¿Las bases de datos de los empleados están sujetas a la ley colombiana de habeas data?

gente_trabajandoPor Heidy Balanta

Esta pregunta es muy común por parte de las organizaciones, y la respuesta es afirmativa.

La ley 1581 de 2012, es clara al afirmar que los principios y disposiciones contenidos en ella, son aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública y privada.

No hay motivo para que estas bases de datos no estén sujetas a la ley de habeas data, primero, porque como cualquier base de datos personales que no tenga las medidas de seguridad adecuada, puede presentarte para abusos, lo que claramente vulnera el derecho al habeas data.

La empresa por ser la persona jurídica que realiza dicho tratamiento, esta obligada a cumplir con los derechos del responsable del tratamiento de datos personales, estos son, entre otros a:

  • Conservar la información bajo las condiciones de seguridad necesarias que impidan su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  • Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y para la atención de consultas y reclamos.
  • Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.

Es importante que la empresa ajuste los contratos, acuerdos, políticas necesarias para recabar el consentimiento del trabajador y de los futuros trabajadores, sin importar el tipo de contratación a realizar, el cual quede expresamente señalado el consentimiento dado por el trabajador, recuerde que con el silencio no se presume el consentimiento.

La Superintendencia de Industria y Comercio mediante concepto número 1713980 de 2013, ha establecido que “Los responsables del tratamiento de los datos personales deben obtener la autorización por parte del titular a más tardar al momento de su recolección informándole la finalidad especifica del tratamiento de los mismos, y debe utilizar mecanismos que garanticen su consulta posterior.

Se entiende que el titular de la información ha dado su autorización para el tratamiento de los datos personales cuando: (i) sea por escrito; (ii) sea oral o (iii) mediante conductas inequívocas, es decir, aquellas que no admiten duda o equivocación del titular que permitan concluir de forma razonable que otorgó la autorización. El silencio no puede asimilarse a una conducta inequívoca.