Cargando el Contenido del Documento | |
Por favor espere... |
CIRCULAR EXTERNA 006 DE 2022
(Julio 15)
Para: Responsables y encargados del Tratamiento de Datos Personales Vigilados por la Superintendencia de Industria y Comercio.
De: Superintendencia de Industria y Comercio.
Asunto: Tratamiento de datos personales para fines de publicidad, marketing o prospección comercial.
Fecha: 15-07-2022
El artículo 15 de la Constitución Política Nacional ordena que en la recolección, tratamiento y circulación de datos se deben respetar la libertad y demás garantías allí consagradas. En desarrollo y reglamentación de ese postulado, se han expedido las Leyes Estatutarias 1581 de 2012 y 1266 de 2008. Por esta razón, las empresas del sector real, financiero, asegurador y bursátil que recolecten, usen o traten datos personales deben cumplir con dicho mandato constitucional y las normas que lo desarrollan.
La Ley Estatutaria 1266 de 2008[1] es de carácter especial, ya que regula específicamente al tratamiento de datos personales que se utilicen para calcular el riego crediticio de una persona[2]. Por su parte, la Ley Estatutaria 1581 de 2012[3], que es de carácter general y que regula el tratamiento de la información personal que no tenga como finalidad el cálculo de riesgo crediticio, la Superintendencia de Industria y Comercio, a través de la Delegatura para la Protección de Datos Personales, es la autoridad que ejerce la vigilancia respecto del cumplimiento de los principios, derechos, garantías y procedimientos establecidos en esta norma. La citada Ley Estatutaria 1581 de 2012 establece los principios y deberes que deben garantizar y cumplir los Responsables[4] y Encargados[5] del Tratamiento de los datos personales y define tratamiento como, “cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión”[6]. Adicionalmente, dicha ley es neutral tecnológicamente. Ello significa que, aplica a cualquier tratamiento con independencia de las técnicas, procesos o tecnologías –actuales o futuras– que se utilicen para dicho efecto[7]. Así pues, debe observarse en la recolección, uso y tratamiento de datos persona les para diversos fines (marketing; cobro de cartera; etc.) mediante el uso de técnicas o herramientas como “marcadores predictivos”[8], “robocalls”[9], “nuisance calls[10] e inteligencia artificial (IA).
Las anteriores técnicas se han venido perfeccionando con herramientas de inteligencia artificial para mejorar su efectividad y, en algunos casos, ocultar el hecho de que el titular de los datos está en realidad hablando con una máquina. También se utilizan algoritmos predictivos en las campañas de “call center” para identificar y contactar las personas con las cuales existe mayor probabilidad de venderle un producto. Para tal efecto, las organizaciones realizan directamente esta labor o acuden a terceros (como, por ejemplo, las empresas (BPO), Business Process Outsourcing) lo que, entre otras cosas, involucra el tratamiento de datos personales.
En otras palabras, la regulación sobre tratamiento de datos personales debe aplicarse al margen de los procedimientos, metodologías o tecnologías que se utilicen para recolectar, usar o tratar ese tipo de información. La ley colombiana permite el uso de tecnologías para tratar datos, pero, al mismo tiempo, exige que ese tratamiento se haga de manera respetuosa del ordenamiento jurídico y de los derechos de las personas.
En atención a lo anterior, se emiten las siguientes instrucciones:
Primero. Cumplir la normatividad sobre tratamiento de datos personales
La realización de campañas publicitarias mediante el uso de técnicas o herramientas como “marcadores predictivos “, “robocalls”, “nuisance calls” e inteligencia artificial (IA) no suspende el Derecho fundamental a la protección de datos personales, cuya normativa sigue plenamente vigente y es de obligatorio cumplimiento por todos los responsables o encargados del sector real, financiero, asegurador o bursátil.
Segundo. Verificar que los datos personales fueron obtenidos lícitamente y que pueden ser usados para fines de publicidad, marketing, prospección comercial o cualquier otra finalidad para la cual desea usarlos
Es crucial tener certeza sobre la legitimación jurídica respecto de la recolección, uso y circulación de los datos personales. Como es sabido, está prohibido, utilizar medios engañosos o fraudulentos para recolectar y realizar tratamiento de datos personales[11].
Además, esa actividad debe sujetarse a lo establecido en la ley y las disposiciones que la desarrollen[12].
Se debe obtener una autorización del titular, la cual además de ser previa, expresa e informada, debe permitir no solo recolectar los datos, sino también poder usarlos para fines de marketing, mercadeo y publicidad. Es fundamental que la autorización cumpla esos tres requisitos, pues, si omite uno de ellos no podrá usar los datos lícitamente.
Recuerde que no sólo debe estar en capacidad de demostrar que tiene prueba de la autorización, sino que también tiene la carga de probar que informó lo que ordena el artículo 12 de la Ley Estatutaria 1581 de 2012.
Tenga presente estos mandatos legales:
- “El tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento”[13]. (Principio de Libertad);
- “(...) en el Tratamiento se requiere la autorización previa e informada del titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior[14].
- “El responsable del tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del titular para el tratamiento de los mismos e informarle los datos personales que serán recolectados, así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento”[15].
“Los responsables deberán conservar prueba de la autorización otorgada por los titulares de datos personales para el tratamiento de los mismos”[16]
Es derecho de cualquier persona (titular del dato): “Solicitar prueba de la autorización otorgada al responsable del tratamiento”[17]
Si su empresa no recolecta los datos directamente del titular de la información, sino que, le son suministrados por terceros, asegúrese de que esos terceros: (i) obtuvieron lícitamente esos datos y; (ii) están autorizados a suministrarle a usted esa información para usarla con fines de marketing, mercadeo y publicidad[18]
No adquiera bases de datos “piratas”, “ilegales” o de dudosa procedencia, ello podría generarle responsabilidad administrativa, civil y penal. En efecto, el delito de violación de datos personales consiste en:
“Artículo 269F. Violación de datos personales. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes”[19] (Destacamos).
Tercero. No contactar a personas que no quieren recibir más publicidad y suprimir sus datos de contacto cuando lo soliciten
El uso de los datos no es ilimitado; incondicional; vitalicio o perpetuo. Las personas no están obligadas a recibir publicidad y se debe respetar su decisión en ese sentido cuando ellos se lo comunican.
A pesar de tener autorización de las personas para recolectar y usar su información tenga presente que ellas tienen derecho a revocar su consentimiento y a solicitar la supresión de sus datos personales.
Al respecto, la regulación señala:
“Los Titulares podrán en todo momento solicitar al responsable o encargado la supresión de sus datos personales y/o revocar la autorización otorgada para el tratamiento de los mismos, mediante la presentación de un reclamo, de acuerdo con lo establecido en el artículo 15 de la Ley 1581 de 2012.
La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos.
El responsable y el encargado deben poner a disposición del Titular mecanismos gratuitos y de fácil acceso para presentar la solicitud de supresión de datos o la revocatoria de la autorización otorgada”[20]
Dado lo anterior, es importante que en su organización:
- Capacite a su equipo para que respete y garantice el derecho de las personas de revocar la autorización y suprimir sus datos; cuando haya lugar a ello.
- Imparta instrucciones para que dejen de llamar o contactar a las personas cuando estas se lo solicitan; • Implemente mecanismos manuales o automatizados, gratuitos, sencillos y eficaces para que las personas puedan solicitar la ·supresión de sus datos o la revocatoria de la autorización;
- Vigile y monitoree si esos mecanismos sirven en la práctica. De no ser así, es factible que el cliente o la persona presente una queja y su empresa pueda ser sancionada;
- Mejore permanentemente la atención al cliente, no solo para fortalecer la fidelización de sus clientes y consolidar su confianza, sino para evitar investigaciones y problemas jurídicos.
Cuarto. Implementar mecanismos efectivos para el ejercicio de los derechos de los Titulares de los datos personales
Es imperativo garantizar en la práctica todos los derechos de los Titulares de los datos previstos en el artículo 8° de la Ley Estatutaria 1581 de 2012. El alcance de cada derecho está delineado en dicha ley y sus decretos reglamentarios, razón por la cual se hace una remisión expresa a dichos textos legales.
Además, recuerde que:
- “Los procedimientos de acceso, actualización, supresión y rectificación de datos personales y de revocatoria de la autorización deben darse a conocer o ser fácilmente accesibles a los Titulares de la información e incluirse en la política de tratamiento de la información”[21]
- “Los responsables y encargados del tratamiento deben establecer mecanismos sencillos y ágiles que se encuentren permanentemente disponibles a los Titulares con el fin de que estos puedan acceder a los datos personales que estén bajo el control de aquellos y ejercer sus derechos sobre los mismos”[22]
- “Todo Responsable y Encargado deberá designar a una persona o área que asuma la función de protección de datos personales, que dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y el presente decreto”[23]
En todo caso, se debe poner a disposición del Titular del dato mecanismos ágiles y sencillos para que, como mínimo, a través del mismo medio o herramienta en que fue contactado, pueda ejercer sus derechos a la corrección, actualización o supresión de sus datos, y a presentar consultas o reclamos. Dichos medios o canales deben ser fácilmente identificables y claramente informados al Titular, por ejemplo, suministrando el link, correo electrónico, número telefónico, entre otros medios, a los que puede acudir el Titular de la información.
La anterior instrucción también debe aplicarse para el caso de envío al Titular de la información de SMS y USSD con contenido publicitario, de marketing, o de prospección comercial a través números cortos. En particular, debe realizarse una identificación plena de la empresa o entidad que los envía y el medio a través del cual el ciudadano puede ejercer sus derechos, en los términos descritos en el párrafo anterior[24], con esto evitando que se induzca a error al ciudadano o que se dificulte el ejercicio de sus derechos.
Quinto. Responder oportuna y debidamente las consultas o reclamos de los Titulares de los datos
Tenga presente que la Ley Estatutaria 1581 de 2012 consagra los procesos de consultas y reclamos para que las personas ejerzan sus derechos y que es imperativo responder debida y oportunamente, como se indica a continuación:
- Consultas Mediante este proceso se busca materializar el derecho de conocer la información que sobre una persona tiene el Responsable o Encargado del Tratamiento. La respuesta a la consulta debe comunicarse al solicitante en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta en ese término, se debe informar de ello a la persona expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
- Reclamos Los reclamos tienen por objeto corregir, actualizar, o suprimir datos o elevar una queja por el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley Estatutaria 1581 de 2012.
El término máximo para atender el reclamo es de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se debe informar a la persona los motivos de la demora y la fecha en que se dará respuesta al reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
Téngase en cuenta la importancia de poner a disposición del Titular del dato mecanismos ágiles y sencillos para ejercer sus derechos y presentar consultas o reclamos en los términos descritos en el numeral “Cuarto” de esta Circular.
Sexto. No contactar a las personas en días u horarios que afecten su tranquilidad
Las personas pueden sentirse asediados cuando son contactados a través de llamadas telefónicas, mensajes de texto, correos electrónicos y otros medios durante todos los días de la semana y a cualquier hora para fines de publicidad, marketing, prospección comercial, gestión del cobro[25], entre otros.
Dado lo anterior, el uso de los datos personales para actividades de publicidad u ofrecimiento de productos y servicios únicamente puede realizarse en días y horarios que no afecten la paz ni intimidad familiar, el horario usual de descanso, ni desconozcan su “derecho a la tranquilidad”[26]. Por ende, se debe consultar al Titular sobre los días y horarios en que desea ser contactado.
Es importante que todo lo anterior esté acompañado de mecanismos de monitoreo y verificación, auditorías internas o externas con el propósito de asegurar que las medidas implementadas no solo sean pertinentes, adecuadas o útiles, sino que funcionen correctamente.
Adicionalmente, es necesario reforzar las actividades de entrenamiento del equipo de colaboradores para que siempre sean respetuosos y garantistas de los derechos de las personas respecto del tratamiento de sus datos personales[27].
La presente Circular tiene carácter orientativo, instructivo e informativo de las obligaciones legales que le corresponde cumplir a cualquier responsable o Encargado del Tratamiento de datos personales, sin perjuicio de las demás disposiciones que expidan otras autoridades públicas en el marco de sus atribuciones constitucionales y legales. Por lo tanto, se imparten de manera armónica e integral con lo dispuesto en la Constitución Política Nacional y la regulación sobre tratamiento de datos personales.
Cordialmente,
El Superintendente de Industria y Comercio,
ANDRÉS BARRETO GONZÁLEZ [1] “Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones”. [2] Cfr. Corte Constitucional, sentencia C-748 de 2011, numeral 2.1.2.2. Ahora bien, es preciso anotar que el ámbito de aplicación de la Ley Estatutaria 1266 de 2008 se determina por el tipo de dato que se trata y los fines para que se utilizan, y no por la naturaleza del sujeto que usa esa información, de ahí que la competencia para su vigilancia y cumplimiento es compartida entre la Superintendencia de Industria y Comercio, que ejerce control y vigilancia sobre las empresas del sector real, y, la Superintendencia Financiera de Colombia, que se encarga de supervisar el cumplimento de esta Ley frente a empresas del sector financiero, asegurador y bursátil [3] “Por la cual se dictan disposiciones generales para la protección de datos personales”. [4] Cfr. Literal e) del artículo 3° de la Ley Estatutaria 1581 de 2012: “responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí mismo o en asocio con otros, decida sobre la base de datos y/o tratamiento de los datos”. [5] Cfr. Literal d) del Artículo 3° de la Ley Estatutaria 1581 de 2012: “Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí mismo o en asocio con otros, realice el Tratamiento de datos personales por cuenta del responsable del Tratamiento”. [6] Cfr. Literal g) del artículo 3° de la Ley Estatutaria 1581 de 2012. [7] En este sentido se ha pronunciado la Superintendencia de Industria y Comercio mediante la Resolución 38281 de 14 de julio de 2020 de la Delegatura para la Protección de Datos Personales [8] Los marcadores predictivos son sistemas automatizados que utilizan miles o millones de números telefónicos para marcar aleatoria y automáticamente a algunos o todos ellos con miras a comunicarse con la persona Titular de ese número. Se trata de una técnica para contactar a los Titulares de esos datos personales (números telefónicos). Usualmente se utiliza ese procedimiento para contacto masivo de personas con fines comerciales, entre otros. En últimas, con el uso de marcadores predictivos se está realizando Tratamiento automatizado de datos personales (números telefónicos)”. (Resolución 38281 de 14 de julio de 2020 de la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio). [9] “Robocalls” hace referencia a llamadas telefónicas pregrabadas que se utilizan para enviar mensajes a determinadas Bases de Datos. Jason C. Miller, Regulating Robocalls: Are Automated Calls the Sound of, or a Threat to, Democracy, 16 Mich. Telecomm. & Tech. L. Rev. 213 (2009). Citado en la Resolución 38281 de 14 de julio de 2020 de la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio. [10] “Nuisance calls” son llamadas telefónicas no deseadas que, entre otras, intentan promocionar un producto, servicio o idea al Titular por medio de una Base de Datos a la que se le asigna un algoritmo de marketing (u otras finalidades). Information Commissioner Offlce. (2020). Nuisance calls. Julio 2020, de Information Commissioner Office Sitio web: https:/ico.org.uk/your-datarnatters/nuisance-calls/. Citado en la Resolución 38281 de 14 de julio de 2020 de la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio. [11] Cfr. Artículo 2.2.2.25.2.1 del Decreto Único 1074 de 2015 (antes artículo 4° del Decreto 1377 de 2013) [12] Cfr. Literal a) del artículo 4° de la Ley Estatutaria 1581 de 2012, el cual se refiere al “Principio de Legalidad” en el tratamiento de datos personales. [13] Cfr. Literal e) del artículo 4° de la Ley Estatutaria 1581 de 2012 [14] Cfr. Artículo 9° de la Ley Estatutaria 1581 de 2012. [15] Cfr. Artículo 2.2.2.25.2.3 del Decreto Único 1074 de 2015 (antes artículo 5° del Decreto 1377 de 2013). [16] Cfr. Artículo 2.2.2.25.2.5 del Decreto Único 1074 de 2015 (antes artículo 8° del Decreto 1377 de 2013). [17] Cfr. Literal b) del artículo 8° de la Ley Estatutaria 1581 de 2012 [18] De acuerdo con lo dispuesto en el Titulo VI de la Ley Estatutaria 1581 de 2012 y en concordancia con el artículo 269F de la Ley 599 de 2000. [19] Cfr. Artículo 1° de la Ley 1273 de 2009, por medio de la cual se modifica el Código Penal se crea un nuevo bien jurídico tutelado, denominado “de la protección de la información y de los datos” y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones. [20] Cfr. Artículo 2.2.2.25.2.6 del Decreto Único 1074 de 2015 (antes artículo 9° del Decreto 1377 de 2013). [21] Cfr. Artículo 2.2.2.25.3.6 del Decreto Único 1074 de 2015 (antes artículo 18 del Decreto 1377 de 2013). [22] Cfr. Artículo 2.2.2.25.4.3 del Decreto Único 1074 de 2015 (antes artículo 22 del Decreto 1377 de 2013). [23] Cfr. Artículo 2.2.2.25.4.4 del Decreto Único 1074 de 2015 (antes artículo 23 del Decreto 1377 de 2013) [24] Lo anterior sin perjuicio de la aplicación del artículo 24 de la Resolución 6522 de 2022 de la Comisión de Regulación de Comunicaciones y demás normas aplicables. [25] Las actividades de gestión del cobro se enmarcan en el ámbito de aplicación de la Ley Estatutaria 1266 de 2008. En ese caso. será competencia de la Superintendencia Financiera de Colombia la vigilancia y control de las entidades del sector financiero. asegurar y bursátil que usen los datos para esa finalidad. Por su parte. la Superintendencia de Industria y Comercio hará lo propio para el caso de empresas del sector real. [26] Cfr. Corte Constitucional. Sentencia T-459 de 1998. En este caso la Corte se refiere al derecho a la tranquilidad en los siguientes términos: “Ahora bien, uno de los derechos que deben ser garantizados por el Estado, y que ha ido cobrando importancia dentro de la doctrina constitucional, es el derecho a la tranquilidad, inherente a la persona humana, que le permite al individuo desarrollar una vida digna y sosegada. El derecho a la tranquilidad, lo ha dicho esta Sala, asume el carácter de fundamental por su estrecha relación con la dignidad humana que, necesariamente, conlleva a la paz individua/ la cual es necesaria para vivir adecuadamente (...) Como derecho inherente a la persona, el derecho a la tranquilidad debe ser protegido por el Estado de tal forma que permita un ambiente propicio para Ja convivencia humana, de manera que los individuos puedan realizar sus actividades en un ambiente sano y exento de cualquier molestia que tienda a vulnerar la paz y el sosiego”.
[27] Cfr. Artículo 2.2.2.25.6.2 del Decreto 1074 de 2015 (antes artículo 27 del Decreto 1377 de 2013) |