La autorización previa, expresa, informada y suficiente es una de las principales obligaciones en materia de Protección de Datos Personales, que deben acreditar todas las empresas colombianas, con el fin de garantizar el derecho fundamental de Habeas Data. Así mismo, es una de las obligaciones que las empresas tienen más presente, pues, en la mayoría de los casos, consideran que, implementar un formato de autorización y contar con una Política de tratamiento de la información, es suficiente para cumplir con sus obligaciones legales en la materia, lo que no es cierto. Si bien estas son unas de las más importantes obligaciones en la materia, lo cierto es que el asunto va más allá de esto.
A pesar de no ser la única obligación, y de constituir un engranaje más dentro de todo un sistema o programa integral en Protección de Datos Personales que las empresas deben estructurar, implementar y operar, la autorización para el tratamiento de la información personal de los titulares sí es un elemento muy importante en este escenario legal.
La autorización, permite materializar los principios de finalidad y libertad, pues garantiza a los titulares de los datos personales, que las empresas recolectan, almacenan, usan y en general tratarán únicamente la información personal que sea pertinente, adecuada y necesaria para la finalidad perseguida. Esto es, que su información personal no estará siendo almacenada, usada o circulada sin existir un medio legítimo para ello y una serie de lineamientos y procedimientos que garanticen la vigencia de su derecho fundamental.
Si bien es la práctica más común, obtener la autorización a través de un formulario preestablecido e impreso en papel, suscrito por el respectivo titular al momento de proporcionar los datos personales que las empresas requieren tratar, no es el único medio a disposición de las empresas.
El régimen de Protección de Datos Personales, conformado principalmente por la Ley 1581 de 2012 y el Decreto 1377 de 2013, no establece un procedimiento reglado, único o exclusivo al que los responsables del tratamiento deban acudir para obtener la autorización de los respectivos titulares y de esta manera cumplir los estándares, requisitos y protocolos exigidos.
De esta manera, es posible que las empresas, en calidad de responsables del tratamiento, acudan a distintos instrumentos y procedimientos como formularios web, avisos de Sistemas de Videovigilancia, facturas de venta, planillas de asistencia a eventos, llamadas telefónicas, requerimientos verbales, sistemas de identificación biométrica, registro y permisos de acceso a través de pines o tarjetas, registro fotográfico, entre muchos otros procedimientos que deberán evaluar según las necesidades y requerimientos de cada organización.
Cualquiera de estos instrumentos, siempre y cuando cumplan con los requisitos establecidos en el Régimen de Protección de Datos Personales resulta útil e idóneo para obtener la respectiva autorización por parte de los responsables. De esta manera, los requisitos mínimos que deben acreditar las empresas para estos efectos son:
- Adelantar el procedimiento establecido para obtener la autorización para el tratamiento de datos personales antes de recolectar los datos o de manera concurrente a esto.
- Informar al titular, la identificación de la persona que fungirá como responsable del tratamiento.
- Informar al titular de los datos personales sus derechos y los mecanismos que la empresa ha establecido para garantizarlos.
- Informar al titular de los datos personales las finalidades y modalidades del tratamiento.
- Si se va a recolectar datos personales sensibles o de menores de edad, informar el carácter facultativo de las respuestas.
- Adelantar procesos de validación de la titularidad de la persona que está proporcionando la información personal.
- Conservar prueba o soporte de la autorización otorgada por el titular.
Dependiendo de los mecanismos o procedimientos por los que opten las empresas para la obtención de la autorización para el tratamiento de los datos personales de los titulares, los requisitos antes relacionados deberán complementarse o detallarse, teniendo presente sus particularidades para garantizar el cumplimiento de lo establecidos por la Ley. Un ejemplo claro de esto, es la autorización obtenida mediante formulario web, el cuál, además de cumplir todos los anteriores presupuestos, deberá contar con una casilla de verificación, que diligencie directamente el titular y que no se encuentre premarcada.
¿Quieres conocer cuáles otras medidas debe implementar para garantizar el cumplimiento de tus obligaciones legales en materia de Habeas Data?
Inscríbete aquí en nuestro Webinar Gratuito y conoce mucha más información valiosa para tí y tu empresa.