Colombia cuenta con una legislación robusta y madura en materia de protección de datos, que brinda una protección adecuada de los derechos de todos los ciudadanos y empresas en su calidad de titulares de información personal. Si bien dicha legislación (Ley 1266 de 2008 y Ley 1581 de 2012) necesita ser actualizada para ponerse a tono con los sistemas normativos de segunda generación (como el Reglamento Europeo de Protección de Datos -RGPD-), cuenta con las principales instituciones que se requieren para ofrecer las garantías mínimas de protección.
Sin embargo, en la aplicación práctica de las normas se puede estar dando un proceso de deterioro en la protección de los derechos, por efecto de la utilización sistemática de políticas estándar, que no siempre responden al análisis individualizado de cada situación de tratamiento de datos. No es un secreto que muchas veces las empresas ven en la adopción de políticas de tratamiento de datos un trámite de rutina dentro del papeleo necesario para poner una empresa en marcha o para evitar problemas con la autoridad.
Hay casos en los que se toman redacciones genéricas de políticas de protección y se publican en las páginas web de las empresas a disposición de los usuarios, sin hacer una evaluación previa de los riesgos específicos involucrados, y sin tener en cuenta si el nivel de acceso o utilización que se le está dando a los datos privados de las personas es justificado y razonable, en función de la finalidad del tratamiento y del tipo de actividad al que se dedica la empresa.
Algunas empresas que prestan servicios masivos, por ejemplo, han venido adoptando a través de sus call centers la regla de que si uno continúa en la llamada es porque tácitamente acepta la política que está colgada en una página web. Normalmente no es posible revisar toda una política de datos en paralelo con la atención de la llamada misma, pero aún si se hiciera, el problema de esa mecánica es que muchas veces esas políticas son más invasivas de la privacidad de lo necesario y comprenden autorizaciones respecto de aspectos no esenciales a la prestación del servicio, como es el caso, por ejemplo, del uso de los datos para fines de mercadeo y publicidad.
Aquí lo esencial es tener en cuenta que las autorizaciones de aspectos no esenciales al servicio deberían otorgarse de manera separada y sin condicionar su aceptación a la prestación del servicio principal. Además, es determinante tener en consideración que una misma redacción de política de protección de datos puede ser tenida como legal para cierta actividad, porque se justifica en función de la necesidad del tratamiento, pero ser considerada excesiva e ilegal en otros ámbitos.
A modo de ejemplo, el uso de información biométrica o de cámaras de vigilancia no es permitido ni justificado en todos los casos, sino sólo en aquellos en que la necesidad del servicio lo impone, pues siempre se debe de partir de la base del principio de circulación restringida, según el cual, los usuarios de la información de terceras personas deben limitarse a recoger sólo los datos estrictamente necesarios para la finalidad acordada y sólo por el tiempo mínimo necesario para conseguir ese fin. Los tratamientos que van más allá de lo indispensable, o que asumen de antemano el consentimiento del titular, caen en situación de ilegalidad.
Así, por ejemplo, vale la pena mencionar un caso reciente en el que la autoridad española sancionó a un club de fútbol por recoger datos biométricos, sin contar con una evaluación previa del riesgo que de dicho tratamiento se desprende, ni haber realizado un test de necesidad, idoneidad y proporcionalidad (proceso sancionador 00483 de 2023). En ese sentido, y mirando lo que la autoridad colombiana puede llegar a tener en cuenta, no basta con tener una política de datos, sino que es necesario que esté diseñada sobre la base de un estudio previo de riesgos de la empresa y en armonía con la finalidad del tratamiento.
¿Quiere publicar su edicto en línea?
Contáctenos vía WhatsApp