HABEAS DATA EL RETO CORPORATIVO EN EL TRATAMIENTO DE LOS DATOS PERSONALES Y ALGUNAS RECOMENDACIONES

Habeas Data, derecho a la protección de datos personales o el derecho al buen nombre, es un derecho que se ha establecido como fundamental desde 1991 y que a través del artículo 15 de la Constitución Política de Colombia se desarrolla mediante el postulado en el que se plantea que todas las personas “tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas”.

Pero, a pesar de los esfuerzos de la Corte Constitucional de otorgarle una dimensión a través de jurisprudencia, es desafortunado que en Colombia este derecho sea regulado de manera directa solo 19 años después de su creación por medio de la Ley 1581 de 2012, en contraste con países como Argentina (Ley 25.326 de 2000) o Chile (Ley 19.628 de 1999) que cuentan con procesos de desarrollo jurídico y reformas en marcha. A lo anterior se le suma el desconocimiento tanto del alcance como de la obligatoriedad de este derecho por parte del sector empresarial en general. De este modo, para generar un acercamiento en cuanto a su pertinencia, es preciso realizar un chequeo de los siguientes conceptos:

Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Conjunto organizado de datos personales que sea objeto de Tratamiento.
Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

Entonces, si una organización efectúa tratamiento de datos personales generando bases de datos, la empresa debe integrar la Ley de Protección de Datos como una variable más dentro de su plan de negocio.

Sin embargo, algunos lectores desprevenidos han entendido erróneamente que el cumplimiento de la normativa por parte de quienes ejercen tratamiento de datos personales, tanto en el sector público como en el privado, se limita al registro de las bases de datos, la creación de una política de tratamiento de datos personales, un aviso de privacidad y una cláusula en los contratos de prestación de servicios estándar. No obstante, la satisfacción de este Derecho de los titulares y el cumplimiento de la ley abarcan un escenario mucho más amplio.

Para dar prueba de lo anterior basta leer la Circular Única de la Superintendencia de Industria y Comercio, la cual ha señalado que las compañías deben establecer procedimientos (los cuales deben ser informados a la autoridad competente o titulares, bajo requerimiento) para:

La atención a los titulares de datos personales, permitiendo que puedan ejercer sus derechos a conocer, actualizar, rectificar y suprimir información, como también para revocar la autorización sobre el tratamiento de sus datos personales en los casos permitidos por la ley.

La autorización, recolección, conservación y supresión de los datos personales, como también la descripción de las finalidades para las cuales esta información es recolectada.

Las condiciones de seguridad necesarias para impedir la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de datos personales.
Atender los principios de legalidad, finalidad, libertad, veracidad, calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad de los datos personales.

Lo anterior refleja un cúmulo de requerimientos. Y a pesar de que la ley no explica cómo se deben desarrollar los procedimientos para la protección del derecho al Habeas Data, si nos presenta un principio de origen anglosajón denominado “Responsabilidad Demostrada” (Acountability)¹, así como también establece un régimen de sanciones altamente cuantiosas (al 2017 hasta $1.475.434.000) y genera términos perentorios para registrar las bases de datos en el Registro Nacional de Bases de Datos con un plazo máximo hasta el 30 de junio del presente año.

¿Qué debe hacer el Sector Empresarial?

El diálogo entre las áreas dentro de la organización es fundamental para la protección del derecho al Habeas Data, ya que todas las unidades de negocio de la compañía suelen tener injerencia en el tratamiento de datos personales. No obstante, es recomendable que se establezca un plan de proyecto en el que existan roles y responsabilidades de liderazgo para la gestión de procesos que logren la protección del derecho generando seguridad jurídica en el desarrollo del negocio.

Por otra parte, las normas técnicas internacionales juegan un papel importante en el método de abarcar esta nueva variable corporativa. En particular se destaca la ISO/IEC 27001, adoptada en Colombia por el Icontec (NTC-ISO-IEC 27001), la cual presenta los requisitos necesarios para establecer, implementar, mantener y mejorar el SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI).
De este modo, el SGSI establece un procedimiento que, aunado con el estudio del régimen de protección, debe lograr los siguientes beneficios para la Compañía:

  • El establecimiento de sistemas de control de tratamiento de datos personales e información sensible mediante los sistemas de seguridad y controles adecuados.
  • Organización y eficiencia en todas las operaciones de tratamiento de los datos personales.
  • Tranquilidad durante las investigaciones por parte de los organismos de control en materia de datos personales.
    Presentarse ante sus grupos de interés como un garante de la información personal, otorgando así un valor agregado al servicio que ofrece.

El derecho al Habeas Data presupone un enorme reto para las organizaciones ya que su protección se logra mediante actividades que, a pesar del consumo de recursos en materia de tiempo y dinero, logran eficiencia, seguridad y transparencia en el manejo de los activos de la información que cada día cobran mayor valor económico para las organizaciones. Asimismo, presentan un oportuno contrapeso a procesos naturales del mundo digital, donde la intimidad, privacidad y autodeterminación sobre los datos personales son cada vez mas ajenos a su titular y a quienes este le confía su manejo.


¹ Se ha entendido este principio como la obligación de un individuo o de una organización de rendir cuentas sobre sus actividades, aceptar responsabilidad sobre ellas y divulgar los resultados de manera transparente.