jueves, 31 de mayo de 2007

¡LA NUEVA LEY DE HABEAS DATA NO ES TAN BUENA COMO LA PINTAN!

El martes 29 de mayo se aprobó la ley 221/07 sobre el derecho de Habeas Data en Colombia. Este derecho consagrado en el artículo 15 de la Constitución Nacional, protege que los datos personales de las personas sean manejados o administrados correctamente y bajo ciertos principios.

Es evidentemente importante y urgente tener una ley de carácter estatutario que regule este derecho de la forma más completa y garantizadora, porque si no es porque hemos tenido una Constitución que lo establece, además de la acción de de tutela que nos ha permitido que no nos lo vulneren, estaríamos en la desprotección absoluta.

Desde hace tiempo se han presentado varias iniciativas legislativas de diversos sectores, unas buenas otras no tan buenas, pero ninguna logró ser sancionada.

Hoy, tenemos una nueva Ley, la que ha diferencia de los proyectos anteriores, no encontró ningún obstáculo para su aprobación y el único freno que puede tener es el que le haga la Corte Constitucional.

Eso a simple vista parecería una maravilla, por que parecería que logramos una regulación de este derecho fundamental, pero no. Se ha aprobado una ley que no garantiza suficientemente el cuidado de nuestros datos personales; una ley que no crea un mecanismo efectivo que estábamos buscando para el mismo objetivo. Tenemos una ley que en primer lugar que no ofrece un nivel adecuado de protección, segundo, cuenta con grandes deficiencias conceptuales básicas y tercero, no cumple con los parámetros internacionales de regulación. Es decir, tenemos una regulación incompleta.

Miremos cada uno de estos tres puntos:

Bajo nivel de protección. Este se refleja en la redacción de varios de los artículos, que apartan de cobertura legal a ciertas bases de datos e impone restricciones para ejercer derechos fundamentales. Por ejemplo:

1 Las bases de datos manejadas por las entidades de fuerza pública. Estas se libran de sanciones por malos tratamientos escudándose en el hecho de que manejan información en pro de la seguridad nacional, desconociendo que en cualquier caso puede mantenerse información equivocada de alguien y pueden generarse perjuicios; ¿a cuántas personas han detenido a la salida del aeropuerto el Dorado cuando pretenden salir de vacaciones con su familia por que equivocadamente guardan el nombre de su homónimo en las bases de datos de alguna institución de investigación?.

2 La excepción en la regulación a los operadores de bases de datos. A ellos también les va bien con la aprobación de esta nueva ley. "Salvo que el operador sea la misma fuente de la información, este no tiene relación comercial o de servicio con el titular y por ende no es responsable por la calidad de los datos que le sean suministrados por la fuente" así dice el proyecto. Quiere decir esto que si el operador no es la misma persona que recolecta la información ese no será responsable por su mal manejo. ¿Qué pasa entonces en el evento en que este operador trate información personal inexacta o errada?, ¿No es responsable por no coincidir con la función de fuente? ¿Qué pasa si al operador se le pierde mi información?, ¿No tiene sanción? Pues, según la redacción del artículo 3, así es.

3 Deja por fuera el consentimiento del titular para manejar sus datos financieros. La ley le resta la importancia que debe tiene el consentimiento del dueño de la información personal. Establece este que no será necesaria la autorización del titular de la información, en el caso del dato financiero y crediticio, permitiendo amplia y abiertamente que se publiquen en las bases de datos de esta calidad, información falsa sin que el titular siquiera se entere; a diferencia de todos los países europeos quienes respetan que el dueño de la información financiera negativa, por lo menos conozca previamente qué se le va a publicar.

4 Cobra por ejercer un derecho fundamental. También, esta ley deja ver que su intención, no es la de proteger un derecho fundamental al permitir que los que manejan datos personales le cobren al ciudadano por ejercer sus derechos de acceso, rectificación y cancelación que claramente consagra y protege la Constitución. El artículo 11 limita a que la consulta de la base de datos podrá ser gratuita "por lo menos una vez al año" permitiendo que el resto de ocasiones al colombiano le toque pagar para hacerlo.

Deficiencias conceptuales básicas. Resaltemos dos ejemplos dentro de los varios que presenta el proyecto:

1 Ausencia de consagración del principio de consentimiento. Primero y en concordancia con lo expuesto anteriormente, se desconoce el gran principio base de la Protección de los Datos personales: El principio de Consentimiento. Este elemento esencial en cualquier normatividad de Protección de Datos personales, debe hacer parte de las primeras líneas del título dedicado a los principios de esta. Aquí, ni siquiera se menciona además de desconocerlo en determinados casos de bases datos. Es el consentimiento del titular el que debe permanecer en esta ley para que no se viole la libertad de las personas y para que haya suficiente legitimidad para tratar la información personal y desafortunadamente en esta ley que se aprueba no se tiene en cuenta como debería.

2 Se olvida de proteger datos sensibles. Segundo, es la evidente concentración de la ley en la regulación de las bases de datos financieros y crediticios. Tanto así, que algunos medios de comunicación mal informados, la han denominado ¡"Ley de amnistía para morosos"!. Están desaprovechando la oportunidad de sacar una ley lo suficientemente amplia para que se respete cada dato personal y se están dejando de lado datos tan importantes y sensibles como los de salud, los religiosos o los de índole sexual, para los que no hay protección alguna, permitiendo, por ejemplo, que se publique en Internet que tengo VIH y que pierda mi empleo además de sufrir un posible rechazo social.

No cumple con los parámetros internacionales de regulación. Por dos razones principales:

1 Establece un ente de control sin independencia. El ente de control que establece, carece de autonomía e independencia y no se sujeta en primer lugar, a las exigencias de las normativas de otros países en los que existe y exigen de otros, para el intercambio de bases de datos, una entidad con la suficiente capacidad de sanción a cualquier tipo de administrador de bases de datos sin ninguna sujeción o preferencia.

2 No hay apropiada regulación para el intercambio de datos. La transferencia internacional de datos no puede estar sujeta únicamente a la autorización del titular sino por el contrario debe estar limitada a la existencia de parámetros internacionales de exportación o importación de bases de datos claros y garantizadores de los derechos.

Siendo así las cosas, ¿será que nos hubiera convenido quedarnos como estábamos?, ¿Hubiéramos dejado que nos hubiera seguido protegiendo solamente la Constitución Política y los pronunciamientos de la Corte Constitucional y hubiéramos seguido utilizando la acción de tutela para proteger este derecho fundamental?

miércoles, 16 de mayo de 2007

MIS COMENTARIOS


Varias han sido las propuestas que en Colombia se han presentado para buscar la regulación de la protección de datos en el país. Las disposiciones de cada una de estas han pretendido abarcar varios aspectos de la protección del derecho de habeas data y aún siendo algunas considerablemente garantistas, no han logrado el suficiente impulso para su aprobación legislativa y su consecuente sanción.

El proyecto de ley 027 del 2006 es un proyecto que sufre de lo que han sufrido algunos de los proyectos presentados con anterioridad y es de la incapacidad de crear una norma completamente protectora de un derecho fundamental. Como lo expondré a continuación, esta es una iniciativa que carece de un reconocimiento pleno de los derechos de habeas data, por tres motivos principales:

a) No ofrece un nivel adecuado de protección

b). Tiene deficiencias conceptuales básicas

c) No cumple con parámetros internacionales.

A continuación se explicarán cada uno de los siguientes puntos:

a. No ofrece un nivel adecuado de protección:

Desafortunadamente, la ley contempla dentro de su articulado varios puntos en los que en su redacción puede llegar a desconocerse el derecho fundamental del Habeas Data.

a.1. Las bases de datos especiales se excluyen de protección: Aquí, encontramos la primera falencia: en la redacción se incluye que "…Se exceptúan de esta ley las bases de datos que tienen por finalidad producir la Inteligencia de Estado por parte del Departamento Administrativo de Seguridad, DAS, y de la Fuerza Pública para garantizar la seguridad nacional interna y externa...". Si bien, es claro que deben existir limitaciones en las bases de datos de manejo en pro de la seguridad pública, no se pueden estas apartar totalmente del control de una ley de protección de datos personales, ya que, derechos como el de rectificación y el de cancelación se le estarían anulando al ciudadano y se violaría ampliamente el principio de veracidad de la información.

a.2. No se regulan bases de datos que circulan internamente: En el mismo artículo, se establece que "…Igualmente, quedan excluidos de la aplicación de la presente ley aquellos datos mantenidos en un ámbito exclusivamente personal o doméstico y aquellos que circulan internamente, esto es, que no se suministran a otras personas jurídicas o naturales…". La frase "… y aquellos que circulan internamente…" permite entender que aquellas bases de datos que no son transmitidas a terceros o comunicadas a otros, sea con o sin autorización del titular, no tienen protección de la ley y se desconoce ampliamente que esta información así no circule, está siendo tratada por un administradores de datos personales y su comportamiento debe ser controlada por la ley.

a.3. El operador evade una eventual responsabilidad en el tratamiento de bases de datos. En el artículo 3 referente a las definiciones, específicamente en su literal c, referente a operadores de la información, se adiciona el final del párrafo que "… Salvo que el operador sea la misma fuente de la información, este no tiene relación comercial o de servicio con el titular y por ende no es responsable por la calidad de los datos que le sean suministrados por la fuente;…". En este punto, se considera que no puede apartarse de responsabilidad al operador de las bases de datos en ningún evento. En el caso concreto, debe decidirse el grado de responsabilidad que recae sobre la fuente de la información, el operador o el usuario independientemente. Y aunque puede de darse que se concluya que no es responsable el operador, debe ser este considerado administrador de datos personales y potencialmente responsable.

a.4. Sin el consentimiento del titular se pueden manipular sus datos financieros y crediticios. Se establece que "…La administración de datos semiprivados y privados requiere el consentimiento previo y expreso del titular de los datos, salvo en el caso del dato financiero y crediticio, el cual no requiere autorización del titular. Respecto a este punto hay que aclarar que La Corte Constitucional en varios de sus pronunciamientos ha establecido los principios básicos en la protección de datos. Entre ellos está el de libertad, consentimiento y veracidad. Este aparte del proyecto de ley está en contra totalmente de lo principios para la protección de habeas data. Se pregunta entonces para buscar una justificación aceptable: ¿El dato financiero y crediticio no tiene la calidad de dato personal? ¿Existe algún pronunciamiento constitucional en el que se excluya amplia y expresamente los datos financieros del resto de los datos personales?. El dato personal, como bien lo expone al principio el proyecto de ley, es cualquier dato de una persona identificada o identificable y el dato crediticio, mientras le pertenezca a alguien en particular hace parte de este concepto y no se debe excluir de un principio básico como es el de consentimiento.

a.5. Se limita el derecho de acceso gratuito a las bases de datos: El artículo 11 sobre Principio de favorecimiento a una actividad de interés público en su parágrafo 2 dispone: "La consulta de información financiera y crediticia por parte del titular será gratuita por lo menos una vez al año, o cuando un usuario hubiere consultado el registro en el curso de una solicitud de crédito en los últimos treinta (30) días. Las políticas o manuales internos del operador desarrollarán la presente disposición". El derecho de acceso es un derecho reconocido por la Corte Constitucional. Este parágrafo entonces, limita esta extensión del derecho fundamental de habeas data, estableciendo que su ejercicio es sólo a una vez al año. El derecho de acceso para ser completamente garantista, debe contar con dos características principales: 1. Su gratuidad y 2. Su permanente posibilidad de ejercicio.

a.6. Se establece un tiempo excesivo de permanencia de los datos de carácter financiero y crediticio: La ley en su artículo 14 referente a la permanencia de la información, dice que "Los datos cuyo contenido haga referencia al tiempo de mora, tipo de cobro, estado de la cartera, y en general, aquellos datos referentes a una situación de incumplimiento de obligaciones, se regirán por un término máximo de permanencia, vencido el cual deberá ser retirada de los bancos de datos por el operador, de forma que los usuarios no puedan acceder o consultar dicha información. El término de permanencia de esta información será de cinco (5) años contados a partir de la fecha en que sean pagadas las cuotas vencidas o sea pagada la obligación vencida". Respecto a este punto debe decirse que si bien, tal como lo aclara el presente proyecto, la actividad de administración de información financiera y crediticia está directamente relacionada y favorece una actividad de interés público, como lo es la actividad financiera propiamente, por cuanto ayuda a la democratización del crédito, promueve el desarrollo de la actividad de crédito, no se debe interponer a los principios básicos de la protección de datos. Una vez mas el principio de veracidad de la información se viola al establecer un término de permanencia de 5 años posteriores al cambio de calidad de la información.

b. Tiene deficiencias conceptuales básicas:

b.1. No es pertinente ponderar el derecho de información frente al derecho de Habeas Data: Los comentarios sobre este punto se analizarán iniciando con el evidente problema que se encuentra en el artículo 1 que dispone el objeto de la ley. La redacción de este punto tiene una gran tendencia garantizadora al establecer que se reconoce con la ley al ciudadano, desarrollar derechos constitucionales de protección de datos personales. No obstante, consideramos que el nivel de protección que este artículo otorga, se ve afectado por incluir en líneas posteriores que se reconoce el derecho de información del art. 20 de la Constitución Nacional. Si bien el derecho de información, con su carácter de fundamental que le da el ordenamiento superior debe siempre ser reconocido, de antemano, no puede incluir su protección en una ley cuyo objeto de protección sea el derecho a la intimidad y el derecho a proteger los datos personales. Per –se, el derecho a la información se contrapone con el derecho al habeas data y se convierte en su límite, tanto así que su estudio ha sido objeto de arduas discusiones constitucionales y de ponderación de derechos.

b.2. Los datos personales no se deben predicar de las personas jurídicas,: Por otra parte, el Art. 3 respecto a las definiciones establece que el titular de la información "… Es la persona natural o jurídica a quien se refiere la información que reposa en un banco de datos y sujeto del derecho de hábeas data y demás derechos y garantías a que se refiere la presente ley"; Sobre este punto hay que decir que, El derecho de protección de datos personales tiene estrecha relación con el derecho a la intimidad. Considero que el derecho a la intimidad se predica del ser humano, de la persona natural. Los datos de las personas jurídicas no son personales y su tratamiento inadecuado no afectan su esfera intima ni privada. En caso de haber una manipulación de los datos de la empresa causándole algún perjuicio, no se alegará violación al derecho a la intimidad por vía de tutela. Seguramente el mecanismo de protección de sus derechos será aquel creado para fines de protección de desempeño en el mercado y de protección de competencia, (good will, secreto industrial, derecho de propiedad industrial, etc).

b.3. Se excluye el principio de consentimiento: Adicionalmente, el artículo 4 dedicado a la exposición de los principios rectores, excluye evidentemente el principio de consentimiento. El consentimiento del titular de los datos, es uno de los pilares para un tratamiento de información personal dentro de unos parámetros lícitos. Si esto no se establece como fundamental dentro de un capitulo de principios básico de la ley, se estará desconociendo garantías fundamentales del ser humano respecto al l manejo y pleno conocimiento de su información personal. Del principio de consentimiento se desprenden el resto de principios que bien contempla el proyecto, ya que, sólo con la aprobación del titular en la transmisión de sus datos para el posterior tratamiento, se podrá tener una legislación dentro de parámetros leales. Solo garantizando como principio el derecho del dueño de los datos a consentir y conocer la finalidad de sus datos, se permitirá que estos sean manipulados legalmente.

b.4. El principio de temporalidad sólo se sujeta al principio de finalidad y se excluye el principio de consentimiento: Siguiendo con la línea del principio de consentimiento, se trae a colación el literal c del mismo artículo 4. En este punto de establece que "…La administración de datos personales se sujeta a los límites que se derivan de la naturaleza de los datos, de las disposiciones de la presente ley y de los principios de la administración de datos personales especialmente de los principios de temporalidad de la información y la finalidad del banco de datos" con lo cual debe adicionarse que el principio de circulación restringida debe sujetarse, junto con el resto de principios que dispone le proyecto, principalmente bajo los de veracidad y consentimiento. Del principio de consentimiento de deriva el principio de finalidad y no al contrario como lo hace ver esta ley. Se considera que el fundamento de la protección de datos de las personas es proteger su intimidad, su honra y buen nombre. Por lo tanto, lo que se debe propender a mantener es que los datos que se mantengan sobre una persona sean ciertos y que circulen sólo con su autorización, salvo en los casos en que la seguridad del estado requiera algo diferente.

- De igual manera el principio de temporalidad no debe sujetarse únicamente al principio de finalidad de la información. Debe depender de igual manera, de si el titular de los datos deja de dar su consentimiento, en el evento en que el dato debe cancelarse a pesar de permanecer su finalidad.

b.5. Se dispone de un periodo muy amplio para certificación de autorización de tratamiento de la información: El artículo 8 referente a los deberes de las fuentes de información, se dispone que estos deben "Certificar, semestralmente al operador, que la información suministrada cuenta con la autorización de conformidad con lo previsto en la presente ley". Ante lo cual se considera que es un periodo de tiempo muy extenso que desconoce el principio de consentimiento y veracidad.

b.6. La ley se concentra en la regulación de datos de carácter financiero y crediticio y omite la protección de aspectos fundamentales del habeas data: También, sigue permaneciendo dentro de la norma la aparentemente inevitable concentración en la regulación de los datos crediticios y financieros. Con esta especialización en el tema de regulación, el problema radica en que dejamos de lado la protección de elementos indispensables dentro de la información personal y descuidamos principios básicos que protegen el derecho de protección de datos personales.

Además íntimamente relacionado con el punto anterior, nos referimos al evidente desconocimiento de la regulación de los datos personales de carácter sensible. El proyecto de ley no reconoce como concepto dentro de su articulado, aquellos datos que por su naturaleza, no pueden ser tratados sin confidencialidad por su potencial de generar discriminación. Definición que para nuestro concepto debe estar resaltada paralelamente con el de dato personal, se omite y se le niega su protección en caso de un tratamiento inadecuado al ciudadano.

c) No cumple con parámetros internacionales.

c.1. El ente de control que establece, carece de independencia: Finalmente, el presente proyecto de ley no cuenta con los parámetros internacionales que se requieren para contar con una aceptación de un nivel adecuado de protección.

Principalmente la falencia en este punto, aparte del desconocimiento de los principios que antes de señala, se encuentra en no incluir en su articulado la creación de un ente de control y vigilancia que cuente con un cierto nivel de independencia. Según el artículo 18 se dispone que " La Superintendencia de Industria y Comercio ejercerá la función de vigilancia de los operadores, las fuentes y los usuarios de información financiera y crediticia, en cuanto se refiere a la actividad de administración de datos personales que se regula en la presente ley" y esta entidad tiene una vinculación clara y estrecha con el estado.

c.2. El tema de circulación de datos carece de completa regulación. Adicionalmente, específicamente el tema de ciruculación de datos no está regulado correctamente, en el sentido en que la transferencia internacional de datos no puede estar sujeta únicamente a la autorización del titular sino por el contrario debe estar limitada a la existencia de parámetros nacionales de exportación o importación de bases de datos. De esta manera el parágrafo del artículo 5 debería excluir que "la entrega de datos a un banco localizado en dicho países solo podrá realizarse con autorización del titular".

Como conclusión, se puede decir que el proyecto de ley 027 de 2006 es una iniciativa con tendencia a proteger los derechos de los ciudadanos pero que contiene varias carencias en puntos clave de garantías como son en aspectos fundamentales, como principios básicos y falencias en conceptos de la protección de datos personales no menos importantes que los anteriores.

Adicionalmente, se centra, como muchos otros proyectos de ley, en la regulación de los datos financieros y crediticios y deja de lado la protección de aspectos indispensables dentro del derecho del Habeas Data como son los datos sensibles.

Por lo tanto, a pesar de su intención garantizadora deben ser tenidos en cuenta varios puntos que primero, le procuren al ciudadano una plena protección del derecho constitucional y que segundo, le permitan a Colombia ser incluido dentro de la lista de países considerados con parámetros internacionales de protección adecuada.

Proyecto de Ley 27 de 2006 sore Habeas Data.

Hoy en Colombia está en debate el Proyecto de ley 27 de 2006 sobre Habeas Data el que por lo visto na ha encontrato ningún obstáculo en su camino de aprobación.
Sin embargo, gente intersada en el tema y que conoce sobre él, le han sugerido a lo dueños de la iniciativa varios comentarios, buscando una mayor protección a los ciudadanos y modificar varios puntos del proyecto que desconocen los derechos funamentales
Yo por mi parte, he redactado un documento enunciando y explicando mis puntos de inconformidad.

Finalmente, aunque no me adhiera a lo dicho por una colega " mejor tener una mala ley a no tener ley" , independientemente de lo anterior, agradezco y reconozco la iniciativa de quienes ha propuesto la regulación.