Caja PDF

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO
RAD: 14-218349- -4-0
DEP: 10 OFICINA ASESORA JURIDICA
TRA: 113 DP-CONSULTAS
ACT: 330 COMUNICACIÔN

Bogotá D.C.

FECHA: 2016-03-03 16:49:40
EVE: SIN EVENTO
FOLIOS: 14

10

Doctor
WILLIAM ALBERTO RENDON VERGEL
CALLE 89 No. 12 -59 AP 301
BOGOTA D.C.--COLOMBIA
Asunto:

Radicación:
Trámite:
Evento:
Actuación:
Folios:

14-218349- -4-0
113
330
14

Apreciado Doctor:

Nos permitimos hacer referencia nuevamente a su petición de información presentada
ante la Superintendencia de Industria y Comercio (en adelante “SIC”) mediante escrito
radicado bajo el No. 14-218349 del 2 de octubre de 2014, por medio de la cual solicitó
que se le informara sobre el régimen de protección en el tratamiento de datos
personales en la plataforma de comunicación en línea “Facebook”.
Al respecto, esta Entidad procede a expedir un nuevo concepto, previa revisión de las
conclusiones a las que se llegó en la respuesta del 24 de noviembre de 2014, para lo
cual se atenderán en su orden las inquietudes antes planteadas, como sigue:
“1. Se me indique en qué momento considera la Superintendencia de
Industria y Comercio que existe una violación a la privacidad de una persona
en redes sociales”.

Para atender el cuestionamiento planteado, es necesario hacer referencia en primera
medida a la Constitución Política que consagra de manera independiente el derecho a
la Intimidad, al Buen nombre y al Hábeas Data en los siguientes términos:

Al contestar favor indique el número
de radicación que se indica a continuación:
Radicación: 14-218349- -4-0 – 2016-03-03 16:49:40

“Artículo 15. Todas las personas tienen derecho a su intimidad personal y familiar y
a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual
modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se
hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas
y privadas.
En la recolección, tratamiento y circulación de datos se respetarán la libertad y
demás garantías consagradas en la Constitución.
(…)”.

El derecho de Hábeas Data se reconoce, entonces, como un derecho fundamental
absolutamente independiente del derecho al buen nombre y a la intimidad. Sobre este
aspecto la Corte Constitucional manifestó:
“(…) en lo relativo al manejo de la información, la protección del derecho al buen
nombre se circunscribe a que dicha información sea cierta y veraz, esto es, que los
datos contenidos en ella no sean falsos ni erróneos. Por su parte, la garantía del
derecho a la intimidad hace referencia a que la información no toque aspectos que
pertenecen al ámbito de privacidad mínimo que tiene la persona y que sólo a ella
interesa. Finalmente, el derecho al habeas data (sic) salvaguarda lo relacionado
con el conocimiento, actualización y rectificación de la información contenida en los
mencionados bancos de datos”1.
(Subrayado fuera de texto)

Explica el Alto Tribunal que la diferenciación y delimitación que guardan los derechos
consagrados en el artículo 15 de la Carta Política cobran alta relevancia por tres
razones:
“(i) por la posibilidad de obtener su protección judicial por vía de tutela de manera
independiente; (ii) por la delimitación de los contextos materiales que comprenden
sus ámbitos jurídicos de protección; y (iii) por las particularidades del régimen
jurídico aplicable y las diferentes reglas para resolver la eventual colisión con el
derecho a la información”2.

1

Cfr. Corte Constitucional, Sentencia T-1319 de 2005. M.P. Humberto Antonio Sierra Porto.

2

Cfr. Corte Constitucional, Sentencia T-729 de 2002. M.P. Eduardo Montealegre Lynett. Véase también
la Sentencia T- 176 A de 2014. M.P. Jorge Ignacio Pretelt; Sentencia C-1011 de 2008. M.P. Jaime
Córdoba Triviño; Sentencia T-361 de 2009. M.P. Humberto Antonio Sierra Porto.
Al contestar favor indique el número
de radicación que se indica a continuación:
Radicación: 14-218349- -4-0 – 2016-03-03 16:49:40

Lo anterior permite concluir que los derechos al buen nombre y a la intimidad se
encuentran por fuera de la órbita de conductas protegidas por la Ley 1581 de 2012 3 y,
por consiguiente, la SIC no es competente para adelantar ninguna actuación
administrativa, por ejemplo, por una posible amenaza o vulneración del derecho al
buen nombre de un usuario en las redes sociales.
Aclarada la independencia que ostenta el derecho a la protección de datos personales,
es conveniente precisar su definición. El Alto Tribunal Constitucional ha señalado que
“el derecho al Hábeas Data o a la autodeterminación informática, es aquella garantía
constitucional que le permite a la persona ‘conocer, actualizar y rectificar las
informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de
entidades públicas y privadas (…)”4.
Lo anterior se ve recopilado en el artículo 1 de la Ley 1581 de 2012:
“Artículo 1. Objeto. La presente ley tiene por objeto desarrollar el derecho
constitucional que tienen todas las personas a conocer, actualizar y rectificar las
informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y
los demás derechos, libertades y garantías constitucionales a que se refiere el
artículo 15 de la Constitución Política; así como el derecho a la información
consagrado en el artículo 20 de la misma.”

En adición a lo anterior, en el control previo de constitucionalidad de la Ley 1581 de
2012, realizado mediante la Sentencia C-748 de 20115, la Corte Constitucional señaló
que: “(…) del derecho al habeas data (sic) se desprenden no solamente las facultades
de conocer, actualizar y rectificar las actuaciones que se hayan recogido sobre el
titular, sino también otras como autorizar el tratamiento, incluir nuevos datos, o
excluirlos o suprimirlos de una base de datos o archivo.”. Indicó además que: “(…)
efectivamente el proyecto contiene regulaciones generales dirigidas a la protección de
todo tipo de dato personal”.
Por las razones expuestas, esta Superintendencia considera que el derecho de Hábeas
Data consiste en la facultad de los Titulares de la información de actualizar, conocer,
controlar, disponer, rectificar o suprimir datos personales que sobre ellos se hayan
recopilado en bases de datos o archivos de entidades públicas y privadas, así como de
exigir el respeto al debido proceso en la gestión de datos personales al responsable y/o
encargado del tratamiento en los términos de la Ley 1581 de 2012.
3

Cfr. Corte Constitucional, Sentencia C-748 de 2011, numeral, 2.3.3.3. M.P. Jorge Ignacio Pretelt
Chaljub.
4

Cfr. Corte Constitucional, Sentencia T-658 de 2011. M.P. Jorge Ignacio Pretelt Chaljub.

5

Cfr. Corte Constitucional, Sentencia C-748 de 2011 M.P. Jorge Ignacio Pretelt Chaljub.

Al contestar favor indique el número
de radicación que se indica a continuación:
Radicación: 14-218349- -4-0 – 2016-03-03 16:49:40

Ahora bien, en lo que respecta a la aplicación del régimen de protección de datos
personales en las redes sociales, considera esta Entidad que deben tenerse en cuenta
algunas de las definiciones otorgadas por la Ley 1581 de 2012:
“ARTÍCULO 3. Definiciones. Para los efectos de la presente ley, se entiende por:
(…)
b) Base de Datos: Conjunto organizado de datos personales que sea objeto de
Tratamiento.
c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o
varias personas naturales determinadas o determinables.
(…)
g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos
personales, tales como la recolección, almacenamiento, uso, circulación o
supresión”.

En lo que respecta al concepto de tratamiento, la Corte Constitucional agregó:
“(…) cuando el proyecto se refiere al tratamiento, hace alusión a cualquier
operación que se pretenda hacer con el dato personal” y resaltó que “(…) lo que se
pretende con este proyecto es que todas las operaciones o conjunto de
operaciones con los datos personales queden reguladas por las disposiciones del
proyecto de ley en mención.”6
(Subrayado fuera del texto original).

De manera general y teniendo en cuenta que se trata de un concepto amplio y
dinámico, pueden considerarse como tratamiento de datos personales la recolección; el
almacenamiento; la indexación; la conservación; el análisis, el uso; la circulación; la
transmisión; la transferencia; la divulgación; el acceso; la consulta; la supresión y la
depuración7.
6

Ibídem.

7

El literal b, del artículo 2 de la Directiva 95/46/CE del Parlamento Europeo y el Consejo de la Unión
Europea, de 24 de octubre de 1995, define el tratamiento de datos personales como “cualquier operación
o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos
personales, como la recogida, registro, organización, conservación, elaboración o modificación,
extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite
Al contestar favor indique el número
de radicación que se indica a continuación:
Radicación: 14-218349- -4-0 – 2016-03-03 16:49:40

Por otra parte, el Grupo de Trabajo del artículo 298, en el Informe de Trabajo No. 163,
referente a las redes sociales en línea, adoptado el 12 de junio de 2009, define el
“Servicio de Red Social” como “plataformas de comunicación en línea que permiten a
los individuos crear redes sociales que comparten intereses comunes” 9. En dicho
documento se indica, además, que los Servicios de Redes Sociales comparten las
siguientes características10:


los usuarios deben proporcionar datos personales para generar su descripción o
perfil.



proporcionan también herramientas que permiten a los usuarios poner su propio
contenido en línea (contenido generado por el usuario como fotografías, crónicas
o comentarios, música, vídeos o enlaces hacia otros sitios)



funcionan gracias a la utilización de herramientas que proporcionan una lista de
contactos para cada usuario, con las que el usuario puede interactuar.

el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción.”
Igualmente en los Estándares Internacionales sobre Protección de Datos Personales y Privacidad
aprobados el 5 de noviembre de 2009 en la Conferencia Internacional de Autoridades de Protección de
Datos y Privacidad celebrada en Madrid, se define el tratamiento como “[c]ualquier operación o conjunto
de operaciones, sean o no automatizadas, que se aplique a datos de carácter personal, en especial su
recogida, conservación, utilización, relevación o supresión.” Cítese también Corte Constitucional,
Sentencias T-729 de 2002 y C-1011 de 2008.
8

Este Grupo de Trabajo se creó en virtud del artículo 29 de la Directiva 95/46/CE. Es un órgano
consultivo europeo independiente sobre la protección de datos y la intimidad. Sus funciones se describen
en el artículo 30 de la Directiva 95/46/CE y en el artículo 14 de la Directiva 97/66/CE.
9

Téngase en cuenta que la Agencia Española de Protección de Datos, en el Estudio sobre la Privacidad
de los Datos Personales y la Seguridad de la Información de las Redes Sociales, definió que “las redes
sociales online son servicios prestados a través de Internet que permiten a los usuarios generar un perfil
público, en el que plasmar datos personales e información de uno mismo, disponiendo de herramientas
que permiten interactuar con el resto de usuarios afines o no al perfil publicado.” En:
http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Estudios/est_inteco_re
desso_022009.pdf. Cítese Report and Guidance on Privacy in Social Network Services -“Rome
Memorandum”-, adoptado en el 43º encuentro del 3 al 4 de Marzo de 2008 en Roma, Italia. En:
http://www.datenschutz-berlin.de/attachments/461/WP_social_network_services.pdf. Véase también
Boyd, D.M. y Ellinson, N.B., “Social Network Sites: Definition, History and Scholarship”, octubre de 2007.
Disponible en http://www.danah.org p. 2. (Consultado: 5 de febrero de 2014). Finalmente, léase Piñar
Mañas, José Luis, “Redes Sociales y Privacidad del Menor. Temas para el Debate”, en: “Redes Sociales
y Privacidad del Menor”, Reus, Madrid, 2011.
10

Ibídem.

Al contestar favor indique el número
de radicación que se indica a continuación:
Radicación: 14-218349- -4-0 – 2016-03-03 16:49:40

Se agrega además que la Corte Constitucional ha señalado, en lo que atañe a las
redes sociales, que “a pesar de que las redes sociales digitales –generalista o de ocio y
profesionales- se consolidan como un espacio en el que rigen normas similares a las
del mundo no virtual, el acceso a la misma acarrea la puesta en riesgo de derechos
fundamentales, pues el hecho de que algunas de ellas se manejen a través de perfiles
creados por los usuarios, por medio de los cuales se pueden hacer públicos datos e
información personal, puede traer como consecuencia la afectación de derechos como
la intimidad, la protección de datos, la imagen, el honor y la honra”11.
Más adelante, se concluye en el mismo fallo que “[l]a afectación de los derechos
fundamentales en redes sociales como Facebook puede generarse en el momento en
el cual el usuario se registra en la red escogida, durante su participación en la
plataforma, e incluso en el momento en que decide dejar de utilizar el servicio” 12.
De todo lo hasta aquí anotado, es dable concluir que:
(i) en las plataformas de comunicación en línea, tales como Facebook, Instragram o
Linkedln, efectivamente se realiza tratamiento de datos personales, verbigracia,
contactos, fotografías, o vídeos, mediante la creación de un perfil personalizado,
alojamiento, conservación, publicación, circulación y supresión de información
personal, la utilización de los datos con fines de comercialización, la localización de
información de una persona y el acceso al perfil público o privado.
(ii) el proveedor de servicios de redes sociales es responsable del tratamiento de
datos13 en las plataformas de comunicación en línea, en lo que respecta al derecho
de Hábeas Data.
11

Cfr. Corte Constitucional, Sentencia T-260 de 2012. M.P. Humberto Antonio Sierra Porto.

12

Ibídem.

Definido como la “[p]ersona natural o jurídica, pública o privada, que por sí misma o en asocio con
otros, decida sobre la base de datos y/o el Tratamiento de los datos (literal e, del artículo 3, Ley 1266 de
2008). Sobre el particular concluyó la Corte que el concepto “decidir sobre el tratamiento” empleado por
el literal e) parece coincidir con la posibilidad de definir –jurídica y materialmente- los fines y medios del
tratamiento.” Corte Constitucional, Sentencia C-748 de 2002, numeral, 2.5.7.2. En ese sentido, el texto
de la norma permite concluir que el proveedor de un servicio de red social adquiere la calidad de
“responsable del tratamiento” en la medida que determina las finalidades y los medios del tratamiento
que se producen con el funcionamiento de la red social. Por ejemplo, controlar la plataforma de
comunicación en línea, construir un perfil del usuario, poder de decisión sobre el tratamiento de
información en función de los servicios que use el usuario, diseñar la política de datos, fijar los términos
de privacidad, determinar las disposiciones acerca de anuncios publicitarios o establecer las condiciones
de uso y terminación del servicio online. En relación con este tema, cítese: Moiny, Jean-Philippe,
“Facebook y la Directiva 95/46: Algunas Reflexiones”, en: “Protección de Datos Personales en la
Sociedad de la Información y la Vigilancia”, Madrid, 2011, pp. 290 – 292.
13

Al contestar favor indique el número
de radicación que se indica a continuación:
Radicación: 14-218349- -4-0 – 2016-03-03 16:49:40

En estas condiciones, existe una posible vulneración del derecho de Hábeas Data de
los usuarios de redes sociales cuando en el procesamiento de la información se
desconoce lo previsto en el Régimen de Protección de Datos Personales, a título de
ejemplo, el acceso a datos personales online sin la autorización de su titular.
“2. Se me indique tanto los mecanismos de protección de privacidad con los
que cuenta el usuario de Facebook, si existiere alguna violación a la misma,
así como el procedimiento para acceder a los mismos.”.

La Ley 1581 de 2012 contempla un amplio catálogo de mecanismos que garantizan
una eficaz protección de los derechos de los titulares de la información. En su artículo 8
la norma incluye los derechos de los titulares, así:
“Artículo 8°. Derechos de los titulares. El Titular de los datos personales tendrá los
siguientes derechos:
a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables del
Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre
otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a
error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido
autorizado;
b) Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo
cuando expresamente se exceptúe como requisito para el Tratamiento, de
conformidad con lo previsto en el artículo 10 de la presente ley;
c) Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento,
previa solicitud, respecto del uso que le ha dado a sus datos personales;
d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones
a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen
o complementen;
e) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento
no se respeten los principios, derechos y garantías constitucionales y legales. La
revocatoria y/o supresión procederá cuando la Superintendencia de Industria y
Comercio haya determinado que en el Tratamiento el Responsable o Encargado
han incurrido en conductas contrarias a esta ley y a la Constitución;
f)

Acceder en forma gratuita a sus datos personales que hayan sido objeto de
Tratamiento.” (Subrayado fuera del texto original).

(…)”.
Al contestar favor indique el número
de radicación que se indica a continuación:
Radicación: 14-218349- -4-0 – 2016-03-03 16:49:40

Sumado a lo anterior, el artículo 14 de la misma ley agrega que: “[l]os Titulares o sus
causahabientes podrán consultar la información personal del Titular que repose en
cualquier base de datos, sea esta del sector público o privado. El Responsable del
Tratamiento o Encargado del Tratamiento deberán suministrar a estos toda la
información contenida en el registro individual o que esté vinculada con la identificación
del Titular (...)”.
En el mismo sentido, el artículo 15 precisa que “[e]l Titular o sus causahabientes que
consideren que la información contenida en una base de datos debe ser objeto de
corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento
de cualquiera de los deberes contenidos en esta ley, podrán presentar un reclamo ante
el Responsable del Tratamiento o el Encargado del Tratamiento (...)”.
Al respecto, la Corte Constitucional sostuvo que: “(…) el mecanismo del reclamo le
permitirá al titular del dato o a sus causahabientes solicitar al encargado o responsable
del tratamiento, el cumplimiento de todos los principios que rigen a los administradores
de datos y los derechos del titular del dato”14.
De allí que el titular de la información, sin perjuicio del ejercicio de la acción de tutela
para amparar el derecho fundamental del Hábeas Data15, cuenta con diferentes
herramientas legales para tener un control efectivo sobre su información personal ante
los responsables y/o encargados del tratamiento de datos16.
Llegado a este punto, para esta Superintendencia se hace imperioso aclarar que el
titular o sus causahabientes sólo podrán elevar queja ante la SIC una vez se haya
agotado el trámite de consulta o reclamo ante el responsable del tratamiento o el
encargado del tratamiento17.

14

Ibídem.

15

Para la Corte Constitucional la protección del derecho fundamental de Hábeas Data es directamente
reclamable por medio de la acción de tutela. En ese sentido se pronunció en las Sentencias C-748 de
2012 y C-1011 de 2008.
16

El procedimiento para el trámite de las consultas y los reclamos presentados ante el responsable y/o
encargado del tratamiento, tales como los requisitos formales del requerimiento, el término para atender
las peticiones, la prórroga para emitir una respuesta o la inclusión de la leyenda “reclamo en trámite”, se
encuentra desarrollado en las normas arriba citadas. Adicionalmente, el derecho al acceso, el derecho
de actualización, rectificación y supresión, y los medios para el ejercicio de los derechos se encuentran
reglamentados en los artículos 2.2.2.25.4.1., 2.2.2.25.4.2., 2.2.2.25.4.3. y 2.2.2.25.4.4. del Decreto
Reglamentario Único del Sector Comercio, Industria y Turismo 1074 del 26 de mayo de 20135.
17

Cfr. artículo 16 de la Ley 1581 de 2012.

Al contestar favor indique el número
de radicación que se indica a continuación:
Radicación: 14-218349- -4-0 – 2016-03-03 16:49:40

Ahora bien, en lo que se relaciona con las facultades legales que fueron otorgadas a la
SIC, en materia de protección de datos personales, debe acudirse al artículo 21 de la
Ley 1581 de 2012, el cual expresamente establece las facultades de vigilancia,
promoción y sanción asignadas a esta Entidad18, en especial la de adelantar las
investigaciones del caso, de oficio o a petición de parte, y, como resultado de ellas,
ordenar las medidas que sean necesarias para hacer efectivo el ejercicio del derecho
de Hábeas Data.
Incluso, la Corte Constitucional ha hecho una defensa de las competencias atribuidas a
esta Entidad, a través de la Delegatura para la Protección de Datos Personales. Así, en
la Sentencia T-058 de 2013, esa corporación subrayó:
“(...) la Ley 1581 de 2012 le dio competencia a la Superintendencia de Industria y
Comercio, a través de la Delegatura para la Protección de Datos Personales, [para]
ejercer la vigilancia y control a fin de garantizar que en el tratamiento de datos
personales se respeten los principios, derechos, garantías y procedimientos
previstos en la mencionada ley. Por ello, dicha entidad en cumplimiento de lo
dispuesto por la norma, podrá adelantar un procedimiento una vez se verifique el

18

En efecto, el artículo 21 prevé las siguientes funciones: a) velar por el cumplimiento de la legislación
en materia de protección de datos personales, b) adelantar las investigaciones del caso, de oficio o a
petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer
efectivo el derecho de Hábeas Data. Para el efecto, siempre que se desconozca el derecho, podrá
disponer que se conceda el acceso y suministro de los datos, la rectificación, actualización o supresión
de los mismos; c) disponer el bloqueo temporal de los datos cuando, de la solicitud y de las pruebas
aportadas por el Titular, se identifique un riesgo cierto de vulneración de sus derechos fundamentales, y
dicho bloqueo sea necesario para protegerlos mientras se adopta una decisión definitiva, d) promover y
divulgar los derechos de las personas en relación con el Tratamiento de datos personales e
implementará campañas pedagógicas para capacitar e informar a los ciudadanos acerca del ejercicio y
garantía del derecho fundamental a la protección de datos, e) impartir instrucciones sobre las medidas y
procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento
y Encargados del Tratamiento a las disposiciones previstas en la presente ley; f) solicitar a los
Responsables del Tratamiento y Encargados del Tratamiento la información que sea necesaria para el
ejercicio efectivo de sus funciones; g) Proferir las declaraciones de conformidad sobre las transferencias
internacionales de datos, h) administrar el Registro Nacional Público de Bases de Datos y emitir las
órdenes y los actos necesarios para su administración y funcionamiento, i) sugerir o recomendar los
ajustes, correctivos o adecuaciones a la normatividad que resulten acordes con la evolución tecnológica,
informática o comunicacional, j) requerir la colaboración de entidades internacionales o extranjeras
cuando se afecten los derechos de los Titulares fuera del territorio colombiano con ocasión, entre otras,
de la recolección internacional de datos personajes, y k) las demás que le sean asignadas por ley”.

Al contestar favor indique el número
de radicación que se indica a continuación:
Radicación: 14-218349- -4-0 – 2016-03-03 16:49:40

incumplimiento de las disposiciones dispuestas en la norma e imponer las
sanciones pertinentes a los responsables y encargados del tratamiento de datos”19.

Con el fin de alcanzar ese nivel de cumplimiento, el artículo 2 de la Ley 1581 de 2012,
sujeta toda operación de tratamiento de datos personales en el territorio colombiano al
ámbito de aplicación de la norma, extendiendo dicho ámbito de aplicación a
responsables o encargados no establecidos en el territorio colombiano, que les sea
aplicable la legislación colombiana en virtud de normas y tratados internacionales. En
efecto, el artículo 2 dispone lo siguiente:
“Artículo 2º. Ámbito de aplicación. Los principios y disposiciones contenidas en la
presente ley serán aplicables a los datos personales registrados en cualquier base
de datos que los haga susceptibles de tratamiento por entidades de naturaleza
pública o privada.
La presente ley aplicará al tratamiento de datos personales efectuado en territorio
colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento
no establecido en territorio nacional le sea aplicable la legislación colombiana en
virtud de normas y tratados internacionales.”

Sin duda alguna, el precepto jurídico citado extiende el ámbito de aplicación de la ley
estatutaria de protección de datos personales a un sinnúmero de escenarios de
tratamiento de información personal en Colombia, verbigracia, de manera ilustrativa, el
tratamiento de datos personales efectuado por proveedores de servicios de redes
sociales establecidos fuera del país, a través de un “medio”20 situado en territorio
19

Cfr. Corte Constitucional, Sentencia T-058 de 2013. M.P. Alexei Julio Estrada.

20

El Grupo de Trabajo del artículo 29, en el Informe de Trabajo No. 56, relativo a la aplicación
internacional de la legislación comunitaria sobre protección de datos al tratamiento de los datos
personales en Internet por sitios web establecidos fuera de la UE, aprobado el 30 de mayo de 2002,
indica que “no es necesario que el responsable tenga un control total sobre los medios. El responsable
del tratamiento puede tener un control variable de estos medios. El control es suficiente cuando el
responsable del tratamiento, al determinar la forma en que estos medios funcionan, toma las decisiones
adecuadas en relación con la naturaleza de los datos y su tratamiento. En otras palabras, el responsable
determina qué datos se recogen, se almacenan, se transfieren, se modifican, etc., de qué forma y con
qué objetivo.” (subrayado fuera del texto original). Igualmente, precisó que “la facultad de disposición del
responsable del tratamiento no debe confundirse con la propiedad o la posesión de los medios, ya sea
por el responsable del tratamiento, o por la persona. De hecho la Directiva no concede ninguna
importancia a la propiedad de los medios.” Igualmente, véase que en el Informe de Trabajo No 179,
adoptado el 16 de diciembre de 2010, el Grupo reitera que: “el concepto de >> recurrir a medios <<
presupone dos elementos: algún tipo de actividad del responsable del tratamiento y la clara intención del
mismo de tratar datos personales // no es necesario que el responsable del tratamiento tenga la
propiedad o pleno control de tales medios para que el tratamiento (...).” (subrayado fuera de texto).
Véase también el Informe de Trabajo No. 223 del 16 de septiembre de 2014, denominado: “Opinion
8/2014 on the Recent Developments on the Internet of Things”, Informe de Trabajo No. 196 del 1 de julio
de 2012, denominado: “Dictamen 05/2012 sobre la computación en la nube.”, Informe de Trabajo No.
Al contestar favor indique el número
de radicación que se indica a continuación:
Radicación: 14-218349- -4-0 – 2016-03-03 16:49:40

colombiano. Con el fin de otorgar mayor claridad en el tema, esta Superintendencia se
permite referir lo expuesto en el Informe de Trabajo No. 56, del grupo de trabajo del
artículo 29 de la Directiva 95/46/CE, relativo a la aplicación internacional de la
legislación comunitaria sobre protección de datos al tratamiento de los datos
personales en Internet por sitios web establecidos fuera de la UE, el cual indicó que
“(…) los PC, los terminales y los servidores, que se pueden utilizar para casi todos los
tipos de operaciones de tratamiento de datos, son ejemplo de medios.”21. Interpretación
conforme con el entendimiento que ha tenido la Corte Constitucional sobre el asunto en
Colombia, dado que en Sentencia C-748 de 2011, manifiesta que dentro de los medios
informáticos de divulgación o comunicación masiva, se encuentran las redes sociales y
la internet, otorgándole gran importancia a la determinación de los medios de
tratamiento utilizados, toda vez que es uno de los parámetros que contribuye a la
identificación del responsable del tratamiento de datos personales22.
En otras palabras, la SIC se encuentra completamente facultada para garantizar el
tratamiento de datos personales de los colombianos que, a través de las redes sociales
en internet compartan información personal; todo en observancia de los principios,
derechos, garantías y procedimientos establecidos por la Ley 1581 de 2012.
169 del 16 de febrero de 2010, denominado: “Dictamen 1/2010 sobre los conceptos de >>responsable
del tratamiento << y >> encargado del tratamiento >>, e Informe de Trabajo No. 37 adoptado el 21 de
noviembre de 2000, denominado: “Privacidad en Internet: - Enfoque comunitario integrado de la
protección de datos en línea.” Finalmente, resulta trascendental no dejar de mencionar que la Agencia
Española de Protección Datos, en el Informe No. 0454/2009, en relación con el ámbito de aplicación de
la normatividad española en el tratamiento fuera del territorio comunitario, señaló que “será aplicable la
normatividad española de protección de datos a la actividad objeto de consulta, ya que el responsable
del tratamiento (empresa prestadora del servicio) al decidir la utilización de cookies y otras herramientas
con el fin de recoger y tratar datos personales, recurre, en el sentido examinado, a medios (los
ordenadores de los usuarios) que se encuentran en territorio español”. Se nota que constituyen ejemplos
de medios: los teléfonos, dispositivos, ordenadores, terminales o servidores, importando poco quien sea
su propietario o poseedor.
21

El Grupo de Trabajo del artículo 29, en el Informe de Trabajo No. 56, aprobado el 30 de mayo de 2002,
indica que “el diccionario Collins English define el término inglés <<equipment>> como un conjunto de
instrumentos o aparatos reunidos para un fin determinado // los PC, los terminales y los servidores, que
se pueden utilizar para casi todos los tipos de operaciones de tratamiento de datos, son ejemplo de
>>medios<<.”
22

Corte Constitucional, Sentencia C-748 de 2011, mediante la cual se realizó el control de
constitucionalidad de la ley estatutaria de protección de datos personales. M.P. Jorge Ignacio Pretelt
Chaljub. Sobre el particular concluyó la Corte que “Ciertamente, el concepto ‘decidir sobre el
tratamiento’ empleado por el literal e) parece coincidir con la posibilidad de definir –jurídica y
materialmente- los fines y medios del tratamiento”. En consonancia, se encuentra el inciso Segundo del
literal f del artículo 4 de la Ley 1581 de 2011 que expone: “Los datos personales, salvo la información
pública, no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva,
salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los
titulares o terceros autorizados conforme a la presente ley”.
Al contestar favor indique el número
de radicación que se indica a continuación:
Radicación: 14-218349- -4-0 – 2016-03-03 16:49:40

Por lo anterior, repara esta Entidad en que no puede ser otra la interpretación que del
mismo artículo 2 de la mencionada ley se realice, dado que, tal y como lo expuso la
Corte Constitucional al analizar la constitucionalidad del ámbito de aplicación de la ley
estatutaria de protección de datos personales, nos encontramos “[e]n un mundo
globalizado en el que el flujo transfronterizo de datos es constante, la aplicación
extraterritorial de los estándares de protección es indispensable para garantizar la
protección adecuada de los datos personales de los residentes en Colombia, pues
muchos de los tratamientos, en virtud de las nuevas tecnologías, ocurren precisamente
fuera de las fronteras. Por tanto, para la Sala se trata de una medida imperiosa para
garantizar el derecho al habeas data”23.
Más aún, hay que tener en cuenta que el ordenamiento jurídico colombiano le otorga
todas las herramientas a la SIC para poder desarrollar sus facultades de vigilancia y
control en temas de garantía del derecho de Hábeas Data. Así, se encuentra el literal j)
del artículo 21 de la Ley 1581 de 2012, el cual faculta a esta Entidad, a través de la
Delegatura de Protección de Datos Personales, a solicitar la colaboración con
entidades internacionales para proteger el derecho de los titulares de la información. En
efecto, la norma señala lo siguiente:
“Artículo 21. Funciones. La Superintendencia de Industria y Comercio ejercerá las
siguientes funciones:
(…)
j) Requerir la colaboración de entidades internacionales o extranjeras cuando se
afecten los derechos de los Titulares fuera del territorio colombiano con ocasión,
entre otras, de la recolección internacional de datos personajes;
(...)”.

Al tenor de lo anterior, se colige que el deseo del legislador estatutario y de la Corte
Constitucional desde el punto de vista del ámbito de aplicación de la ley estatutaria de
protección de datos personales, es evitar que una persona quede desprotegida durante
el tratamiento de sus datos por la única razón de que el responsable y/o encargado del
tratamiento no se encuentre establecido en el territorio colombiano.
“3. De ser posible se me suministre la información respecto de casos
concretos manejados por la SIC pertinentes a la consulta realizada.”.

Hasta la fecha, la SIC no cuenta con aperturas formales de investigación con
formulación de cargos en contra de redes sociales.
23

Cfr. Corte Constitucional, Sentencia C-748 de 2011 M.P. Jorge Ignacio Pretelt Chaljub.

Al contestar favor indique el número
de radicación que se indica a continuación:
Radicación: 14-218349- -4-0 – 2016-03-03 16:49:40

Si requiere mayor información sobre el desarrollo de nuestras funciones y sobre las
normas objeto de aplicación por parte de esta entidad, puede consultar nuestra página
de internet www.sic.gov.co.
Atentamente,

JAZMIN ROCIO SOACHA PEDRAZA
JEFE OFICINA ASESORA JURÍDICA ( E )
Elaboró: Luis Alberto Montezuma/Laura Martínez Nova
Revisó: Rocío Soacha
Aprobó: Rocío Soacha

Al contestar favor indique el número
de radicación que se indica a continuación:
Radicación: 14-218349- -4-0 – 2016-03-03 16:49:40