22 de Noviembre de 2024 /
Actualizado hace 14 minutos | ISSN: 2805-6396

Openx ID [25](728x110)

1/ 5

Noticias gratuitas restantes. Suscríbete y consulta actualidad jurídica al instante.

Opinión / Columnista Online

La incertidumbre jurídica de la corresponsabilidad en el tratamiento de datos en Colombia

208961

Heidy Balanta

Consultora en protección de datos

Directora de Escuela de Privacidad

La reciente interpretación de la Superintendencia de Industria y Comercio sobre la corresponsabilidad en el tratamiento de datos personales ha generado incertidumbre jurídica, especialmente para los administradores societarios. La Circular Externa 003 del 2024 es la primera disposición que en Colombia alude al concepto de corresponsabilidad en el tratamiento, un concepto que, si bien no es ajeno al régimen de protección de datos personales en otras jurisdicciones, en Colombia no ha sido incorporado ni por el legislador ni por el Gobierno en el ejercicio de la potestad reglamentaria.

En Colombia, la Ley 1581 del 2012 no menciona explícitamente la corresponsabilidad. No obstante, la SIC ha interpretado que este concepto está implícito en la definición de responsable del tratamiento, según el literal e) del artículo 3 de la Ley 1581 del 2012, que lo define como la persona natural o jurídica, pública o privada, que, por sí misma o en conjunto con otros, decide sobre la base de datos y el tratamiento de los datos.

Teniendo en cuenta que la figura de la corresponsabilidad del tratamiento que la SIC incorpora ha sido retomada del RGPD, es importante destacar que el Comité Europeo de Protección de Datos Personales ha entendido que para validar que exista corresponsabilidad se deben evaluar los siguientes criterios: i) tener la calidad de responsable del tratamiento, ii) atribuir a más de una parte los fines y los medios que caracterizan la responsabilidad del tratamiento, iii) la determinación de los objetivos se debe hacer de forma conjunta y iv) debe considerarse la realidad sobre la formalidad (Directrices 07 del 2020).

Aplicación práctica de la corresponsabilidad en Colombia y el principio de responsabilidad proactiva y su impacto en los administradores societarios

La interpretación de corresponsabilidad del tratamiento a partir de la definición del responsable del tratamiento ha sido aplicada en algunas órdenes administrativas, reconociendo la corresponsabilidad en situaciones específicas. Un ejemplo es el caso de Facebook Colombia SAS, donde la SIC concluyó que, aunque formalmente la filial no realizaba el tratamiento de datos de manera independiente, en la práctica participaba en dicho tratamiento, como parte de la estrategia global de la empresa matriz.

De manera consistente con la responsabilidad que recae sobre los administradores societarios, la Superintendencia de Industria y Comercio, a través de sus órdenes administrativas y resoluciones de sanción, ha impuesto medidas contra empresas que incurren en prácticas lesivas a la protección de datos personales, exhortando a los administradores a cumplir con estas normas, especialmente a implementar prácticas proactivas y preventivas para garantizar la protección del derecho fundamental a la protección de los datos personales (principio de accountability) (por ejemplo, la Resolución 72126 del 2023).

Cambio de postura de la SIC en la Circular Externa 003 del 2024

En un cambio de postura sustantivo, en un contexto no precedido de cambios normativos, la SIC, en la Circular Externa 003 del 2024, concluyó que los administradores societarios ahora serán considerados corresponsables del tratamiento de datos cuando el administrador determine en conjunto con la persona jurídica los medios o los fines en una operación de tratamiento específica. Esto implica que si el administrador influye o decide sobre cómo deben gestionarse los datos en nombre de la empresa, puede ser considerado corresponsable.

La figura del corresponsable del tratamiento no se aplica a los administradores societarios en las legislaciones de protección de datos; más bien, se dirige a los responsables del tratamiento, que generalmente son personas jurídicas y las personas naturales que en el giro de los negocios administran datos personales. De hecho, el Comité Europeo de Protección de Datos Personales excluye ese escenario, al indicar que no existen restricciones en relación con el tipo de ente que puede asumir la función de responsable del tratamiento, “pero en la práctica suele tratarse de la propia organización como tal y no de una persona dentro de esta, por ejemplo, el director general, un empleado o un miembro del consejo” (Directrices 07 del 2020).

Naturaleza jurídica de la relación entre administradores societarios y la corresponsabilidad

Entre tanto, el artículo 22 de la Ley 222 de 1995 establece que son administradores el representante legal el liquidador, el factor, los miembros de juntas o consejos directivos y quienes, de acuerdo con los estatutos, ejerzan o detenten esas funciones. Por lo cual, si el administrador societario, en ejercicio de sus funciones, define los fines y medios del tratamiento, lo hará en nombre de la persona jurídica y no en su propio nombre. Es decir, el administrador no actúa como persona natural en estas decisiones, sino en representación de la entidad. Si lo hiciera para sí mismo, no estaría actuando como administrador, sino como persona natural, y sería civilmente responsable por el incumplimiento de normativas de protección de datos personales y eventualmente respondería penalmente por el delito de violación de datos personales.

En este sentido, sin que sea necesario profundizar sobre la naturaleza jurídica de la relación entre el administrador societario y la sociedad, ya sea en la medida en que esta sea del mandato con representación o de naturaleza orgánica, el administrador actúa en virtud de los deberes y atribuciones asignadas por los socios, los estatutos o la ley, siempre comprometiendo con su actuar la responsabilidad de la persona jurídica. Solo responde a título personal cuando su actuación se desprende de las atribuciones otorgadas, sea porque actúa en ultra vires o porque lo hace en conflicto con los intereses de la sociedad. De lo contrario, cualquier decisión tomada en el marco de sus responsabilidades será atribuible a la persona jurídica.

Nuevas obligaciones para los administradores societarios

Si el administrador societario es corresponsable del tratamiento, se abren una infinidad de nuevas obligaciones para él, ya que tendría la calidad de responsable del tratamiento y como tal deberá cumplir con las obligaciones establecidas en el artículo 17 de la Ley 1581 del 2012, entre otras: a) solicitar y conservar copia de la respectiva autorización otorgada por el titular, b) tramitar las consultas y reclamos, c) adoptar un manual interno de políticas y procedimientos en protección de datos, d) informar, a solicitud del titular, sobre el uso dado a sus datos, y en general, todas las responsabilidades que derivan del régimen normativo de protección de datos personales.

La corresponsabilidad comenzó a ser aplicada por la SIC en sus instrucciones dirigidas a la Rama Judicial

La Circular 003 del 2024 comenzó a aplicarse mediante un oficio emitido por la SIC el 20 de septiembre de 2024, dirigido a la presidenta del Consejo Superior de la Judicatura, en el cual exhortó a los magistrados del Consejo Superior de la Judicatura a cumplir con las medidas del régimen de protección de datos personales. Un detalle notable es que el exhorto está encabezado por el título en mayúsculas "CORRESPONSABILIDAD".

Aplicar la corresponsabilidad a los magistrados del órgano de gobierno judicial, para deducir la corresponsabilidad del tratamiento pretendida por la SIC, exigiría demostrar que estos magistrados utilizaron los datos de los ciudadanos y otras partes interesadas para su beneficio personal y que, junto con el Consejo Superior de la Judicatura, definieron los medios (sistemas de información, almacenamiento, software) para tratar esos datos. Este escenario es altamente hipotético y, de registrarse, respondería personalmente el funcionario que incurra en tal práctica. Es probable que no sea la intención de la circular adoptar este enfoque, pero la confusión sobre la figura de corresponsabilidad en el tratamiento genera válidas confusiones hermenéuticas sobre las que se llama la atención.

Propuesta positiva y desafíos futuros de la SIC

Por último, la circular tiene una intención positiva, considerando que algunas organizaciones sancionadas no parecen afectadas por estas sanciones y son reiterativas en sus incumplimientos, evidenciando desinterés por los derechos de los titulares de los datos y la protección efectiva de los datos personales. Desde esta perspectiva, la SIC podría estar buscando nuevas herramientas para hacer cumplir la ley a través de los administradores societarios y explorar enfoques alternativos, sin embargo, la corresponsabilidad del tratamiento no es una solución adecuada.

Es esencial que la legislación colombiana avance hacia la incorporación de estas nuevas figuras en el tratamiento de datos, proporcionando mayor claridad en la delimitación de roles y responsabilidades. Asimismo, es necesario precisar en qué circunstancias se configura la corresponsabilidad, con el fin de evitar confusiones jurídicas y garantizar una aplicación coherente de la ley.

Gracias por leernos. Si le gusta estar informado, suscríbase y acceda a todas nuestras noticias, con los datos identificadores y documentos sin límite.

Paute en Ámbito Jurídico

Siga nuestro canal en WhatsApp.

Opina, Comenta

Openx inferior flotante [28](728x90)

Openx entre contenido [29](728x110)

Openx entre contenido [72](300x250)