Precisiones jurisprudenciales sobre protección de datos personales

jurisprudencia_3

Por Nelson Remolina Angarita

Introducción.

Escribir sobre la protección de datos personales en Colombia es una cuestión que debe precisarse en el tiempo. Ello obedece a que seguramente muchas personas han escuchado desde 2009 se está  tratando de expedir la futura ley estatutaria “por la cual se dictan disposiciones generales para la protección de datos personales”.

Finalmente el 17 de octubre de 2012 se expidió la Ley Estatutaria 1581 de 2012. La mora en su expedición obedeció al trámite que exige la Constitución colombiana para la regular derechos fundamentales y al excesivo tiempo que se han tomado los sujetos responsables en cumplir los mandatos constitucionales.

Esta nueva ley debe leerse de manera conjunta con la sentencia C-748 de 2011 pues la misma contiene precisiones sobre el texto aprobado por el Congreso de la República de Colombia. Estas líneas se refieren a algunos aspectos cardinales  sobre la misma que serán relevantes en la interpretación y reglamentación de la ley en comento.

I. La sentencia c-748 de 2011: decisión constitucional sobre la Ley Estatutaria 1581 de 2012.

Aunque la sentencia C-748 fue expedida con fecha del 5 de octubre de dicho año, lo cierto que el texto fue publicado el 25 de julio de 2012. Al margen de la importancia de la sentencia radica en varias cosas: En primer lugar, por tratarse de una revisión automática e integral de todo el texto de la ley, la misma será el referente permanente para la interpretación del alcance de la ley; En segundo lugar, también será el punto de referencia que debe tener presente el gobierno nacional para la reglamentación de la ley y, en tercer lugar, la sentencia comprende una serie de precisiones y adiciones al texto de ley 1581 de 2012 aprobado por el Congreso. En otras palabras, la Corte modificó y precisó algunos tópicos de la ley, lo cual obliga a que hacia futuro la ley se lea y aplique de manera armónica con el texto de la sentencia en comento.

Son muchas las precisiones de la Corte dentro de las cuales destacamos las siguientes

a. Aplicación integral de la ley a la información de personas naturales.

La Corte reiteró que la ley rige el tratamiento de los datos de las personas naturales, pero dejó abierta la posibilidad para que en algunas situaciones pueda también aplicarse para el caso de la información sobre las personas jurídicas. En este sentido, dicha Corporación concluyó que “es legítima la referencia a las personas naturales, lo que no obsta para que, eventualmente, la protección se extienda a las personas jurídicas cuando se afecten los derechos de las personas que la conforman”

b. Inclusión de principios no previstos en el texto de ley aprobado por el Congreso de la República de Colombia

Los principios que la Corte adicionó al texto aprobado por el Congreso son:

“2.6.6.1. Principios derivados directamente de la Constitución: (i) la prohibición de discriminación por las informaciones recaudadas en las bases de datos, (ii) el principio de interpretación integral de los derechos constitucionales y (ii) la obligación de indemnizar los perjuicios causados por las posibles fallas en el proceso de administración de datos”

“2.6.6.2. Principios derivados del núcleo temático del proyecto de ley estatutaria: (i) principio de la proporcionalidad del establecimiento de excepciones; (ii) principio de autoridad independiente; (iii) principio de exigencia de estándares de protección equivalentes para la transferencia internacional de datos”

c. No autorizaciones tácitas ni validez del silencio como consentimiento.

El alcance de la autorización será determinante para establecer qué  puede hacer una organización pública o privada con los datos personales, a quiénes puede permitirle acceso y a quiénes puede enviarle dicha información.

La Corte descartó la posibilidad de aceptar como válidas la aceptación tácita y el silencio. Decidió dicha corporación que:

“De todo lo anterior, puede entonces deducirse: (i) los datos personales sólo pueden ser registrados y divulgados con el consentimiento libre, previo, expreso e informado del titular. Es decir, no está permitido el consentimiento tácito del Titular del dato y sólo podrá prescindirse de él por expreso mandato legal o por orden de autoridad judicial, (ii) el consentimiento que brinde la persona debe ser definido como una indicación específica e informada, libremente emitida, de su acuerdo con el procesamiento de sus datos personales. Por ello, el silencio del Titular nunca podría inferirse como autorización del uso de su información y (iii) el principio de libertad no sólo implica el consentimiento previo a la recolección del dato, sino que dentro de éste se entiende incluida la posibilidad de retirar el consentimiento y de limitar el plazo de su validez” (Destaco)

“(…) En consecuencia, los datos personales sólo puede ser registrados y divulgados con el consentimiento libre, previo, expreso e informado del titular. Las únicas excepciones posibles serán las establecidas en el artículo 10 del proyecto de ley bajo examen.

En consecuencia no está permitido el consentimiento tácito del Titular del dato. El consentimiento que brinde la persona debe ser definido como una indicación específica e informada, libremente emitida, de su acuerdo con el procesamiento de sus datos personales”

d. Cruce de datos entre diferentes sistemas de información.

Si una organización desea cruzar o intercambiar  información con otros sistemas de información debe cerciorarse de contar con autorización legal o del titular para ello. Esto se deriva de la siguiente observación de la Corte Constitucional:

“En cuanto al segundo inciso, la norma debe entenderse que también se encuentra prohibida toda conducta tendiente al cruce de datos entre las diferentes bases de información, excepto cuando exista una autorización legal expresa, es decir, lo que la jurisprudencia ha denominado el principio de individualidad del dato”

e. Ampliación de las situaciones en donde es posible la revocatoria de la autorización.

La Corte manifestó que la revocatoria de la autorización no sólo es procedente cuando la Superintendencia de Industria y Comercio haya determinado que el encargado o el responsable han realizado un tratamiento contrario a la ley y a la Constitución. También es factible en situaciones en las que no es obligatorio que legal o contractualmente deba permanecer el dato en una base de datos. Para la Corte el literal e) del artículo 8:

“(…) debe ser entendido en el sentido que el Titular podrá revocar la autorización y solicitar la supresión del dato cuando: (i) no se respeten los principios, derechos y garantías constitucionales y legales. En este caso, y en aras de garantizar el debido proceso, siempre y cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias al ordenamiento y (ii) en virtud de la solicitud libre y voluntaria del Titular del dato, cuando no exista una obligación legal o contractual que imponga al Titular el deber de permanecer en la referida base de datos”

f. Las normas corporativas vinculantes como una herramienta para la transferencia internacional de datos entre las diferentes sedes de una organización multinacional.

Si una organización requiere enviar a otros países los datos personales que tiene en Colombia, puede acudir a las normas corporativas vinculantes (NCV) como una solución para facilitar la transferencia internacional de datos entre empresas de un grupo multinacional.

Para la transferencia internacional se requiere autorización explícita del titular en ese sentido y las NCV deben contar con la aprobación de la Delegatura de Protección de Datos Personales de la Superintendencia de industria y Comercio.  Sobre este último aspecto la Corte manifestó lo siguiente:

“la Corte considera que para que estas normas cumplan su objetivo, una vez el Gobierno Nacional las reglamente y las organizaciones las  implementen, deben ser revisadas por la autoridad de protección, función que no fue enlistada en las funciones que se le van a asignar al mencionado ente”

“En los términos expuestos y bajo la condición que dichas normas las revise la autoridad de protección, el artículo 28 será declarado exequible”

II. Conclusiones

Tal y como sucedió con la ley sectorial 1266 de 2008 la ley 1581 de 2012 deberá leerse de manera conjunta con la sentencia C-748 de 2011. Esto denota que otra vez el legislador colombiano no estuvo a la altura de las exigencias constitucionales de la protección de datos personales en Colombia.

Artículo publicado por el autor en la Revista Latinoamericana de Protección de Datos Personales, el 30 de diciembre de 2012.