Hace unos días publiqué una guía básica de los documentos y temas jurídicos que deben ser cubiertos por el emprendedor al iniciar su negocio. Entre varios, destaqué la importancia de contar con una política de manejo de datos, la cual cubre tanto un riesgo regulatorio (al ser obligatoria), como permite una adecuada gestión y potencialización del manejo de los datos otorgados por tus clientes. Como ya sabrás, los datos son fundamentales para refinar tu idea de negocio, tomar decisiones que te permitan conocer a tu cliente, mejorar la experiencia de usuario, diseñar estrategias comerciales y de marketing, entre muchas otras cosas.

En este contexto, algunos se habrán enterado de que hace pocos días la Superintendencia de Industria y Comercio – SIC, sancionó a Rappi y al Banco Falabella por considerar que incumplieron la ley de protección de datos personales, también llamada de habeas data. Además de ordenarles el pago de varios millones de pesos por multa, los obligó a realizar una auditoría externa y modificar algunas de los mecanismos por los que capturan y utilizan estos datos.  

En Colombia, la ley 1581 de 2012 establece los principios, pautas, responsables, obligaciones y derechos relacionados con el tratamiento y protección de los datos personales. Esta ley aplica a todas las personas, incluidas las empresas, que capturen datos personales para cualquier tipo de uso, salvo las que se construyen para el uso personal y que en ningún caso sean entregadas para ser usadas por otras personas. No importa el mecanismo que se utilice para captar los datos, por lo que serás responsable del manejo de la información siempre que lo hagas, sea a través de un medio digital como tu página web, tu App, correos electrónicos, encuestas, o por medios analógicos, como un formato utilizado en una reunión.  

¿Qué tipos de datos se encuentran cubiertos por la ley?

La regulación establece que cualquier tipo de información que se pueda asociar o esté vinculada a una persona natural es un dato personal. Siempre que se capture este tipo de datos se estará cubierto por la ley de habeas data.  Adicionalmente, esta ley establece una categoría separada, llamada datos sensibles. En estos se incluyen aquellos que se incluyen dentro de la intimidad de las personas y/o que pueden ser fuente de discriminación. Ejemplos: etnia, raza, orientación sexual, convicciones políticas, religiosas, entre otras.

A parte, la ley 1266 de 2008, clasifica los datos personales en públicos, privados y semiprivados. Los primeros son todos los que no puedan ser clasificados como privados o semiprivados, o que la ley o la Constitución los establezcan con esta característica, por ejemplo, el estado civil de las personas. Los privados son aquellos que tienen una naturaleza íntima o reservada y que sólo interesan a su titular. En cuanto a los semiprivados, son los que no tienen naturaleza íntima, reservada, ni pública, y cuya divulgación o su uso interesan tanto al titular como a un sector de la sociedad, por ejemplo, la información crediticia de una persona.

Esta clasificación determina que tipos de permisos o autorizaciones debes tener para el tratamiento de los datos. Si es un dato público, la autorización de uso no es necesaria; para el semiprivado, la autorización es necesaria; y para los privados o sensibles, se requiere una autorización expresa e inequívoca del titular del dato para poder utilizarlo. En el último caso, cualquier tratamiento del dato sin autorización está expresamente prohibido.

Igualmente, el tratamiento de datos de los niños, niñas y adolescentes está prohibido, salvo los datos públicos.

¿Qué obligaciones tengo como responsable del tratamiento de datos?

Al captar datos e iniciar su tratamiento, independientemente de la forma en que se obtienen, la ley te obliga a cumplir con lo siguiente, entre otros:

1. Obtener un autorización previa, clara e informada por parte del titular del dato. Debo informarle al titular el tratamiento que le daré a los datos, la finalidad que les daré, la no obligatoriedad de entregar datos sensibles, los derechos que la ley le otorga como titular de los datos y la identificación, dirección física o electrónica, y teléfono de contacto del responsable del tratamiento de los datos.
2. Conservar para su posterior consulta copia de la autorización dada por el titular del dato.
3. Garantizar la seguridad e integridad de los datos que te sean entregados.
4. Actualizar la información incluida en tus bases de datos.
5. Rectificar la información cuando sea incorrecta.
6. Atender los reclamos y consultas que te hagan los titulares de los datos.
7. Eliminar los datos cuando te sea solicitado, teniendo en cuenta que la autorización puede ser revocada.
8. Contar con un manual/política del manejo de los datos.

Elementos principales de la política de manejo de datos

Esta política debe contener los lineamientos que permitan un adecuado tratamiento de los datos personales. La política que establezcas debe buscar que se garantice la protección de los derechos de los titulares de los datos, incluyendo: los mecanismos para obtener la autorización; los canales para que puedan acceder a la información; la forma de ejercer su libertad de permitir o rechazar el uso de los datos; los canales y procedimientos para atender las solicitudes del titular de los datos dentro de los plazos de ley, como los son la corrección de la información, su eliminación, y la revocatoria de la autorización, entre otras.