Derecho

25 de julio de 2022

La Circular 006 de 2022: Instrucciones de cara a la observancia del régimen de protección de datos personales

El pasado 15 de julio de 2022, la Superintendencia de Industria y Comercio (en adelante SIC) profirió la Circular Externa 006 de 2022, a través de la cual se emiten instrucciones para el tratamiento de datos con fines de publicidad, marketing o prospección comercial.

Por: María Cristina Quintero R.

El pasado 15 de julio de 2022, la Superintendencia de Industria y Comercio (en adelante SIC) profirió la Circular Externa 006 de 2022, a través de la cual se emiten instrucciones para el tratamiento de datos con fines de publicidad, marketing o prospección comercial.

Estas instrucciones pretenden fijar unos lineamientos sobre la forma en que las empresas deben aplicar las normas de protección de datos, en particular, la Ley Estatutaria 1581 de 2012 como régimen general y la Ley 1266 de 2008 en lo relativo al dato financiero. En ella se establecen principalmente seis (6) instrucciones[1] que las empresas que usan o recolectan datos deben tener en cuenta respecto del mercado de la publicidad mediante uso de herramientas como los marcadores predictivos, robocalls, nuisance calls, inteligencia artificial u otros que permitan a los empresarios desarrollar actividades publicitarias.

En esencia, la Circular no se aparta de lo dicho en la Guía para el Tratamiento de Datos Personales para Fines de Marketing y Publicidad de la Delegatura para la Protección de Datos Personales de la SIC. No obstante, la nueva Circular enfatiza de manera concreta en algunos puntos relevantes en torno a la protección de datos y reconoce algunas formas en que funciona el negocio de la publicidad por medios digitales.

A lo largo de esta, la Delegatura insiste en la obligatoriedad en la aplicación de las normas de protección de datos para las empresas que se dedican a este negocio; incluso cuando la labor de recolección y tratamiento del dato se realiza por diferentes actores. En concreto, se hace referencia a los esquemas de outsourcing o tercerización, como es el caso de las Business Process Outsourcing (BPO por sus siglas en inglés). Así, en concordancia con lo dispuesto en los numerales d) y e) del artículo 2 de la Ley 1581 de 2012, se refuerza la distinción entre responsable[2] y encargado[3] del tratamiento de datos personales, como quiera que, pese a los modelos de outsourcing o uso de tecnologías de la información para el tratamiento de datos, los agentes involucrados deben cumplir con las normas de protección de datos y los derechos de los titulares.

En suma, la mencionada Circular enfatiza sobre la rigurosidad en que debe hacerse el proceso de recolección de datos personales, de cara a la posibilidad de hacer uso lícito de estos y a la responsabilidad civil, penal y administrativa derivada de la infracción a estos preceptos legales.

En punto a la obtención de los datos, se reitera la necesidad de la autorización previa, expresa e informada con relación a las finalidades específicas de tratamiento. En ese mismo sentido, la Delegatura reconoce que la titularidad sobre el dato no perece tras dicha autorización, indicando que: “El uso de los datos no es ilimitado, incondicional vitalicio o perpetuo. Las personas no están obligadas a recibir y se debe respetar su decisión en ese sentido cuando ellos se lo comunican”[4]. De esta forma, la Circular 006 reconoce lo establecido en el artículo 2.2.2.25.2.6 del Decreto 1074 de 2015 con relación al derecho del titular de revocar la autorización o solicitar la supresión del dato, en concordancia con lo dispuesto en el artículo 15 de la Ley Estatutaria 1581, es decir, que la supresión del dato pueda realizarse por el titular sin ningún criterio objetivo particular.

Pese al avance normativo e institucional sobre esta materia, la novedad de esta disciplina indica que aún se debe recorrer un largo camino, especialmente en temas de educación sobre privacidad y protección de datos dirigidos tanto a los consumidores de servicios digitales, como al empresariado que los recolecta, usa y trata para el desarrollo de su negocio. En ese sentido, y entendiendo que la efectividad de estos derechos radica en gran medida en el cumplimiento normativo por parte de los empresarios, la Delegatura ha indicado a las empresas pautas para la implementación de mecanismos efectivos para el ejercicio de estos derechos, así como términos máximos para dar respuesta a consultas y reclamos. Las pautas mínimas que deberán cumplir los mecanismos que sean diseñados para el ejercicio de los derechos de corrección, supresión o actualización del dato son: ser previamente informados, sencillos y fácilmente accesibles. Ello implica, entre otras cosas, dar a conocer los canales telefónicos o digitales a los cuales se podrá acudir para estos efectos.

Lo contenido en la Circular 006 de 2022 representa, sin lugar a duda, un paso hacía adelante en materia de protección de datos personales, pues es precisamente en el negocio de la publicidad digital donde más se ha identificado problemáticas sobre su recolección y tratamiento. Sin embargo, dada la novedad, complejidad e importancia de esta disciplina[5], es altamente probable que en el corto plazo se planteen nuevas posibilidades para lograr el cumplimiento normativo y una mayor cultura de adherencia a la norma.


[1] Dar cumplimiento a las normas de protección de datos personales

Verificar que los datos fueron obtenidos lícitamente y pueden ser usados para las finalidades deseadas por el empresario

No contactar personas que no quieren recibir más publicidad y suprimir el dato cuando así se solicite por el titular

Implementar mecanismos efectivos para el ejercicio de los derechos de lo titulares del dato personal

Responder oportuna y debidamente las consultas o reclamos de los titulares de datos

No contactar a las personas en días u horarios que afecten su tranquilidad

[2] Artículo 2 Numeral e) Responsable: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos; 

[3] Artículo 2 Numeral d) Encargado: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento; 

[4] Superintendencia de Industria y Comercio. Circular 006 de 2022.

[5] Resulta preciso resaltar la importancia de la protección de datos personales en diversos entornos socio jurídicos. La recolección e indebido tratamiento de datos son solamente algunas de las situaciones problemáticas relativas a este asunto. Sin embargo, cada vez es mas frecuente advertir otro tipo de problemas relacionados con barreras de acceso a mercado, incursión en prácticas restrictivas de la competencia, propiedad intelectual y, como es natural, la protección al consumidor. No son pocos los casos en que este tipo de circunstancias han saltado a la luz en la jurisprudencia extranjera, entre las cuales se destacan la investigación del Bundeskartellamt alemán contra Facebook por abuso de la posición de dominio en la recolección, uso y tratamiento de datos personales a través de sus empresas, o la investigación abierta por la Comisión Europea a Google por restricciones indebidas en el acceso al mercado de publicidad digital.