Protección de Datos en Colombia II- La Ley 1266 de 2008, responsabilidades y consentimiento
Filed Under (Artículos, Informes) by admin on 05-02-2009
Tagged Under : consentimiento, intimidad, proteccion de datos, responsabilidad, tratamiento de datos
Con motivo de la publicación de la Ley 1266 de 2008 en Colombia y las novedades que ésta aporta al entorno legislativo de la protección de datos en ese país, Alejandro Delgado, Director de área de Telecomunicaciones, Medios y Nuevas Tecnologías del despacho Parra, Rodriguez y Cavelier (Bogotá, Colombia), nos hace un análisis sobre el habeas data que publicaremos en 4 artículos.
La Ley 1266 de 2008, responsabilidades y consentimiento
La Ley está dirigida a desarrollar el derecho que tiene toda persona a conocer, actualizar y rectificar las informaciones que sobre ellas se hayan recogido en bancos de datos, al igual que a proteger los demás derechos, libertades y garantías constitucionales relacionadas con las actividades de recolección, tratamiento y circulación de datos personales, particularmente en relación con la información financiera y crediticia, comercial, de servicios y la proveniente de terceros países.
La Corte es clara en anotar que en cada acto de acopio, tratamiento y recolección de datos personales deberá preservarse la competencia del sujeto concernido de conocer, actualizar y rectificar la información contenida en la base de datos correspondiente. De igual manera, la administración de dicha información deberá garantizar la vigencia de los principios de libertad, necesidad, veracidad, integridad, incorporación, finalidad, utilidad, circulación restringida, caducidad e individualidad; los cuales, de acuerdo con la jurisprudencia constitucional, definen el contenido y alcance del derecho fundamental al hábeas data.
Adicionalmente, aclara que la condición de titular de información es predicable tanto de las personas naturales como jurídicas, en la medida en que las dos son susceptibles de producir información que puede ser recolectada por las bases de datos.
La Ley establece que la fuente de la información responde por la calidad de los datos suministrados al operador la cual, en cuanto tiene acceso y suministra información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstas para garantizar la protección de los derechos del titular de los datos.
La responsabilidad de los operadores
Por su parte, sujeta al operador al cumplimiento de los deberes y responsabilidades previstos para garantizar los derechos del titular de la información, lvo en los casos en que el operador sea la misma fuente de información, en donde al no tener relación comercial o de servicio con el titular, no es responsable por la calidad de los datos que le sean suministrados por la fuente.
Sobre dicha exoneración de responsabilidad, la Corte fue clara en anotar que los operadores son responsables concurrentes con las fuentes en la satisfacción de, entre otras garantías constitucionales, los principios de veracidad, integridad y finalidad e incorporación.
Sin embargo, la exclusión de responsabilidad al operador no puede predicarse luego de la transmisión de la información por la fuente, pues a partir de esa actuación el operador adopta la posición de agente responsable de la protección del derecho al hábeas data del sujeto concernido.
Igualmente, la legitimidad de la administración de datos personales depende de que el acopio, procesamiento y divulgación de la información responda a una finalidad constitucionalmente legítima, obligación que contrae la prohibición de la recopilación de información personal sin un objetivo definido y autorizado por el titular del dato, al igual que el uso de la misma para un propósito distinto al previsto y consentido por el sujeto concernido.
Al usuario por su parte, se le sujeta al cumplimiento de los deberes y responsabilidades previstos para garantizar la protección de los derechos del titular de los datos. En consecuencia, la norma prevé que en el caso que el usuario transfiera información directamente al operador, tendrá simultáneamente las calidades de usuario y fuente, asumiendo los deberes y responsabilidades de ambos.
La Ley define dato personal cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica. En segundo lugar establece que los datos impersonales no se sujetan al régimen de protección de datos previsto en la iniciativa.
En cuanto las agencias de información comercial participan en procesos de acopio, recolección y tratamiento de datos personales, les es exigible el cumplimiento de las prerrogativas propias del derecho al hábeas data incluyendo, en su condición de fuente de información, de obtener la autorización del titular para la inclusión del dato personal en un archivo o banco de datos.
La ley define la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países como aquella referida al nacimiento, ejecución y extinción de obligaciones dinerarias, independientemente de la naturaleza del contrato que les dé origen, así como la información relativa a las demás actividades propias del sector financiero o sobre el manejo financiero o los estados financieros del titular.
En consecuencia, los establecimientos financieros no podrán basarse exclusivamente en la información relativa al incumplimiento de obligaciones suministradas por los operadores, para adoptar decisiones frente a solicitudes de crédito. Así, se obliga a que la información contenida en los bancos de datos sea veraz, completa, exacta, actualizada, comprobable y comprensible; se prohíbe el registro y divulgación de datos parciales, incompletos, fraccionados o que induzcan al error; se obliga a que las actividades de recolección de datos personales obedezcan a una finalidad legítima de acuerdo con la Constitución y la ley. De la misma forma, establece que la finalidad deberá comunicársele al titular de la información previa o concomitante con el otorgamiento del titular de la autorización, cuando ella sea necesaria o, en general, siempre que el titular solicite información al respecto;
En virtud del principio de circulación restringida los datos personales, salvo la información pública, no podrán ser accesibles por Internet o por otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o a los usuarios autorizados para ello, en los términos de la disposición estatutaria; el dato del sujeto concernido no podrá ser suministrado a los usuarios cuando deje de servir para la finalidad del banco de datos; la norma estatutaria se interpretará en el sentido que se amparen adecuadamente los derechos constitucionales, como son el hábeas data, el derecho al buen nombre, el derecho a la honra, el derecho a la intimidad y el derecho a la información. Igualmente, establece que los derechos de los titulares se interpretarán en armonía con lo previsto en el artículo 20 de la Constitución y con los demás derechos constitucionales aplicables; impone que en la información personal contenida en bases de datos, así como en la resultante de las consultas que realicen los usuarios, se incorporen las medidas técnicas necesarias para garantizar la seguridad de los registros, a fin de evitar su adulteración, pérdida, consulta o uso no autorizado; y establece que todas las personas naturales o jurídicas que intervengan en la administración de datos personales que no tengan carácter público, están obligadas en todo tiempo a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende la administración de datos, pudiendo sólo realizar el suministro o comunicación de datos cuando ello corresponda al desarrollo de las actividades autorizadas por la norma estatutaria.
La función de vigilancia sobre la conducta de los agentes que intervienen en el proceso de administración de datos personales, se asigna a la Superintendencia de Industria y Comercio, y a la Superintendencia Financiera cuando la fuente, el operador o el usuario, sea una entidad vigilada por este órgano.
El consentimiento
A su vez, la Ley ha previsto una modalidad particular de consentimiento en lo que respecta a la administración de datos personales. La primera, que puede denominarse como de autorización doble, relacionada con los datos privados y semiprivados distintos a los comerciales y financieros, caso en el cual deberá contarse con el consentimiento del titular del dato, expresado tanto a la fuente (artículo 8º-5 de la Ley), como al operador de información (parágrafo del numeral 1.4. del artículo 6º de la Ley). El segundo, relativo a la administración de datos personales financieros, crediticios, comerciales, de servicios y provenientes de terceros países; evento en el que la eficacia del principio de libertad se logra con el consentimiento libre, previo y suficiente que el titular exprese ante la fuente de información, como requisito previo e ineludible para que ésta transmita los datos al operador
Sobre el principio de consentimiento, la Corte considera que (i) la interpretación adecuada y conforme a la Constitución del literal f) del artículo 5º de la Ley salvaguarda la obligación ineludible de las fuentes de información de contar con la autorización del titular para la inclusión del dato personal en los archivos y bancos de datos administrados por los operadores; por lo tanto, (ii) la vigencia de la libertad en los procesos de administración de datos personales se concreta en que el sujeto concernido preste su consentimiento previo, libre y expreso para la inclusión de la información en las bases de datos; (iii) la eliminación de esa autorización restringe el principio de libertad, que tiene raigambre constitucional, puesto que permite la incorporación inconsulta de información en las centrales de información, restricción que, a su vez, imposibilita el ejercicio de las facultades de conocimiento, actualización y rectificación del dato; (iv) la eliminación del consentimiento, no responde a un fin constitucionalmente legítimo, pues desconoce el carácter bilateral que tiene el cálculo del riesgo crediticio y, de igual manera, favorece un escenario proclive al abuso del poder informático; y (v) el hecho que el acceso a la información personal de contenido comercial y crediticio no esté prohibido en virtud de la protección del derecho a la intimidad, no es óbice para que respecto de esos datos se predican las garantías propias del derecho al hábeas data financiero. Dentro de estas prerrogativas se encuentra, inequívocamente, la obligatoriedad de la autorización del sujeto concernido, expresada a la fuente de información, para la inclusión del dato personal en el archivo o base de datos.
Al respecto, es importante aclarar que la fuente de información siempre estará obligada a contar con el consentimiento expreso, previo y suficiente del sujeto concernido, como requisito ineludible para la transferencia del dato personal de contenido financiero, comercial y crediticio al operador. Asunto distinto es que se releve al operador de contar con el consentimiento del titular para entregar el dato a un tercero, en los términos de la Ley, pues esta alternativa resulta en todo compatible con el derecho fundamental al hábeas data, pues parte del supuesto que el titular ya ha prestado su consentimiento ante la fuente de información.
Alejandro Delgado, Director de área de Telecomunicaciones, Medios y Nuevas Tecnologías del despacho Parra, Rodriguez y Cavelier (Bogotá, Colombia).