Habeas Data

Tratamiento de los datos personales: su protección y la implicación que tiene para los responsables de su manejo

Gracias al poder y al impacto que han generado las nuevas tecnologías de la información, dentro del contexto comercial, existen muchas empresas cuya actividad lucrativa está orientada a desarrollar el comercio electrónico. Compañías como Linio, Mercado Libre, Falabella, Grupo Éxito por mencionar algunas, se han visto en la necesidad de implementar un sistema de registro de datos de los clientes o usuarios que compran productos a través de sus plataformas virtuales, dado que la única manera que tienen los usuarios que quieren comprar a través de ellas para que sus compras lleguen a destino, es otorgando su información personal (nombre, número telefónico, correo electrónico, entre otros).

Cuando una persona decide comprar un producto a través de este mecanismo y acepta otorgar su información personal, automáticamente queda protegida por la Constitución Política de Colombia, debido a que como se establece en el artículo 15 de la Carta Política, esa persona tiene el derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ella en bancos de datos. En este sentido, el comprador se vuelve titular del derecho del hábeas data que garantiza la posibilidad efectiva de controlar la inclusión de su información personal en los referidos archivos y bancos de datos, siendo su autorización previa necesaria para la válida recolección y almacenamiento de dicha información.

Origen y Desarrollo del Habeas Data.

Como se estableció anteriormente, el habeas data está consagrada en la Constitución Política como una acción constitucional que tiene una persona para proteger su derecho fundamental constitucional a la intimidad, en aquellos casos en los que los responsables de las bases de datos públicas o privadas, no actualizan o suprimen la información otorgada por el titular y hacen caso omiso a su solicitud.

Aunque la acción se reconoce desde 1991, hasta el año 2008 el Congreso de la República expidió la Ley Estatutaria 1266 de 2008, a través de la cual se dictan las disposiciones generales del Hábeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios.

Adicionalmente, en octubre de 2012, fue expedida la Ley Estatutaria 1581 de 20120, mediante la cual se desarrolla el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a las que se refiere el artículo 15 de la Constitución Política.

¿Cómo se debe realizar el tratamiento de datos personales?

De acuerdo con la Ley 1581 de 2012, el tratamiento de datos personales debe realizarse considerando ocho principios claves. En este sentido, para fines legales, el tratamiento se evaluará conforme a la aplicación armónica e integral de estos principios.

En primer lugar, se debe considerar que los únicos datos que se pueden someter al tratamiento dentro de un registro, son aquellos que obedezcan a una finalidad legítima, esto supone que la información requerida y revelada sea (i) estrictamente necesaria para cumplir los fines, y (ii) solo sea utilizada para los fines autorizados por la ley.

Ahora, para poder obtener y hacer circular la información personal de una persona es imprescindible que el responsable de la base de datos tenga la autorización del titular, la cual debe ser libre, previa y expresa. En cuanto a la calidad de la información sujeta a tratamiento, esta debe ser veraz, completa, exacta, actualizada, comprobable y comprensible[1]. El responsable de la base de datos debe garantizar al titular la obtención de información, acerca de la existencia de datos que le conciernan de forma transparente y sin restricciones; de igual manera el acceso y la circulación de esta información, sólo podrá realizarse por aquellas personas autorizadas por el titular y por las personas que autorice la ley. Aquellos que se encuentren legalmente facultados para realizar el tratamiento de los datos personales, deberá garantizar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento[2]. Finalmente, los responsables de las bases de datos deberán garantizar la reserva de la información recolectada, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento[3].

Los derechos ARCARS: Un arma de doble filo para el responsable de la base de datos personales

Es importante resaltar el rol que desempeña el encargado o el responsable de la base de datos personales en su tratamiento. Para ello, se tiene que establecer, en primer lugar, quiénes son las partes dentro de esta relación jurídica. Si una persona compra un reloj a través de la página web de Linio Colombia, al tener que seguir el proceso determinado para realizar la orden de compra, una vez ingresa sus datos a la base de la página web, actúa como titular de sus datos personales y Linio Colombia actúa como responsable o encargado de la base de datos. En este sentido, Linio Colombia deberá asegurar al titular, además del correcto tratamiento de sus datos, delimitado dentro de los principios mencionados anteriormente, la facultad de controlar varios aspectos relacionados con el tratamiento de sus datos.

Así pues, la Ley 1581 de 2012 dentro de sus disposiciones, estableció un conjunto de derechos que han sido comúnmente denominados como los derechos Arcars por la jurisprudencia y la doctrina colombiana. Estos derechos hacen referencia a la facultad que tiene el titular de (i) autorizar, (ii) revocar, (iii) conocer, (iv) actualizar, (v) rectificar y (vi) suprimir su información personal. Si bien dichos derechos corresponden al titular, su materialización o garantía dependen del responsable o encargado de la base de datos personales. Retomando el ejemplo mencionado, la única manera que tiene el usuario o cliente de ejercer estos derechos es mediante el cumplimiento de los deberes del responsable de la base de datos.

Adicionalmente, la Superintendencia de Industria y Comercio impone las sanciones legales que prevé la Ley 1581 de 2012, en la mayoría de los casos, una vez el encargado de la base de datos no garantiza los derechos Arcars. Es por esto que, es de suma importancia que los responsables o encargados de las bases de datos mediante su actuar, aseguren que el titular luego de haber dado su autorización pueda conocer la información que se haya recogido sobre él; revocar la autorización y solicitar la supresión del dato, cuando no exista un deber legal o contractual que le imponga el deber de permanecer en la referida base de datos[4]; actualizar la información y garantizar que esté y se mantenga actualizada[5]; rectificar la calidad de la información de manera que se enmienden las imperfecciones, los errores o los defectos de la misma; y eliminar, quitar, erradicar los datos personales de una base de datos.

Conclusión

Si bien es cierto que el tratamiento de datos personales es posible únicamente cuando el titular de la información, da su consentimiento y autorización de manera previa, libre y expresa, no es menos cierto que la responsabilidad que asume el encargado de la base de datos en la cual ingresa dicha información resulta de alta trascendencia bajo las disposiciones legales de la Ley 1581 de 2012.  Lo anterior se debe principalmente a que el habeas data está consagrado por la Constitución Política como una acción constitucional, lo que implica la existencia de una serie de derechos para su titular y a su vez la existencia de una serie de deberes para el responsable del manejo de la base de datos.

Un texto de: Equipo Legal, Linio Colombia

[1] Artículo 4, literal d.  Ley 1581 de 2012.

[2] Artículo 4, literal g. Ley 1581 de 2012.

[3] Artículo 4, literal h. Ley 1581 de 2012.

[4]Remolina, NELSON. Tratamiento de datos personales: Aproximación internacional y comentarios a la Ley 1581 de 2012. (2013) pag 228.

[5]Artículo 17, Ley 1581 de 2012.