Principios para la gestión de datos personales en el sector TIC

TIC

Por Camilo Alfonso Escobar Mora

Introducción

En Colombia la reciente Ley estatutaria No. 1581 de 2012 consagra de manera transversal el conjunto de deberes que se deben cumplir para un adecuado tratamiento de los datos personales que se gestionen de forma general en todos los sectores de la economía, salvo que exista una legislación especial y más favorable en un sector específico (con lo cual hasta el momento es la legislación que aplica en el sector TIC Colombiano (1)). Esta Ley al ser estatutaria se encarga de legislar el alcance general del derecho fundamental de hábeas data (protección de los datos personales) consagrado en el artículo 15 de la Constitución Política de Colombia.

El hábeas data se puede definir -para efectos del presente artículo de percepción general- como el derecho fundamental que tienen las personas naturales (tanto trabajadores como directivos, socios, inversionistas, aliados, proveedores, clientes, usuarios y en general todo individuo que sea titular de datos personales) para que directamente conserven sus datos personales -de voz, audio, imagen, texto, o sus relaciones entre sí, es decir sus datos personales en multimedia *múltiples medios*- y para que en el caso en que se los transmitan válidamente a un tercero (es decir autorizando y consintiendo que algunos de sus datos personales pasen de su esfera íntima a la esfera de un tercero para que este realice un tratamiento de sus datos personales) puedan acceder a dicha información así como puedan exigirle -es decir además de ser un derecho fundamental es una Acción- que se efectúe una adecuada custodia, reserva, información y gestión -es decir tratamiento- de sus datos al interior de las redes y bases de datos (físicas y/o electrónicas) en donde se realice su recepción y tratamiento en general.

Es decir es tanto un derecho como una acción (en ambos casos dirigido a la adecuada protección y gestión de los datos personales de una persona natural -las personas jurídicas en principio no se incluyen en este derecho al ser fundamental, pero por supuesto su información igualmente debe protegerse  aunque no mediante este derecho sino mediante los acuerdos de confidencialidad y los derechos de propiedad intelectual que puede tener una compañía mediante su Know How).

A continuación se relacionan las principales definiciones vinculadas a la protección de los datos personales para que las compañías y entidades del sector las conozcan e inicien una adecuada protección (preventiva) de este derecho sobre todos los datos personales que interna y externamente se gestionan en el desarrollo de sus actividades (es un tema de alto impacto para el sector TIC a nivel ético, jurídico -ligado por supuesto al componente ético- y económico -inclusive las sanciones pueden ser desde una multa, que puede ser sucesiva, de hasta 2.000.000 SMLMV hasta una sanción de cierre temporal o definitivo del establecimiento de comercio infractor).

La Ley 1581 consagra unas definiciones generales sobre la terminología principal del tratamiento de los datos personales, se citan a continuación para una mayor comprensión y gestión:

“Artículo 3°. Definiciones. Para los efectos de la presente ley, se entiende por:

a) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales;

b) Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento;

c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;

d) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento;

e) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos;

f) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento;

g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión”.

“Artículo 5°. Datos sensibles. Para los propósitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos”.

Por último en cuanto a la terminología relacionada con este derecho fundamental es importante ilustrar las clases de datos personales que pueden estar presentes en una relación titular de un dato personal – empresa (o entidad) del sector:

a). Dato personal privado: Todo dato personal que tiene un conocimiento restringido, y en principio privado, para el público general (v. gr. Ingresos mensuales).

b). Dato personal público: Todo dato personal que es de conocimiento libre para el público general (v. gr. Número de la cédula de ciudadanía).

c). Dato personal semi-privado: Todo dato personal que tiene un conocimiento en principio restringido para el público general pero que pasa a ser accesible por una parte del público cuando su titular así lo autoriza (v. gr. Dirección de residencia publicada en la hoja de vida).

Principios jurídicos para un adecuado tratamiento de los datos personales en el sector TIC Colombiano

Aclarado, de alguna manera, el concepto del derecho fundamental de hábeas data a continuación se ilustran los principios jurídicos de mayor relevancia y utilidad para tener como un referente de acción (preventiva) en todos los contextos, físicos y electrónicos, en donde se realicen tratamientos de datos personales (principios que han sido señalados y desarrollados a lo largo de la jurisprudencia constitucional en este campo):

a). Principio de lealtad y licitud del dato: Señala que el dato personal no puede ser recolectado por medios fraudulentos o desleales. Por tanto, la persona debe ser informada de la razón y los mecanismos por medio de los cuales se van a recepcionar sus datos.

b). Principio de calidad de los datos: Los datos personales deben conservarse exactos (es decir íntegros e inalterados. Incluso se debe indicar fecha, modo y lugar de como se captaron).

c). Principio de necesidad del dato: Consagrado como el grado de relevancia (conducencia y pertinencia) que posee el dato personal en el contexto en que se desea tratar dicho dato. Solo se puede captar el dato necesario, se debe evitar incurrir en excesos infundados de la información solicitada.

d). Principio de finalidad del dato: Entendido como el uso adecuado de la información exclusivamente para los propósitos en que es creado, almacenado, captado, y en general tratado el dato personal. Por tanto debe existir además una clara determinación de las competencias de los miembros que trataran dichos datos sobre los alcances y los fines que puede buscar y para los cuales  se encuentra facultado cada uno de los miembros.

e). Principio de actualidad del dato: Por medio del cual la información del dato personal tratado debe ser suficiente, veraz y oportuna. Dichos verbos rectores conducen a una interrelación con el principio de autodeterminación informativa, conceptualizado como la prerrogativa otorgada al titular del dato para modificarlo, suprimirlo, o complementarlo cuando existan causas que así lo justifiquen para lograr una información fiable (es decir cuando cambien sus circunstancias, v. gr. Nuevo domicilio). Claro está que los datos administrados a nivel histórico que sirvan para fines estadísticos a nivel de antecedentes no pueden alterarse dada su naturaleza cronológica y si las circunstancias cambian lo que puede hacerse es incorporar notas aclaratorias que expresen las transformaciones surtidas en la información con el transcurso del tiempo, si ese es el fin deseado.

g). Principio de pertinencia del dato: Postulándose que solo podrá reposar en la base de datos el dato personal que guarde causa o efecto eficiente con el campo de acción de la empresa o entidad (debe ser pertinente con el fin específico y con el momento concreto que dé origen a su captación). Cuando esto no se presente la información debe ser suprimida, no enviada, o no solicitada.

h). Principio de circulación restringida: Dispone que solo la compañía o entidad (y dentro de la compañía o entidad, se debe tener un organigrama sobre los funcionarios autorizados) facultado para captar, monitorear, almacenar y en general gestionar un dato personal tiene el derecho de tratarlo. Terceros agentes no tienen la autorización para conocer el dato. Además éste principio establece que el dato solo puede viajar por la red y/o bases de datos que guarden relación con el dato personal almacenado o tratado válidamente y no por otras redes (v. gr. Un dato personal suministrado a una compañía del sector no puede compartirse a otra compañía del sector, pues su titular no lo ha autorizado, precisamente ha restringido su circulación).

i). Principio de autodeterminación informativa: En el cual se manifiesta que todo titular de un dato personal goza de autonomía para configurar sus datos personales ante un sistema de información (v. gr. Puede señalar niveles de protección y acceso a sus datos personales en un sistema de información, como ocurre en la red social Facebook en donde puede configurar quienes pueden o no observar sus fotografías). En ese orden, no se podrá constreñir a un titular de un dato confidencial sin razón fundamentada (ni afectar su consentimiento informado).

En complemento con estos principios jurídicos, el artículo 4 de la Ley 1581 de 2012 consagra una serie de principios jurídicos (algunos ya citados anteriormente) para la protección y gestión de los datos personales:

“Artículo 4°. Principios para el Tratamiento de datos personales. En el desarrollo, interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los siguientes principios:

a) Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen;

b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular;

c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento;

d) Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error;

e) Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan;

f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley;

Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley;

g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

h) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma”.

Teniendo en cuenta esta sencilla ilustración las compañías y entidades del sector TIC deben garantizar que en su organigrama y en su gestión corporativa continua se cumplan con estos principios generales, y por supuesto todos los parámetros que específicamente se detallan en la Ley 1581 de 2012 (2) -en correspondencia y análisis integral con lo señalado en la Sentencia C-748 de 2011 por medio de la cual la Corte Constitucional declaró la constitucionalidad de la Ley 1581-  y en las demás fuentes jurídicas directas, indirectas o complementarias que desarrollen la materia (Constitución Política, jurisprudencias, Leyes, principios del derecho generales y especiales, regulación, reglamentación, costumbres mercantiles, tratados internacionales, y autorregulación) para una gestión jurídica preventiva del derecho de hábeas data de acuerdo a cada comunidad de impacto tanto interna como externa (es decir los clientes, usuarios, trabajadores, aliados, proveedores, socios, inversionistas, directivos, funcionarios públicos, etc.).

Una sugerencia prioritaria para iniciar dicho ecosistema preventivo de protección y gestión del hábeas data es el establecimiento de un capítulo específico sobre la PROTECCIÓN Y GESTIÓN DEL HÁBEAS DATA al interior del MANUAL DE GOBIERNO SOCIETARIO O INSTITUCIONAL en cada empresa o entidad dirigido a establecer las políticas de buenas prácticas que regirán a la organización u organismo en esta materia. En complemento de esta sugerencia es importante efectuar la concepción, diseño y ejecución de un MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS, instrumento que es obligatorio para toda persona natural o jurídica que realice un tratamiento de datos personales de conformidad con los artículos 17 y 18 de la Ley 1581, en el cual se conciban todos los conductos que serán aplicables para la atención de consultas y de reclamaciones en materia de tratamiento de datos personales.

Finalmente, por un aspecto de seguridad jurídica integral y ajustada el contexto de acción específico de la empresa o entidad del sector, se sugiere realizar un cuadro comparativo entre el contenido de la Ley 1581 de 2012 y el contenido de la Ley 1266 de 2008 (3). Lo anterior permitirá una adecuada conformidad legal de la compañía o entidad del sector de acuerdo con la naturaleza de las actividades que desarrolle, pues podrá solo estar sujeta a una de estas dos leyes o puede estar sujeta en algunas actividades a una Ley y en otras actividades a la otra Ley, o inclusive en simultánea a ambas aplicando de cada una lo más pertinente y favorable para los titulares de datos personales; por ello el ecosistema de derecho preventivo en el tratamiento de los datos personales debe estar muy ajustado a cada mercado relevante (es decir a cada mercado tanto de producto -bienes y/o servicios- como territorial -es decir el contexto geográfico de impacto de la actividad respectiva-) de la empresa o entidad del sector.

(1) Con las excepciones de aplicación que se consagran en el artículo 2 la Ley 1581 de 2012 -por lo cual cada empresa o entidad del sector debe revisar muy bien la actividad o actividades que desarrolla para determinar su régimen aplicable (cada actividad tiene su propio régimen, entonces pueden aplicarse en una misma entidad o empresa del sector diferentes regímenes de acuerdo a cada actividad. Esta es una clara manifestación de la regulación por mercados relevantes)-, es decir:

“a) A las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico.

Cuando estas bases de datos o archivos vayan a ser suministrados a terceros se deberá, de manera previa, informar al Titular y solicitar su autorización. En este caso los Responsables y Encargados de las bases de datos y archivos quedarán sujetos a las disposiciones contenidas en la presente ley;

b) A las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo;

c) A las Bases de datos que tengan como fin y contengan información de inteligencia y contrainteligencia;

d) A las bases de datos y archivos de información periodística y otros contenidos editoriales;

e) A las bases de datos y archivos regulados por la Ley 1266 de 2008;

f) A las bases de datos y archivos regulados por la Ley 79 de 1993”.

(2) Las compañías y entidades con vínculos, directos o indirectos, con Colombia deben cumplir con todos sus deberes y garantizar todos los derechos de todos los titulares de datos personales con quienes tengan relación, directa o indirecta, a más tardar en ABRIL 17 DE 2013 (de acuerdo con el plazo señalado en el artículo 28 de la Ley 1581 de 2012). Por supuesto también es recomendable estar muy atento a las reglamentaciones que se efectúen sobre la Ley 1581, así como estar atento a la regulación sectorial que se vaya produciendo.

(3) “Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones”.