Por considerarlo de interés, compartimos apartes del concepto número 1150294 de 2018 emitido por el Ministerio de Tecnologías de la Información y las Comunicaciones, por medio del cual sostiene que exigir la huella digital para el ingreso a una entidad, sólo sería viable bajo autorización previa y expresa de su titular, quien no está obligado a dar tal autorización, según lo establecido en la Ley 1581 de 2012, el Decreto 1377 de 2013 y la doctrina de la Superintendencia de Industria y Comercio, conforme a las siguientes consideraciones:
En relación con la exigibilidad de datos biométricos para el ingreso a instalaciones de una entidad pública la Superintendencia de Industria y Comercio (SIC) ha emitido varios conceptos, de los cuales resaltamos el identificado con el número 14-118247—1-O, en el cual se responde a la siguiente consulta: «¿debe una entidad pública solicitar autorización a los visitantes y trabajadores que ingresen a las instalaciones físicas, para que suministren sus datos biométricos tales como imagen fotográfica y huella digital (conforme a lo dispuesto en los artículos 5 y 6 de la Ley 1581 de 2012)?»
Al respecto la SIC preciso:
«El artículo 5 de la Ley 1581 de 2012 define los datos sensibles en los siguientes términos:
DATOS SENSIBLES. Para los propósitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
De acuerdo con lo cual, serán datos biométricos aquellos que encajen en dicho concepto, como por ejemplo, las huellas dactilares.
Así mismo, el artículo 6 de dicha norma regula el Tratamiento de los datos sensibles:
TRATAMIENTO DE DATOS SENSIBLES. Se prohíbe el Tratamiento de datos sensibles, excepto cuando:
a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización;
b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización;
c) El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular;
d) Se refiera a datos necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;
e) El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.
De acuerdo con lo anterior, la regla general es la prohibición del Tratamiento de datos personales que estén catalogados como sensibles, sin embargo, si está permitido en ciertos casos previstos en los literales a al e del citado artículo.
Al respecto se debe tener en consideración lo manifestado por la Corte Constitucional al evaluar la norma en comento:
Como se indicó en apartes previos, la prohibición de tratamiento de datos sensibles es una garantía del habeas data y del derecho a la intimidad, y además se encuentra estrechamente relacionada con la protección de la dignidad humana. Sin embargo, en ciertas ocasiones el tratamiento de tales datos es indispensable para la adecuada prestación de servicios -como la atención médica y la educación- o para la realización de derechos ligados precisamente a la esfera íntima de las personas -como la libertad de asociación y el ejercicio de las libertades religiosas y de opinión. Las excepciones del artículo 6 responden precisamente a la necesidad del tratamiento de datos sensible en dichos escenarios.
Ahora bien, como se trata de casos exceptuados y que, por tanto, pueden generar altos riesgos en términos de vulneración del habeas data, la intimidad e incluso la dignidad de los titulares de los datos, los agentes que realizan en estos casos el tratamiento tienen una responsabilidad reforzada que se traduce en una exigencia mayor en términos de cumplimiento de los principios del artículo 4 y los deberes del título VI. Esa mayor carga de diligencia se deberá también traducir en materia sancionatoria administrativa y penal.
Finalmente, la autorización para el Tratamiento de los datos personales sensibles fue reglamentada en el artículo 6 del Decreto 1377 de 2013:
De la autorización para el Tratamiento de datos personales sensibles. El Tratamiento de los datos sensibles a que se refiere el artículo 5° de la Ley 1581 de 2012 está prohibido, a excepción de los casos expresamente señalados en el artículo 6° de la citada ley.
En el Tratamiento de datos personales sensibles, cuando dicho Tratamiento sea posible conforme a lo establecido en el artículo 6° de la Ley 1581 de 2012, deberán cumplirse las siguientes obligaciones:
Informar al titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento.Informar al titular de forma explícita y previa; además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento, así como obtener su consentimiento expreso.
Ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles».
(….)
En consecuencia, conforme a lo conceptuado por la Superintendencia de Industria y Comercio y la normativa citada, el tratamiento de datos sensibles, para el caso concreto la huella digital, sólo sería viable bajo autorización previa y expresa de su titular, pero, en todo caso, según lo dispone el numeral 1° del artículo 6 de la Ley 1581 de 2012, por tratarse de datos sensibles el titular no está obligado a autorizar su Tratamiento.
Podrá consultar el concepto completo en el siguiente enlace: http://www.mintic.gov.co/portal/604/articles-72547_documento.pdf
