El pasado mes de diciembre, la Superintendencia de Industria y Comercio (“SIC”) expidió dos nuevas guías orientativas dirigidas a responsables y encargados del tratamiento de datos personales. Las guías publicadas contienen sugerencias y herramientas útiles para prevenir irregularidades de cara al régimen de protección de datos personales colombiano. Las temáticas abordadas fueron las siguientes:

1. Tratamiento de las fotos como datos personales.
2. Gestión de incidentes de seguridad en el tratamiento de datos personales.

Al respecto, es importante señalar que estas guías buscan brindar recomendaciones generales para fortalecer la autorregulación de quienes, en desarrollo de sus actividades, realicen tratamiento de datos personales. 

Así mismo, cabe resaltar que las guías no abarcan todos los aspectos relevantes en relación con el tratamiento de fotografías o gestión de incidentes de seguridad, razón por la cual, es importante que se consulten todas las normas aplicables para verificar cualquier requerimiento específico en cada caso en concreto.

1. Guía sobre el tratamiento de las fotos como datos personales.

De acuerdo con lo señalado por la SIC, es frecuente que al utilizar fotografías se ignore que éstas contengan datos personales. En general, es posible que las fotografías contengan datos personales en la medida en que si son de una persona usualmente tendrán información biométrica que permitirá establecer la identidad de una o varias personas naturales incluidas en la fotografía. 

En esa medida, la SIC compiló algunos de los deberes más relevantes en relación con el tratamiento de fotografías como datos personales, a saber:

1. Obtener autorización previa, expresa e informada para tomar fotografías y usarlas.
2. Verificar la procedencia legítima de las fotos que son suministradas por terceros.
3. Tener presentes las reglas para recopilar o usar fotografías de menores de 18 años teniendo en cuenta la naturaleza especial y sensible de estos datos.
4. Informar al titular del dato los fines específicos para los cuales se usarán las fotografías entregadas.
5. Abstenerse de obtener fotografías de manera engañosa y no asumir que las fotografías de acceso público pueden ser usadas libremente.
6. Exigir el respeto a la regulación de protección de datos a los terceros contratados para tratar fotografías en su nombre y cuenta.

Finalmente, es importante aclarar que sin perjuicio de que las fotografías contengan datos personales y por lo tanto estén protegidas por la regulación aplicable a la materia, las mismas también se encuentran protegidas desde diferentes perspectivas jurídicas, tales como los derechos de autor, competencia desleal y derecho a la imagen. La guía en comento, menciona además que lo dispuesto en la misma no limita el uso de las fotografías en el ámbito personal o doméstico, y para fines periodísticos y editoriales.

2. Guía para la gestión de incidentes de seguridad en el tratamiento de datos personales.

La SIC además publicó un conjunto de sugerencias prácticas para afrontar correctamente la ocurrencia y reporte de incidentes de seguridad que afecten a las bases de datos que contienen datos personales administradas por responsables y encargados del tratamiento de datos.

De conformidad con la ley 1581 de 2012, el tratamiento de datos personales realizado por responsables o encargados, debe realizarse con las medidas técnicas, humanas y administrativas necesarias para garantizar seguridad y confidencialidad de dicha información.

En virtud de lo anterior, es necesario que las organizaciones estén preparadas para mitigar los efectos o riesgos que se puedan generar cuando dichas medidas de seguridad fallen. Por lo anterior, la guía emitida por la SIC brinda orientación en relación con la implementación de las siguientes medidas:

1. Exigir a los encargados del tratamiento de datos personales, que comuniquen los incidentes de seguridad que se puedan presentar.
2. Documentar debidamente cualquier incidente de seguridad.
3. Desarrollar un programa integral de gestión de datos personales que incluya un protocolo de respuesta en el manejo de incidentes de seguridad.
4. Implementar los pasos necesarios para afrontar posibles incidentes de seguridad.

La guía resalta además la necesidad de incrementar y mantener la confianza de los titulares de datos personales en las organizaciones, como requisito fundamental para la consolidación de cualquier actividad que involucre el tratamiento de datos personales.

Finalmente, ambas guías reiteran la necesidad de aplicar el principio de responsabilidad demostrada en el tratamiento de los datos, y por lo tanto de considerar lo establecido en la guía emitida por la SIC sobre este principio. 

Estaremos muy atentos a solucionar cualquier inquietud que pueda surgir en relación con lo mencionado. 

 Autor

María Alejandra De Los Ríos | [email protected] | Protección de Datos y Privacidad