La Delegatura para la Protección de Datos Personales de la SIC recordó las obligaciones que bajo la Ley 1581 de 2012 tienen los responsables del tratamiento de datos personales, en lo que respecta a Política de Tratamiento de Datos Personales y su contenido mínimo.
Consideraciones de la DIAN
A la luz del literal k) del artículo 17 de La Ley 1581 de 2012, los responsables del tratamiento de datos personales tienen la obligación de “[a]doptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos”.
Al respecto, el artículo 2.2.2.25.3.1 del Decreto Único Reglamentario 1074 de 2015 señala que los Responsables del Tratamiento deberán (i) escribir sus políticas para el tratamiento de los datos personales; (ii) implementarlas en medio físico o electrónico, en un lenguaje claro y sencillo; y (iii) ser puestas en conocimiento de los Titulares. El artículo también especifica la información que debe incluir en la política, que en ningún caso debe ser inferior a lo establecido en dicha norma, de conformidad con el artículo 25 de la Ley 1581 de 2012.
Según esta norma:
Artículo 2.2.2.25.3.1.Políticas de Tratamiento de la información.Los responsables del tratamiento deberán desarrollar sus políticas para el tratamiento de los datos personales y velar porque los Encargados del Tratamiento den cabal cumplimiento a las mismas.
Las políticas de tratamiento de la información deberán constar en medio físico o electrónico, en un lenguaje claro y sencillo y ser puestas en conocimiento de los Titulares. Dichas políticas deberán incluir, por lo menos, la siguiente información:
-
- Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del Responsable.
- Tratamiento al cual serán sometidos los datos y finalidad del mismo cuando esta no se haya informado mediante el aviso de privacidad.
- Derechos que le asisten como Titular.
- Persona o área responsable de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización.
- Procedimiento para que los titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización.
- Fecha de entrada en vigencia de la política de tratamiento de la información y período de vigencia de la base de datos.
Cualquier cambio sustancial en las políticas de tratamiento, en los términos descritos en el artículo 2.2.2.25.2.2. del presente Decreto deberá ser comunicado oportunamente a los titulares de los datos personales de una manera eficiente, antes de implementar las nuevas políticas
(…)
Una característica fundamental de estas políticas es que deben ser transparentes y de fácil acceso para los titulares, independientemente de su perfil, edad o idioma. Deben evitarse lenguajes legales, técnicos o ambiguos, garantizando que todos los destinatarios puedan entenderlas. Además, los responsables del tratamiento deben informar a los titulares sobre la política en el momento de la recolección de datos personales.
Por otra parte, estas políticas tienen un propósito claro: permitir a los titulares pedir cuentas a los Responsables del Tratamiento, controlar el uso de sus datos y ejercer sus derechos de acceso, actualización, supresión, rectificación y revocación de la autorización. En última instancia, las políticas de tratamiento de datos personales buscan proteger el derecho de habeas data de los titulares y asegurar el cumplimiento de los principios de privacidad.
SIC, Delegatura para la Protección de Datos Personales. Resolución 77654 de 2022
