Por considerarlo de interés para el ejercicio de su gestión como administrador de propiedad horizontal, compartimos apartes del concepto número 302045 emitido por la Superintendencia de Industria y Comercio el 19 de septiembre de 2017, que se refiere al tratamiento que debe darse a las imágenes captadas por las cámaras de vigilancia; y en especial, se pronuncia respecto del uso que puede darse a las grabaciones, quien puede tener acceso a ellas, con qué finalidad, cómo garantizar su protección y cumplimiento de la Ley de Habeas Data, posibilidad de entregar copia de una grabación al titular, a un tercero o a las autoridades, entre otros.
Teniendo en cuenta que se trata de un concepto extenso, a continuación se transcriben algunos de los apartes más relevantes. En el siguiente enlace podrá consultar el texto completo del concepto:
http://serviciosweb.sic.gov.co/servilinea/ServiLinea/ConceptosJuridicos/documentos/17/17302045.PDF
Consulta No.1. ¿Internamente que uso debo darle a las grabaciones?
Respuesta: (…)
El dato personal es cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables que cumplen con las siguientes características: (i) están referidos a aspectos exclusivos y propios de una persona natural, ii) permiten identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.
(…)
El tratamiento se refiere a la utilización, recolección, almacenamiento, circulación y supresión de los datos personales que se encuentren registrados en cualquier base de datos o archivos por parte de entidades públicas o privadas y cuyo procesamiento sea utilizando medios tecnológicos o manuales.
Las imágenes captadas en cámaras encuadran dentro del concepto de dato personal y en consecuencia, les resulta aplicable el régimen de protección de datos personales prevista en la Ley 1581 de 2012.
(…)
En este sentido, la finalidad de la videovigilancia por regla general es la de garantizar la seguridad de bienes o personas en determinados lugares y se trata de un dato personal que le resulta aplicable la Ley 1581 de 2012 respetando la dignidad y demás derechos fundamentales de las personas.
Consulta No.2. ¿Quiénes puede acceder a ellas?
Respuesta: (…)
Al respecto, la Corte Constitucional mediante Sentencia C-748 de 2011 señaló lo siguiente
“La norma establece que la información podrá suministrarse a las siguientes personas: (i) a los Titulares, sus causahabientes o sus representantes legales, (ii) a las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial y (iii) a los terceros autorizados por el Titular o por la Ley.
En cuanto al primero de los casos, esta posibilidad, en criterio de la Corte, es constitucional, en tanto el artículo 15 C.P. confiere a los sujetos concernidos la facultad de conocer la información que sobre ellos se haya incorporado en un sistema automatizado de información, y dentro de los mismos se encuentran sus representantes y aquellos que los suceden en razón de causa de muerte.
Frente al segundo escenario permitido por el legislador, esto es la entrega de información a las entidades públicas y en virtud de una orden judicial, se harán las mismas observaciones que al estudiar el artículo 10, sobre los casos exceptuados de autorización. Por lo tanto, el ordinal b) debe entenderse que la entidad administrativa receptora cumpla con las obligaciones de protección y garantía que se derivan del citado derecho fundamental, en especial la vigencia de los principios de finalidad, utilidad y circulación restringida. Por lo tanto, debe encontrarse demostrado (i) el carácter calificado del vínculo entre la divulgación del dato y el cumplimiento de las funciones de la entidad del poder Ejecutivo; y (ii) la adscripción a dichas entidades de los deberes y obligaciones que la normatividad estatutaria predica de los usuarios de la información.
Finalmente, en cuanto al ordinal c) que establece la posibilidad de la entrega de la información a “los terceros autorizados por el Titular o por la ley”, la Corte también reiterará lo señalado en la Sentencia C-1011 de 2008. Para el Tribunal, esas autorizaciones podrían “prestarse a equívocos, en el entendido que establecería una cláusula genérica, con base en la cual una ley posterior pudiera permitir la divulgación de información personal a otras personas, sin consideración de las garantías propias del derecho fundamental al hábeas data y de la vigencia de los principios de administración de datos personales. Al respecto, la extensión irrestricta de las posibilidades de divulgación de la información contradiría el principio de circulación restringida, comprendido por el legislador estatutario como la imposición de restricciones a la divulgación de datos en razón de su naturaleza, de la finalidad del banco de datos y de la vigencia de los citados principios.”
En consecuencia, esa prerrogativa dada al legislador debe entenderse en el entendido que se encuentra supeditada a la vigencia de las prerrogativas que se derivan del derecho al hábeas data y, en especial, a los principios de administración de datos personales.”
(…)
Consulta No.3. ¿Para qué pueden acceder a ellas?
Respuesta: (…)
Al respecto, la Corte Constitucional mediante Sentencia C-748 de 2011 señaló lo siguiente:
“Principio de finalidad: En virtud de tal principio, el tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, la cual debe ser informada al titular. La definición establecida por el legislador estatutario responde a uno de los criterios establecidos por la Corporación para el manejo de las bases de datos. Sin embargo, debe hacerse algunas precisiones. Por una parte, los datos personales deben ser procesados con un propósito específico y explícito. En ese sentido, la finalidad no sólo debe ser legítima sino que la referida información se destinará a realizar los fines exclusivos para los cuales fue entregada por el titular. Por ello, se deberá informar al Titular del dato de manera clara, suficiente y previa acerca de la finalidad de la información suministrada y por tanto, no podrá recopilarse datos sin la clara especificación acerca de la finalidad de los mismos. Cualquier utilización diversa, deberá ser autorizada en forma expresa por el Titular. Esta precisión es relevante en la medida que permite un control por parte del titular del dato, en tanto le es posible verificar si está haciendo usado para la finalidad por él autorizada. Es una herramienta útil para evitar arbitrariedades en el manejo de la información por parte de quien trata el dato. Así mismo, los datos personales deben ser procesados sólo en la forma que la persona afectada puede razonablemente prever. Si, con el tiempo, el uso de los datos personales cambia a formas que la persona razonablemente no espera, debe obtenerse el consentimiento previo del titular. Por otro lado, de acuerdo la jurisprudencia constitucional y los estándares internacionales relacionados previamente, se observa que el principio de finalidad implica también: (i) un ámbito temporal, es decir que el periodo de conservación de los datos personales no exceda del necesario para alcanzar la necesidad con que se han registrado y (ii) un ámbito material, que exige que los datos recaudados sean los estrictamente necesarios para las finalidades perseguidas. En razón de lo anterior, el literal b) debe ser entendido en dos aspectos. Primero, bajo el principio de necesidad se entiende que los datos deberán ser conservados en una forma que permita la identificación de los interesados durante un periodo no superior al necesario para los fines para los que fueron recogidos. Es decir, el periodo de conservación de los datos personales no debe exceder del necesario para alcanzar la necesidad con que se han registrado. En la Sentencia C-1011 de 2008, la Corporación reiteró la importancia de la existencia de unos criterios razonables sobre la permanencia de datos personales en fuentes de información. Además, sostuvo que este periodo se encuentra en una estrecha relación con la finalidad que pretende cumplir. (…)
Por lo anterior, la utilización de los datos personales de un titular debe realizarse para los casos autorizados de manera previa y expresa por éste cumpliendo con una finalidad legítima y destinada a realizar los fines exclusivos para los cuales fue entregada por el titular.
Consulta No.4. ¿Cuál debería ser el protocolo para su uso sin que se infrinja la Ley de Protección de Datos Personales?
Respuesta: Los responsables y encargados del tratamiento de datos personales deben dar cumplimiento a las disposiciones señaladas en la Ley 1581 de 2012 y sus decretos reglamentarios, en especial, la aplicación de los principios rectores que se encuentran consagrados en el artículo 4 de la precitada ley en los siguientes términos:
a) Principio de legalidad en materia de Tratamiento de datos
b) Principio de finalidad
c) Principio de libertad
d) Principio de veracidad o calidad
e) Principio de transparencia
f) Principio de acceso y circulación restringida
g) Principio de seguridad
h) Principio de confidencialidad
(…)
Consulta No.5. ¿ Ante una eventual petición de una grabación de un usuario, cual es el trámite correcto que le debo dar a esa petición?
Respuesta: El artículo 14 de la Ley 1581 de 2012 señala lo siguiente:
“Artículo 14. Consultas. Los Titulares o sus causahabientes podrán consultar la información personal del Titular que repose en cualquier base de datos, sea esta del sector público o privado. El Responsable del Tratamiento o Encargado del Tratamiento deberán suministrar a éstos toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular. La consulta se formulará por el medio habilitado por el Responsable del Tratamiento o Encargado del Tratamiento, siempre y cuando se pueda mantener prueba de ésta. La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término. Parágrafo. Las disposiciones contenidas en leyes especiales o los reglamentos expedidos por el Gobierno Nacional podrán establecer términos inferiores, atendiendo a la naturaleza del dato personal”.
En consecuencia, los titulares de los datos personales o sus causahabientes tienen derecho a solicitar consultas respecto a la información que reposa en las bases de datos públicas o privadas, para lo cual, los responsables y encargados deberán suministrar a éstos toda la información contenida en el registro individual.
Consulta No.6. ¿ le puedo entregar el video a un tercero?, que pasa si el tercero solicitante es quien protagoniza el video?, que pasa si en el video aparecen no sólo el tercero solicitante sino también otros terceros?
Respuesta: Reiteramos que los datos personales solo pueden suministrarse a: (i) el titular, sus causahabientes o representante legal, con el fin de garantizar el derecho fundamental de conocer donde se encuentra la información; (ii) a las entidades públicas o administrativas en ejercicio de sus funciones, y (iii) a un tercero previa autorización del titular o por la ley.
Ahora bien, el suministro de datos personales a terceros deberá contar con la autorización del titular y los responsables y encargados deben adoptar los procedimientos y las medidas necesarias para proteger los derechos de los demás Titulares cuyos datos personales han sido objeto de Tratamiento junto con los de quien solicita el acceso, para lo cual, puede requerir al Titular solicitante datos como fecha, hora, lugar, entre otros, para facilitar la ubicación de la imagen y limitar al máximo la exposición de imágenes de terceros.
Si en la imagen aparece un tercero titular de datos personales, se deberá contar con la autorización de dicho tercero para la entrega de la cinta o grabación y si no se cuenta con la misma, los Responsables y Encargados del Tratamiento deben garantizar la anonimización del dato del tercero, tomando medidas encaminadas a tal fin, como hacer borrosa o fragmentar la imagen de dicho tercero. (negrilla fuera de texto)
Consulta No.7. ¿ Qué pasa si el solicitante es un ente judicial o de seguridad del estado (Policía, Fiscalía)?
Respuesta: El artículo 10 de la Ley 1581 de 2012 señala los casos en que no es necesaria la autorización, entre ellos, lo siguiente: «a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.»
(…)
Por lo anterior, las autoridades administrativas podrán realizar el tratamiento de los datos personales sin autorización del titular, siempre y cuando la solicitud de información esté basada en una clara y específica competencia funcional de la entidad y garanticen la protección de los derechos de hábeas data del titular.
Las entidades públicas o los particulares que ejerzan funciones administrativas deberán cumplir especialmente con los siguientes principios, consagrados en el artículo 4 de la Ley 1581 de 2012:
«b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.»
Es decir, las entidades públicas y administrativas deben utilizar los datos personales únicamente para los fines que justificaron la entrega de los mismos, esto es, aquellos relacionados con la competencia funcional específica que motivó la solicitud de suministro del dato personal, e informar al titular el uso de los mismos.
Las entidades administrativas deben implementar las medidas técnicas, humanas y administrativas necesarias para garantizar la seguridad de los datos personales evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
En consecuencia, el tratamiento de datos personales por parte de las entidades públicas o administrativas requiere que la motivación de la solicitud de información personal esté basada en una clara y específica competencia funcional de la entidad, por lo cual adquiere la posición jurídica de usuario dentro del proceso de administración de datos personales, lo que le impone el deber de garantizar los derechos fundamentales del titular de la información, previstos en la Constitución Política para lo cual, la Corte Constitucional mediante Sentencia C-748 de 2011 establece que deberán: (i) guardar reserva de la información que les sea suministrada por los operadores y utilizarla únicamente para los fines que justificaron la entrega, esto es, aquellos relacionados con la competencia funcional específica que motivó la solicitud de suministro del dato personal; (ii) informar a los titulares del dato el uso que le esté dando al mismo; (iii) conservar con las debidas seguridades la información recibida para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento; y (iv) cumplir con las instrucciones que imparta la autoridad de control, en relación con el cumplimiento de la legislación estatutaria.
Consulta No.8. ¿ Si en las grabaciones ha quedado registrado un delito (ejemplo: robo) cometido contra mi institución o funcionario, o en caso de persona particular contra mi vivienda o contra mi o mis familiares), puedo hacer uso de esta información para una eventual demanda?
Respuesta: Como se indicó en la respuesta del primer interrogante, el tratamiento de datos personales, entre ellos el uso de los mismos, puede realizarse para una finalidad legítima en relación con la Constitución y la ley, por ejemplo para el esclarecimiento de la comisión de una posible conducta punible.
Fuente: http://serviciosweb.sic.gov.co/servilinea/ServiLinea/ConceptosJuridicos/documentos/17/17302045.PDF