La Ley de Protección de Datos Personales el Gobierno la convirtió en letra muerta
El derecho a la protección de datos personales se encuentra consagrado en la Constitución Política de Colombia en el rango de derecho constitucional fundamental, susceptible de ser protegido por vía de tutela ante la vulneración o amenaza.
Este derecho es una de las conquistas constitucionales que le permite a todas las personas conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos y, especialmente, cuando han sido recogidas sin su consentimiento y cuando, además, se la da un uso que no se corresponde con los fines para los cuales fue suministrada la información personal.
Este importante derecho que ya traía alguna concreción de amparo por vía jurisprudencial, entre otras, en las sentencias SU-082 DE 1995, T-119 de 1995, T-176 de 1995, T-552 de 1997, T-307 de 1999 y C-1011 de 2008, logró un desarrollo legislativo de rango estatutario con la expedición de la Ley 1581 del año 2012 cuya vigencia inicio en abril del año 2013. Esta Ley que aunque tiene algunos aspectos que pueden ser cuestionados, no deja de ser un avance significativo que ubica a la persona como prioridad para darle protección a ella y a su derecho a proteger sus datos personales y su intimidad, entre otros derechos relacionados.
De los aspectos que incorporó la Ley 1581 de 2012 sobre protección de datos personales, considero importante referirme a los siguientes:
La Ley 1581 en su Artículo 3o. definió algunos términos, a saber:
"Artículo 3°. Definiciones. Para los efectos de la presente ley, se entiende por:
a) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales;
b) Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento;
c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;
d) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento;
e) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos;
f) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento;
g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión."
Acto seguido, la Ley 1581 de 2012, consagró en el Artículo 4 unos importantes principios guías de y para la protección de los datos personales, entre esos principios están los de legalidad, libertad y acceso y circulación restringida, consagrados de la siguiente manera:
"Artículo 4°. Principios para el Tratamiento de datos personales. En el desarrollo, interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los siguientes principios:
a) Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen;
c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento;
f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley;
Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley;..."
De otro lado, en la lógica y coherencia que se le puede atribuir a la Ley 1581 de 2012 que por ser estatutaria tiene como objeto desarrollar el derecho fundamental de protección de datos personales y como destinataria a la persona titular de dicho derecho y de los datos, se resalta que en el Artículo 9, la mencionada Ley se refiere a los derechos del titular de los datos personales, esto es, a los derechos del protegido o persona protegida en dicha Ley, y la referencia la hace de la siguiente forma:
"Artículo 8°. Derechos de los Titulares. El Titular de los datos personales tendrá los siguientes derechos:
a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado;
b) Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la presente ley;
c) Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales;
d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen;
e) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución;
f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento."
Sumado a lo anterior, la Ley Estatutaria 1581 de 2012 consagró en el artículo 9o., lo que considero una garantía para que la protección a los datos personales sea eficaz, esto es, LA AUTORIZACION del titular, así: "Artículo 9°. Autorización del Titular. Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior." (el resaltado es mío).
Como se puede apreciar por el lector, la Ley Estatutaria de protección de datos personales, entre otros aspectos, consagró importantes elementos normativos y principialísticos que hacen creer que la protección de datos personales si era posible, sin embargo, el Gobierno Nacional con una maraña reglamentaria que excede su competencia, al expedir el Decreto 1377 de 2013, reglamentario de la Ley 1581 de 2013, convirtió, a mi juicio, en letra muerta, esta Ley Estatutaria de Protección de Datos Personales, ello porque el Gobierno con el Decreto mencionado desconoció que para el uso de datos personales se requiere la expresa autorización del titular de dichos datos como lo indica la Ley, no obstante el Gobierno en el Decreto 1377 de 2013 desconociendo la Ley que protege a la persona titular de los datos personales lo que hizo fue proteger a los responsables del tratamiento de dichos datos mediante la transformación de la autorización previa y expresa a una autorización tácita cuando el titular de los datos en un término de 30 días no responda el mensaje en el cual se le informe que sus datos reposan en ciertas bases de datos. Esta afirmación de que se convirtió en letra muerta la ley 1581 de 2012, surge del contenido del Artículo 10 del Decreto en comento que se refiere, sin la competencia de quien lo expidió, a aquellos datos obtenidos antes de la vigencia de la Ley 1581 de 2012, para lo cual dicho Decreto indicó en el numeral 4 del Artículo 10 que: "4. Si en el término de treinta (30) días hábiles, contado a partir de la implementación de cualesquiera de los mecanismos de comunicación descritos en los numerales 1, 2 y 3, el Titular no ha contactado al Responsable o Encargado para solicitar la supresión de sus datos personales en los términos del presente decreto, el responsable y encargado podrán continuar realizando el Tratamiento de los datos contenidos en sus bases de datos para la finalidad o finalidades indicadas en la política de Tratamiento de la información, puesta en conocimiento de los titulares mediante tales mecanismos, sin perjuicio de la facultad que tiene el Titular de ejercer en cualquier momento su derecho y pedir la eliminación del dato."
Como se advierte, el Gobierno ha excedido sus competencias reglamentarias, ya que dejó de proteger lo que la Ley Estatutaria esperaba proteger que era a la personal titular de los datos personales y no a los que poseen los datos personales de ellas. Y es que lo que debería suceder es que los datos personales de una persona no puedan ser utilizados si la persona no responde expresamente cuando se le pida que autorice el uso de sus datos, porque la Ley 1581 de 2012, de naturaleza estatutaria, lo que regula y busca proteger es un derecho fundamental y a los titulares del mismo, para lo cual, lo que indicó dicha Ley es que para poder hacer uso de la información personal se requiere autorización PREVIA y EXPRESA del titular y no una AUTORIZACIÓN TÁCITA como lo ha dispuesto el Gobierno con el Decreto Reglamentario 1377 de 2013, es decir, lo que debe entenderse por virtud de la Ley 1581 de 2012 es que si el titular de los datos personales no autoriza de forma expresa su uso o tratamiento, nadie podrá utilizarlos o continuar usándolos si fueron obtenidos antes de la Ley 1581. Sin duda, con el Decreto 1377 de 2013 la persona titular del derecho fundamental a la protección de los datos personales, dejó de serlo, aunque sea la protegida natural, y quienes resultaron como protegidos con el mencionado Decreto Reglamentario fueron los responsables del tratamiento de datos, que son aquellos con respecto a quienes el legislador quería proteger a las personas.
Lo que en este escrito afirmo sobre que la Ley de protección de datos personales el Gobierno la convirtió en letra muerta, no solo es el resultado del análisis de las disposiciones jurídicas citadas, esto es, algunas definiciones dadas por la Ley 1581 de 2012, así como de los principios de legalidad, libertad, circulación restringida, derechos de los titulares y lo relacionado con la autorización para el uso de los datos, sino que es también la combinación de ello con la Jurisprudencia de la Corte Constitucional, especialmente, lo indicado en la Sentencia C-748 de 2011 en virtud de la cual, se valoró la constitucionalidad del proyecto de Ley Estatutaria, hoy la 1581 de 2012, que desarrolla el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma.
La Corte Constitucional en la sentencia citada, revisó la constitucionalidad de la que es hoy la Ley 1581 de 2012, y en dicha revisión hizo expresa alusión al principio de libertad, descrito en renglones precedentes. Particularmente, la Corte Constitucional indicó que este principio de libertad es "pilar fundamental de la administración de datos, permite al ciudadano elegir voluntariamente si su información personal puede ser utilizada o no en bases de datos. También impide que la información ya registrada de un usuario, la cual ha sido obtenida con su consentimiento, pueda pasar a otro organismo que la utilice con fines distintos para los que fue autorizado inicialmente.
Agregó la Corte que el literal c) del, entonces, Proyecto de Ley Estatutaria no sólo desarrolla el objeto fundamental de la protección del habeas data, sino que se encuentra en íntima relación con otros derechos fundamentales como el de intimidad y el libre desarrollo de la personalidad. En efecto, el ser humano goza de la garantía de determinar qué datos quiere sean conocidos y tiene el derecho a determinar lo que podría denominarse su “imagen informática”.
Indicó también la Corte que por su parte, la Asamblea General de Naciones Unidas, en Resolución 45/95 del 14 de diciembre de 1990, considero el consentimiento como el elemento esencial en el manejo de administración de los datos. Por su parte, la Directiva 95/46/CE[229] del Parlamento Europeo y del Consejo Europeo se refiere específicamente al consentimiento y lo define como “toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.” En consecuencia, dicho instrumento señala que los Estados miembros dispondrán que el tratamiento de datos personales sólo puede efectuarse si el interesado ha dado su consentimiento de forma inequívoca.
Por lo anterior, fue en virtud del principio de libertad que la Corte Constitucional empezó a desarrollar los contenidos mínimos del derecho fundamental del habeas data. Así, en la sentencia T-414 de 1992[230] se estableció que en el Estado Constitucional, los procesos de administración de datos personales sólo eran legítimos a partir de la vigencia de la libertad del individuo, que involucraba necesariamente la potestad para permitir y controlar el acceso a su información personal para lo cual la Corte hizo especial referencia a la AUTORIZACIÓN PREVIA DEL TITULAR DE LOS DATOS PERSONALES y advirtió la Corte que "En relación con el carácter previo, la autorización debe ser suministrada, en una etapa anterior a la incorporación del dato y de forma expresa.
En relación con el carácter expreso, según la Corte Constitucional la autorización debe ser inequívoca, razón por la cual, al contrario de lo sostenido por algunos intervinientes, no es posible aceptarse la existencia, dentro del ordenamiento jurídico colombiano, de un consentimiento tácito. Lo anterior, por varias razones:
En primer lugar, la jurisprudencia constitucional ha exigido tal condición y ha dicho que el consentimiento debe ser explicito y concreto a la finalidad específica de la base de datos.
En segundo lugar, de una interpretación armónica de todo el articulado se deduce que el legislador estatutario tuvo una intención inequívoca que el consentimiento siempre fuese expreso. Así, desde el artículo 3 se dice que éste debe ser “previo, expreso e informado”. Esto mismo se repite en el artículo 4. Posteriormente, el artículo 8 ordinal b), garantiza al Titular el derecho de solicitar prueba de la autorización, y señala que ésta sólo puede considerarse exceptuada en los casos consagrados en el artículo 10. El artículo 9 ordena que la autorización sea “obtenida por cualquier medio que pueda ser objeto de consulta posterior”
La Corte Constitucional declaró exequible el proyecto de Ley Estatutaria de protección de datos personales, hoy Ley 1581 de 2012, y la constitucionalidad se fundamentó entre otros, en que dicho proyecto respetada el principio de libertad que lleva consigo el CONSENTIMIENTO EXPRESO DEL TITULAR DE DATOS PERSONALES para que dichos datos sean usados, sin embargo, tal declaración de la Corte Constitucional, así como la voluntad del legislador, fueron desconocidas por el Gobierno al expedir el Decreto 1377 de 2013 y preferir con él la protección del responsable de tratamientos de datos personales que la protección de las personas titulares del derecho a la protección de datos personales.
Por lo anterior reitero y concluyo: El Gobierno Nacional con una maraña reglamentaria que excede su competencia, al expedir el Decreto 1377 de 2013, reglamentario de la Ley 1581 de 2012, convirtió, a mi juicio, en letra muerta la Ley Estatutaria de Protección de Datos Personales, ello porque el Gobierno con el Decreto mencionado desconoció que para el uso de datos personales se requiere la expresa autorización del titular y no de una autorización tácita de éste.
Gloria Yaneth Vélez Pérez
Abogada
Especializada en Derecho Probatorio
Especializada en Derecho Público
Candidata a Magister en Derecho Procesal
Candidata a Doctora en Derecho (U Externado de Colombia)
Conciliadora en Derecho
Email: [email protected]
El derecho a la protección de datos personales se encuentra consagrado en la Constitución Política de Colombia en el rango de derecho constitucional fundamental, susceptible de ser protegido por vía de tutela ante la vulneración o amenaza.
Este derecho es una de las conquistas constitucionales que le permite a todas las personas conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos y, especialmente, cuando han sido recogidas sin su consentimiento y cuando, además, se la da un uso que no se corresponde con los fines para los cuales fue suministrada la información personal.
Este importante derecho que ya traía alguna concreción de amparo por vía jurisprudencial, entre otras, en las sentencias SU-082 DE 1995, T-119 de 1995, T-176 de 1995, T-552 de 1997, T-307 de 1999 y C-1011 de 2008, logró un desarrollo legislativo de rango estatutario con la expedición de la Ley 1581 del año 2012 cuya vigencia inicio en abril del año 2013. Esta Ley que aunque tiene algunos aspectos que pueden ser cuestionados, no deja de ser un avance significativo que ubica a la persona como prioridad para darle protección a ella y a su derecho a proteger sus datos personales y su intimidad, entre otros derechos relacionados.
De los aspectos que incorporó la Ley 1581 de 2012 sobre protección de datos personales, considero importante referirme a los siguientes:
La Ley 1581 en su Artículo 3o. definió algunos términos, a saber:
"Artículo 3°. Definiciones. Para los efectos de la presente ley, se entiende por:
a) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales;
b) Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento;
c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;
d) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento;
e) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos;
f) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento;
g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión."
Acto seguido, la Ley 1581 de 2012, consagró en el Artículo 4 unos importantes principios guías de y para la protección de los datos personales, entre esos principios están los de legalidad, libertad y acceso y circulación restringida, consagrados de la siguiente manera:
"Artículo 4°. Principios para el Tratamiento de datos personales. En el desarrollo, interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los siguientes principios:
a) Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen;
c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento;
f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley;
Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley;..."
De otro lado, en la lógica y coherencia que se le puede atribuir a la Ley 1581 de 2012 que por ser estatutaria tiene como objeto desarrollar el derecho fundamental de protección de datos personales y como destinataria a la persona titular de dicho derecho y de los datos, se resalta que en el Artículo 9, la mencionada Ley se refiere a los derechos del titular de los datos personales, esto es, a los derechos del protegido o persona protegida en dicha Ley, y la referencia la hace de la siguiente forma:
"Artículo 8°. Derechos de los Titulares. El Titular de los datos personales tendrá los siguientes derechos:
a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado;
b) Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la presente ley;
c) Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales;
d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen;
e) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución;
f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento."
Sumado a lo anterior, la Ley Estatutaria 1581 de 2012 consagró en el artículo 9o., lo que considero una garantía para que la protección a los datos personales sea eficaz, esto es, LA AUTORIZACION del titular, así: "Artículo 9°. Autorización del Titular. Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior." (el resaltado es mío).
Como se puede apreciar por el lector, la Ley Estatutaria de protección de datos personales, entre otros aspectos, consagró importantes elementos normativos y principialísticos que hacen creer que la protección de datos personales si era posible, sin embargo, el Gobierno Nacional con una maraña reglamentaria que excede su competencia, al expedir el Decreto 1377 de 2013, reglamentario de la Ley 1581 de 2013, convirtió, a mi juicio, en letra muerta, esta Ley Estatutaria de Protección de Datos Personales, ello porque el Gobierno con el Decreto mencionado desconoció que para el uso de datos personales se requiere la expresa autorización del titular de dichos datos como lo indica la Ley, no obstante el Gobierno en el Decreto 1377 de 2013 desconociendo la Ley que protege a la persona titular de los datos personales lo que hizo fue proteger a los responsables del tratamiento de dichos datos mediante la transformación de la autorización previa y expresa a una autorización tácita cuando el titular de los datos en un término de 30 días no responda el mensaje en el cual se le informe que sus datos reposan en ciertas bases de datos. Esta afirmación de que se convirtió en letra muerta la ley 1581 de 2012, surge del contenido del Artículo 10 del Decreto en comento que se refiere, sin la competencia de quien lo expidió, a aquellos datos obtenidos antes de la vigencia de la Ley 1581 de 2012, para lo cual dicho Decreto indicó en el numeral 4 del Artículo 10 que: "4. Si en el término de treinta (30) días hábiles, contado a partir de la implementación de cualesquiera de los mecanismos de comunicación descritos en los numerales 1, 2 y 3, el Titular no ha contactado al Responsable o Encargado para solicitar la supresión de sus datos personales en los términos del presente decreto, el responsable y encargado podrán continuar realizando el Tratamiento de los datos contenidos en sus bases de datos para la finalidad o finalidades indicadas en la política de Tratamiento de la información, puesta en conocimiento de los titulares mediante tales mecanismos, sin perjuicio de la facultad que tiene el Titular de ejercer en cualquier momento su derecho y pedir la eliminación del dato."
Como se advierte, el Gobierno ha excedido sus competencias reglamentarias, ya que dejó de proteger lo que la Ley Estatutaria esperaba proteger que era a la personal titular de los datos personales y no a los que poseen los datos personales de ellas. Y es que lo que debería suceder es que los datos personales de una persona no puedan ser utilizados si la persona no responde expresamente cuando se le pida que autorice el uso de sus datos, porque la Ley 1581 de 2012, de naturaleza estatutaria, lo que regula y busca proteger es un derecho fundamental y a los titulares del mismo, para lo cual, lo que indicó dicha Ley es que para poder hacer uso de la información personal se requiere autorización PREVIA y EXPRESA del titular y no una AUTORIZACIÓN TÁCITA como lo ha dispuesto el Gobierno con el Decreto Reglamentario 1377 de 2013, es decir, lo que debe entenderse por virtud de la Ley 1581 de 2012 es que si el titular de los datos personales no autoriza de forma expresa su uso o tratamiento, nadie podrá utilizarlos o continuar usándolos si fueron obtenidos antes de la Ley 1581. Sin duda, con el Decreto 1377 de 2013 la persona titular del derecho fundamental a la protección de los datos personales, dejó de serlo, aunque sea la protegida natural, y quienes resultaron como protegidos con el mencionado Decreto Reglamentario fueron los responsables del tratamiento de datos, que son aquellos con respecto a quienes el legislador quería proteger a las personas.
Lo que en este escrito afirmo sobre que la Ley de protección de datos personales el Gobierno la convirtió en letra muerta, no solo es el resultado del análisis de las disposiciones jurídicas citadas, esto es, algunas definiciones dadas por la Ley 1581 de 2012, así como de los principios de legalidad, libertad, circulación restringida, derechos de los titulares y lo relacionado con la autorización para el uso de los datos, sino que es también la combinación de ello con la Jurisprudencia de la Corte Constitucional, especialmente, lo indicado en la Sentencia C-748 de 2011 en virtud de la cual, se valoró la constitucionalidad del proyecto de Ley Estatutaria, hoy la 1581 de 2012, que desarrolla el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma.
La Corte Constitucional en la sentencia citada, revisó la constitucionalidad de la que es hoy la Ley 1581 de 2012, y en dicha revisión hizo expresa alusión al principio de libertad, descrito en renglones precedentes. Particularmente, la Corte Constitucional indicó que este principio de libertad es "pilar fundamental de la administración de datos, permite al ciudadano elegir voluntariamente si su información personal puede ser utilizada o no en bases de datos. También impide que la información ya registrada de un usuario, la cual ha sido obtenida con su consentimiento, pueda pasar a otro organismo que la utilice con fines distintos para los que fue autorizado inicialmente.
Agregó la Corte que el literal c) del, entonces, Proyecto de Ley Estatutaria no sólo desarrolla el objeto fundamental de la protección del habeas data, sino que se encuentra en íntima relación con otros derechos fundamentales como el de intimidad y el libre desarrollo de la personalidad. En efecto, el ser humano goza de la garantía de determinar qué datos quiere sean conocidos y tiene el derecho a determinar lo que podría denominarse su “imagen informática”.
Indicó también la Corte que por su parte, la Asamblea General de Naciones Unidas, en Resolución 45/95 del 14 de diciembre de 1990, considero el consentimiento como el elemento esencial en el manejo de administración de los datos. Por su parte, la Directiva 95/46/CE[229] del Parlamento Europeo y del Consejo Europeo se refiere específicamente al consentimiento y lo define como “toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.” En consecuencia, dicho instrumento señala que los Estados miembros dispondrán que el tratamiento de datos personales sólo puede efectuarse si el interesado ha dado su consentimiento de forma inequívoca.
Por lo anterior, fue en virtud del principio de libertad que la Corte Constitucional empezó a desarrollar los contenidos mínimos del derecho fundamental del habeas data. Así, en la sentencia T-414 de 1992[230] se estableció que en el Estado Constitucional, los procesos de administración de datos personales sólo eran legítimos a partir de la vigencia de la libertad del individuo, que involucraba necesariamente la potestad para permitir y controlar el acceso a su información personal para lo cual la Corte hizo especial referencia a la AUTORIZACIÓN PREVIA DEL TITULAR DE LOS DATOS PERSONALES y advirtió la Corte que "En relación con el carácter previo, la autorización debe ser suministrada, en una etapa anterior a la incorporación del dato y de forma expresa.
En relación con el carácter expreso, según la Corte Constitucional la autorización debe ser inequívoca, razón por la cual, al contrario de lo sostenido por algunos intervinientes, no es posible aceptarse la existencia, dentro del ordenamiento jurídico colombiano, de un consentimiento tácito. Lo anterior, por varias razones:
En primer lugar, la jurisprudencia constitucional ha exigido tal condición y ha dicho que el consentimiento debe ser explicito y concreto a la finalidad específica de la base de datos.
En segundo lugar, de una interpretación armónica de todo el articulado se deduce que el legislador estatutario tuvo una intención inequívoca que el consentimiento siempre fuese expreso. Así, desde el artículo 3 se dice que éste debe ser “previo, expreso e informado”. Esto mismo se repite en el artículo 4. Posteriormente, el artículo 8 ordinal b), garantiza al Titular el derecho de solicitar prueba de la autorización, y señala que ésta sólo puede considerarse exceptuada en los casos consagrados en el artículo 10. El artículo 9 ordena que la autorización sea “obtenida por cualquier medio que pueda ser objeto de consulta posterior”
La Corte Constitucional declaró exequible el proyecto de Ley Estatutaria de protección de datos personales, hoy Ley 1581 de 2012, y la constitucionalidad se fundamentó entre otros, en que dicho proyecto respetada el principio de libertad que lleva consigo el CONSENTIMIENTO EXPRESO DEL TITULAR DE DATOS PERSONALES para que dichos datos sean usados, sin embargo, tal declaración de la Corte Constitucional, así como la voluntad del legislador, fueron desconocidas por el Gobierno al expedir el Decreto 1377 de 2013 y preferir con él la protección del responsable de tratamientos de datos personales que la protección de las personas titulares del derecho a la protección de datos personales.
Por lo anterior reitero y concluyo: El Gobierno Nacional con una maraña reglamentaria que excede su competencia, al expedir el Decreto 1377 de 2013, reglamentario de la Ley 1581 de 2012, convirtió, a mi juicio, en letra muerta la Ley Estatutaria de Protección de Datos Personales, ello porque el Gobierno con el Decreto mencionado desconoció que para el uso de datos personales se requiere la expresa autorización del titular y no de una autorización tácita de éste.
Gloria Yaneth Vélez Pérez
Abogada
Especializada en Derecho Probatorio
Especializada en Derecho Público
Candidata a Magister en Derecho Procesal
Candidata a Doctora en Derecho (U Externado de Colombia)
Conciliadora en Derecho
Email: [email protected]
Canal RSS
