domingo, 28 de octubre de 2012

Protección de datos personales. Una lectura técnico jurídica de la inseguridad de la información


Introducción
Cada vez más los conceptos jurídicos y las condiciones técnicas están en un camino convergente para dar cumplimiento bien a requerimientos propios de protección de un sector particular o como exigencia constitucional de aseguramiento de derechos fundamentales. En este sentido, nos encontramos en un momento en que tanto ingenieros como abogados, encuentran en los datos, la información y los sistemas de información fuentes de innovación, seguridad y control que cada vez más exigen de ambas disciplinas una comprensión de los principios fundamentales que asisten el ordenamiento jurídico de una nación, así como el reconocimiento de los conceptos fundamentales de la gestión de la información en un contexto globalizado, de grandes datos, computación en la nube, redes sociales y sobre carga de información.

En este sentido, las personas naturales sabrán que en esta realidad jurídica y técnica de los elementos antes mencionados (los datos, la información y los sistemas de información) tienen nuevas materializaciones de bienes jurídicamente tutelables por el Estado y la consumación y restitución de derechos que antes no hubiesen sido imaginables. Esto es, no poder ser determinado por datos o información, el derecho a conocer, corregir y actualizar los registros propios en posesión de terceros, el derecho al olvido informático, el resarcimiento económico y condenas (con prisión) por conductas punibles en medios informáticos, entre otras, nos advierten que la administración de justicia reconoce en los avances tecnológicos formas a través de la cual la dignidad humana tiene una experiencia concreta que afecta los principios del Estado social y democrático de derecho.

En consecuencia con lo anterior, las nuevas disposiciones sobre protección de datos personales, delitos informáticos y acceso a la información pública establecen referentes bases para armonizar un debate interdisciplinario que permita, por un lado, reconocer los elementos normativos base a través del lente del Constituyente Primario, frente a los derechos fundamentales y por otro, analizar y contextualizar los conceptos y prácticas de seguridad y control que en el ejercicio de la ingeniería se materializa en los sistemas y tecnologías de información.

Habida cuenta de lo anterior, se propone en este documento una revisión conceptual base de la norma de protección datos personales (y sus vínculos conexos con las disposiciones penales y disciplinarias) en el contexto colombiano, sin perjuicio de encontrar en este análisis conclusiones de alcance latinoamericano, que nos permitan advertir como se vinculan los ejercicios jurídicos y tecnológicos para mantener el orden constitucional y continuar la vía del desarrollo social, donde el derecho encuentre en los riesgos propios de la tecnología, ideas novedosas para apalancar las bondades que ella nos ofrece y aquella asista al derecho en su búsqueda de la protección de la dignidad humana.

Como quiera que estas reflexiones son una excusa académica para explorar un campo abierto y novedoso investigación, estaremos navegando en terrenos movedizos que aún se deben analizar, por lo que las posibles conclusiones que se obtengan de este ejercicio, aún serán preliminares y deberán ser revisadas en el contexto dinámico del avance de la tecnología, el comportamiento de las personas y los nuevos servicios informáticos que se presenten en los próximos años.  

Datos personales: Aspectos generales
Para hablar de este tema en el contexto colombiano debemos revisar al mismo tiempo la Ley estatutaria 1581 del 17 de octubre de 2012, por medio de la cual se “dictan disposiciones generales para la protección de datos personales” y la sentencia de la Corte Constitucional c-748 de 2011, donde se establece el control de constitucionalidad de la mencionada ley.

En este contexto, iniciemos por aclarar que significa que sea una ley estatutaria. Para ello, el sitio web de la Cámara de Representantes de Colombia ofrece una explicación detallada al respecto: (Disponible en: http://www.camara.gov.co/portal2011/preguntas-frecuentes/166-ique-son-las-leyes-estatutarias)

“¿Qué son las leyes estatutarias?
Aquellas que la Constitución establece taxativamente. Tienen una categoría superior a las demás clases de leyes y se establece un trámite especial para su expedición por su importancia jurídica.  Para su aprobación requiere mayoría absoluta y revisión previa por parte de la Corte Constitucional. Pertenecen a esta categoría las siguientes:
-Derechos y deberes fundamentales de las personas y los procedimientos y recursos para su protección.
-Administración de justicia.
-Organización y régimen de los partidos y movimientos políticos.
-Estatuto de la oposición.
-Funciones electorales.
-Instituciones y mecanismos de participación ciudadana.
-Estados de excepción. (Artículo 152 de la Constitución Política de Colombia).”

En este contexto, se advierte la importancia y trascendencia de esta norma, toda vez que al regular un derecho fundamental como el habeas data, afecta de manera directa condiciones particulares de las personas frente al tratamiento de su información en diferentes ámbitos razón por la cual, todos los ciudadanos debemos estar al tanto del desarrollo de esta novedad legislativa y sus implicaciones sociales, políticas, económicas y tecnológicas.

De igual forma lo corrobora la sentencia de la corte donde se establece:
“Tratamiento de datos personales es cualquier operación o conjunto de operaciones, sean o no automatizadas, que se apliquen a datos de carácter personal, en especial su recogida, conservación, utilización, revelación o supresión, y su proceso puede ser público o privado, requiriendo, en los términos de la jurisprudencia de esta Corporación, definiciones claras sobre el objeto o la actividad de las entidades administradoras de bases de datos, las regulaciones internas, los mecanismos técnicos para la recopilación, procesamiento, almacenamiento, seguridad y divulgación de los datos personales y la reglamentación sobre usuarios de los servicios de las administradoras de las bases de datos, por lo que entendido así el tratamiento sobre datos personales, es claro que su regulación es una competencia que tiene reserva del legislador, porque toca aspectos del derecho al habeas data, y de ninguna manera pueden quedar librados a que sea el Ejecutivo quien haga su ordenación. (…)”

Iniciemos pues con la revisión de algunos elementos de la norma que son relevantes para la revisión planteada:

ARTICULO 3. Definiciones. Para los efectos de la presente ley, se entiende por:

a) Autorización: Consentimiento previo, expreso e informado del Titular  para llevar a cabo el Tratamiento de datos personales.

b) Base de Datos: Conjunto organizado de datos personales que sea objeto  de Tratamiento.

c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

d) Encargado del Tratamiento: Persona natural o jurídica, pública o  privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del Responsable del Tratamiento.

e) Responsable del Tratamiento: Persona natural o jurídica, pública o  privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.

f) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.

g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

Comentarios:
Las definiciones en los marcos normativos nos permiten comprender con mayor precisión el alcance de las normas y sus impactos. En este sentido, la norma establece con claridad las condiciones y características del tratamiento de los datos situación que de inmediato sugiere elementos de seguridad y control en cada uno de sus actividades, que generalmente corresponde a un ejercicio de gestión de información basado en una clasificación de información, que busca el aseguramiento de prácticas que cualquier encargado del tratamiento debe ejecutar frente a los datos personales.

En este sentido, las definiciones orientan la aplicación de la norma, aclarando en el contexto del tratamiento cómo los datos personales y sus participantes interactúan y mantienen relaciones entre ellos y los componentes que almacenan dichos datos.

A su turno la Corte Constitucional en la sentencia mencionada anota y detalla:

“El responsable del tratamiento es aquel que define los fines y medios esenciales para el tratamiento del dato, incluidos quienes fungen como fuente y usuario y los deberes que se le adscriben responden a los principios de la administración de datos y a los derechos –intimidad y habeas data- del titular del dato personal. El responsable del tratamiento es quien debe solicitar y conservar la autorización en la que conste el consentimiento expreso del titular para el tratamiento de sus datos, así como informar con claridad la finalidad del mismo.”

“El encargado del tratamiento es quien realiza del tratamiento de datos personales por cuenta del responsable del tratamiento, quien, en cumplimiento de los principios de libertad y finalidad, al recibir la delegación para tratar el dato en los términos en que lo determine el responsable, debe cerciorarse de que aquel tiene la autorización para su tratamiento y que el tratamiento se realizará para las finalidades informadas y aceptadas por el titular del dato. Si bien, en razón de la posición que cada uno de estos sujetos ocupa en las etapas del proceso del tratamiento del dato, es al responsable al que le corresponde obtener y conservar la autorización del titular, ello no impide al encargado solicitar a su mandante exhibir la autorización correspondiente y verificar que se cumpla la finalidad informada y aceptada por el titular de dato.”

Nota:  Las subrayas están fuera del texto original.

ARTICULO 4. Principios para el Tratamiento de datos personales. En el desarrollo, interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los siguientes principios:
(…)
g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

h) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.
(…)

Comentarios:
Los principios son de alguna forma los elementos referentes básicos sobre los cuales opera la norma. Por tanto, son los determinantes propios que sugiere el legislador para que la aplicación de la misma asegure el cumplimiento tanto en forma y fondo del articulado que la compone. Resaltamos dos de ellos como son el de seguridad y confidencialidad, los cuales muestran el deseo del Constituyente de hacer énfasis por un lado en la medidas técnicas, humanas y administrativas que son propias del sistema de gestión de seguridad de la información y por otro, de las condiciones de control de acceso que se deben mantener en, durante y después del tratamiento de los datos personales.

Si bien, los temas de seguridad de la información tienen un protagonismo relevante frente al aseguramiento de estos principios enunciados por la ley, no es esta área la directamente responsable del aseguramiento de la función de privacidad requerida por esta norma, sino que es un elemento clave que debe asistir tanto a responsables como a  encargados de tratamiento para ofrecerle las prácticas requeridas que permitan dar cumplimiento a estas exigencias, incluyendo la gestión de incidentes sobre datos personales que se puedan presentar en el ejercicio del cumplimiento de esta iniciativa legislativa.

ARTÍCULO 5. Datos sensibles. Para los propósitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

Comentarios:
Es claro que en un ejercicio propio de un sistema de gestión de seguridad de la información es preciso clasificar la información, la norma mencionada hace lo propio con un tipo de dato que denomina sensible. Dicha clasificación se adelanta toda vez que afecta un derecho fundamental como lo es la intimidad, consagrado en el artículo 15 de la Constitución Política de Colombia. El foco de la clasificación es evitar la discriminación como elemento que vulnera la dignidad de la persona humana en cualquier contexto de su vida normal. Llama la atención, a parte de los elementos propios de discriminación, la inclusión de los datos biométricos, aquellas características propias de las personas que se ha digitalizado y que son formas de identificación que actualmente se utilizan como factor de autenticación.

Con este artículo el legislador abre la posibilidad para revisar toda aquella identificación informática personal que pueda ser utilizada para fines discriminatorios o actividades no autorizadas que puedan afectar derechos fundamentales en una sociedad de la información y el conocimiento.

La Corte Constitucional a su turno se pronuncia sobre los códigos internos que desarrollan las organizaciones para fundamentar su función de privacidad, los cuales resultan complementarios frente a la aplicación de la norma:

“Las normas corporativas hacen referencia a principios de buen gobierno o regulaciones de buenas prácticas creadas directamente por las organizaciones con carácter vinculante para sus miembros, constituyéndose en códigos internacionales de conducta para la protección de datos personales en especial en su flujo. La delegación que hace la norma para que sea el Gobierno Nacional el que reglamente los contenidos mínimos que deben contener estas normas corporativas se ajusta a la Constitución, pues en desarrollo de los principios que rigen la administración de los datos personales, estos códigos de conducta para las buenas prácticas en esta materia, se convierten en un instrumento adicional para la efectiva garantía del derecho al habeas data.”

Datos personales: Aspectos penales
Si bien la norma de protección de datos personales establece sanciones para aquellos que no observen las consideraciones que en dicha ley se establecen (consignados en los artículos 22, 23 y 24), también se tiene una lectura en clave penal la cual se encuentra en la ley 1273 de 2009 que constituye como conducta punible la violación de datos personales como sigue:

Artículo 269F: Violación de datos personales. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

Comparando lo establecido en la ley 1581 de 2012 sobre el tratamiento de los datos donde se entiende éste como: “Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. (…)” la norma penal supera ampliamente lo indicado por la definición anterior, dando mayor trascendencia al hecho de la violación instanciando más verbos rectores en la conducta que manifiestan con claridad la importancia que el legislador le da a los datos de carácter personal y su necesidad de protección.

Como podemos observar un incumplimiento en el ejercicio de un adecuado tratamiento de los datos personales, no se encontrará solamente adscrito a lo que la definición establece en la 1581 de 2012, sino que deberá ser atendido tal ejercicio en la extensión propia que hace la 1273 de 2009 en su artículo 269F, toda vez que la conducta descrita allí nos alerta sobre los posibles riesgos colaterales propios de los pasos del tratamiento, artículo 3 numeral g de la ley de protección de datos personales en Colombia.

En razón a lo anterior y considerando que la prueba del tipo enunciado está atado al desvalor de resultado, se requiere comprender con claridad las prácticas de seguridad y control que articulan la función de privacidad de los datos en la empresa, de tal forma que las evidencias del ejercicio sistemático de dicha función sean las bases de la valoración de la conducta o mejor aún, los condicionantes del tipo, las validaciones de la conducta antijurídica y los componentes emergentes del posible dolo. Es importante, anotar que los tipos penales de la 1273 se materializan a título de dolo y no de culpa, por lo que si se llegase a presentar una situación donde la culpa sea el mandante de la conducta, no sería procedente la aplicación de dicho tipo.

Datos personales: Aspectos disciplinarios
No siendo suficiente el alcance del tema de protección de datos personales en el contexto estatutario y penal, la ley disciplinaria en Colombia, ley 734 de 2002, de alcance para todos los servidores públicos y particulares en ejercicio de función pública, establece algunos deberes y prohibiciones frente a la información que por el ejercicio de empleo, cargo o función tiene acceso dicho funcionario.

Si bien no se hace mención específica a los datos personales, la conducta del servidor público se agravará por un inadecuado tratamiento de dichos datos, toda vez que este se obliga al estricto cumplimiento de la Constitución y la ley como se advierte en el numeral primero de artículo 34 de la ley disciplinaria.

Así las cosas se enumeran a continuación algunos deberes y prohibiciones consignadas en los artículos 34 y 35 respectivamente de la ley 734 de 2002, que se deben analizar frente al reto de la protección de los datos personales en sector público.

Artículo 34 Deberes
(…)
4. Utilizar los bienes y recursos asignados para el desempeño de su empleo, cargo o función, las facultades que le sean atribuidas, o la información reservada a que tenga acceso por razón de su función, en forma exclusiva para los fines a que están afectos.

5. Custodiar y cuidar la documentación e información que por razón de su empleo, cargo o función conserve bajo su cuidado o a la cual tenga acceso, e impedir o evitar la sustracción, destrucción, ocultamiento o utilización indebidos.
(…)

Artículo 35 Prohibiciones
(…)
13. Ocasionar daño o dar lugar a la pérdida de bienes, elementos, expedientes o documentos que hayan llegado a su poder por razón de sus funciones.
(…)
21. Dar lugar al acceso o exhibir expedientes, documentos o archivos a personas no autorizadas.
(…)

Adicionalmente se tiene en el artículo 48 del Código Único Disciplinario una falta gravísima que en conjunto con el 269F de la ley Penal en temas informáticos, exige de los servidores públicos un debido cuidado con la protección de los datos personales, toda vez que las faltas gravísimas sancionan con destitución e inhabilidad para el ejercicio de función pública mínimo por 10 años:

43. Causar daño a los equipos estatales de informática, alterar, falsificar, introducir, borrar, ocultar o desaparecer información en cualquiera de los sistemas de información oficial contenida en ellos o en los que se almacene o guarde la misma, o permitir el acceso a ella a personas no autorizadas.

Reflexiones finales
Como hemos visto la protección de los datos personales leída en clave jurídica representa una experiencia legislativa que demanda acciones concretas para la defensa de derechos fundamentales como la intimidad y el hábeas data. El contar ahora con una estatutaria con todas las formalidades, permite a los ciudadanos hacer un ejercicio más fluido de reclamo de dichos derechos y la obligación de las personas jurídicas para contar con las condiciones y herramientas que hagan realidad los mismos.

En este sentido, las tecnologías y las buenas prácticas de seguridad y control posibilitan la aplicación de dichas normativas y promueven la incorporación de una cultura de seguridad de la información, desde la protección de los datos personales, como una forma de acelerar el proceso de concientización e interiorización de la información como un activo clave para que el negocio potencie sus habilidades y posibilidades.

Entender la protección de los datos personales como un mecanismo empresarial de aseguramiento de derechos fundamentales en el siglo XXI, es una forma de evidenciar la convergencia de las prácticas de seguridad y control más allá de una vista de negocio, sino como un requerimiento legal que todas las empresas deben atender, como quiera que todos nosotros los participantes de la sociedad de la información y el conocimiento, somos fuente y responsable del tratamiento de la información en un mundo abierto, interconectado y dinámico.

Referencias

No hay comentarios:

Publicar un comentario