LA PROTECCIÓN DE DATOS PERSONALES: ENTRE LO PÚBLICO Y LO PRIVADO

1. El dato personal, la encrucijada entre el derecho fundamental y el derecho de los negocios

Con la Constitución de 1991, la protección de datos personales se convirtió en derecho fundamental (artículo 15) y la interpretación de su significado y alcance fue una labor inicialmente como un derecho nuevo fue cumplida por la Corte Constitucional, en especial respecto a los deberes de las centrales de riesgo financiero y a los incipientes derechos de los deudores morosos.

De manera concomitante con la labor jurisprudencial de la Corte Constitucional, la protección de datos personales encontró su consagración legal con la entrada en vigor de la Ley 1266 de 2009 -con ámbito de aplicación al sector financiero- y luego de la Ley 1581 de 2012 -con aplicación general a todos los sectores económicos, empresas y ciudadanos-.  El desarrollo legislativo introdujo, entre otros, el concepto de datos personales y su tratamiento, los principios de protección de datos, el Registro Nacional de Datos Personales a cargo de la SIC y definió la calidad  de los sujetos: responsable y encargado del tratamiento de los datos personales. Así mismo, en la legislación se determinaron el alcance y los requisitos del flujo transfronterizo de la información: la transferencia y la transmisión de datos personales.

No obstante, para la aplicación efectiva de esa normatividad legal era necesario lograr interiorizar en el ADN de las empresas, los individuos y el propio estado, su relevancia social y la importancia para la consolidación en Colombia de una economía digital y de los datos. Para su mayor entendimiento y puesta en práctica era necesario que existiera la cultura de los datos, es decir, un proceso de divulgación de la nueva protección de la información entre la gente, al ciudadano de pie. Así mismo era importante que las empresas, las entidades públicas y privadas tomaran conciencia de la necesidad de cumplir la normativa, de asumir sus deberes en el procesamiento de datos personales, garantizar de manera adecuada los derechos de los titulares, así como de cambiar procedimientos de recolección y tratamiento de esa información. Luego de más de ocho años de expedida la Ley 1581 según un reciente estudio de la SIC, entre el universo de 33.593 organizaciones (públicas y privadas) que tienen registro de sus bases de datos, más del 50% aún no han implementado las medidas apropiadas y efectivas para garantizar la seguridad de los datos personales que manejan. [1]

El recaudo de la información personal es el acto primigenio y fundamental para luego llevar a cabo el procesamiento de los datos personales. La autorización para el recaudo y tratamiento de datos personales se ha convertido poco a poco en un deber ser de las empresas y entidades que han involucrado este documento en su día a día. La autorización debe ser expresa o por actos inequívocos y su alcance debe estar vinculado a la finalidad o propósito que va a tener el procesamiento de la información. No pocas veces existe discusión sobre la extralimitación en los usos autorizados y en la ausencia misma de autorización que vicia por ilegalidad la explotación de la información. El régimen de protección de datos se infirnje cuando no se informa al titular para qué serán utilizados los datos personales recaudados o si se utilizan esos datos para fines distintos

Las cláusulas contractuales relacionadas con el procesamiento de información personal devienen usuales como forma de gestión de riesgos respecto de posibles malos usos de la información o de incidentes que afecten, por ejemplo, la seguridad informática de bases de datos y repositorios de información personal. La mayor parte de contratos con proveedores, colaboración empresarial así como la prestación de servicio y los contratos laborales deben incluir cláusulas que protejan al titular de los datos respecto del tratamiento y transferencia de los datos entre empresas y entidades. En los contratos vinculados o coligados es importante que en todos los contratos se incluyan cláusulas sobre la protección de la información personal con el mismo alcance. Los contratos estatales que incluyan en su ejecución el procesamiento de este tipo de información tampoco escapan a ese requisito. Muchos modelos de negocio se basan en el uso y procesamiento de información personal y otros más tradicionales han encontrado el valor que tiene esa información para lograr una mayor interacción con clientes, para hacer más efectivas las promociones y la publicidad y para agilizar procesos internos.

Las empresas y entidades no pueden ser reactivas frente a las consecuencias por el mal uso de la información personal nocivas, todo lo contrario deben tener actividades de planeación, responsabilidad demostrada (accountability) y debida diligencia que permita demostrar su responsabilidad frente a los deberes legales. El cumplimiento legal (compliance) marca otra etapa fundamental ya que en sus actividades cotidianas las organizaciones ajustan los procesos y procedimientos que garantizan la protección de los datos personales y se crean cargos específicos, al interior de las empresas y entidades para supervisar la adecuación regulatoria, como oficiales de cumplimiento. Las políticas de protección de datos se han convertido en la columna vertebral del funcionamiento interno de las empresas que determinan quienes tienen a su cargo las tareas relacionadas con el recaudo y tratamiento de datos personales. Una política es una decisión empresaria y no solo un texto legal, debe apuntar realmente al cumplimiento en la empresa de una visión, en este caso la protección de la información personal.

En suma, la protección de la información personal como derecho fundamental tiene que tener en cuenta que los datos personales en la actualidad la savia de todas las empresas en proceso paulatino de transformación digital. El equilibrio entre la protección a los titulares de data protection y la innovación empresarial es uno de los ejes necesarios para la construcción de la sociedad de la información, la consolidación de la economía digital y la inserción del país en la Cuarta Revolución Industrial.

2. El rol relevante de la Autoridad Nacional de Protección de Datos

La Superintendencia de Industria y Comercio (en adelante SIC) como autoridad nacional de protección de datos personales ha crecido en experiencia y experticio de sus funcionarios y como entidad. El contacto con otras entidades internacionales y la cooperación internacional han contribuido a investigaciones con mayor pertinencia y conocimiento y procedimientos internos con el cumplimiento de estándares internacionales.

Los principios  Las guías y lineamientos han contribuido a una mayor claridad respecto del alcance de la regulación para los interesados y de la aplicación que el gobierno lleva a cabo. Por ejemplo, la Red Iberoamericana de Protección de Datos (RIPD), surgió en 2003 como un foro integrador de los diversos actores, tanto del sector público como privado, que desarrollen iniciativas y proyectos relacionados con la protección de datos personales en Iberoamérica.  En 2017, la RIPD aprobó los “Estándares de Protección de Datos Personales para los Estados Iberoamericanos”[2], que buscan ser el modelo de referencia para la regulación futura en la región del derecho de protección de datos, así como para la revisión de las normas ya existentes para su actualización conforme a sus parámetros.

Entre los temas definidos por la SIC recientemente consideró que es legítimo el tratamiento de datos personales (números telefónicos) a través de cualquier metodología o tecnología, como “marcadores predictivos”, “robocalls”, “nuisance calls” o herramientas de inteligencia artificial, siempre y cuando se haya obtenido la autorización previa, expresa e informada de las personas destinatarias de las llamadas telefónicas.[3]

También ha propuesto uns sandbox o arenera regulatoria en materia de protección de datos e inteligencia artificial como espacio o escenario de experimentación para determinar el impacto de esas herramientas de la Cuarta Revolución ndustrial en la privacidad y en la protección de datos.

La Procuraduría General de la Nación tiene a su cargo la vigilancia del cumplimiento del régimen de protección de datos en las entidades públicas así como las sanciones por su violación tanto a las entidades como a los funcionarios responsables. La falla en el servicio público por el uso inadecuado uso de información.

La jurisprudencia no solamente la constitucional, ha construido de manera paulatina a la interpretación en el campo privado y público de las reglas legales y reglamentarias.  La SIC ha expedido ordenes, resoluciones y actos administrativos con requerimientos y sanciones por violación del régimen de protección de datos que están sujetas a doble control, vía gubernativa y jurisdiccional. El alcance de la competencia de la SIC sobre data protection no se limitado a las empresas nacionales sino que se han investigado actividades de redes y plataformas como Facebook, TikTok y Whatsapp.

En 2020, ante la Superintendencia de Industria y Comercio se radicaron 16.355 quejas por el incumplimiento en el uso legal y autorizado de datos personales[4]. El rol activo de la SIC y de los titulares de derechos así como la digitalización creciente de las actividades de las empresas y el gobierno ha hecho que las multas y sanciones hayan aumentado con lo cual es relevante el control jurisdiccional a la actividad administrativa y judicial. El contencioso-administrativo tiene a su cargo la definición del alcance de las facultades administrativas de la SIC en relación con el régimen de datos personales. La jurisdicción ordinara tiene a cargo la indemnización por los perjuicios causados entre los particulares por la afectación del derecho fundamental de protección de datos personales así como de las disposiciones legales mencionadas. Loa perjuicios causados a los particulares por la falta de medidas preventivas frente a un incidente informático que permita la vulneración de datos personales puede solicitarse ante la justicia ordinaria.

[1] Superintendencia de Industria y Comercio  https://www.sic.gov.co/noticias/por-violaciones-de-datos-personales-superindustria-ha-impuesto-sanciones-por-mas-de-21-mil-millones-de-pesos

[2] https://www.redipd.org/es/documentos/estandares-iberoamericanos

[3] Superintendencia de Industria y Comercio https://www.sic.gov.co/content/recomendaciones-generales-para-el-tratamiento-de-datos-en-la-inteligencia-artificial

[4] https://www.asuntoslegales.com.co/actualidad/en-2020-las-quejas-por-proteccion-de-datos-subieron-27-y-la-sic-emitio-76-sanciones-3120123