PROTECCIÓN DE DATOS PERSONALES

ELABORADO POR

-------------------------------------------------------------------------------

PRESENTADO A

------------------------------------

UNIVERSIDAD

AÑO 2018
 2

Tabla de contenido

Introducción ..............................................................................................................................3
El impacto de la ley 1581 de 2012 en la protección de los datos personales ............... ……5
El manejo de los datos personales por parte de la Defensoría del Pueblo ...........................7
Conclusiones ............................................................................................................................13
Bibliografía ..............................................................................................................................15
 3

INTRODUCCIÓN

La apertura de los mercados a nivel mundial que buscan un intercambio ascendente de bienes

y servicios ha provocado que el fenómeno de la globalización impacte directamente no solo a

grandes emporios económicos sino igualmente al ciudadano que interviene en la cadena de

consumo. Lo anterior sumado a un amplio desarrollo tecnológico que ha permitido una mayor

interacción entre los seres humanos provocó que los espacios de intimidad de los sujetos de

derecho se redujeran y por lo tanto necesitasen de una protección jurídica de la información que

está en constante circulación.

En la actualidad el acceso a la información por parte de las empresas se ha convertido en un

activo que les permite orientar la prestación de servicios y la venta de bienes según las preferencias

del consumidor cuyos gustos han trascendido el fuero interno y los cuales pueden ser identificados

con una serie de algoritmos que determina los gustos específicos, volviéndose accesible la

intimidad de la persona. Así mismo los entes estatales con el fin de desarrollar mecanismos mas

agiles entre la administración y el ciudadano han implementado sistemas de recolección de

información que pueden en muchos casos involucrar los datos personales del titular. Ante este

panorama la intervención del estado en estas relaciones sociales y económicas deja de ser

facultativa y se convierte en una obligación.

El legislador a través de La ley estatutaria 1581 de 2012 estructuro las bases jurídicas

pertinentes para proteger de manera adecuada los datos personales de los ciudadanos, situación

que se vinculó directamente con los artículos 15 y 20 de la Constitución política. Un panorama

legislativo que debió ponerse a la par de la trasformación social que se ha desarrollado durante los

últimos 30 años.
 4

Como bien lo señalo la Corte Constitucional en el control que efectuó sobre esta ley estatutaria

(T- 174, 2011), la protección de los datos personales está influenciada por la plaza preponderante

que le han dado los instrumentos internacionales a este tema, tal como se observa en el artículo 12

Declaración Universal de los Derechos Humanos, el artículo 17 del Pacto Internacional de

Derechos Civiles y Políticos (PIDCP), el artículo V de la Declaración Americana de Derechos y

Deberes del Hombre y el rol predominante del Consejo de Europa durante los años 70 para proteger

la vida privada de las personas.

En este sentido es posible identificar una aparente dicotomía entre “un derecho colectivo como

la información y un derecho de corte individualista como la intimidad” (Calle, Octubre, 2006). Por

lo tanto es necesario indagar si la ley estatutaria emitida por el poder legislativo es realmente

efectiva pero además si esta es realmente aplicable por las entidades públicas.

Como consecuencia este ensayo pretende vislumbrar los elementos constitutivos de la

regulación de los datos personales y su adecuada protección, pero adicionalmente analizar el

impacto de la intervención estatal a través de la ley 1581 de 2012 a través de un caso concreto.
 5

El impacto de la ley 1581 de 2012 en la protección de los datos personales

En materia jurídica el primer antecedente que se tiene de la utilización de datos personales

dentro del uso de medios electrónicos en el procedimiento judicial es el Decreto 2150 de 1995

que contemplaba el posible uso de datos de los ciudadanos por parte de la administración cuando

los primeros enviaran o solicitaran información necesaria dentro de la actuación administrativa.

Esta situación supuso mecanismos más agiles de comunicación entre administración y

administrados pero al mismo tiempo genero una preocupación particular sobre el uso correcto y

legítimo de la información personal del ciudadano. Este desafío fue asumido con la adopción de

la Constitución de 1991 donde el artículo 15 tomo la dimensión de protección del derecho al

Habeas Data el cual se relacionó directamente con el derecho que tiene todo ciudadano a que se le

garantice una debida protección a su intimidad. La corte Constitucional ha sido enfática en

determinar que:

el núcleo del derecho al habeas data está compuesto por la autodeterminación

informática y la libertad –incluida la libertad económica. Además, este derecho

comprende al menos las siguientes prerrogativas: “a) El derecho a conocer las

informaciones que a ella se refieren; || b) El derecho a actualizar tales

informaciones, es decir, a ponerlas al día, agregándoles los hechos nuevos; || c) El

derecho a rectificar las informaciones que no correspondan a la verdad.”, e incluye

el derecho a la caducidad del dato negativo. (SU-082 , 1995)

La jurisprudencia que ha desarrollado la Corte Constitucional en relación con la protección de

la intimidad de la persona y el derecho que se tiene a que el tratamiento de la información sea

responsable por parte de particulares y autoridades públicas es sin duda alguna un importante

antecedente a la expedición de la ley estatutaria de 2012. La vigencia de la protección en vez de

 6

disminuir aumenta con el paso del tiempo en razón del acceso que tiene el ciudadano a nuevas

tecnologías y que implica la identificación constante que debe realizar el titular del derecho para

acceder a la web en los diferentes tramites que se realicen ya sea en el campo público o delante de

particulares.

Es evidente que durante los últimos años se has presentado diferentes escándalos a escala global

que comprometen a grandes empresas de derecho privado como Facebook ( Redacción de El País

y agencia EFE, 2018) con el uso indebido de datos personales que han generado serios

cuestionamiento sobre el manejo de la información que realizan los particulares, vulnerando en

muchos casos la protección del derecho a la intimidad. Para hacerle frente a esta problemática se

han adoptado diversas legislaciones en la materia, no solo a nivel nacional sino también

comunitario como es el caso de la Unión Europea que a través del Reglamento 2016/679 de 27 de

abril de 2016 que se encuentra vigente desde el pasado 25 de mayo, decidió reforzar la normativa

jurídica con el fin que los ciudadanos tuviesen mayor control de sus datos personales sin que esto

fuera un obstáculo para el desarrollo económico de las empresas siempre y cuando se respetaran

las reglas establecidas en la materia.

Se evidencia por lo tanto que la legislación colombiana no se desarrolla como un fenómeno

aislado sino que por el contrario intenta acoplarse a los estándares mínimos de protección de datos

personales que han sido establecidas en otras latitudes y que necesita de una regulación específica

en el territorio. Es menester aclarar que en los casos de comunicación de datos a través de redes

de comunicación los estados deben entablar diálogos constantes con el fin que las legislaciones

sean más o menos armónicas lo que genera que el proceso legislativo deje de ser un asunto

exclusivamente nacional, situación que tiene aspectos positivos, como la facilidad de

comunicación entre entes económicos, sociales y políticos a nivel mundial pero también se pone
 7

de manifiesto una cesión de una parte de la autonomía de los estados para regular lo concerniente

a la aplicación y protección de los derechos fundamentales que pueden ser afectados por el

fenómeno de transmisión de datos.

El manejo de los datos personales por parte de la Defensoría del Pueblo

La legislación y la constitución política de Colombia establecen un procedimiento determinado

para una correcta protección de los datos personales del titular cuando los mismos se encuentran

a disposición de una entidad pública, específicamente en todo lo relacionado con el

almacenamiento, la emisión de la información y su distribución. El primer acto que deben ejecutar

tanto los particulares como las entidades es determinar si dentro de las funciones que desarrollan

se recolecta, almacena, usa o se hace circular datos personales, bien sea en archivos físicos o

electrónicos que pueden pertenecer a empleados, clientes o proveedores y de ser así estos deben

ser correctamente inscritos en el Registro Nacional de Base de Datos.

En un caso concreto la Defensoría del pueblo registró los datos personales de diferentes usuarios

a través de varios sistemas de información que componen su base de datos, específicamente por

medio de los canales interinstitucionales denominados Sistema de Información de Justicia

Transicional (SIIJT) y el Formato único de Declaración (FIUD). Dentro de este sistema se llevó

a cabo la recolección de información referente a los desmovilizados y víctimas del conflicto

armado colombiano por lo que la información que reposa en este sistema está compuesta por datos

de carácter personal, público y de carácter sensible. El último ítem contiene información

relacionada con menores víctimas del conflicto y poblaciones en estado de vulnerabilidad

caracterizadas por una orientación política, sexual y étnica particular.

 8

Es menester resaltar que la entidad estableció desde el principio un manual de políticas y

procedimientos para garantizar el debido manejo de los datos de conformidad con la ley 1581 de

2012, al cual se puede acceder fácilmente a través de la misma página web de la entidad y que

permite a los titulares de la información conocer el alcance del tratamiento de datos y los

mecanismos apropiados para proteger los derechos fundamentales contenidos en la Constitución

política.

La Defensoría en el caso específico no solo realiza el correspondiente tratamiento de datos sino

que además efectúa una transferencia de los mismos de forma constante con diferentes entidades

públicas de orden nacional y territorial que estas vinculadas con los mecanismos de justicia

transicional lo que demanda una mayor rigurosidad en el tratamiento de la información por parte

del responsable.

En el caso concreto la Defensoría recopiló, uso y transmitió los datos relativos de algunas

personas que contenían información del estado civil de víctimas y victimarios, al igual que la

profesión y oficio que ejercían antes de estar incursos en el conflicto armado. Dicho tratamiento

se efectuó sin la autorización previa de los titulares de la información pues la entidad accedió

directamente a esta información desde una base gubernamental de registro público que se

constituyó a través de un arduo trabajo por identificar los sujetos activos y pasivos del conflicto

que se desarrolló en diversas regiones.

Por otra parte la entidad suministró a la Corte Suprema de Justicia toda la información

relacionada con los datos personales de los desmovilizados, donde inclusive se especificaba sus

relaciones personales cercanas y su orientación ideológica. Lo anterior enmarcado dentro de una

solicitud judicial que tiene como finalidad identificar los perpetradores de crímenes de lesa

humanidad y que podrían estar en curso en el desarrollo de una actividad terrorista.

 9

Por último la defensoría en su afán por almacenar de forma eficaz y completa la información

de víctimas del conflicto armado incluyo dentro de sus bases de datos informaciones detalladas de

personas pertenecientes a la comunidad LGTBI, a grupos políticos de las regiones donde se

desarrolló el conflicto y a etnias que han sido objetivo militar por parte de grupos armados al

margen de la ley. No obstante dicho recaudó se efectuó sin la autorización explícita de los titulares

de los datos referidos. Es menester aclarar que en esta última situación la entidad omitió informar

de manera adecuada a los titulares sobre los derechos que le asisten en materia de protección de

datos personales.

De acuerdo al contexto anteriormente descrito es necesario determinar si ¿la Defensoría del

pueblo adecuó de forma pertinente sus mecanismos y practicas institucionales de tratamiento de

datos a las exigencias dispuestas en la ley 1581 de 2012?

Para responder a este cuestionamiento en primer lugar es necesario resaltar que según el Manual

de Políticas de Protección de Datos Personales establecido por la entidad, las informaciones

recaudadas son almacenadas:

Como primera medida en los discos duros de los servidores, luego son guardadas

en medios ópticos o digitales, los cuales son remitidos semanalmente a la

subdirección de servicios administrativos para que sean llevados a custodia fuera

de la entidad. Los servidores que almacenan dichas bases de datos poseen firewalls

de software a nivel de sistema operativo y se encuentran en DMZ de un Firewalls

físico marca CISCO como segunda capa de seguridad; Estos elementos de

Seguridad son monitoreados por el Jefe del Grupo, asignado para tal fin. (Existen

dos capas de seguridad uno a nivel de software y otro a nivel de hardware) Para el

sistema de gestión documental SGD, se realiza copia de seguridad diaria

 10

(automática) de la información y estructura de la base de datos del SGD (incluyendo

sus esquemas) y para la optimización de gestión documental: Cada mes (en forma

manual) se está realizando un procedimiento de optimización para mejorar los

tiempos de respuesta de las consultas a la BD, este procedimiento se conoce como

optimización de Estadística. (Defensoria del Pueblo, 2017)

De lo anterior se colige que en principio el sistema de recolección y almacenamiento cuenta

con mecanismos de seguridad y privacidad que impiden el fácil acceso a la base de datos que

contienen información de los desmovilizados y víctimas del conflicto por parte de personas

externas a la entidad, lo cual otorga una protección que cumple con los estándares impuestos por

la legislación estatutaria.

Al analizar más detalladamente el caso concreto se percibe que la posibilidad de vulnerar el

derecho a la intimidad por la utilización indebida de los datos personales está más vinculado a las

prácticas que desarrollan las entidades estatales que a los mecanismos institucionales que han

creado para desarrollar dicha protección. Por lo cual es necesario analizar cada una de las

actuaciones que llevo a cabo la entidad en el tratamiento de la información de los desmovilizados

y las víctimas del conflicto. En el primer caso donde se recopilaron, sin ninguna autorización

previa, datos específicos que tenían relación con el estado civil de las personas así como con el

oficio o profesión que desarrollaban, cabe aclarar que dicha práctica se enmarca dentro de los

parámetros establecidos por la ley 1581 de 2012 y el manual interno de la Defensoría del Pueblo

que establece que cuando se traten de datos públicos la entidad dará el correspondiente tratamiento

a la información sin necesidad de acudir a una autorización previa por cuanto estos no se

encuentran sometidos a ninguna reserva, por el contrario su carácter público permite un fácil
 11

acceso a la información que ellos contienen y que además reposa en otras bases de datos de las

entidades de orden territorial y nacional.

En lo concerniente a la información suministrada por parte de la defensoría del pueblo a la Corte

Suprema de Justicia sin que mediara autorización expresa de los involucrados y titulares de la

información, es menester recordar que por orden expresa del legislador:

El régimen de protección de datos personales que se establece en la presente ley

no será de aplicación: (…) b) A las bases de datos y archivos que tengan por

finalidad la seguridad y defensa nacional, así como la prevención, detección,

monitoreo y control del lavado de activos y el financiamiento del terrorismo; (Ley

1581 , 2012)

Por lo tanto la práctica de la entidad está amparada directamente por la ley estatutaria que

reservó la protección a situaciones donde el derecho a la intimidad y a la información se encontrabá

en peligro, sin extender esta garantía a informaciones que en razón de su importancia pudiesen

comprometer la integridad física de los otros ciudadanos, la seguridad de la nación o la vulneración

de los derechos fundamentales contenidos en la carta política.

En lo concerniente a la última actividad desplegada por la entidad, quien en el curso de

tratamientos de datos de contenido sensible no obtuvo la correspondiente autorización explícita

de los titulares de la información referida es factible señalar que la entidad incurrió en un manejo

contrario a lo estipulado en la ley 1581 de 2012 la cual desarrollo una categoría especial de datos

personales clasificándolos como informaciones sensibles cuyo incorrecto tratamiento pudiese

afrentar la intimidad del titular y dentro de los cuales se incluye los derechos de niños y

adolescentes con el fin de evitar la indebida utilización de una información que solo es relevante
 12

para el titular del derecho pero que al ser expuesta en público podría generar actos discriminatorios

ya que se devela elementos particulares como el sexo, el origen étnico, la orientación sexual, las

posturas políticas o religiosas e incluso la pertenencia a organizaciones sociales.

A pesar que la entidad garantiza el acceso a la información por parte de los titulares de los datos

personales y sus causahabientes de forma gratuita inclusive una vez por mes, dicha protección

resulta ineficaz si no lo antecede el consentimiento expreso de las personas pertenecientes a la

comunidad LGTBI, a grupos políticos y a las etnias descritas anteriormente, dado que el titular

de la información debe conocer en primer lugar que sus datos reposan en la entidad y en segundo

lugar cuáles son los datos contenidos en la base de la defensoría para poder ejercer las acciones

pertinentes, de lo contrario dicho mecanismo resulta completamente inocuo.

No obstante lo anteriormente expuesto la defensoría puso a disposición distintos mecanismos

de reclamación que puede ser utilizado por las personas que se sientas lesionadas por sus

actuaciones en materia de protección de datos. En el caso concreto los titulares de informaciones

calificadas como “sensibles” que fueron recaudadas, expuestas, transmitidas y utilizadas dentro de

los procesos de información interno de la entidad pueden solicitar la supresión de los mismos.

Para resolver dicha reclamación la entidad ostenta 15 días hábiles en los cuales debe determinar

si accede o no a la pretensión del titular.

Así mismo la legislación prevé que la Superintendencia de Industria y Comercio, a través de

una Delegatura para la Protección de Datos Personales ejerza la correspondiente vigilancia en

materia de protección de datos personales, de igual forma tiene la facultad de bloquear de forma

temporal el acceso a la información del titular cuando se advierta una posible vulneración a los

derechos fundamentales como consecuencia de la exposición de los datos. Aunque dentro del

cuerpo normativo se evidencias diferentes tipos de sanciones que puede imponer la autoridad entre
 13

las cuales se encuentran la imposición de multas de carácter personal e institucional o la

suspensión de actividades relacionadas con el tratamiento de datos no se evidencia de forma clara

la voluntad de privilegiar la adopción de medidas restaurativas cuando la información ya ha sido

expuesta y ha generado un daño especifico en el titular del derecho. En el caso concreto ciertas

sanciones contenidas en la ley estatuaria pueden ser aplicadas directamente a la Defensoría del

Pueblo en razón del manejo inadecuado de la información que compete exclusivamente a la

población vulnerable.

Conclusiones

Queda establecido que la Ley 1581 de 2012 amplió el espectro de la protección de datos personales que

no cobija únicamente a las entidades pertenecientes al sistemas financiero sino también a todas aquellas

empresas o entidades que dentro de su actividad operen bases de datos, incluyendo entidades de carácter

público que dentro de su ejercicio deban acceder a la información de los ciudadanos.

Por otra parte el desarrollo jurisprudencial de la Corte constitucional y la legislación colombiana han

ido avanzando en la protección de los derechos fundamentales que podrían ser afectados directa o

indirectamente por los progresos tecnológicos que alcanza la humanidad, lo que permite destacar la

adaptación jurídica a los fenómenos sociales. Así mismo las instituciones de orden nacional y regional han

adecuado sus reglamentos a la ley estatutaria con el fin de garantizar los derechos fundamentales contenidos

en la constitución.

El cumplimiento por parte de la entidad pública de uno de los requisitos que impone la legislación en

materia de protección de datos personales no la dispensa de ninguna manera de cumplir a cabalidad con

todos los otros componentes del tratamiento de datos. En el caso concreto se evidenció que si bien la

Defensoría ostentaba mecanismos institucionales adecuados para el buen uso de los datos, una mala práctica

puede acarrearle la imposición de diversas sanciones que están contempladas en la ley.

 14

Sin perjuicio de lo anteriormente expuesto es menester aclarar que la ley estatutaria 1581 es tan

solo un avance que debe continuar desarrollándose a través del aparato institucional, puesto que la

legislación actual se enfrenta a varios desafíos que aún no ha podido sortear completamente. Por

ejemplo en lo que respecta a la manifestación de la voluntad del titular de los datos personales, es

claro que este es un elemento imprescindible para el tratamiento de la información, sin embargo

es necesario cuestionarse sobre la efectividad de la aplicación de la legislación toda vez que en la

mayoría de los casos las autorizaciones que suscribe la persona no son del todo claras y concisas.

Adicionalmente en muchos casos reusarse a las condiciones establecidas por la empresa o la

entidad que desea manejar los datos provoca un obstáculo infranqueable para acceder al bien y al

servicio o a la información deseada lo que hace que no exista verdaderamente una manifestación

libre de la voluntad.
 15

Bibliografía

Redacción de El País y agencia EFE. (25 de Marzo de 2018). Las lecciones que deja el escándalo por filtración de
datos en Facebook. El Pais.

Calle, S. (Octubre, 2006). Protección de datos personales en la banca electrónica a la luz del actual proyecto de Habeas
Data en Colombia. Primera convención internacional de Derecho Informático, documentación y documento
electrónico, (pág. 6). Bogotá, Colombia.

Cobarsí-Morales , J., Canals, A., & Ortoll , E. (Enero de 2013). La información como bien económico: Reflexiones
sobre la crisis financiera de 2008. Obtenido de Research Gate:
https://www.researchgate.net/publication/270584764_La_informacion_como_bien_economico_Reflexione
s_sobre_la_crisis_financiera_de_2008

De la Ossa, M. F., & Corcione, M. C. (2013). Prôtegis Data. Revista digital de derecho administrativo, n.º 10, , 115.

Parlamento Europeo y del Consejo, (27, abril, 2016), Reglamento relativo a la protección de las personas físicas en
lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Diario Oficial de la
Unión Europea L 119/1. Recuperado de https://www.boe.es/doue/2016/119/L00001-00088.pdf

Remolina Angarita, N. (23 de noviembre de 2016). El proyecto de ley sobre recolección internacional de datos no
incorpora el derecho al olvido ni atenta contra la libertad de expresión. Obtenido de Observatorio Ciro
Angarita Bar{on: https://habeasdatacolombia.uniandes.edu.co/?p=2334

Santaella, H. (2001). El modelo economico en la Constitucion de 1991. Revista derecho del estado, 91.

Sentencia C-1147, (Corte Constitucional 31 de octubre de 2001).

Sentencia T-229, (Corte Constitucional 2009).

Sentencia SU-082 , (Corte Constitucional 1 de Marzo de 1995).

Sentencia T- 174, (Corte Constitucional 14 de Marzo de 2011).