El hábeas data en algunos proyectos de ley estatutaria en el derecho colombiano (página 2)
Enviado por Libardo Orlando RIASCOS GOMEZ
De este estudio crítico, podremos sacar en claro si los variopintos proyectos de ley, de diversa iniciativa legislativa (Ministerial, Gubernamental, del Defensor del Pueblo, Mixta de Gobierno y Parlamento o estrictamente parlamentaria), han enfocado o no, total o parcialmente el tema del Hábeas Data y mejor aún, si hemos aprendido o no de los errores, de las normas énfasis en un tema parcial del Hábeas Data (solo aspectos financieros, como el caso de Uruguay) o los retardos legislativos para producir una Ley de Hábeas Data después de 10, 15 o 20 años de haber sido elevado a rango constitucional el Hábeas Data, por parte del Congreso o de la Asamblea Constituyente y darle el carácter de derecho fundamental o garantía constitucional (el caso Colombia desde 1991, Venezuela, Ecuador, Brasil), o instituir en la Constitución el derecho fundamental de protección de los datos contra los abusos del poder informático (caso España y Portugal). Retardo legislativo que como analizamos ut supra a España le acarreo diversas demandas de inconstitucionalidad de la LORTAD de 1992, que antes que otra cosa, prefirió sacar otra ley protectora de datos que corrigió la transposición comunitaria de las Directivas de 1995 y 1997 y se puso al día, con la LOPDP de 1999.
El Legislador colombiano frente a los proyectos de Ley sobre el Hábeas Data
En el Congreso de la República de Colombia, desde 1986 hasta 2007 se han presentado varios proyectos de ley que ha pretendido sin conseguirlo regular el derecho de Hábeas Data en forma parcial, o bien sólo referido a los datos personales de carácter público, o bien sólo regular las etapas o fases del tratamiento o procesamiento de datos personales, o bien regular el Hábeas Data con énfasis en los datos financieros: económicos, comerciales, tributarios, bursátiles o bancarios. Razón esta última que ha hecho curso en Colombia desde 1993 hasta la actualidad y es el fundamento dominante para expedir una Ley de protección de datos personales financieros o de Hábeas Data financiero.
Antes de la Constitución de 1991, se trató de reglamentar el Hábeas Data a través de un proyecto de Ley ordinaria que no pudo alcanzar ni siquiera el primer debate legislativo. A partir de la nueva Constitución se insistió en la reglamentación del Hábeas Data, a través de proyectos de ley ordinaria, unos ni siquiera alcanzaron el trámite de bienvenida legislativa y otro que sí tuvo desarrollo legislativo, en la etapa de control de constitucionalidad automático de proyectos de ley estatutaria realizado por la Corte Constitucional, no pasó el examen por vicios en el trámite y votación legislativa y así en 1995, Colombia volvió a quedarse sin una Ley de Hábeas Data. La Corte en aquella época no se detuvo a realizar un examen de fondo y contenido de la Ley, por lo que hasta el momento no se conoce el pensamiento jurídico de la Alta Corte en materia de regulación integral del Hábeas Data, aunque por supuesto, este derecho fundamental (artículo 15 Inc. 1º y 2º constitucional) en forma reiterada ha sido analizado, comentado y estructurado jurisprudencialmente a través de los fallos de tutela específica o de Hábeas Data en casos concretos y para personas específicas que hacen uso de la acción de tutela como garantía constitucional de otros derechos y libertades constitucionales (información, buen nombre, el honor, la intimidad, el de petición, entre otros) pero con relevancia en estos casos a los datos de carácter financiero.
La Corte Constitucional en varios de los pronunciamientos sobre el Hábeas Data de carácter financiero y particularmente en los de ámbito bancario, ha reclamado al Congreso de la República, como quienes tienen iniciativa legislativa sectorial (Procuraduría, Defensoría Pública, Contraloría, etc.), asumir con mayor ahínco la función legislativa de cara a reglamentar en forma integral el Hábeas Data en Colombia, pues nuestra Alta Corte parecería insinuar con éste argumento, que el Hábeas Data en nuestro país se esta construyendo jurisprudencialmente a retazos con cada pronunciamiento de tutela o de constitucionalidad, cuando eventualmente se ha pronunciado sobre la inexequibilidad de una norma que contiene alguna arista del Hábeas Data, tal como sucedió cuando declaró la inconstitucionalidad del artículo 19 de la Ley 716 de 2001, por regular mediante un ley ordinaria facultades o atributos del Hábeas Data financiero que a tenor del artículo 152, constitucional solo debía ser reglamentado por disposición de una ley Estatutaria y guardando la unidad de materia que en dicha ley no tenía [1].
Sin embargo, hemos destacado en la Parte Segunda y Tercera de la Obra, que la labor jurisprudencial de la Corte Constitucional respecto del Hábeas Data ha ido construyendo a retazos una gran colcha que permite hoy por hoy decantar con precisión la conceptualización del Hábeas Data como derecho fundamental y autónomo; unas facultades inherentes a éste, como son el conocimiento, acceso, actualización, rectificación y eliminación de los datos del concernido, cuando éstos son erróneos, inexactos, incompletos, ilegales o no conformes al ordenamiento jurídico vigente; igualmente, ha permitido deducir algunas fases del tratamiento de datos y los principios aplicados a éstas y ha posibilitado también precisar que es a través de la acción de tutela como se puede garantizar y proteger las facultades componentes del Hábeas Data, hasta cuando la ley no cree un instrumento jurídico específico de Hábeas Data. A esto se ha llegado tras cuatro etapas jurisprudenciales que bien las hemos delimitado anteriormente. Por eso, concluíamos en aquella parte, que en Colombia tenemos una Hábeas Data jurisprudencial de quince años de vida.
Este Hábeas Data jurisprudencial, a no dudarlo ha enriquecido los sendos proyectos de ley estatutaria y lo seguirá haciendo, una vez el Congreso de la República, expida finalmente la tan anhelada ley parcial de Hábeas Data con énfasis en el dato financiero. Entre tanto la invitación de la Corte Constitucional al Congreso y a las demás autoridades habilitadas para presentar proyectos de ley Estatutaria sobre Hábeas Data, en nuestro criterio para ser integral debería regular cuando menos sobre los siguientes aspectos: La protección inequívoca a todos los datos personales de carácter público y privado y no simplemente a los financieros; que se establezca unos principios rectores básicos aplicables a todas y cada una de las fases del tratamiento de datos y no unos principios inconexos o como rueda suelta en la ley; se regule expresamente los derechos, deberes y responsabilidades de los usuarios, los titulares de los datos, los responsables de administrar, dirigir o coordinar los bancos de datos o centrales de información; se categorice inequívocamente la titularidad de los bancos de datos públicos y privados y les de a unos y a otros regímenes jurídicos generales y excepcionales, según proceda; se establezca unas autoridades administrativas que vigilen y controlen las fases del tratamiento de datos y sobre todo la fase de la ?comunicación de datos?; y, finalmente que se establezca la jurisdicción y competencia de las autoridades administrativas y jurisdiccionales que deben cumplir y hacer cumplir con la acción, el recurso o la garantía del Hábeas Data, según proceda.
Por ahora, como nos constas por lo que anotaremos ut infra, los Miembros del Congreso de la República han sido receptivos al clamor de la Corte Constitucional y han presentado sendos proyectos de Ley Estatutaria de Hábeas Data que han iniciado el tracto legislativo, pero por falta de apoyo legislativo, por inoportunidad de la temática, por retiro voluntario del autor del proyecto de ley, por simples aspectos internos de quórum, por no logran hacer tránsito legislativo ni siquiera en las comisiones respectivas y mucho menos en las plenarias, o por el carrusel de impedimentos de los congresistas, al estar reportados en las centrales de información como deudores morosos y si se aprueba una eventual ley de Hábeas Data con énfasis en el dato financiero, resultarían beneficiados con la ley que ellos debaten y aprueban (Ley 5º de 1992).
Tras el pronunciamiento de la Corte Constitucional en la Sentencia C-008-1995 de 17 de Enero, sobre inexequibilidad ?en todas sus partes del proyecto de ley estatutaria número 12/93 Senado, 127/93 Cámara ?Por el cual se dictan algunas disposiciones sobre el ejercicio de la actividad de recolección, manejo, conservación y divulgación de información comercial? [2], es decir, por el cual se regulaba parcialmente el Hábeas Data con énfasis en el dato financiero, la iniciativa legislativa con sendos proyectos de Ley Estatutaria se intensificó al punto que es plausible enlistarlos y anunciar que estudiaremos algunos en las siguientes páginas.
Los proyectos de Ley Estatutaria de Hábeas Data en Colombia, a partir de aquel hito jurisprudencial, aumentaron considerablemente, aunque la propensión por regular con énfasis en el dato financiero público y privado ha sido un común denominador prevalente. Esos proyectos en orden cronológico son:
Proyecto de ley número 070 de 1997 Cámara, "por medio de la cual se protege la intimidad personal y el buen nombre frente a los sistemas de información y bancos de datos y se crea la comisión protectora de Bancos de Datos" (Gaceta del Congreso Nº 376 del 16 de septiembre de 1997);
Proyecto de Ley Estatutaria número 115 de 1997 Senado, "por el cual se protegen la intimidad, el hábeas data y el buen nombre mediante la regulación del tratamiento y uso de datos personales" (Gaceta del Congreso Nº 437 del 20 de octubre de 1997);
Proyecto de Ley Estatutaria número 52 de 2000 Senado, "por el cual se regula el ejercicio de los derechos al hábeas data, a la información y el tratamiento de información financiera y comercial contenida en las bases de datos" (Gaceta del Congreso Nº 317 del 10 de agosto de 2000;
Proyecto de Ley Estatutaria número 124 de 2001 Cámara, "por medio de la cual se reglamenta lo consagrado en el artículo 15 de la Constitución Nacional y se dictan otras disposiciones sobre la existencia y funcionamiento de los Bancos de Datos" (en la Gaceta del Congreso Nº 630 del 7 de diciembre de 2001 se publicó el informe de ponencia para el primer debate de dicho proyecto");
Proyecto de Ley Estatutaria número 201 de 2003 Cámara, 071 de 2002 Senado, "por la cual se regula el derecho de acceso a la información de interés público, en particular la de carácter comercial, financiero, la que tiene que ver con el cumplimiento de obligaciones fiscales y parafiscales y con el pago de servicios públicos domiciliarios, y se dictan otras disposiciones", que no se convirtió en ley de la República por falta de trámite;
Proyecto de Ley Estatutaria número 074 de 2003 Cámara, 064 de 2003 Senado, "por la cual se regula integralmente el derecho fundamental al hábeas data y demás libertades y derechos fundamentales de las personas en lo que respecta al tratamiento de sus datos personales a través de bases de datos públicas y privadas, y se dictan otras disposiciones", que no se convirtió en ley de la República por falta de trámite;
Proyecto de Ley Estatutaria número 143 de 2003 Senado, "por la cual se dictan disposiciones para la protección de datos personales y se regula la actividad de recolección, tratamiento y circulación de los mismos", el cual tampoco se convirtió en ley por cuanto fue archivado en sesión plenaria del Senado el 9 de junio de 2004;
Proyecto de Ley Estatutaria número 139 de 2004 Cámara, "por la cual se regula integralmente el derecho fundamental al hábeas data y demás libertades y derechos fundamentales de las personas en lo que respecta al tratamiento de sus datos personales a través de bases de datos públicas y privadas, y se dictan otras disposiciones", que no tuvo debate en la Comisión Primera de la Cámara al ser retirado por su autor en sesión del 31 de mayo del corriente año.
Proyecto de Ley Estatutaria No. 071 de 2005, Cámara, ?Por el cual se dictan las disposiciones generales del Hábeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera y crediticia, y se dictan otras disposiciones?.
Proyecto de Ley Estatutaria de 2005, ?Por el cual se dictan disposiciones para la protección de datos de carácter personal y se regula la actividad de recolección, tratamiento y circulación de datos?.
Proyecto de Ley Estatutaria No. 27 de 2006, Senado, acumulado con el proyecto de Ley No. 05 de 2006, Senado, ?Por el cual se dictan las disposiciones generales del Hábeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial y de servicios y se dictan otras disposiciones?. Texto aprobado por la Comisión Primera del Honorable Senado de la República.
Proyecto de Ley Estatutaria No. 221/2007 Cámara, No. 027 Acumulado con el No. 05/2006, Senado, ?Por el cual se dictan las disposiciones Generales del Hábeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial, la financiera, crediticia y comercial de servicios y se dictan otras disposiciones?. Texto aprobado en la Comisión Primera de la Cámara de Representantes, el día 8 de Mayo de 2007, según consta en el Acta No. 33 de esa misma fecha.
Como se observa en materia de Hábeas Data en Colombia, la labor del Congreso de la República ha sido reiterada al menos en la iniciativa legislativa por parte de los parlamentarios, por derecho propio, así como por los miembros del Gobierno Nacional y especialmente el Ministerio de Hacienda y Crédito Público y por el Defensor del Pueblo, en razón no sólo del llamado de atención hecho por la Corte Constitucional para presentar proyectos de ley Estatutaria del Hábeas Data, al considerarse éste como un derecho fundamental (artículos 15º, incisos 1º y 2º y artículo 152º, constitucionales), sino porque así lo determina la Constitución en los artículos 152, 154, 156 y 282-6º ibídem, al darles iniciativa legislativa a para todos aquellos organismos e instituciones no legislativas que hacen parte del Estado.
Ante el volumen y cantidad de los proyectos de ley Estatutaria sobre el Hábeas Data en Colombia, para efectos de la presente obra, analizaremos algunos proyectos de iniciativa legislativa parlamentaria, gubernamental y de los presentados por la Defensoría del Pueblo. Todo ello, a fin de profundizar y exaltar la labor de iniciativa legislativa realizada por tan diversos actores, pues a nuestro juicio, los proyectos de ley que no lograron hacer tránsito legislativo y se quedaron en diferentes momentos y etapas procesales y que tienen contenidos coherentes y con unidad temática y trataron de resolver puntos concretos de derecho, jurídicamente constituyen doctrina jurídica especializada realizada por el intérprete auténtica de la ley: El Congreso de la República [3]. Y en tal virtud, dignos de ser estudiados y analizados, tal como aquí lo haremos.
Entre el año de 2002 y 2003, se presentaron varios proyectos de Ley Estatutaria reglamentaria del Hábeas Data volviendo a hacer énfasis en los datos personales informatizados o no de carácter económico, comercial y bancario como lo hicieran los primeros proyectos de Hábeas Data con carácter post constitucional a 1991 (Proyectos No. 12/93 Senado y No.127/93 Cámara), pues curiosamente en nuestro país, el derecho y garantía constitucional del Hábeas Data, previsto en los incisos 1º y 2º del artículo 15 constitucional, parecería existir y tener mayor preponderancia en el ámbito financiero más privado que público; o bien parecería tener mayor relevancia el dato fiscal, parafiscal o tarifario de servicios públicos, que regular la protección del tratamiento de datos de la persona humana en todas sus aristas generales o sensibles con las correspondientes excepciones y limitantes existentes en el ordenamiento jurídico vigente.
La historia legislativa sur y centro americana cuando de la reglamentación del derecho y garantía constitucional del Hábeas Data se trata, ha mostrado la propensión a reglamentarlo haciendo énfasis en el dato financiero, fiscal o tributario, más que en cualquier otra arista del dato personal. Así se demuestra en los variopintos proyectos de ley orgánica o especial que en su momento los Estados de Argentina, Perú, Chile, Uruguay, Paraguay, excepto el Brasil cuya motivación e inspiración constitucional del Hábeas Data hunde sus raíces en el Constitucionalismo Portugués y en el ámbito de la seguridad e información ciudadana, los secretos de Estado y las actividades desbordantes, por decirlo menos, de la policía política [4].
Varios de los países suramericanos, soportaron una especie de resistencia a legislar prontamente el Hábeas Data, basados quizá en el trasfondo del mismo objeto de la reglamentación legislativa, es decir, el querer reglamentar el Hábeas Data como institución jurídica general, con relevancia exclusiva y casi excluyente de los demás datos personales, públicos y privados como no era lógico esperarse, pues se pretendía la reglamentación general e integral del Hábeas Data, para que sirva de instrumento de defensa de un conjunto de derechos fundamentales como la Intimidad, el buen nombre, la imagen, el honor, la honra, el derecho de petición, el de información e incluso el mismo conjunto de derechos integrantes del Hábeas Data (Acceso y procesamiento: almacenamiento, registro, eliminación y sustitución, rectificación y comunicación de la información personal) y no para una especie de datos personales, como los financieros, económicos o tributarios, que aunque esenciales en la vida de los Estados, no la única que prueba la existencia, eficacia y razón de ser de los mismos.
El Estado Argentino, por ejemplo, logró finalmente reglamentar el Hábeas Data, cuando abandonó esta especie de técnica legislativa excluyente de los datos personales y siguió a raja tabla el ejemplo legislativo de España, al retomar la estructura y contenido mayoritario de la LORTAD o ?Ley Orgánica de Tratamiento automatizado de los datos personales", L.0. 5 de 1992, Octubre 29, para reglamentar genéricamente los datos personales públicos y privados y de cualquier especie y no solamente la económica o financiera. El Estado Argentino produjo una Ley específica protectora del Hábeas Data en Suramérica al expedir la Ley 25326 de Octubre 4 de 2000 o ?Ley de Protección de los Datos Personales?. Otros Estados suramericanos han tomado como prototipo de sus leyes de Hábeas Data, las normas protectoras de datos personales de corte anglosajón especialmente las normas Inglesas y australianas de ?Data protection Act?.
Colombia en sus proyectos reglamentarios del Hábeas Data, excepción hecha de la iniciativa legislativa de la Defensoría del Pueblo que sigue el modelo europeo como veremos más adelante, los demás proyectos no han seguido ni el modelo ibérico ni el modelo anglosajón. Los autores de los proyectos han preferido construir una norma sui generis de protección de datos personales de carácter público o de carácter privado con énfasis en el dato financiero. Esta técnica legislativa de entrada puede ser un error a los efectos de la compatibilización, internacionalización y equivalencia de instrumentos jurídicos administrativos y jurisdiccionales relativas al Hábeas Data o a las leyes protectoras de los datos personales públicos y privados actualmente existentes en el mundo, pues probablemente no halle instituciones jurídicas homologables técnica y jurídicamente. Cítese al efecto, el caso del ?movimiento internacional de datos?, ?flujo de datos? o ?comunicación de datos? que es normal y corriente en las Leyes de protección de los datos europeas y anglosajonas. Si esto no se reglamenta en nuestra Ley de Hábeas Data, será difícil o casi imposible homologar normativamente una de las fases más sensibles del tratamiento de datos que lleva aparejado la protección o vulneración, según el caso de derechos y libertades constitucionales de la persona, si no se hace uso debido, legal o compatible entre Estados, personas jurídicas o personas naturales encargadas de bases de datos, ficheros o bancos de datos públicos, privados o mixtos.
3.1. Proyecto de Ley Estatutaria de Hábeas Data de origen Parlamentario El proyecto de Ley Estatutaria número 071 de 2002 del Senado de la República, el cual fue acumulado al proyecto número S075 de 2002, de 6 de Septiembre, cuya iniciativa legislativa la tuvo el Ministerio de Hacienda y Crédito público de aquella época: el primero, relativo a reglamentación de los ?Bancos de datos financieros o de solvencia patrimonial y crediticia ? [ 4 ]; y segundo, referente al ?ejercicio del derecho al acceso a la información financiera y comercial, así como la relacionada con el cumplimiento e incumplimiento de obligaciones fiscales, parafiscales, de servicios públicos domiciliarios y cualquiera otra que tenga utilidad pública, y se regula la actividad de administración y uso de tal información la misma? [ 5 ] .
Estos proyectos a su vez, tienen su antecedente en los proyectos de ley ordinaria de Hábeas Data, tales como el Proyecto No.12 de 1993 del Senado de la República y el Proyecto No. 127 de 1993 de la Cámara de Representantes, los cuales regulaban algunas fases o etapas del procedimiento informatizado de dato económicos, comerciales o bancarios, al tratar la ?actividad de recolección, manejo, conservación y divulgación de la información comercial? en lo relacionado a la ?legitimidad y funcionamiento de las bases de datos? y algunas características y principios del derecho fundamental del Hábeas: calidad, responsabilidad, fuentes, exactitud, registro, eliminación, suministro y circulación de la información de entidades financieras y bancarias de carácter privado. Dichos proyectos fueron declarados inexequibles por la Corte Constitucional Colombiana, mediante Sentencia C-008 de 17 de Enero de 1995, por defectos de forma en la tramitación legislativa respectiva tal como lo comentamos oportunamente, en otro de nuestros trabajos sobre el particular [ 6 ]. En su momento la Corte sostuvo, lo siguiente: "Se trata de un vicio insubsanable por cuanto, según mandato el artículo 153 de la Constitución, la aprobación, modificación o derogación de las leyes estatutarias deberá efectuarse dentro de una sola legislatura, siendo evidente que, al momento de proferir este fallo, el término constitucional dado al Congreso se encuentra ampliamente vencido, pues la legislatura de que se trata concluyó el 20 de Junio de 1994, según las voces del artículo 138 de la Constitución Política?.
El primer proyecto, es decir, el No.071 de 2002, tiene origen parlamentario (Senador Rubén Darío Quintero Villada y el Representante a la Cámara Manuel Darío Ávila Peralta) y regulaba el Hábeas Data Financiero, en un corto pero sustancioso articulado referido a la protección ?integral? –decía, sin serlo— de los datos personales ?asentados en archivos, registros, bancos de datos u otros medios técnicos de tratamiento de datos, sean éstos públicos o privados, destinados a dar informes para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad con lo establecido en el artículo 21 de la Constitución Política".
El proyecto pretendía dicha garantía, protección y control con mecanismos netamente administrativos y cuasi-jurisdiccionales algunas otras, por excepción y arbitrados por la Superintendencia Bancaria. Con lo cual hacía ver que la esencia de la protección de datos estaba dirigido al dato financiero y especialmente bancario y no a ninguno otro de carácter personal.
3.1.1. Estructura normativa del Proyecto de Ley No. 071 de 2002 El proyecto tenia una estructuración normativa simple y contenía 10 artículos, y se intitulaba así: ?Por el cual se reglamentan los bancos de datos financieros o de solvencia patrimonial y crediticia y se dictan otras disposiciones?
El proyecto en los artículos se refería a los siguientes temas:
El objeto de la ley, según el artículo 1º era ?la protección integral de los datos asentados en archivos, registros, bancos de datos u otros medios técnicos de tratamiento de datos, sean éstos públicos o privados, destinados a dar informes para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad con lo establecido en el artículo 21 de la Constitución Política" En el artículo 2º se suministraban las siguientes definiciones: (i) Datos personales; (ii) Titular de los datos; (iii) Usuario de datos; (iv) Almacenamiento de datos; (v) Banco de datos; (vi) Responsable del Registro o banco de datos; (vi) Modificación de datos.
En el artículo 3º se hacía referencia a los ?trabajadores de los bancos de datos? y dentro de ésta ajenidad se regulaba uno de los principios capitales del tratamiento de datos, cual es, el ?deber de secreto? o ?sigilo profesional?. Aquí la técnica legislativa empleada no es correcta.
En el artículo 4º se regulaba el ?Derecho a la Información?, como derecho de toda persona a ?exigir a quien sea responsable de un banco información sobre los datos relativos a su persona?. Si los datos ?son erróneos, inexactos, equívocos o incompletos tendrá derecho a que modifiquen podrán exigir además que se eliminen, en caso de que su almacenamiento carezca de fundamento legal o cuando éstos hubieren caducado?.
En el artículo 5º, relativo al "Derecho de Acceso". El titular de los datos tiene derecho a información de sus datos públicos o privados. Si en diez días no contesta el responsable del banco de datos, el titular puede ejercer la ?acción de protección de los datos o de habeas datas (sic)?.
En el artículo 6º, referente a las "excepciones". Establece las excepciones al derecho de acceso a los datos públicos, así: (i) cuando medie la defensa de la Nación, el orden y la seguridad púbicas, o de la protección de los derechos e intereses de terceros; (ii) Cuando se obstaculicen investigaciones tributarias o previsionales, sobre control de salud y medio ambiente, investigación de delitos y la verificación de infracciones administrativas. Salvo en el caso que el interesado tenga que ejercer su derecho de defensa.
En el artículo 7º, concerniente a "los bancos de datos financieros o de solvencia patrimonial o crediticia". Establecía la regla general de que cualquier tratamiento de datos sobre estas materias se hará de fuentes accesibles al público o por consentimiento ?libre, expreso, informado y escrito del titular". En el artículo 8º, sin titulación, reglamentaba el derecho de toda persona a exigir ?un alivio consistente en la caducidad inmediata de la información negativa? cuando se verifique el pago de una obligación en forma voluntaria, judicial o extrajudicialmente. Se autoriza al Defensor del Pueblo para vigilar el cumplimiento de éste derecho.
En el artículo 9º, relativo a la ?Eliminación o cancelación de datos" regulaba el derecho de toda persona a solicitar la eliminación o cancelación de datos almacenados sin fundamento legal o cuando la obligación haya cesado, sin necesidad de requerimiento del titular.
3.1.1.1. Breves comentarios al proyecto de Ley Sea lo primero observar que los autores de este proyecto tenían la loable labor de regular una institución jurídica universal y asumieron el reto. Sin embargo, del contenido del proyecto se puede deducir graves como protuberantes fallas en la reglamentación de la misma. El desorden y falta de unidad temática se observa a simple vista, pues entre los derechos que tiene toda persona en el tratamiento de los datos, como son el conocimiento y acceso a la información; el de una vez conocida la información y comprobada que esta no es clara, veraz, exacta, lícita, nace para el titular los derechos de rectificación, actualización y eliminación de los mismos, en vía administrativa y ante los responsables de los bancos de datos, sean públicos o privados, a través de mecanismos jurídicos que ya existen en Colombia, como son el derecho de petición en interés particular, en interés general, de petición de informaciones o petición de consultas (artículos 5 y ss., del C.C.A y Ley 57 de 1985, entre otros). Si establecido temporalmente que no se cumple los pedimentos del titular de los datos por parte del responsable del banco de datos, consecuentemente nace el derecho de Hábeas Data jurisdiccional, que en el proyecto no lo aclara ni especifica ante quien se debe solicitar la ?acción de protección de datos o de habeas datas?, como si lo hacen las leyes universales sobre el tema.
Los derechos de los titulares de los datos están regulados inconexamente en diferentes normas que no parecen pertenecieran al mismo texto normativo.
En forma puntual sobre el proyecto digamos lo siguiente:
El Objeto del proyecto de ley está totalmente desfasado, pues los derechos al honor, la intimidad y la honra, no solo pueden ser amenazados o vulnerados con datos ?asentados? en bancos de datos ?u otros medios técnicos?, sino también con medios tradicionales, escriturarios, mecánicos o manuales (documentos, archivos, registros manuales). No sólo a través de medios informáticos, electrónicos o telemáticos se quebranta o vulnera los derechos y libertades fundamentales de la persona, sino también con medios tradicionales. Cierto es que a partir del surgimiento de la informática y todo el poder que ella genera, brotaron como surtidor, las leyes garantistas de derechos de la persona humana en la década de los setenta en Alemania y Suiza, pero eso no significa que se pueda atentar o vulnerar los derechos de la personalidad
(Intimidad, honor, honra, buena imagen, reputación, la voz, identidad, etc.) con medios o mecanismos tradicionales o escritos [7].
El proyecto relaciona unas definiciones de términos utilizados exclusivamente en el tratamiento automatizado o no de datos personales, pero que por la cortedad de la norma no parecen útiles ni necesarios. Si bien esta técnica legislativa de definiciones en las leyes de protección de datos o de Hábeas Data, se generalizó en todo el mundo, tras imponerlo el legislador alemán al expedir la primera ley de protección de datos en Europa en la década de los años setenta; no habrá de olvidarse que este glosario de términos se emplea con carácter no simplemente pedagógico de la ley, sino para ser utilizado en forma inequívoca por el operador jurídico o el lector de la norma y para ser aplicado a los casos concretos en forma unívoca, libre de vaivenes interpretativos o entendimientos difusos. El presente proyecto de ley no parece perseguir ninguno de estos propósitos en tan limitada norma textualmente hablando.
La falta de técnica legislativa prevista en el artículo 3º es apenas evidente. No se puede regular lo principal, que es el principio universal de todo tratamiento de datos denominado del ?deber de secreto? o?sigilo profesional?, como apéndice de la labor que deben desempeñar quienes eventualmente trabajarían como ?responsables del tratamiento de datos?. Aquí lo principal no puede seguir la suerte de lo accesorio.
En el artículo 5º del proyecto se regulaba tres de los cuatro derechos de los titulares de los datos personales, o dicho de otro modo, el conjunto de algunas facultades que tiene el titular del derecho de Hábeas data propio o directo, como son: 1) Derecho de Acceso a la información; 2) Derecho de solicitud y obtención de datos personales incluidos en bancos de datos públicos y privados, 3) Derecho a obtener información veraz, oportuna (en el término de 10 días a la solicitud), gratuita y en forma eficiente por el responsable del banco de datos o por la fuente de información que la tenga; y, 4) El derecho a la eliminación o cancelación de datos, cuando su almacenamiento ?carezca de fundamento legal o cuando la obligación haya cesado. El responsable del banco de datos personales procederá a la eliminación o cancelación de los datos, sin necesidad de requerimiento del titular?. Éste último derecho componente del derecho de Hábeas Data, se regulaba en forma inconexa en el artículo 9 del proyecto, significando con ello, que los demás componentes del Hábeas Data respecto de la eliminación o cancelación de datos hacían parte de éste, pero no la supresión, bloqueo o borrado electrónico de datos personales de las bases o ficheros de datos correspondiente.
Así mismo, en el artículo 6 del proyecto, se establecía las excepciones para denegar el acceso a la información por parte de los responsables o usuarios de bancos de datos públicos, los cuales mediante ?decisión fundada? podía hacerlo, cuando se presentaba el caso de ?defensa Nacional, de orden y seguridad públicos, o de la protección de los derechos e intereses de tercero?. También se podían denegar la información requerida, cuando pudieran ?obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de investigaciones tributarias o previsionales, el desarrollo de funciones de control de la salud y del medio ambiente, la investigación de delitos y la verificación de infracciones administrativas. La resolución que así lo disponga debe ser fundada y notificada al afectado"; salvo el caso que el interesado en la información requiera dichos datos para ejercer su derecho constitucional a la defensa en los procesos judiciales penales o administrativos disciplinarios o tributarios.
Se establecía como elemento prioritario en el acceso y tratamiento de la información en forma automatizada o no, el consentimiento del titular de los datos, siguiendo para ello las pautas dadas por las leyes de protección de datos europeas, como la Española de 1992, LORTAD o la LPDP de 1999, nueva LORTAD. En efecto, el proyecto hacía énfasis del consentimiento del titular de la información cuando se trataba del acceso y el tratamiento de la información índole ?financiera o de solvencia patrimonial y crediticia?, según el artículo 7 del proyecto, significando con ello que el consentimiento de las personas para otra clase de datos personales no debería ser solicitado tanto en el tratamiento de datos privados o públicos.
Se le arrogaba a la Superintendencia Bancaria como organismo gubernamental de control y sanción de las entidades financieras y bancarias colombianas, la facultad de regular una tarifa que debería cobrar al titular de la información cuando éste requería su propia información para fines bancarios o de índole personal. Esto se observó en su momento como una forma de restringir y casi eliminar el derecho fundamental de petición de informaciones previsto en la Constitución de 1991 en el artículo 23 y ampliamente reglamentado en el Código Contencioso Administrativo, artículos 5 y siguientes, así como en la ley 57 de 1985.
En el artículo 8 del proyecto se regulaba el tema de la ?Caducidad del dato?, el cual devenía al cabo de un año de producida la ?información negativa? y sin ?importar el monto de la obligación e independientemente de si el pago se produce judicial o extrajudicialmente?. Se le otorgaba facultades excepcionales al Defensor del Pueblo para que vigilara la aplicabilidad de esta norma. Hoy por hoy, el tema de la caducidad del dato, es un tema de amplia controversia por que se estima que el manejo de la información negativa o positiva en el sector financiero es más un elemento de estrategia, riesgo y funcionalidad del sector más que una restricción o eliminación del derecho fundamental a la información, por ello se estilan términos amplios en el caso de la información negativa (5, 7, 9 y 11 años) y términos cortos de utilidad y beneficio de la información positiva. En todo caso, quizá donde más tinta ha regado la jurisprudencia de la Corte Constitucional Colombiana es en el límite, restricción o eliminación del núcleo esencial de los derechos fundamentales de la información, la intimidad o del Hábeas Data, cuando sobreviene el desconocimiento o quebrantamiento de los términos para que se produzca la caducidad del dato personal negativo.
El Proyecto de Ley Estatutaria S075 de 2002
El proyecto se intitulaba: ?por el cual se desarrolla el derecho al acceso a la información financiera y comercial, así como la relacionada con el cumplimiento e incumplimiento de obligaciones fiscales, parafiscales, de servicios públicos domiciliarios y cualquiera otra que tenga utilidad pública, y se regula la actividad de administración y uso de tal información?
Estructura del proyecto de Ley
El proyecto de ley Estatutaria del Senado de la República No. 075 de 2002, estructuralmente hablando mejora su presentación, pues contiene Títulos, Capítulos, artículos y titulación a los mismos, lo cual de entrada proporciona una mejor técnica legislativa a la utilizada por el proyecto adicionado.
El proyecto estructuralmente contenía:
El Título I, Capítulo único, relativo al ?Objeto, ámbito de aplicación, definiciones y principios?, en los artículos 1º a 4º, relaciona el Objeto de la ley, inequívocamente financiero, pues regula el derecho de acceso a la información comercial privada y la tributaria del Estado inmerso en el tratamiento de datos personales.
Precisa a los sujetos destinatarios de la ley, así: (i) los operadores de los bancos de datos o centrales de información; (ii) las fuentes de información; (iii) Los usuarios; y (iv) los titulares de la información.
En un extenso glosario de términos define: (i) Administración de los bancos o centrales de información; (ii) Acceso a la información; (iii) Bancos de datos o Centrales de información; (iv) Exclusión de los registros o datos; (v) Fuente de Información; (vi) Información histórica negativas; (vii) Información registrable; (viii) Información incorrecta; (ix) Operador de los bancos de datos o centrales de información; (x) Órgano de control; (xi) Recolección de información; (xii) suministro de la información; (xiii) Titular de la información; (xiv) Uso de la información; y, (xv) Usuario.
Además se incluyen en este catálogo, una relación de términos que según aparece en el archivo bajado de la internet [ 8 ], están tachadas o ?eliminadas, por la Superintendencia bancaria el 25 de Febrero de 2002. Esos son: (i) Información falsa; (ii) Información inexacta; (iii) Información incompleta; (iv) fuente de información; (v) Operador de los bancos de datos; (vi) Recolección de la Información; (vii) Suministro de la información; y, (viii) Usuario.
Como principios del tratamiento de datos, relaciona los siguientes: (i) Calidad de los registros o datos; (ii) confidencialidad; (iii) consentimiento; (iv) Respeto al buen nombre; (v) Garantía al acceso a la información; (vi) Limitación en materia de recolección y suministro de registros o de datos; (vii) permanencia de la información; (viii) propiedad de la información; (ix) Seguridad; y (x) Utilidad pública de la información.
El Titulo II, relativo a los "Destinatarios de la ley", dividido en cuatro capítulos. El Capítulo Primero, relativo a ?Los operadores de datos o Centrales de Información" en los artículos 5º a relacionan la naturaleza jurídica, las funciones de recolección de datos, las condiciones para hacerlo, contenido de la autorización, suministro de la información dentro y fuera del país, deberes de los operadores de los bancos de datos o las centrales de información, derechos, responsabilidad de los operadores de datos o centrales de información, y responsabilidad de los administradores de los operadores de datos y las centrales de información.
En el Capítulo II, concerniente a las "Fuentes de información", relaciona en los artículos 14º a 15º, la responsabilidad y deberes de las fuentes de información; el suministro y tratamiento de datos por organismos públicos.
En el Capítulo III, relativo a "los Usuarios" en el artículo 16º a 19º, menciona la responsabilidad y deberes de los usuarios.
En el Capítulo IV, referente a los ?Titulares de la información" en el artículo 20º relaciona los derechos del titular de la información.
En el Título III, concerniente a "la permanencia de la información" en el artículo 21º, relaciona los no menos controvertidos aspectos de la permanencia de la información (caducidad).
En el Título IV, relativo a los "Procedimientos" en el artículo 22º, menciona, el Procedimiento para el ejercicio de los derechos consagrados en esta ley.
En el Título V, relativo al "Régimen Sancionatorio" en el artículo 23º a 25º, menciona las sanciones y los criterios para su aplicación, régimen personal, y régimen institucional.
En el Título VI, referente al "Control y Vigilancia" en el artículo 26º, describe la vigilancia y control ejercido por el organismo de protección a los derechos del consumidor En el Título VII, concerniente a las "Disposiciones Generales" en los artículos 27º a 29º, menciona el régimen de transición, ejercicio ilegal y vigencia y derogatoria.
Breve análisis del proyecto de Ley Estatutaria de Hábeas Data SO75
El proyecto de ley SO75 de 2002, fue adicionado al proyecto de Ley Estatutaria 201 de 2003 de la Cámara, pero en esencia los temas tratados en el proyecto inicial se mantuvieron. Haremos los comentarios respectivos cuando se evidencia cambios al proyecto de 2002.
El Objeto del proyecto de Ley Estatutaria
El proyecto de 2003, retocó el intitulado del proyecto, que a la vez constituye el objeto del proyecto de Ley Estatutaria, por estar transcrito luego en el artículo 1º. Esto quedó así: ?desarrollar el derecho a acceder a la información de interés público, en particular la de carácter comercial y financiera, así como aquella relacionada con el cumplimiento e incumplimiento de las obligaciones fiscales, parafiscales, de servicios públicos domiciliarios, recolectada en bancos de datos o centrales de información. Para tal fin, se regula el ejercicio de la actividad de recolección, almacenamiento, procesamiento, suministro y uso de tal información". Los retoques consistieron en adicionar al principio del intitulado del proyecto, término de ?interés público? y al final adicionar del mismo, la frase: ?se regula el ejercicio de la actividad de recolección, almacenamiento, procesamiento, suministro y uso de tal información". Frase que ya estaba prevista en el artículo 1º del proyecto de ley estatutaria de 2002.
El Objeto del proyecto de Ley Estatutaria de 2002, siguió siendo el mismo en esencia, es decir que el Estado Colombiano, a través del Congreso reglamentaba el artículo 15, Inciso 1º y 2º de la Constitución referente al derecho y garantía fundamental del Hábeas Data con énfasis en el dato financiero público y privado, como también reglamentar las fases del tratamiento o procesamiento de los datos personales desde la recolección, el almacenamiento, el procesamiento propiamente dicho, el suministro y el uso de la Información. Pero además, según los ponentes del proyecto de Ley Estatutaria No. 201 de 2003 [ 9 ], también el derecho de acceso a la información de interés público. Aunque ellos mismos aclaran que el derecho de acceso a la información pública, previsto en la Constitución en el artículo 74, ya estaba reglamentado con carácter preconstitucional en la Ley 57 de 1985 o ?Estatuto de la Información?, el cual entre otros aspectos, limita el acceso a los datos reservados en el artículo 15; pero no aclaran si la ley existe quedaría derogada tácitamente o no respecto en los demás aspectos.
Al respecto consideramos que el derecho de acceso a toda clase de información pública o privada, salvo la reservada, limitada o la perteneciente a los ?datos sensibles? de la persona al estar regulado en la Ley 57 de 1985 en forma general, debería haberse entendido en su momento que el proyecto de Ley Estatutaria, reglamentaba ese mismo derecho con carácter especial y en lo no previsto en aquella. Las nuevas facetas de reglamentación de ese derecho de acceso en el proyecto de Ley Estatutaria irían dirigidas a la estructuración del tratamiento o procesamiento de datos de la persona y al ejercicio de una de las facultades del Hábeas Data, cual es el acceso y conocimiento de la información por toda persona concernida con ésta.
El Hábeas Data previsto en el artículo 15 de la Constitución de 1991, estipula que "todas las personas (…), tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas." Y agrega el inciso 2º: "En la recolección, tratamiento y circulación de datos se respetarán la libertad y las demás garantías consagradas en la Constitución". Los proyectos de Ley Estatutaria de 2002 y 2003, reglamentaron parcialmente el artículo 15º en lo referido a los derechos a tomar conocimiento, actualización y rectificación de las informaciones de interés público o colectivo, así como las informaciones privadas que se hayan recabado en bancos de datos o archivos mecánicos, manuales o escritos de entidades públicas y privadas.
Es parcial, en cuanto al acceso de la información pública o de interés colectivo, pues sólo queda en el intitulado del proyecto de ley Estatutaria ya que en el cuerpo normativo la información financiera y comercial privada ocupan un sitial importante y mayoritario, tal como lo confirmaba en su momento el profesor Remolina Angarita [10]. Además como hemos sostenido, la Ley 57 de 1985 como norma general del acceso a la información pública ha reglamentado el derecho a la información pública. Por su parte el Código Contencioso Administrativo (C.C.A.), ha reglamentado el derecho de petición previsto en el artículo 23, constitucional, para acceder a la información pública como privada en todos aquellos casos que esta permitido por la Constitución y la ley. Así mismo existen otras instituciones jurídico-procesales ejercitables en vía administrativa como los recursos administrativos de reposición, apelación y queja (artículos 49 y ss., del C.C.A.) y el recurso extraordinario de revocatoria directa de actos o decisiones administrativos (artículo 69 y ss., del C.C.A.), que permiten el ejercicio a tomar conocimiento y acceso a información que le concierna a una persona e incluso a solicitar su actualización, modificación, revisión o finalmente revocación (eliminación o supresión) de la misma.
Los proyectos de Ley estatutaria de Hábeas Data en ninguna parte de su texto excluyen la coexistencia de estos mecanismos administrativos sustantivos y procedimentales para conocer, actualizar, rectificar y eliminar información que le concierne a una persona. Más aún hacen caso omiso de aquellos y por eso los ponentes del proyecto de 2003, estiman que se regula en su integridad el derecho de acceso a la información pública y privada, cuando bien sabemos que existen normas especiales y generales que regulan el acceso a la información tanto pública como privada, aparte de los derechos ut supra anotados.
También es parcial, la reglamentación del artículo 15º constitucional, por cuanto al hacer énfasis a la información financiera y comercial, ?así como aquella relacionada con el cumpli- miento e incumplimiento de las obligaciones fiscales, parafiscales, (y) de servicios públicos domiciliarios", tanto en el intitulado como en el artículo 1º se está enfocando la regulación mayoritariamente a los datos financieros públicos y privados, es decir, en los datos de carácter bancario, bursátil, comercial, fiscal, parafiscal y tarifario de servicios públicos, y no al resto de información no financiera que genera día a día las personas y que por los efectos de las nuevas tecnologías de la información y la comunicación (TIC), la alta porosidad de la informática, telemática y en general de la electrónica, se genera, almacena, transmite universalmente información de todo tipo en unidades de tiempo inferiores al segundo. A lo largo del proyecto de ley estatutaria de Hábeas Data financiero se confirma dicha propensión reglamentaria parcializada.
Los ponentes de la Ley Estatutaria de 2003 [11] reconocen que la información de la persona humana hoy por hoy, es ?objeto de negocio?, es un ?factor de poder?, ?la información lo es todo? y por eso concluyen:
?Nuestros datos personales (sensibles, privados, semiprivados, financieros, públicos, etc.) se han convertido en un factor esencial para la toma de decisiones del sector público y privado de cualquier sociedad" y de ahí que los Estados como los particulares se preocupen más de lo normal, por implementar instrumentos jurídicos, técnicos, sociales, políticos, científicos y culturales para proteger a la persona humana, contra los abusos de la informática
[12]y de los medios TIC y así garantizar el pleno ejercicio de los derechos y libertades constitucionales, en especial de ?derechos fundamentales como la privacidad (mejor intimidad personal y familiar, como lo denomina nuestra Constitución en el artículo 15º ), el buen nombre, la honra, la igualdad y, según algunos autores y jueces, la libertad personal (mejor la autodeterminación o libre desarrollo de la personalidad)? .
Finalmente es parcial, porque las etapas como el tratamiento o procesamiento de datos personales, se queda tan solo en la definición que los proyectos de ley Estatutaria de 2002 y 2003 suministran en el artículo dedicado a la definiciones de términos técnico-jurídicos, pues a lo largo del texto algunas etapas son mencionadas para hablar de los derechos, deberes y responsabilidades de los usuarios, titulares de los datos o los responsables de los bancos de datos o ?centrales de información?, pero no se desarrollan temáticamente cada una de estas etapas. Etapas que la Constitución en el inciso 2º del artículo las circunscribe a la etapa recolección, la etapa de tratamiento propiamente dicho (informático o no) y la etapa de circulación o comunicación por medios tradicionales o electrónicos de datos.
Quizá por lo anotado, y por muchas más razones que dan los ponentes del proyecto de ley Estatutaria de 2003, decidieron elevar un ?pliego de modificaciones? al proyecto inicial que era del tenor del proyecto de ley de 2002. Las modificaciones respecto al objeto de la ley, eran las siguientes:
La Ley debe regular el Hábeas Data aplicable a toda clase de información y no sólo a la financiera o comercial;
Que proyecto pase de regular un aspecto ?sectorial? a un aspecto integral que ?beneficie a todos los colombianos?;
Se propuso como consecuencia, el cambio del intitulado como del objeto de la ley Estatutaria los cuales quedarían así: El primero, sería: "Por la cual se regula integralmente el derecho fundamental al habeas data y demás libertades y derechos fundamentales de las personas en lo que respecta al tratamiento de sus datos personales a través de bases de datos públicas y privadas, y se dictan otras disposiciones. El segundo, quedaría: ?La presente ley tiene por objeto proteger y garantizar integralmente la efectividad del habeas data y demás libertades y derechos fundamentales en lo que respecta al tratamiento de las informaciones que se hayan recogido sobre las personas en bancos de datos y en archivos de entidades públicas y privadas a través de técnicas y de medios de tratamiento automatizado o manual" [13]; y
Con esto se busca regular el núcleo esencial del habeas data para todo tipo de información tal y como lo ordenan los incisos primero y segundo del artículo 15 de la Constitución Nacional (objeto, principios, derechos y obligaciones generales).
Extenso Glosario de definiciones y de principios utilizados en el tratamiento de datos personales
Definiciones y principios, que tal como los relacionamos en el aparte de la estructura del proyecto de Ley Estatutaria, unas y otros cuantitativamente son muchos. Se estima que en toda ley que regule la protección de los datos personales, o el derecho y garantía constitucional del Hábeas Data, siguiendo la tradición impuesta por la legendaria Ley alemana de protección de datos en los años setenta, se suministren definiciones de términos técnico-jurídicos y principios de uso y aplicación de la ley por parte de cualquier operador jurídico o por los destinatarios de la misma (titulares de los datos, usuarios, responsables de los bancos de datos o centrales de información).
Si bien la relación de definiciones y principios es necesaria para el mejor entendimiento, comprensión y aplicación de la ley a los casos concretos, el legislador no debería abusar de dicha relación, al punto que la ley parezca más un diccionario de términos o un decálogo de principios que un texto normativo que regule un fenómeno o institución jurídica específica como el Hábeas Data. Las definiciones y principios que se deben suministrar en las leyes son los básicos a los fines de interpretación y aplicación clara de la ley, pues la jurisprudencia y la doctrina se encargarán de ir decantando otras y otros que surjan de la aplicación de la ley a los casos concretos, pues las definiciones exactas y pétreas pueden pecar por exceso o por defecto o no vislumbrar todas las alternativas que se pretende regular, más en esta materia en la que los medios TIC y la informática [14], han cambiado la visión de la información, del poder estatal, de la vida común o de las actividades sociales, personales, políticas, científicas, culturales y de todo tipo. Hoy por hoy, vivimos en una ?aldea global? en o una especie de ciber sociedad o ciber Estado, donde lo permanente es el continuo cambio [15].
Sin embargo, los ponentes del proyecto de Ley Estatutaria de Hábeas Data, en el pliego de modificaciones al mismo, manifestando que ?Los principios y definiciones consagrados buscan no solo alinderar en forma clara el ámbito y aplicación de la ley sino establecer pautas hermenéuticas en un área jurídica en la cual el ordenamiento vigente carece de mayores antecedentes?, decidieron aumentar el número de definiciones y de principios, como veremos a continuación.
Por el interés doctrinal de las definiciones y los principios, a continuación transcribimos unas y otros destacando en letra cursiva los textos incluidos por los ponentes como nuevas definiciones y principios, así como también los textos adicionados a los ya existentes en los proyectos de ley Estatutaria originales de 2002 y 2003.
Definiciones técnico-jurídicas del proyecto de ley Estatutaria con las modificaciones planteadas por los ponentes
Dentro de las definiciones se propuso incluir a las previstas en los proyectos de ley estatutaria original son las siguientes: (i) Consentimiento del Titular del dato; (ii) Dato personal; (iii) Dato sensible; (iv) Dato negativo; (v) Habeas Data; (vi) procesamiento o tratamiento de la información; (v) permanencia o vigencia de la información. Además adicionaron el contenido de algunas otras definiciones, así como también adicionaron al texto original apartes a las ya existentes. Unas y otras aparecen a continuación en letra cursiva:
Administración de los bancos de datos o centrales de la información: Es la recolección, almacenamiento, procesamiento, tratamiento y suministro de la información.
Acceso a la información. Es el derecho que tienen los titulares de la información a conocer, actualizar y rectificar los registros administrados por los operadores de los bancos de datos o centrales de información, en los términos y condiciones que fija la ley.
Almacenamiento de información. Es la actividad consistente en la conservación de información a través de cualquier medio.
4. Banco de datos o centrales de información. Es el conjunto de registros o datos referentes a una persona.
Consentimiento del titular del dato: Es toda manifestación de voluntad, libre, específica e informada, mediante la cual el titular del dato consienta el procesamiento o tratamiento de datos personales que le conciernan.
Dato personal: Toda información relativa a personas físicas, jurídicas o de hecho que de cualquier manera sea idóneo para permitir, directa o indirectamente, su identificación tales como, entre otros, los nombres y apellidos, los números de identificación personal, los datos financieros, tributarios o de solvencia patrimonial o crediticia.
Dato sensible: Es aquel dato personal cuyo contenido involucra riesgos de prácticas discriminatorias por razones raciales y étnicas, opiniones políticas, convicciones religiosas, filosóficas o morales, la afiliación sindical, informaciones relacionadas con la salud, la vida sexual o cualquier otra circunstancia similar de carácter personal o social.
La recolección, almacenamiento, procesamiento, tratamiento, uso y suministro del dato sensible requerirá del consentimiento expreso, previo y escrito de su titular.
Dato negativo: Todo dato cuyo tratamiento, circulación o uso legítimos puedan ocasionar perjuicios, vulneraciones o amenazas a la intimidad, libertad, identidad y buen nombre de su titular, tales como, entre otras, la que indica situaciones de incumplimiento de obligaciones de contenido económico respecto de sus titulares o los antecedentes penales.
Exclusión de los registros o datos. Es el retiro de la información histórica negativa de un titular contenida en los bancos de datos o centrales de información.
Fuente de Información. Es la fuente legítima de información pública o toda persona natural o jurídica, privada o pública, que previa autorización del titular, suministre información a un operador de un banco de datos o central de información.
11. Habeas Data: Derecho fundamental autónomo que confiere a su titular las facultades de conocer, acceder, actualizar, rectificar y en general, controlar, los datos e informaciones que se hayan recogido sobre las personas en bancos de datos y en archivos de entidades públicas y privadas. 12. Información registrable. Es registrable la información pública; lo son también los datos de carácter comercial, financiero, de cumplimiento e incumplimiento de obligaciones fiscales, parafiscales y de servicios públicos domiciliarios y cualquiera otra que tenga utilidad pública, para la toma de decisiones por parte de los usuarios.
Información incorrecta. Es aquella que no cumple los requisitos de calidad, es decir, no es veraz, imparcial, exacta, completa, actualizada, comprobable y comprensible
Información pública. Es la información que por mandato legal no está sujeta a reserva.
Operador de los bancos de datos o centrales de información. Es la persona jurídica que administra los bancos de datos o centrales de información a que se refiere esta ley, con facultades para recolectar, almacenar, procesar y suministrar información.
15. Procesamiento o tratamiento de información. Es cualquier operación o conjunto de operaciones y procedimientos, de carácter automatizado o no, que permitan la recolección, registro, grabación, organización, conservación, elaboración, modificación, circulación, bloqueo y cancelación de datos así como las cesiones de comunicaciones, consultas, interconexiones y transferencias.
Recolección de la información. Es la actividad consistente en el levantamiento físico o electrónico de la información a que se refiere esta ley, por parte de la fuente o del operador, previa autorización del titular de la misma.
Suministro de Información. Es la entrega de la información por parte de los operadores de los bancos de datos o centrales de información a los usuarios de la misma, autorizados por su titular.
Titular de la Información o del dato personal. Es toda persona natural o jurídica, pública o privada a quien se refiere la información que repose en un banco de datos o central de la información.
Uso de la Información. Es la facultad que tienen los usuarios y operadores, en virtud de la autorización del titular, de utilizar para los fines señalados en la misma, la información suministrada por los operadores de los bancos de datos o centrales de información.
Usuario o destinatario de la información. Es toda persona a quien se suministra la información contenida en un banco de datos o central de información, debidamente autorizada por el titular.
Se consideran definiciones básicas en toda ley de protección de datos o de Hábeas Data, las siguientes: (i) Dato personal; (ii) Consentimiento del titular; (iii) Procesamiento o tratamiento de la información; (iv) fuente de la información; y (v) Comunicación, Circulación o Cesión de datos, no incluida en estos proyectos de ley estatutaria y, hoy por hoy de capital importancia en el tratamiento o procesamiento de datos personales.
Las demás definiciones transcritas constituyen derivaciones lógicas de las cuatro definiciones indicadas que mejor se explican en el contexto de la ley al paso que se hable por ejemplo del dato personal, como toda aquella información de la persona humana identificada o identificable (esto en el contexto del derecho europeo continental y el derecho anglosajón) o de las personas jurídicas plenamente identificadas (esto en el contexto de algunas normas de protección de datos o de Hábeas Data tipo latinoamericano, y ahora la legislación colombiana que se matricula a esta escuela), se derivan los datos sensibles o del ?núcleo duro? o ?núcleo irreductible? de la intimidad [15bis], la información personal como sinónimo de dato personal y por ende, que es una información incorrecta, incompleta, registrable, reservada, etc.
Súmese a lo anterior, que en la definición de los principios rectores del tratamiento o procesamiento de datos y de la interpretación del contexto de la ley de Hábeas Data, quedan ínsitas las varias de las definiciones de información errónea, incompleta, ilegal, falsa, inoportuna, no veraz, incompleta; entre otras, por ejemplo en el principio de la calidad de los datos, que como veremos es uno de los principios reina en estas materias y que las legislaciones sobre datos personales en el derecho comparado regulan con sumo cuidado, unas con más amplitud que otras, como sucede entre nuestros Estados vecinos con la legislación argentina de la ciudad de Buenos Aires y de las provincias con autonomía legislativa (v.gr. La Provincia de Neuquen y Santa fe) o en Europa con España y en Centro América con Honduras.
Así mismo del término tratamiento o procesamiento de datos personal, como todo proceso informatizado o no de recogida, selección, almacenamiento, registro, uso, utilización y comunicación de datos de la persona natural o jurídica, con o sin consentimiento de los titulares, se entienden inmersas las fases del procesamiento de datos: recolección, almacenamiento, registro, tratamiento propiamente dicho informatizado o no; y uso, consulta o comunicación de datos previo consentimiento o no del titular.
La definición del término Hábeas Data se entiende inmersa en los derechos o facultades que tiene el titular de los datos para tomar conocimiento de la información que le concierne, el acceso a la misma, y una vez enterado que esa información no es clara, veraz, oportuna, inteligible o contraria al derecho o a la ley, entonces puede ejercitar las facultades de rectificación, actualización y eliminación de la información, ante las autoridades administrativas o judiciales previamente fijadas por la ley y mediante la acción procesal respectiva (en Colombia hasta el momento se ha hecho a través de la acción de tutela, otros países latinoamericanos a través de la ?acción de amparo? y otros pocos centroamericanos, mediante la acción de Hábeas Data). En consecuencia, no es necesaria la definición de los términos Hábeas Data, porque además de ser la institución jurídica reglamentada en toda la ley, no puede cosificársela en una definición que podría excluir otras facultades, como por ejemplo, la de prohibición o impedimento de la circulación o comunicación de datos de la persona concernida entre bases de datos o centrales de información nacionales y con mayor razón internacionales, cuando Colombia no tenga celebrado tratados o convenios dichos países, o no haya suscrito una Directiva Comunitaria de Homologación o transposición de normas sobre datos personales, pues en la definición actual de Hábeas Data no se incluye esta facultad prohibir o impedir la comunicación, movimiento internacional o flujo de datos por parte del concernido. Siendo esta facultad del titular de los datos una de las más importantes en el momento y por las que se pueden vulnerar diferentes derechos y libertades constitucionales. Piénsese un instante en las centrales internacionales de información de las personas que hoy hacen de éstas un negocio altamente lucrativo y que el titular de los datos no pueda ejercer algún derecho nacional, o ante organismos internacionales, para impedir su circulación libre y sin restricción alguna. He allí el peligro de definir al Hábeas Data desde el punto de vista legal o pétreo. Estas definiciones, como dijimos antes están bien en la doctrina y en la jurisprudencia al paso de la aplicación práctica de la Ley de Hábeas Data.
Finalmente, en el término de fuentes de la información debería hacerse énfasis en las que se consideran como ?accesibles al público? que tienen una connotación especial y en los momentos actuales de gran significancia en la actividad diaria de los Estados, las autoridades y los particulares mismos. Por ejemplo, la LOPDP española de 1999, define las fuentes accesibles al público, como ?Aquellos ficheros (o banco de datos informatizados o no) cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación.
Los principios rectores del tratamiento o procesamiento de datos personales
Los ponentes de los proyectos de Ley Estatutaria de 2002 y 2003, en el pliego de modificaciones adicionaron a los principios que aparecían en los textos originales, los siguientes: (i) del uso de la tecnología y la informática; (ii) del habeas data y la libertad informática; y (iii) Gratuidad para ejercer el derecho fundamental al habeas data). Además se adicionó algunos contenidos dentro de los principios de calidad de los datos, confidencialidad, y seguridad. En letra cursiva los nuevos principios y apartes adicionados a los textos ya existentes.
Del uso de la tecnología y de la informática. Los progresos tecnológicos no pueden comprometer los derechos y libertades humanas consagradas en la Constitución, la Declaración Universal de Derechos Humanos, en los Pactos Internacionales de derechos humanos y en otros instrumentos internacionales pertinentes.
La informática deberá estar al servicio de cada persona. Su desarrollo deberá tener lugar dentro del marco de la cooperación internacional. No deberá atentar contra la identidad humana ni contra los derechos del hombre ni la vida privada, las libertades individuales o públicas. Adicionalmente, la informática debe contribuir al fortalecimiento de la protección plena de la dignidad humana y de los principios democráticos de la libertad, la igualdad, la justicia y la solidaridad.
Del Habeas Data y la libertad informática. Todas las personas tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.
En la recolección, tratamiento y circulación de datos se deben respetar la libertad y demás garantías consagradas en la Constitución. Los datos personales deberán ser recogidos y tratados mediante la más escrupulosa observancia de las normas vigentes y el respeto de la dignidad de sus titulares.
Calidad de los registros o datos. En virtud de este principio la información a que se refiere esta ley debe ser veraz, imparcial, completa, exacta, actualizada, comprobable y comprensible de tal manera que refleje la situación real presente y la histórica vigente del titular de la misma. Adicionalmente, los datos personales que se recojan para efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido.
La recolección de datos no puede hacerse por medios desleales, fraudulentos o en forma contraria a las disposiciones de la presente ley. Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas autorizadas por el titular del dato o la información. Los datos total o parcialmente inexactos, o que sean incompletos, deben ser suprimidos y sustituidos, o en su caso complementados, por el operador del banco de datos o de la central de información cuando se tenga conocimiento de la inexactitud o carácter incompleto de la información de que se trate, sin perjuicio de los derechos del titular. Los datos deben ser almacenados de modo que permitan el ejercicio del derecho de acceso de su titular. Los datos deben ser destruidos cuando se establezca que han dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados.
Confidencialidad. En virtud del cual las personas que intervengan en la recolección, almacenamiento, procesamiento, tratamiento y suministro de la información, están obligadas en todo tiempo a garantizar la reserva de la misma.
Consentimiento. En virtud del cual el titular de la información autoriza previa y expresamente la recolección, almacenamiento, procesamiento, tratamiento, suministro y uso de la información para unos fines específicos.
Respeto al buen nombre. En desarrollo del cual corresponde tanto a las fuentes y usuarios como a los operadores de los bancos de datos o centrales de información, respetar el derecho al buen nombre de los titulares de la información. En tal sentido, la información que reporten, utilicen o administren deberá cumplir con las condiciones de calidad señaladas en el ley.
Garantía al acceso de la información. Según el cual se garantiza a los titulares de la información a que se refiere esta ley, en todo tiempo, el conocimiento, actualización y rectificación de la información
Limitación en materia de recolección y suministro de registros o datos. En virtud de este principio la administración de la información a que se refiere esta ley, es una actividad reglada que debe sujetarse a lo establecido en la presente ley y demás disposiciones que la desarrollen.
Titularidad de la información. En desarrollo del cual la persona a que se refieren los datos es el único titular de la misma, lo que le otorga los derechos previstos en la presente ley y en la Constitución.
Seguridad. En virtud del cual la información que reposa en las fuentes de información y en los operadores de bancos de datos o centrales de información, se manejará con las medidas técnicas, organizacionales y humanas necesarias para garantizar la seguridad de los registros, evitando su adulteración, pérdida, consulta o uso no autorizado.
registrada en un banco de datos o central de información, así como el cumplimiento de la finalidad de la autorización y el destinatario de la misma.
9. Permanencia o vigencia de la información. Según el cual los datos negativos tienen una vigencia limitada, no pueden ser perennes ni mantenerse indefinidamente en las bases de datos o archivos de entidades públicas o privadas. Por lo tanto, es responsabilidad del operador del banco de datos o de la central de información eliminar oficiosamente dicha información una vez haya transcurrido el término señalado en esta ley para la permanencia o vigencia los datos negativos.
12. Gratuidad. El ejercicio del derecho fundamental al habeas data será gratuito. Por ende, el derecho de acceso, rectificación, actualización o cancelación datos personales se efectuarán sin cargo alguno para el titular de la información o del dato, hasta por seis (6) veces en el año calendario. Como lo reconocen los ponentes de los proyectos de Ley estatutaria de 2002 y 2003 [16] refiriéndose a al decálogo de principios adicionado por éstos que nuestro Estado ?se queda corto frente a los estándares o principios internacionales que regulan la materia y expone al país a que sea calificado como un Estado que no protege adecuadamente la información personal de sus ciudadanos", pero creemos nosotros no por aumentar o disminuir el número de principios que rigen el tratamiento o procesamiento de datos personal y la interpretación de las leyes referidas al tema, sino por no homologar o normalizar las normas, los instrumentos jurídicos y técnicos y los procedimientos administrativos y jurisdiccionales encaminados al tratamiento de datos personales, pues es allí donde esta el quid de la cuestión entre Estados, Gobiernos o entre particulares que recolectan, seleccionan, almacenan, registran, usan o comunican datos personales. Es en estas fases del tratamiento de de datos donde se revela el nulo, bajo, medio, alto y potenciado nivel de seguridad, confiabilidad, calidad y sigilo empleado por los Estados, los responsables de los bancos de datos, las centrales de información, los destinatarios y los titulares de los mismos, pues los principios sirven para guiar, orientar, mejor interpretar la aplicación de las normas jurídicas que regulan el tratamiento de datos personales, su aplicabilidad y utilización en el respeto por los derechos y libertades constitucionales y legales de la persona, pero los principios per se, no catalogan si un Estado es o no más vulnerable a la violación de los derechos constitucionales y legales de las personas, o que se trate de un Estado ?paraíso no informatizado? de datos el cual no cuenta con ningún nivel de seguridad y confiabilidad en el tratamiento de datos. Por ello, los tribunales judiciales nacionales e internacionales, aplican los principios al tratamiento de datos previstos en los ordenamientos jurídicos vigentes, para robustecer el sistema de regulación de los mismos, para interpretarlo mejor y potenciadamente conforme a las normas nacionales e internacionales, y sobre todo, atemperarlos a la tutela y garantía universal de los derechos humanos.
La Legislación Europea de protección de los datos, como hemos visto en la Parte Tercera de esta obra, se nutrió de las normas internacionales y sobre todo de los principios que éstas contenían, sobre todo en las Directivas de la Organización para la Cooperación y Desarrollo Económico o la OCDE de 1980, el Convenio de Europa o Convenio Estrasburgo de 1981 y las Directivas del Parlamento y del Consejo Europeos: 95/46/CE y 97/66/CE. Por esta razón, inicialmente la LORTAD española de 1992, y luego la LOPDP de España de 1999, recogieron en sus textos normativos los principios rectores de las fases o etapas del tratamiento de datos personales y la interpretación de las normas que los contienen [17].
La OCDE de Septiembre de 1980, legó a la legislación universal de los datos y ab initio a los Estados que la integraban, los siguientes principios: (i) Limitación de la colecta de datos; (ii) Calidad de los Datos; (iii) Especificación del fin; (iv) Restricción del Uso; (v) Garantía de Seguridad; (vi) Transparencia; (vii) participación del individuo; (viii) responsabilidad. Y (ix) El principio fundamental de la libre circulación de los datos y las restricciones legítimas. Principios que los desarrollamos en otro trabajo nuestro [18] al aplicarlos a las diferentes etapas del tratamiento de datos.
En el Convenio No. 108 de Europa de 1981, o Convenio de Estrasburgo, no sólo legó principios rectores en el tratamiento de datos personales, sino una pléyade de definiciones de términos técnico-jurídicos que hasta hoy las leyes protectoras de los datos y la regulatorias del Hábeas Data, las recogen en sus textos normativos. En cuanto a los principios que dejaron al derecho público universal, nosotros los sistematizamos doctrinalmente en el trabajo investigativo antes referido, según las etapas o fases del tratamiento de datos así:
En la fase de recolección de los datos personales, son aplicables los principios siguientes: (i) De lealtad y legitimidad; (ii) De prohibición excepcionada a la recolección de datos pertenecientes al ?núcleo duro de la privacy? anglosajona; y, (iii) De Información en la recolección, sobre los objetivos y fines de la misma.
Página anterior | Volver al principio del trabajo | Página siguiente |