Recordemos que la Ley de protección de datos personales (Ley 1581 de 2012) les impone a los responsables del tratamiento de datos personales, el deber de solicitar y conservar, copia de la autorización otorgada por el Titular para el tratamiento de sus datos, incluidas las imágenes de video captadas por cámaras de seguridad, en los siguientes términos:
ARTÍCULO 9o. AUTORIZACIÓN DEL TITULAR. Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior.
Respecto al deber de solicitar tal autorización en propiedad horizontal, se pronunció la Superintendencia de Industria y Comercio (SIC) mediante Resolución 776437/22, en la cual impone una multa a un Conjunto Residencial sometido al régimen de propiedad horizontal, por realizar el tratamiento de los datos de una copropietaria sin contar con su autorización, específicamente por hacer público un video de las cámaras de seguridad en el que ella quedó registrada, sin obtener previamente su consentimiento.
En este caso, la SIC le ordenó al Conjunto Residencial que, en su calidad de responsable del tratamiento, implemente un procedimiento o mecanismo que permita obtener en debida forma la autorización previa, expresa e informada para el tratamiento de datos personales de todos los residentes y propietarios del mencionado conjunto y conservar copia de la misma. De igual manera, suprimir los datos personales de los cuales no tenga la autorización de acuerdo a lo establecido en la Ley.
Sobre el consentimiento, como uno de los fundamentos jurídicos del tratamiento de datos personales, manifestó la SIC que para que sea válido bajo la Ley 1581 de 2012, debe cumplir los siguientes requerimientos legales:
a) El consentimiento debe ser expreso. El Titular debe realizar alguna acción positiva que indique su consentimiento y debe tener la libertad de no consentir.
b) El consentimiento debe estar informado. El artículo 12 de la Ley 1581 de 2012 enumera la información que debe suministrársele al Titular; esa información debe ser claramente visible, destacada y completa. No basta con ponerla a disposición en algún sitio de la página web, sin que la persona no la conozca.
c) El consentimiento debe ser previo. La obtención del consentimiento debe ser previa a la recolección de los datos.
De igual manera sostuvo la Superintendencia que, es claro que el responsable del tratamiento debe adoptar los procedimientos adecuados para solicitar y conservar copia de la autorización otorgada por cada uno de los Titulares que se encuentre en su(s) base(s) de datos o ficheros de información y debe informar cuáles datos serán recolectados junto con las finalidades específicas para las cuales se va a obtener el consentimiento del Titular.
Por su parte, la Corte Constitucional en la sentencia C.748 del 2011 indicó las características que debe tener una autorización de tratamiento de datos personales en el siguiente sentido:
“ (…) De todo lo anterior, puede entonces deducirse: (i) los datos personales sólo pueden ser registrados y divulgados con el consentimiento libre, previo, expreso e informado del titular. Es decir, no está permitido el consentimiento tácito del Titular del dato y sólo podrá prescindirse de él por expreso mandato legal o por orden de autoridad judicial, (ii) el consentimiento que brinde la persona debe ser definido como una indicación específica e informada, libremente emitida, de su acuerdo con el procesamiento de sus datos personales. Por ello, el silencio del Titular nunca podría inferirse como autorización del uso de su información y (iii) el principio de libertad no sólo implica el consentimiento previo a la recolección del dato, sino que dentro de éste se entiende incluida la posibilidad de retirar el consentimiento y de limitar el plazo de su validez. (…)
Ahora bien, en lo que tiene que ver con las excepciones, el artículo 10 de la norma consagra los siguientes casos en que no es necesaria la autorización:
a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;
b) Datos de naturaleza pública;
c) Casos de urgencia médica o sanitaria;
d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos;
e) Datos relacionados con el Registro Civil de las Personas.
Fuente: Superintendencia de Industria y Comercio. Resolución número 77643 del 03 /11/ 22, “Por la cual se impone una sanción Administrativa y se imparte una orden”.
Podrá consultarla en el siguiente enlace:
https://www.sic.gov.co/sites/default/files/documentos/122022/RE77643-2022%281%29.pdf