Descargar

El hábeas data en algunos proyectos de ley estatutaria en el derecho colombiano (página 3)


Partes: 1, 2, 3, 4

En la fase de almacenamiento de datos, serán aplicables los principios de: (i) Exactitud del contenido (o de ?veracidad?) y de sujeción a la revisión y actualización; (ii) De prohibición excepcionada de los datos denominados ?sensibles?; (iii) De información en el almacenamiento de datos sobre los objetivos y fines del mismo.

En la fase de registro de datos, serán aplicables los principios de: (i) Compatibilidad de las finalidades; (ii) De adecuación, pertinencia y no excesibilidad de las finalidades; (iii) Prohibición excepcionada del registro de datos denominados ?sensibles?; (iv) De información en el registro; y (v) De seguridad.

En la fase de conservación de los datos, serán aplicables, los siguientes principios: (i) De identificación del concernido y de compatibilidad de las finalidades; (ii) De prohibición excepcionada en la conservación de datos personales considerados ?sensibles?; (iii) De seguridad de los datos; y (iv) De información en la conservación de los datos.

En la fase de transmisión de los datos, en particular sobre el ?flujo internacional de datos?, se aplicarán los siguientes principios: (i) Calidad de los datos; (ii) categoría particular de los datos; (iii) Seguridad de los datos; y (iv) Garantías complementarias para persona concernida.

En las directivas Comunitarias de 1995 y 1997, se sistematizaron los principios aplicables a la normatividad y tratamiento de datos de tal forma que se englobaron en un gran capítulo denominado las ?Condiciones generales para licitud del tratamiento de datos personales?, y el cual estaba dividido en dos capítulos, saber: 1. Los principios relativos a la calidad de los datos; y, 2. Los principios relativos a la legitimación del tratamiento de datos. En estos dos capítulos se recogieron todos los principios rectores aplicables a las personas físicas o humanas (identificadas, identificables, no anónimas) y tienen su expresión; por una parte, en las distintas obligaciones que incumben a las personas, autoridades públicas, empresas, agencias u otros organismos que efectúen tratamientos. Obligaciones que se refieren en particular, a la calidad y seguridad de datos, la seguridad técnica, la notificación a las autoridades de control y las circunstancias en las que se puede efectuar el tratamiento. Y de otra parte, estos principios hacen referencia a los derechos otorgados a las personas cuyos datos sean objeto de tratamiento, tales como, el de ser informados acerca de dicho tratamiento, de poder acceder a los datos, de poder solicitar su rectificación o incluso de oponerse a su tratamiento en determinadas circunstancias.

Como se observa en todas las fases del tratamiento de datos existen principios que permean pues se aplican a todas y cada de éstas como principios genéricos, tales son los casos del principio de la calidad, la seguridad y la información de los datos; otros en cambio, son aplicables a cada una de las fases o etapas del tratamiento y por ello son principios específicos, como el de la categoría particular de los datos en la fase de comunicación de los datos.

3.1.2.3. Los órganos de protección del tratamiento de los datos personales Los proyectos de ley Estatutaria originales de 2002 y 2003, propusieron como ?organismos de control y vigilancia? de los ?operadores de bancos de datos o centrales de información?, a los organismos encargados de la protección al consumidor de la Superintendencia de Industria y Comercio, por cuanto la información mayoritaria que se regula y estima darse protección y garantía es el dato financiero o de informaciones comerciales y mercantiles. Sin embargo, como el dato financiero también abarca informaciones bancarias, bursátiles, de carácter fiscales, parafiscales y tarifarias, que son competencia de la Superintendencia Financiera que refundió a las antiguas Superintendencia de valores y la superintendencia bancaria, bien podría haberse cuestionado desde aquella época la impropiedad de las funciones dadas a los organismos de protección al consumidor de la Superintendencia de Industria y Comercio, para proteger y garantizar los derechos de los destinatarios de la ley de Hábeas Data y de la vigilancia y control de los responsables de bancos de datos o centrales de información.

Anteriores proyectos de Ley reguladora del Hábeas Data, respecto a las autoridades u organismos de protección del tratamiento de datos personales, emulando a las leyes europeas principalmente en estos aspectos, proponían la creación de una entidad autónoma, independiente de las tres ramas del poder público e incluso de los organismos de control fiscal (Contraloría) y conductual de los servidores del Estado (Procuraduría y Defensoría Pública), para que cumpliera las labores ante dichas. Se mencionaba por ejemplo, la Dirección General de Protección de Datos o El Comisionado General de Datos, entre otros. Otros proyectos propusieron a la Defensoría del Pueblo para que en una de sus direcciones o dependencias destinadas a la defensa de los derechos humanos, ejerza la función de protección de los datos personales de todo tipo.

En el ?Pliego de modificaciones?, los ponentes de los proyectos de Ley Estatutaria de 2002 y 2003 [19], al cuestionar la competencia para el ?control y vigilancia? de los datos personales por parte de la Superintendencia de Industria y Comercio, estimó conveniente recoger la propuesta que se hiciera en otros proyectos de ley Estatutaria y así decidió manifestar que ?Teniendo en cuenta que según el numeral 2 del artículo 277 de la Constitución le corresponde a la Procuraduría en colaboración con la Defensoría del pueblo "proteger los derechos humanos y asegurar su efectividad", se considera conveniente que la Defensoría del Pueblo, y no la Superintendencia de Industria y Comercio, sea la entidad que controle y vigile o operadores de bancos de datos o centrales de información".

Las razones que se dan para tal pedimento estriba en que la nueva denominación del intitulado y el objeto del proyecto de ley Estatutaria de 2003, al regular el tratamiento de datos personales ya no en forma sectorial (solo de los datos financieros), sino en forma general (toda clase de datos personales), resulta más conveniente para los colombianos que esta tarea esté a cargo de la Defensoría del Pueblo y no de la Superintendencia de Industria y Comercio, "no sólo porque ésta es una entidad especializada en los temas de asuntos comerciales sino porque también es una entidad que pertenece al Gobierno, el cual, a su turno, en muchas ocasiones se convierte en operador de bancos de datos y centrales de información". En consecuencia, se proponía a la Defensoría de Pueblo como máximo organismo de protección del tratamiento de datos personales, para el control y la ?vigilancia de la actividad de recolección, manejo, almacenamiento, procesamiento, suministro y uso de la información regulada en esta ley?.

Así mismo se creaba dependiente de la Defensoría Pública, el Registro Nacional Público de Banco de Datos, para que adelante funciones registrales y garantice la plenitud de facultades del Hábeas Data de las personas cuando la información que les concierna y constante en bancos de datos o centrales de información, sea errónea, inexacta, incompleta o no conforme al ordenamiento jurídico Vigente Registro Nacional Público de Bancos de Datos y la expedición de normas, criterios técnicos, pautas o procedimientos que la concreta realidad nacional haga necesarios. Este Registro ?será un instrumento de tutela de la libertad de los ciudadanos colombianos más efectivos cuya organización y funcionamiento estará a cargo de la Defensoría del Pueblo con miras a que ésta pueda realizar un control efectivo sobre los operadores de bancos de datos o de centrales de información?.

Por su parte, se arrogaba un extenso catálogo de funciones preventivas, de Inspección, de vigilancia e incluso de sanción administrativa a la Defensoría Pública, como si se tratara de un proyecto de ley ordinario y no Estatutaria. El ?Pliego de Modificaciones?, adicionaba el listado de atribuciones. Las que aparecen a continuación en cursiva son las funciones adicionadas:

  • Imponer las sanciones pecuniarias, según lo indicado en la presente ley.

  • Impartir las instrucciones sobre la manera como deben cumplirse las disposiciones previstas en esta ley, fijar criterios técnicos y jurídicos que faciliten su cumplimiento y señalar los procedimientos para su cabal aplicación, en especial lo previsto por el inciso final del artículo 7º de esta ley (Es decir, sobre las ?condiciones generales? para adelantar el tratamiento o procesamiento de datos).

  • Solicitar información y realizar visitas de inspección y ordenar auditorías con el fin de comprobar el cumplimiento de procedimientos, normas legales o verificar la suficiencia de los sistemas informáticos y de manejo de información. En estos casos, la Defensoría del Pueblo deberá garantizar la seguridad y confidencialidad de la información y elementos suministrados;

  • Reconocer y ordenar el pago de la compensación económica prevista en la presente ley a favor de los titulares.

  • Ordenar la efectividad del beneficio de la presunción legal de que la solicitud ha sido atendida a favor de los titulares de la información, cuando el operador no de cumplimiento a los términos establecidos en la ley para responder las solicitudes de los titulares de la información. Esta facultad implica ordenar la corrección, actualización, modificación o retiro de la información solicitada por el titular.

  • Conocer los conflictos que se susciten entre los titulares de la información y los operadores de los bancos de datos, fuentes de información y los usuarios de la misma, por el incumplimiento de las disposiciones contenidas en esta ley y las que la reglamenten. En consecuencia podrá definir en firme y con las facultades propias de un juez los conflictos y ordenar el reconocimiento y pago de la compensación económica prevista en la presente ley, decisión que hace tránsito a cosa juzgada y presta mérito ejecutivo.

  • Asistir y asesorar a las personas que lo requieran acerca de los alcances de la presente y de los medios legales de que disponen para la defensa de los derechos que ésta garantiza;

  • Dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por esta ley;

  • Controlar el cumplimiento de los requisitos y garantías que deben reunir los operadores de bancos de datos o centrales de información.

  • Atender las peticiones y reclamaciones formuladas por las personas afectadas.

  • Requerir a los responsables y los encargados de los tratamientos la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los registros, cuando no se ajuste a sus disposiciones.

  • Velar por el cumplimiento de las disposiciones que otras normas sectoriales establezcan respecto a la recogida de datos, sus tratamientos y su adecuación a los principios establecidos en la presente ley cuando se opongan.

14) Las demás que le sean atribuidas por normas legales o reglamentarias. Por la estructuración y funciones de la Defensoría del Pueblo y el Registro Nacional Público de Datos personales, se deduce que éstos serían los organismos competentes para la protección del tratamiento de datos, tanto de los ficheros o bancos de datos de titularidad pública, como los ficheros o banco de datos de titularidad privada. Si así no fuese los bancos de datos de carácter particular o privado quedarían por fuera de todo organismo de control y vigilancia y por ende no se garantizaría en debida forma las facultades o derechos componentes del Hábeas Data (conocimiento, acceso, rectificación, actualización y eliminación de la información del concernido). Igualmente también se deduce que los Defensores del Pueblo Regionales o Seccionales a nivel Departamental, Distrital y Municipal, cumplirán las mismas funciones del Defensor del Pueblo Nacional, como defensores y garantes cualificados del tratamiento de protección los Datos Personales del sector público y el privado.

En Alemania esta labor la cumple el ?Comisario de protección de Datos? [20] una especie de Ombudsman en el Sector Público y un Veedor ciudadano en el sector privado. El nombramiento del Comisario Federal de protección de datos en el Sector Público se realiza por el Presidente Federal a propuesta del Gobierno Nacional. Actúa bajo la dependencia del Ministerio del Interior. Tiene un período de 5 años y su régimen será el de derecho público y tiene los siguientes grupos de funciones:

  • De cumplida ejecución y asesoramiento sobre leyes de protección de datos;

  • De emisión de Dictámenes e informes

  • De solicitud de auxilio a autoridades y servicios públicos

  • De Registro de Bancos, ficheros o bases de Datos

  • De Reclamaciones ante las autoridades, instituciones o personas que someten a tratamiento de datos, informaciones personales.

  • De protección de derechos de los titulares de los datos personales.

El Comisario de protección de datos en el sector privado que la LFAFPD (Ley Federal Alemana de Protección de Datos), para la designación de éste se distingue entre ?los procesos de datos no públicos para uso interno? y ?los procesos de datos sean realizados con finalidad mercantil para entes no públicos?. En uno y otro caso, el Comisario no procede de igual forma, al menos cuando a su designación y en cuanto a las funciones generales y especiales realizadas.

En efecto, en el primer caso, la designación del Comisario de protección de datos la realizará las personas, sociedades y otras agrupaciones de personas de derecho privado que sometan a tratamiento informatizado o no de datos y a tal efecto ocuparen con carácter permanente, por regla general, entre cinco y veinte trabajadores, deberá nombrar a un Comisario de Protección de Datos, por escrito y por muy tarde dentro del mes después de iniciar su actividad. El Comisario dependerá directamente del propietario, de la dirección o gerencia o de otra persona que represente legal o estatutariamente le empresa.

En el segundo caso, es decir, cuando ?los procesos de datos sean realizados con finalidad mercantil para entes no públicos?, El Comisario de protección de Datos, se designará por las personas, sociedades y otras agrupaciones de derecho privado, o en su caso, por las empresas de derecho público que concurrieren en el marcado, según el artículo 38 de la LFAPD.

En el derecho ibérico [21], los órganos de protección de los datos personales, según la LOPDP española de 1999, está en cabeza de la Agencia de Protección de Datos (APD), como organismo autónomo e independiente de las Administraciones Públicas y con régimen jurídico sui generis. Esta dirigido por un Director y es nombrado de entre quienes componen el Consejo Consultivo creado por Real Decreto para un período de 4 años. El Consejo Consultivo será el cuerpo asesor permanente del Director. También constituye organismo de protección de datos, El Registro Nacional de Protección de Datos, como organismo integrado a la APD. Así mismo por la Inspección de Datos y la Secretaria General, como órganos jerárquicamente dependientes del Director de la Agencia. Y finalmente, por los órganos de protección de datos de las Comunidades Autónomas.

Como se observa, tanto en Alemania como en España, los organismos de protección de datos personales, se crearon para cumplir los propósitos estipulados en las respectivas leyes de protección de datos de carácter personal e independientemente estructurados de las actuales instituciones, organismos o dependencias del Estado, a fin de que cumplan unas atribuciones específicas, cualificadas y altamente garantistas para los titulares de los datos o las personas concernidas con éstos.

3.2. Proyecto de ley Estatutaria de origen gubernamental El Ministro de Hacienda y Crédito Público de la época, Dr. Roberto Junguito Bonet, presentó al Congreso de la República de Colombia, el 6 de Septiembre de 2002, el proyecto de Ley Estatutaria de Hábeas data, intitulado: "Por la cual se regula el ejercicio del derecho al acceso a la información financiera y comercial, así como la relacionada con el cumplimiento e incumplimiento de obligaciones fiscales, parafiscales, de servicios públicos domiciliarios y cualquiera otra que tenga utilidad pública, y se regula la actividad de administración y uso de tal información la misma?.

Si bien este proyecto, como analizamos en el anterior aparte se adicionó al proyecto de ley estatutaria de 2003, en el presente sección estudiaremos el original proyecto de ley de origen gubernamental, con sus peculiaridades.

  • Estructura del proyecto de Ley Estatutaria de Habeas Data

El proyecto estaba estructurado en Título, Capítulos y artículos, así:

En el Título I, sobre el "Objeto, ámbito de aplicación, definiciones y principios". En un capítulo único y mediante artículos respectivos, se concretaba el objeto del proyecto de ley, el ámbito de aplicación, las definiciones utilizadas en el tratamiento automatizado o no de las informaciones; principios observados en dicho tratamiento (Entre otros: la calidad de los ?registros o datos?, confidencialidad, respeto al buen nombre, garantía de acceso a la información, permanencia y propiedad de la información, seguridad y utilidad pública de la información).

En el Título II ?De los destinatarios de ésta Ley?, el cual contenía cuatro capítulos, así: En el Capítulo primero, relativo a ?los operadores de los bancos de datos o centrales u operadores de archivos de información"; en los artículos pertinentes se regulaba la naturaleza jurídica de los operadores como sociedades comerciales; así como la función de recolección, almacenamiento y suministro de los datos o de la información. Se establecía como salvaguarda del titular de los datos, la ?autorización? o consentimiento para el tratamiento o procesamiento de datos personales y se regulaba su forma de obtención por parte de los operadores, fuentes de información y los usuarios de la información.

Algo importante que se este capítulo regulaba era el tema de los derechos, deberes y responsabilidades de los intervinientes en el proceso de tratamiento de la información por medios informáticos o automatizados o no, pues a través de éstos regímenes tanto operadores, fuentes como usuarios de la información saben cuáles son los límites y autolímites de sus derechos y obligaciones y hasta donde se extiende su responsabilidad por el uso indebido, ilegal o de quebrantamiento o desconocimiento del Hábeas Data o fraudulento de bases, ficheros o cúmulo de datos o de informaciones con fines específicos o especificados.

En el Capítulo II del Título II, relativo a ?Las Fuentes de Información?, el proyecto hace una relación pormenorizada de los derechos, deberes y régimen de responsabilidad de las fuentes de información, pero con carácter específico, pues ya en el anterior capítulo había abordado aquellos y éste régimen con carácter genérico. Concluye el capítulo haciendo referencia preferente a los ?organismos públicos? que deben procesar o tratar información automatizada o no y sobre todo que tienen que suministrar información, pero sólo en el ámbito exclusivo de competencia y manejo de información específica.

En el Capitulo III del Titulo II, relacionado a ?Los "Usuarios?, el proyecto, con igual esquema normativo al utilizado en el anterior capítulo, relaciona el conjunto de derechos, deberes y sistema de responsabilidad de los usuarios en el tratamiento, utilización, conservación, guarda y en general en cualquier forma de uso o comunicación de la información suministrada por los operadores o las fuentes de información respectivas. Uno de los aspectos dignos de destacar en éste capítulo es el referido a la responsabilidad de los usuarios, por el ?pago de la compensación económica a favor del titular de la información a que se refiere el artículo 13 de la presente ley (es decir, por la responsabilidad que les cabe a los operadores y a las centrales de información), por los perjuicios que le causen por el uso irregular de la información y, en especial cuando no se cuente con la autorización del titular para utilizarla y suministrarla?.

En el Capítulo IV del Título II, referido a los ?Titulares de la Información", es decir, a los concernidos o quienes son sujetos y objeto de la información, se relacionan en varios artículos los derechos de los titulares en relación: a) Los operadores de los bancos de datos o las centrales u operadores de la información (V.gr., La solicitud de reportes efectuados sobre los titulares, reclamación cuando la información es incorrecta, exigir la actualización y rectificación de la información; entre otros.); b) A las fuentes de información (V.gr., conocer la información, solicitar la actualización, rectificación y complementación de la misma, presentar reclamaciones cuando la información se procese con desconocimiento del ordenamiento jurídico); y c) A los usuarios de la información (V.gr., Presentar las reclamaciones pertinentes cuando haya lugar por desconocimiento o quebramiento de las normas que regulan el tratamiento informatizado o no de los datos personales).

En el Título III, concerniente a "La permanencia de la información", se hace referencia al siempre polémico aspecto de la caducidad de la información negativa y positiva, a la relación histórica de la información y la permanencia temporal o atemporal de los datos que le conciernen a una persona, pero sobre todo aquellos datos de carácter financiero, económico, comercial y tributario. Entre varias propuestas de reforma al articulado del proyecto de ley, se abre paso la que menciona que "El término de permanencia de la información histórica será de diez (10) años contados a partir de la fecha en que se extinga la respectiva obligación. Lo anterior no es aplicable cuando la extinción de la obligación haya ocurrido por prescripción?, pero se aclara que el término de permanencia histórica de la información para los titulares de la información será indefinida.

En el Título IV, relativa a ?Los procedimientos" para ejercer los derechos y garantías previstas en el proyecto de ley, el proyecto autoriza al Gobierno Nacional para que reglamente la forma y condiciones en que se harán efectivos los derechos componentes del Hábeas Data. Sin embargo, suministra unas pautas normativas relativas a actividades, término en el que deben cumplirse y sujetos intervinientes en el proceso de tratamiento de la información automatizada o no. En efecto, se enfatiza sobre los siguientes aspectos: La Consulta, actualización y rectificación de la Información; así como también sobre el contenido de las decisiones ?en derecho? –insiste el proyecto innecesariamente– producidas en estos procedimientos administrativos y los recursos correspondientes, cuando se desconozcan los derechos componentes del Hábeas Data o se quebrante el derecho de petición sobre las informaciones que les conciernan a las personas como titulares de la información o como usuarios de la misma. En estos casos, ?procede en primera instancia el recurso de reposición ante el operador y/o la fuente, y el de apelación ante el Organismo de Control, los cuales deberán ser interpuestos en los términos legales". El proyecto también prevé que en los casos de vacío legal, será el Código Contencioso Administrativo (C.C.A.), el que regule lo pertinente como norma subsidiaria.

En el Titulo V, referente al ?Régimen Sancionatorio", el proyecto establece un procedimiento breve y sumario, un ámbito de competencia y jurisdicción, un régimen personal e institucional y un sistema de sanciones administrativas para los operadores, centrales de información, fuentes, usuarios y titulares de la información que desconozcan, quebranten o vulneren el acceso, procesamiento automatizado o no y la comunicación de datos personales regulado en el proyecto de Hábeas Data. Entre las sanciones administrativas establece las siguientes: Amonestación o llamado de atención, Multas personales de hasta 100 millones de pesos o multas institucionales hasta 500 millones con destino al Tesoro Nacional, suspensión en el ejercicio del cargo y remoción de los administradores, directores, representantes legales o de los revisores fiscales de los sujetos destinatarios del proyecto de ley. El trámite de controversia de las sanciones se regulará conforme los establece el C.C.A.

En el Título VI, relativo al "Control y vigilancia", el proyecto establece que los organismos que controlan y vigilan el cumplimiento del proyecto de ley, serán de carácter administrativo y de carácter jurisdiccional. El organismo administrativo competente para el control y vigilancia de los derechos, deberes y responsabilidades del acceso y tratamiento informatizado o no de los datos personales en Colombia, según el proyecto de ley es el de Protección al Consumidor. En tal virtud, le corresponde proteger no solo derechos de los datos personales sino a los que intervinientes en el procedimiento informatizado o no desde la recolección, manejo, almacenamiento, suministro y uso de la información. Este organismo tendrá funciones administrativas sancionatorias, como las previstas en el Título anterior, así como funciones de instrucción, inspección y control.

Por su parte, a los jueces de la República, les corresponderá las funciones jurisdiccionales cuando se vulnere el ordenamiento jurídico vigente incluido el presente proyecto de ley sobre los datos personales.

  • Breves comentarios al proyecto de ley

En este proyecto se enfatizaba los derechos componentes del Hábeas Data del acceso, tratamiento informatizado o no y consecuentes facultades de actualización, rectificación, eliminación y comunicación de la información o datos personales, tanto de carácter privado como público. Sin embargo, como era apenas lógico esperarse, se potenciaba la información contenida en bancos o ficheros de datos de índole pública y más concretamente los referidos al ámbito tributario (impuestos, contribuciones, tasas y sobretasas), como al recaudo de dineros por la prestación de servicios públicos domiciliarios de agua potable, electricidad y telefonía fija, principalmente (Regulados para la fecha en la Ley 142 de 1994), así cualquiera otra actividad económica, financiera o comercial que las entidades de derecho público municipal, departamental o nacional tengan con o contra los particulares en el territorio colombiano.

Este proyecto aunque constituía un estatuto más integral y amplio del Hábeas Data en Colombia, reiteraba como el anterior en el dato financiero, aunque con mayor incidencia en el sector público que privado es cierto, pero al fin y al cabo se ocupaba desde su intitulado y la fuentes bibliográficas que sustentaron la exposición de motivos del proyecto en el campo financiero, comercial y tributario, en dos palabras en las ?finanzas públicas?.

La Exposición de Motivos del proyecto de Ley gubernamental justifica la expedición de la norma protectora del Hábeas Data en Colombia, basado en dos poderosas razones: los datos personales históricos y el control de constitucional de la Corte, así: "El no contar con un desarrollo normativo claro sobre la materia ha generado en nuestro país incuantificables costos en materia social y económica. En primer lugar, la ausencia de reglas claras sobre el uso adecuado de esta información, particularmente la información crediticia que reposa en las llamadas "centrales de riesgo" o "listas negras", se ha prestado para que el derecho constitucional mencionado se haya violado impunemente afectando la reputación y condición económica de miles de personas a lo largo de los últimos diez años. Se ha vulnerado el buen nombre y el acceso al crédito de muchos ciudadanos que han tenido un patrón de pagos adecuado y que por múltiples circunstancias han sido errónea o injustamente "reportados" como morosos en estas centrales de información sin que hubiesen contado con mecanismos de defensa efectivos o con garantías estatales de compensación de los respectivos perjuicios. En segundo lugar, los vacíos en el marco jurídico correspondiente se han ido llenando parcial y desarticuladamente a través de fallos y jurisprudencia de las diferentes cortes, sentencias y conceptos que la mayoría de las veces han sido contradictorios entre sí o limitados en su alcance. Igualmente, diferentes instancias del poder público, sin tener hasta hace poco una política clara y consistente sobre el tema, han intentando, fallidamente, regular algunos aspectos de la materia introduciendo artículos en diversas leyes que posteriormente la Corte Constitucional ha declarado inexequibles. ?

El proyecto de Ley Estatutaria del Habeas Data en materia económica o financiera colombiano para conseguir los fines propuesto en la Exposición de motivos debe tomar como ejemplo la legislación, doctrina y jurisprudencia foráneas, principalmente la española, alemana, australiana y canadiense y lo previsto en la legislación y jurisprudencia nacionales relativas al habeas data, el derecho a la intimidad, el derecho a la información, el derecho de petición, derecho al buen nombre e imagen de las personas y el desarrollo de la personalidad, y por su puesto lo que venimos sosteniendo desde hace años en nuestros diversos trabajos de investigación sobre informática jurídica y una de las visiones ius-informática de la intimidad [ 22 ].

Si bien el proyecto de Ley Estatutaria No. 71 de 2002, definió a los datos personales, como ?la información referida a personas físicas o de existencia ideal determinadas o determinables?, el proyecto de Ley Estatutaria gubernamental de 2002, fue más allá al definir lo que se entiende por información histórica negativa, entendida como "aquella que indica situaciones de incumplimiento de obligaciones de contenido económico respecto de sus titulares?. Así mismo definió, la ?información registrable?, como los ?datos de carácter comercial, financiero, de cumplimiento e incumplimiento de obligaciones fiscales, parafiscales y de servicios públicos domiciliarios y cualquiera otra que tenga utilidad pública, útiles para la toma de decisiones o evaluación de riesgos por parte de los usuarios?. Definió, la ?información incorrecta?, como aquella que ?no cumple los requisitos de calidad, es decir, no es veraz, exacta, actualizada, comprobable y comprensible?.

En el texto original del mencionado proyecto, como ut supra se comentó, también aparecían otras definiciones de información, que luego por revisión de la Superintendencia Bancaria, fueron eliminados. Sin embargo, solo a efectos académicos y doctrinales (no legislativos), viene bien relacionarlos. En efecto, se definió lo que es la ?información falsa?, como ?aquella que falta a la verdad, es decir que refleja situaciones contrarias a la realidad", la ?información inexacta?, como aquella que ?distorsiona la realidad de una situación y consecuentemente, perjudica al titular de la misma?; la ?información incompleta?, como aquella que ?refleja parcialmente la realidad?; la ?Información comercial y financiera de carácter comercial?, que son los ?registros o datos concernientes a la persona, útiles para la toma de decisiones o evaluación de riesgo por parte de los usuarios".

Muchas veces se ha dicho, que las definiciones en derecho, tienen la virtualidad de ser equívocas, bien sea por defecto o por exceso; pero también se ha sostenido que éstas cuando están bien decantadas por la doctrina y la jurisprudencia del país respectivo, el escalón que queda es elevarlas a norma jurídica permanente para que sirva de guía u orientación interpretativa o hermenéutica en los casos concretos. Por eso las anteriores definiciones sin ser textos acabados e inamovibles, si pueden constituir en pautas normativas para el operador jurídico, máxime que en la historia de las leyes protectoras de datos personales en todo el mundo ha sido una constante el catálogo de expresiones a manera de glosario de términos que introducen el entendimiento de la norma. Por ello, no era de extrañar que el proyecto de Ley comentado haya insistido en una relación terminológica que hacía más entendible el contexto normativo.

Los Datos financieros o económicos, constituyen una especie de los datos concernientes a la persona identificable o identificada que ha sido objeto de conceptualización en la doctrina y jurisprudencia colombianas. En efecto, el Concejo de Estado, al referirse a los datos personales de carácter económica negativos o datos personales históricos de ineludible observación en el tema económico o financiero, ha sostenido: "En el artículo 15 de la Carta Política se consagra el Derecho Fundamental al habeas Data, dentro del cual se consagra el deber de cualquier entidad pública o privada de dar a conocer, actualizar y rectificar las informaciones de carácter crediticio que sobre los ciudadanos se hayan consignado en bancos de datos y demás archivos. Derecho que, además, debe comprender el de actualización. Con la actualización y rectificación de la información se libera a la persona de las ataduras que significan estar negativamente incluido en una base de datos y se le posibilita la libertad de ejercer su actividad comercial?(Consejo de Estado de Colombia, Sentencia de 21 de Septiembre de 2001).

Los datos informatizados de carácter económico o financiero, como se dijo ut supra son apenas una parte del género de los datos personales que se generan en la relación-tensión de la informática, el derecho, el Estado y los particulares; pero eso, no parecía tener relevancia para los proponentes de los proyectos de Ley Estatutaria del Habeas en el 2002, que enfatizaron en el dato financiero antes que en la integralidad de los datos personales informatizado o no, pese a que el proyecto gubernamental abría un compás mayor al del proyecto de origen parlamentario que involucraba a los datos de carácter privado y público y una más amplia gama de datos personales y no los exclusivamente financieros, pero aún lejos de ser un estatuto integral de los datos personales o de protección integral de los derechos componentes del Hábeas Data en nuestro país.

Este proyecto de ley Estatutaria de origen gubernamental vino a corregir los desfases y omisiones en los cuales habían incurrido los anteriores proyectos de Hábeas Data, más específicamente sobre las definiciones, principios y procedimiento o tratamiento informatizado o no de los datos personales y en especial sobre la protección administrativa y jurisdiccional de los derechos involucrados el procesamiento o tratamiento de la información personal, tanto por las fuentes, operadores, centrales de información, usuarios e incluso los mismos titulares de la información. En efecto, se previno sobre la vulneración de los derechos fundamentales tales como: el derecho a la intimidad, el buen nombre, la información y el mismo habeas data; así mismo, la forma de proteger y garantizarlos, ya con mecanismos administrativos y/o judiciales efectivos.

Finalmente se corrigió un aspecto que había sido un error constante en los anteriores proyectos de ley relativa al Hábeas Data y que había causado su declaratoria de inconstitucionalidad por la Corte Constitucional al momento de su examen o control de exequibilidad automático. En efecto, los proyectos se presentaban como proyectos de ley ordinaria al Congreso de la República, siendo este derecho y garantía constitucional un derecho fundamental reglamentado únicamente a través de Leyes Estatutarias (artículo 152, constitucional) y así en esta última forma se presentó al Congreso de la República.

Sin embargo y pese a la mejorada estructura del proyecto gubernamental de Hábeas Data y a pesar de los buenos propósitos del Ministerio de Hacienda y Crédito Público y aún del contenido y temas abarcados éste sigue siendo parcial al potenciar los datos económicos o financieros. Así mismo la protección de los datos esta mayormente dirigida a un sector de destinatarios de los datos personales en concreto y al final a un sector ambivalente y con obligaciones ?fiscales, parafiscales, de servicios públicos domiciliarios y cualquiera otra que tenga utilidad pública?. Esta última connotación de los datos informatizados extralimita el contenido del intitulado del proyecto de ley, pues enmascara la regulación del tratamiento informatizado de los datos personales que estrictamente no son de índole comercial o financiera; a la vez que extralimita los parámetros constitucionales y legales sobre la materia, lo cual lo hace incurrir en una falta de unidad temática de contenido y de violación de la reserva legal de lo regulado. Con dicho solapamiento temático del proyecto, salen en cascada los defectos que violan el contenido esencial del habeas data, pues se regula aquello que la doctrina, la jurisprudencia y aún la legislación universal y española [ 23 ] han proscrito, limitado o restringido en sus regulaciones, tales como son los datos del núcleo esencial de la ?privacy? (la raza, origen nacional o étnico, color, sexo, edad, estado civil, la inclinación política, religiosa, filosófica o sindical, antecedentes penales, etc.), y en el evento contrario, si se decide regularlos en una norma especializada se deberá regular precisas y puntuales excepciones numerus clausus, como lo han asumido otras legislaciones más avanzadas en estos menesteres, como la Española de 1999 o la Inglesa o australiana de ?Data protection Act?.

Los proyectos de Ley antitécnicamente regulan datos personales económicos o financieros provenientes tanto del sector público como del sector privado, pero en este punto incide más el proyecto de Ley gubernamental y por esta razón, los datos informatizados durante el proceso de recolección, procesamiento, registro, almacenamiento, utilización y tele-transmisión son tratados por personas privadas constituidas como ?sociedades comerciales?(operadores de bancos o Centrales de información) y aunque tienen un régimen jurídico de responsabilidad administrativa fiscal, jurisdiccional, disciplinaria y sancionatoria (que en principio solo cabría a los funcionarios públicos o a las personas privadas con función pública) por la gestión, manejo y extralimitación de funciones de esas sociedades comerciales, existe una autoridad de carácter público de control y vigilancia de los datos informatizados económicos o financieros (La Superintendencia de Industria y Comercio), que cumple dichas ?funciones de protección a los derechos del consumidor?, pero no propiamente de los derechos de los titulares o poseedores de un interés jurídico relevante sobre los datos informatizados cuando han sido tratados por métodos y sistemas informáticos desde la recolección misma hasta el uso y transmisión de los mismos.

Esta función en el derecho comparado la realiza el ?Comisario de los Datos? en Alemania, ?L´Ombusdman de los Datos? en los países escandinavos en el sector público, o ?El Veedor ciudadano? en el sector privado; o ?La Agencia de Protección de Datos en España? (ADP), prevista en la Ley Orgánica de Tratamiento automatizado de los datos personales, L.0. 5 de 1992, Octubre 29, conocida como LORTAD (derogada por la Ley 15 de 1999 de 13 de Diciembre, ?Ley de Protección de Datos de Carácter personal? – LPDP– o nueva LORTAD)[24]. Órganos autónomos e independientes de la Administración Pública, que se rigen por un régimen jurídico especial y dirigido por funcionarios igualmente autónomos y con funciones previstas en el Ordenamiento Jurídico no sólo dirigidas a la vigilancia y control, sino a ser verdaderos garantes de los derechos y deberes de los titulares de los derechos de los datos, de funciones de cooperación y asistencia entre los organismos que operan los datos, o entre quienes recolectan o procesan los datos o los administradores de los bancos o ficheros de datos personales generales o de especial protección como los son los datos de la salud, económicos o financieros, científicos, etc.; o más aún entre entidades gubernamentales nacionales o interestatales, pues el tráfico de datos personales hoy por hoy ha rebasado las fronteras geográficas, o mejor aún estas ya no existen ante la presencia de la informática y el vehículo de transmisión universal de datos o Internet. Hoy por ese hecho tecnológico por medios TIC, vivimos y actuamos en una ?aldea global?.

Pese a estos desfases del proyecto de ley colombiano, es bienvenida la intención del legislador con miras a regular lo atinente al habeas data de datos económicos o financieros de bases de datos o ficheros de titularidad pública y privada. Sin embargo, el legislador deberá hacer énfasis en el procedimiento informático para construir las bases de datos de éste tipo, no sólo a los efectos de incidir en el tema de la Vigilancia y Control de los datos por una entidad de derecho público, como lo es la Superintendencia de Industria y Control en la sección de defensa del consumidor, sino regular el tema integralmente en lo que tiene que ver con la protección y garantía de los derechos y deberes de los titulares de los datos, de los administradores y los operadores de los datos, al estilo de un ?Defensor del Pueblo? especializado en los datos personales informatizados, así mismo que cumplan unas funciones de fomento y apoyo tecnológico, jurídico y económico a los actores del proceso de datos, unas funciones pedagógicas o preventivas del uso o abuso de los mismos e incluso unas funciones de comunicación, entendimiento interinstitucional nacional e internacional para mejorar, potenciar y revitalizar el sistema informático de los datos económicos o financieros y no sólo reprimirlos o sancionarlos.

PROYECTOS DE LEY ESTATUTARIA PRESENTADOS POR LA DEFENSORIA DEL PUEBLO

  • Proyecto de Ley Estatutaria de Hábeas Data 2005, presentado por la Defensoría del Pueblo

  • Antecedentes al Proyecto de Ley Estatutaria de 2005

La defensoría del Pueblo en Colombia, presentó en el año de 2003, el proyecto de Ley Estatutaria del Hábeas Data No. 064, ?Por el cual se dictan disposiciones para la protección de datos personales y se regula la actividad de recolección, tratamiento y circulación de los mismos", el cual fue acumulado al Proyecto No.074 de 2003 de la Cámara de Representantes, "por la cual se regula integralmente el derecho fundamental al hábeas data y demás libertades y derechos fundamentales de las personas en lo que respecta al tratamiento de sus datos personales a través de bases de datos públicas y privadas, y se dictan otras disposiciones", los cuales no se convirtieron en ley de la República por falta de trámite.

Posteriormente, insistió con la presentación del proyecto de Ley Estatutaria No. 139 de 2004, ?por el cual se regula integralmente el derecho fundamental al habeas data y demás libertades y derechos fundamentales de las personas, en lo que respecta al tratamiento de sus datos personales a través de bases de datos públicas y privadas y se dictan otras disposiciones.? El proyecto no tuvo debate en la Comisión Primera de la Cámara al ser retirado por su autor en sesión del 31 de mayo del 2004.

Sin embargo a título doctrinal, conviene al menos recordar los contenidos de los Proyectos presentados por la Defensoría del Pueblo en 2003 y 2004, pues constituyeron en su momento la regulación del Hábeas Data en forma integral y sin sesgos hacia la información o dato financiero, como venía siendo una constante desde 1993 en los proyectos de Hábeas Data tanto los de origen gubernamental como los de iniciativa parlamentaria.

4.4.1.1. Proyecto de Ley Estatutaria número 64 de 2003 El Proyecto de 2003, según el artículo 1º tenía por objeto ?desarrollar el derecho fundamental de hábeas data para la protección de datos personales y para garantizar que en la recolección, tratamiento y circulación de tales datos se respeten la libertad, la honra, la intimidad personal y familiar y demás derechos fundamentales de todas las personas en Colombia?. Objetivo de regulación integral del derecho de Hábeas Data que estaba acorde con las modernas legislaciones de protección de datos tanto europeas como latinoamericanas.

En algún aparte de la exposición de motivos del presente proyecto, la Defensoría al destacar que hoy en día se recaba información pública y privada en toda clase de gobiernos, bien sean democráticos, despóticos, autoritario con fines y propósitos diferentes; los continuos avances de los medios tecnológicos de la Información y la comunicación (TIC), la permeabilidad a todos los campos de la vida social de la informática jurídica y la super producción de todo tipo de información y la existencia cada vez más voluminosa de bancos o bases de datos de titularidad pública y de titularidad privada, ha hecho que los diferentes Estados del mundo regulen estas materias en leyes protectoras de datos, regulatorias del Hábeas Data o reglamentarias del tratamiento o procesamiento de datos.

En Colombia desde cuando se elevara a rango constitucional el derecho fundamental del Hábeas Data en la Constitución de 1991, la Corte Constitucional con sus fallos de tutela ha edificado una importante jurisprudencia sobre el tema y es la que la Defensoría ha seguido para presentar el Proyecto de Ley Estatutaria de 2003, aunque dicho sea de paso, por la estructura que referenciaremos ut infra, digamos en honor a la verdad que el Proyecto de la Defensoría, además de la acertada jurisprudencia en la que dice haberse fundado para presentar la propuesta, se ha tomado grandemente los rasgos, directrices, principios, modelos de autoridades de control de datos y procedimientos administrativos del Hábeas Data de normas tipo europeo, como la LORTAD de 1992 y la LOPDP de 1999 de España y las leyes de protección de datos de la Nación Argentina y las de algunas de sus provincias que tienen autonomía legislativa, entre otras fuentes normativas internacionales. Sin embargo, la tarea compiladora es loable y sugerente, máxime que como se dijo antes, cambió en ciento ochenta grados, las propuestas legislativas que regulaban el Hábeas Data en forma parcial y enfática en el dato financiero, más cuando en la constelación de informaciones que produce el ser humano día a día, esta es una parte, importantísima sí, pero no la única. Al final de este aparte y en forma casi breve resaltaremos los aspectos positivos del proyecto y las creaciones del derecho colombiano sobre estas materias presentes en el proyecto de Ley Estatutaria de Hábeas Data, que hoy al no ser ley de la República, es una excelente fuente doctrinal de consulta.

Se manifiesta además en la Exposición de Motivos que el legislador no ha podido concretar un texto legislativo integral que regule el derecho de Hábeas Data desde hace 12 años (hasta 2004, fecha del proyecto), más cuando se sabe que ?el tratamiento de datos personales es una actividad que se ha expandido de manera considerable a la par con la sistematización creciente de los procesos y de las relaciones, esencialmente de índole económica. También la complejidad de las actividades institucionales por la necesidad de atender una creciente demanda de bienes y servicios a su cargo, y de sofisticar y hacer más eficientes los sistemas de tributación, de sanción de delitos, de seguridad nacional, han generado una necesidad constante de información y, sobre todo, de información de los ciudadanos.

Este incremento de los registros de datos personales en bancos de información, tanto públicos como privados, se ha hecho un poco dictada al amparo de las propias conveniencias del negocio o del servicio, pero sin consultar el ámbito de los derechos fundamentales que el despliegue inusitado de esta actividad puede llegar a afectar? [ 25 ] .

Ahora bien el Proyecto Estructuralmente se dividía en Títulos, Capítulos y 96 artículos, así:

El Título I, relativo al ?Objeto y ámbito de aplicación de la ley? en los artículos 1º a 3º describía el objeto, el ámbito de aplicación de la ley y los destinatarios de la misma. Se aplicaba a todos los datos personales, salvo los que regulen normas especiales sobre la confidencialidad de bancos de datos de utilidad pública, para fines de investigación de delitos, seguridad nacional y orden público. Establecía como destinatarios de la Ley a todas las personas que traten o procesen datos personales y especialmente a los siguientes: (i) Los bancos de datos o centrales de información, sean públicos o privados; (ii) Las fuentes de información; (iii) Los usuarios de la información; y (iv) Los titulares de los datos personales.

El Título II, referente a los "Principios rectores" en el artículos 4º relacionaba los siguientes: (i) De los fines de la tecnología y la informática; (ii) Titularidad de la información; (iii) De la autodeterminación informática; (iv) Consentimiento; (v) Calidad de los registros o datos; (vi) Proporcionalidad de los datos o registros; (vii) Finalidad; (viii) Transparencia; (ix) Caducidad de los datos; (x) Confidencialidad; (xi) Respeto al buen nombre; (xii) Legalidad en materia de recolección y suministro de registros o datos; (xiii) Seguridad; xiv) Gratuidad (xv) contradicción; (xvi) Principios procesales: debido proceso, gratuidad, informalidad, eficacia, economía, impulso oficioso y disponibilidad.

En el artículo 5º mencionaba definiciones a los términos técnico-jurídicos siguientes: (i) Tratamiento de Datos; (ii) Derecho de Acceso; (iii) Hábeas Data; (iv) Banco de datos o central de información; (v) Consentimiento del titular del dato; (vi) Dato personal; (vii) Dato sensible; (viii) Amparo informático; (ix) Fuente de información; (x) Operador de los bancos de datos o centrales de información; (xi) Responsable del Tratamiento; (xii) Titular del dato personal; y (xiii) Usuario o destinatario de la información.

Y finalizaba con el Registro de datos por personas naturales y los Derechos del menor en el tratamiento de datos (artículos 6º y 7º del Proyecto). Era la primera vez que una ley de protección de datos se ocupaba de los menores, los cuales en toda clase de legislación y más tratándose de la reguladora de los datos personales y el Hábeas Data debería tener un plus de protección, pues nuestra Constitución, así lo determinó en el artículo 44.

En el Título III, relativo a los "Deberes" en los artículos 8º al 10º, clasifica a los deberes según algunos de los destinatarios de la ley, así: (i) Deberes de las fuentes de información; (ii) Deberes de los operadores de los bancos de datos o centrales de información; y, (iii) Deberes de los usuarios.

En el Título IV, relativo a los "Derechos y Garantías" en los artículos 11º al 12º, establece los derechos de:

(i) los bancos de datos; y (ii) los titulares de la información.

En el Capítulo I, referido al "Derecho de Acceso", relaciona en el artículo 13º, el Suministro de la Información.

En el Capítulo II, el ?Derecho de Hábeas Data" en los artículos 14º al 25º, relaciona: (i) alcance; (ii) Rectificación; (iii) Notificación a terceros; (iv) actualización; (v) Supresión; (vi) Eficacia de la supresión; (vii) Bloqueo; (viii) Impugnación de decisiones automatizadas; (ix) Ejercicio de los derechos, mediante escrito con requisitos dirigido al banco de datos. Esta es una especie de Hábeas Data Administrativo; (x) Legitimidad; (xi) Términos para decidir; y (xii) Adecuación oficiosa.

En el Titulo V, concernido a la "Condiciones de Legalidad para la operación de Bancos de Datos" en los artículos 26º al 35º, menciona las siguientes: (i) Naturaleza jurídica; (ii) Condiciones para el ejercicio; (iii) De la autorización para el tratamiento; (iv) Registro; (vi) Rechazo de la Solicitud; (v) De los bancos de datos actualmente en operación; (vi) Contrato de suministro de información; (vii) Ilegalidad de los bancos de datos; (viii) Categorías especiales de datos; y (ix) Control Interno.

En el Título VI, referido a las "Condiciones de legalidad para el Tratamiento de los Datos personales" en los artículos 36º al , enlista las siguientes: (i) Recolección de la Información; (ii) Deber de informar al titular de los datos; (iii) Consentimiento del titular de los datos; (iv) Publicidad de los datos personales; (v)

Libertad de exclusión; (vi) Revocabilidad del consentimiento; (vii) Suministro de la información; (viii) Casos en que no es necesario el consentimiento [ 26 ]; y (ix) Tratamiento de datos por cuenta de un tercero.

En el Título VII, referente a las "Disposiciones Sectoriales", dividido en dos Capítulos y seis Secciones. En el Capítulo Primero: "Bancos de Datos Sectoriales", Sección Primera: Normas Generales. En los artículos 45º al 50º, menciona lo siguiente: (i) De la creación o modificación; (ii) Contenido de los actos normativos; (iii) De la supresión; (iv) Caducidad de la información; (v) Proscripción de transmisión, intercomunicación o interconexión de datos; y (vi) Comunicación de datos entre entidades del sector público.

En la Sección II: Bancos de Datos de la Fuerza Pública, Policía Judicial y Organismos de Seguridad del Estado. En los artículos 51º al 53º, relaciona: (i) Sujeción al régimen general; (ii) Finalidad del Tratamiento; (iii) Procedimientos de identificación; (iv)

En la Sección III: Bancos de Datos de Suscriptores de servicios públicos domiciliarios. En el artículo 54º menciona la información a registrar.

En el Capítulo Segundo: "Bancos de Datos de Naturaleza Privada", Sección Primera: Normas Generales, en los artículos 55º al 58º, relaciona: (i) Creación y ejercicio de la actividad; (ii) Requisitos; (iii) Autorización y Registros; y (iv) Prohibición de venta, cesión o transmisión de información.

Sección II: ?Bancos de datos de información sobre solvencia patrimonial y financiera" en los artículos 59º al 64º, menciona: (i) Fuentes de Información; (ii) Comunicación al interesado; (iii) Pertinencia de los datos; (iv) Exclusión de codeudores; (v) Exclusión de codeudores; (vi) Término de vigencia de la infor- mación [27]; y (vii) Obligaciones especiales.

En la Sección III😕Bancos de Datos con fines de publicidad y ventas" en el artículo 65º relaciona el objeto.

En la Sección IV: "Categorías especiales de Datos" en los artículos 66º al 68º, menciona: (i) Datos sobre la salud; (ii) Información sensible; y (iii) Bancos de datos de encuestas o investigaciones En el Titulo VIII, relativo a la "Autoridad de Control" en el Capítulo Primero: "Defensoría del Pueblo"en los artículos 69º al 73º, relaciona: (i) Atribución especial; (ii) Bienes y recursos; (iii) Funciones; (iv) Habilitación especial; y (v) Remisión de fallos de tutela [28].

En el Capitulo II: "Del Registro Nacional Público de Datos" en los artículos 74º al 75º, menciona: (i) Definición; y (ii) Información que comprende.

En el Capítulo III: "El Consejo Asesor de Informática y Protección de Datos" en los artículos 76º al 78º, menciona: (i) Finalidad; (ii) Composición; y (iii) Informes.

En el Título IX, concerniente a ?Procedimientos de Amparo Informático" en los artículos 79º al 86º, relaciona: (i) Del procedimiento ante la Defensoría del Pueblo [29]; (ii) Presupuesto de Admisibilidad; (iii) Requisitos de admisibilidad; (iv) Mecanismos de defensa[30]; (v)Trámite; (vi) Recursos; (vii) Naturaleza de la actuación; y (viii) Remisión.

En el Título X, relativo al "Régimen de Responsabilidad" en los artículos 87º al 93º, menciona: (i) Personas responsables; (ii) Causales de responsabilidad; (iii) Del procedimiento para el pago de la indemni- indemnización; (iv) Criterios de dosimetría; (v) Sanciones; (vi) Renuencia; y (vii) Responsabilidad penal [31].

En el Título XI, referente al ?Movimiento Internacional de Datos" en el artículo 94 hace mención ?Suministro de Información fuera del país?.

En el Título XII, concerniente a "Otras Disposiciones" en los artículos 95º al 96º, hace mención a las apropiaciones presupuestales y a la vigencia y derogación El presente Proyecto de Ley Estatutaria de Hábeas Data de 2003, sigue siendo importante, como mínimo en los siguientes aspectos:

?Si el responsable fuere un servidor público, será sancionado además con pérdida o destitución del cargo o empleo público e inhabilidad para el ejercicio de funciones públicas hasta por cinco (5) años?. y la informática jurídica [32], como ningún otro proyecto sobre la materia lo había hecho antes.

  • En el Objetivo del proyecto de Ley se establece con claridad que la norma regularía todo lo atinente a la protección y defensa de los derechos y libertades fundamentales y en especial del derecho a la intimidad, el honor, el buen nombre de las personas y la libertad cuando sean sometidos a tratamiento informatizado o no de datos, las informaciones de la persona (humana y jurídica) cualquiera sea su tipo y naturaleza, salvo las excepciones previstas en la Constitución y la ley. No se hace énfasis en ningún tipo de dato personal.

  • Aunque se regulan demasiadas definiciones y principios aplicables al tratamiento de datos, el esclarecimiento de los fines y la mejor interpretación de la ley de Hábeas Data, mejora la propuesta de otros proyectos de ley precedente porque adecua unas y otros a las diferentes fases del tratamiento de datos: recolección, almacenamiento, registro, uso y ?circulación?, movimiento o comunicación.

  • Delimita con claridad conceptual los derechos, deberes y regímenes de responsabilidades de los sujetos intervinientes en todo tratamiento o procesamiento de datos de carácter público y privado.

  • Establece las condiciones de legalidad para la operación de bancos de datos, así como las condiciones de legalidad para el tratamiento de datos, que en concordancia con lo dicho en el literal anterior, constituyen el marco de legitimidad de los sujetos intervinientes y uno de los destinatarios más importantes del tratamiento de datos informatizados o no: los operadores de los bancos de datos. De esta forma engloba a cualquier operador público o privado de bancos de datos e incluye a las llamadas ?centrales de información? que hoy por hoy se abren camino en Colombia, con un poder que cada día es más poder que nunca, como lo es la información. Información como negocio altamente lucrativo.

  • En buena hora el proyecto delimita, estructura, organiza y operativiza los bancos de datos de titularidad pública y los de titularidad privada y establece los regímenes jurídicos excepcionales para unos y otros.

  • Establece como autoridades de control a la Defensoría del Pueblo, El Registro Nacional Público de Datos y el Consejo asesor de Informática y de protección de datos, para la protección de todo tratamiento informatizado o no de datos y los derechos y libertades constitucionales que pudieren verse eventualmente vulnerados por el procesamiento de datos ilegales, inexactos, incompletos, erróneos o no conformes al ordenamiento jurídico.

Aunque la estructuración de la Defensoría Nacional del Pueblo y sus dependencias mejora la propuesta por otros proyectos de ley que dejan en cabeza de la Superintendencia de Industria y Comercio, la protección del Hábeas Data, no se ve conveniente que el poder de vigilancia, control y sanción se centralice en la Defensoría Nacional, pues nada se dice respecto a la competencia de las defensorías del Pueblo Regional o Seccional, en asuntos de Bancos de Datos sectoriales Departamentales, Distritales y Municipales.

Estamos de Acuerdo que si no se quiere crear en Colombia, por razones presupuestales esencial y casi únicamente, una estructura estatal nueva, una especie de ?Ombudsman de protección de datos personales?, al estilo del derecho alemán o español, en nuestro país se debería aceptar la propuesta de la Defensoría del Pueblo con nuevas dependencias a nivel nacional y también en las regionales o seccionales de la Defensoría del Pueblo, para que constituyan autoridades competentes en la protección de datos cerca o en el territorio donde estos bancos de datos, usuarios o titulares de los datos funcionan, se domicilian o ejercen sus actividades y profesiones.

  • Estructurar el procedimiento del Hábeas Data administrativo en cabeza de la Defensoría del Pueblo, con base en la acción de ?amparo informático?, como alternativo del procedimiento jurisdiccional de Hábeas Data mediante acción de tutela, es conveniente, jurídico y propositivo. Sin embargo, si no se acepta nuestra proposición de descentralizar la jurisdicción y competencia de la Defensoría Nacional, el procedimiento administrativo no podría ser operativo y viable. Piénsese en un trámite procedimental de ?amparo informático? elevado por un ciudadano en un pequeño municipio de Colombia. De seguro éste acudirá a la acción de tutela ante cualquier Juez de la República que siempre estará más cerca de él que la Defensoría del Pueblo en Bogotá. La Acción de Tutela en estos casos siempre excluirá al amparo informático.

  • El Régimen de responsabilidad de usuarios, titulares de los datos y responsables de los bancos de datos públicos y privados, consideramos que es buena la proposición general, pero el desarrollo no está acorde con las actuales normas vigentes en materia de responsabilidad disciplinaria, fiscal, patrimonial e incluso penal. En cuanto a la responsabilidad, no es jurídico ni conveniente en Colombia, haber creado el tipo ?tratamiento ilegal de datos personales? (artículo 194 A), como lo hiciera en su momento también la Ley de Protección de datos Argentina de 2000, por dos razones fundamentales:

En primer término, se debe recordar los alcances y fines de las leyes Estatutarias previstas en los artículos 152 a 154, constitucionales.

En segundo lugar, el tipo penal creado ya existe, tal como pudimos comentarlo en un escrito especializado nuestro [33], al analizar los delitos contra la Intimidad previstos en los artículos 192 a 197 del Código Penal Colombiano de 2000. En efecto, al estudiar los tipos previstos en los artículos comentados pudimos doctrinalmente derivar los siguientes tipos: (i) De Violación ilícita de comunicaciones privadas o públicas (Aquí se incluye la fase de comunicación de datos); (ii) De Divulgación y empleo de ?documentos reservados? (la fase recolección, de almacenamiento, registro y uso de datos),; (iii) Acceso abusivo a un sistema informático (delitos de intrusión a sistemas, tratamiento de datos, bases, ficheros o bancos de datos. Fase de conocimiento y acceso de datos); (iv) De Utilización Ilícita de equipos transmisores o receptores (Delito Intrusivo en la fase de uso y comunicación de datos). Del compendio de estos propusimos en aquella oportunidad el delito de acceso, utilización y alteración de datos o informaciones de carácter particular o familiar registrados en documentos informáticos o de interceptación de datos personales electrónicos o telemáticos.

  • Es conveniente, jurídico y altamente beneficioso establecer las reglas generales y excepcionales del

?Movimiento Internacional de datos personales?, que garantizan que el Estado Colombiano protege a sus ciudadanos y habitantes contra toda circulación, comunicación o flujo internacional de datos que no se ajuste al ordenamiento jurídico vigente, a las normas, convenios y tratados internacionales y al régimen jurídico y técnico previsto en los Estados con los cuales se pretende intercambiar datos personales en los casos exceptivos.

4.4.1.2 Proyecto de Ley Estatutaria número 139 de 2004 [34]

El proyecto de Ley Estatutaria Número 139 de 2004, ?Por la cual se regula integralmente el derecho fundamental al hábeas data y demás libertades y derechos fundamentales de las personas en lo que respecta al tratamiento de sus datos personales a través de bases de datos públicas y privadas, y se dictan otras disposiciones?, conservó la estructura formal y de contenido del proyecto de Ley 64 de 2003. Por tal razón en el presente asunto veremos los aspectos puntuales que se eliminaron de éste último proyecto y cuáles se adicionaron, pues los comentarios ut supra realizados son válidos para el presente.

  • Se reestructura los Título I y II del proyecto de ley Estatutaria de 2003 y se fusiona en uno sólo con dos capítulos. El Capítulo Primero, destinado al ?Objetivo, ámbito de aplicación, definiciones y principios?, artículos 1º a 6º se menciona el objetivo, ámbito de aplicación, definiciones y principios en las mismas condiciones al proyecto de 2003.

En el artículo 3º numeral 1º referido a los ?Destinatarios de la Ley" se adiciona a las Centrales de Información que traten datos ?manuales o sistematizados, públicos o privados?. A partir de éste artículo las Centrales de Información pasan a regularse a la par de los Bancos de datos.

El Capítulo II, relacionado a los ?Derechos que protege esta ley" en el artículo 7º se incluye a los derechos de los menores. Se reestructura los ?Derechos y Garantías?, que estaban previstas en el Título IV del proyecto de 2003 y se los incluye en éste capítulo, así: (i) Derecho de acceso: Artículo 8º. Suministro de la información; (ii) Derecho de hábeas data: previstos en los artículos 9º a 15º, referidos al Alcance, Rectificación, Notificación a terceros, Actualización, Supresión, y Bloqueo.

  • Se reestructuran y refunden los Títulos III a VI del proyecto de 2003 en un solo Título, el Segundo del proyecto de 2004, denominado "De los Destinatarios de la Ley" artículos 21 a 42 y se crean cuatro Capítulos, así: (i) CAPITULO I: ?De los operadores de los bancos de datos o centrales de información"; (ii) CAPITULO II: ?De las fuentes de información"; (iii) CAPITULO III: ?De los usuarios"; (iv) CAPITULO IV: ?De los titulares de la información?. Según el artículo 42, relativo a los Derechos de los titulares de la información, se dice que éstos tendrán los los siguientes derechos: a) Frente a los operadores de los bancos de datos o centrales de información; b) Frente a las fuentes de información, y c) Frente a los usuarios de la información.

  • El Título III del proyecto de 2004, concerniente a ?Algunos Bancos de Datos Personales" se reestructura, se divide en dos secciones y cada una de ellas con sus capítulos así: Sección Primera: CAPITULO I, relativo a los ?Bancos de Datos de Naturaleza Pública" artículos 40º al 49º menciona los

siguientes aspectos: Bancos de datos de titularidad pública, Contenido de los actos normativos, de la supresión, Caducidad de la información [35], Proscripción de transmisión, intercomunicación o interconexión de datos [36], Comunicación de datos entre entidades del sector público. El término comunicación es utilizado como sinónimo de cesión de datos personales en el artículo 49 del proyecto [37].

El Capítulo II, relativo a los "Bancos de datos de suscriptores de servicio públicos domiciliarios" previsto en el artículo 50 [38].

El Capítulo III, relativo a los "Bancos de datos de la fuerza pública, Policía Judicial y organismos de seguridad del Estado? en los artículos 51º al 52º se menciona: la Sujeción al régimen general y el Banco de datos sobre antecedentes penales y seguridad nacional [39].

El Capitulo IV, relativo a los ?Bancos de datos de encuestas o investigaciones" los desarrolla en el artículo 54º[40]; CAPITULO V, concerniente al ?Banco de datos de Información sensible, desarrollado en el artículo 55º [41]; Capítulo VI, referente a los ?Bancos sobre la Salud" previsto en el artículo 56º [42]. Estos son los que en el proyecto de 2003, se clasificaban como ?Categorías especiales de datos?.

En la Sección 2, relativa a los "Bancos de datos de naturaleza privada" Esta Dividida en tres capítulos. En el Capítulo I, relativo a las ?Normas generales?, artículos 57º a 60º, relaciona lo siguiente: La Creación y ejercicio de la actividad, los Requisitos, La Autorización y registro, y la Prohibición de venta, cesión o transmisión de información [43].

En el Capítulo II, relativo a los "Bancos de datos con fines de publicidad y venta" [44] ; En el Capítulo III, referente a los "Bancos de datos financieros" [45] en los artículos 62º a 66º, relaciona:

(i) Bancos de datos comerciales o financieros; (ii) Comunicación al interesado; (iii) Pertinencia de los datos; (iv) Exclusión de fiadores; y (v) Término de permanencia de la información.

En el Título IV, relativo a los "Procedimientos", esta dividido en Capítulos, así: El Capítulo I, relativo a las ?Normas generales", en el artículo 67º menciona el Procedimiento para el ejercicio de los derechos. En el Capítulo II, referente al ?procedimiento de amparo informático? en los artículos 68º al 75º menciona: el procedimiento ante la Autoridad de Control [46], Presupuesto de admisibilidad, Requisitos de la solicitud, mecanismos de defensa, Trámite, Recurso, Naturaleza de la actuación, Remisión. Este título correspondía al Título IX del proyecto de 2003.

En el Título VI (que debía corresponder al V), referente a las "Sanciones" en los artículos 76º a 79º, menciona: Las Sanciones y criterios para su aplicación; Sanciones; Renuencia, y el Régimen personal. Este Título correspondía al Título X, sobre ?el régimen de Responsabilidad", que al reestructurarse la Autoridad de Control del Tratamiento de datos, se reformó las competencias, autoridades, procedimientos, acciones y sanciones.

En el Título VI, relativo a la "Autoridad de Control" en el artículo 81 menciona: La función de control, vigilancia e instrucción están en cabeza del Defensor del Pueblo, quien podrá delegar esa función. La potestad sancionatoria estará en cabeza de la Superintendencia que vigile la actividad de los destinatarios de esta ley.

En el Título VII, concerniente al "Registro Nacional Público de Bancos de Datos" en los artículos 82º a 84º, menciona la definición, El Registro Nacional Público de Bancos de Datos, y el rechazo de la solicitud.

En el Título VIII, relativo al "Consejo Asesor de Informática y protección de datos" en los artículos 85º a 87º, menciona la finalidad, la composición y los informes.

En el Título IX, relativo a las ?Disposiciones Finales?, en los artículos 88º a 90º estipula la Reglamentación las diversas normas sectoriales, escuchado el Consejo Asesor de Informática y protección de datos [47] por parte del Gobierno; también las disposiciones transitorias y las apropiaciones presupuestales.

En uno de los apartes de la Exposición de Motivos al proyecto de Ley Estatutaria de Hábeas Data de 2004, éste se justificaba en su presentación y reformas, porque: ?La Corte Constitucional ha puesto de presente que en una ley estatutaria, ?deberán incluirse únicamente aquellos aspectos que se relacionan con el ámbito intangible del derecho fundamental respectivo, esto es, su núcleo esencial? (C-373 de 1995, C-13/93, C- 088/94, C-311/94, C-313/94, C- 408/94 y C-425/94) ya que ?el propósito de las leyes estatutarias no es el de regular en forma exhaustiva la materia que constituye su objeto?, porque ?estas leyes están encargadas de desarrollar los textos constitucionales que reconocen y garantizan los derechos fundamentales, (…), pero no fueron creadas dentro del ordenamiento con el fin de regular en forma exhaustiva y casuística cualquier evento ligado a ellos? (C-670-2001, Junio 28)?.

El derecho fundamental que se regula en los proyectos de Ley Estatutaria de 2003 y 2004 es el derecho de Hábeas Data, previsto en el artículo 15 incisos 1º y 2º de la Constitución Política de 1991.

Agrega en otro aparte de la E.M., que ?de conformidad con lo anterior, las leyes estatutarias son para reglamentar los aspectos esenciales de los derechos fundamentales y no para desarrollar detalles no fundamentales o coyunturales de los mismos, pues de no ser así ?se corre el riesgo de entorpecer seriamente el desarrollo de la acción legislativa al convertir materias puntuales, relacionadas con derechos fundamentales, en objeto de leyes estatutarias? (Consejo de Estado. Sala Plena de lo Contencioso Administrativo. Fallo del 18 de enero de 2002).

El proyecto No. 139 de 2004, por tanto, ?regula el texto íntegro del artículo 15 referido al hábeas data sino que además desarrolla aspectos puntuales de dicho derecho y no únicamente con relación a la información comercial, regulando el núcleo esencial de esa materia respecto de cualquier tipo de información contenida en archivos o bases de datos de entidades públicas o privadas?.

Concluye sosteniendo, que ?en otras palabras y a manera de ejemplo, el actual proyecto no está enfocado para expedir una ley estatutaria sectorial sino general e integral?.

La Exposición de Motivos del proyecto de ley Estatutaria de 2004 [48], concluye así:

  • Utiliza adecuadamente la figura de la ley estatutaria para regular aspectos puntuales o coyunturales del hábeas data, abarcando la totalidad de su núcleo esencial.

  • Desarrolla los textos constitucionales (art. 15, C. P.) referidos al hábeas data, ampliando el campo de acción que la Carta Fundamental ha concedido a dicho derecho permitiendo su ejercicio no solo respecto de la información comercial o financiera, sino extensivo a otros tipos de información, ?PROSCRIBIENDO LA CONCEPCION GENERAL, ERRONEA Y ALEJADA DE LA REALIDAD AL ESTABLECER QUE EL DERECHO FUNDAMENTAL DEL HABEAS DATA ?NACE Y MUERE? CON EL DATO FINANCIERO?.

  • El proyecto se acerca a los estándares o principios internacionales que regulan el Data Protection y el hábeas data, exponiendo al país a que sea catalogado internacionalmente como un Estado que no protege adecuadamente la información de su ciudadanos, trayendo consecuencias graves, entre otras para el comercio internacional.

De igual forma, respetuosamente, sugerimos a la Comisión que en atención a lo dispuesto en la Sentencia T-729 del 5 de septiembre de 2002 de la Corte Constitucional el Congreso de la República tramite y apruebe un nuevo proyecto de ley estatutaria sobre las ?condiciones de ejercicio, principios, y mecanismos judiciales y administrativos de protección de los derechos fundamentales a la autodeterminación informática, hábeas data, intimidad, libertad e información, entre otros?. Este proyecto debe regular el núcleo esencial del hábeas data frente a todo tipo de información.

Por último, es recomendable seguir las pautas internacionales sobre la materia ya que el tema, al igual que el comercio electrónico y la internet, se ha convertido en un aspecto que traspasa nuestras fronteras y sobre el cual existe una tendencia de unificación internacional respecto de la materia. En cuanto a este último aspecto, el Congreso de la República ya ha tenido experiencias, particularmente la referida a la expedición de la Ley 527 de 1999 sobre el uso de mensaje de datos y el comercio electrónico, la cual fue el producto de un modelo de ley propuesto por la UNCITRAL de la Organización de las Naciones Unidas.

  • El Proyecto de Ley Estatutaria de Hábeas Data de 2005

En el año de 2005, se presentó el proyecto "Por el cual se dictan disposiciones para la protección de datos de carácter personal y se regula la actividad de recolección, tratamiento y circulación de los mismos", que en esencia conserva los contenidos, estructura y lineamientos institucionales de los proyectos de Ley Estatutaria de Hábeas Data de 2003 y 2004, muy a pesar de que en estos años, fueron diferentes las personas que ocuparon la Defensoría del Pueblo en Colombia. Sin embargo, reestructura algunas apartes que veremos a continuación y propone nuevas normas, instituciones y competencias. Este proyecto regula el núcleo esencial del Hábeas Data previsto en el artículo 15 inciso 1º y 2º de la Constitución de 1991, tal como se infiere de toda Ley Estatutaria.

  • Estructura del proyecto de Ley Estatutaria

En el Título I, relativo al "Objeto y ámbito de aplicación de la ley" en los artículos 1º al 4º, relata el objeto, el ámbito de aplicación y destinatarios de la ley. Estos siguen siendo los mismos del proyecto de 2004.

En el parágrafo del artículo 3º referido a los destinatarios de la ley, se adiciona y aclara que: ?La administración de la información que reposa en los registros y bancos de datos de las Cámaras de Comercio se regirá por las normas propias del Código de Comercio y demás regulaciones de orden mercantil pertinentes, sin perjuicio de las garantías que esta ley establece en lo que concierne a los datos de carácter estrictamente personal consignados en sus registros?.

Partes: 1, 2, 3, 4
 Página anterior Volver al principio del trabajoPágina siguiente