¿Bajo qué acción legal se ampararía un ciudadano colombiano donde su información crediticia fuere accedida ilegalmente?
Este escrito se fundamenta en la necesidad de conocer a fondo el trámite y la contextualización del manejo de información personal en la red, conociendo sus fortalezas y debilidades, vulnerabilidad y accesibilidad consiguiendo así un fundamento base para juzgar de manera positiva o negativa el control de la misma.
El derecho de hábeas data se encuentra regulado parcialmente por la Ley 1266 del 2008 y sus decretos reglamentarios (Decreto Reglamentario 1727 del 2009 y Decreto Reglamentario 2952 del 2010). Esta ley se creó con el objeto de desarrollar el derecho a conocer, actualizar y rectificar la información que de cada uno se guarda en las diferentes bases de datos; esta ley regula el ámbito de aplicación de la norma, la circulación de la información, los derechos de los titulares de la información, los deberes de los operadores de los bancos de datos, los deberes de las fuentes de información y de los usuarios, establece las reglas que se deben aplicar para la administración de datos personales de carácter financiero, crediticio, comercial o de servicios destinados al cálculo de riesgo financiero, es decir, la información la manejan las entidades conocidas comúnmente como centrales de riesgo crediticio (Asobancaria; Data Crédito; Cifin y Computec S.A). (A.J. 2011)
Podemos definir el Habeas Data en un sentido amplio como el Derecho a la intimidad y al buen nombre; o de manera un poco más restringida como el derecho que tienen las personas de exigir confidencialidad y protección de sus datos personales.
Para ahondar más en el tema de la Ley del Hábeas Data y sus implicaciones en el sistema de seguridad informática que se encuentra recientemente conciliado por la Cámara de Representantes y el Senado de la República de Colombia, se puede decir que luego del tránsito por la Corte Constitucional podrá convertirse en Ley de la República de acuerdo a lo contenido en el Articulo 153 de la Constitución Política de Colombia.
Según el fallo de la Sentencia C-1011 del 16 de octubre del 2008 de la Corte Constitucional, que declaró exequible, el proyecto que se convirtió en la Ley de Hábeas Data, a los operadores de información les asiste una responsabilidad concurrente con las fuentes de información: "Si se parte de considerar que el operador es quien tiene a cargo la administración de los datos, la Corte estima que el operador, junto con la fuente, concurren en la obligación de garantizar que la información recolectada sea completa, por lo que está proscrito el envío y la recolección de información parcial, incompleta o fraccionada". (A.J. 2011)
En nuestra Constitución Política se ve reflejado como derecho autónomo el derecho del Habeas Data, además de encontrarse inmerso en la redacción normativa el artículo 15 "Todas las personas tienen derecho a su intimidad personal y familiar y a su Buen nombre, y el Estado debe respetarlos y hacerlos respetar."[1] y en relación también a los artículos 20 y 74 que expresan en sus líneas "La libertad…de informar y recibir información veraz e imparcial…", y el "…derecho a acceder a los documentos públicos salvo los casos que establezca la ley. El secreto profesional es inviolable", respectivamente. (C.P. 1991)
El 31 de diciembre del 2008 entró en vigencia la nueva ley Colombiana (L. 1266/08) contra los delitos informáticos con el nombre de "De la protección de información y de los Datos". Esta ley se encuentra basada en leyes extranjeras extractadas de las experiencias de las mismas y con el único objetivo de convertir todo aquello considerado delito en atentado contra la información personal y los sistemas informáticos dándole así castigos ejemplares a los Hackers y a los Bancos de Datos, pero no solo se convertirían en castigos simbólicos sino que tomó gran importancia en la medida de imponer las penas que van desde 36 a 96 meses de prisión, la suspensión de las actividades del banco de datos, hasta por un término de seis (6) meses y multas desde cien (100) de hasta mil quinientos (1500) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. (L. 1266/08 y 1273/09)
Los contratos crediticios son por su naturaleza misma acuerdos donde priman las asimetrías de información. Esto quiere decir que una de las partes contratantes tiene más información que la otra sobre algún elemento. En el caso que nos atañe, la información asimétrica proviene del hecho de que el deudor conoce más sobre si mismo o de su proyecto de inversión que el prestamista. El deudor sabe mejor que nadie cuales son sus hábitos de pago. Es función del acreedor descubrir que tipo de deudor tiene enfrente, cual es el riesgo que enfrenta al prestarle, y como debe manejar tal riesgo.
En el caso de los prestamistas bancarios, conocer los riesgos inherentes a cada deudor es una tarea crucial toda vez que el banquero no actúa en nombre propio sino en el de sus depositantes. La decisión más acertada de un banquero es prestar el dinero que le han encomendado y asumir los riesgos asociados con esos préstamos de la manera más profesional posible. Para esto requiere contar con los instrumentos necesarios que le permitan llevar a cabo la evaluación de esos riesgos. Las centrales de información crediticia juegan un papel clave en esta tarea. Las centrales, en resumidas cuentas, son grandes bases de datos que registran transacciones de individuos tanto con el sistema financiero como con algunas entidades específicas del sector real. Son, además, un mecanismo mediante el cual las entidades financieras y algunas firmas no financieras comparten información sobre los hábitos de pago de sus clientes. De esta manera se conforma una red que le permite a un potencial prestamista obtener información, a un bajo costo, para enfrentar el problema de información asimétrica y evaluar el riesgo de sus potenciales clientes. (Sandoval & Galindo. 2007)
Los ciudadanos colombianos se preguntan si guardar la información personal en la web es seguro, puesto que cada uno de acuerdo a sus comodidades utiliza a diario los medios electrónicos que ofrece la amplia actividad comercial del país como lo son entre otros, los bancos con sus productos y servicios (tarjetas de crédito y débito, créditos para vehículo, casa, educación, etc.), productos que son utilizados muy comúnmente por personas de todos los estratos sociales y bien recibidos en establecimientos de todo tipo; se sabe también que no solo de esta manera maneja el ciudadano su información personal y crediticia; para nadie es un secreto que el mundo virtual aunque ha mejorado la comunicación entre países y la velocidad de investigación de información del mundo, también se ha prestado para que las personas compren diferentes productos o adquieran distintos servicios en países ajenos al propio o inclusive dentro del mismo, revelando así su información personal y privada, la cual es fácilmente adquirida de forma ilegal por las personas amigas de lo ajeno.
Debido a las múltiples tretas que utilizan estos "personajes" para adquirir nuestra información, sabemos que existen también jugadas maestras utilizadas para desenmascarar a esas personas sin escrúpulos que se aprovechan de la ingenuidad de las personas para robarles lo poco o mucho que cada uno tenga en sus cuentas bancarias, incluso hasta tienen el descaro algunos de meterse en sus hogares y destruir sus vidas y las de su familia.
En el año de 1948 se dieron los primeros antecedentes regulatorios en relación con la intimidad o la privacidad de las personas, en el marco de las Naciones Unidas (UDEM. 2005): con la Declaración de los Derechos del Hombre y del Ciudadano consagra:
Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la Ley contra tales injerencias o ataques. (D.D.H.C. Art. 12)
En el mismo sentido, la Declaración Americana de Derechos y Deberes del Hombre suscrita en Bogotá en 1948 y el Pacto de San José de Costa Rica en su artículo sobre la Protección de la Honra y de la Dignidad establece que:
1. Toda persona tiene derecho al respeto de su honra y al reconocimiento de su dignidad.
2. Nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su honra o reputación.
3. Toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques. (Ibídem, Art. 11)
A raíz de la poca cultura que ha obtenido Colombia en el sentido de luchar y castigar el delito de robo de información y acceso indebido a Datos Personales en la Red, se hace difícil o por lo menos largo el camino por recorrer al momento de convencer a los especialistas judiciales, a los operadores de ficheros que almacenan datos personales y en general al público en común sobre la relevancia y el debido cuidado y manejo de nuestros datos personales amparados en una figura jurídica estable y confiable.
Según la decisión de Luis Guillermo Vélez, superintendente de Sociedades, los operadores de información, en virtud del principio de buena fe, deben asumir que los datos personales que les remiten sus fuentes son verdaderos. Su responsabilidad se limita a verificar que los datos estén relacionados con información financiera, comercial y crediticia; que sean pertinentes para el cálculo del riesgo crediticio y que la información esté completa, es decir, que no sea fraccionada ni parcial. (A.J. 2011).
La iniciativa con que nace esta Ley, se origina cuando la situación financiera de las personas naturales no se tenía muy presente ya que para estas personas se utilizaba el régimen corporativo, lo cual se presentaba como una figura muy desentonada y por fuera del margen; este sistema ha tomado mucha fuerza de acuerdo con las distintas necesidades de las personas a raíz de la pirámides, el duro invierno y la recesión, entre otras (sí se tiene en cuenta que en tiempo de recesión existen muchas personas que pierden sus empleos por situaciones que se encuentran fuera de su control), pudiendo así declararse en insolvencia económica.
Esta figura aplica para cerca de 30 millones de colombianos que no tienen empresa o son los llamados independientes y no tienen la posibilidad de recurrir a otros ingresos en época de temporal o de insolvencia.
A primera vista parece que la nueva ley es justa y necesaria debido a los grandes riesgos en que se encuentran todos los datos personales en la red, debido a que uno de los puntos más vulnerables en materia de delito es la clonación de tarjetas de crédito y débito con el fin de robar los fondos que se encuentra en ellas, y además pondría a pensar a más de un estudiante de Ingeniería de Sistemas desocupado que quisiere hacerse "Rico" de la noche a la mañana.
Esta ley permitirá que cualquier ciudadano que sienta que su información o su privacidad está siendo vulnerada o revelada de forma ilegal, podrá demandar a la persona o entidad que ocasionen tal situación y, si el juez lo considera terminar en la cárcel o en su defecto, con sanciones ejemplares.
No está demás tener presentes las recomendaciones que se deben tener en cuenta a la hora de utilizar un equipo distinto al personal, las medidas de seguridad al momento de hacer uso de cajeros automáticos, la prohibición de navegar por software de empresas estatales, la habilidad de eliminar las "Cookies" del navegador o en su defecto, verificar que los datos y contraseñas escritas no queden guardadas en las páginas utilizadas.
Con base en lo expresado anteriormente, cualquier persona que manipule información personal ó base de datos, sea persona natural o jurídica, estará sujeta a esta Ley de la República. Es así como las grandes marcas de supermercados, almacenes de ventas y restaurantes, por mencionar algunos, tendrán que estar muy atentos a cualquier novedad o anomalía en aras a la responsabilidad para proveer protección de dicha información, es decir, salvaguardar por la seguridad de los datos de titulares de la información consignada.
Para dar continuidad a la exploración que avecina el tema de los datos personales, existe también el mundo de los correos electrónicos, los mensajes instantáneos, los mensajes de texto, los mensajes de voz, las imágenes, entre otros tipos de comunicaciones enviadas o recibidas por las distintas entidades prestadoras de servicios de comunicación, éstas podrían estar catalogadas como datos personales por lo cual deberán estar amparadas y cobijadas por la Ley en mención.
En el artículo 4o. se encuentran establecidos los principios de la administración de datos, los cuales no consideran orientaciones internacionales; allí se habla de adoptar medidas técnicas que sean necesarias para garantizar la seguridad de sus datos y evitar el peligro de adulteración, perdida, consulta o uso no autorizado, estableciéndose así automáticamente un sistema de gestión de seguridad de la información, basado en políticas para el debido proceso y estandarización que dé con una adecuada clasificación de la información, y concluyen con un ciclo permanente de monitoreo y actualización de las medidas tecnológicas diseñadas y pensadas para tal fin. En síntesis, las medidas correctivas deberán tomarse de manera global dentro de una organización con su sistema de preservación de datos personales.
No se necesita tener este sistema como un requisito técnico para el debido desarrollo de la utilización y manejo de información personalizada, sino que debe convertirse en una cultura organizacional que afecte de una manera directa los intereses del negocio. Además queda totalmente evidenciado para las empresas administradoras de datos personales y para las personas naturales y jurídicas que estas implicaciones poseen matices muy preventivos y propositivos para que sea reconocida la información como un activo fundamental, así como un bien jurídicamente protegido por el estado que es un instrumento transversal a todas las actividades de los distintos ciudadanos y la dinámica social, política, económica y tecnológica de un país.
De no ser así, en el presente panorama nuestros datos personales se encontrarían salvaguardados por cada una de las distintas políticas que abordarían cada una de las empresas poseedoras de información personalizada, esto implicaría distintos niveles de seguridad para la implementación de programas celadores de dicha información y no se evidenciaría una homogenización o estandarización en el manejo de seguridad informática.
De esta manera el derecho a la información va ligado al derecho de Habeas data, sin necesidad de perder el uno del otro su forma jurídica y constitucional inherente a cada cual. Es por esto que no se podría dar una teoría del Habeas data sin identificar la información con respecto a los datos de la persona humana o de sus bienes, como tampoco podría hablarse sobre los distintos pasos que existiesen al momento de referirnos al procesamiento de los datos personales públicos o privados, sin que antes identifiquemos a la información personal como insumo necesario, infaltable e inevitable del derecho o garantía constitucional del hábeas data. La existencia de uno y otro se presenta de manera un tanto recíproca, pero este fenómeno no permite evidenciar su autonomía para cada cual.
De la misma manera se refleja así como en las normas, tratados y Convenios Internacionales, la información que contiene se ha elevado a un rango constitucional y universal. Consecuentemente, al considerarse un bien jurídico tanto para el titular de la misma, quien la usa, o procesa por medios manuales o informáticos, se hace susceptible, vulnerable y de alta sensibilidad de la misma manera para el Estado que su principal interés debe ser el de garantizarla dentro de los mínimos parámetros de dignidad, libertad, oportunidad, viabilidad, confiabilidad, veracidad y completud.
Un trabajo reciente del Banco Mundial hace un análisis comparativo del estado de los sistemas de información crediticia en el mundo. El estudio analiza seis distintas facetas de los sistemas de información: i) si se reporta información positiva y negativa; ii) si las centrales incluyen información tanto de individuos como de firmas; iii) si se reporta información de servicios públicos y almacenes de cadena; iv) si se distribuyen dos o más años de información; v) si el valor de los préstamos reportados supera el 1% del ingreso per capita; y vi) si la ley establece que los titulares de la información pueden acceder a su reporte. El gráfico 1 muestra un índice construido con base en estos criterios para un conjunto de países.
Fuente: Banco Mundial – Doing Business
De los seis criterios que se incluyen en el índice, Colombia cumple con 4. En nuestro país no se reportan más de dos años de información ni hay una ley que permita a los titulares consultar su propia información. Más allá del cumplimiento de estos criterios que han demostrado tener una relevancia empírica a la hora de evaluar su impacto sobre la profundidad financiera y el acceso al crédito, una preocupación central en Colombia es el relativo bajo cubrimiento de la información de las centrales. El gráfico 2 muestra estimativos del porcentaje de la población adulta reportada en las centrales. En Colombia, apenas supera el 30%. Cualquier estrategia encaminada a fomentar la cobertura de las bases de datos es vital para garantizar la efectividad del instrumento.
Fuente: Banco Mundial – Doing Business
A pesar de su importancia como instrumento para acceder al crédito las centrales de información gozan de mala reputación, tanto en Colombia como en otras partes del mundo. Es frecuente la queja de que si una persona aparece en una de estas "listas negras" su acceso al crédito queda negado. Es importante aclarar, que las centrales de riesgo no son "listas negras" ni aparecer con reportes negativos en ellas excluye a la gente de acceder al crédito. Según datos de la Cifín, a febrero de 2007, cerca del 88% de las obligaciones reportadas en la base de datos, tenían únicamente información positiva. Al mirar únicamente obligaciones con el sistema financiero se encuentra que 92% de ellas estaban perfectamente al día, tal como se ilustra en el gráfico 3.
Más aún, datos de la misma Cifín muestran que la fracción de personas que han incurrido en mora y que por ende han tenido información crediticia negativa en su reporte, y que acceden a crédito después de esto es elevada. Treinta y cinco por ciento de las personas que entraron por primera vez en mora entre noviembre de 2004 y octubre de 2006, recibieron crédito después de ello. En otras palabras, una de cada tres personas recibió crédito después de entrar en mora.
Fuente: CIFIN. Datos a Febrero 2007
En Colombia la información crediticia es sólo uno de los instrumentos que utilizan los prestamistas para evaluar a sus deudores. No es el único, ni es un criterio excluyente. Sin embargo, la ausencia de un proyecto de ley que regule adecuadamente al sistema ha generado problemas y gran incertidumbre con respecto a su funcionamiento.(Sandoval & Galindo. 2007)
La ley de Habeas Data es de gran importancia para reducir la incertidumbre y garantizar que las diferentes partes involucradas cumplan con sus deberes y obligaciones y hagan valer sus derechos.
Siguiendo la constitución política de Colombia y teniendo claridad sobre libertad de información, datos y derechos, toda la información personal que suministre una persona jurídica o natural y que genere una reacción a nivel jurídico de manera relevante, clara, inteligente, completa, oportuna y confiable tanto para la persona que la suministra como para terceros, bien sean entidades bancarias, establecimientos comerciales públicas o privadas, se hace desde ya un dato personal que debe estar bajo las medidas de seguridad pertinentes para el manejo de información y datos personales.
A pesar de la necesidad de la regulación en el tema, algunos sectores señalan que el Proyecto de Ley aprobado esta lleno de falencias, pues no contempla la protección general del Derecho Fundamental, sino que limita el alcance de la figura en Colombia y a nivel Internacional. (Angarita, Nelson. 2005).
En este orden de ideas y para concluir, se ha logrado determinar que la acción legal en que podría ampararse un ciudadano colombiano al ver vulnerada su información crediticia sería únicamente una denuncia ante las autoridades (Policía o Fiscalía), para que inicien la investigación correspondiente y finalmente determinar quien es el o los culpables, la responsabilidad de los involucrados, y la pena que le compete a cada uno en particular de acuerdo a como corresponda según lo estipulado en la Ley 1273 de 2009 como ya se mencionó anteriormente. El juez al que le compete, o mejor dicho, el que tiene conocimiento de los delitos informáticos es el Juez Penal Municipal. (L. 1273 de 2009)
MARCO REFERENCIAL
Ámbito Jurídico. (2011). Superindustria publica guía sobre el hábeas data. Recuperado el 25 de abril del 2011, de: http://www.ambitojuridico.com/BancoConocimiento/N/noti-110325-02_%28superindustria_publica_guia_sobre_el_habeas_data%29/noti-110325-02_%28superindustria_publica_guia_sobre_el_habeas_data%29.asp
Ámbito Jurídico. (2011). Centrales de riesgo no están obligadas a determinar si la obligación reportada se canceló. Recuperado el 25 de abril del 2011, de:
Ley Estatutaria 1266 DE 2008. Diario Oficial No. 47.219 de 31 de diciembre de 2008.
Ley 1273 del 5 de enero del 2009.
Sandoval, Carlos A., & Galindo, Arturo J. (2007). Editores de la publicación "La Semana Económica No. 603". Asobancaria (4 de mayo del 2007).
Tesis digital. (2005). Universidad de Medellín. Recuperado el 12 de abril de 2011, de: cdigital.udem.edu.co/TESIS/CD-ROM48522009/05.Capitulo1.pdf
Angarita, Nelson R., (2005). Ámbito Jurídico: La Ley de Habeas Data no va por buen camino. Bogotá 10 al 23 de Octubre de 2005.
Constitución Política de Colombia de 1991.
Autor:
Luis Fernando Medina Caro
John Álvaro Sanchez Fuentes
UNIVERSIDAD LA GRAN COLOMBIA
FACULTAD DE DERECHO
SEGUNDO SEMESTRE
BOGOTÁ
Tutor
MONICA MARIA MANOSALVA DALLOS
Abogada
UNIVERSIDAD LA GRAN COLOMBIA
PROYECTO INTEGRADOR
BOGOTÁ
2011
[1] El artículo 15 de la Constitución Política fue modificado por el artículo 1o del Acto Legislativo 2 de 2003. Dicho Acto Legislativo fue declarado inexequible por la Corte Constitucional, por el vicio de procedimiento ocurrido en el sexto debate de la segunda vuelta, mediante sentencia de la Sala Plena. C-816 de agosto 30 de 2004. Exps. D-5121 y D-5122. M.P. Jaime Córdoba Triviño y Rodrigo Uprimny Yepes. En consecuencia el texto original del artículo 15 de la Constitución Política, que aparece aquí transcrito, recobra su vigencia.