El tratamiento de los datos personales solo puede realizarse cuando exista autorización previa, expresa e informada del titular o mandato legal o judicial que releve dicho consentimiento, con el fin de permitirle que en todo momento y lugar pueda conocer en dónde está su información personal, para qué propósito ha sido recolectada y qué mecanismos tiene para su actualización y rectificación.

Por lo tanto, recordó la Superintendencia de Industria y Comercio, los responsables del tratamiento de los datos personales deben obtener la autorización por parte del titular a más tardar al momento de su recolección informándole la finalidad específica del tratamiento de los mismos, utilizando mecanismos que garanticen su consulta posterior.

Así las cosas, al titular se le debe informar (i) el tratamiento al cual serán sometidos sus datos personales, es decir, si se hará recolección, uso, almacenamiento, circulación, supresión o cualquier operación de los datos; (ii) la finalidad específica del tratamiento; (iii) el carácter facultativo de la respuesta, cuando el tratamiento se pretenda realizar sobre datos sensibles o sobre los datos de los menores de edad.

Así mismo, se le deben informar (iv) los derechos que le asisten como titular y (v) la identificación, dirección física o electrónica y teléfono del responsable del tratamiento para que pueda ejercer sus derechos.

Ahora bien, el artículo 4 de la Ley 1581 del 2012 establece como uno de los principios del tratamiento de datos personales el de seguridad, según el cual la información se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.