En el año 2013, por medio del decreto 1377, actualmente incorporado en el Decreto 1074 del 2015, se reglamentó en Colombia “La responsabilidad de quien recoge y hace tratamiento de datos personales, respecto del cumplimiento efectivo de las medidas que implementen los principios de privacidad y protección de datos personales”, mejor conocido como Principio de Responsabilidad Demostrada, o accountability. 

Esta reglamentación indica principalmente que: los responsables del tratamiento de datos personales, cualquiera que sea la naturaleza de estos últimos, deben:

  1. Contar con un programa integral de gestión de datos personales.
  2. Estar preparados para demostrarle a la autoridad (SIC), la implementación apropiada y  efectiva, de las medidas de privacidad y protección de la información diseñadas en su programa integral de gestión de datos personales. 

Así las indicaciones normativas,  ¿Qué es el tratamiento de datos? 

La ley 1581 del 2012, define el tratamiento como “cualquier operación o conjunto de operaciones sobre los datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión”; indicando entonces, que el tratamiento de datos personales se refiere a diferentes acciones,  que de acuerdo a estas acciones, el medio por el que se realicen, y sobre los datos personales que recaigan, aplica un impacto y un tratamiento diferente. Son éstas las razones, que posibilitan la categorización del tratamiento, y en consecuencia, las precisiones que de éste hace la ley, los requerimientos que en virtud del cumplimiento de la ley hace la SIC,  y las sanciones que en virtud en consecuencia del incumplimiento a las disposiciones legales se han dado. 

En cuanto a la protección de los datos personales, es preciso saber ¿qué son? y ¿por qué tiene sentido su protección? 

La Ley 1581 del 2012, en el artículo 3° define los Datos Personales como “cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables”.  La naturaleza de esta información, se ha categorizado jurisprudencialmente, y en diferentes regulaciones como: 

Las dos últimas categorías, se encuentran como Categorías Especiales de Datos Personales, reguladas en el título III de la Ley 1581 del 2012, artículos 5°, 6° y 7°.  Y aunque la definición hecha en dichos artículos es enunciativa, hace referencia directa a Los Datos Personales Sensibles, y los Datos Personales de Niños, Niñas y Adolescentes, enfatizando en la protección reforzada que tienen, materializada en la obligatoriedad de garantizar la reserva y la confidencialidad de los datos aquí aludidos. 

La importancia de esta categorización, se da en virtud de las esferas de privacidad que tienen los datos personales enunciados.  Los riesgos que se generan al ser suministrados, las herramientas que tienen las autoridades para garantizarlos, las obligaciones y responsabilidades que tienen los encargados y responsables del tratamiento, y también la facultad que tienen los titulares de la información para autorizar o no, que estos sean tratados. 

Finalmente, es oportuno señalar de manera clara ¿quién es el responsable del tratamiento?

Se define en el artículo 3° de  la ley 1581 del 2012, que  responsable del tratamiento será “persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos”. 

Se debe  entonces entender, que todas las personas, independientemente del título que tengan, están facultadas para ser responsables del tratamiento, siempre que el objeto de sus acciones, esté orientado a operaciones sobre datos personales; y de la misma manera, deben cumplir las obligaciones legales que ésta facultad les otorga a  título personal, empresarial, y estatal.