¿Cómo solicitar y manejar las autorizaciones para el tratamiento de datos personales?

En muchas ocasiones las organizaciones no le dan la suficiente importancia a este aspecto de la protección de datos personales; pues, lo consideran como algo simple que no amerita la demasiada atención; no obstante, al observar los resultados de las auditorías que practica la Superintendencia de Industria y Comercio (SIC) se observa que en innumerables ocasiones es tal desatención la que origina problemas dentro de la gestión de tratamiento de datos, y genera las inevitables sanciones económicas. ¿Pero en qué se falla?  

Para resolver esa pregunta primero se debe entender que una autorización de tratamiento va más allá de la simple respuesta sí o no, la cual se da ante el requerimiento que nos hace un tercero para que autoricemos el uso de nuestra información personal; y más bien es el acto de consentimiento que resulta de las siguientes tres etapas: 1) El titular de los datos es informado acerca de lo siguiente: finalidad del tratamiento, quién se hará responsable de la información, qué derechos le asistirán en el futuro al titular, y cómo podrá ejercerlos. 2) Se crea una evidencia escrita, verbal o mediante acción inequívoca, que sirve para probar que efectivamente el titular autorizó el tratamiento de sus datos. 3) Ocurre cuando se almacena la  evidencia mencionada de una forma segura y organizada, facilitando con ello que se pueda realizar una posterior consulta. 

El hecho de comprender la importancia de los anteriores tres requerimientos dentro del proceso de gestión supondrá planear en forma eficiente la presentación de la solicitud y la forma de almacenar y custodiar cada autorización.

Enfocándonos propiamente en las fallas, es muy habitual que se cometan las siguientes:

• Crear avisos de privacidad sin cumplir con el contenido mínimo necesario: En este aspecto se debe entender que el aviso no solo debe informar la finalidad del tratamiento de datos sino exponer los términos y condiciones de él, esto justo antes que el titular tome una decisión.  Un ejemplo habitual de este error ocurre en los sitios Web que tienen formularios de inscripción de personas; por regla, muy cerca del botón que inicia el proceso de envío de información debe existir un link con un aviso que diga “Políticas de Privacidad”, dicho link le permitirá al usuario leer los términos con los cuales entregará sus datos; sin embargo, al observar diferentes sitios, uno ve que tales políticas no existen, o éstas se encuentran en una sección diferentes a la del formulario, por lo que al usuario no se le facilita leerlas.
• La finalidad explicada no corresponde con los datos solicitados: Es indispensable guardar proporcionalidad entre los datos requeridos y el propósito de su uso; pues, no es válido solicitar información que no guarda relación con la actividad planeada. Para entender lo anterior observemos el ejemplo de un Gimnasio de acondicionamiento físico que exige a sus clientes registrar las diferentes afecciones de salud que tienen para poder participar en los diferentes programas de ejercicio. Aquí aparentemente el requerimiento estaría fundamentado en evitar que la salud del cliente se deteriore con un ejercicio determinado; sin embargo esta solicitud de información está fuera del contexto legal; dado que,  el objeto social del gimnasio no es determinar el estado de salud del cliente sino prestar un servicio de acondicionamiento físico, con lo que valdría tan solo indagar si se tiene o no una indicación médica que limite un programa de ejercicio determinado.

• No se explica la finalidad: En innumerables situaciones las organizaciones piensan que sus procesos internos no obedecen a alguna regla en particular, por lo que simplemente los realizan. Un ejemplo de esto ocurre a menudo con lectores biométricos usados a la entrada de alguna instalación. El elemento de seguridad simplemente está ahí, y el personal coloca su huella para ingresar porque así se lo ordenaron. En observancia de la Ley, debería existir un aviso de privacidad que indique las razones para que la empresa capture y valide la huella digital de sus empleados. En este caso razones específicas de seguridad o control de acceso a ciertos puntos críticos son razones válidas, contrario al control del tiempo de ingreso y asistencia; pues, tal como lo dice la corte constitucional, la lectura biométrica para controlar la asistencia es desproporcionada a la finalidad buscada.
• No se guarda adecuadamente la autorización: Se debe conservar una prueba, que pueda ser consultada en cualquier momento, la cual demuestre que el titular autorizó el tratamiento de sus datos, y deben existir medios para recuperarla en caso de destrucción o pérdida. En el ejemplo aplicable, una organización almacena las autorizaciones escritas de sus clientes en una carpeta identificada como “Autorizaciones” sin embargo al momento de una auditoría de la SIC la organización indica que dicha carpeta  se perdió seguramente por un accidente que la llevó a la basura. Por supuesto que la SIC preguntará: ¿cuáles son los protocolos para recuperar la información en caso de pérdida? Aquí se tendría que haber pensado en una digitalización de los documentos almacenados con copia de respaldo, un almacenamiento adicional de copias impresas, etc. No disponer de estas medidas asegurará una sanción por inadecuado almacenamiento y resguardo de los documentos.

Se debe recordar que la autorización debe ser conservada mientras se tengan almacenados los datos personales del titular, con lo cual ésta solo podrá ser destruida una vez que la información personal de la persona en cuestión haya sido eliminada, sea porque ella misma lo solicitó o porque la Ley así lo determina. Por ejemplo el decreto 1071 establece que: los registros y documentos de los trabajadores que soportan el Sistema de Gestión de Seguridad y Salud en el Trabajo deben ser conservados durante 20 años a partir del cese de la relación laboral con el empleado, por lo que la autorización de tratamiento otorgada deberá conservarse por ese mismo término.

Tenga en cuenta que es una obligación para toda organización contar con procedimientos claros que expliquen cómo se solicita y conserva cada autorización que se ha recibido de los titulares de datos personales, dichos procedimientos le serán solicitados por la SIC.