.2.25.2.4., del precitado decreto dispone: "Modo de obtener la autorización. Para efectos de dar cumplimiento a lo dispuesto en el artículo 9 de la Ley 1581 de 2012 los Responsables del Tratamiento de datos personales establecerán mecanismos para obtener la autorización de los titulares o de quien se encuentre legitimado de conformidad con lo establecido en el artículo 2.2.2.25.4.1., del presente Decreto, que garanticen su consulta. Estos mecanismos podrán ser predeterminados a través de medios técnicos que faciliten al Titular su manifestación automatizada. Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (í) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca. Por lo anterior, los responsables del tratamiento de los datos personales deben obtener la autorización por parte del titular a más tardar al momento de su recolección informándole la finalidad específica del tratamiento de los mismos, y debe utilizar mecanismos que garanticen su consulta posterior. Por su parte, el artículo 12 de la Ley 1581 de 2012 dispone lo siguiente sobre la información que se debe suministrar al titular de los datos personales al momento de recolectar su autorización:
“ARTÍCULO 12. Deber de informar al Titular. El Responsable del Tratamiento, al momento de solicitar al Titular la autorización, deberá informarle de manera clara y expresa lo siguiente: a) El Tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo. b) El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando éstas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes. c) Los derechos que le asisten como Titular. d) La identificación, dirección física o electrónica y teléfono del Responsable del Tratamiento. Parágrafo. El Responsable del Tratamiento deberá conservar prueba del cumplimiento de lo previsto en el presente artículo y, cuando el Titular lo solicite, entregarle copia de esta”. En conclusión, los datos personales permiten asociar a una persona natural determinada o determinable con las siguientes características: (i) están referidos a aspectos exclusivos y propios de una persona natural, ii) permiten identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación. Los responsables del tratamiento de los datos personales tienen la obligación de obtener la autorización por parte del titular al momento de su recolección informándole la finalidad específica del tratamiento, esto es, la recolección, el almacenamiento, la circulación, uso y/o supresión de los mismos a través de mecanismos que garanticen su consulta posterior. Se entiende que el titular de la información ha dado su autorización cuando: i) sea por escrito; (ii) sea oral o (iii) mediante conductas inequívocas, es decir, aquellas que no admiten duda o equivocación del titular que permitan concluir de forma razonable que otorgó la autorización. El silencio no puede asimilarse a una conducta inequívoca. Cabe resaltar que al solicitar la autorización por parte del titular de los datos personales se le debe informar: (i) el Tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo; (ii) el carácter facultativo de la respuesta, cuando éstas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes; (iii) los derechos que le asisten como Titular, entre ellos, el de la supresión de sus datos y (iv) la identificación, dirección física o electrónica y teléfono del Responsable del Tratamiento para que pueda ejercer sus derechos.
Segundo interrogante
“2) ¿Puede un centro comercial exigir a un ciudadano que diligencie o entregue sus datos personales (número de identificación, nombre, teléfono) con el objetivo de almacenar la información y facilitar la labor de nexo epidemiológico por parte de las autoridades?”
Respuesta:
El artículo 5 de la Ley 1581 de 2012, define los datos sensibles en los siguientes términos:
“Datos sensibles. Para los propósitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos”.
La Corte Constitucional mediante sentencia C-748 de 2011 señaló lo siguiente:
"La Sala encuentra que esta definición se ajusta a la jurisprudencia Constitucional y su delimitación, además de proteger el habeas data, es una garantía del derecho a la intimidad, razón por la cual la Sala la encuentra compatible con la Carta Política.
En efecto, como explicó la Corte en la sentencia C-1011 de 2008, la información sensible es aquella “(…) relacionada, entre otros aspectos, con la orientación sexual, los hábitos del individuo y el credo religioso y político. En estos eventos, la naturaleza de esos datos pertenece al núcleo esencial del derecho a la intimidad, entendido como aquella ‘esfera o espacio de vida privada no susceptible de la interferencia arbitraria de las demás personas, que al ser considerado un elemento esencial del ser, se concreta en el derecho a poder actuar libremente en la mencionada esfera o núcleo, en ejercicio de la libertad personal y familiar, sin más limitaciones que los derechos de los demás y el ordenamiento jurídico.
”
Conforme a esta explicación, la definición del artículo 5 es compatible con el texto constitucional, siempre y cuando no se entienda como una lista taxativa, sino meramente enunciativa de datos sensibles, pues los datos que pertenecen a la esfera intima son determinados por los cambios y el desarrollo histórico."
De conformidad con la definición los datos sensibles, son aquellos que afectan la intimidad de las personas el uso indebido de los mismos puede generar su discriminación, pues esta relacionada, entre otros aspectos, con la salud, la orientación sexual, los hábitos del individuo y el credo religioso y político.
Los datos sensibles tienen un tratamiento especial consagrado en el artículo 6 de la Ley 1581 de 2012 así:
“Tratamiento de datos sensibles. Se prohíbe el Tratamiento de datos sensibles, excepto cuando:
a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.
b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y éste se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.
c) El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular.
d) El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
e) El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.”
(Negrillas fuera de texto)
Al respecto, la Corte Constitucional mediante la Sentencia C-748 de 2011 señaló lo siguiente:
“[C]omo se indicó en apartes previos, la prohibición de tratamiento de datos sensibles es una garantía del habeas data y del derecho a la intimidad, y además se encuentra estrechamente relacionada con la protección de la dignidad humana. Sin embargo, en ciertas ocasiones el tratamiento de tales datos es indispensable para la adecuada prestación de servicios –como la atención médica y la educación- o para la realización de derechos ligados precisamente a la esfera íntima de las personas –como la libertad de asociación y el ejercicio de las libertades religiosas y de opinión. Las excepciones del artículo 6 responden precisamente a la necesidad del tratamiento de datos sensible en dichos escenarios.
(…)”
Por lo anterior, la Ley 1581 de 2012 señala los eventos en los que se puede realizar tratamiento de los datos sensibles, esto es, la recolección, el almacenamiento, el uso, la circulación o supresión de los mismos, entre ellos, cuando el titular haya dado su autorización explícita para ello.
Para el tratamiento de los datos sensibles el artículo 2.2.2.25.2.3. del precitado Decreto señala lo siguiente:
“De la autorización para el Tratamiento de datos personales sensibles. El Tratamiento de los datos sensibles a que se refiere el artículo 5 de la Ley 1581 de 2012 está prohibido, a excepción de los casos expresamente señalados en el artículo 6 de la citada ley.
En el Tratamiento de datos personales sensibles, cuando dicho Tratamiento sea posible conforme a lo establecido en el artículo 6 de la Ley 1581 de 2012, deberán cumplirse las siguientes obligaciones:
1. Informar al Titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento.
2. Informar al Titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento, así como obtener su consentimiento expreso.
Ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles.”
(Negrillas y subrayas fuera de texto)
En concordancia con lo anterior, el artículo 2.2.2.25.2.4., del precitado decreto dispone:
“Modo de obtener la autorización. Para efectos de dar cumplimiento a lo dispuesto en el artículo 9 de la Ley 1581 de 2012, los Responsables del Tratamiento de datos personales establecerán mecanismos para obtener la autorización de los titulares o de quien se encuentre legitimado de conformidad con lo establecido en el artículo 2.2.2.25.4.1., del presente Decreto, que garanticen su consulta. Estos mecanismos podrán ser predeterminados a través de medios técnicos que faciliten al Titular su manifestación automatizada.
Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (í) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.”
En consecuencia, los responsables del tratamiento de los datos personales deben obtener la autorización por parte del titular a más tardar al momento de su recolección informándole la finalidad específica del tratamiento de los mismos, y debe utilizar mecanismos que garanticen su consulta posterior.
Se entiende que el titular de la información ha dado su autorización para el tratamiento de los datos personales cuando: (i) sea por escrito; (ii) sea oral o (iii) mediante conductas inequívocas, es decir, aquellas que no admiten duda o equivocación, del titular que permitan concluir de forma razonable que otorgó la autorización. El silencio no puede asimilarse a una conducta inequívoca.
Para el caso de los datos sensibles, la autorización explícita se refiere solo a que sea escrita o verbal.
Ahora bien, el literal b) del artículo 10 de la Ley 1581 de 2012, señala que no es necesaria la autorización, en los casos de urgencia médica o sanitaria. Al respecto la Corte Constitucional mediante Sentencia C-748 de 2011 señaló lo siguiente:
“(…) Frente a los casos de urgencia médica y sanitaria, en aras de la efectividad del derecho a la libertad en el manejo de datos, la norma debe entenderse que opera sólo en los casos en que dada la situación concreta de urgencia, no sea posible obtener la autorización del titular o resulte particularmente problemático gestionarla, dadas las circunstancias de apremio, riesgo o peligro para otros derechos fundamentales, ya sea del titular o de terceras personas”.
(Negrillas fuera de texto)
En consecuencia, no es necesaria la autorización únicamente en los eventos en que la situación concreta de urgencia médica o sanitaria, no sea posible obtener la autorización del titular o resulte problemático gestionarla, por razones de apremio, riesgo o peligro para otros derechos fundamentales para el titular o terceras personas. De lo contrario, deberá obtenerse la autorización por parte del titular de los datos personales
Tercer interrogante
"3) ¿Es legal impedirle el ingreso al ciudadano si no muestra su cédula de ciudadanía o no permite que se lea la información que arroja el código de barras, así como el negarse a diligenciar o entregar sus datos personales?”
Respuesta:
Insistimos que para el tratamiento de datos sensibles como los relacionados con la salud, el responsable debe solicitar la autorización de manera expresa (escrita o verbal) al titular y ninguna actividad podrá condicionarse a que el titular suministre sus datos personales sensibles.
Cuarto interrogante
“¿Es ajustado al ordenamiento que se trate la información suministrada por el ciudadano para ingresar al centro comercial, junto con la información relacionada con su estado de salud?, o ¿Es potestativo del usuario suministrar esa información?”
Respuesta:
Reiteramos que el artículo 12 de la Ley 1581 de 2012 impone al responsable del tratamiento de datos personales al momento de recolectar la autorización, la obligación de informar de manera clara y expresa al titular, entre otras, la siguiente:
“b) El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando éstas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes”. En consecuencia, el suministro de los datos personales relacionados con la salud es de carácter facultativo por parte del titular de los mismos. Quinto interrogante “¿Es legal medir la temperatura corporal de un ciudadano que pretende ingresar al centro comercial y tratar este dato sin advertirle al usuario que por ser dato sensible no está obligado a suministrarlo?” Respuesta: Insistimos que al momento de recolectar datos personales, entre ellos, los datos relacionados con la salud, el responsable debe informar de manera clara y expresa la finalidad de los mismos y la potestad de que el titular los suministre o no. Es necesario aclarar, que la recolección de los datos personales, debe obedecer a la necesidad y pertinencia de contar con ellos para el cumplimiento de una finalidad especifica.
Sexto interrogante
“En concordancia con el interrogante anterior, ¿puede el ciudadano negarse a que se le tome la temperatura o negarse a suministrar información sobre su estado de salud, por ser un dato sensible? ¿Debe el centro comercial autorizar en esas condiciones el ingreso del ciudadano? o ¿es legítimo condicionar el ingreso a la verificación de su estado de salud?”
Respuesta: Insistimos que es potestativo del titular suministrar sus datos sensibles como los relacionados con la salud. Así mismo, reiteramos que no puede negarse al titular el acceso a ninguna actividad con la condición de que el Titular suministre sus datos personales sensibles.
Séptimo interrogante
“Si el centro comercial al ingreso advierte que un ciudadano presenta problemas de salud relacionados con el Covid-19, ¿puede reportar ese hecho a las autoridades de salud, sin tener autorización del titular del dato para hacerlo?”
Respuesta: Debe tenerse en cuenta que hay situaciones en las que existe un expreso mandato legal que releve el consentimiento previo del titular cuando ha establecido la obligatoriedad de un
determinado Tratamiento de datos personales. En dichas situaciones, corresponde al Responsable del Tratamiento estudiar la normativa aplicable a efectos de determinar si se ha relevado del requisito de autorización previa, o, por el contrario, sí es necesario contar con el consentimiento del titular previo a su tratamiento.
Octavo interrogante
“En general, ¿es ajustado a la ley 1581 de 2012, al Decreto 1377 de 2013 y demás normas reglamentarias recientemente expedidas, que las autoridades territoriales exijan a los centros comerciales que deben implementar protocolos de bioseguridad que contemplen esas medidas, que imponen indagar por el estado de salud de un ciudadano, recoger sus datos personales y reportar a las autoridades?
Respuesta: Reiteramos que esta Oficina Asesora Jurídica, no puede resolver situaciones particulares como las mencionadas en su interrogante. En consecuencia, la valoración de la legalidad o no de las disposiciones de la Ley 1581 de 2012 y sus decretos reglamentarios corresponde analizarlo a la Dirección de Protección de Datos Personales de esta Superintendencia, dentro la respectiva investigación administrativa"