Retos que tiene el nuevo Superintendente Delegado para la Protección de Datos Personales en Colombia
octubre 24, 2018
Segunda fecha de vencimiento de registro de Bases de Datos ante el RNBD
noviembre 5, 2018
Desde que se expidió la Ley 1581 de 2012, la Superintendencia de Industria y Comercio, ha sancionado a Siete (7) Instituciones Educativas, para un total de $ 1.065.753.760. El principal motivo de sanción, es por no obtener la autorización expresa para el tratamiento de datos personales.
Las instituciones educativas, ya sean Colegios, Universidades, Jardines Infantiles, y en general, otras instituciones de educación técnica y media, tienen un reto fundamental en la protección de los datos personales de sus estudiantes, en especial, cuando estos son menores de edad, debido a las restricciones que trae la ley en la recolección de este tipo de datos personales.
Desde que se expidió la ley 1581 de 2012, la Superintendencia de Industria y Comercio ha sancionado a siete (7) instituciones educativas por incumplimiento del régimen de protección de datos personales, y a una (1) institución le ha impuesto una orden administrativa. Al revisar las resoluciones de imposición de las sanciones, parece un común denominador de la Superintendencia, realizar visitas de Inspección a instituciones educativas, que en la mayoría de los casos, no contaban con ningún tipo de control para el cumplimiento del régimen de protección de datos personales.
Las principales conductas desplegadas por las instituciones educativas, y que son fuente de sanción por parte de la Superintendencia, son: Recolectar datos personales a través de los formatos de admisión físicos o electrónicos, sin contar con la autorización del titular, y no contar con los respectivos canales de atención para la atención de consultas y reclamos.
Los deberes que incumplen las instituciones educativas en materia de protección de datos personales, son los siguientes:
- Efectuar la recolección de datos de estudiantes y padres de familia a través de formularios físicos y electrónicos sin contar con la autorización previa y expresa, o en su defecto, no conservar copia de la autorización para el tratamiento de datos personales.
- No contar con un manual interno de Políticas y Procedimientos, donde documente el procedimiento para la atención de quejas y reclamos.
- No contar con una Política de tratamiento de datos personales, ni con aviso de privacidad.
- Enviar correos electrónicos con fines comerciales, sin contar con autorización expresa por parte del titular para el envío de información.
- No dar trámite a las solicitudes de supresión de información.
- Por último el no contar con las respectivas cláusulas de tratamiento de datos con el personal administrativo y docente, así como las cláusulas de confidencialidad.
Recordamos algunas recomendaciones básicas que deben tener en cuentas las instituciones educativas:
Tenga cuidado al divulgar las calificaciones de los estudiantes.
Las notas académicas o calificaciones, son consideradas datos personales de carácter semiprivado, es decir, solo puede acceder a ellas el titular o quien éste autorice. Esto significa que no podrán estar públicas en carteleras o para consulta abierta, donde otros estudiantes puedan conocerlas. La institución educativa debe disponer de mecanismos que permitan que solo el titular y el acudiente puedan acceder a este tipo de información.
La Superintendencia de Industria y Comercio, ha manifestado que las calificaciones se podrán entregar:
“1. Al estudiante, en ejercicio de su derecho de acceso y consulta.
2. A un tercero con previa autorización del estudiante, donde sea manifiesta la finalidad de uso de dicha información (por ejemplo, para su evaluación en un proceso laboral)”.[1]
Tenga en cuenta si el estudiante es menor o mayor de edad para la autorización del tratamiento de datos personales.
Uno de los aspectos retadores que tienen las instituciones educativas, es el tratamiento de datos personales de niñas, niños y adolescentes, debido a que la legislación establece que queda proscrito el tratamiento de datos personales de menores de edad, salvo aquellos datos que sean de naturaleza pública, y que respondan y respeten el interés superior de los niños, niñas y adolescentes, y que aseguren el respeto de sus derechos fundamentales.
Si se cumplen los criterios anteriormente mencionados, el representante legal del niño, niña o adolescente debe otorgar la autorización para el tratamiento de datos del menor. Resulta que, debido a las actividades diarias que realizan las instituciones educativas, es muy complejo solicitar de manera permanente la autorización para el tratamiento de datos personales a los representantes legales del menor, debido a lo anterior, la Superintendencia de Industria y Comercio ha manifestado, que los adolescentes (Mayor de 12 años y menor de 18 años) puede otorgar directamente la autorización, sin requerir al representante legal. En el resto de los casos, si el menor tiene menos de 12 años, la institución educativa requiere la autorización para el tratamiento de datos personales por parte del representante legal.
Implemente un programa de protección de datos personales.
Las instituciones educativas deben implementar un programa de protección de datos, donde como mínimo, debe contar con una Política de Tratamiento de Datos Personales, un Manual Interno de procedimientos relativos al manejo de información personal y contar con todas las autorizaciones para el tratamiento de datos personales por parte de estudiantes, acudientes, empleados administrativos, docentes, proveedores, contratistas, entre otros. Por último, tenga en cuenta las buenas prácticas de protección de información personal. Por ende, evite publicar en redes sociales o sitios web información personal, como puede ser fotografía y videos sin contar, con la autorización del titular para su obtención, captura, y divulgación; y capacite y sensibilice a docentes, estudiantes, trabajadores administrativos e incluso a los padres de familia sobre buenas prácticas en la protección de la información personal.
