Artículos
17 de octubre de 2023

Los Datos Personales y su regulación en Colombia (datos sensibles, datos públicos, semiprivado y privado): Enfoque, ámbito de aplicación y contenido. 

Segunda Parte

Por: Diego Andrés Miranda Guzmán, Abogado egresado de la Universidad Popular del Cesar en Valledupar, especialista en Derecho del Medio Ambiente de la Universidad Externado de Colombia y estudiante de la Maestría en Derecho Informático y las Nuevas Tecnologías. Docente e Investigador universitario.

Introducción

Como hemos visto hasta ahora, la regulación de los datos personales en Colombia se estructura a razón a tres valores jurídicos interconectados. Por un lado, lo relacionado con el sustento constitucional y fundamental de la intimidad personal y familiar, génesis del régimen de protección y desde el cual se desarrolla el derecho al Habeas Data entendido este como la materialización en cabeza de los titulares de los datos, de tres derechos relacionados, a saber; conocer, actualizar y rectificar la información personal presente en las bases de datos públicas o privadas. Por último, la regulación colombiana desarrolla el esquema de protección de los datos personales, estableciendo los procesos y garantías adjetivas de los titulares de los datos, especialmente relacionadas con el adecuado tratamiento de los datos personales. 

La Ley 1266 de 2008 establece el marco de regulación de Habeas Data financiero propio para el tratamiento de los datos personales originados de las relaciones comerciales y financieras; sin embargo, haría falta el desarrollo de un instrumento jurídico general que permitiera garantizar la protección de los datos personales en términos de la garantía fundamental a la intimidad personal y familiar.

Ley 1581 de 2012[1]

Esta Ley, aunque emanada del congreso cuatro años después de la Ley de Habeas Data Financiero, contiene el marco general aplicable al manejo de los datos personales, ejercicio del Habeas Data, y las demás garantías contenidas en los artículos 15 y 20 C.N. Este marco de regulación del manejo de los datos personales tiene aplicación en virtud de su artículo 2º a todas las personas de naturaleza púbica o privada que realicen tratamiento de bases de datos. Se encuentran excluidas de la aplicación de este instrumento legal, las bases de datos domésticas o personales, las bases de datos relacionadas con la inteligencia y la seguridad nacional, y bases de datos con propósitos relacionados a la estadística histórica y fines periodísticos.

De acuerdo con esta Ley, el tratamiento de datos personales está sujeto a la autorización por parte del titular de la información, la cual debe ser previa, expresa e informada. La base de datos es el conjunto de datos personales que son sometidos a tratamiento. El tratamiento tiene un responsable[2], el cual puede ser una persona natural o jurídica, pública o privada, en sociedad o a título individual, que toma la decisión de crear la base de datos y decide sobre el tratamiento de esta. El Encargado[3] del Tratamiento es la persona que de manera directa realiza el tratamiento por cuenta del Responsable del Tratamiento. Cualquier persona, natural o jurídica, pública o privada, en sociedad o a título individual, puede ser Encargado del Tratamiento.

Por lo tanto, el tratamiento de los datos personales se realiza en una base de datos, por parte de un Encargado del Tratamiento, por cuenta de un Responsable del Tratamiento. El tratamiento entonces corresponde a cualquier operación o conjunto de operaciones que se realice sobre datos personales. De mamera sobresaliente, la recolección, almacenamiento, uso, circulación o supresión, son catalogadas por la Ley 1581 de 2012 como tratamiento de datos personales. El tratamiento de los datos personales es diferente de acuerdo con cada tipología de dato (público, semiprivado y privado).

Ley 2300 de 2023[4]

Una década después de promulgado el marco general de protección de los datos personales, se inicia en el congreso la tramitación del proyecto de ley S384 de 2022, el cual entrega al ordenamiento jurídico colombiano, la Ley 2300 de 2023 que tiene como propósito establecer medidas protectoras del derecho a la intimidad de los consumidores financieros y demás sujetos de gestiones de cobranza o recaudo de cartera. Sin embargo, es claro que este instrumento jurídico tiene como sujeto de aplicación son las personas naturales o jurídicas que realicen actividades relacionadas con la recuperación de obligaciones financieras o crediticias. 

Con el objetivo de ofrecer garantías de trato más humano a los consumidores de productos financieros o crediticios, esta Ley estable dos aspectos jurídicos importantes, por un lado, la autorización que deber ser recibida de parte del consumidor, en la que se indique los canales que estos autorizan para ser contactados. Las opciones de Canales Autorizados deben ser proporcionados por la entidad financiera o gestor de cobranza de manera previa e informada, permitiendo que los consumidores elijan el cuáles autoriza. Cabe resaltar que la Ley permite que los consumidores puedan ser contactados por varios canales, sin embargo, solo se podrá contactar mediante un solo canal a la semana.

Así las cosas, a los consumidores financieros o crediticios no se les podrá contactar mediante varios canales dentro de una misma semana ni en más de una ocasión durante el mismo día[5].  Lo que quiere decir que en una semana solo podrán ser contactados los consumidores mediante un solo canal, una vez al día. Además, el contacto diario permitido por la normal se deberá realizar en el horario comprendido entre las 7:00 am a las 7:00 pm, de lunes a viernes, y, de 08:00 am a 03:00 pm, el sábado, excluyendo de dicho horario los domingos y festivos. Así mismo, se prohíbe la práctica de contactar a las referencias personales o de índole distinta para procurar las obligaciones debidas por los consumidores.

Esta Ley establece en su artículo 5 que los aspectos antes mencionados (canales autorizados, horario y periodicidad) se aplicarán al envío de mensajes cortos de texto (SMS), mensajería por aplicaciones web, correos electrónicos y llamadas telefónicas de carácter comercial o publicitario, en el marco de las relaciones comerciales entre productores y proveedores de bienes y servicios públicos o privados y el consumidor comercial. Además de lo anterior, este artículo prohíbe que se condicione la realización de transacciones comerciales o el ingreso a establecimientos como locales o edificios, a la aceptación por parte del consumidor a recibir mensajes comerciales de ninguna índole, salvo los relacionados con el bien o servicio adquirido.[6]

Las gestiones de cobro mediante visitas al domicilio o lugar de trabajo del consumidor financiero o crediticio se podrán realizar siempre que se trate de obligaciones adquiridas bajo la modalidad de microcréditos, crédito de fomento, desarrollo agropecuario o rural. En cualquiera de los casos anteriores, deberá existir autorización expresa del consumidor. También se podrán llevar a cabo a cabo estas gestiones cuando las personas naturales o jurídicas responsables de la gestión de cobranza no cuenten con la información actualizada de los consumidores y exista un reporte o registro de imposibilidad para contactar o entregar los mensajes al consumidor destinatario, de parte de la empresa de telefonía o de mensajería física o electrónica.[7]

Tratamiento de los Datos Personales

Recordemos que el dato sensible es aquel que afecta la intimidad del titular, o se relaciona con los datos médicos o de salud, los relacionados con la sexualidad, los biométricos y los que por su uso puede generar discriminación en contra de su titular; como los relacionados con el origen étnico o racial, orientación política, convicciones religiosas o filosóficas, afiliación sindical, organizaciones sociales, de derechos humanos o las prácticas de proselitismo político o de partidos de oposición. 

Los datos sensibles[8] hacen referencia a información relacionada con circunstancias que pueden ser del interés único de su titular o que, de ser conocido públicamente, generaría una afectación a la intimidad. Por esta razón, el tratamiento de datos sensibles se encuentra prohibido, salvo en los casos en los que la Ley ha indicado que no se requiere autorización o el titular haya autorizado de manera explícita el tratamiento de datos sensibles. La autorización, necesaria para el tratamiento de datos sensibles, es la manifestación de la voluntad privada del titular del dato personal, consistente en permitir que otras personas realicen el tratamiento de sus datos personales.[9]

El tratamiento de datos sensibles se permite cuando es requerido para salvaguardar la vida de su titular, o se realice en el marco de las actividades de las organizaciones sin ánimo de lucro, sindicales o políticas; con la condición de que los datos se refieran solo a los miembros de estas organizaciones y estos no se suministren a terceros. También, se permite el tratamiento de datos sensibles para el reconocimiento y ejercicio del derecho de defensa en los procesos judiciales o con finalidad histórica, estadística o científica. El tratamiento de los datos personales de los niños, niñas y adolescentes[10] es un tratamiento especial permitido solamente cuando recae sobre datos de naturaleza pública, evento en el cual, los responsables y encargados del tratamiento deben garantizar los derechos prevalentes de los niños, niñas y adolescentes. Para todos estos casos debe mediar autorización del titular para el tratamiento de los datos personales.[11]

Para el tratamiento de datos personales privados y semiprivados se requiere la autorización del titular, previa e informada, la cual debe constar en medio tal que permita su consulta posterior. En todas las solicitudes de autorización el Responsable del Tratamiento deberá informar al titular de manera clara y precisa, qué tratamiento que le dará a los datos personales y la finalidad de este. Así mismo, deberá informarle al titular el derecho que tiene de no suministrar información sobre datos sensibles o relacionados con niñas, niños y adolescentes. En la autorización para el tratamiento de datos personales el Responsable del Tratamiento le debe informar al titular los derechos a los que puede acceder en virtud del ordenamiento legal. También deberá informar al titular los datos relacionados con la identificación, dirección física o electrónica y el teléfono del Responsable del Tratamiento.[12]

El tratamiento de los datos públicos no requiere autorización del titular. La información pública, de acuerdo con la Ley 1712 de 2014, es toda aquella información que las entidades del Estado, funcionarios públicos, órganos descentralizados, los partidos políticos o movimientos ciudadanos, las entidades que administren parafiscales, y en general, cualquier persona natural o jurídica que administre o gestiones dineros públicos; genere, obtenga, adquiera o controle. La información pública clasificada es la que pertenece al ámbito personal o semiprivado[13]. Y, la información pública reservada es la que no se tiene acceso abierto por interés público[14]. En todos los casos, se requiera autorización para el tratamiento, o no se requiera, se debe garantizar al titular del dato personal respeto por sus garantías fundamentales y un adecuado nivel de seguridad en la protección de los datos.  

Transferencia y Transmisión de Datos personales:

Teniendo en cuenta que los negocios en la era digital se realizan en el marco de un mercado globalizado, los datos también pueden ser sujeto de transferencia a países extranjeros. Para dicho propósito, el país al cual se quiere realizar la transferencia de datos debe estar reconocido por parte de la Superintendencia de Industria y Comercio – SIC, en la lista de países que ofrecen un nivel adecuado de protección de los datos personales. Está prohibido transferir datos a países que no cumplan con los estándares fijados por la SIC, salvo que; el titular otorgue autorización expresa e inequívoca para la transferencia; la transferencia de datos se requiera por una urgencia médica o sanitaria; cuando se trate de transferencias bancarias; en el marco de los tratados internacionales; en el marco de la defensa nacional o ejercicio de derechos en el marco de los procesos judiciales.[15]

La transferencia de datos se presenta cuando el Responsable o Encargado del Tratamiento de datos personales ubicado en Colombia, transfiere información o datos personales a un Responsable del Tratamiento, el cual puede estar dentro o fuera del país. Por otra parte, la transmisión de los datos personales se presenta cuando el tratamiento de los datos personales que realiza el Encargado del tratamiento por cuenta del Responsable del tratamiento, implica la comunicación de los datos dentro o fuera del país.[16]

La diferencia entre la transferencia y la transmisión consiste en que la transferencia es la entrega de la información de un Responsable o Encargado a otro Responsable, es decir, se entrega la base de datos. Mientras que la transmisión es la comunicación de los datos que hace el Encargado del Tratamiento por cuenta del Responsable. No se trata de una entrega de la base de datos, se trata una actividad propia del tratamiento en la cual debe comunicar los datos a terceros. También comparten o tienen similitudes, y consisten en que ambas se pueden presentar en el contexto nacional o internacional. Es decir, que se puede presentar transferencia o transmisión internacional de datos personales, así como transferencia o transmisión nacional de datos personales.   

De la Autoridad de Protección de Datos:

El Estado colombiano, mediante el decreto 1377 de 2013 impuso a la SIC, la obligación de impartir las medidas de seguridad relacionadas con la protección de datos personales. La SIC, funque como autoridad de protección de datos, dado que también tiene a su cargo adelantar las investigaciones relacionadas vulneraciones al derecho al Habeas Data; bloquear los datos cuando tenga pruebas de vulneración a derechos fundamentales; solicitar información a los Responsables y Encargados del Tratamiento de datos personales; y, realizar sugerencias para la actualización normativa en razón al avance de la tecnología. Además, la SIC tiene a su cargo la administración del Registro Nacional Público de Bases de Datos, y con ello, puede emitir las órdenes y actos necesarios para su funcionamiento. 

Ante la SIC, se pueden adelantar procesos administrativos sancionatorios en contra de los Responsables y Encargados del tratamiento de datos personales por el incumplimiento de los deberes y responsabilidades contenidas en la Ley 1581 de 2012 y le serán aplicables las normas procesales del Código Contencioso Administrativo y Código General del Proceso. Las sanciones impuestas por violación al régimen de datos personales consistirán en multa hasta por dos mil (2.000) salarios mínimos mensuales vigentes[17]; suspensión de actividades relacionadas del tratamiento de los datos hasta por seis meses; cierre temporal de operaciones relacionadas con el tratamiento, y, cierre inmediato y definitivo cuando la operación recaiga sobre datos sensibles.

El Registro Nacional de Bases de Datos es administrado por la SIC y es público, lo que quiere decir, que los ciudadanos pueden acceder al directorio de bases de datos que realizan tratamiento y operan en Colombia. El Decreto 1074 de 2015, en su artículo 2.2.2.26.1.2. establece que todas las bases de datos generadas o utilizadas por entidades públicas deben ser inscritas en el Registro Nacional de Bases de Datos, así como las sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 Unidades de Valor Tributario (UVT); con el fin de garantizar la transparencia y la disponibilidad de la información. Además, se determina que las entidades públicas deben asegurarse de que las bases de datos que se inscriban en el Registro cumplan con los requisitos y estándares de calidad, seguridad y protección de la información.  

Referencias Bibliográficas.

  1. Decreto 1377 de 2013, Por el cual se reglamenta parcialmente la Ley 1581 de 2012, Derogado Parcialmente por el Decreto 1081 de 2015. Artículo 3 y 4. Diario Oficial 48834 del 27 de junio de 2013. Disponible en: https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=53646
  2. Gómez Vásquez, Claudia Marcela. (2019). La autorización del titular del dato como expresión del derecho fundamental al Habeas Data en el ordenamiento legal colombiano y perspectivas desde el derecho comparado. Disponible en: https://repositorio.unal.edu.co/bitstream/handle/unal/69816/Tesis%20habeas%20data%20CMGV.pdf?sequence=1
  3. Ley 1266 de 2008, Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones. Artículo 26. Diario Oficial 47.219 de diciembre 31 de 2008. Disponible en: https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=34488
  4. Ley 1581 de 2012, Por la cual se dictan disposiciones generales para la protección de datos personales. Artículo 3e, 5, 6, 7, 12. Diario Oficial No. 48.587 de 18 de octubre de 2012. Disponible en:http://www.secretariasenado.gov.co/senado/basedoc/ley_1581_2012.html
  5. Ley 1712 de 2014, Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones. Artículo 6, literales c y d. Diario Oficial 49084 de marzo 6 de 2014 Disponible en: https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=56882
  6. Ley 2300 de 2023. Por medio de la cual se establecen medidas que protejan el derecho a la intimidad de los consumidores. Artículo 3 y 5. Diario Oficial No. 52.452 de 10 de julio de 2023. Disponible en: http://www.secretariasenado.gov.co/senado/basedoc/ley_2300_2023.html

[1] http://www.secretariasenado.gov.co/senado/basedoc/ley_1581_2012.html

[2] Ley 1581 de 2012, Artículo 3, e.

[3] Ley 1581 de 2012, Artículo 3, e.

[4] https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=213990

[5] Ley 2300 de 2023, Artículo 3.

[6] Ley 2300 de 2023, Artículo 5.

[7] Ley 2300 de 2023, Artículo 5

[8] Ley 1581 de 2012, Artículo 5.

[9] Gómez Vásquez, C. (2019). La autorización del titular del dato como expresión del derecho fundamental al Habeas Data en el ordenamiento legal colombiano y perspectivas desde el derecho comparado.

[10] Ley 1581 de 2012, Artículo 7.

[11] Ley 1581 de 2012, Artículo 6.

[12] Ley 1581 de 2012, Artículo 12.

[13] Ley 1712 de 2014, Artículo 6, c.

[14] Ley 1712 de 2014, Artículo 6, d.

[15] Ley 1266 de 2008, Artículo 26.

[16] Decreto 1377 de 2013, Artículo 3, 4.

[17] A la fecha de redacción del presente artículo el salario mínimo legal vigente en Colombia equivale a 277.90 dólares estadounidenses.