Algunos aspectos de la protección de datos personales (Ley 1581 de 2012) a la propiedad horizontal

 

Hola a todos:

 

Los edificios y conjuntos sometidos al régimen de propiedad horizontal son sujetos responsables del tratamiento de datos personales, para los parámetros de la Ley Estatutaria 1581 de 2012. Bajo ese entendido, tenemos que en las copropiedades se dan muchas situaciones bajo las cuales se pueden dar uno o varios de los supuestos de tratamiento de datos (recolección, almacenamiento, uso, circulación o supresión) que requieren el cumplimiento de la normatividad correspondiente.

 

No solamente me refiero al manejo entre la copropiedad y el propietario o residente, como acreedor y como deudor, de las expensas comunes (cuotas ordinarias y extraordinarias de administración, multas y otros emolumentos), sino a la recolección de otros datos (números de identificación, datos sobre la composición de la familia incluyendo niños, niñas y adolescentes, residentes, trabajadores del servicio doméstico y otros dependientes, teléfonos de contacto, matrículas inmobiliarias, placas de vehículos, etc.), así como la recolección de la imagen a través de cámaras de seguridad y datos biométricos (huellas digitales, para controles de acceso por ejemplo).

 

Al efecto, proceden las siguientes explicaciones:

 

La Ley Estatutaria 1581 de 2012 (Por la cual se dictan disposiciones generales para la protección de datos personales) desarrolla el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el Art. 15 C.P., así como el derecho a la información consagrado en el Art. 20 C.P. (Art. 1º, ley 1581 de 2012).

 

Para ello, desarrolla unos principios rectores (Art. 4º, Ley 1581 de 2012), entre los cuales, para lo que aquí se debate, enuncia los siguientes:

 

·         Principio de legalidad en materia de tratamiento de datos (Lit. a, Art. 4º): el tratamiento de datos personales es una actividad reglada que debe sujetarse a lo establecido en la Ley 1581 de 2012 y en las demás disposiciones que la desarrollen (entre ellas, notoriamente, el Decreto 1377 de 2013).

 

·         Principio de finalidad (Lit. b, Art. 4º): el tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución Política y la Ley, la cual debe ser informada al titular.

 

·         Principio de libertad (Lit. c): el tratamiento solo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

 

·         Principio de transparencia (Lit. e): en el tratamiento debe garantizarse el derecho del titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.

 

·         Principio de acceso y circulación restringida (Lit. f): el tratamiento se sujeta a los límites que se deriven de la naturaleza de los datos personales, de las disposiciones de la Ley 1581 de 2012 y de la Carta Política. En este sentido, el tratamiento solo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la antedicha Ley 1581 de 2012.

 

·         Principio de seguridad (Lit. g): la información sujeta a tratamiento por el responsable del tratamiento o del encargado del tratamiento de datos personales, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

 

·         Principio de confidencialidad (Lit. h): todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligados a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo solo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las autorizadas por la Ley 1581 de 2012 y en los términos de la misma.

 

De los principios anteriormente enunciados, se derivan derechos y condiciones de legalidad (Art. 8º, Ley 1581 de 2012), de los cuales, para lo que aquí interesa, destaco específicamente los siguientes:

 

·         Conocer, actualizar y rectificar sus datos personales frente a los responsables o encargados del tratamiento de datos personales (Lit. a, Art. 8º, Ley 1581 de 2012).

 

·         Solicitar prueba de la autorización otorgada al responsable del tratamiento (Lit. b, Art. 8º, Ley 1581 de 2012), salvo cuando expresamente se exceptúe como requisito para el tratamiento, en los eventos previstos por el Art. 10 de la Ley 1581 de 2012 (entre éstos, información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial, Lit. a, Art. 10, Ley 1581 de 2012).

 

·         Ser informado por el responsable o encargado del tratamiento, previa solicitud, respecto del uso que se les ha dado a sus datos personales (Lit. c, Art. 8º, ley 1581 de 2012).

 

·         Presentar a la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012 y demás normas que la modifiquen, adicionen o complementen (Lit. d, Art. 8º, Ley 1581 de 2012).

 

·         Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales, o cuando no exista un deber legal o contractual que le imponga el deber de permanecer en la referida base de datos (Sentencia C – 748 del 6 de octubre de 2011, M.P.: Jorge Ignacio Pretelt Chaljub). Revocatoria y/o supresión que procederá igualmente cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento el responsable o encargado haya incurrido en conductas contrarias a la Ley 1581 de 2012 y a la Constitución Política (Lid. e, Art. 8º, Ley 1581 de 2012).

 

·         Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento (Lit. f, Art. 8º, ley 1581 de 2012).

 

La Ley 1581 de 2012 es enfática en requerir la autorización previa e informada del titular del dato, salvo las excepciones taxativas del Art. 10 de la misma Ley, autorización que deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior (Art. 9º, Ley 1581 de 2012).

 

El responsable del tratamiento, al momento de solicitar al titular la autorización del Art. 9º de la Ley 1581 de 2012, deberá informarle de manera clara y expresa: el tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo; el carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando éstas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes; los derechos que le asisten como titular; la identificación, dirección física o electrónica y teléfono del responsable del tratamiento. En todo caso, el responsable del tratamiento deberá conservar prueba del cumplimiento de lo aquí previsto y, cuando el titular lo solicite, entregarle copia de ésta (Art. 12, Ley 1581 de 2012).

 

En cuanto al suministro de la información, el Art. 11 de la Ley 1581 de 2012 indica que ésta podrá ser solicitada por cualquier medio, incluyendo los electrónicos, según lo requiera el titular. La información deberá ser de fácil lectura, sin barreras técnicas que impidan su acceso y deberá corresponder en un todo a aquella que repose en la base de datos. Esta información podrá suministrarse a las personas indicadas en el Art. 13 de la misma Ley, dentro de las cuales se destaca en primera medida, a los titulares, sus causahabientes o sus representantes legales (Lit a, Art. 13).

 

Para hacer efectivos los derechos de los titulares (o de sus causahabientes) a efectuar consultas y reclamos al responsable o responsable del tratamiento, la Ley 1581 de 2012 consagra:

 

Procedimiento para consulta de la información personal del titular que repose en la base de datos: formular la consulta por el medio habilitado por el responsable o encargado del tratamiento, siempre y cuando se pueda mantener prueba de ésta; la cual será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término (Art. 14, Ley 1581 de 2012).

 

Procedimiento para efectuar reclamos, cuando el titular o sus causahabientes consideren que la información en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta ley: presentar el reclamo ante el responsable o encargado del tratamiento, según los condicionamientos del Art. 15 de la Ley 1581 de 2012 (Núm. 1º y 2º).

 

El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuera posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término (Núm. 3º, Art. 15, Ley 1581 de 2012). El titular o causahabiente solo podrá elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante el responsable o encargado del tratamiento de datos (Art. 16, Ley 1581 de 2012).

 

Sobre los deberes de los responsables y encargados del tratamiento de datos, el Art. 17 de la Ley 1581 de 2012 les impone, entre otras obligaciones:

 

·         Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data (Lit. a, Art. 18, Ley 1581 de 2012).

 

·         Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento (Lit. b).

 

·         Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley 1581 de 2012, y en especial, para la atención de consultas y reclamos por parte de los titulares (Lit. f, Ley 1581 de 2012).

 

·         Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella (Lit. g, Art. 18, Ley 1581 de 2012).

 

A los fines de todo lo anteriormente explicado, se distingue entre el encargado (quien realice el tratamiento de datos por cuenta del responsable del tratamiento) y el responsable (quien por sí sola o en asocio con otros, decida sobre la base de datos y/o su tratamiento). Por base de datos, se entiende el conjunto organizado de datos personales que sea objeto de tratamiento; por dato personal, cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables; por tratamiento, cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión; por autorización, el consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales, y por titular, la persona natural cuyos datos personales sean objeto de tratamiento (Art. 3º, Ley 1581 de 2012).

 

De la misma forma, existe una categoría especial de datos denominados sensibles, esto es, aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos (Art. 5º, Ley 1581 de 2012).

 

Igualmente, en el tratamiento de datos se asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes, prohibiéndose su tratamiento de datos personales, salvo aquellos datos que sean de naturaleza pública.

 

La Superintendencia de Industria y Comercio, a través de su Delegatura para la Protección de Datos Personales, ejercerá la vigilancia para garantizar que en el tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la Ley 1581 de 2012 (Art. 19, Ibíd.), adelantando las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. Pudiendo disponer (siempre que se desconozca el derecho) que se conceda el acceso y suministro de los datos, la rectificación, actualización o supresión de los mismos (Lit. b, Art. 21, Ley 1581 de 2012), y solicitar a los responsables y encargados del tratamiento de datos la información que sea necesaria para el ejercicio efectivo de sus funciones (Lit. f, Art. 21, Ley 1581 de 2012).

 

En ejercicio de su función como autoridad de protección de datos, la Superintendencia de Industria y Comercio adoptará las medidas o impondrá las sanciones correspondientes (Art. 22, Ley 1581 de 2012), pudiendo imponer a los responsables o encargados del tratamiento, multas de carácter personal e institucional hasta por el equivalente de 2000 SMMLV al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó (Lit. a, Art. 23), con criterios de atenuación o agravación descritos en el Art. 24 siguiente.

 

En cuanto a su aplicación a los conjuntos y edificios sometidos al régimen de propiedad horizontal, la Superintendencia de Industria y Comercio ha impuesto cuantiosas multas a estas personas jurídicas. A modo de ejemplo, el 2 de mayo de 2019, ratificó una multa impuesta por valor de $78.124.200,oo al Edificio Carrera Séptima P.H., por no cumplir las normas de recolección de datos personales, después de haber realizado una visita de inspección en la cual se detectaron varias irregularidades: recolectar sin autorización de las personas sus datos como lo son las imágenes de fotos y las grabaciones de video vigilancia; no contar con mecanismos para garantizar la seguridad y confidencialidad de la información; no tener una política de tratamiento de datos que se ajustara a las exigencias de la Ley 1581 de 2012 y normas reglamentarias; no informar a los visitantes del edificio sobre sus derechos, finalidades y demás exigencias del Art. 12 de la Ley 1581 de 2012.

 

La multa pecuniaria inicialmente impuesta al Edificio Carrera Séptima P.H., había sido definida por la Superintendencia en la suma de $124.998.720,oo (Resolución 43530 del 22 de junio de 2018).

 

La Superintendencia recordó que los edificios de oficinas o conjuntos residenciales que se someten al régimen de propiedad horizontal son personas jurídicas responsables del tratamiento de los datos que recolectan, almacenan o usan sobre todas las personas que ingresan a sus instalaciones. Por lo tanto, son sujetos responsables y encargados del tratamiento de datos personales, sometidos a los mandatos de la Ley 1581 de 2012 so pena de enfrentar las respectivas sanciones.[1]

 

Como autoridad de control, la Superintendencia de Industria y Comercio ha sancionado a las siguientes propiedades horizontales: Centro Comercial Puerta del Norte P.H., por $6.443.500,oo (Resoluciones 79622 del 30 de septiembre de 2015, y 76272 del 3 de noviembre de 2016); Edificio Monserrat 74 P.H. (Resolución 60460 del 25 de septiembre de 2017); y Edificio Generali – P.H., por $62.499.360,oo (Resoluciones 29407 del 30 de abril de 2018 y 13622 del 14 de mayo de 2019).

 

Mediante Resolución 76296 del 26 de diciembre de 2019 (Agrupación Oviedo I Etapa P.H.), la Superintendencia indicó que el Consejo de Administración de una propiedad horizontal no puede tomar decisiones que puedan ir en contra de los preceptos de la Ley 1581 de 2012, como la instalación de cámaras de seguridad sin el cumplimiento de los requerimientos legales.

 

Para esta Superintendencia (Resolución 13622 del 14 de mayo de 2019, Edificio Generali – P.H.), es claro que quien recolecte datos de naturaleza semiprivada, privada y sensible, deberá contar con la autorización previa, expresa e informada del titular, correspondiéndole al responsable del tratamiento demostrar que informó todo lo que ordena el Art. 12 de la Ley 1581 de 2012.

 

Quien considere que se le ha vulnerado su derecho fundamental de hábeas data podrá optar por una de las siguientes dos opciones: presentar acción de tutela ante la jurisdicción ordinaria, o iniciar una actuación administrativa ante la SIC. No puede acudir a ambas instancias contra el mismo demandado por idénticos hechos y con igual objeto o propósito porque se desconocería el principio non bis in ídem y, por ende, el derecho al debido proceso del Art. 29 C.P. (Resolución 61541 del 7 de noviembre de 2019, Comcel S.A.; Resolución 61542 del 7 de noviembre de 2019, Yanbal S.A.S., Resolución 75461 del 19 de diciembre de 2019, Comcel S.A.).

 

La misma Superintendencia también ha determinado que la responsabilidad jurídica y económica frente al tratamiento de datos personales radica no solo en la persona jurídica, sino también en cabeza de sus administradores, quienes deben obrar con profesionalismo y diligencia en su gestión para el debido tratamiento de datos personales (Resolución 4082 del 21 de febrero de 2019, Bancolombia S.A., Resolución 9804 del 25 de abril de 2019, Travel Link S.A.S., Resolución 5501 del 7 de marzo de 2019, DirecTV Colombia Ltda., todas en trámite de recurso de apelación).

 

Cabe señalar que doctrinal y jurisprudencialmente existen tres categorías de datos personales: íntimos y privados (tienen como principal característica que pertenecen e interesan única y exclusivamente a la persona sobre la cual recae la información); semiprivados (datos que aun cuando tienen un carácter privado, solo le interesan al titular y a un grupo determinado de personas, las cuales pueden consultar la información mediando una autorización. Ejemplo típico: historias crediticias que administran las centrales de riesgo); y públicos (aquellos que conciernen a un interés general, tales como los documentos públicos, sentencias judiciales, los relativos al estado civil de las personas, entre otros. Ejemplos: el número de la cédula de ciudadanía,[2] la matrícula inmobiliaria de un inmueble). Aclarando que el teléfono fijo no es un dato público per se,[3] y que el carácter público del número de identificación, se extiende a los nombres, apellidos, lugar y fecha de expedición del documento, mientras que los datos semiprivados serían la fecha y lugar de nacimiento; y los datos privados, la dirección de residencia y teléfono.[4]

---

[1] https://www.sic.gov.co/Superindustria-exige-a-edificios-y-conjuntos-residenciales-cumplir-con-normas-de-proteccion-de-datos-personales

[2] Superintendencia de Industria y Comercio (n.d.). Protección de datos personales: aspectos prácticos sobre el derecho de hábeas data. Págs. 5 – 6. Recuperado de: https://www.sic.gov.co/sites/default/files/files/Nuestra_Entidad/Publicaciones/Aspectos_Derecho_de_Habeas_Data.pdf

[3] Archila, Emilio José (2016, abril 11). El teléfono no es un dato público per se. Asuntos Legales. Recuperado de: https://www.asuntoslegales.com.co/analisis/emilio-jose-archila-533671/el-telefono-fijo-no-es-un-dato-publico-per-se-2367136

[4] Registraduría Nacional del Estado Civil (n.d.). Protección de datos personales. Pág. 2. Recuperado de: https://www.registraduria.gov.co/IMG/pdf/Folleto_web.pdf