La Superintendencia de Industria y Comercio, a través del Concepto (Radicado 18-319930-2) da alcance a lo consagrado en el literal a) de artículo 10 de la Ley 1581 de 2012, respecto a los casos que no es necesaria la autorización para el tratamiento de datos personales, tratándose de una entidad de naturaleza pública. Al respecto, manifiesta:

“Las autoridades administrativas podrán realizar el tratamiento de los datos personales sin autorización del titular, siempre y cuando la solicitud de información esté basada en una clara y específica competencia funcional de la entidad y garanticen la protección de los derechos de hábeas data del titular”.

Conforme a lo anterior, es considerado no ajustado a la ley, que las entidades públicas soliciten información personal a terceros, ya sea en calidad de funcionarios, ciudadanos, contratistas, etc, los cuales no exista un fundamento jurídico para solicitar dicha información personal. En caso de que no existiera dicho fundamento, deberá solicitar la autorización para el tratamiento de los datos personales. 

La Superintendencia, en el concepto mencionado anteriormente,  recuerda que de todas formas, las entidades públicas deberán cumplir con los principios que rigen la protección de los datos personales, en especial, deberán:

  1. «Guardar reserva de la información que se les sea suministrada por los operadores y utilizarla únicamente para los fines que justificaron la entrega, esto es, aquellos relacionados con la competencia funcional específica que motivó la solicitud de suministro del dato personal
  2. Informar a los titulares del dato el uso que le esté dando al mismo.
  3. Conservar con las debidas seguridades la información recibida para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento; y
  4. Cumplir con las instrucciones que imparta la autoridad de control, en relación con el cumplimiento de la legislación estatutaria»

En conclusión, pese que la entidad pública no está en la obligación de solicitar el consentimiento al titular del dato, bajo el escenario anteriormente descrito, si deberá en todo caso, informar al titular, el uso que se le está dando a dichos datos, y en general, cumplir con las disposiciones legales relativss a la protección de los datos personales.