Superintendencia del Subsidio Familiar

CIRCULAR EXTERNA 19 DE 2013

(Noviembre 21)

Asunto: Cumplimiento de las normas contenidas en el régimen de protección de datos personales —L. 1581/2012— Decreto 1377 de 2013.

La Superintendencia del Subsidio Familiar, en ejercicio de la facultad prevista en el numeral 4º del artículo 24 de la Ley 789 de 2002 advierte a las cajas de compensación familiar acerca de la importancia del cumplimiento de las disposiciones previstas en la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013 en materia de protección de datos personales.

Al respecto, es importante precisar que la protección de datos personales está estrechamente vinculada a los derechos fundamentales a la intimidad y la información previstos en los artículos 15 y 20 de la Constitución Política. El derecho al habeas data o la protección de datos personales es un derecho autónomo que tiene el carácter de fundamental y otorga la facultad al titular de los datos personales de exigir a las administradoras de datos personales el acceso, inclusión, exclusión, corrección, adición, actualización y certificación de los datos, así como la limitación en las posibilidades de divulgación, publicación, o cesión de los mismos conforme a los principios que informan el proceso de administración de datos personales.

En efecto, tal como lo precisó la Corte Constitucional mediante Sentencia C-748 de 2011, dentro de las prerrogativas —contenidos mínimos— que se desprenden de este derecho encontramos por lo menos las siguientes:

“(i) el derecho de las personas a conocer —acceso— la información que sobre ellas está recogida en bases de datos, lo que conlleva el acceso a las bases de datos donde se encuentra dicha información; (ii) el derecho a incluir nuevos datos con el fin de se (sic) provea una imagen completa del titular; (iii) el derecho a actualizar la información, es decir, a poner al día el contenido de dichas bases de datos; (iv) el derecho a que la información contenida en bases de datos sea rectificada o corregida, de tal manera que concuerde con la realidad; (v) el derecho a excluir información de una base de datos, bien porque se está haciendo un uso indebido de ella, o por simple voluntad del titular —salvo las excepciones previstas en la normativa—”.

La Ley 1581 de 2012 introduce principios y reglas generales destinadas a garantizar el contenido mínimo del citado derecho. La Ley 1581 de 2012, es de carácter general aplicable a todos los datos personales que, tal como quedó consignado en su exposición de motivos, responde a la necesidad que “(...) el país cuente con una legislación integral y transversal que garantice la protección efectiva de los datos personales en todo el proceso de tratamiento”.

En desarrollo de las funciones que el artículo 16 de la Ley 780 de 2002 atribuye a las cajas de compensación familiar, especialmente las relacionadas con el desarrollo de actividades de aseguramiento y prestación de servicios de salud, mercadeo social, actividades de subsidio en dinero; recreación social, deportes, turismo, centros recreativos y vacacionales; cultura, museos, bibliotecas y teatros; vivienda de interés social; créditos, jardines sociales o programas de atención integral para niños y niñas de 0 a 6 años; programas de jornada escolar complementaria; educación y capacitación; atención de la tercera edad y programas de nutrición materno-infantil, así como para el desarrollo de la base de datos histórica contentiva del registro de los trabajadores que han sido beneficiarios de los programas desarrollados, las cajas de compensación familiar deben dar cumplimiento a las reglas previstas en las leyes 1266 de 2008, 1581 de 2012 y el Decreto Reglamentario 1377 de 2013.

En consecuencia, las cajas de compensación familiar deberán revisar los procedimientos que realizan para la recolección y tratamiento de datos de personas naturales en ejercicio de las funciones arriba descritas, con el objeto de establecer el rol que desarrollan frente a la información recopilada, esto es responsable o encargado de la información, la naturaleza de los datos contenidos en las diferentes bases o registros que se manejan, así como los contratos que se celebran con terceros para la gestión y almacenamiento de la información, a efectos de identificar las acciones que se deben implementar para dar cabal cumplimiento al régimen de protección de datos personales contenido en la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013.

Establecido lo anterior a continuación procedemos a efectuar una síntesis de las obligaciones más importantes que deben ser cumplidas por parte de las cajas de compensación a efectos de garantizar la implementación de la Ley 1581 de 2012 en cada una de las organizaciones:

1. Implementación de un área o dependencia proporcional al tamaño de cada caja de compensación, que será responsable de la adopción y cumplimiento de las obligaciones previstas en la Ley 1581 de 2012 y su Decreto Reglamentario 1377 de 2013.

2. En los eventos en los que resulte necesario, la puesta a disposición de formatos de autorización para el tratamiento de los datos personales con el cumplimiento de los requisitos establecidos en los artículos 12 de la Ley 1581 de 2012 y 5º y 7º del Decreto Reglamentario 1377 de 2013.

3. Definición de mecanismos de conservación respecto de la autorización otorgada por los titulares de la información, que garanticen la consulta posterior de dicha autorización.

4. Contar con una dependencia o área al interior de cada organización que garantice la atención de las solicitud de acceso, rectificación, actualización, supresión de datos o revocatoria del consentimiento dentro de los términos y con observancia del procedimiento establecido en los artículos 14 y 15 de la Ley 1581 de 2012.

5. Elaboración de una política interna para el tratamiento de los datos personales recogidos. Dicha política deberá contener como mínimo los requisitos establecidos en el artículo 13 del Decreto Reglamentario 1377 de 2013.

6. Implementar medidas técnicas y administrativas para garantizar la seguridad de los datos recogidos y que eviten su adulteración, pérdida o acceso no autorizados.

7. Adoptar un manual interno de procedimientos para garantizar el adecuado cumplimiento de la Ley 1581 de 2012.

N. del D.: La presente circular externa va dirigida a cajas de compensación familiar, directores administrativos.