Varias han sido las propuestas que en Colombia se han presentado para buscar la regulación de la protección de datos en el país. Las disposiciones de cada una de estas han pretendido abarcar varios aspectos de la protección del derecho de habeas data y aún siendo algunas considerablemente garantistas, no han logrado el suficiente impulso para su aprobación legislativa y su consecuente sanción.
El proyecto de ley 027 del 2006 es un proyecto que sufre de lo que han sufrido algunos de los proyectos presentados con anterioridad y es de la incapacidad de crear una norma completamente protectora de un derecho fundamental. Como lo expondré a continuación, esta es una iniciativa que carece de un reconocimiento pleno de los derechos de habeas data, por tres motivos principales:
a) No ofrece un nivel adecuado de protección
b). Tiene deficiencias conceptuales básicas
c) No cumple con parámetros internacionales.
A continuación se explicarán cada uno de los siguientes puntos:
a. No ofrece un nivel adecuado de protección:
Desafortunadamente, la ley contempla dentro de su articulado varios puntos en los que en su redacción puede llegar a desconocerse el derecho fundamental del Habeas Data.
a.1. Las bases de datos especiales se excluyen de protección: Aquí, encontramos la primera falencia: en la redacción se incluye que "…Se exceptúan de esta ley las bases de datos que tienen por finalidad producir
a.2. No se regulan bases de datos que circulan internamente: En el mismo artículo, se establece que "…Igualmente, quedan excluidos de la aplicación de la presente ley aquellos datos mantenidos en un ámbito exclusivamente personal o doméstico y aquellos que circulan internamente, esto es, que no se suministran a otras personas jurídicas o naturales…". La frase "… y aquellos que circulan internamente…" permite entender que aquellas bases de datos que no son transmitidas a terceros o comunicadas a otros, sea con o sin autorización del titular, no tienen protección de la ley y se desconoce ampliamente que esta información así no circule, está siendo tratada por un administradores de datos personales y su comportamiento debe ser controlada por la ley.
a.3. El operador evade una eventual responsabilidad en el tratamiento de bases de datos. En el artículo 3 referente a las definiciones, específicamente en su literal c, referente a operadores de la información, se adiciona el final del párrafo que "… Salvo que el operador sea la misma fuente de la información, este no tiene relación comercial o de servicio con el titular y por ende no es responsable por la calidad de los datos que le sean suministrados por la fuente;…". En este punto, se considera que no puede apartarse de responsabilidad al operador de las bases de datos en ningún evento. En el caso concreto, debe decidirse el grado de responsabilidad que recae sobre la fuente de la información, el operador o el usuario independientemente. Y aunque puede de darse que se concluya que no es responsable el operador, debe ser este considerado administrador de datos personales y potencialmente responsable.
a.4. Sin el consentimiento del titular se pueden manipular sus datos financieros y crediticios. Se establece que "…La administración de datos semiprivados y privados requiere el consentimiento previo y expreso del titular de los datos, salvo en el caso del dato financiero y crediticio, el cual no requiere autorización del titular. Respecto a este punto hay que aclarar que
a.5. Se limita el derecho de acceso gratuito a las bases de datos: El artículo 11 sobre Principio de favorecimiento a una actividad de interés público en su parágrafo 2 dispone: "La consulta de información financiera y crediticia por parte del titular será gratuita por lo menos una vez al año, o cuando un usuario hubiere consultado el registro en el curso de una solicitud de crédito en los últimos treinta (30) días. Las políticas o manuales internos del operador desarrollarán la presente disposición". El derecho de acceso es un derecho reconocido por
a.6. Se establece un tiempo excesivo de permanencia de los datos de carácter financiero y crediticio: La ley en su artículo 14 referente a la permanencia de la información, dice que "Los datos cuyo contenido haga referencia al tiempo de mora, tipo de cobro, estado de la cartera, y en general, aquellos datos referentes a una situación de incumplimiento de obligaciones, se regirán por un término máximo de permanencia, vencido el cual deberá ser retirada de los bancos de datos por el operador, de forma que los usuarios no puedan acceder o consultar dicha información. El término de permanencia de esta información será de cinco (5) años contados a partir de la fecha en que sean pagadas las cuotas vencidas o sea pagada la obligación vencida". Respecto a este punto debe decirse que si bien, tal como lo aclara el presente proyecto, la actividad de administración de información financiera y crediticia está directamente relacionada y favorece una actividad de interés público, como lo es la actividad financiera propiamente, por cuanto ayuda a la democratización del crédito, promueve el desarrollo de la actividad de crédito, no se debe interponer a los principios básicos de la protección de datos. Una vez mas el principio de veracidad de la información se viola al establecer un término de permanencia de 5 años posteriores al cambio de calidad de la información.
b. Tiene deficiencias conceptuales básicas:
b.1. No es pertinente ponderar el derecho de información frente al derecho de Habeas Data: Los comentarios sobre este punto se analizarán iniciando con el evidente problema que se encuentra en el artículo 1 que dispone el objeto de la ley. La redacción de este punto tiene una gran tendencia garantizadora al establecer que se reconoce con la ley al ciudadano, desarrollar derechos constitucionales de protección de datos personales. No obstante, consideramos que el nivel de protección que este artículo otorga, se ve afectado por incluir en líneas posteriores que se reconoce el derecho de información del art. 20 de
b.2. Los datos personales no se deben predicar de las personas jurídicas,: Por otra parte, el Art. 3 respecto a las definiciones establece que el titular de la información "… Es la persona natural o jurídica a quien se refiere la información que reposa en un banco de datos y sujeto del derecho de hábeas data y demás derechos y garantías a que se refiere la presente ley"; Sobre este punto hay que decir que, El derecho de protección de datos personales tiene estrecha relación con el derecho a la intimidad. Considero que el derecho a la intimidad se predica del ser humano, de la persona natural. Los datos de las personas jurídicas no son personales y su tratamiento inadecuado no afectan su esfera intima ni privada. En caso de haber una manipulación de los datos de la empresa causándole algún perjuicio, no se alegará violación al derecho a la intimidad por vía de tutela. Seguramente el mecanismo de protección de sus derechos será aquel creado para fines de protección de desempeño en el mercado y de protección de competencia, (good will, secreto industrial, derecho de propiedad industrial, etc).
b.3. Se excluye el principio de consentimiento: Adicionalmente, el artículo 4 dedicado a la exposición de los principios rectores, excluye evidentemente el principio de consentimiento. El consentimiento del titular de los datos, es uno de los pilares para un tratamiento de información personal dentro de unos parámetros lícitos. Si esto no se establece como fundamental dentro de un capitulo de principios básico de la ley, se estará desconociendo garantías fundamentales del ser humano respecto al l manejo y pleno conocimiento de su información personal. Del principio de consentimiento se desprenden el resto de principios que bien contempla el proyecto, ya que, sólo con la aprobación del titular en la transmisión de sus datos para el posterior tratamiento, se podrá tener una legislación dentro de parámetros leales. Solo garantizando como principio el derecho del dueño de los datos a consentir y conocer la finalidad de sus datos, se permitirá que estos sean manipulados legalmente.
b.4. El principio de temporalidad sólo se sujeta al principio de finalidad y se excluye el principio de consentimiento: Siguiendo con la línea del principio de consentimiento, se trae a colación el literal c del mismo artículo 4. En este punto de establece que "…La administración de datos personales se sujeta a los límites que se derivan de la naturaleza de los datos, de las disposiciones de la presente ley y de los principios de la administración de datos personales especialmente de los principios de temporalidad de la información y la finalidad del banco de datos" con lo cual debe adicionarse que el principio de circulación restringida debe sujetarse, junto con el resto de principios que dispone le proyecto, principalmente bajo los de veracidad y consentimiento. Del principio de consentimiento de deriva el principio de finalidad y no al contrario como lo hace ver esta ley. Se considera que el fundamento de la protección de datos de las personas es proteger su intimidad, su honra y buen nombre. Por lo tanto, lo que se debe propender a mantener es que los datos que se mantengan sobre una persona sean ciertos y que circulen sólo con su autorización, salvo en los casos en que la seguridad del estado requiera algo diferente.
- De igual manera el principio de temporalidad no debe sujetarse únicamente al principio de finalidad de la información. Debe depender de igual manera, de si el titular de los datos deja de dar su consentimiento, en el evento en que el dato debe cancelarse a pesar de permanecer su finalidad.
b.5. Se dispone de un periodo muy amplio para certificación de autorización de tratamiento de la información: El artículo 8 referente a los deberes de las fuentes de información, se dispone que estos deben "Certificar, semestralmente al operador, que la información suministrada cuenta con la autorización de conformidad con lo previsto en la presente ley". Ante lo cual se considera que es un periodo de tiempo muy extenso que desconoce el principio de consentimiento y veracidad.
b.6. La ley se concentra en la regulación de datos de carácter financiero y crediticio y omite la protección de aspectos fundamentales del habeas data: También, sigue permaneciendo dentro de la norma la aparentemente inevitable concentración en la regulación de los datos crediticios y financieros. Con esta especialización en el tema de regulación, el problema radica en que dejamos de lado la protección de elementos indispensables dentro de la información personal y descuidamos principios básicos que protegen el derecho de protección de datos personales.
Además íntimamente relacionado con el punto anterior, nos referimos al evidente desconocimiento de la regulación de los datos personales de carácter sensible. El proyecto de ley no reconoce como concepto dentro de su articulado, aquellos datos que por su naturaleza, no pueden ser tratados sin confidencialidad por su potencial de generar discriminación. Definición que para nuestro concepto debe estar resaltada paralelamente con el de dato personal, se omite y se le niega su protección en caso de un tratamiento inadecuado al ciudadano.
c) No cumple con parámetros internacionales.
c.1. El ente de control que establece, carece de independencia: Finalmente, el presente proyecto de ley no cuenta con los parámetros internacionales que se requieren para contar con una aceptación de un nivel adecuado de protección.
Principalmente la falencia en este punto, aparte del desconocimiento de los principios que antes de señala, se encuentra en no incluir en su articulado la creación de un ente de control y vigilancia que cuente con un cierto nivel de independencia. Según el artículo 18 se dispone que "
c.2. El tema de circulación de datos carece de completa regulación. Adicionalmente, específicamente el tema de ciruculación de datos no está regulado correctamente, en el sentido en que la transferencia internacional de datos no puede estar sujeta únicamente a la autorización del titular sino por el contrario debe estar limitada a la existencia de parámetros nacionales de exportación o importación de bases de datos. De esta manera el parágrafo del artículo 5 debería excluir que "la entrega de datos a un banco localizado en dicho países solo podrá realizarse con autorización del titular".
Como conclusión, se puede decir que el proyecto de ley 027 de 2006 es una iniciativa con tendencia a proteger los derechos de los ciudadanos pero que contiene varias carencias en puntos clave de garantías como son en aspectos fundamentales, como principios básicos y falencias en conceptos de la protección de datos personales no menos importantes que los anteriores.
Adicionalmente, se centra, como muchos otros proyectos de ley, en la regulación de los datos financieros y crediticios y deja de lado la protección de aspectos indispensables dentro del derecho del Habeas Data como son los datos sensibles.
Por lo tanto, a pesar de su intención garantizadora deben ser tenidos en cuenta varios puntos que primero, le procuren al ciudadano una plena protección del derecho constitucional y que segundo, le permitan a Colombia ser incluido dentro de la lista de países considerados con parámetros internacionales de protección adecuada.
3 comentarios:
Mi inquietud desde hace tiempo es la siguiente:
Es constitucional que una entidad financiera en el proceso de selección, me exiga autorizar una consulta en bases de datos ( centrales de riesgo) para ser aceptado como funcionario de dicha entidad?. Yo considero que me violan el derecho al trabajo que es un derecho fundamental,quiero conocer otras opiniones.
Tiene Ud. un enlace con la direción del texto completo de la ley en mención?
Hace poco tuve que averiguar información en la central de riesgos "CIFIN" y encuentro con bastante disgusto que ellos solo entregan información verbal y no cuentan aun con la implementación tecnológica para que una persona pueda consultar su propia información por internet.
La ley de alguna manera obligaría a las centrales de riesgos a entregan en papel físico la información de una persona? a proveeer los medios tecnológicos para facilitar su consulta?
Publicar un comentario