Por regla general, no se puede tratar ningún dato personal, sino en vigencia de una autorización previa, informada, suficiente y legalmente obtenida por parte del Responsable (Empresa) del tratamiento. Sin embargo, existen algunas excepciones que permiten el tratamiento de datos personales sin que medie dicha autorización. Esta autorización puede ser obtenida a través de cualquier medio que pueda ser objeto de prueba y posterior consulta.
El cumplimiento de esta obligación ha sido especialmente conflictiva para las empresas en Colombia, pues muchas veces no se tiene claridad de si están en vigencia de alguna excepción que los excluya de esta obligación y, por otro lado, muchas veces las cláusulas, procedimientos y medidas implementadas por las empresas para obtener la autorización, al momento de obtener los datos, no cumple con los estándares exigidos por la legislación colombiana.
Las excepciones al deber de obtener autorización para el tratamiento de datos, que pueden resultar aplicables a la gran mayoría de empresas en Colombia, se pueden resumir en: (i) los datos información de contacto de otras empresas, constituidas como personas jurídicas, ya que respecto de estas no se predican las disposiciones de la Ley 1581 de 2012 por no hablarse propiamente de datos personales, sino de información empresarial, (ii) los datos personales de naturaleza pública, como la profesión u oficio de las personas o su calidad de comerciante o servidor público, (iii) los datos personales en eventos de urgencia médica o sanitaria.
No obstante, el hecho de que no se requiera autorización previa para el uso o tratamiento de esta información, no implica que se pueda tratar dicha información de manera arbitraria o al margen de los lineamientos y directrices establecidos por la Ley de protección de datos personales. Por el contrario, su aplicación y vigencia en estos casos es indiscutible, pues a pesar de no estar obligados a obtener autorización, deben cumplir todas las demás obligaciones en la materia.
Si bien la anterior información es importante, el día a día de las empresas no se enmarca en el tratamiento de datos personales consagrados dentro de las excepciones antes señaladas, sino, por el contrario, en el tratamiento de datos personales respecto de los cuales obtener la autorización de empleados, clientes, prospectos, proveedores, contratistas, ex empleados, familiares o beneficiarios de empleados, entre otros, se convierte en elemento obligatorio e indispensable para el tratamiento de datos.
El cumplimiento de esta obligación ha representado un gran reto para los empresarios, quienes han acudido a distintas herramientas con el fin de obtener la autorización por parte de los titulares de la información, sin que en todos los casos cumplan con los lineamientos legales. Esto ha conducido a que muchas empresas hayan sido sancionadas, por ejemplo, por recolectar información personal a través de formularios en páginas web que no cumplen con los certificados de seguridad SSL/TLS o que no tienen incorporada la cláusula web, esta está incompleta, no cumple con los requisitos legales o es una cláusula web que no atiende o no se presenta en el contexto de un Programa de Protección de Datos Personales que permita el efectivo cumplimiento de los estándares en la materia.
Algunos ejemplos de los procedimientos que tu empresa puede utilizar para obtener la autorización de los titulares de los datos personales son los siguientes: (i) formularios web que cumplan con los requisitos de seguridad y con el cumplimiento de los requisitos legales, (ii) autorización a través de llamadas telefónicas, (iii) landing page, (iv) redes sociales, (v) aplicaciones de mensajería instantánea como WhatsApp, (vi) procedimientos en caja o punto de pago de establecimientos de comercio o tiendas físicas, (vi) incorporación de cláusulas en cotizaciones, contratos, ordenes de servicios, entre otros.
En todo caso, lo más importante para tu empresa, es que al momento de seleccionar el o los procedimientos que resultan pertinentes para obtener la autorización para el tratamiento de datos personales, estos atiendan a un programa implementado al interior de la organización y que se verifique el cumplimiento de los requisitos establecidos en el ordenamiento jurídico para el efecto, pues incumplirlos o cumplirlos parcialmente, puede representar serios inconvenientes para tu empresa.
Inscríbete aquí en nuestro Webinar Gratuito y conoce mucha más información valiosa para tí y tu empresa.