Internet y DerechoActualidad jurídica sobre Nuevas Tecnologías

Con motivo de la publicación de la Ley 1266 de 2008 en Colombia y las novedades que ésta aporta al entorno legislativo de la protección de datos en ese país, Alejandro Delgado, Director de área de Telecomunicaciones, Medios y Nuevas Tecnologías del despacho Parra, Rodriguez y Cavelier (Bogotá, Colombia), nos hace un análisis sobre el habeas data que publicaremos en 4 artículos.

Protección de datos en Colombia IV – Peticiones y consultas y Conclusiones a la Ley 1266 de 2008

Acerca de los procedimientos para conocer, corregir o actualizar la información que sobre datos personales tienen las fuentes u operadores, el artículo 16 de la Ley 1266 establece que el titular o sus causahabientes tendrán dos procedimientos distintos: uno en caso de querer conocer dicha información, por medio de peticiones y consultas, y el otro para corregir o actualizar dicha información a traves del procedimiento de reclamacion.

Así, el procedimiento de peticiones y consultas se puede realizar a través de cualquier medio (verbal o escrito). Así mismo, se deberá tener un registro técnico de las mismas, y su resolución deberá ser de fondo e integral. Dicho procedimiento tiene un término de 10 días hábiles prorrogables otros 5 (previa justificación y precisando la fecha en que se atendería).

En cambio, el procedimiento de reclamación únicamente se puede realizar de forma escrita. Como requisitos básicos de la reclamación, deberá tener la identificación y dirección, una descripción de los hechos, y los soportes correspondientes. Se podrá subsanar dichos requisitos dentro del mes siguiente a su presentación. Dicho procedimiento tiene un término de 15 días hábiles prorrogables otros 8 (previa justificación y precisando la fecha en que se atendería). Es importante aclarar que se da el mismo término para el caso de traslado de la reclamación del operador a la fuente, para que el operador pueda resolver.

Sin embargo, también se tienen las siguientes acciones legales relacionadas con la protección de datos en Colombia, como lo son la acción de tutela (contra cualquiera que haya incurrido en la violación), otras acciones judiciales para debatir lo relacionado con la obligación reportada como incumplida (en ese caso, a demanda será contra la fuente de la información, la cual deberá dentro de los 2 días siguientes a la notificación de la demanda informarle al operador); o en caso de comprobación de una irregularidad por parte del operador o usuario, se podría ir a un proceso de responsabilidad civil por los perjuicios causados.

Adicionalmente, es necesario anotar que de acuerdo con la ley 1273 de 2009, el que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes .

Además de la anterior disposición mencionada, la ley 1273 de 2009 también tipifica el acceso abusivo a un sistema informático, la obstaculización ilegítima de sistema informático o red de telecomunicación, la interceptación de datos informáticos, el daño informático, el uso de software malicioso, la suplantación de sitios Web para capturar datos personales (comúnmente denominado phishing), el hurto por medios informáticos y semejantes, y la transferencia no consentida de activos.

Así mismo, la Ley 1273 agrega como circunstancia de mayor punibilidad en el artículo 58 del Código Penal el hecho de realizar las conductas punibles utilizando medios informáticos, electrónicos ó telemáticos.

Conclusiones

Como vemos, la protección de datos personales en Colombia ha tenido un importante impulso con la promulgación de la Ley 1266 de 2008 y la Ley 1273 de 2009.

Por ahora, como se ha visto, el desarrollo jurisprudencial le otorga una protección que puede ser efectiva por medio de la acción de tutela. Sin embargo, falta un desarrollo legal sobre el habeas data no financiero para finalmente tener un marco jurídico completo en la materia. Es necesario hacer un esfuerzo adicional para lograr obtener el reconocimiento de la Unión Europea en materia de protección de datos, un incentivo importante para una industria colombiana en crecimiento como lo es la de los Call Centers.

Adicionalmente, es importante recalcar que el periodo de transición de la ley 1266 de 2008 es una oportunidad única para los deudores de volver a tener un historial crediticio sano, por lo que es recomendable el pago de sus obligaciones dentro de ese lapso de tiempo.

Alejandro Delgado, Director de área de Telecomunicaciones, Medios y Nuevas Tecnologías del despacho Parra, Rodriguez y Cavelier (Bogotá, Colombia).

Con motivo de la publicación de la Ley 1266 de 2008 en Colombia y las novedades que ésta aporta al entorno legislativo de la protección de datos en ese país, Alejandro Delgado, Director de área de Telecomunicaciones, Medios y Nuevas Tecnologías del despacho Parra, Rodriguez y Cavelier (Bogotá, Colombia), nos hace un análisis sobre el habeas data que publicaremos en 4 artículos.

Protección de Datos en Colombia III – Transferencia internacional, condiciones y sanciones

En cuanto a la transferencia internacional de los datos personales, la ley 1266 establece que para que proceda la transferencia del dato a un operador extranjero, el titular deberá consentir ante la fuente dicha puesta en disposición de la información personal.

Al respecto, la Corte Constitucional fue clara en señalar que las Superintendencias (SIC y Financiera) deberán analizar el cumplimiento de los estándares de garantía de derechos predicables del titular del dato personal, en la legislación del banco de datos extranjero de destino. Dichas entidades podrán, inclusive, identificar expresamente los ordenamientos legales extranjeros respecto de los cuales, luego de un análisis suficiente, pueda predicarse dicho grado de protección suficiente de los derechos del sujeto concernido. De manera correlativa, el ejercicio del acto de verificación a cargo del operador nacional al que refiere el literal f) del artículo 5º de la Ley, estará supeditado a que las entidades que ejercen la función de vigilancia hayan realizado el análisis de cumplimiento de estándares de protección de derechos antes aludido.

Condiciones

La Ley, en su artículo 13, explica que la información de carácter positivo permanecerá de manera indefinida en los bancos de datos de los operadores de información. Sin embargo, aclara que los datos cuyo contenido haga referencia al tiempo de mora, tipo de cobro, estado de la cartera, y en general aquellos datos referentes a una situación de incumplimiento de obligaciones, se regirán por un término máximo de permanencia.
El término de permanencia de esta información será de cuatro años, contados a partir de la fecha en que sean pagadas las cuotas vencidas, o sea pagada la obligación vencida. Vencido este tiempo, la información deberá ser retirada de los bancos de datos por el operador, de forma que los usuarios no puedan acceder o consultar dicha información.
Sin embargo, la Ley fijó un régimen de transición de 6 meses en que se fijan las siguientes condiciones:

• Para el cumplimiento de las disposiciones contenidas en la Ley 1266 de 2008, las personas que, a la fecha de su entrada en vigencia ejerzan alguna de las actividades mencionadas, tendrán un plazo de hasta seis (6) meses para adecuar su funcionamiento a las disposiciones de la norma.
• Los titulares de la información que a la entrada en vigencia de la ley estuvieren al día en sus obligaciones objeto de reporte, y cuya información negativa hubiere permanecido en los bancos de datos por lo menos un año contado a partir de la cancelación de las obligaciones, serán beneficiarios de la caducidad inmediata de la información negativa.
• A su vez, los titulares de la información que se encuentren al día en sus obligaciones objeto de reporte, pero cuya información negativa no hubiere permanecido en los bancos de datos al menos un año después de canceladas las obligaciones, permanecerán con dicha información negativa por el tiempo que les hiciere falta para cumplir el año, contado a partir de la cancelación de las obligaciones.
• Los titulares de la información que cancelen sus obligaciones objeto de reporte dentro de los seis (6) meses siguientes a la entrada en vigencia de la norma, permanecerán con dicha información negativa en los bancos de datos por el término de un (1) año, contado a partir de la fecha de cancelación de tales obligaciones.
• Cumplido este plazo de un (1) año, el dato negativo deberá ser retirado automáticamente de los bancos de datos. Este beneficio se perderá en caso que el titular de la información incurra nuevamente en mora

Sanciones

En cuanto a las sanciones, la Superintendencia de Industria y Comercio y la Superintendencia Financiera podrán imponer a los operadores, fuentes o usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, previas explicaciones de acuerdo con el procedimiento aplicable, las siguientes sanciones:

• Multas de carácter personal e institucional hasta por el equivalente a mil quinientos (1.500) salarios mínimos mensuales legales vigentes, al momento de la imposición de la sanción, por violación a la ley, normas que la reglamenten, así como por la inobservancia de las órdenes e instrucciones impartidas por dicha Superintendencia. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó.
• Suspensión de las actividades del banco de datos, hasta por un término de seis (6) meses, cuando se estuviere llevando a cabo la administración de la información en violación grave de las condiciones y requisitos previstos en la ley, así como por la inobservancia de las órdenes e Cierre o clausura de operaciones del banco de datos cuando, una vez transcurrido el término de suspensión, no hubiere adecuado su operación técnica y logística, y sus normas y procedimientos a los requisitos de ley, de conformidad con lo dispuesto en la resolución que ordenó la suspensión.
• Cierre inmediato y definitivo de la operación de bancos de datos que administren datos prohibidos.

Las sanciones por infracciones se graduarán atendiendo, entre otros, los siguientes criterios: la dimensión del daño o peligro a los intereses jurídicos tutelados por la presente ley, el beneficio económico que se hubiere obtenido para el infractor o para terceros por la comisión de la infracción, o el daño que tal infracción hubiere podido causar, y la reincidencia en la comisión de la infracción.

Alejandro Delgado, Director de área de Telecomunicaciones, Medios y Nuevas Tecnologías del despacho Parra, Rodriguez y Cavelier (Bogotá, Colombia).

Con motivo de la publicación de la Ley 1266 de 2008 en Colombia y las novedades que ésta aporta al entorno legislativo de la protección de datos en ese país, Alejandro Delgado, Director de área de Telecomunicaciones, Medios y Nuevas Tecnologías del despacho Parra, Rodriguez y Cavelier (Bogotá, Colombia), nos hace un análisis sobre el habeas data que publicaremos en 4 artículos.

La Ley 1266 de 2008, responsabilidades y consentimiento

La Ley está dirigida a desarrollar el derecho que tiene toda persona a conocer, actualizar y rectificar las informaciones que sobre ellas se hayan recogido en bancos de datos, al igual que a proteger los demás derechos, libertades y garantías constitucionales relacionadas con las actividades de recolección, tratamiento y circulación de datos personales, particularmente en relación con la información financiera y crediticia, comercial, de servicios y la proveniente de terceros países.

La Corte es clara en anotar que en cada acto de acopio, tratamiento y recolección de datos personales deberá preservarse la competencia del sujeto concernido de conocer, actualizar y rectificar la información contenida en la base de datos correspondiente. De igual manera, la administración de dicha información deberá garantizar la vigencia de los principios de libertad, necesidad, veracidad, integridad, incorporación, finalidad, utilidad, circulación restringida, caducidad e individualidad; los cuales, de acuerdo con la jurisprudencia constitucional, definen el contenido y alcance del derecho fundamental al hábeas data.

Adicionalmente, aclara que la condición de titular de información es predicable tanto de las personas naturales como jurídicas, en la medida en que las dos son susceptibles de producir información que puede ser recolectada por las bases de datos.

La Ley establece que la fuente de la información responde por la calidad de los datos suministrados al operador la cual, en cuanto tiene acceso y suministra información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstas para garantizar la protección de los derechos del titular de los datos.

La responsabilidad de los operadores

Por su parte, sujeta al operador al cumplimiento de los deberes y responsabilidades previstos para garantizar los derechos del titular de la información, lvo en los casos en que el operador sea la misma fuente de información, en donde al no tener relación comercial o de servicio con el titular, no es responsable por la calidad de los datos que le sean suministrados por la fuente.

Sobre dicha exoneración de responsabilidad, la Corte fue clara en anotar que los operadores son responsables concurrentes con las fuentes en la satisfacción de, entre otras garantías constitucionales, los principios de veracidad, integridad y finalidad e incorporación.

Sin embargo, la exclusión de responsabilidad al operador no puede predicarse luego de la transmisión de la información por la fuente, pues a partir de esa actuación el operador adopta la posición de agente responsable de la protección del derecho al hábeas data del sujeto concernido.

Igualmente, la legitimidad de la administración de datos personales depende de que el acopio, procesamiento y divulgación de la información responda a una finalidad constitucionalmente legítima, obligación que contrae la prohibición de la recopilación de información personal sin un objetivo definido y autorizado por el titular del dato, al igual que el uso de la misma para un propósito distinto al previsto y consentido por el sujeto concernido.

Al usuario por su parte, se le sujeta al cumplimiento de los deberes y responsabilidades previstos para garantizar la protección de los derechos del titular de los datos. En consecuencia, la norma prevé que en el caso que el usuario transfiera información directamente al operador, tendrá simultáneamente las calidades de usuario y fuente, asumiendo los deberes y responsabilidades de ambos.

La Ley define dato personal cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica. En segundo lugar establece que los datos impersonales no se sujetan al régimen de protección de datos previsto en la iniciativa.

En cuanto las agencias de información comercial participan en procesos de acopio, recolección y tratamiento de datos personales, les es exigible el cumplimiento de las prerrogativas propias del derecho al hábeas data incluyendo, en su condición de fuente de información, de obtener la autorización del titular para la inclusión del dato personal en un archivo o banco de datos.

La ley define la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países como aquella referida al nacimiento, ejecución y extinción de obligaciones dinerarias, independientemente de la naturaleza del contrato que les dé origen, así como la información relativa a las demás actividades propias del sector financiero o sobre el manejo financiero o los estados financieros del titular.

En consecuencia, los establecimientos financieros no podrán basarse exclusivamente en la información relativa al incumplimiento de obligaciones suministradas por los operadores, para adoptar decisiones frente a solicitudes de crédito. Así, se obliga a que la información contenida en los bancos de datos sea veraz, completa, exacta, actualizada, comprobable y comprensible; se prohíbe el registro y divulgación de datos parciales, incompletos, fraccionados o que induzcan al error; se obliga a que las actividades de recolección de datos personales obedezcan a una finalidad legítima de acuerdo con la Constitución y la ley. De la misma forma, establece que la finalidad deberá comunicársele al titular de la información previa o concomitante con el otorgamiento del titular de la autorización, cuando ella sea necesaria o, en general, siempre que el titular solicite información al respecto;

En virtud del principio de circulación restringida los datos personales, salvo la información pública, no podrán ser accesibles por Internet o por otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o a los usuarios autorizados para ello, en los términos de la disposición estatutaria; el dato del sujeto concernido no podrá ser suministrado a los usuarios cuando deje de servir para la finalidad del banco de datos; la norma estatutaria se interpretará en el sentido que se amparen adecuadamente los derechos constitucionales, como son el hábeas data, el derecho al buen nombre, el derecho a la honra, el derecho a la intimidad y el derecho a la información. Igualmente, establece que los derechos de los titulares se interpretarán en armonía con lo previsto en el artículo 20 de la Constitución y con los demás derechos constitucionales aplicables; impone que en la información personal contenida en bases de datos, así como en la resultante de las consultas que realicen los usuarios, se incorporen las medidas técnicas necesarias para garantizar la seguridad de los registros, a fin de evitar su adulteración, pérdida, consulta o uso no autorizado; y establece que todas las personas naturales o jurídicas que intervengan en la administración de datos personales que no tengan carácter público, están obligadas en todo tiempo a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende la administración de datos, pudiendo sólo realizar el suministro o comunicación de datos cuando ello corresponda al desarrollo de las actividades autorizadas por la norma estatutaria.

La función de vigilancia sobre la conducta de los agentes que intervienen en el proceso de administración de datos personales, se asigna a la Superintendencia de Industria y Comercio, y a la Superintendencia Financiera cuando la fuente, el operador o el usuario, sea una entidad vigilada por este órgano.

El consentimiento

A su vez, la Ley ha previsto una modalidad particular de consentimiento en lo que respecta a la administración de datos personales. La primera, que puede denominarse como de autorización doble, relacionada con los datos privados y semiprivados distintos a los comerciales y financieros, caso en el cual deberá contarse con el consentimiento del titular del dato, expresado tanto a la fuente (artículo 8º-5 de la Ley), como al operador de información (parágrafo del numeral 1.4. del artículo 6º de la Ley). El segundo, relativo a la administración de datos personales financieros, crediticios, comerciales, de servicios y provenientes de terceros países; evento en el que la eficacia del principio de libertad se logra con el consentimiento libre, previo y suficiente que el titular exprese ante la fuente de información, como requisito previo e ineludible para que ésta transmita los datos al operador

Sobre el principio de consentimiento, la Corte considera que (i) la interpretación adecuada y conforme a la Constitución del literal f) del artículo 5º de la Ley salvaguarda la obligación ineludible de las fuentes de información de contar con la autorización del titular para la inclusión del dato personal en los archivos y bancos de datos administrados por los operadores; por lo tanto, (ii) la vigencia de la libertad en los procesos de administración de datos personales se concreta en que el sujeto concernido preste su consentimiento previo, libre y expreso para la inclusión de la información en las bases de datos; (iii) la eliminación de esa autorización restringe el principio de libertad, que tiene raigambre constitucional, puesto que permite la incorporación inconsulta de información en las centrales de información, restricción que, a su vez, imposibilita el ejercicio de las facultades de conocimiento, actualización y rectificación del dato; (iv) la eliminación del consentimiento, no responde a un fin constitucionalmente legítimo, pues desconoce el carácter bilateral que tiene el cálculo del riesgo crediticio y, de igual manera, favorece un escenario proclive al abuso del poder informático; y (v) el hecho que el acceso a la información personal de contenido comercial y crediticio no esté prohibido en virtud de la protección del derecho a la intimidad, no es óbice para que respecto de esos datos se predican las garantías propias del derecho al hábeas data financiero. Dentro de estas prerrogativas se encuentra, inequívocamente, la obligatoriedad de la autorización del sujeto concernido, expresada a la fuente de información, para la inclusión del dato personal en el archivo o base de datos.

Al respecto, es importante aclarar que la fuente de información siempre estará obligada a contar con el consentimiento expreso, previo y suficiente del sujeto concernido, como requisito ineludible para la transferencia del dato personal de contenido financiero, comercial y crediticio al operador. Asunto distinto es que se releve al operador de contar con el consentimiento del titular para entregar el dato a un tercero, en los términos de la Ley, pues esta alternativa resulta en todo compatible con el derecho fundamental al hábeas data, pues parte del supuesto que el titular ya ha prestado su consentimiento ante la fuente de información.

Alejandro Delgado, Director de área de Telecomunicaciones, Medios y Nuevas Tecnologías del despacho Parra, Rodriguez y Cavelier (Bogotá, Colombia).