Todos los ciudadanos tenemos derecho a conocer, actualizar y rectificar la información que se almacene o se recopile en las bases de datos administradas por empresas privadas o entidades públicas. Este derecho está contemplado en la Ley 1581 de 2012, conocida como el Régimen General de Protección de Datos Personales, en el que, además, se señalan los principios y obligaciones que tienen todos aquellos que realicen el tratamiento de datos personales para garantizar la protección del derecho fundamental de habeas data.
¿Qué es una autorización para el tratamiento de datos personales?
Es el consentimiento que da cualquier persona para que las empresas o personas responsables del tratamiento de la información, puedan utilizar sus datos personales. Para que esto se pueda hacer, la organización responsable del tratamiento de los datos debe adoptar procedimientos internos para solicitar la autorización al titular, a más tardar en el momento de la recolección de su información. La ley es clara cuando asegura que es necesario “el consentimiento previo, expreso e informado del titular”, es decir, que el dueño de la información apruebe y sepa para qué y cómo se utilizará dicha información. Además, tal autorización debe estar disponible para consultas posteriores.
¿En qué casos no es necesaria la autorización?
Aunque la ley obliga a los responsables del tratamiento de datos a contar con una autorización expresa de los titulares, en los siguientes casos no es necesario pedirla, pero sí será obligatorio cumplir los demás deberes dispuestos en la ley:
- Cuando la información es requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
- En caso de hacer tratamiento de datos de naturaleza pública.
- Casos de urgencia médica o sanitaria. Para el tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos. Cuando se trata de datos relacionados con el Registro Civil.
¿Cómo obtener la autorización?
De forma oral o escrita mediante conductas inequívocas del titular de la información, las cuales permiten concluir a los responsables que se otorgó la autorización.
Un ejemplo de esto pueden ser los casos de imágenes captadas por sistemas de videovigilancia, en los que se comunica previamente a las personas que van a ingresar a un establecimiento que sus imágenes van a ser tomadas, conservadas o usadas de cierta manera y, conociendo tal situación, los titulares ingresan al establecimiento.
Sin embargo y, sin importar el medio por el cual se obtenga dicha autorización, no puede perderse de vista que es necesario conservar prueba de la misma, pues la Ley 1581 de 2012 es clara en afirmar que se debe "solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular".
Autorización para el tratamiento de datos personales sensibles
Los datos sensibles son aquellos que afectan la intimidad del Titular y pueden dar lugar a que sea discriminado, como aquellos que revelan su origen racial o étnico, su orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos. Este tipo de datos constituyen una categoría especial de datos personales y por ello, requieren una protección reforzada y algunas consideraciones especiales a la hora de solicitar autorización para su tratamiento:
- El titular debe saber que, por tratarse de datos sensibles, no está obligado a autorizar su tratamiento
- Es deber del responsable de los datos, informar al titular de forma explícita y previa, cuáles datos son sensibles y cuál será la finalidad del tratamiento que se les dará.
La recolección de datos personales debe tener una finalidad legítima y cierta, es decir, una razón de ser de esa recolección. Además, los datos recolectados deben ser pertinentes y adecuados para alcanzar dicho fin.
Por ejemplo, si lo que la organización quiere es vincular un nuevo cliente al portafolio de su empresa, debe pensar si es necesario solicitar datos como su talla de ropa o de calzado, cuando lo que se pretende es venderle productos para mascotas.
Deber de informar al titular
Además del deber de obtener el consentimiento de los titulares para el tratamiento de su información, quien recolecte datos personales debe informar de manera clara y expresa al titular lo siguiente:
Con el fin de hacer más comprensible la información, las organizaciones o responsables del tratamiento de datos personales pueden elegir diferentes formas de trasmitir la información a los titulares: señales, dibujos, gráficas, videos, etc.; lo importante es cumplir con la obligación de comunicar de manera clara y transparente lo exigido en la ley, sin perder de vista, que deben conservar prueba de dichas comunicaciones.
Requisitos especiales para el tratamiento de datos de menores de edad
La ley describe los datos de los menores de edad como una categoría especial, por ello, son merecedores de una protección reforzada que le asegura el respeto de sus derechos fundamentales. Así que, para el tratamiento de sus datos, sus representantes legales podrán dar la autorización previo ejercicio del menor de su derecho a ser escuchado.