Blog

La Ley 1581 de 2012, norma que regula todos los datos de carácter personal que de manera general se tratan en instituciones públicas y privadas, ha sido reglamentada por el gobierno de Colombia por medio de dos decretos hasta el momento expedidos con el apoyo de la Superintendencia de Industria y Comercio (SIC) en cumplimiento de las directrices que la misma ley le ha formulado al Estado para reglamentar ciertos aspectos que le puedan dar aplicabilidad a la norma.

El primero es el Decreto 1377 de 2013, el cual pretendió formular alrededor del consentimiento la forma como las instituciones públicas y privadas debían continuar haciendo el tratamiento de datos, pero esta vez bajo la óptica de la ley 1581.
Entendió en ese momento el gobierno colombiano que la forma en la que podía hacer esto era a través de la petición que las instituciones debían hacer a los ciudadanos en relación con el tratamiento de datos de carácter personal en sus bases de datos, por supuesto, sabemos que el consentimiento constituye sin duda un principio fundamental de la protección de datos personales y que éste se requiere para el tratamiento porque en él reposa la libertad materializada en la facultad de la persona o del titular del dato de otorgarlo previo conocimiento de la finalidad para la cual se solicita, pudiendo ser recolectado de manera verbal, escrita, y a través de conducta inequívoca.

Cuando hablamos de conducta inequívoca surge el problema de saber sí ese consentimiento que por regla general debe ser previo, expreso, e informado fue realmente otorgado por el titular conociendo la finalidad del tratamiento pretendido.
La información que se le brinde a ese titular debe tener la claridad para que este pueda saber cómo su consentimiento puede ser otorgado sin violación de las normas de protección de datos y especialmente del principio del consentimiento, son pocos los casos en los cuales se podría pensar que se tiene en efecto el consentimiento de una persona de esta forma, el ordenamiento ha previsto, además de los medios excepcionales y en el sentir de la SIC, medios transitorios, para lograr obtener el consentimiento de los titulares en las bases de datos que hoy reposan en todas las empresas e instituciones del país, sin embargo; de la lectura del Decreto 1377 y de estas formas excepcionales de lograr el consentimiento en su momento a través de avisos de prensa, o a través de un correo electrónico, para todas aquellas personas que estuviesen en las bases de datos de una empresa o de una compañía, tal vez no surtió el efecto que la norma pretendía o que las leyes alrededor de la protección de datos personales buscaban.

Afirmamos que no cumplió esto porque desafortunadamente se creó una cierta percepción en el medio de que posiblemente la única necesidad o el único requerimiento que se tenía para poder tratar los datos era justamente el consentimiento de la persona, sin embargo, las normas y los principios van mucho más allá que solamente el otorgamiento del consentimiento.

Posteriormente, en el año 2014 se expide el segundo decreto reglamentario de la ley 1581, es el Decreto 886 que regula y crea el registro nacional de bases de datos que estará a cargo de la SIC, esta nueva regulación que tal vez debió ser anterior al Decreto 1377, exige a las instituciones públicas y privadas que se realice una especie de inventario sobre sus bases de datos, un inventario en donde cada una de estas bases de datos debe contar con las políticas y las normas relativas al tratamiento, y además debe determinarse claramente cuál es su finalidad en armonía con lo consagrado en la Ley en relación con el inventario de bases de datos de carácter personal. Por supuesto el Decreto 886 crea este registro nacional y genera unas directrices básicas sobre cuál es la información que debe establecerse en relación con las bases de datos que son objeto de inventario dentro de cada organización.

La SIC tiene un proyecto de circular a través de la cual expone algunos de los posibles criterios que se deberán tener en cuenta para que las instituciones puedan cumplir con el Decreto 886 y por tanto hacer una caracterización de sus bases de datos de manera que se conozcan o se puedan gestionar adecuadamente para su posterior registro.

Del decreto y de la circular surgen varias preguntas, la primera es que la circular solamente está referida de manera expresa a entidades de carácter privado y no hace mención de las entidades de carácter público, posiblemente será una directriz de la superintendencia que busque o pretenda que inicialmente sea la empresa privada antes que el Estado la que haga su inventario de bases de datos en razón de la cantidad de datos que son tratados por el Estado y por sus instituciones en todos los órdenes.

La segunda cuestión que surge es que la circular en torno a cada una de esas bases de datos que se determinan aunque no genera un criterio a partir del cual hacer esta clasificación, si exige de otros requisitos adicionales a los que el Decreto 886 exigía, asunto que vuelve a poner sobre la mesa la discusión que se planteó con el Decreto 1377 en su momento sobre la posibilidad de que una circular de la superintendencia que tiene un carácter inferior a la ley o al decreto pueda hacer exigencias más amplias de las que se hacen en esta norma.

Posiblemente el Decreto 886 debió haber sido expedido primero para que en efecto las instituciones pudiesen generar de manera inicial el conocimiento de las bases de datos que tenían, el tipo de datos, y cuál era la finalidad para el tratamiento que hasta ese momento se venía realizando, al no ser así posiblemente el Decreto 886 no ha estado ni ha figurado de una manera más clara como lo fue el 1377 y ha confundido un poco en el medio todo lo relativo al cumplimiento de la norma que es preciso recordar tiene un carácter estatutario, y un carácter de prevalencia en su aplicación frente a otra ley o decreto en esta materia por tratarse de una norma que regula derechos fundamentales.

En relación con el consentimiento se podría plantear, o surgen las inquietudes a raíz de lo que dispuso el Decreto 1377 del 2013, si en efecto con el envió de un correo electrónico a todas las personas o titulares de datos que reposan en un fichero o un repositorio de información dentro de una institución privada y pública podría obtenerse ese consentimiento, o podría de manera válida tratarse los datos sin que existiese la respuesta de una persona como lo indica el 1377 a los 30 días siguientes al envío de la comunicación, lo primero que debemos recordar es que esta norma se encuentra demandada por inconstitucionalidad porque introduce lo que se ha denominado en la doctrina sobre privacidad y protección de datos personales el consentimiento tácito, es decir, la obtención de un consentimiento por parte del ciudadano sin que exista una acción del sujeto, que permita inferir al responsable o encargado que tiene autorización o que el titular del dato ha consentido en que se continúe haciendo ese tratamiento con sus datos, hay una diferencia muy importante entre el consentimiento tácito y el consentimiento obtenido por una conducta inequívoca de la persona, en el primer caso no existe ninguna manifestación del sujeto titular del dato que permita inferir que conoce del tratamiento, ha sido previamente informado sobre el tratamiento y por lo tanto lo autoriza, es diferente en el caso de la conducta inequívoca porque como su nombre lo indica en este caso si se tiene un acto de la persona que permite saber al responsable o encargado que puede realizar de manera válida el tratamiento de los datos, por ejemplo, en el caso de la videovigilancia, cuando una persona ingresa a un establecimiento cuyos dispositivos guardan las imágenes, sus datos personales por un tiempo determinado, pero se le avisa previamente mediante anuncios dispuestos al lado de las cámaras, del tratamiento del cual será sujeto, cuando el individuo ingresa conociendo que su imagen será grabada, se puede inferir que su conducta acepta dicho consentimiento inequívoco.

Esta diferencia es lo que nos lleva a pensar si estas son las formas de consentimiento que el Decreto 1377 contemplaba, como entender en el correo electrónico y en el silencio de la persona una aquiescencia, una autorización para continuar con el tratamiento de los datos.

Esta norma, en nuestro sentir equívoca, puede confundir al público y a las empresas porque puede generar la falsa creencia de que el tratamiento de los datos pueda hacerse de manera válida a través del correo electrónico que por lo demás debemos pensar cuál va a ser su contenido. No será lo mismo enviar correos electrónicos cuyos datos personales se tratan en el marco de una relación contractual o personas cuyos datos se han recolectado a través del tiempo, por medio de distintos mecanismos o asuntos, o el tratamiento de los datos que se puede hacer de manera efímera como el que se puede hacer a través de las cámaras de videovigilancia, y esto resulta particularmente importante porque de acuerdo al criterio de la SIC esta norma de carácter transitorio es válida y puede ejercerse, pero siempre el individuo contará con la posibilidad de que en el ejercicio de su derecho al habeas data se comunique con la empresa para que le envíe el correo electrónico para solicitarle conocer, acceder, modificar, rectificar o cancelar sus datos de esa base de datos concreta.

El problema estaría en que en buena parte de estos correos electrónicos por la forma como se envían, no consta cómo pueden las personas ejercer ese derecho al habeas data y por tanto cómo las personas podrían oponerse a un tratamiento, o solicitar la cancelación del dato, cuando no se tienen establecidos los procedimientos de habeas data de manera correcta, o cuando no se ha informado debidamente a través del correo electrónico la finalidad del tratamiento, teniendo en cuenta además que las finalidades pueden variar, que las bases de datos tienen múltiples usos en la actualidad, que la información de carácter personal puede estar siendo usada no solo para los procesos de mercadeo sino también para procesos de otra organización remitidos a terceros, entregados al Estado como usuarios de los mismos para el cumplimiento de distintas funciones, en fin hay una gran cantidad de acciones en relación con las cuales se pueden llevar a cabo tratamiento de datos personales.