La Superintendencia de Industria y Comercio –SIC– expidió la Circular Externa 007 del 18 de agosto de 2020, de obligatorio cumplimiento para todos los establecimientos comerciales que en medio de la pandemia han recolectado datos personales de los ciudadanos.
La entidad advierte que los establecimientos que soliciten datos personales deben cumplir con la regulación de tratamiento de datos personales y deberán tener en cuenta lo siguiente:
- No se pueden utilizar medios engañosos o fraudulentos para recolectar y realizar el tratamiento de datos personales.
- Se debe informar a la persona la finalidad específica de la recolección de sus datos.
- No se puede recolectar cualquier dato, sino solo aquel o aquellos que sean pertinentes y adecuados para la finalidad para la cual son requeridos. Los responsables del tratamiento de datos personales deben estar en capacidad de justificar o explicar la necesidad de recolectar los datos que solicitan a las personas.
- No se deben recolectar datos diferentes a los exigidos expresamente por el Ministerio de Salud y Protección Social para efectos de dar cumplimiento a los protocolos.
- Salvo en los casos expresamente previstos en la ley, no se podrán recolectar datos personales sin la autorización previa, expresa e informada del titular. La autorización se puede obtener por cualquiera de los mecanismos (escrito, verbal, electrónico o conductas inequívocas), pero el responsable de su tratamiento tiene el deber de conservar prueba de dicho consentimiento.
Seguridad y confidencialidad de los datos
La circular advierte que se deberán implementar las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los datos personales, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, así como garantizar los principios de confidencialidad, acceso y circulación restringida.
Tratamiento de la información
El establecimiento comercial debe poner en conocimiento de los consumidores la política de tratamiento de información –PTI–, la cual no solo debe incluir los mecanismos y procedimientos para que los ciudadanos ejerzan sus derechos a conocer, actualizar, rectificar, suprimir sus datos o revocar su autorización, sino todo lo ordenado en el artículo 13 del Decreto 1377 de 2013.
Responsabilidad en el tratamiento de datos sensibles
En caso de que se recolecten datos sensibles, se debe tener en cuenta que la recolección, uso, circulación, tratamiento y cualquier otra actividad al respecto deben realizarse con especial cuidado y diligencia. Cabe anotar que ninguna actividad podrá condicionarse a que el titular suministre datos personales sensibles.
Registro de bases de datos en la SIC
En caso de que se creen nuevas bases de datos para cumplir los protocolos, es necesario que las mismas se registren ante el registro nacional de bases de datos –RNBD– administrado por la SIC. La base de datos deberá inscribirse dentro de los dos meses siguientes a su creación.