En Colombia, el 17 de Octubre de 2012 se emitió la Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales”, de la cual se desarrollan los derechos constitucionales contenidos en los artículos 15 y 20 relacionados con el derecho de Habeas Data, a la intimidad y al buen nombre y el derecho a la información.
En lo que se conoce como “Habeas Data”, se contiene y desarrolla el derecho que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas. Además de autorizar el tratamiento de datos personales, incluir nuevos datos o excluirlos de una base de datos, según se reafirmó por la Corte Constitucional (Sentencia de la Corte Constitucional No. C-748 de 2011).
Modelos de gestión de Datos Personales – Habeas Data
Es importante conocer y exigir la protección de los derechos que la misma empresa tiene al Habeas Data. En especial identificar todas las bases de datos y activos de información que se administran para adecuar su tratamiento conforme a los lineamientos normativos.
Por ello surgen los modelos de gestión de Datos Personales, que integran una serie de procesos, procedimientos, manuales, políticas y matrices de riesgo que permiten ajustar sus dinámicas a la Ley. Además mitigan los riesgos y responsabilidades vinculadas a la transgresión del habeas data.
Todo bajo una perspectiva y orientacion al fortalecimiento de una cultura de la transparencia y la protección de la información bajo esquemas de mercado justos y competitivos.
También se considera que las personas jurídicas están cada vez más expuestas a riesgos que sobrepasan las barreras del mercado. Sobre todo porque pueden verse inmersas en la sociedad como víctimas, medio o instrumento, pero también como autores de conductas lesivas a los diferentes bienes jurídicos.
El Habeas Data en Colombia
En Colombia se han adoptado modelos de responsabilidad administrativa vinculados a la Ley 1581 de 2012 en cabeza de la Superintendencia de Industria y Comercio. Sin embargo, también modelos de responsabilidad penal habiéndose incorporado dentro del Código Penal el Título VII BIS titulado “De la Protección de la Información y de los Datos” (Artículos 269 A y siguientes) con un amplio catálogo de delitos asociados a este derecho.
Alineado con el contenido del artículo 2º de la Ley 1581 de 2012, las disposiciones son aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada. Este es el elemento que nos hace o no sujetos obligados, debiendo diseñar e implementar un sistema de gestión de datos personales.
¿Cómo responder requerimientos de autoridades judiciales sin violar los datos personales?
En ocasiones, basta con dar lectura al remitente de un requerimiento para obviar procesos o protocolos internos definidos para otros terceros. En la práctica, por desconocimiento, pueden derivar en violación a la ley, debiendo señalar que las autoridades públicas son también sujetos obligados de las disposiciones en materia de protección de datos personales.
Las autoridades deben acudir ante un juez y requerir autorización para conocer datos personales. Para ello, el área responsable de dar respuesta a este tipo de solicitudes debe evaluar:
- El contenido de la información requerida.
- El contexto, alcance y legalidad de la petición.
- Cumplimiento de requisitos legales para acceder a la información.
El proceso penal, siendo uno de los más invasivos y que mayor alerta genera, no está exento de la protección de derechos fundamentales. Derivado del alcance de la función de la Fiscalía General de la Nación (concretamente Artículo 250), divide las capacidades o actuaciones. Esto varía según la mayor o menor intromisión en los derechos fundamentales (Art. 200 y s.s. de la Ley 906 de 2004).
Cuando se trata del acceso a información en bases de datos, deberá contemplarse lo dispuesto en el Art. 244 de la ley 906 de 2004. En especial el contenido de la Sentencia de la Corte Constitucional No. C-336 de 2007 que definió la necesidad de acudir previamente ante un juez para requerir autorización. En igual sentido encuentras la Sentencia C-014 de 2018.
No basta con que el requerimiento provenga de una autoridad pública. Se debe observar qué tipo de información es. Que quién lo requiera tenga competencia para ello y finalmente que se hayan surtido los trámites pertinentes.