Los Datos Personales y su regulación en Colombia (datos sensibles, datos públicos, semiprivado y privado): enfoque, ámbito de aplicación y contenido

En Colombia, los Datos Personales involucran el derecho a la intimidad, el Habeas Data y la protección de datos. Las tecnologías de la información tienen un papel central en la Revolución tecnológica. Las Bases de Datos pueden ser públicas o privadas. El derecho a la Intimidad se relaciona con la autodeterminación informativa. El Habeas Data permite conocer, actualizar y rectificar datos personales. La protección de datos se basa en normativas legales como la Ley 1266 de 2008. La transferencia internacional de datos requiere evaluación especial. Los datos se clasifican como públicos, semiprivados o privados.

Por: Diego Andrés Miranda Guzmán, Abogado egresado de la Universidad Popular del Cesar en Valledupar, especialista en Derecho del Medio Ambiente de la Universidad Externado de Colombia y estudiante de la Maestría en Derecho Informático y las Nuevas Tecnologías. Docente e Investigador universitario.

Introducción

Los Datos personales en el marco jurídico colombiano involucran la interacción de tres componentes fundamentales; el derecho a la intimidad, el Habeas Data, y la protección de datos personales. El artículo 15 de la Constitución Política de Colombia – C.N. consagra el derecho fundamental en cabeza de todas las personas a la intimidad personal y familiar, y, además, consagra el derecho al buen nombre. Por último, al ejercicio efectivo de las garantías de protección de la información personal consistentes en conocer, actualizar y rectificar cualquier información personal que haya sido recogida en Bases de Datos públicas o privadas.

Las tecnologías de la información están en el centro de lo que se ha denominado Revolución tecnológica, dado que la tecnología ha modificado a escala global las dinámicas esenciales de la humanidad[1] (internet de las cosas – IoT); proporcionando bienestar y desarrollo, pero también nuevos riesgos[2] relacionados la exposición de los datos, la falta de cumplimiento del ordenamiento y nula protección integral al individuo en el entorno digital[3]. La información personal se almacena en Bases de Datos que pueden ser públicas o privadas, de acuerdo con la finalidad determinada para la creación de esta. La gestión de bases de datos; es decir, la recolección, tratamiento y circulación de los datos, debe hacerse con respeto de la libertad y las demás garantías del ordenamiento jurídico.

Las Bases de Datos son públicas cuando se crean con el objetivo de facilitar al Estado la prestación de los servicios estatales. El Estado, en el ejercicio de sus funciones crea bases de datos para la prestación de los servicios o actividades esenciales para satisfacer las necesidades básicas de la sociedad y garantizar la prestación de los servicios públicos. Ejemplo de estas bases de datos son las historias clínicas en dónde se almacena la información relacionada con el estado de salud de los pacientes y los distintos tratamientos a los que ha sido sometido. Así mismo, en el sector privado, las empresas en el desarrollo de sus actividades mercantiles recopilan, almacenan y utilizan datos e información relacionada con sus clientes, internos o externos, y su finalidad es cumplir un objetivo mercantil particular o privado.

El derecho a la Intimidad se circunscribe en el ámbito personalísimo del individuo y se concreta como la garantía o protección contra las intromisiones externas sobre bienes, datos o información personal que su titular no está dispuesto a exhibir al público. La Corte Constitucional de Colombia define en la sentencia T-552 de 1997[4], el núcleo esencial del derecho fundamental a la intimidad como el derecho a “no ser forzado a escuchar o a ver lo que no desea escuchar o ver, así como un derecho a no ser escuchado o visto cuando no se desea ser escuchado o visto”.

Por lo tanto, existe una clara constitucionalización de la intimidad relacionada con el adecuado manejo de la información que la persona decide exhibir a los otros, el cual ha sido denominado derecho de autodeterminación informativa. Este instrumento legal y su composición, es clave para la determinación de los límites a la gestión de los datos personales. Así las cosas, la Corte Constitucional ha sido clara al considerar que las centrales informáticas encargadas de gestionar la información financiera no vulneran el derecho a la intimidad, sin embargo, el derecho a la autodeterminación informativa se halla vulnerada cuando la información no es correcta, clara, completa o actual.

Constitucionalismo y Datos personales

Para la Corte Constitucional de Colombia, en los casos en los cuales la información que sobre las personas reposa en las bases de datos no sea veraz, actual o completa, el titular de la información personal es facultado para ejercer el derecho de Habeas Data, consistente en acciones tendientes a: conocer la información que sobre sí repose en bases de datos; a actualizar la información que sobre sí repose en las bases de datos, cuando la misma haya cambiado; y, rectificar aquella información que no corresponde con la realidad. Así las cosas, el derecho al Habeas Data, artículo 15 C. N[5], se vulnera cuando la información contenida en la Base de Dato es recogida de manera ilegal, sin el consentimiento del titular del dato; es errónea o recae sobre aspectos íntimos de la vida de su titular no susceptibles de ser conocidos públicamente.[6]

Las sentencias de Tutela, T 277 de 2015[7], T 050 de 2016[8] y T 143 de 2022[9], se refieren a escenarios judiciales que abordan la protección de los derechos a la dignidad humana, el buen nombre y la intimidad, así como la privacidad de los datos personales en relación con la información en línea y las redes sociales. La primera de estas sentencias, del año 2015 se refiere a una solicitud para eliminar información en línea relacionada con una captura y supuesta participación en hechos delictivos. Determinó la Corte que, en el caso en cuestión, el derecho a la intimidad de la persona solicitante no prevalece sobre el derecho a la información y la libertad de expresión. La sentencia desestima la solicitud de eliminación de información de internet.

El fallo de tutela del año 2016 se refiere a una publicación en Facebook que afectaba el buen nombre y la dignidad de una persona. En este escenario, el derecho a la intimidad y la dignidad de la persona afectada prevalece sobre el derecho a la libertad de expresión. La Corte constató que la publicación en Facebook atentaba contra la reputación y el buen nombre de la persona, y que esto constituía una violación de su derecho a la intimidad y a la dignidad humana, por lo tanto, ordenó eliminar la publicación en cuestión y determinó medidas para garantizar el cumplimiento de la decisión.

Por último, en la Sentencia de 2022 interpuesta por cuatro personas que consideran que el requisito de descargar y usar la aplicación “CoronApp” como condición para ingresar a aeropuertos nacionales y utilizar el transporte aéreo público esencial vulnera sus derechos a la privacidad, habeas data, libertad de locomoción y unidad familiar. Las accionantes argumentaron que el uso de la aplicación no es voluntario y que la política de tratamiento de información permite el acceso a sus datos personales por parte de personas autorizadas por ley o por orden judicial. La corte consideró que era apropiado advertir al gobierno nacional sobre la importancia de aplicar el marco legal para proteger el derecho al habeas data cuando se procesan datos personales.

El derecho al Habeas Data se refuerza con el derecho fundamental a la libertad, contenido en el artículo 20 C. N[10]. que faculta a las personas a informar y recibir información verás e imparcial. Desde el punto de vista de las categorías de los derechos, la Constitución de Colombia sitúa a la Intimidad como el bien jurídico esencial y del cual se deprenden el Habeas Data relacionado con la veracidad de la información personal contenida en las Bases De Datos y la Protección de los Datos Personales, determinando un marco legal que regula todo lo relacionado con el tratamiento de los datos personales y sus sujetos obligados.

Marco Legal de Protección de Datos Personales

La protección de los Datos Personales se enmarca en la garantía legal que establece el Estado mediante las normas jurídicas protectoras del derecho fundamental a la intimidad y a la privacidad. También, con el objetivo de evitar que mediante el tratamiento de datos sensibles[11], por su naturaleza íntima y confidencial pudieran ser utilizados para discriminar a su titular. Otro tópico relacionado con la protección de los datos personales y que también se abordará en el presente artículo, es la transferencia y transmisión de datos personales a países extranjeros. La transferencia internacional de datos es un proceso que requiere una evaluación especial debido a las diferencias en las leyes y regulaciones de protección de datos personales entre los diferentes países. A continuación, realizaremos un abordaje de dos de los instrumentos legales que regulan el tratamiento de los datos personales, bases de datos y demás aspectos relacionados.

Ley 1266 de 2008[12]

Mediante el presente instrumento legal, el Estado de Colombia desarrolló normativamente el derecho constitucional del Habeas Data, para los temas crediticios, de servicios y otros, en lo relacionado con el manejo de los datos personales contenidos en bases de datos, y, los demás derechos, libertades y garantías constitucionales relacionadas con la recolección, tratamiento y circulación de estos. De manera precisa y de acuerdo con los artículos 15 y 20 de la Constitución Política de Colombia, esta Ley se encarga de las bases de datos del sector financiero, crediticio, del comercio, servicios y la información originada en otros países. Este instrumento legal, comúnmente conocido como Habeas Data Financiero, aplica tanto a particulares como a entidades públicas que manejen datos como los relacionadas con los créditos, servicios y transferencia de datos; sin embargo, se exceptúa de esta Ley, las bases de datos que hace parte de la inteligencia del Estado o está relacionada con la defensa nacional y la seguridad. Este instrumento legal fue reformado por la Ley 2157 de 2021[13], en lo relacionado con el termino de caducidad del dato, el derecho al olvido, la disminución de la calificación por consulta; entre otros.

La Ley de habeas data financiero dedica un artículo a las definiciones, el cual es muy enriquecedor para la aproximación académica del tema. Para la Ley 1266 de 2008 el Titular de la Información[14], es la persona natural o jurídica a quien hace referencia la información contenida en la base datos. El titular de la información es sujeto del derecho de habeas data y los demás derechos protegidos en los demás artículos. Para el desarrollo de actividades cotidianas como realizar compras, acceder a servicios públicos o privados nos vemos en la necesidad de suministrar datos personales como el nombre, identificación, entre otros. Se considera que es fuente de información[15], la persona natural o jurídica que recibe o accede a los datos personales de los titulares de la información, en virtud de un mandato legal o por autorización del titular. La fuente de información puede suministrar los datos directamente a los usuarios o hacerlo por medio de los operadores de información.

El operador de información[16] es la persona, entidad u organización que sin tener relación con el titular de la información recibe de la fuente de información los datos personales para administrarlos y entregarlos a usuarios de datos personales. El operador de información debe respetar todos los derechos y garantías de los titulares de la información, sin embargo, no es responsable de la calidad suministrada por la fuente, a menos que fuente y operador sean el mismo. Y, se considera usuario a la persona natural o jurídica que accede a la información personal de los titulares de la información, por medio de un operador de información, o una fuente de información o de manera directa con el titular de la información. El usuario[17], así como los demás sujetos del marco de regulación de los datos personales, debe garantizar el respeto por las garantías constitucionales y legales del titular de los datos personales. El usuario puede también entregar información de terceros a operadores, por lo cual puede tener la calidad de usuario y fuente de información y deberá asumir los deberes y responsabilidades de cada uno de estos.

Los datos personales[18] corresponden a toda información relacionada con una o varias personas determinadas o identificables, o que se asocian a una persona natural o jurídica. Los datos personales pueden ser clasificados como públicos, semiprivados o privados, dependiendo de su naturaleza y se diferencian en la forma en que se manejan y protegen. Los datos personales identifican al titular, y así mismo su correlación crea un perfil sobre determinada persona.[19] La Ley o la constitución es el medio que puede asignar la calidad de Dato Público[20], sin embargo, de manera genérica se puede decir que los datos públicos son todos a aquellos que no corresponden con las categorías de dato semiprivado y dato privado. Se consideran datos públicos, de manera particular, la información o los datos contenidos en los documentos públicos, actos judiciales o administrativos que no se encuentren sometidos a reserva y los datos del estado civil de las personas. El Dato Semiprivado[21] se encuentra a mitad de camino entre el dato público y el dato privado. El dato semiprivado no tiene una naturaleza íntima, reservada o pública, sin embargo, su divulgación o conocimiento es de importancia para un sector, grupo de personas o la sociedad en general; como los datos crediticios o comerciales. Por último, el Dato privado[22]. Se considera como dato privado a la que solo le resulta relevante al titular por su relación íntima o reservada.

Referencias Bibliográficas.

1. Álvarez Caro, María. (2015). Derecho al olvido en internet: El nuevo paradigma de la privacidad en la era digital. Madrid, España: Editorial Reus. ISBN: 978-84-290-1836-3. DOI: 10.30462/9788429018363. Depósito legal: M-4002-2015. Páginas: 144.
2. Castells, Manuel. “La Era de la Información. Economía, Sociedad y Cultura. La Sociedad Red. Vol. 1”. Siglo XXI Editores, Sexta edición en español. Pág. 27.
3. Constitución Política de Colombia (1991). Artículo 15. Disponible en: https://www.constitucioncolombia.com/titulo-2/capitulo-1/articulo-15
4. Constitución Política de Colombia (1991). Artículo 20. Disponible en: https://www.constitucioncolombia.com/titulo-2/capitulo-1/articulo-20
5. Corte Constitucional de Colombia. Sentencia No. T-176/95. Temas: Acción de tutela contra particulares, Derecho al habeas data y caducidad del dato financiero. Magistrado Ponente: Dr. Eduardo Cifuentes Muñoz. Disponible en: https://www.corteconstitucional.gov.co/relatoria/1995/T-176-95.htm
6. Corte Constitucional de Colombia. Sentencia T-552/97. Temas: Derecho a la intimidad y habeas data. Magistrado Ponente: Dr. Vladimiro Naranjo Mesa. Disponible en: https://www.corteconstitucional.gov.co/relatoria/1997/t-552-97.
7. Corte Constitucional de Colombia. Sentencia T-277/15. Magistrada Ponente: María Victoria Calle Correa. Tema: Derecho a la Intimidad y al Debido Proceso. Disponible en: https://www.corteconstitucional.gov.co/relatoria/2015/t-277-15.htm.
8. Corte Constitucional de Colombia. Sentencia T-050/16. Magistrado Ponente: Gabriel Eduardo Mendoza Martelo. Tema: Derecho a la intimidad personal y familiar. Disponible en: https://www.corteconstitucional.gov.co/relatoria/2016/t-050-16.htm.
9. Corte Constitucional de Colombia. Sentencia T-143/22. Magistrado Ponente: Alejandro Linares Cantillo. Temas: Derecho al habeas data, libertad de locomoción, unidad familiar y privacidad. Disponible en: https://www.corteconstitucional.gov.co/Relatoria/2022/T-143-22.htm.
10. Galvis Cano, Lucero. (2019) Límites del tratamiento de los datos personales en el ámbito laboral frente al uso de las tecnologías de la información y comunicación en la era digital, disponible en: https://repository.usta.edu.co/handle/11634/26341
11. https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=34488
12. Ley 2157 de 2021, Por medio de la cual se modifica y adiciona la Ley Estatutaria 1266 de 2008, y se dictan disposiciones generales del Hábeas Data con relación a la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones. Diario Oficial No. 51.842 de 29 de octubre de 2021 Disponible en: http://www.secretariasenado.gov.co/senado/basedoc/ley_2157_2021.html
13. Machuca Vivar, Silvio Amable, Vinueza Ochoa, Nelly Valeria, Sampedro Guamán, Carlos Roberto, & Santillán Molina, Alberto Leonel. (2022). Habeas data y protección de datos personales en la gestión de las bases de datos. Revista Universidad y Sociedad, 14(2), 244-251. Epub 02 de abril de 2022. Recuperado en 09 de octubre de 2023, de http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S2218-36202022000200244&lng=es&tlng=.

---

[1] Castells, Manuel. “La Era de la Información. Economía, Sociedad y Cultura. La Sociedad Red. Vol. 1”. Siglo XXI Editores, Sexta edición en español. Pág. 27.

[2] Machuca Vivar, Silvio Amable; Vinueza Ochoa, Nelly Valeria; Sampedro Guaman, Carlos Roberto y Santillan Molina, Alberto Leonel. Habeas data y protección de datos personales en la gestión de las bases de datos. Universidad y Sociedad [online]. 2022, vol.14, n.2 [citado 2023-02-05], pp.244-251. Disponible en: <http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S2218-36202022000200244&lng=es&nrm=iso>.  Epub 02-Abr-2022. ISSN 2218-3620.

[3] Álvarez Cano, M. (2015). Derecho al olvido en internet: El nuevo paradigma de la privacidad en la era digital. España.

[4] https://www.corteconstitucional.gov.co/relatoria/1997/t-552-97.htm

[5] https://www.constitucioncolombia.com/titulo-2/capitulo-1/articulo-15

[6] https://www.corteconstitucional.gov.co/relatoria/1995/T-176-95.htm

[7] https://www.corteconstitucional.gov.co/relatoria/2015/t-277-15.htm

[8] https://www.corteconstitucional.gov.co/relatoria/2016/t-050-16.htm

[9] https://www.corteconstitucional.gov.co/Relatoria/2022/T-143-22.htm

[10] https://www.constitucioncolombia.com/titulo-2/capitulo-1/articulo-20

[11] La información sensible hace referencia a los datos personales relacionados o que permitan informar sobre la raza o etnia, orientación sexual, religión, creencias políticas, salud, entre otros, que puedan ser motivo de discriminación.

[12] http://www.secretariasenado.gov.co/senado/basedoc/ley_1266_2008.html

[13] http://www.secretariasenado.gov.co/senado/basedoc/ley_2157_2021.html

[14] Ley 1266 de 2008, Artículo 3, a.

[15] Ley 1266 de 2008, Artículo 3, b.

[16] Ley 1266 de 2008, Artículo 3, c.

[17] Ley 1266 de 2008, Artículo 3, d.

[18] Ley 1266 de 2008, Artículo 3, e.

[19] Galvis Cano, Lucero. (2019) Límites del tratamiento de los datos personales en el ámbito laboral frente al uso de las tecnologías de la información y comunicación en la era digital, disponible en: https://repository.usta.edu.co/handle/11634/26341

[20] Ley 1266 de 2008, Artículo 3, f.

[21] Ley 1266 de 2008, Artículo 3, g.

[22] Ley 1266 de 2008, Artículo 3, h.