Te recomendamos el artículo de Edwin Molano, asesor de la PGN, quien amplía nuestros conocimientos sobre el manejo de datos personales en Colombia. ¡Lee y comparte!
Edwin Molano Sierra[1]
Asesor
Procuraduría Delegada para la Defensa del Patrimonio Público, la Transparencia y la Integridad
Los datos personales se han convertido en el activo estratégico con mayor valor en el mercado durante las últimas décadas. Las empresas que ofrecen bienes y servicios recolectan y procesan información, con la masificación de las tecnologías de la información y las comunicaciones (TIC), para poder conocer las preferencias de los consumidores, ofrecer publicidad segmentada y, en general, estudiar el mercado para posicionar sus productos.
- Te pueden interesar algunos datos de la capacitación del IEMP en Régimen de Protección de Datos Personales.
Capacitación en Régimen de Protección de Datos Personales
La Constitución de 1991 contempló en su artículo 15, de manera temprana, la protección del derecho fundamental de habeas data y, como lo ha señalado la Corte Constitucional, de una garantía más amplia: el derecho a la protección de datos personales (Corte Constitucional, Sala Octava de Revisión, sentencia T-260 de 2012). Esa garantía de protección de datos personales aparece en el inciso segundo de la norma citada:Ese valor estratégico también se ha hecho presente en el diseño, formulación, ejecución y evaluación de las políticas públicas. Los Estados han ido implementado las TIC para poder diagnosticar problemas sociales y ejecutar políticas públicas para enfrentarlos. La información de la ciudadanía es el principal insumo de diagnóstico, ejecución y evaluación de ese tipo de políticas.
«En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución».
De esta manera, adicional a la posibilidad de conocer, actualizar, suprimir, rectificar —y cualquier otro verbo sobre los datos personales del titular—, acciones que componen el derecho fundamental de habeas data, los datos personales de los ciudadanos también deben ser tratados (recolectados, usados, puestos en circulación, cualquier acción según el literal g) del artículo 3 de la Ley 1581 de 2012) con absoluto respeto de las libertades, garantías y derechos consagrados en la carta política.
La Constitución, pues, prohíbe el uso de datos personales para discriminar, perseguir, amenazar, y cualquier otra finalidad ilegítima. Así mismo, ordena que esos datos sean tratados con todas las condiciones técnicas, humanas y administrativas que garanticen que nadie, sin autorización previa del titular o de las normas jurídicas, pueda conocerlos.
¿Qué normas disponen la protección de datos personales?
Estos derechos fundamentales, de habeas data y protección de datos personales, son desarrollados en la Leyes Estatutarias 1581 de 2012 y 1266 de 2008.
La primera contiene el régimen general de protección de datos personales, y la segunda, establece el régimen especial de protección de datos personales en el marco de las bases de datos comerciales o financieras. Ambas normas son reguladas en el Decreto Único Reglamentario 1074 de 2015, del sector comercio, industria y turismo.
Las leyes citadas fijan unos principios para el tratamiento de datos personales, que deben ser respetados por todos los que custodian dichos datos.
- Legalidad. Todo tratamiento de datos personales debe respetar la Constitución, la ley y el ordenamiento jurídico general.
- Finalidad. El titular de los datos personales debe conocer las finalidades o propósitos para los cuales son usados sus datos personales.
- Libertad. Por regla general, el titular de los datos personales es quien autoriza o permite el tratamiento de datos personales. Algunos casos, señalados en la Constitución y la ley, permiten el tratamiento de datos personales sin autorización previa del titular.
- Veracidad o calidad. La información personal que es tratada, debe ser veraz, completa, exacta, actualizada, comprobable y comprensible.
- Transparencia. El titular tiene derecho a obtener información acerca de la existencia de los datos que le conciernen.
- Acceso y circulación restringida. Los datos personales solo pueden ser conocidos por personas autorizadas por el titular o por la ley, salvo los datos personales públicos.
- Seguridad. Los datos personales deben ser manejados con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Confidencialidad. Toda persona que conozca los datos personales de otra debe guardar la reserva de la información, pudiendo divulgarlos solo en los casos establecidos en el ordenamiento jurídico.
- Necesidad o proporcionalidad (Corte Constitucional, Sala Plena, sentencia C-748 de 2011). Los datos personales registrados en una base de datos deben ser los estrictamente necesarios para el cumplimiento de las finalidades perseguidas con esa base de datos.
¡Conoce la tipología de datos según su riesgo!
Los principios mencionados deben aplicar en todo tratamiento de datos personales, teniendo en cuenta el nivel de riesgo que tiene cada tipo de dato. Así, todos los datos personales no son iguales.
El marco jurídico citado a continuación, contiene una tipología de datos que se puede organizar conforme al riesgo que enfrentan.
| Tipo de dato personal | Ejemplos | Nivel de acceso permitido | Nivel de riesgo que enfrenta |
| Público | Calidad de servidor público, nombre y número de cédula. | Muy alto | Muy bajo |
| Privado | Número de hijos, nombre los hijos. | Alto | Bajo |
| Semi-privado | Obligaciones y comportamiento de pago, dirección de correo electrónico. | Bajo | Alto |
| Sensible | Orientación sexual, raza, estado de salud, huella, orientación política. | Muy bajo | Muy alto |
La importancia de enfrentar los riesgos a los que se exponen los datos personales ha generado una serie de exigencias a las entidades públicas, para que adecuen sus procedimientos y diseños de servicios con total garantía de la protección de los datos personales.
Al respecto, el Decreto Único Reglamentario 1078 de 2015, del sector TIC, exige que los prestadores de servicios ciudadanos digitales implementen políticas de seguridad y privacidad de la información. También, que antes de iniciar la prestación de servicios ciudadanos digitales se realicen análisis sobre el impacto que pueden sufrir los datos personales con el servicio específico.
Por otro lado, se exige que la entidad estatal tenga un oficial de protección de datos personales (OPD, DPO, por sus siglas en inglés), y que la protección de datos sea por defecto y por diseño, es decir de manera previa a la implementación del servicio de ciudadanía digital y, por defecto, sin requerir actuación adicional del ciudadano.
IA y protección de datos
Por último, es importante mencionar que el avance de las TIC ha creado un nuevo campo tecnológico: la inteligencia artificial (IA), donde por supuesto es fundamental garantizar la debida protección de los datos personales.
En Colombia, a través de la Directiva 03 de 2021 de la Presidencia de la República, se exige que todo proyecto de IA cuente con análisis previo, y durante el desarrollo de proyecto, de los riesgos sobre los datos personales.
Esta exigencia es reforzada en las recomendaciones emitidas por la Superintendencia de Industria y Comercio (SIC) sobre IA que incluyen la anonimización (impedir la identificación de la persona) sobre los datos personales, estudios de impacto sobre la privacidad de los ciudadanos, protección de datos por diseño y por defecto, entre otros.
El IEMP es garantía de derechos
_____________________________
[1] Edwin Molano Sierra es abogado y magíster en derecho, y ha sido docente de derecho administrativo colombiano y de constitucional. También trabajó en la Delegatura de Protección de Datos Personales de la SIC, donde gestionó investigaciones sancionatorias por violación al régimen de protección de datos personales. Actualmente, se desempeña como asesor de la Procuraduría Delegada para la Defensa del Patrimonio Público, la Transparencia y la Integridad en la PGN.