RESUMEN: Uso de Videovigilancia en Propiedades Horizontales. ¿Es posible instalar videovigilancia en áreas públicas de propiedades horizontales? Sí, pero se deben seguir estrictas normativas de protección de datos personales. La videovigilancia en propiedades horizontales es factible, pero requiere el cumplimiento riguroso de las regulaciones de privacidad de datos.
Ver a continuación concepto Superintendencia de Industria y Comercio sobre: Uso de Videovigilancia en Propiedades Horizontales:
SUPERINTENDENCIA DE INDUSTRÍA Y COMERCIO
Asunto: Datos personales eliminados. Ley 1581 de 2012
Bogotá D.C., agosto de 2023
Señor (a):
Radicación: 23-281341
Trámite: 113
Evento: 0
Actuación: 440
Folios: 7
Reciba cordial saludo.
De conformidad con lo previsto en el artículo 28 de la Ley 1437 de 2011, sustituido por el artículo 1 de la Ley 1755 de 2015, “por medio de la cual se regula el Derecho Fundamental de Petición y se sustituye un título del Código de Procedimiento Administrativo y de lo Contencioso Administrativo”, fundamento jurídico sobre el cual se funda la consulta objeto de la solicitud, procede la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO a emitir un pronunciamiento, en los términos que a continuación se pasan a exponer:
1. OBJETO DE LA CONSULTA
Atendiendo a la solicitud radicada ante esta Entidad, en el cual se señala:
“Confirmar si una propiedad horizontal puede instalar y grabar con sistema de videovigilancia la vía publica (sic) de acceso y peatonal con una distancia de 100 metros donde transitan personas y vehiculos (sic) externos a la copropiedad, esto teniendo en cuenta la guia (sic) de protección de datos personales en sistemas de videovigilancia, donde indica que para entornos públicos es tarea que corresponde de forma exclusiva y legitima al ESTADO para operar SV en la vía pública”.
2. CUESTIÓN PREVIA
Reviste de gran importancia precisar en primer lugar que la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO a través de su Oficina Asesora Jurídica no le asiste la facultad de dirimir situaciones de carácter particular, debido a que, una lectura en tal sentido, implicaría la flagrante vulneración del debido proceso como garantía constitucional.
Al respecto, la CORTE CONSTITUCIONAL ha establecido en la Sentencia C-542 de 2005:
“Los conceptos emitidos por las entidades en respuesta a un derecho de petición de consulta no constituyen interpretaciones autorizadas de la ley o de un acto administrativo. No pueden reemplazar un acto administrativo. Dada la naturaleza misma de los conceptos, ellos se equiparan a opiniones, a consejos, a pautas de acción, a puntos de vista, a recomendaciones que emite la administración pero que dejan al administrado en libertad para seguirlos o no”.
Ahora bien, una vez realizadas las anteriores precisiones, se suministrarán las herramientas de información y elementos conceptuales necesarios que le permitan absolver las inquietudes por usted manifestadas, como sigue:
3. FACULTADES DE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES
La Ley 1581 de 2012, en su artículo 21 señala, entre otras, las siguientes funciones para esta Superintendencia:
- Velar por el cumplimiento de la legislación en materia de protección de datos personales;
- Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. Para el efecto, siempre que se desconozca el derecho, podrá disponer que se conceda el acceso y suministro de los datos, la rectificación, actualización o supresión de los mismos;
- Promover y divulgar los derechos de las personas en relación con el Tratamiento de datos personales e implementara campañas pedagógicas para capacitar e informar a los ciudadanos acerca del ejercicio y garantía del derecho fundamental a la protección de datos;
- Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los responsables del tratamiento y encargados del tratamiento a las disposiciones previstas en la presente ley;
- Solicitar a los responsables del tratamiento y encargados del tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones;
4. CONSIDERACIONES EN TORNO A LA CONSULTA PRESENTADA
Las operaciones como la captación, grabación, transmisión, almacenamiento, conservación, o reproducción en tiempo real o posterior, entre otras, son consideradas como tratamiento de datos personales, y en consecuencia, se encuentran sujetas al régimen general de protección de datos personales.
El uso de sistemas de videovigilancia, implica para los responsables del tratamiento mayor diligencia y cuidado, pues son medios considerados intrusivos a la privacidad de las personas, por ello, deben tener en cuenta la necesidad y pertinencia del tratamiento de las imágenes para lograr la finalidad especifica que se pretende con el tratamiento. La Corte Constitucional mediante Sentencia C-094 de 2020 señaló que: “en el entendido de que el manejo y tratamiento de información, datos e imágenes captados y/o almacenados a través de sistemas de video o medios tecnológicos que estén ubicados o instalados en el espacio público, en lugares abiertos al público, en zonas comunes o en lugares privados abiertos al público o que siendo privados trasciendan a lo público,
deberá observar los principios de legalidad, finalidad, libertad, transparencia, acceso y circulación restringida, seguridad y confidencialidad y caducidad,(…).”
Adicionalmente, deben contar con procedimientos y procesos claros para el tratamiento, la disposición final de los datos, la recepción y gestión de consultas y reclamos, la supresión de los datos, entre otros. Así mismo, deben contar con medidas de seguridad que eviten su adulteración, pérdida, deterioro, consulta, uso o acceso no autorizado o fraudulento y permitan mantener la integridad de la información.
A continuación, procedemos a mencionar las consideraciones de orden constitucional, legal, jurisprudencial y doctrinal, en el marco del interrogante planteado en su solicitud.
4.1. DEFINICIÓN Y TRATAMIENTO DE DATOS PERSONALES
El literal c) del artículo 3 de la Ley 1581 de 2012 define el dato personal en los siguientes términos: “Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.”
Por lo anterior, el dato personal es cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables que cumplen con las siguientes características: (i) están referidos a aspectos exclusivos y propios de una persona natural, ii) permiten identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.
Por su parte, el literal g) del artículo 3 define tratamiento en los siguientes términos: «Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.»
Por lo anterior, el tratamiento se refiere a la utilización, recolección, almacenamiento, circulación y supresión de los datos personales que se encuentren registrados en cualquier base de datos o archivos por parte de entidades públicas o privadas y cuyo procesamiento sea utilizando medios tecnológicos o manuales.
Respecto al concepto de bases de datos o archivos la CORTE CONSTITUCIONAL mediante Sentencia C-748 de 2011 señaló lo siguiente:
“El literal b) define las bases de datos como un “(…) conjunto organizado de datos personales que sea objeto de tratamiento”. Pese a que esta definición es bastante amplia y parece coincidir más con la de banco de datos empleada en la Ley 1266, en tanto el legislador goza de libertad de configuración en la materia, puede adoptar definiciones diferentes dependiendo de la regulación.
Ahora bien, la definición se ajusta a la Carta, pues cobija todo espacio donde se haga alguna forma de tratamiento del dato, desde su simple recolección, lo que permite extender la protección del habeas data a todo tipo de hipótesis. En concordancia, la Sala recuerda, como se indicó en la consideración 2.4.3.2., que el concepto de base de datos cobija los archivos, entendidos como depósitos ordenados de datos, lo que significa que los archivos están sujetos a las garantías previstas en el proyecto de ley”.
Por lo anterior, la Ley 1581 de 2012 se aplica a los datos personales que se encuentren en bases de datos o archivos de entidades públicas o privadas, entendidos estos, como el conjunto organizado o depósitos ordenados de datos personales sujetos a tratamiento, es decir, a la recolección, el almacenamiento, el uso, la circulación o la supresión de los mismos.
De conformidad con lo anterior, las imágenes captadas en cámaras encuadran dentro del concepto de dato personal y en consecuencia, les resulta aplicable el régimen de protección de datos personales prevista en la Ley 1581 de 2012.
Al respecto, la AGENCIA DE ESPAÑOLA DE PROTECCIÓN DE DATOS ha considerado:
“El concepto de dato personal incluye las imágenes cuando se refieran a personas identificadas o identificables. Por ello, los principios vigentes en materia de protección de datos personales deben aplicarse al uso de cámaras, videocámaras y a cualquier medio técnico análogo, que capte y/o registre imágenes”
De acuerdo con lo cual, por regla general la Ley 1581 de 2012 resultará aplicable a las grabaciones que estén vinculadas con una o varias personas determinadas o determinables.
Ahora bien, el diccionario de la real academia de la lengua define videovigilancia de la siguiente manera: “1. f. Esp. Vigilancia a través de un sistema de cámaras, fijas o móviles.”
En concordancia con lo anterior, la AUTORIDAD ESPAÑOLA DE PROTECCIÓN DE DATOS
respecto a la videovigilancia ha considerado lo siguiente:
“La captación y/o el tratamiento de imágenes con fines de vigilancia es una práctica muy extendida en nuestra sociedad. La videovigilancia generalmente persigue garantizar la seguridad de los bienes y personas. (…) La utilización de medios técnicos para la vigilancia repercute sobre los derechos de las personas lo que obliga a fijar garantías.”
En este sentido, la finalidad de la videovigilancia por regla general es la de garantizar la seguridad de bienes o personas en determinados lugares y se trata de un dato personal que le resulta aplicable la Ley 1581 de 2012.
4.2. AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS PERSONALES
En el tratamiento de los datos personales como la recolección, almacenamiento, uso, circulación o supresión de los mismos debe tenerse en cuenta el principio de libertad definido en el literal c) del artículo 4 de la Ley 1581 de 2012 así:
«c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.«
Por lo anterior, el tratamiento de los datos personales solo puede realizarse cuando exista la autorización previa, expresa e informada del titular, con el fin de permitirle que se garantice que en todo momento y lugar pueda conocer en dónde está su información personal, para qué propósitos ha sido recolectada y qué mecanismos tiene a su disposición para su actualización y rectificación.
La autorización del titular fue reglamentada a través del artículo 2.2.2.25.2.2., del Decreto 1074 de 2015 que señala lo siguiente:
«Autorización. El Responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento«.
En concordancia con lo anterior, el artículo 2.2.2.25.2.4., del precitado decreto dispone:
«(…)Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (í) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca”.
Por lo anterior, los responsables del tratamiento de los datos personales deben obtener la autorización por parte del titular a más tardar al momento de su recolección informándole la finalidad específica del tratamiento de los mismos, y debe utilizar mecanismos que garanticen su consulta posterior.
Se entiende que el titular de la información ha dado su autorización para el tratamiento de los datos personales cuando: (i) sea por escrito; (ii) sea verbal o (iii) mediante conductas inequívocas, es decir, aquellas que no admiten duda o equivocación, del titular que permitan concluir de forma razonable que otorgó la autorización. El silencio no puede asimilarse a una conducta inequívoca. Cuando se trate de datos personales sensibles la autorización para el tratamiento de tales datos deberá hacerse de manera explícita.
Ahora bien, el artículo 12 de la Ley 1581 de 2012 dispone lo siguiente sobre la información que se debe suministrar al titular de los datos personales al momento de recolectar su autorización:
“ARTÍCULO 12. Deber de informar al Titular. El Responsable del Tratamiento, al momento de solicitar al Titular la autorización, deberá informarle de manera clara y expresa lo siguiente:
- El Tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo.El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando éstas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.Los derechos que le asisten como Titular.La identificación, dirección física o electrónica y teléfono del Responsable del Tratamiento.
Parágrafo. El Responsable del Tratamiento deberá conservar prueba del cumplimiento de lo previsto en el presente artículo y, cuando el Titular lo solicite, entregarle copia de esta”.
Cabe resaltar que el responsable del tratamiento, al solicitar la autorización por parte del titular de los datos personales se le debe informar: (i) el tratamiento al cual serán sometidos sus datos personales, es decir, si se hará recolección, uso, almacenamiento, circulación, supresión o cualquier operación de los datos, (ii) la finalidad específica del tratamiento de los datos personales; (iii) el carácter facultativo de la respuesta, cuando el tratamiento se pretenda realizar sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes; (iv) los derechos que le asisten como titular y (v) la identificación, dirección física o electrónica y teléfono del responsable del tratamiento para que pueda ejercer sus derechos.
Ahora bien, para la recolección de la autorización para el tratamiento de datos personales a través de cámaras en los edificios y conjuntos se pueden utilizar señales o avisos distintivos en las zonas de videovigilancia, principalmente en porterías, ascensores, garajes y todos los demás sitios en donde se utilizarán cámaras o mecanismos de vigilancia. Incluso, se pueden emplear anuncios de audio, en los casos en que sea posible, lo cual debe ser informado a los titulares.
Las señales o avisos implementados deben ser visibles y legibles teniendo en cuenta el lugar en el que opere el sistema de vigilancia y contar como mínimo con el contenido de un aviso de privacidad, a saber:
- Incluir información sobre quién es el responsable del tratamiento y sus datos de contacto.
- Indicar el tratamiento que se dará a los datos y la finalidad del mismo.
-Incluir los derechos de los titulares.
-Indicar dónde está publicada la política de tratamiento de la información.
El siguiente puede ser el texto de los avisos para utilizar en las instalaciones de los edificios y conjuntos:
El uso de la señal o aviso no exime del cumplimiento de las demás obligaciones contempladas por el Régimen General de Protección de Datos Personales para los responsables y encargados del tratamiento.
Para más información sobre la protección de datos personales a través de sistemas de videovigilancia puede consultar nuestras guías “Protección de Datos Personales en sistemas de videovigilancia” y “Guía sobre el tratamiento de datos personales en la propiedad horizontal”, que se encuentran en nuestra página de internet www.sic.gov.co, escoge “protección de datos personales”, “publicaciones” y allí encontrará las guías en formato PDF.
En ese orden de ideas, esperamos haber atendido satisfactoriamente su consulta, reiterándole que la misma se expone bajo los parámetros del artículo 28 de la Ley 1437 de 2011, esto es, bajo el entendido que la misma no compromete la responsabilidad de esta Superintendencia ni resulta de obligatorio cumplimiento ni ejecución.
En la Oficina Asesora Jurídica de la Superintendencia de Industria y Comercio estamos comprometidos con nuestros usuarios para hacer de la atención una experiencia de calidad. Por tal razón le invitamos a evaluar nuestra gestión a través del siguiente link http://www.encuestar.com.co/index.php/2100?lang=esQ
Finalmente le informamos que algunos conceptos de interés general emitidos por la Oficina Jurídica, los puede consultar en nuestra página web http://www.sic.gov.co/Doctrina-1
Atentamente,
LILIANA ROCIO ARIZA ARIZA
JEFE OFICINA ASESORA JURÍDICA (E)
Elaboró: Carolina García Revisó: Gabriel Turbay Aprobó: Liliana Ariza
Puedes encontrar más información sobre: Uso de Videovigilancia en Propiedades Horizontales, en https://www.sic.gov.co/
Además del tema relacionado con: Uso de Videovigilancia en Propiedades Horizontales, quizás te interese leer: ¿Las disposiciones del Registro Único de Beneficiarios Finales RUB son aplicables a la propiedad horizontal? Oficio DIAN Nº 1135 08-09-2022