Los Datos Personales y su regulación en Colombia (datos sensibles, datos públicos, semiprivado y privado)
Enfoque, ámbito de aplicación y contenido.
Introducción
Los Datos personales en el marco jurídico colombiano involucran
la interacción de tres componentes fundamentales; el derecho a la intimidad, el
Habeas Data, y la protección de datos personales. El artículo 15 de la
Constitución Política de Colombia – C.N. consagra el derecho fundamental en
cabeza de todas las personas a la intimidad personal y familiar, y, además,
consagra el derecho al buen nombre. Por último, al ejercicio efectivo de las
garantías de protección de la información personal consistentes en conocer,
actualizar y rectificar cualquier información personal que haya sido recogida
en Bases de Datos públicas o privadas.
Las tecnologías de la información están en el centro de lo que se ha denominado
Revolución tecnológica, dado que la tecnología ha modificado a escala global las
dinámicas esenciales de la humanidad[1]
(internet de las cosas - IoT); proporcionando bienestar y desarrollo, pero
también nuevos riesgos[2]
relacionados con la exposición de los datos, la falta de cumplimiento del
ordenamiento y la nula protección integral al individuo en el entorno digital[3].
La información personal se almacena en Bases de Datos que pueden ser
públicas o privadas, de acuerdo con la finalidad determinada para la creación
de esta. La gestión de bases de datos; es decir, la recolección, tratamiento y
circulación de los datos, debe hacerse con respeto de la libertad y las demás
garantías del ordenamiento jurídico.
Las Bases de Datos son públicas cuando se crean con el objetivo
de facilitar al Estado la prestación de los servicios estatales. El Estado, en
el ejercicio de sus funciones crea bases de datos para la prestación de los servicios
o actividades esenciales involucrados en la satisfacción de las necesidades
básicas de la sociedad, y de esta forma garantizar la prestación de los servicios
públicos. Ejemplo de estas bases de datos son las historias clínicas en dónde
se almacena la información relacionada con el estado de salud de los pacientes
y los distintos tratamientos a los que ha sido sometido. Así mismo, en el
sector privado, las empresas en el desarrollo de sus actividades mercantiles
recopilan, almacenan y utilizan datos e información relacionada con sus
clientes, internos o externos, y su finalidad es cumplir un objetivo mercantil
particular o privado.
El derecho a la Intimidad se circunscribe en el ámbito
personalísimo del individuo y se concreta como la garantía o protección contra
las intromisiones externas sobre bienes, datos o información personal que su
titular no está dispuesto a exhibir al público. La Corte Constitucional de
Colombia define en la sentencia T-552 de 1997[4],
el núcleo esencial del derecho fundamental a la intimidad como el derecho a “no
ser forzado a escuchar o a ver lo que no desea escuchar o ver, así como un
derecho a no ser escuchado o visto cuando no se desea ser escuchado o visto.”
Por lo tanto, existe una clara constitucionalización de la intimidad
relacionada con el adecuado manejo de la información que la persona decide
exhibir a los otros, el cual ha sido denominado derecho de autodeterminación
informativa. Este instrumento legal y su composición son clave para la determinación
de los límites a la gestión de los datos personales. Así las cosas, la Corte
Constitucional ha sido coherente al considerar que las centrales informáticas
encargadas de gestionar la información financiera no vulneran el derecho a la
intimidad, sin embargo, el derecho a la autodeterminación informativa se halla
vulnerada cuando la información no es correcta, clara, completa o actual.
Constitucionalismo y Datos personales
Para la Corte Constitucional de Colombia, en los casos en los cuales la
información que sobre las personas reposa en las bases de datos no sea veraz,
actual o completa, el titular de la información personal es facultado para
ejercer el derecho de Habeas Data, consistente en acciones tendientes a:
conocer la información que sobre sí repose en bases de datos; a actualizar la
información que sobre sí repose en las bases de datos, cuando la misma haya
cambiado; y, rectificar aquella información que no corresponde con la realidad.
Así las cosas, el derecho al Habeas Data, artículo 15 C. N[5],
se vulnera cuando la información contenida en la Base de Datos es
recogida de manera ilegal, sin el consentimiento del titular del dato; es
errónea o recae sobre aspectos íntimos de la vida de su titular no susceptibles
de ser conocidos públicamente.[6]
Las sentencias de Tutela, T 277 de 2015[7],
T 050 de 2016[8] y
T 143 de 2022[9],
se refieren a escenarios judiciales que abordan la protección de los derechos a
la dignidad humana, el buen nombre y la intimidad, así como la privacidad de
los datos personales en relación con la información en línea y las redes
sociales. La primera de estas sentencias, del año 2015 se refiere a una
solicitud para eliminar información en línea relacionada con una captura y
supuesta participación en hechos delictivos. Determinó la Corte que, en el caso
en cuestión, el derecho a la intimidad de la persona solicitante no prevalece
sobre el derecho a la información y la libertad de expresión. La sentencia
desestima la solicitud de eliminación de información de internet.
El fallo de tutela del año 2016 se refiere a una publicación en Facebook
que afectaba el buen nombre y la dignidad de una persona. En este escenario, el
derecho a la intimidad y la dignidad de la persona afectada prevalece sobre el
derecho a la libertad de expresión. La Corte constató que la publicación en
Facebook atentaba contra la reputación y el buen nombre de la persona, y que
esto constituía una violación de su derecho a la intimidad y a la dignidad
humana, por lo tanto, ordenó eliminar la publicación en cuestión y determinó
medidas para garantizar el cumplimiento de la decisión.
Por último, en la Sentencia de 2022 interpuesta por cuatro personas que
consideran que el requisito de descargar y usar la aplicación "CoronApp"
durante la pandemia como condición para ingresar a aeropuertos nacionales y
utilizar el transporte aéreo público esencial vulnera sus derechos a la
privacidad, habeas data, libertad de locomoción y unidad familiar. Las
accionantes argumentaron que el uso de la aplicación no es voluntario y que la
política de tratamiento de información permite el acceso a sus datos personales
por parte de personas autorizadas por ley o por orden judicial. La corte
consideró que era apropiado advertir al gobierno nacional sobre la importancia
de aplicar el marco legal para proteger el derecho al habeas data cuando se
procesan datos personales.
El derecho al Habeas Data se refuerza con el derecho fundamental
a la libertad, contenido en el artículo 20 C. N[10].
que faculta a las personas a informar y recibir información verás e imparcial.
Desde el punto de vista de las categorías de los derechos, la Constitución de
Colombia sitúa a la Intimidad como el bien jurídico esencial y del cual
se deprenden el Habeas Data relacionado con la veracidad de la
información personal contenida en las Bases De Datos y la Protección
de los Datos Personales, determinando un marco legal que regula todo lo
relacionado con el tratamiento de los datos personales y sus sujetos obligados.
Marco Legal de Protección de Datos Personales
La protección de los Datos Personales se enmarca en la garantía legal
que establece el Estado mediante las normas jurídicas protectoras del derecho
fundamental a la intimidad y a la privacidad. También, con el objetivo de evitar
que el tratamiento de datos sensibles[11],
por su naturaleza íntima y confidencial, pueda ser utilizados para discriminar
a su titular. Otro tópico relacionado con la protección de los datos personales
y que se abordará en la segunda entrega del presente artículo, es la transferencia
y transmisión de datos personales a países extranjeros. La transferencia
internacional de datos es un proceso que requiere una evaluación especial
debido a las diferencias en las leyes y regulaciones de protección de datos
personales entre los diferentes países. A continuación, realizaremos un
abordaje de dos de los instrumentos legales que regulan el tratamiento de los
datos personales, bases de datos y demás aspectos relacionados.
Ley 1266 de 2008[12]
Mediante el presente instrumento legal, el Estado de Colombia desarrolló
normativamente el derecho constitucional del Habeas Data, para los temas
crediticios, de servicios y otros, en lo relacionado con el manejo de los datos
personales contenidos en bases de datos, y, los demás derechos, libertades y
garantías constitucionales relacionadas con la recolección, tratamiento y
circulación de estos. De manera precisa y de acuerdo con los artículos 15 y 20
de la Constitución Política de Colombia, esta Ley se encarga de las bases de
datos del sector financiero, crediticio, del comercio, servicios y la
información originada en otros países. Este instrumento legal, comúnmente conocido
como Habeas Data Financiero, aplica tanto a particulares como a
entidades públicas que manejen datos como los relacionadas con los créditos,
servicios y transferencia de datos; sin embargo, se exceptúa de esta Ley, las
bases de datos que hace parte de la inteligencia del Estado o está relacionada
con la defensa nacional y la seguridad. Este instrumento legal fue reformado
por la Ley 2157 de 2021[13],
en lo relacionado con el termino de caducidad del dato, el derecho al olvido,
la disminución de la calificación por consulta; entre otros.
La Ley de habeas data financiero dedica un artículo a las definiciones,
el cual es muy enriquecedor para la aproximación académica del tema. Para la Ley
1266 de 2008 el Titular de la Información[14],
es la persona natural o jurídica a quien hace referencia la información
contenida en la base datos. El titular de la información es sujeto del derecho
de habeas data y los demás derechos protegidos en los demás artículos. Para el
desarrollo de actividades cotidianas como realizar compras, acceder a servicios
públicos o privados nos vemos en la necesidad de suministrar datos personales como
el nombre, identificación, entre otros. Se considera que es fuente de
información[15], la
persona natural o jurídica que recibe o accede a los datos personales de los
titulares de la información, en virtud de un mandato legal o por autorización
del titular. La fuente de información puede suministrar los datos directamente
a los usuarios o hacerlo por medio de los operadores de información.
El operador de información[16]
es la persona, entidad u organización que sin tener relación con el titular de
la información recibe de la fuente de información los datos personales para
administrarlos y entregarlos a usuarios de datos personales. El operador de
información debe respetar todos los derechos y garantías de los titulares de la
información, sin embargo, no es responsable de la calidad suministrada por la
fuente, a menos que fuente y operador sean el mismo. Y, se considera usuario a
la persona natural o jurídica que accede a la información personal de los
titulares de la información, por medio de un operador de información, o una
fuente de información o de manera directa con el titular de la información. El
usuario[17],
así como los demás sujetos del marco de regulación de los datos personales,
deben garantizar el respeto por las garantías constitucionales y legales del
titular de los datos personales. El usuario puede también entregar información
de terceros a operadores, por lo cual puede tener la calidad de usuario y
fuente de información y deberá asumir los deberes y responsabilidades de cada
uno de estos.
Los datos personales[18]
corresponden a toda información relacionada con una o varias personas determinadas
o identificables, o que se asocian a una persona natural o jurídica. Los datos personales
pueden ser clasificados como públicos, semiprivados o privados, dependiendo de
su naturaleza y se diferencian en la forma en que se manejan y protegen. Los
datos personales identifican al titular, y así mismo su correlación crea un
perfil sobre determinada persona.[19]
La Ley o La Constitución es el medio que puede asignar la calidad de Dato
Público[20],
sin embargo, de manera genérica se puede decir que los datos públicos son todos
aquellos que no corresponden con las categorías de dato semiprivado y dato
privado. Se consideran datos públicos, de manera particular, la información o
los datos contenidos en los documentos públicos, actos judiciales o
administrativos que no se encuentren sometidos a reserva y los datos del estado
civil de las personas. El Dato Semiprivado[21]
se encuentra a mitad de camino entre el dato público y el dato privado. El dato
semiprivado no tiene una naturaleza íntima, reservada o pública, sin embargo,
su divulgación o conocimiento es de importancia para un sector, grupo de
personas o la sociedad en general; como los datos crediticios o comerciales.
Por último, el Dato privado[22].
Se considera como dato privado a la que solo le resulta relevante al
titular por su relación íntima o reservada.
Referencias Bibliográficas.
1. Álvarez Caro, María. (2015). Derecho al olvido en internet: El
nuevo paradigma de la privacidad en la era digital. Madrid, España:
Editorial Reus. ISBN: 978-84-290-1836-3. DOI: 10.30462/9788429018363. Depósito
legal: M-4002-2015. Páginas: 144.
2. Castells, Manuel. “La Era de la Información. Economía, Sociedad y
Cultura. La Sociedad Red. Vol. 1”. Siglo XXI Editores, Sexta edición en
español. Pág. 27.
3. Constitución Política de Colombia (1991). Artículo 15. Disponible
en: https://www.constitucioncolombia.com/titulo-2/capitulo-1/articulo-15
4. Constitución Política de Colombia (1991). Artículo 20. Disponible
en: https://www.constitucioncolombia.com/titulo-2/capitulo-1/articulo-20
5. Corte Constitucional de Colombia.
Sentencia No. T-176/95. Temas: Acción de tutela contra particulares, Derecho
al habeas data y caducidad del dato financiero. Magistrado Ponente: Dr.
Eduardo Cifuentes Muñoz. Disponible en: https://www.corteconstitucional.gov.co/relatoria/1995/T-176-95.htm
6. Corte Constitucional de Colombia. Sentencia T-552/97. Temas:
Derecho a la intimidad y habeas data. Magistrado Ponente: Dr. Vladimiro
Naranjo Mesa. Disponible en: https://www.corteconstitucional.gov.co/relatoria/1997/t-552-97.
7. Corte Constitucional de Colombia.
Sentencia T-277/15. Magistrada Ponente: María Victoria Calle Correa. Tema: Derecho
a la Intimidad y al Debido Proceso. Disponible en: https://www.corteconstitucional.gov.co/relatoria/2015/t-277-15.htm.
8. Corte Constitucional de Colombia.
Sentencia T-050/16. Magistrado Ponente: Gabriel Eduardo Mendoza Martelo. Tema: Derecho
a la intimidad personal y familiar. Disponible en: https://www.corteconstitucional.gov.co/relatoria/2016/t-050-16.htm.
9. Corte Constitucional de Colombia.
Sentencia T-143/22. Magistrado Ponente: Alejandro Linares Cantillo. Temas: Derecho
al habeas data, libertad de locomoción, unidad familiar y privacidad.
Disponible en: https://www.corteconstitucional.gov.co/Relatoria/2022/T-143-22.htm.
10. Galvis Cano, Lucero. (2019) Límites del tratamiento de los datos
personales en el ámbito laboral frente al uso de las tecnologías de la
información y comunicación en la era digital, disponible en: https://repository.usta.edu.co/handle/11634/26341
11. Ley 1266 de 2008, Por la cual se dictan
las disposiciones generales del hábeas data y se regula el manejo de la
información contenida en bases de datos personales, en especial la financiera,
crediticia, comercial, de servicios y la proveniente de terceros países y se
dictan otras disposiciones. Artículo 3 Literales, a,b,c,d,e,f,g,h. Diario
Oficial 47.219 de diciembre 31 de 2008. Disponible en: https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=34488
12. Ley 2157 de 2021, Por medio de la cual
se modifica y adiciona la Ley Estatutaria 1266 de 2008, y se dictan
disposiciones generales del Hábeas Data con relación a la información
financiera, crediticia, comercial, de servicios y la proveniente de terceros
países y se dictan otras disposiciones. Diario Oficial No. 51.842 de 29 de
octubre de 2021 Disponible en: http://www.secretariasenado.gov.co/senado/basedoc/ley_2157_2021.html
13. Machuca Vivar, Silvio Amable, Vinueza Ochoa, Nelly Valeria, Sampedro
Guamán, Carlos Roberto, & Santillán Molina, Alberto Leonel. (2022). Habeas
data y protección de datos personales en la gestión de las bases de datos.
Revista Universidad y Sociedad, 14(2), 244-251. Epub 02 de abril de 2022.
Recuperado en 09 de octubre de 2023, de http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S2218-36202022000200244&lng=es&tlng=.
Los
Datos Personales y su regulación en Colombia (datos sensibles, datos públicos,
semiprivado y privado): enfoque, ámbito de aplicación y contenido.
Segunda Parte
Introducción
Como hemos visto hasta
ahora, la regulación de los datos personales en Colombia se estructura a razón
a tres valores jurídicos interconectados. Por un lado, lo relacionado con el
sustento constitucional y fundamental de la intimidad personal y familiar,
génesis del régimen de protección y desde el cual se desarrolla el derecho al Habeas
Data, entendido este como la materialización en cabeza de los titulares de
los datos, de tres derechos relacionados, a saber; conocer, actualizar y
rectificar la información personal presente en las bases de datos públicas o
privadas. Por último, la regulación colombiana desarrolla el esquema de
protección de los datos personales, estableciendo los procesos y garantías
adjetivas de los titulares de los datos, especialmente relacionadas con el
adecuado tratamiento de los datos personales.
La Ley 1266 de 2008 establece
el marco de regulación de Habeas Data financiero propio para el
tratamiento de los datos personales originados de las relaciones comerciales y
financieras; sin embargo, haría falta el desarrollo de un instrumento jurídico
general que permitiera garantizar la protección de los datos personales en
términos de la garantía fundamental a la intimidad personal y familiar.
Ley 1581 de 2012[23]
Esta Ley, aunque emanada del congreso cuatro años después de la Ley de
Habeas Data Financiero, contiene el marco general aplicable al manejo de los
datos personales, ejercicio del Habeas Data, y las demás garantías contenidas
en los artículos 15 y 20 C.N. Este marco de regulación del manejo de los datos
personales tiene aplicación en virtud de su artículo 2º a todas las personas de
naturaleza púbica o privada que realicen tratamiento de bases de datos. Se
encuentran excluidas de la aplicación de este instrumento legal, las bases de
datos domésticas o personales, las bases de datos relacionadas con la
inteligencia y la seguridad nacional, y bases de datos con propósitos
relacionados a la estadística histórica y fines periodísticos.
De acuerdo con esta Ley, el tratamiento de datos personales está sujeto
a la autorización por parte del titular de la información, la cual debe ser
previa, expresa e informada. La base de datos es el conjunto de datos
personales que son sometidos a tratamiento. El tratamiento tiene un Responsable[24],
el cual puede ser una persona natural o jurídica, pública o privada, en
sociedad o a título individual, que toma la decisión de crear la base de datos
y decide sobre el tratamiento de esta. El Encargado[25]
del Tratamiento es la persona que de manera directa realiza el tratamiento por
cuenta del Responsable del Tratamiento. Cualquier persona, natural o jurídica,
pública o privada, en sociedad o a título individual, puede ser Encargado del
Tratamiento.
Por lo tanto, el tratamiento de los datos personales se realiza en una
base de datos, por parte de un Encargado del Tratamiento, por cuenta de un
Responsable del Tratamiento. El tratamiento entonces corresponde a cualquier
operación o conjunto de operaciones que se realice sobre datos personales. De
mamera sobresaliente, la recolección, almacenamiento, uso, circulación o supresión,
son catalogadas por la Ley 1581 de 2012 como tratamiento de datos personales.
El tratamiento de los datos personales es diferente de acuerdo con cada
tipología de dato (público, semiprivado y privado).
Ley
2300 de 2023[26]
Una década después de promulgado el marco general de protección de los
datos personales, se inicia en el Congreso de Colombia la tramitación del
proyecto de ley S384 de 2022, el cual entrega al ordenamiento jurídico
colombiano, la Ley 2300 de 2023 que tiene como propósito establecer medidas
protectoras del derecho a la intimidad de los consumidores financieros y demás
sujetos de las gestiones de cobranza o recaudo de cartera. Sin embargo, es
claro que este instrumento jurídico tiene como sujeto de aplicación a las
personas naturales o jurídicas que realizan actividades relacionadas con la
recuperación de obligaciones financieras o crediticias.
Con el objetivo de ofrecer garantías de trato más humano a los
consumidores de productos financieros o crediticios, esta Ley estable dos
aspectos jurídicos importantes, por un lado, la autorización, que deber ser emitida
por los consumidores, en la que se constaten los canales autorizados por estos
para ser contactados. Las opciones de Canales Autorizados deben ser
proporcionados por la entidad financiera o gestor de cobranza de manera previa
e informada, permitiendo que los consumidores elijan el cuáles autoriza. Cabe
resaltar que la Ley permite que los consumidores puedan ser contactados por
varios canales, sin embargo, solo se podrá contactar mediante un solo canal a
la semana.
Así las cosas, a los consumidores financieros o crediticios no se les
podrá contactar mediante varios canales dentro de una misma semana ni en más
de una ocasión durante el mismo día[27].
Lo que quiere decir que en una semana
solo podrán ser contactados los consumidores mediante un solo canal, una vez al
día. Además, el contacto diario permitido por la norma se deberá realizar en el
horario comprendido entre las 7:00 am a las 7:00 pm, de lunes a viernes, y, de
08:00 am a 03:00 pm, el sábado, excluyendo de dicho horario los domingos y
festivos. Así mismo, se prohíbe la práctica de contactar a las referencias
personales o de índole distinta para procurar las obligaciones debidas por los
consumidores.
Esta Ley establece en su artículo 5 que los aspectos antes mencionados (canales
autorizados, horario y periodicidad) se aplicarán al envío de mensajes
cortos de texto (SMS), mensajería por aplicaciones web, correos electrónicos y
llamadas telefónicas de carácter comercial o publicitario, en el marco de las
relaciones comerciales entre productores y proveedores de bienes y servicios
públicos o privados, y, el consumidor comercial. Además de lo anterior, este
artículo prohíbe que se condicione la realización de transacciones comerciales
o el ingreso a establecimientos como locales o edificios, a la aceptación por
parte del consumidor a recibir mensajes comerciales de otra índole, salvo los
relacionados con el bien o servicio adquirido.[28]
Las gestiones de cobro mediante visitas al domicilio o lugar de trabajo
del consumidor financiero o crediticio se podrán realizar siempre que se trate
de obligaciones adquiridas bajo la modalidad de microcréditos, crédito de
fomento, desarrollo agropecuario o rural. En cualquiera de los casos
anteriores, deberá existir autorización expresa del consumidor. También se
podrán llevar a cabo a cabo estas gestiones cuando las personas naturales o
jurídicas responsables de la gestión de cobranza no cuenten con la información
actualizada de los consumidores y exista un reporte o registro de imposibilidad
para contactar o entregar los mensajes al consumidor destinatario, de parte de
la empresa de telefonía o de mensajería física o electrónica.[29]
Tratamiento de los Datos Personales
Volviendo a los tipos de datos personales, el dato sensible es aquel que
afecta la intimidad del titular, o se relaciona con los datos médicos o de
salud, también son datos sensibles los relacionados con la sexualidad, los
biométricos y los que por su uso pueden generar discriminación contra su
titular; como los relacionados con el origen étnico o racial, orientación
política, convicciones religiosas o filosóficas, afiliación sindical,
organizaciones sociales, de derechos humanos o las prácticas de proselitismo
político o de partidos de oposición.
Los datos sensibles[30]
hacen referencia a información relacionada con circunstancias que pueden ser
del interés único de su titular o que, de ser conocido públicamente, generaría
una afectación a la intimidad. Por esta razón, el tratamiento de datos
sensibles se encuentra prohibido, salvo en los casos en los que la Ley ha
indicado que no se requiere autorización o el titular haya autorizado de manera
explícita el tratamiento de datos sensibles. La autorización, necesaria para el
tratamiento de datos sensibles, es la manifestación de la voluntad privada del
titular del dato personal, consistente en permitir que otras personas realicen el
tratamiento de sus datos personales.[31]
El tratamiento de datos sensibles se permite cuando es requerido para
salvaguardar la vida de su titular, o se realice en el marco de las actividades
de las organizaciones sin ánimo de lucro, sindicales o políticas; con la
condición de que los datos se refieran solo a los miembros de estas
organizaciones y estos no se suministren a terceros. También, se permite el
tratamiento de datos sensibles para el reconocimiento y ejercicio del derecho
de defensa en los procesos judiciales o con finalidad histórica, estadística o
científica. El tratamiento de los datos personales de los niños, niñas y
adolescentes[32]
es un tratamiento especial permitido solamente cuando recae sobre datos de
naturaleza pública, evento en el cual, los responsables y encargados del
tratamiento deben garantizar los derechos prevalentes de los niños, niñas y
adolescentes. Para todos estos casos debe mediar autorización del titular para
el tratamiento de los datos personales.[33]
Para el tratamiento de datos personales privados y semiprivados se
requiere la autorización del titular, previa e informada, la cual debe constar
en medio tal que permita su consulta posterior. En todas las solicitudes de
autorización el Responsable del Tratamiento deberá informar al titular de
manera clara y precisa, qué tratamiento le dará a los datos personales y la
finalidad de este. Así mismo, deberá informarle al titular el derecho que tiene
de no suministrar información sobre datos sensibles o relacionados con niñas,
niños y adolescentes. En la autorización para el tratamiento de datos
personales el Responsable del Tratamiento le debe informar al titular los
derechos a los que puede acceder en virtud del ordenamiento legal. También
deberá informar al titular los datos relacionados con la identificación,
dirección física o electrónica y el teléfono del Responsable del Tratamiento.[34]
El tratamiento de los datos públicos no requiere autorización del
titular. La información pública, de acuerdo con la Ley 1712 de 2014, es toda
aquella información que las entidades del Estado, funcionarios públicos,
órganos descentralizados, los partidos políticos o movimientos ciudadanos, las
entidades que administren parafiscales, y en general, cualquier persona natural
o jurídica que administre o gestiones dineros públicos; genere, obtenga,
adquiera o controle. La información pública clasificada es la que pertenece al
ámbito personal o semiprivado[35].
Y, la información pública reservada es la que no tiene acceso abierto por interés
público[36].
En todos los casos, se requiera autorización para el tratamiento, o no se
requiera, se debe garantizar al titular del dato personal respeto por sus
garantías fundamentales y un adecuado nivel de seguridad en la protección de
los datos.
Transferencia y Transmisión de Datos personales
Teniendo en cuenta que los negocios en la era digital se realizan en el
marco de un mercado globalizado, los datos también pueden ser sujeto de
transferencia a países extranjeros. Para dicho propósito, el país al cual se
quiere realizar la transferencia de datos debe estar reconocido por parte de la
Superintendencia de Industria y Comercio – SIC, en la lista de países que
ofrecen un nivel adecuado de protección de los datos personales. Está prohibido
transferir datos a países que no cumplan con los estándares fijados por la SIC,
salvo que; el titular otorgue autorización expresa e inequívoca para la
transferencia; la transferencia de datos se requiera por una urgencia médica o
sanitaria; cuando se trate de transferencias bancarias; en el marco de los
tratados internacionales; en el marco de la defensa nacional o ejercicio de
derechos en el marco de los procesos judiciales.[37]
La transferencia de datos se presenta cuando el Responsable o Encargado
del Tratamiento de datos personales ubicado en Colombia, transfiere información
o datos personales a un Responsable del Tratamiento, el cual puede estar dentro
o fuera del país. Por otra parte, la transmisión de los datos personales se
presenta cuando el tratamiento de los datos personales que realiza el Encargado
del tratamiento por cuenta del Responsable del tratamiento, implica la
comunicación de los datos dentro o fuera del país.[38]
La diferencia entre la transferencia y la transmisión consiste en que la
transferencia es la entrega de la información de un Responsable o Encargado a
otro Responsable, es decir, se entrega la base de datos. Mientras que la
transmisión es la comunicación de los datos que hace el Encargado del
Tratamiento por cuenta del Responsable. No se trata de una entrega de la base
de datos, se trata una actividad propia del tratamiento en la cual debe comunicar
los datos a terceros. Ambas formas de tratamiento de datos personales se pueden
presentar en el contexto nacional o internacional. Es decir, que se puede
presentar transferencia o transmisión internacional de datos personales, así
como transferencia o transmisión nacional de datos personales.
De la Autoridad de Protección de Datos.
El Estado colombiano, mediante el decreto 1377 de 2013 impuso a la SIC,
la obligación de impartir las medidas de seguridad relacionadas con la
protección de datos personales. La SIC, funque como autoridad de protección de
datos, dado que también tiene a su cargo adelantar las investigaciones
relacionadas vulneraciones al derecho al Habeas Data; bloquear los datos
cuando tenga pruebas de vulneración a derechos fundamentales; solicitar
información a los Responsables y Encargados del Tratamiento de datos personales;
y, realizar sugerencias para la actualización normativa en razón al avance de
la tecnología. Además, la SIC tiene a su cargo la administración del Registro
Nacional Público de Bases de Datos, y con ello, puede emitir las órdenes y
actos necesarios para su funcionamiento.
Ante la SIC, se pueden adelantar procesos administrativos sancionatorios
en contra de los Responsables y Encargados del tratamiento de datos personales
por el incumplimiento de los deberes y responsabilidades contenidas en la Ley
1581 de 2012 y le serán aplicables las normas procesales del Código Contencioso
Administrativo y Código General del Proceso. Las sanciones impuestas por
violación al régimen de datos personales consistirán en multa hasta por dos mil
(2.000) salarios mínimos mensuales vigentes[39];
suspensión de actividades relacionadas del tratamiento de los datos hasta por
seis meses; cierre temporal de operaciones relacionadas con el tratamiento, y,
cierre inmediato y definitivo cuando la operación recaiga sobre datos
sensibles.
El Registro Nacional de Bases de Datos es administrado por la SIC y es
público, lo que quiere decir, que los ciudadanos pueden acceder al directorio
de bases de datos que realizan tratamiento y operan en Colombia. El Decreto
1074 de 2015, en su artículo 2.2.2.26.1.2. establece que todas las bases de
datos generadas o utilizadas por entidades públicas deben ser inscritas en el
Registro Nacional de Bases de Datos, así como las sociedades y entidades sin
ánimo de lucro que tengan activos totales superiores a 100.000 Unidades de Valor
Tributario (UVT); con el fin de garantizar la transparencia y la disponibilidad
de la información. Además, se determina que las entidades públicas deben
asegurarse de que las bases de datos que se inscriban en el Registro cumplan
con los requisitos y estándares de calidad, seguridad y protección de la
información.
Referencias Bibliográficas.
1. Decreto 1377 de 2013, Por
el cual se reglamenta parcialmente la Ley 1581 de 2012, Derogado Parcialmente
por el Decreto 1081 de 2015. Artículo 3 y 4. Diario Oficial 48834 del 27 de
junio de 2013. Disponible en: https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=53646
2.
Gómez Vásquez, Claudia
Marcela. (2019). La autorización del titular del dato como expresión del
derecho fundamental al Habeas Data en el ordenamiento legal colombiano y
perspectivas desde el derecho comparado. Disponible en: https://repositorio.unal.edu.co/bitstream/handle/unal/69816/Tesis%20habeas%20data%20CMGV.pdf?sequence=1
3. Ley 1266 de 2008, Por la cual se dictan
las disposiciones generales del hábeas data y se regula el manejo de la
información contenida en bases de datos personales, en especial la financiera,
crediticia, comercial, de servicios y la proveniente de terceros países y se dictan
otras disposiciones. Artículo 26. Diario Oficial 47.219 de diciembre 31 de
2008. Disponible en: https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=34488
4. Ley 1581 de 2012, Por la cual se dictan
disposiciones generales para la protección de datos personales. Artículo 3e,
5, 6, 7, 12. Diario Oficial No. 48.587 de 18 de octubre de 2012. Disponible en:
http://www.secretariasenado.gov.co/senado/basedoc/ley_1581_2012.html
5. Ley 1712 de 2014, Por medio de la cual
se crea la Ley de Transparencia y del Derecho de Acceso a la Información
Pública Nacional y se dictan otras disposiciones. Artículo 6, literales c y
d. Diario Oficial 49084 de marzo 6 de 2014 Disponible en: https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=56882
6. Ley 2300 de 2023. Por medio de la cual
se establecen medidas que protejan el derecho a la intimidad de los
consumidores. Artículo 3 y 5. Diario Oficial No. 52.452 de 10 de julio de
2023. Disponible en: http://www.secretariasenado.gov.co/senado/basedoc/ley_2300_2023.html
[1] Castells, Manuel. “La Era de la
Información. Economía, Sociedad y Cultura. La Sociedad Red. Vol. 1”. Siglo XXI
Editores, Sexta edición en español. Pág. 27.
[2] Machuca Vivar, Silvio Amable; Vinueza
Ochoa, Nelly Valeria; Sampedro Guaman, Carlos Roberto y Santillan Molina, Alberto
Leonel. Habeas data y protección de datos personales en la gestión de las bases
de datos. Universidad y Sociedad [online]. 2022, vol.14, n.2 [citado 2023-02-05],
pp.244-251. Disponible en:
<http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S2218-36202022000200244&lng=es&nrm=iso>. Epub 02-Abr-2022. ISSN 2218-3620.
[3] Álvarez Cano, M. (2015). Derecho al olvido
en internet: El nuevo paradigma de la privacidad en la era digital. España.
[4]
https://www.corteconstitucional.gov.co/relatoria/1997/t-552-97.htm
[5]
https://www.constitucioncolombia.com/titulo-2/capitulo-1/articulo-15
[6] https://www.corteconstitucional.gov.co/relatoria/1995/T-176-95.htm
[7]
https://www.corteconstitucional.gov.co/relatoria/2015/t-277-15.htm
[8]
https://www.corteconstitucional.gov.co/relatoria/2016/t-050-16.htm
[9]
https://www.corteconstitucional.gov.co/Relatoria/2022/T-143-22.htm
[10]
https://www.constitucioncolombia.com/titulo-2/capitulo-1/articulo-20
[11] La información sensible hace referencia a los datos personales
relacionados o que permitan informar sobre la raza o etnia, orientación sexual,
religión, creencias políticas, salud, entre otros, que puedan ser motivo de
discriminación.
[12]
http://www.secretariasenado.gov.co/senado/basedoc/ley_1266_2008.html
[13]
http://www.secretariasenado.gov.co/senado/basedoc/ley_2157_2021.html
[14] Ley 1266 de 2008, Artículo 3, a.
[15] Ley 1266 de 2008, Artículo 3, b.
[16] Ley 1266 de 2008, Artículo 3, c.
[17] Ley 1266 de 2008, Artículo 3, d.
[18] Ley 1266 de 2008, Artículo 3, e.
[19] Galvis Cano, Lucero. (2019) Límites del
tratamiento de los datos personales en el ámbito laboral frente al uso de las
tecnologías de la información y comunicación en la era digital, disponible
en: https://repository.usta.edu.co/handle/11634/26341
[20] Ley 1266 de 2008, Artículo 3, f.
[21] Ley 1266 de 2008, Artículo 3, g.
[22] Ley 1266 de 2008, Artículo 3, h.
[23]
http://www.secretariasenado.gov.co/senado/basedoc/ley_1581_2012.html
[24] Ley 1581 de 2012, Artículo 3, e.
[25] Ley 1581 de 2012, Artículo 3, e.
[26] https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=213990
[27] Ley 2300 de 2023, Artículo 3.
[28] Ley 2300 de 2023, Artículo 5.
[29] Ley 2300 de 2023, Artículo 5
[30] Ley 1581 de 2012, Artículo 5.
[31] Gómez Vásquez, C. (2019). La
autorización del titular del dato como expresión del derecho fundamental al
Habeas Data en el ordenamiento legal colombiano y perspectivas desde el derecho
comparado.
[32] Ley 1581 de 2012, Artículo 7.
[33] Ley 1581 de 2012, Artículo 6.
[34] Ley 1581 de 2012, Artículo 12.
[35] Ley 1712 de 2014, Artículo 6, c.
[36] Ley 1712 de 2014, Artículo 6, d.
[37] Ley 1266 de 2008, Artículo 26.
[38] Decreto 1377 de 2013, Artículo 3, 4.
[39] A la fecha de redacción del presente artículo el
salario mínimo legal vigente en Colombia equivale a 277.90 dólares
estadounidenses.
Diego Andrés Miranda Guzmán, Abogado egresado de la Universidad Popular del Cesar en Valledupar, especialista en Derecho del Medio Ambiente de la Universidad Externado de Colombia y estudiante de la Maestría en Derecho Informático y las Nuevas Tecnologías, de la misma casa de estudios
Perfil LinkedIn: Diego Andres Miranda Guzman https://www.linkedin.com/in/diegolaw?utm_source=share&utm_campaign=share_via&utm_content=profile&utm_medium=android_app
Comentarios
Publicar un comentario