Introducción
Cada vez más los conceptos jurídicos y las
condiciones técnicas están en un camino convergente para dar cumplimiento bien
a requerimientos propios de protección de un sector particular o como exigencia
constitucional de aseguramiento de derechos fundamentales. En este sentido, nos
encontramos en un momento en que tanto ingenieros como abogados, encuentran en
los datos, la información y los sistemas de información fuentes de innovación,
seguridad y control que cada vez más exigen de ambas disciplinas una
comprensión de los principios fundamentales que asisten el ordenamiento
jurídico de una nación, así como el reconocimiento de los conceptos
fundamentales de la gestión de la información en un contexto globalizado, de
grandes datos, computación en la nube, redes sociales y sobre carga de
información.
En este sentido, las personas naturales sabrán que
en esta realidad jurídica y técnica de los elementos antes mencionados (los
datos, la información y los sistemas de información) tienen nuevas
materializaciones de bienes jurídicamente tutelables por el Estado y la consumación
y restitución de derechos que antes no hubiesen sido imaginables. Esto es, no
poder ser determinado por datos o información, el derecho a conocer, corregir y
actualizar los registros propios en posesión de terceros, el derecho al olvido
informático, el resarcimiento económico y condenas (con prisión) por conductas
punibles en medios informáticos, entre otras, nos advierten que la
administración de justicia reconoce en los avances tecnológicos formas a través
de la cual la dignidad humana tiene una experiencia concreta que afecta los
principios del Estado social y democrático de derecho.
En consecuencia con lo anterior, las nuevas
disposiciones sobre protección de datos personales, delitos informáticos y
acceso a la información pública establecen referentes bases para armonizar un
debate interdisciplinario que permita, por un lado, reconocer los elementos
normativos base a través del lente del Constituyente Primario, frente a los
derechos fundamentales y por otro, analizar y contextualizar los conceptos y
prácticas de seguridad y control que en el ejercicio de la ingeniería se
materializa en los sistemas y tecnologías de información.
Habida cuenta de lo anterior, se propone en este
documento una revisión conceptual base de la norma de protección datos
personales (y sus vínculos conexos con las disposiciones penales y
disciplinarias) en el contexto colombiano, sin perjuicio de encontrar en este
análisis conclusiones de alcance latinoamericano, que nos permitan advertir
como se vinculan los ejercicios jurídicos y tecnológicos para mantener el orden
constitucional y continuar la vía del desarrollo social, donde el derecho encuentre
en los riesgos propios de la tecnología, ideas novedosas para apalancar las bondades
que ella nos ofrece y aquella asista al derecho en su búsqueda de la protección
de la dignidad humana.
Como quiera que estas reflexiones son una excusa
académica para explorar un campo abierto y novedoso investigación, estaremos
navegando en terrenos movedizos que aún se deben analizar, por lo que las
posibles conclusiones que se obtengan de este ejercicio, aún serán preliminares
y deberán ser revisadas en el contexto dinámico del avance de la tecnología, el
comportamiento de las personas y los nuevos servicios informáticos que se
presenten en los próximos años.
Datos personales:
Aspectos generales
Para hablar de este tema en el contexto colombiano
debemos revisar al mismo tiempo la Ley estatutaria 1581 del 17 de octubre de
2012, por medio de la cual se “dictan disposiciones generales para la
protección de datos personales” y la sentencia de la Corte Constitucional c-748
de 2011, donde se establece el control de constitucionalidad de la mencionada
ley.
En este contexto, iniciemos por aclarar que
significa que sea una ley estatutaria. Para ello, el sitio web de la Cámara de
Representantes de Colombia ofrece una explicación detallada al respecto:
(Disponible en: http://www.camara.gov.co/portal2011/preguntas-frecuentes/166-ique-son-las-leyes-estatutarias)
“¿Qué son las leyes estatutarias?
Aquellas que la Constitución establece taxativamente. Tienen
una categoría superior a las demás clases de leyes y se establece un trámite
especial para su expedición por su importancia jurídica. Para su
aprobación requiere mayoría absoluta y revisión previa por parte de la Corte
Constitucional. Pertenecen a esta categoría las siguientes:
-Derechos y deberes fundamentales de las personas y los
procedimientos y recursos para su protección.
-Administración de justicia.
-Organización y régimen de los partidos y movimientos
políticos.
-Estatuto de la oposición.
-Funciones electorales.
-Instituciones y mecanismos de participación ciudadana.
-Estados de excepción. (Artículo 152 de la Constitución
Política de Colombia).”
En este contexto, se advierte la importancia
y trascendencia de esta norma, toda vez que al regular un derecho fundamental
como el habeas data, afecta de manera directa condiciones particulares de las
personas frente al tratamiento de su información en diferentes ámbitos razón
por la cual, todos los ciudadanos debemos estar al tanto del desarrollo de esta
novedad legislativa y sus implicaciones sociales, políticas, económicas y
tecnológicas.
De igual forma lo corrobora la sentencia de
la corte donde se establece:
“Tratamiento de datos personales es
cualquier operación o conjunto de operaciones, sean o no automatizadas, que se
apliquen a datos de carácter personal, en especial su recogida, conservación,
utilización, revelación o supresión, y su proceso puede ser público o privado,
requiriendo, en los términos de la jurisprudencia de esta Corporación,
definiciones claras sobre el objeto o la actividad de las entidades
administradoras de bases de datos, las regulaciones internas, los mecanismos
técnicos para la recopilación, procesamiento, almacenamiento, seguridad y
divulgación de los datos personales y la reglamentación sobre usuarios de los
servicios de las administradoras de las bases de datos, por lo que entendido
así el tratamiento sobre datos personales, es claro que su regulación es una
competencia que tiene reserva del legislador, porque toca aspectos del derecho
al habeas data, y de ninguna manera pueden quedar librados a que sea el
Ejecutivo quien haga su ordenación. (…)”
Iniciemos pues con la revisión de algunos
elementos de la norma que son relevantes para la revisión planteada:
ARTICULO 3. Definiciones.
Para los efectos de la presente ley, se entiende por:
a) Autorización:
Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos
personales.
b) Base de Datos:
Conjunto organizado de datos personales que sea objeto de Tratamiento.
c) Dato personal:
Cualquier información vinculada o que pueda asociarse a una o varias personas
naturales determinadas o determinables.
d) Encargado del
Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros,
realice el tratamiento de datos personales por cuenta del Responsable del
Tratamiento.
e) Responsable del
Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con
otros, decida sobre la base de datos y/o el tratamiento de los datos.
f) Titular: Persona
natural cuyos datos personales sean objeto de Tratamiento.
g) Tratamiento:
Cualquier operación o conjunto de operaciones sobre datos personales, tales
como la recolección, almacenamiento, uso, circulación o supresión.
Comentarios:
Las definiciones en los marcos normativos nos permiten
comprender con mayor precisión el alcance de las normas y sus impactos. En este
sentido, la norma establece con claridad las condiciones y características del
tratamiento de los datos situación que de inmediato sugiere elementos de
seguridad y control en cada uno de sus actividades, que generalmente
corresponde a un ejercicio de gestión de información basado en una
clasificación de información, que busca el aseguramiento de prácticas que cualquier
encargado del tratamiento debe ejecutar frente a los datos personales.
En este sentido, las definiciones orientan la aplicación de
la norma, aclarando en el contexto del tratamiento cómo los datos personales y
sus participantes interactúan y mantienen relaciones entre ellos y los
componentes que almacenan dichos datos.
A su turno la Corte Constitucional en la sentencia
mencionada anota y detalla:
“El responsable del tratamiento es aquel que define
los fines y medios esenciales para el tratamiento del dato, incluidos quienes
fungen como fuente y usuario y los deberes que se le adscriben responden a los
principios de la administración de datos y a los derechos –intimidad y habeas
data- del titular del dato personal. El responsable del tratamiento es quien
debe solicitar y conservar la autorización en la que conste el consentimiento
expreso del titular para el tratamiento de sus datos, así como informar con claridad
la finalidad del mismo.”
“El encargado del tratamiento es quien realiza del
tratamiento de datos personales por cuenta del responsable del tratamiento,
quien, en cumplimiento de los principios de libertad y finalidad, al recibir la
delegación para tratar el dato en los términos en que lo determine el
responsable, debe cerciorarse de que aquel tiene la autorización para su
tratamiento y que el tratamiento se realizará para las finalidades informadas y
aceptadas por el titular del dato. Si bien, en razón de la posición que cada
uno de estos sujetos ocupa en las etapas del proceso del tratamiento del dato,
es al responsable al que le corresponde obtener y conservar la autorización del
titular, ello no impide al encargado solicitar a su mandante exhibir la
autorización correspondiente y verificar que se cumpla la finalidad informada y
aceptada por el titular de dato.”
Nota: Las subrayas
están fuera del texto original.
ARTICULO 4. Principios
para el Tratamiento de datos personales. En el desarrollo, interpretación y
aplicación de la presente ley, se aplicarán, de manera armónica e integral, los
siguientes principios:
(…)
g) Principio de
seguridad: La información sujeta a Tratamiento por el Responsable del
Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se
deberá manejar con las medidas técnicas, humanas y administrativas que sean
necesarias para otorgar seguridad a los registros evitando su adulteración,
pérdida, consulta, uso o acceso no autorizado o fraudulento.
h) Principio de
confidencialidad: Todas las personas que intervengan en el Tratamiento de datos
personales que no tengan la naturaleza de públicos están obligadas a garantizar
la reserva de la información, inclusive después de finalizada su relación con
alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar
suministro o comunicación de datos personales cuando ello corresponda al
desarrollo de las actividades autorizadas en la presente ley y en los términos
de la misma.
(…)
Comentarios:
Los principios son de alguna forma los elementos referentes
básicos sobre los cuales opera la norma. Por tanto, son los determinantes
propios que sugiere el legislador para que la aplicación de la misma asegure el
cumplimiento tanto en forma y fondo del articulado que la compone. Resaltamos
dos de ellos como son el de seguridad y confidencialidad, los cuales muestran
el deseo del Constituyente de hacer énfasis por un lado en la medidas técnicas,
humanas y administrativas que son propias del sistema de gestión de seguridad
de la información y por otro, de las condiciones de control de acceso que se
deben mantener en, durante y después del tratamiento de los datos personales.
Si bien, los temas de seguridad de la información tienen un
protagonismo relevante frente al aseguramiento de estos principios enunciados por
la ley, no es esta área la directamente responsable del aseguramiento de la
función de privacidad requerida por esta norma, sino que es un elemento clave
que debe asistir tanto a responsables como a encargados de tratamiento para ofrecerle las
prácticas requeridas que permitan dar cumplimiento a estas exigencias,
incluyendo la gestión de incidentes sobre datos personales que se puedan
presentar en el ejercicio del cumplimiento de esta iniciativa legislativa.
ARTÍCULO 5. Datos
sensibles. Para los propósitos de la presente ley, se entiende por datos
sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido
puede generar su discriminación, tales como aquellos que revelen el origen
racial o étnico, la orientación política, las convicciones religiosas o filosóficas,
la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que
promueva intereses de cualquier partido político o que garanticen los derechos
y garantías de partidos políticos de oposición así como los datos relativos a
la salud, a la vida sexual y los datos biométricos.
Comentarios:
Es claro que en un ejercicio propio de un sistema de gestión
de seguridad de la información es preciso clasificar la información, la norma
mencionada hace lo propio con un tipo de dato que denomina sensible. Dicha
clasificación se adelanta toda vez que afecta un derecho fundamental como lo es
la intimidad, consagrado en el artículo 15 de la Constitución Política de
Colombia. El foco de la clasificación es evitar la discriminación como elemento
que vulnera la dignidad de la persona humana en cualquier contexto de su vida
normal. Llama la atención, a parte de los elementos propios de discriminación,
la inclusión de los datos biométricos, aquellas características propias de las
personas que se ha digitalizado y que son formas de identificación que
actualmente se utilizan como factor de autenticación.
Con este artículo el legislador abre la posibilidad para
revisar toda aquella identificación informática personal que pueda ser
utilizada para fines discriminatorios o actividades no autorizadas que puedan
afectar derechos fundamentales en una sociedad de la información y el
conocimiento.
La Corte Constitucional a su turno se pronuncia sobre los
códigos internos que desarrollan las organizaciones para fundamentar su función
de privacidad, los cuales resultan complementarios frente a la aplicación de la
norma:
“Las normas corporativas hacen referencia a principios de
buen gobierno o regulaciones de buenas prácticas creadas directamente por las
organizaciones con carácter vinculante para sus miembros, constituyéndose en
códigos internacionales de conducta para la protección de datos personales en
especial en su flujo. La delegación que hace la norma para que sea el Gobierno
Nacional el que reglamente los contenidos mínimos que deben contener estas
normas corporativas se ajusta a la Constitución, pues en desarrollo de los
principios que rigen la administración de los datos personales, estos códigos
de conducta para las buenas prácticas en esta materia, se convierten en un
instrumento adicional para la efectiva garantía del derecho al habeas data.”
Datos personales:
Aspectos penales
Si bien la norma de protección de datos personales establece
sanciones para aquellos que no observen las consideraciones que en dicha ley se
establecen (consignados en los artículos 22, 23 y 24), también se tiene una
lectura en clave penal la cual se encuentra en la ley 1273 de 2009 que constituye
como conducta punible la violación de datos personales como sigue:
Artículo 269F: Violación de datos personales. El
que, sin estar facultado para ello, con provecho propio o de un tercero,
obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre,
intercepte, divulgue, modifique o emplee códigos personales, datos personales
contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá
en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en
multa de 100 a 1000 salarios mínimos legales mensuales vigentes.
Comparando lo establecido en la ley 1581 de 2012 sobre el
tratamiento de los datos donde se entiende éste como: “Cualquier operación o conjunto de operaciones sobre datos personales, tales
como la recolección, almacenamiento, uso, circulación o supresión. (…)” la
norma penal supera ampliamente lo indicado por la definición anterior, dando
mayor trascendencia al hecho de la violación instanciando más verbos rectores
en la conducta que manifiestan con claridad la importancia que el legislador le
da a los datos de carácter personal y su necesidad de protección.
Como podemos observar un incumplimiento en el ejercicio de un
adecuado tratamiento de los datos personales, no se encontrará solamente
adscrito a lo que la definición establece en la 1581 de 2012, sino que deberá
ser atendido tal ejercicio en la extensión propia que hace la 1273 de 2009 en
su artículo 269F, toda vez que la conducta descrita allí nos alerta sobre los
posibles riesgos colaterales propios de los pasos del tratamiento, artículo 3
numeral g de la ley de protección de datos personales en Colombia.
En razón a lo anterior y considerando que la prueba del tipo
enunciado está atado al desvalor de resultado, se requiere comprender con
claridad las prácticas de seguridad y control que articulan la función de
privacidad de los datos en la empresa, de tal forma que las evidencias del
ejercicio sistemático de dicha función sean las bases de la valoración de la
conducta o mejor aún, los condicionantes del tipo, las validaciones de la
conducta antijurídica y los componentes emergentes del posible dolo. Es
importante, anotar que los tipos penales de la 1273 se materializan a título de
dolo y no de culpa, por lo que si se llegase a presentar una situación donde la
culpa sea el mandante de la conducta, no sería procedente la aplicación de
dicho tipo.
Datos personales:
Aspectos disciplinarios
No siendo suficiente el alcance del tema de protección de
datos personales en el contexto estatutario y penal, la ley disciplinaria en
Colombia, ley 734 de 2002, de alcance para todos los servidores públicos y
particulares en ejercicio de función pública, establece algunos deberes y
prohibiciones frente a la información que por el ejercicio de empleo, cargo o
función tiene acceso dicho funcionario.
Si bien no se hace mención específica a los datos
personales, la conducta del servidor público se agravará por un inadecuado
tratamiento de dichos datos, toda vez que este se obliga al estricto
cumplimiento de la Constitución y la ley como se advierte en el numeral primero
de artículo 34 de la ley disciplinaria.
Así las cosas se enumeran a continuación algunos deberes y
prohibiciones consignadas en los artículos 34 y 35 respectivamente de la ley
734 de 2002, que se deben analizar frente al reto de la protección de los datos
personales en sector público.
Artículo 34 Deberes
(…)
4. Utilizar los bienes y recursos asignados para el
desempeño de su empleo, cargo o función, las facultades que le sean atribuidas,
o la información reservada a que tenga acceso por razón de su función, en forma
exclusiva para los fines a que están afectos.
5. Custodiar y cuidar la documentación e información que por
razón de su empleo, cargo o función conserve bajo su cuidado o a la cual tenga
acceso, e impedir o evitar la sustracción, destrucción, ocultamiento o
utilización indebidos.
(…)
Artículo 35 Prohibiciones
(…)
13. Ocasionar daño o dar lugar a la pérdida de bienes,
elementos, expedientes o documentos que hayan llegado a su poder por razón de
sus funciones.
(…)
21. Dar lugar al acceso o exhibir expedientes, documentos o
archivos a personas no autorizadas.
(…)
Adicionalmente se tiene en el artículo 48 del Código Único
Disciplinario una falta gravísima que en conjunto con el 269F de la ley Penal
en temas informáticos, exige de los servidores públicos un debido cuidado con
la protección de los datos personales, toda vez que las faltas gravísimas sancionan
con destitución e inhabilidad para el ejercicio de función pública mínimo por
10 años:
43. Causar daño a los equipos estatales de informática,
alterar, falsificar, introducir, borrar, ocultar o desaparecer información en
cualquiera de los sistemas de información oficial contenida en ellos o en los
que se almacene o guarde la misma, o permitir el acceso a ella a personas no
autorizadas.
Reflexiones finales
Como hemos visto la protección de los datos personales leída
en clave jurídica representa una experiencia legislativa que demanda acciones
concretas para la defensa de derechos fundamentales como la intimidad y el
hábeas data. El contar ahora con una estatutaria con todas las formalidades,
permite a los ciudadanos hacer un ejercicio más fluido de reclamo de dichos
derechos y la obligación de las personas jurídicas para contar con las
condiciones y herramientas que hagan realidad los mismos.
En este sentido, las tecnologías y las buenas prácticas de
seguridad y control posibilitan la aplicación de dichas normativas y promueven
la incorporación de una cultura de seguridad de la información, desde la
protección de los datos personales, como una forma de acelerar el proceso de
concientización e interiorización de la información como un activo clave para
que el negocio potencie sus habilidades y posibilidades.
Entender la protección de los datos personales como un
mecanismo empresarial de aseguramiento de derechos fundamentales en el siglo
XXI, es una forma de evidenciar la convergencia de las prácticas de seguridad y
control más allá de una vista de negocio, sino como un requerimiento legal que
todas las empresas deben atender, como quiera que todos nosotros los
participantes de la sociedad de la información y el conocimiento, somos fuente
y responsable del tratamiento de la información en un mundo abierto,
interconectado y dinámico.
Referencias
Ley 1581 de 2012 - http://habeasdatacolombia.uniandes.edu.co/wp-content/uploads/LEY-1581-DEL-17-DE-OCTUBRE-DE-2012.pdf
Sentencia C-748 de 2011 - http://www.corteconstitucional.gov.co/relatoria/2011/c-748-11.htm
No hay comentarios:
Publicar un comentario