Regulación y novedades COVID-19


Protección de datos personales

Una década de protección de datos personales en Colombia: diez años de la ley 1581 de 2012

Por Daniel Peña Valenzuela, socio de Peña Mancero Abogados

El 2022 es un momento de celebración y de balance; de memoria y de pensar en el futuro de la protección de datos personales en Colombia. Se cumple una década de la Ley 1581 de 2012 que convirtió a la Data Protection y al Habeas Data en uno de los ejes normativos del uso de información personal en el ámbito estatal, empresarial e individual.  La Ley 1581 definió normativamente el derecho fundamental previsto en el artículo 15 de la Constitución de 1991 que tenía para ese momento un desarrollo jurisprudencial  significativo mediante sentencias de tutela de la Corte Constitucional y ha sido el pilar de la hoja de ruta para la cultura de la protección de la información personal en Colombia, así como un ejemplo a seguir para varios países de la región.

De manera paulatina, en Colombia se ha generado conciencia del valor de los datos personales y del necesario respeto en el procesamiento y uso de los mismos con el fin de lograr un cumplimiento de la ley y la sostenibilidad de los modelos de negocios que tienen como base la información o aquellos que de manera marginal hacen uso de la misma. La Ley 1581 incorpora de manera expresa las reglas y principios que se deben cumplir para el uso de la información personal.

En los últimos década, de manera coincidente con la puesta en funcionamiento de la Ley 1581, las Tecnologías de la Información y las Comunicaciones TIC ha evolucionado de manera acelerada y se han introducido nuevas y disruptivas maneras de procesar información como el Internet de las Cosas, Computación en la Nube, Inteligencia Artificial y Blockchain, así como una transformación digital prácticamente en todos los negocios que tienen en la actualidad un componente digital; así mismo los referentes mundiales en manera regulatoria como la OECD,  la Unión Europea, Los Estados Unidos han introducido cambios y modificaciones a sus modelos normativos siempre evidenciando la relevancia de una adecuada e integral protección a los datos personales.

En Colombia, la Superintendencia de Industria y Comercio de Colombia como autoridad nacional de protección de datos personales, encargada de la aplicación de la normatividad (Ley 1581, Decretos reglamentarios y Circulares, entre otras) ha tenido un papel preponderante en la guía de  implementación práctica, en la interpretación de este régimen jurídico especializado así como en la investigación y sanción a quienes lo vulneren. La autorización debida para el uso de datos personales, la finalidad de la explotación, el cumplimento de los deberes y obligaciones de encargados y responsables y el respeto del derecho de los titulares son tópicos que se repiten en el contexto práctico a escala empresarial. Así mismo la transferencia y transmisión de los datos personales a países distintos a Colombia así como las políticas de privacidad  se han convertido en temas del día a día de empresarios y ciudadanos.

El equilibrio entre el uso de información personal por el Estado colombiano con diferentes propósitos por ejemplo estadísticos, seguridad ciudadana o protección de la salud pública frente a las garantías constitucionales del derecho de protección de datos de los ciudadanos es un tema fundamental que ha acompañado esta década de implementación y es la columna vertebral para la construcción democrática del Estado social de derecho en el marco de la Sociedad de la Información y la Economía Digital que se establece como elemento fundante de la Constitución Colombiana con el rol tutelar de la Corte Constitucional.

A escala empresarial, este régimen normativo se ha convertido en un elemento fundamental de las obligaciones de cumplimiento legal para mitigar riesgos de sanciones y de interrupción o alteración de actividades productivas y comerciales. Las empresas colombianas cada vez con más frecuencia nombran oficiales de cumplimiento y adoptan políticas y prácticas encaminadas a lograr un adecuado nivel de protección para la información que se procesa internamente y de terceros. El cumplimiento debe ser no solamente un requisito teórico en papel sino una vivencia, una cultura y una experiencia de cumplimiento.

Es claro que la Ley 1581 no es un texto definitivo sino sujeto a evolución económica, tecnológica y social. Desde ya se debe reflexionar en cambios y reformas normativas para lograr varios fines, entre otros:

  1. Que la protección de datos esté acorde con la evolución tecnológica y los cambios económicos y sociales locales e internacionales
  2. Que el impacto económico y regulatorio de la protección de datos no afecte la economía en general y la economía digital
  3. Que la garantía constitucional vaya de la mano con la competitividad, productividad y realidad de nuestra economía
  4. Que las decisiones de las Cortes y los jueces respecto de las controversias en datos personales sean claras, precisas y establezcan una interpretación adecuada de la Constitución y el corpus normativo y regulatorio
  5. Que las empresas logran la responsabilidad demostrada y el cumplimiento normativo suficiente e idóneo
  6. Que la Superintendencia permita la evolución paulatina del régimen normativo en la búsqueda de un equilibrio entre los intereses en juego
  7. Que las sanciones tengan una tasación adecuada, proporcional y correcta
  8. Que se avance en la indemnización respecto de los perjuicios individuales y colectivos que se causan con la infracción a este régimen legal

Es tiempo de aniversario, de balance y de prospectiva del futuro. La Ley 1581 ha sido un paso en un camino a seguir para lograr construir en Colombia una sociedad de la información justa y equilibrada, una economía digital prospera y avanzada, las garantías adecuadas para los ciudadanos respecto de los datos personales y la seguridad jurídica necesaria para locales e inversionistas internacionales  en medio de una creciente transformación digital del Estado, las empresas y en general la sociedad colombiana.

Principio de finalidad en el tratamiento de datos personales “Habeas Data”

Concepto Jurídico N° 21-70693 de 2021. Superintendencia de Industria y Comercio

Todo manejo de datos personales debe regirse por la Ley 1581 de 2012, aun cuando los datos sean de interés público. En estos casos, si bien esta característica exime al Responsable y/o Encargado de recolectar la autorización del titular previo a realizar tratamiento, no lo libera de los demás deberes legales que tiene como Responsable y/o Encargado. Dentro de estas responsabilidades legales, se encuentra la de garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data. Para cumplir con esta obligación, el Responsable y/o Encargado del tratamiento deberá respetar los principios anotados en el presente concepto, dentro de los cuales se encuentran, entre otros, el principio de finalidad; que indica que el tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.

Superintendencia de Industria y Comercio señala que la ley de habeas data se debe aplicar a la recolección de imágenes a través de sistemas de videovigilancia

Superintendencia De Industria Y Comercio. Concepto Jurídico No. 21-006269 de 2021

Por regla general la Ley 1581 de 2012 resultará aplicable a la recolección de imágenes a través de sistemas de videovigilancia que estén vinculadas con una o varias personas determinadas o determinables. La finalidad de la videovigilancia por regla general es la de garantizar la seguridad de bienes o personas en determinados lugares, por lo que la operación de sistemas de vigilancia puede implicar, en algunos casos, la toma de imágenes en la vía pública por ser necesaria para alcanzar la finalidad establecida. De ser así, dicha recolección debe limitarse a aquella que no pueda evitarse para alcanzar el fin legítimo perseguido, para lo cual, se deberá restringir a las áreas más próximas al espacio objeto de vigilancia. Los responsables del tratamiento de los datos personales tienen la obligación de obtener la autorización por parte del titular informándole la finalidad específica del tratamiento, esto es, la recolección, el almacenamiento, la circulación, uso y/o supresión de los mismos a través de mecanismos que garanticen su consulta posterior.