La protección de datos personales en Colombia, balance de la Ley 1581 de 2012 a tres años de su expedición

colombia_dos_años

Por Iván Darío Marrugo Jiménez

No cesan los escándalos a nivel global en temas relacionados con el fenómeno de la privacidad en el mundo moderno; a la par que los infieles intentan conservar su anonimato frente a la filtración de datos por el ataque sufrido por la red Ashley Madison, Colombia debe abrir un debate supremamente sensible, con relación a las revelaciones sobre el uso de software para la vigilancia cibernética por parte de la Policía Nacional. Ambos asuntos no son de poca monta y siguen mostrando la punta de un reto mayor: ¿cómo proteger la privacidad de las personas en un mundo hiperconectado?

Ad portas de cumplir tres años de haber sido expedida, la Ley 1581 del 17 de octubre del 2012 arroja un agrio resultado en materia de cumplimiento y unos importantes interrogantes sobre su eficacia.

Resultados

En primera medida, están los resultados. Si bien no se cuenta con cifras oficiales actuales, los balances en materia de sanciones que presenta la Delegatura de Protección de Datos Personales de la Superintendencia de Industria y Comercio (SIC) sufren serios inconvenientes, ya que muestran datos combinados por aplicación de la Ley 1266 del 2008 y los de la Ley 1581 del 2012.

En esto es importante que el ente de protección de datos divulgue cifras reales de su desempeño en materia sancionatoria; si bien la sanción no es el único criterio de medición, es el elemento que permite generar un impacto real del cumplimiento de la ley. Mientras no se castigue a las empresas, las prácticas como ventas o cesiones no autorizadas de bases de datos serán pan de cada día.

Por otra parte, en aras de generar un debate franco, hemos visto cómo el trabajo de la SIC ha tendido hacia una visión empresarial de la protección de los datos, dejando a su paso serias inquietudes sobre la efectividad de vigilancia frente a órganos públicos. Casos recientes, como la actividad de la Procuraduría General de la Nación frente al uso de información de uniones de parejas homosexuales y filtraciones de información desde entidades públicas de reclamantes de tierras que posteriormente fueron asesinados, pasaron desapercibidos para la SIC y no han sido objeto de pronunciamiento por parte de dicha entidad.

Lo anterior plantea serios interrogantes sobre la efectividad de control de un ente como la SIC cuando el investigado es otra entidad pública. Bien se sabe que las sanciones pecuniarias no son aplicables a las entidades, y frente a un supuesto hecho de trasgresión de la norma, la entidad debe dar aviso inmediato a la Procuraduría para la investigación disciplinaria. Pero, ¿qué pasa cuando a quien debe investigarse es al mismo Procurador General?

Efecto pedagógico

Al margen de lo anterior, debe resaltarse como positivo que la norma y la actividad de la SIC han logrado un efecto pedagógico en la sociedad. Lentamente, los colombianos despertamos en el conocimiento de un sistema de protección de datos – diferente al clásico mecanismo de tutela – que busca ser garantista y ofrecer un efecto legitimador de las  actividades empresariales que involucran el tratamiento de datos personales. Así mismo, asuntos como el uso de las redes sociales y la información privada que exponemos a diario con la tecnología han entrado a formar parte de las discusiones diarias y ofrecen serios retos para instituciones como la familia, el colegio, la universidad y el entorno laboral, por solo mencionar algunos.

En mayo pasado, la SIC, en el marco del III Congreso internacional de protección de datos personales, que se celebró en Medellín, oficializó el lanzamiento de las guías para la implementación del principio de responsabilidad demostrada (accountability), que permitirán a las empresas demostrar compromisos reales por el cumplimiento de la norma.

No obstante, se han experimentado dificultades en la puesta en marcha del Registro Nacional de Bases de Datos que, como instrumento, ofrece beneficios para controlar el cumplimiento de la norma.

Quedan retos importantes por abordar en estas sendas. El uso de drones, el derecho al olvido en la red, internet de las cosas y los debates reales sobre el uso de la tecnología y su incidencia en la privacidad serán temas que prometen impulsar discusiones que, lejos de ser descontextualizadas, ofrecen como principal ingrediente su actualidad. La construcción de una agenda nacional entorno a la privacidad y el papel del Estado, la sociedad y el mundo empresarial nunca había sido una necesidad tan real y tan sentida.