Bogotá D.C., 18 de agosto de 2020. La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos personales, expidió una circular de obligatorio cumplimiento para todos aquellos establecimientos de comercio que, con ocasión del estado de emergencia por el COVID-19, han recolectado datos personales de los ciudadanos.
Estas son algunas de las obligaciones que deberán cumplir aquellos establecimientos que soliciten datos personales:
- CUMPLIR con la regulación de tratamiento de datos personales. Las resoluciones del Ministerio de Salud y Protección Social no suspenden el derecho fundamental a la protección de datos.
- Al momento de recolectar datos personales se debe TENER en cuenta que:
o NO se pueden utilizar medios engañosos o fraudulentos para la recolección y tratamiento de datos personales.
o Se debe informar a la persona la finalidad específica de la recolección de datos.
o NO se puede recolectar cualquier dato, sino aquel o aquellos que sean pertinentes para la finalidad para la cual son requeridos.
o NO se deben recolectar datos diferentes a los exigidos expresamente por el Ministerio de Salud y Protección Social para dar cumplimiento a los protocolos de bioseguridad.
o Salvo en los casos previstos en la ley, no se podrán recolectar datos personales sin autorización previa, expresa e informada del titular.
- INFORMAR al ciudadano la norma específica que ordena recolectar los datos y mantener dicha información visible y disponible.
- IMPLEMENTAR las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los datos personales, evitando su adulteración, pérdida, consulta o acceso no autorizado o fraudulento.
- INFORMAR al ciudadano sobre la Política de Tratamiento de Información (PTI), la cual debe incluír los mecanismos y procedimientos para que las personas ejerzan sus derechos a conocer, actualizar, rectificar y/o suprimir sus datos.
- LIMITAR la temporalidad de los datos recolectados para dar cumplimiento a los protocolos de bioseguridad dictados por el Ministerio de Salud y Protección Social, los cuales sólo podrán ser almacenados durante el tiempo razonable y necesario para cumplir con dichos protocolos. Una vez cumplida la finalidad, el Responsable del Tratamiento de Datos Personales deberá suprimir de oficio los datos recolectados.
- GARANTIZAR la seguridad de los datos sensibles, la recolección, uso, circulación y tratamiento de estos debe estar rodeado de especial cuidado y diligencia en su recolección, uso, seguridad y/o cualquier otra actividad que se realice con estos. Es de notar que NINGUNA actividad podrá condicionarse a que el titular suministre datos personales sensibles.
- REGISTRAR las bases de datos en la Superintendencia de Industria y Comercio, en el evento de que se creen nuevas bases de datos para dar cumplimiento a los protocolos, estas se deben registrar ante el Registro Nacional de Bases de Datos (RNBD) dos meses despues de su creación.
Las instrucciones impartidas por la Superintendencia de Industria y Comercio son de inmediata ejecución, tienen carácter preventivo y obligatorio. El incumplimiento e inobservancia de estas instrucciones puede ser denunciado ante esta Autoridad, además de acarrear el inicio de investigaciones administrativas.
Ver Circular
¡Superintendencia de Industria y Comercio,
confianza que construye progreso!