Organizaciones de la sociedad civil rechazan circular de la SIC sobre uso de datos personales para controlar la pandemia
Bogotá, Marzo 27 de 2020.
A propósito de la emergencia ocasionada por la pandemia COVID-19, la Superintendencia de Industria y Comercio (SIC) expidió la Circular Externa 001 del 23 de Marzo de 2020 donde se refiere al “suministro de información al Departamento Nacional de Planeación (DNP) y demás entidades estatales que las requieran para atender, prevenir, tratar o controlar la propagación del COVID-19 (coronavirus) y mitigar sus efectos”.
De acuerdo con lo manifestado por la alcaldesa de Bogotá, Claudia López, el cheque en blanco que firma el Superintendente tenía como propósito asegurarse de que los operadores de telefonía entregaran al Departamento Nacional de Planeación los teléfonos de los beneficiarios del Sisben con el fin de desplegar la ayuda social que la emergencia amerita. Aunque el acceso a este tipo de información con dicho fin es razonable, el alcance de la Circular es mucho mayor. Además, es sorprendente que las autoridades no tuvieran la información necesaria para ponerse en contacto con las personas que deben recibir las ayudas humanitarias.
Las organizaciones firmantes somos conscientes de que un estado de emergencia como el que se está viviendo a causa de la pandemia del COVID-19 requiere medidas excepcionales por parte de los gobiernos. Tal y como lo recordaron los relatores especiales de derechos humanos de las Naciones Unidas, toda respuesta de los Estados debe ser “proporcionada, necesaria y no discriminatoria”.
Distintas Cortes en el mundo han considerado que el acceso a información que tienen las compañías de telefonía fija y celular debe darse con las mayores garantías para evitar la vigilancia indebida. A manera de ejemplo, la Corte Suprema de los Estados Unidos indicó que la información de localización que tienen estas empresas sólo podría obtenerse por medio de orden judicial. Por su parte, el Tribunal Europeo de Derechos Humanos consideró que el sistema de vigilancia masiva del Reino Unido violaba la libertad de expresión porque no establecía garantías para evitar el acceso y uso abusivo a información protegida por la reserva de las fuentes periodísticas. En el marco de la pandemia, el Comité Europeo de Protección de Datos personales ha dicho que la información de localización que obtengan las autoridades debe procesarse de forma anónima, con el fin de analizar patrones de concentración de las personas. Según esa entidad, cualquier medida de procesamiento de información no anonimizada tiene que establecer garantías adecuadas.
Teniendo esto en cuenta y frente a la Circular emitida por la SIC, nos permitimos manifestar:
- Los operadores de telefonía fija y celular tienen una gran cantidad de información con respecto a la localización, identificación y comunicaciones de sus usuarios. El acceso irrestricto a este tipo de datos, a pesar del rol que pueda tener en la atención de la pandemia, implica riesgos de discriminación, de vigilancia indebida, de invasión de la privacidad y de protección de las fuentes periodísticas.
- La SIC, por mandato de la Ley 1581 de 2012 y de la Ley 1266 de 2008, es la llamada a garantizar que el uso de datos personales por parte de entidades públicas y privadas se apegue a la ley y no desencadene en violaciones a los derechos humanos. Es preocupante que la Circular de la SIC, recuerde la existencia de un deber legal para la entrega de datos en manos de entidades privadas, pero no se sirva detallar las condiciones y requisitos legales que deben atender tanto el DNP como las entidades privadas que se vean requeridas por las autoridades públicas, para entregar información de sus bases de datos que sea personal y sensible.
- La Circular de la SIC se limita a indicar que el artículo 10 de la Ley 1581 de 2012 permite el tratamiento de datos personales sin autorización en casos de emergencia sanitaria o médica. No obstante, la SIC omite su deber de establecer garantías mínimas frente al tratamiento de dicha información. Sobre la excepción que la SIC invoca, la Corte Constitucional ha dicho que “el uso del dato también debe sujetarse a todos los principios y limitaciones consagrados en la Ley. Por el contrario, jamás podría interpretarse como una autorización abierta para que se acceda a datos personales sin consentimiento de su titular” (Corte Constitucional, Sentencia C 748 de 2011).
- Una decisión como la que adoptó la SIC mediante la Circular Externa 001 del 23 de Marzo de 2020 no puede usarse como un cheque en blanco. No incluye una limitación en el tiempo, por lo que permite el acceso a información previa a la pandemia. Tampoco indica de forma clara los tipos de datos cuyo acceso se autoriza, por lo que puede implicar desde el dato más básico hasta información compleja sobre localización de las personas. Esto es más grave si se observa que la Circular se delimita a reiterar el mandato legal que autoriza a acceder a cualquier entidad pública a información en bases de datos de entidades privadas.
- La Circular de la SIC no exime a las empresas privadas de aplicar las garantías de protección de datos personales de sus usuarios frente a las solicitudes que provengan por parte de las autoridades. Esto implica que las empresas tienen el deber de analizar las solicitudes que realizan las autoridades y rechazarlas mientras que no cumplan con los requisitos de ley.
- Invitamos a las empresas que sean requeridas por autoridades públicas para entregar datos personales a evaluar estas solicitudes desde el marco de los derechos humanos, a seguir buenas prácticas internacionales e implementar y mejorar sus mecanismos de transparencia para informar sobre las solicitudes de datos personales que hagan las autoridades.
- Las autoridades deben explicar suficientemente qué datos personales solicitan para responder a la crisis de salud, por qué son necesarios para las acciones de mitigación y qué análisis realizan con esos datos. En lo posible, deben abrir canales de comunicación amplios con la academia y la sociedad civil para discutir los usos aceptables de los datos personales adquiridos durante la emergencia.
- Las autoridades deben hacer un compromiso público claro para limitar el tiempo y los usos de los datos personales que aporte el sector privado y deben implementar mecanismos para que las solicitudes no se extiendan para fines o por tiempos más allá de la crisis. En ese sentido, deben implementar mecanismos de seguimiento para que otras autoridades, academia y sociedad civil puedan verificar el cumplimiento de esos compromisos.
En vista de las distintas omisiones por parte de la SIC en la garantía de la protección de los derechos fundamentales a la hora de emitir la Circular Externa 001 del 23 de Marzo de 2020, las organizaciones firmantes presentaremos una queja disciplinaria en contra del Superintendente de Industria y Comercio, Andrés Barreto González, y del Superintendente Delegado para la Protección de Datos Personales, Nelson Remolina Angarita, por considerar que están incumpliendo las obligaciones que la ley les ha encomendado.
Firman:
La Fundación para la Libertad de Prensa,
La Fundación Karisma
El Centro de Internet y Sociedad de la Universidad del Rosario ISUR
Respaldan:
Access Now, Internacional
Asociación para los Derechos Civiles, Argentina
Derechos Digitales, América Latina
Hiperderecho, Perú
Ipandetec, Centroamérica y el Caribe
Privacy International, Internacional
R3D, México
Tedic, Paraguay
Published in Pronouncements
Tagged as Covid19Datos personalesSIC
Temas de interés
Other pronouncements
Saturday, 28 March 2020
Organizaciones de la sociedad civil rechazan circular de la SIC sobre uso de datos personales para controlar la pandemia
Bogotá, Marzo 27 de 2020.
A propósito de la emergencia ocasionada por la pandemia COVID-19, la Superintendencia de Industria y Comercio (SIC) expidió la Circular Externa 001 del 23 de Marzo de 2020 donde se refiere al “suministro de información al Departamento Nacional de Planeación (DNP) y demás entidades estatales que las requieran para atender, prevenir, tratar o controlar la propagación del COVID-19 (coronavirus) y mitigar sus efectos”.
De acuerdo con lo manifestado por la alcaldesa de Bogotá, Claudia López, el cheque en blanco que firma el Superintendente tenía como propósito asegurarse de que los operadores de telefonía entregaran al Departamento Nacional de Planeación los teléfonos de los beneficiarios del Sisben con el fin de desplegar la ayuda social que la emergencia amerita. Aunque el acceso a este tipo de información con dicho fin es razonable, el alcance de la Circular es mucho mayor. Además, es sorprendente que las autoridades no tuvieran la información necesaria para ponerse en contacto con las personas que deben recibir las ayudas humanitarias.
Las organizaciones firmantes somos conscientes de que un estado de emergencia como el que se está viviendo a causa de la pandemia del COVID-19 requiere medidas excepcionales por parte de los gobiernos. Tal y como lo recordaron los relatores especiales de derechos humanos de las Naciones Unidas, toda respuesta de los Estados debe ser “proporcionada, necesaria y no discriminatoria”.
Distintas Cortes en el mundo han considerado que el acceso a información que tienen las compañías de telefonía fija y celular debe darse con las mayores garantías para evitar la vigilancia indebida. A manera de ejemplo, la Corte Suprema de los Estados Unidos indicó que la información de localización que tienen estas empresas sólo podría obtenerse por medio de orden judicial. Por su parte, el Tribunal Europeo de Derechos Humanos consideró que el sistema de vigilancia masiva del Reino Unido violaba la libertad de expresión porque no establecía garantías para evitar el acceso y uso abusivo a información protegida por la reserva de las fuentes periodísticas. En el marco de la pandemia, el Comité Europeo de Protección de Datos personales ha dicho que la información de localización que obtengan las autoridades debe procesarse de forma anónima, con el fin de analizar patrones de concentración de las personas. Según esa entidad, cualquier medida de procesamiento de información no anonimizada tiene que establecer garantías adecuadas.
Teniendo esto en cuenta y frente a la Circular emitida por la SIC, nos permitimos manifestar:
- Los operadores de telefonía fija y celular tienen una gran cantidad de información con respecto a la localización, identificación y comunicaciones de sus usuarios. El acceso irrestricto a este tipo de datos, a pesar del rol que pueda tener en la atención de la pandemia, implica riesgos de discriminación, de vigilancia indebida, de invasión de la privacidad y de protección de las fuentes periodísticas.
- La SIC, por mandato de la Ley 1581 de 2012 y de la Ley 1266 de 2008, es la llamada a garantizar que el uso de datos personales por parte de entidades públicas y privadas se apegue a la ley y no desencadene en violaciones a los derechos humanos. Es preocupante que la Circular de la SIC, recuerde la existencia de un deber legal para la entrega de datos en manos de entidades privadas, pero no se sirva detallar las condiciones y requisitos legales que deben atender tanto el DNP como las entidades privadas que se vean requeridas por las autoridades públicas, para entregar información de sus bases de datos que sea personal y sensible.
- La Circular de la SIC se limita a indicar que el artículo 10 de la Ley 1581 de 2012 permite el tratamiento de datos personales sin autorización en casos de emergencia sanitaria o médica. No obstante, la SIC omite su deber de establecer garantías mínimas frente al tratamiento de dicha información. Sobre la excepción que la SIC invoca, la Corte Constitucional ha dicho que “el uso del dato también debe sujetarse a todos los principios y limitaciones consagrados en la Ley. Por el contrario, jamás podría interpretarse como una autorización abierta para que se acceda a datos personales sin consentimiento de su titular” (Corte Constitucional, Sentencia C 748 de 2011).
- Una decisión como la que adoptó la SIC mediante la Circular Externa 001 del 23 de Marzo de 2020 no puede usarse como un cheque en blanco. No incluye una limitación en el tiempo, por lo que permite el acceso a información previa a la pandemia. Tampoco indica de forma clara los tipos de datos cuyo acceso se autoriza, por lo que puede implicar desde el dato más básico hasta información compleja sobre localización de las personas. Esto es más grave si se observa que la Circular se delimita a reiterar el mandato legal que autoriza a acceder a cualquier entidad pública a información en bases de datos de entidades privadas.
- La Circular de la SIC no exime a las empresas privadas de aplicar las garantías de protección de datos personales de sus usuarios frente a las solicitudes que provengan por parte de las autoridades. Esto implica que las empresas tienen el deber de analizar las solicitudes que realizan las autoridades y rechazarlas mientras que no cumplan con los requisitos de ley.
- Invitamos a las empresas que sean requeridas por autoridades públicas para entregar datos personales a evaluar estas solicitudes desde el marco de los derechos humanos, a seguir buenas prácticas internacionales e implementar y mejorar sus mecanismos de transparencia para informar sobre las solicitudes de datos personales que hagan las autoridades.
- Las autoridades deben explicar suficientemente qué datos personales solicitan para responder a la crisis de salud, por qué son necesarios para las acciones de mitigación y qué análisis realizan con esos datos. En lo posible, deben abrir canales de comunicación amplios con la academia y la sociedad civil para discutir los usos aceptables de los datos personales adquiridos durante la emergencia.
- Las autoridades deben hacer un compromiso público claro para limitar el tiempo y los usos de los datos personales que aporte el sector privado y deben implementar mecanismos para que las solicitudes no se extiendan para fines o por tiempos más allá de la crisis. En ese sentido, deben implementar mecanismos de seguimiento para que otras autoridades, academia y sociedad civil puedan verificar el cumplimiento de esos compromisos.
En vista de las distintas omisiones por parte de la SIC en la garantía de la protección de los derechos fundamentales a la hora de emitir la Circular Externa 001 del 23 de Marzo de 2020, las organizaciones firmantes presentaremos una queja disciplinaria en contra del Superintendente de Industria y Comercio, Andrés Barreto González, y del Superintendente Delegado para la Protección de Datos Personales, Nelson Remolina Angarita, por considerar que están incumpliendo las obligaciones que la ley les ha encomendado.
Firman:
La Fundación para la Libertad de Prensa,
La Fundación Karisma
El Centro de Internet y Sociedad de la Universidad del Rosario ISUR
Respaldan:
Access Now, Internacional
Asociación para los Derechos Civiles, Argentina
Derechos Digitales, América Latina
Hiperderecho, Perú
Ipandetec, Centroamérica y el Caribe
Privacy International, Internacional
R3D, México
Tedic, Paraguay