Costos de transacción producto de inflación normativa en materia de protección de datos en Colombia

transacciones_datosPor Heidy Balanta

Los datos personales son necesarios para un correcto funcionamiento del mercado. La legislación existente en materia de protección de datos personales se considera como un régimen que protege la información personal del consumidor y establece unas reglas para quienes  administran la información, que vendría siendo todas las empresas o entidades del sector público y privado.

Sin embargo, la legislación en materia de protección de datos personales en Colombia, es relativamente nueva. En ese sentido, nos encontramos con la ley 1266 de 2008, que regula el manejo de la información contenida en bases de datos personales, en especial la financiera, comercial, de servicios y la proveniente de otros países.

Esta ley tiene varios decretos reglamentarios, como es el Decreto 2952 de 2010, y el Decreto 1727 de 2009. Por otro lado, se encuentra la ley 1581 de 2012, la cual dicta disposiciones generales para la protección de datos personales, y se encuentra reglamentada a través del  Decreto número 1317 de 2013.

Para el cumplimiento del régimen de protección de datos personales, la ley creo la Delegatura de Protección de Datos personales, adscrita a la Superintendencia de Industria y Comercio, la cual emite conceptos sobre esta legislación, además en la encargada de inspeccionar y vigilar a las empresas en cuanto al cumplimiento de protección de datos personales.

Esta vasta legislación ha venido generando ruido legislativo, además de las posiciones y conceptos y pronunciamientos de diferentes instituciones del Estado que desempeñan un rol en el régimen de protección de datos personales, como es la Superintendencia de Industria y Comercio y la Corte Constitucional.

La ley 1581 de 2012, genera una serie de obligaciones a todas las entidades del país, tanto del sector público y sector privado en el tratamiento adecuado de los datos personales. No obstante, hay una preocupación latente en la mayoría de estas entidades,  y es en ocasiones, por no entender bien, la delimitación del régimen de protección de datos personales. Esto, se evidencia en dos aspectos; por un lado, el alto volumen de peticiones que las empresas realizan ante la superintendencia de industria y comercio sobre el adecuado tratamiento de datos personales, y por otro lado, la cantidad de sanciones que las empresas han recibido por no aplicar dicha ley. Hasta agosto de 2013,  había 350 entidades sancionadas,  lo que refleja la otra cara de la moneda, y es la violación en el tratamiento de los datos personales de los consumidores.

Esta ley se expidió, sin una basta pedagogía sobre la aplicabilidad de la misma, lo que genera un aumento en los costos de transacción para las entidades. Será, que el  legislador cuando formuló la ley, ¿tuvo en cuenta la necesidad de las empresas de mantener los costos para su cumplimiento fuera  manejable?

Será, que el tiempo entre la promulgación de la ley y la entrada en vigencia, ¿fue suficiente para que las organizaciones pudieran cumplir con las medidas necesarias para adoptar y cumplir con el régimen de protección de datos? Creemos que no.

Es importante aclarar, que no se discute la pertinencia de la legislación en materia de protección de datos, se pone en tela de juicio, la diversidad de reglamentación que existe en la actualidad, y que genera cierto nerviosismo por no tener una adecuada delimitación.

La falta de un régimen de protección de datos personales, obstaculiza el flujo de información transfronteriza, teniendo en cuenta que estamos en una economía global,  y hoy día la legislación en esta materia, se ve como un aspecto esencial, en cualquier marco jurídico y legal de una economía. Una legislación de protección de datos personales es indispensable en cualquier sociedad hoy día.

En otro aspecto, el consumidor por muchísimos años ha sido maltratado. En el caso del sistema bancario y financiero el abuso del poder informático, como es la sanción al consumidor con un reporte negativo indefinido, que lo que generaba la muerte de la vida crediticia del consumidor, por no poder acceder a ningún tipo de crédito. La inserción por ejemplo de la ley 1266 de 2008, lo que hizo fue corregir esa falla de mercado, y estableció en adelante, una sanción máxima de cuatro años, que es el reporte negativo del consumidor en las centrales de riesgo, estableciendo que la información negativa no se puede conservar de manera indefinida, tiene un periodo temporal,  y después de cumplido con este tiempo se debe eliminar.

De acuerdo, a lo anterior, se estableció unas reglas de juego claras. No obstante, hay un claro problema originado por la institucionalidad, pues en vez de procurar herramientas que permita mejorar la productividad de las empresas, establece cada vez más, una serie de imposiciones en el actuar comercial de las compañías que no son claras, muchas ocasiones difusas, que genera una intencionalidad de cumplir la ley, pero lo que realmente ocasiona es su inaplicabilidad, lo que genera por supuesto, unos costos de transacción elevados al incumplirá.

Si se observa el caso de las empresas que tienen practicas adecuadas de protección de datos personales, no incurren en mayores costes adicionales para cumplir con esta nueva ley. En este caso, por lo general encontramos algunas empresas grandes. En cuanto al impacto, en las pequeñas y medianas empresas deberá ser mínimo dependiendo, sino recogen, o administras grandes cantidades de datos personales.

El intercambio de los datos personales, permite al individuo acceder fácilmente al crédito, a obtener un servicio más personalizado, pero el mal tratamiento por parte de las entidades que lo recolectan puede generar abusos, como el robo de identidad, ser discriminado en caso de conocerse un dato sensible, puede generar un estigma social, por lo cual, los costos de transacción por no adoptar las medidas establecidas en la legislación, puede generar en una entidad, las consecuencias como una publicidad negativa, perdida de ventas, recibir multas y sanciones.

Por otro lado, el Estado le queda muy complejo ejercer el papel de inspección, vigilancia y control, respecto al cumplimiento de la protección de datos personales. Precisamente las sanciones que establecen es producto de una petición o queja, son reactivos. Además, es un Estado presupuestario, que toma sus decisiones basados en un determinado presupuesto y no basado en muchas ocasiones con la realidad del país. Según el Consejo de Estado francés, una de las causas de inflación legislativa, es cuando  Estado de Derecho, entraña  un crecimiento en el número de intervenciones de la vida privada.

No obstante, ¿hasta que punto es viable la protección de los datos personales por parte del Estado, cuando son fines de intercambio comercial? Se parte del principio que las partes en una negociación deben tener el mayor conocimiento una de la otra.

Richard Posner (1978 , 1981),  ha comentado al respecto, argumentando, que la protección de la intimidad crea ineficiencias en el mercado, ya que oculta información potencialmente relevante de otros agentes económicos.  Postura que no comparto, pues hay datos personales de carácter público, los cuales están dados para los intercambios comerciales. Por supuesto, en la medida de que el negocio sea más riesgoso, obligatoriamente las partes requerirán mayor transparencia y conocimiento de una parte respecto de otra.

Precisamente, Mauricio Rubio, en su investigación “Reglas de Juego y costos de Transacción en Colombia, establece  que los colombianos seguimos sin entender por que la economía no crece como debería”, establece  que parte de la respuesta puede estar por los lados de la situación de los derechos de los empresarios, del funcionamiento de la justicia, de los conflictos en los intercambios, y  de la peculiar cultura de los negocios, de la inflación normativa, y de otros factores relacionados con los costo de transacción y las reglas de juego que enfrenta el sector productivo nacional.

Se debe tener presente esta situación, que es claramente preocupante, pues hoy en día la inversión extranjera que mira los países en desarrollo, uno de sus aspectos a evaluar es precisamente la adecuada protección de los datos personales, por ejemplo el sector de servicios, específicamente BPO, donde tienen que manejar en el país, datos de ciudadanos colombianos y extranjeros, para seguimiento de cartera, servicio al cliente, asistencia técnica, por citar algunos casos.

En conclusión, la legislación en materia de protección de datos, es variada, estableciendo unas reglas en una ley, otras reglas en otra ley, y en los decretos establece otras reglas, que por una parte genera confusión entre los empresarios, lo que ocasiona, por un lado, la aplicabilidad errada de la ley, o la no aplicabilidad, lo que muchas veces cuestiona su eficiencia, desembocando todo, en una falta de seguridad jurídica. Precisamente, uno de los aspectos que incluye la seguridad jurídica, es la delicadeza con que el legislador debe realizar reformas legales, donde su lenguaje debe ser claro, transparente,  y preciso, y evitar diversas interpretaciones, como esta sucediendo ahora. Precisamente el Decreto 1317 de 2013 se encuentra demandado inconstitucionalmente, debido a que contradice lo establecido en la ley 1581 de 2013, y lo que estableció la Corte constitucional en sentencia de constitucionalidad, en cuanto a la autorización del titular del dato.

Esperemos a ver en que termina, no obstante es un reto para el legislador y los organismos del Estado que hacen cumplir la norma, no se trata de crear y crear leyes, se trata de entender el porque de las cosas y para que las debemos crear, que equilibre los derechos de los consumidores respecto a los beneficios de los productores.