LLEGÓ LA HORA DE LOS LITIGIOS SOBRE PROTECCIÓN DE DATOS PERSONALES EN COLOMBIA

Hace ya una década la protección de datos personales dejó de ser solamente un área jurídica especializada con origen constitucional, sobre todo circunscrita a temas de las centrales de riesgos financiero y a los derechos de los deudores morosos. De la labor jurisprudencial de la Corte Constitucional pasamos al hito del derecho positivo, de la LEY, con la entrada en vigor de la Ley 1266 de 2009 y luego de la Ley 1581 de 2012.

Para su mayor entendimiento y puesta en práctica era necesario que existiera la CULTURA DE LOS DATOS, es decir, un proceso de divulgación de la nueva protección de la información entre la gente, al ciudadano de pie. Así mismo era importante que las empresas, las entidades públicas y privadas tomaran conciencia de la necesidad de cumplir la normativa, de asumir sus deberes como encargados y responsables en el procesamiento de datos personales así como de cambiar procedimientos de recolección y tratamiento de esa información.

La AUTORIZACIÓN PARA EL RECAUDO Y TRATAMIENTO DE DATOS PERSONALES se ha convertido poco a poco en un deber ser de las empresas y entidades que han involucrado este documento en su día a día. Las cláusulas contractuales relacionadas con el procesamiento de información personal devienen usuales como forma de gestión de riesgos respecto de posibles malos usos de la información o de incidentes que afecten, por ejemplo, la seguridad informática de bases de datos y repositorios de información personal.

El CUMPLIMIENTO LEGAL (Compliance) marca otra etapa fundamental ya que en sus actividades cotidianas las organizaciones  ajustan los procesos y procedimientos que garantizan la protección de los datos personales y se crean cargos específicos, al interior de las empresas y entidades para supervisar la adecuación regulatoria, como oficiales de cumplimiento.

La Superintendencia de Industria y Comercio (en adelante SIC) como AUTORIDAD NACIONAL DE PROTECCIÓN DE DATOS PERSONALES ha crecido en experiencia y experticio de sus funcionarios y como entidad. El contacto con otras entidades internacionales y la cooperación internacional han contribuido a mejores investigaciones y procedimientos internos. Las guías y lineamientos han contribuido a una mayor claridad respecto del alcance de la regulación para los interesados y de la aplicación que el gobierno lleva a cabo.

La JURISPRUDENCIA, no solamente la constitucional, ha construido de manera paulatina a la interpretación en el campo privado y público de las reglas legales y reglamentarias.  La SIC ha expedido ordenes, resoluciones y actos administrativos con requerimientos y sanciones por violación del régimen de protección de datos que están sujetas a doble control, vía gubernativa y jurisdiccional.

El rol activo de la SIC y de los titulares de derechos así como la digitalización creciente de las actividades de las empresas y el gobierno ha hecho que las multas y sanciones hayan aumentado con lo cual es relevante el CONTROL JURISDICCIONAL a la actividad administrativa y judicial. El contencioso-administrativo tiene a su cargo la definición del alcance de las facultades administrativas de la SIC en relación con el régimen de datos personales. La JURISDICCIÓN ORDINARIA tiene a cargo la indemnización por los perjuicios causados entre los particulares por la afectación del derecho fundamental de protección de datos personales así como de las disposiciones legales mencionadas.

Es importante resaltar algunos de los TEMAS DE LAS CONTROVERSIAS entre los particulares y la Autoridad de Protección de Datos y entre los particulares que llevan a cabo tratamiento de datos personales de otros particulares, entre otros, los siguientes:

1. La competencia de la SIC frente a las filiales de las redes y plataformas cuya actividad en Colombia no trae consigo el tratamiento de datos sino por ejemplo, el mercadeo o la publicdad.
2. El control técnico o contractual que puede tener una matriz respecto del tratamiento de datos en Colombia que lleva a cabo su filial o sucursal.
3. El cumplimiento de la SIC de las etapas procesales del procedimiento sancionatorio y el respecto del debido proceso y del derecho de contradicción.
4. El incumplimiento de los deberes de habeas data y protección de datos personales por responsables y encargados.
5. La omisión del registro de las bases de datos personales ante la SIC.
6. El sustento de las sanciones establecidas en la Ley 1581, especificamente las previstas en el artículo 23 de esta Ley, es decir, multa, cierre temporal o definitivo, entre otras.
7. El ámbito de competencia de la SIC para impartir órdenes (ex ante o ex post) de acuerdo con el procedimiento administrativo establecido en los artículos 34 y siguientes del CPACA (Ley 1437 de 2011).
8. La responsabilidad de la SIC y de sus funcionarios como autoridad por acción ú omisión en el control efectivo y aplicación del régimen legal de protección de datos personales.
9. La omisión del deber de información sobre incidentes informáticos que puedan tener como efecto la revelación o uso indebido de información personal.
10. La aplicación en casos de afectactión a terceros o que tengan interés público de los del principio de divulgación proactiva de los actos administrativos por ejemplo por la cantidad de titulares de derechos de datos personales afectados por una herramienta o plataforma.
11. El ámbito territorial de aplicación de la Ley 1581 con factores determinatnes como el lugar de la recolección de datos personales de los usuarios de la plataforma de Colombia.
12. El grado de diligencia que deben tener las redes sociales y plataformas por la cantidad de información respecto de la cual lleven a cabo tratamiento.
13. La aplicación extraterritorial del régimen de protección de datos personales a empresas con nexos, vínculos o relaciones contractuales en Colombia.
14. La correcta graduación y sustento del monto de las sanciones económicas por la violación del régimen de protección de datos.
15. La aplicación correcta de los criterios de la responsabilidad civil en casos de violación de la Ley 1581.
16. La aplicación de las acciones de grupo para lograr la indemnización de perjuicios cuando no es un solo individuo quien considera violados sus derechos respecto de datos personales sino un grupo de individuos afectados por una misma acción u omisión de una empresa.

Los SUJETOS INVOLUCRADOS en las controversias relacionadas con la protección de datos personales son, entre otros, el estado, la SIC, las plataformas digitales, los titulares de derechos, las entidades públicas, las empresas y los grupos de interés.

En suma, estos son algunos motivos de controversias jurídicas y regulatorias, presentes y futuros entre la SIC y los particulares y en los particulares entre si, como consecuencia de la evolución del tema en Colombia, de la experiencia internacional y de la aplicación cada vez más frecuente de la Ley 1581.