Regulación en materia de protección de datos personales ...€¦ · Datos Personales o Habeas...
Transcript of Regulación en materia de protección de datos personales ...€¦ · Datos Personales o Habeas...
Regulación en materia de protección de datos personales o habeas data en Colombia 2
Regulación en materia de protección de datos personales o Habeas Data en Colombia a través de la Ley
1581 de 2012: Examen histórico y crítico sobre su ineficacia ante las administradoras de bases de datos,
portales de Internet y motores de búsquedas
Betsy Yohanna Ruiz Ardila 1
Universidad Católica de Colombia
Resumen
El presente artículo permite hacer un balance histórico sobre el origen de la Ley de Protección de
Datos Personales o Habeas Data -Ley 1581 de 2012- en Colombia, especialmente, frente a la
garantía del Derecho al Olvido. Para esto, se estudian los elementos conceptuales entorno a los
titulares del derecho, agentes de protección, tratamiento de datos, así como los tipos de datos
protegidos. En este mismo sentido, se analizara el derecho a la eliminación, sus antecedentes
jurisprudenciales y la regulación atinente en nuestro sistema.
Palabras clave: Habeas Data, datos personales, datos sensibles, titular de derechos de datos
sensibles, tratante de datos, motor de búsqueda, agentes de protección, derecho a la eliminación o
derecho al olvido.
Abstract.
The article present allows to do historical record of the origin of the law on protection of
personal data or Habeas Data - law 1581 of 2012 - in Colombia, especially about the guarantee
of the rigth to Oblivion. For this, study the conceptual elements and holders of law, protection
agents, data processing, and the types of protected data. In this sense, are analized the right to
elimination, their legal background and regulation in our system.
1 Artículo de reflexión. presentado como requisito para optar al título de Abogada de la Universidad Católica de
Colombia, bajo la Asesoría de la doctora Narly Del Pilar Morales Morales, de la Facultad de Derecho. Sede Bogotá.
2016. Correo electrónico: [email protected], [email protected]
Regulación en materia de protección de datos personales o habeas data en Colombia 3
Key words: Habeas Data, personal data, sensitive data, rightsholder of sensitive data, data
handler, search engine , protective agents, right to the elimination or right to oblivion
Sumario.
Introducción. 1. Del derecho al Habeas Data . Orígenes, definición y titulares o intervinientes. 2.
De los derechos del titular de datos personales, de los datos tratados y del mecanismo procesal
para su proteccion. 3. De los operadores de las bases de datos. 4. Examen Crìtico del Habeas
Data . Conclusiones. Referencias
Regulación en materia de protección de datos personales o habeas data en Colombia 4
Introducción
El derecho de hábeas data incorporado en la Ley Estatutaria 1581 (de 17 de octubre) de 2012,
Reglamentada parcialmente por el Decreto Nacional 1377 de 2013, así como en los términos del
Capítulo I, en los artículos 15 y 20 de la Carta Política encuentra su soporte en el ámbito de la
autodeterminación y libertad del individuo para conservar incólume su buen nombre.
El citado derecho concede potestades al individuo para que pueda vigilar la información
recolectada por una central de información y protegerse de un posible daño en su esfera íntima
personal.
Teniendo en cuenta el objeto de protección de este bien jurídico, es importante analizar cómo
resuelve el ordenamiento jurídico colombiano la tensión existente entre el derecho a la
autodeterminación de la información y el acceso y el manejo de ésta por administradores de
bases de datos, portales de Internet y/o motores de búsqueda.
Constitucionalmente, y con la incorporación de la normativa internacional así como las
diferentes fuentes se le ha dado un cimiento claro y preciso a la problemática de la intromisión a
la información del individuo protegida mediante el mecanismo Habeas Data.
Es así como este mecanismo cuenta con tres figuras de protección entre las que se encuentran
el acceso, modificación, y eliminación de información, garantías que permiten sancionar al
administrador de bases de datos y los motores de búsqueda – civil y penalmente- en el evento en
que incurran en una acción reprochable de cara a sus obligaciones, toda vez que estas
actuaciones ilegales se resuelven en favor del titular de los derechos.
Para resolver lo enunciado anteriormente se elaborará una investigación que recoja los
principales elementos de las leyes modelo internacionales (Ley Modelo de las Naciones Unidas
sobre Habeas Data, ley modelo de la comunidad europea, ley modelo de la OEA – ley
interamericana entorno al derecho de la autodeterminación a la información, sus principales
características, los intervinientes en los motores de búsqueda y compararlo con el procedimiento
en nuestro país.
En virtud de lo planteado se vislumbra el alcance de la Corte Constitucional cuando
textualmente refiere en la Sentencia No. T-022-93 al expresar:
“Los datos tienen por su naturaleza misma una vigencia limitada en el tiempo, la cual impone a los
responsables o administradores de bancos de datos la obligación ineludible de una permanente
Regulación en materia de protección de datos personales o habeas data en Colombia 5
actualización a fin de no poner en circulación perfiles de "personas virtuales" que afecten
negativamente a sus titulares, vale decir, a las personas reales.
De otra parte, es bien sabido que las sanciones o informaciones negativas acerca de una persona no
tienen vocación de perennidad y, en consecuencia después de algún tiempo tales personas son
titulares de un verdadero derecho al olvido” (Corte Constitucional, 1993, pp. 19).
Finalmente, se realizará un análisis jurisprudencial sobre la procedencia del derecho al olvido
y su evolución en el tratamiento de los datos así como la regulación en cuanto a su aplicación y
si efectivamente se está reconociendo este derecho.
Regulación en materia de protección de datos personales o habeas data en Colombia 6
1. Del derecho al Habeas Data
1.1 Recuento histórico acerca del origen del Habeas Data
La figura de protección de datos personales encuentra sus primeras referencias, en el marco
internacional en significativas declaraciones de los derechos humanos.
Inicialmente en 1890, se discutió el derecho a la intimidad cuando los estadounidenses
Samuel Warren y Louis Brandéis, célebres por su artículo The Right To Privacy que propugnaba
por establecer límites jurídicos que impidieran la intromisión del periodismo en la vida privada
de las personas, lograron influir ampliamente en Estados Unidos por la defensa del derecho a la
privacidad. (Conde Colmenero, 2014).
El marco histórico del origen de la protección de datos personales da cuenta de sus inicios en
la Constitución alemana de Weimar de 1919, la cual introdujo el concepto de datos personales
de una manera muy restringida al suscribirlo, únicamente, a los funcionarios públicos que
conocían e intervenían la información, así, lo ha resaltado autores como Masciotra. (2003).
De otra parte, la normativa internacional con la inclusión del artículo 12 en la Declaración
Universal de los Derechos Humanos de 1948, reconoció el derecho a la intimidad; lo que a la
postre inspiro en 1966, el artículo 17 del Pacto Internacional de Derechos Civiles y Públicos
(PIDCP) el cual lo reproduce parcialmente. (Pfeffer Urquiaga, 2006).
A nivel regional de igual manera el referido derecho está incluido en el artículo V de la
Declaración Americana de los Derechos y Deberes del Hombre, aprobada en la Novena
Conferencia Internacional Americana Bogotá, Colombia, 1948.
Asimismo, el Convenio para la Protección de los Derechos Humanos y de las Libertades
Fundamentales, hecho en Roma el 4 de noviembre de 1950, y enmendado por los Protocolos
adicionales números 3 y 5, de 6 de mayo de 1963 y 20 de enero de 1966, respectivamente,
incorporó el derecho a la intimidad en su artículo 8.
Otro referente histórico obligado –cuando se analizan los antecedentes de la regulación de
datos personales- es el Convenio para la protección de las personas con respecto al tratamiento
automatizado de datos de carácter personal, suscrito en Estrasburgo el 28 de enero de 1961,
(Documento BOE-A-1985-23447), el cual buscaba extender su marco de aplicación en favor de
Regulación en materia de protección de datos personales o habeas data en Colombia 7
la libertad de la información a través de las fronteras nacionales entre los estados parte.
(Fernández Segado, 2005).
Luego la Comunidad Europea para el año de 1967, nombró una delegación (Consejo
Consultivo), con el objetivo de determinar los riesgos generados por la tecnología hacia los
derechos humanos y dicho estudio dio origen en 1968, a la Resolución 509 de la Asamblea del
Consejo de Europa sobre los derechos humanos y los nuevos logros científicos. Que
básicamente propende por el amparo de la privacidad contra el uso lesivo de la tecnología.
(Tejerina Rodríguez, 2014).
Posteriormente, se tiene que el 13 de octubre de 1970, en Alemania entró en vigor la Ley de
Protección de Datos de Hesse, Hessiches Datenschutzgesetz convirtiéndose en pionera a nivel
mundial en generar una ley formal encaminada a frenar la vulneración de los derechos de los
individuos en lo atinente al procedimiento automático de sus datos personales por parte de entes
públicos del Estado. Es decir restringió el uso de la informática. (Rebollo Delgado, 2014).
Luego en 1973, en Suecia fue promulgada la normativa del Data lag, la cual consiste en un
registro que ordena datos mediante un sistema electrónico. (Revista Chilena de Derecho
Informático).
Continuando con los antecedentes de este derecho, se encuentra que en 1974 surge la Privacy
Act norteamericana, que implanta un mecanismo idóneo para recopilar, mantener, usar y
difundir información de las personas cuyos registros reposan en las bases de datos de las
agencias federales. (Eguiguren P., 2005).
Para el año de 1976, Portugal incluyo en el articulado de su constitución, exactamente en su
artículo 35, la garantía que todas las personas tuvieran derecho a conocer la información
contenida en los ficheros o registros electrónicos, salvo limitaciones dispuestas por el estado.
(Protección de datos y Habeas Data: una visión desde Iberoamérica).
Dos años después, en 1978, Francia implantó la ley relativa a la informática, archivos y
libertades (modificada por la ley relativa a la protección de las personas físicas con respecto a los
procesamientos de datos de carácter personal del 6 de agosto de 2004), incluyéndola en su
Constitución como garantía de la intimidad de sus ciudadanos, frente a la usanza de la
informática. (Rebollo Delgado, 2014).
Siguiendo el recorrido histórico el 08 de mayo de 1979, el Parlamento Europeo aprobó la
resolución que tutela los derechos de las personas con respecto al progreso informático, y
Regulación en materia de protección de datos personales o habeas data en Colombia 8
asimismo, el gobierno español en 1984 lo ratificó e incorporó el 15 de noviembre de 1985 a su
derecho interno. (Tejerina Rodríguez, 2014).
En este mismo sentido fue aprobado el Convenio Nº 108, de 28 de enero de 1981, por parte
del Consejo Europeo, como medida de protección de las personas frente al uso automatizado de
sus datos personales. Este fue acogido por la Comunidad Económica Europea como un
mecanismo internacional legalmente vinculante en lo concerniente a la protección de datos.
Posteriormente un Tribunal Federal Alemán en 1983, fundamentándose en la garantía del
libre desarrollo de la personalidad declaró un concepto denominado derecho a la
autodeterminación informativa, visto como la facultad que tiene el individuo para difundir y
utilizar sus datos personales. (Rebollo Delgado, 2014).
De igual manera y con el ánimo de proteger la privacidad de las personas, ante los
inminentes avances tecnológicos, se dio origen a la ley del Parlamento del Reino Unido de Gran
Bretaña e Irlanda del Norte, denominada Data Protección Act (DPA), británica de 1984, que
propendió por exigir a los Estados miembros salvaguardar la privacidad, y libertades
fundamentales de las personas. (Fernández Segado, 2005).
De manera complementaria surge en el Parlamento Europeo, la directiva 95/46/CE de 24 de
octubre de 1995 proferida por el Consejo Europeo. Esta norma se enfoca al tratamiento de datos
en cuanto a su circulación y protección se refiere. Pues básicamente la medida busca obligar a
los estados miembros a proteger mediante un marco regulador la intimidad de las personas.
(Conde Ortiz, 2006).
Para concluir con este recorrido histórico la Unión Europea, incluyó en el artículo 8 de su
carta de Derechos Fundamentales proclamada en Niza en diciembre de 2000, por el Parlamento
Europeo, el derecho a la protección de datos de carácter personal como lo refiere la autora
Fernánddez Sola (2003) en su libro Unión Europea y derechos fundamentales en perspectiva
constitucional.
Por su parte, en el Sistema Interamericano o sistema regional en el cual se encuentra inmerso
el ordenamiento jurídico colombiano, se halla la Ley Modelo Interamericana sobre Acceso a la
Información Pública (Aprobada en la cuarta sesión plenaria, celebrada el 8 de junio de 2010),
AG/RES. 2607 (XL-O/10) Resolución OEA. Y refiere que la información que este bajo la
custodia de las instituciones públicas debe ser pertinente además de asequible y genuina,
igualmente que sus reservas deben estar contenidas en la Ley.
Regulación en materia de protección de datos personales o habeas data en Colombia 9
En ese mismo sistema, tenemos la Convención Americana sobre Derechos Humanos, suscrita
en la Conferencia Especializada Interamericana sobre Derechos Humanos (B-32), San José,
Costa Rica 7 al 22 de noviembre de 1969 (Pacto de San José), misma que en su artículo 11
consagra el derecho a la intimidad y su directa relación con la protección de la honra, el buen
nombre, y la dignidad humana.
Ahora bien, respecto de la Ley Modelo Interamericana sobre Acceso a la Información y los
comentarios que la acompañan se implementaron para que funcionen en los ordenamientos
jurídicos que ésta vincula, garantizando el derecho de acceso a la información.
Continuando con la reconstrucción normativa en la materia -dentro del sistema
interamericano- se tiene la Resolución AG/RES. 2842 (XLIV-O/14), de Acceso a la Información
Pública y protección de datos personales (aprobada en la segunda sesión plenaria celebrada el 4
de junio de 2014) Resolución de la OEA, la cual reseña la importancia de la intimidad y la
protección de datos personales, así como la necesidad de promover y salvaguardar la difusión de
la información.
Adicionalmente, encontramos las Reglas Mínimas para la Difusión de Información Judicial
en Internet (o Reglas de Heredia), gestadas en la ciudad de Heredia (Costa Rica), las cuales
instauran los lineamientos que deben ser adoptados por los tribunales para poder circular
información en Internet.
Ahora bien, para el caso colombiano, el fundamento constitucional del derecho al Hábeas
Data se encuentra consignado en el artículo 15 de la Constitución Política de 1991.
Dicha norma en mención dispone:
"(...) Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el
Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y
rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de
entidades públicas y privadas.
En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías
consagradas en la Constitución.
La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser
interceptadas o registradas mediante orden judicial, en los casos y con las formalidades que
establezca la Ley.
Regulación en materia de protección de datos personales o habeas data en Colombia 10
Para efectos tributarios o judiciales y para los casos de inspección, vigilancia e intervención del
Estado podrá exigirse la presentación de libros de contabilidad y demás documentos privados, en
los términos que señale la Ley." (Constitución Política, 1991, Art.15).
Según la norma transcrita, tenemos que, cada persona goza de su derecho constitucional a la
intimidad, y en usanza de dicho derecho, obtiene su protección de la indiscreción de terceros
llámense Estado o particulares.
El marco legal del derecho a la autodeterminación de la información, bien
constitucionalmente protegido por el derecho fundamental de Habeas Data en nuestro país, se
encuentra regulado en la Ley Estatutaria 1581 de 2012, reglamentada parcialmente por el
Decreto 1377 de 2013, en relación con su evolución su antecedente más cercano se encuentra en
la Ley Estatutaria 1266 de 2008, y jurisprudencia constitucional preliminar entre las cuales me
permito citar la Sentencia No. SU-082/95, Sentencia C-1011/08, y Sentencia C-748/11.
Por otra parte, con la gran gama de regulaciones internacionales sobre el tema, nuestro país
integró el Bloque de Constitucionalidad incorporado en el artículo 93, de la Constitución
Política, concomitante con el artículo 152, del mismo cuerpo normativo; fortaleciendo los
derechos inalienables del individuo.
Al respecto, es preciso señalar que gradualmente se ha venido trabajando por parte de
diferentes organismos nacionales e internacionales, en regular la normativa atinente al “Habeas
Data”, como se puede apreciar en líneas anteriores –acápite I.I.- donde se detalla la génesis de
este derecho fundamental y su recorrido histórico, hasta el tratamiento que se le está facilitando a
la fecha y su proyección en una sociedad en proceso de evolución.
1.2. Definición de Habeas Data
Para abordar la significación del término “Habeas Data”, es importante analizar la raíz de las
locuciones que lo integran, es así como el autor Víctor Bazán (2009) expresa:
“La expresión “hábeas data” es utilizada a modo de empréstito terminológico de la de “hábeas
corpus”. Recordamos que esta última significa que “se tenga, traiga, exhiba o presente el cuerpo
(ante el juez)”, mientras que en el caso del “hábeas data” se quiere connotar “que se tenga, traiga,
exhiba o presente los datos”. La locución “hábeas data” se forma con habeas (del latín habeo,
habere), que significa tener, exhibir, tomar, traer, etc.; adosándole el vocablo data, respecto del cual
existe alguna disputa léxica, pues mientras algunos afirman que se refiere al acusativo neutro plural
Regulación en materia de protección de datos personales o habeas data en Colombia 11
de datum lo que se da, datos –también del latín– otros sostienen que la palabra data proviene del
inglés, con el significado de información o datos.” (p. 90).
El Habeas Data hace referencia al interés que les asiste a las personas para proteger por la
vía legal los datos que le conciernen garantizando la supremacía de sus derechos fundamentales.
La acción de Habeas Data, está definida internacionalmente en diferentes disposiciones entre
las cuales me permito enunciar las siguientes:
Convención Interamericana de Derechos Humanos (1969), en su artículo 13 numeral 1,
relata:
“Toda persona tiene derecho a la libertad de pensamiento y de expresión. Este derecho comprende
la libertad de buscar, recibir y difundir informaciones e ideas de toda índole, sin consideración de
fronteras, ya sea oralmente, por escrito o en forma impresa o artística, o por cualquier otro
procedimiento de su elección.”(p. 6).
De aquí se desprende que el acceso a la información no reconoce límites fronterizos, sino por
el contrario debe considerarse como una garantía que impida censurar, los derechos inherentes a
la persona; y su contenido debe tener un alcance general a toda la sociedad.
Por su parte, la Carta de los Derechos Fundamentales de la Unión Europea (2010), incluye el
Habeas Data en su articulado, concretamente en su artículo 8, reseña:
“1.Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan.
2. Estos datos se tratan de modo leal, para fines concretos y sobre la base del consentimiento de la
persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene
derecho a acceder a los datos recogidos que la conciernan y a su rectificación.
3. El respeto de estas normas quedara sujeto al control de una autoridad independiente” (p. 23).
Estas convenciones establecieron lineamientos básicos para que cada país incorporara a su
constitución el referido derecho, en procura de garantizar el pleno ejercicio de la información de
los datos allí consignados.
Por su parte autores como Francisco Zúñiga (2006), refieren:
“El Hábeas data se erige en la actualidad como instrumento de tutela cautelar de la libertad
informática, instrumento asociado, en ocasiones, a una legislación específica sobre banco de datos.
En América latina destaca una tendencia peculiar en orden a erigir el Hábeas data en un
instrumento garantista incorporado a la Constitución estatal. El Hábeas data se erige en una acción
-proceso de naturaleza cautelar de amparo constitucional, que con carácter de sumario y
extraordinario, permite hacer efectivos derechos específicos en relación a "información sensible no
Regulación en materia de protección de datos personales o habeas data en Colombia 12
registrable" derecho de acceso, derecho a la actualización de datos, derecho a la rectificación,
derecho a la confidencialidad y derecho a la exclusión”. (p. 301).
Con relación a lo mencionado por el autor vemos que el Habeas Data, responde a un derecho
constitucional, que busca potenciar el amparo contra cualquier tipo de falsedad en la información
que identifica a las personas.
Asimismo Humberto Nogueira (2006), señala:
“El derecho a la autodeterminación informativa. Este derecho tiene un carácter implícito, deriva de
libertades negativas constituidas por la protección del derecho a la vida privada, a la intimidad, a la
propia imagen, a la honra de la persona y de su familia, que emanan de la dignidad de la persona y
del derecho general de la personalidad, como asimismo de los valores y principios de igualdad (no
discriminación), verdad y libertad. Este derecho a la autodeterminación informativa constituye la
facultad de la persona de disponer de la información personal privada, íntima o sensible, que debe
ser protegida por el orden social y regulada por el ordenamiento jurídico, evitando las distorsiones
del proceso comunicativo informático en especial”. (p. 265).
De lo anterior, se puede colegir que en los dos párrafos antecedentes los autores citados nos
refieren dos conceptos que coinciden en la salvaguarda de un bien jurídico claramente vinculado
con la dignidad humana, por su parte el autor Zúñiga, lo refiere como Habeas Data, y el autor
Nogueira, como derecho a la autodeterminación informativa, que para el caso en estudio es
equiparable toda vez que ambos buscan formar un control autónomo sobre los datos personales.
Autores como Masciotra (2003), lo definen como derecho a la autodeterminación
informativa, y en virtud de ese concepto, me permito reproducirlo así:
“El "derecho a la autodeterminación informativa" fue consagrado por el Tribunal Federal
Constitucional con sede en Karlsruhe, Estado de Badén-Wurtemberg en el fallo conocido como
"sentencia del censo" ("Volkszáhlungsurteil, BverfGE 65, 1 y sgtes.). A esta decisión se le atribuye
la configuración del concepto de "autodeterminación informativa o libertad informática que es
reconocido actualmente en forma predominante como el fundamento del hábeas data en las
legislaciones que contemplan derechos análogos...". (…) es el ciudadano quien debe decidir sobre
la cesión y uso de sus datos personales. Este derecho -se dijo puede ser restringido por medio de
una ley por razones de utilidad social, pero respetando el principio de proporcionalidad y
garantizando que no se produzca la vulneración del derecho a la personalidad.
Así como el derecho a la intimidad se encuentra vinculado a la creación pretoriana de los tribunales
de los EE.UU., la doctrina y la jurisprudencia germanas han elaborado el concepto del "derecho a
la autodeterminación informática" (Recht auf informationelle Selbstimung), concepción superadora
Regulación en materia de protección de datos personales o habeas data en Colombia 13
de la llamada "teorías de las esferas", según la cual se establecía una protección diferenciada de
acuerdo con el mayor o menor grado de afectación de la intimidad. Constituirían a modo de
círculos concéntricos, representativos de una triple graduación de la vida privada, desde el más
permisivo al más restringido”. (p. 137).
En Colombia, el Habeas Data, se desglosa del artículo 15 de la Constitución, y ha sido
desarrollado por la jurisprudencia constitucional que lo define como el derecho otorgado a los
titulares de datos personales para controlar la información que sobre ellos este recolectada en las
entidades administradoras de bases datos, y de esta manera conocer, actualizar rectificar o
excluir dicha información; así como también reservarse su consentimiento para divulgarla sin
autorización previa. Este concepto está desarrollado en la sentencia No. T-094/95, que se inserta
a continuación:
“El HABEAS DATA es derecho autónomo y fundamental plasmado en el artículo 15 de la
Constitución, que permite a toda persona conocer, actualizar y rectificar las informaciones
que sobre ella hayan sido consignadas en bancos de datos y en archivos de entidades
públicas o privadas, en defensa de sus derechos fundamentales a la intimidad, a la honra y
al buen nombre”. (Corte Constitucional, 1995, T-094, p. 2).
Así pues, el contenido del derecho a la autodeterminación de la información ha sido objeto de
análisis a través de la jurisprudencia de la Corte Constitucional, donde se diferencia la tensión de
la doble dimensión del Habeas Data por un lado como un derecho autónomo, derecho a la
autodeterminación de la información (libertad informática) y, por otro lado, la garantía
constitucional a través del mecanismo procedimental de protección de datos personales.
1.3 Titular del derecho de Habeas Data
En cuanto a la titularidad de este derecho, los únicos sujetos que podrían poner en marcha el
aparato jurisdiccional para el reconocimiento de sus pretensiones serian únicamente las personas
físicas, descartando así a las personas jurídicas. (Garriga Domínguez, 2011).
Este concepto fue desarrollado en la Ley Orgánica 15/1999, de 13 de diciembre, en su
numeral 1 que reza:
“La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al
tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las
personas físicas, y especialmente de su honor e intimidad personal y familiar”.
Regulación en materia de protección de datos personales o habeas data en Colombia 14
Por el contrario en nuestro ordenamiento jurídico toda persona natural o jurídica es titular legítima
de este derecho, aquí el legislador se preocupó por ampliarles su titularidad a las personas jurídicas
por cuanto su información está incluida en un banco de datos integrado por personas naturales y
por ende es objeto de tratamiento.
Es así como la jurisprudencia constitucional ratifico el concepto esbozado en el párrafo anterior de
este modo:
“(…) el titular es la persona natural cuyos datos personales sean objeto de tratamiento. A juicio de
la Sala, esta definición se ajusta a la Carta y no desconoce la jurisprudencia de esta corporación en
la que se ha indicado que las personas jurídicas también son titulares del derecho al Habeas Data,
pues (…), la protección que se brinda a las personas jurídicas en este respecto es en virtud de las
personas naturales que la conforman. Por tanto, eventualmente, la protección del Habeas Data se
podrá extender a las personas jurídicas cuando se afecten los derechos de las personas naturales que
la conforman (…) (Corte Constitucional, 2011, C-748, Pág. 169)
1.4 Garante del derecho de Habeas Data
La Ley estatutaria 1581 de 2012, concretamente en los capítulos I y II del Título VII, y el
artículo 25 (Reglamentado por el Decreto Nacional 886 de 2014), instauró el Registro Nacional
de Bases de Datos, – RNBD - el cual esta administrado por la Superintendencia de Industria y
Comercio (entidad autónoma e independiente), mediante la Delegatura para la Protección de
Datos Personales quien está a cargo de ejercer las funciones de autoridad de protección de datos.
La finalidad que persigue la referida entidad es la de regular los principios que tutelan el
tratamiento de datos, así como los derechos, deberes y responsabilidades de los sujetos
intervinientes. Además de garantizar mediante un sistema sancionatorio el cumplimiento efectivo
de este derecho.
A este respecto es preciso citar fragmentariamente tanto doctrina como jurisprudencia que
desarrolla nuestro Estado Social de Derecho, bajo unos modelos célebres como son los europeos.
En este entendido Cifuentes (2006), refiere que la acción de tutela es un mecanismo que se
caracteriza por defender los derechos fundamentales:
“(…) la acción de tutela es por el momento el medio idóneo para reclamar su protección en los
eventos de violación o de amenaza. La acción de tutela, regulada en el artículo 86 de la CP, se
caracteriza por su probada eficacia para defender la efectividad de los derechos fundamentales. La
Regulación en materia de protección de datos personales o habeas data en Colombia 15
revisión eventual de las sentencias que se profieran, por parte de la Corte Constitucional, de otro
lado, ha permitido que progresivamente se conforme un cuerpo doctrinal que orienta la actividad
judicial y que está atenta a adaptar los fallos a los nuevos retos y desafíos que enfrentan los
derechos. (…) a través de la acción de tutela, se puede, solicitar y obtener la condigna
indemnización por concepto del daño emergente a cargo de quien ha vulnerado o puesto en peligro
un derecho fundamental, la Corte excepcionalmente la ha impuesto”. (p. 92).
Como lo expresa el autor, esta garantía satisface nuestra normativa interna, pues en otros
países lo denominan recurso de amparo o de protección, máxime que esta prerrogativa
reconocida en directrices internacionales como la Declaración Universal de los Derechos
Humanos y el Pacto Internacional de Derechos Civiles y políticos de las Naciones Unidas,
convergen en establecer un denominado “Recurso Efectivo” en busca de amparar los derechos
fundamentales.
Ahora bien, en Sentencia T-176ª del veinticinco (25) de marzo de dos mil catorce (2014), con
ponencia del Magistrado Jorge Pretelt, alude sobre el tema al siguiente tenor:
“El reconocimiento del derecho fundamental autónomo al Habeas Data, busca la protección de
los datos personales en un universo globalizado en el que el poder informático es creciente. Esta
protección responde a la importancia que tales datos revisten para la garantía de otros derechos
como la intimidad, el buen nombre, el libre desarrollo de la personalidad, entre otros. Sin embargo,
el que exista una estrecha relación con tales derechos, no significa que no sea un derecho diferente,
en tanto conlleva una serie de garantías diferenciables, cuya protección es directamente reclamable
por medio de la acción de tutela, sin prejuicio del principio de subsidiariedad que rige la
procedencia de la acción”. (Corte Constitucional, 2014, p. 1).
La Corte Constitucional colombiana, ha acogido la acción de tutela como un mecanismo
subsidiario y transitorio para salvaguardar los derechos fundamentales cuando estos se
encuentren amenazados. En torno al –derecho de Habeas Data -, se evidencia una fuerte
protección por parte del Estado en su posición de garante que van desde sanciones civiles a
penales a quienes trasgredan este derecho.
1.5 Intervinientes en el derecho de Habeas Data
A este respecto se puede indicar que hay dos tipos de sujetos, tanto el activo como el pasivo,
con base en esta premisa la Corte Constitucional ha precisado que el sujeto activo –Titular del
Regulación en materia de protección de datos personales o habeas data en Colombia 16
dato- es la persona a quien le concierne la información susceptible de ser tratada, en tanto que el
sujeto pasivo se alude a los sujetos responsables y encargados de organizar almacenar difundir
información de los bancos de datos llámense administradores, operadores o usuarios. (Cifuentes
Muñoz, 2006). Inspirados en el Derecho Comunitario Europeo se detallan así:
1.5.1 Titular del dato
Se predica de las personas tanto naturales como jurídicas, en el entendido que ambos generan
información que reposan en las bases de datos. A este respecto el documento Directiva 95/46/CE
del Parlamento Europeo y del Consejo de 24 de octubre de 1995, en su artículo 2 literal a refiere:
"(...) (el «interesado»); se considerará identificable toda persona cuya identidad pueda
determinarse, directa o indirectamente, en particular mediante un número de identificación o uno
o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica,
económica, cultural o social.” (CE, 1945, Directiva 95/46, Pág. 9)
1.5.2 Responsable del tratamiento
Entendiéndose como la persona natural o jurídica que decide sobre la base de datos –
determina sus fines- o su tratamiento, puede ser de naturaleza pública o privada y actuar a
nombre propio o asociada con otras entidades. (Remolina Angarita, 2013).
Otros marcos legales de carácter internacional lo definen como controladores de fichero,
controladores de datos, controladores de información personal etc. Para este caso me permito
compararlo con la Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de
1995, la cual expresa en su Artículo 2 Literal d:
“Responsable del tratamiento la persona física o jurídica, autoridad pública, servicio o
cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del
tratamiento de datos ,personales; en caso de que los fines y los medios del tratamiento estén
determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el
responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por
el Derecho nacional o comunitario.” (CE, 1945, Directiva 95/46, Pág. 9)
Regulación en materia de protección de datos personales o habeas data en Colombia 17
El criterio previsto en nuestro ordenamiento se define en la jurisprudencia de la Corte
Constitucional (v. gr. Sentencia C-748/11), a saber:
“El responsable del tratamiento es aquel que define los fines y medios esenciales para el
tratamiento del dato, incluidos quienes fungen como fuente y usuario y los deberes que se le
adscriben responden a los principios de la administración de datos y a los derechos –intimidad y
Habeas Data - del titular del dato personal. El responsable del tratamiento es quien debe solicitar y
conservar la autorización en la que conste el consentimiento expreso del titular para el tratamiento
de sus datos, así como informar con claridad la finalidad del mismo”. (Corte Constitucional,
2011, C 748, Pág. 14).
1.5.3 Encargado del tratamiento
Se designa así a la persona natural o jurídica, que particularmente o en colaboración con
otros, trate datos personales por encargo o delegación del responsable de tratar dicha
información. Conforme a la doctrina internacional encontramos en el documento de la Directiva
95/46/CE Artículo 2 Literal e, del parlamento europeo la siguiente definición
“encargado del tratamiento la persona física o jurídica, autoridad pública, servicio o cualquier
otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del
responsable del tratamiento”. (CE, 1945, Directiva 95/46, Pág. 9)
A su vez, la Sala Plena de la Corte Constitucional, en sentencia del seis (6) de octubre de dos
mil once (2011), -Sentencia C-748/11- lo define como:
“(..) Quien realiza el tratamiento de datos personales por cuenta del responsable del
tratamiento, quien, en cumplimiento de los principios de libertad y finalidad, al recibir la
delegación para tratar el dato en los términos en que lo determine el responsable, debe cerciorarse
de que aquel tiene la autorización para su tratamiento y que el tratamiento se realizará para las
finalidades informadas y aceptadas por el titular del dato. Si bien, en razón de la posición que cada
uno de estos sujetos ocupa en las etapas del proceso del tratamiento del dato, es al responsable al
que le corresponde obtener y conservar la autorización del titular, ello no impide al encargado
solicitar a su mandante exhibir la autorización correspondiente y verificar que se cumpla la
finalidad informada y aceptada por el titular de dato”. (p. 14).
Regulación en materia de protección de datos personales o habeas data en Colombia 18
1.5.4. Usuarios
Personas naturales o jurídicas que pueden tener acceso a la información aportada bien sea por
los titulares, encargados, o responsables de su tratamiento. En este sentido el numeral f de la
Directiva 95/46/CE, expresa:
“Tercero. La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo
distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las
personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o
del encargado del tratamiento”. (CE, 1945, Directiva 95/46, Pág. 9)
1.6 Conclusiones parciales
Cabe concluir que el cimiento de la protección de datos personales, encuentra su génesis en
importantes declaraciones del ámbito internacional, y su avance está ligado a uno de sus
primeros referentes denominado The Right to Privacy el cual lleva implícito el derecho a la
privacidad, en los Estados Unidos.
Por su parte en el plano europeo cabe la pena destacar los aportes de diferentes instituciones
que impidieron la vulneración de los derechos fundamentales de las personas, entre los que por
mencionar algunos se destacan: el Convenio para la Protección de los Derechos Humanos y de
las Libertades Fundamentales, el Convenio para la protección de las personas con respecto al
tratamiento automatizado de datos de carácter personal, la Ley de Protección de Datos de Hesse,
la Directiva 95/46/CE de 24 de octubre de 1995 proferida por el Consejo Europeo etc.
Del Sistema Interamericano, nos referimos a la Ley Modelo Interamericana sobre Acceso a la
Información Pública, la Convención Americana sobre Derechos Humanos, la Resolución
AG/RES. 2842 (XLIV-O/14), de Acceso a la Información Pública y protección de datos
Personales, las Reglas Mínimas para la Difusión de Información Judicial en Internet (o Reglas de
Heredia), encaminadas a promover y salvaguardar el acceso y la difusión de la información.
Este derecho surgió como corolario del progreso de nuevas tecnologías, lo que por un lado
concibió significativos aportes en la era informática y colateralmente genero daños en el campo
de la esfera íntima de las personas. Para nuestro modelo de protección de datos que es basado en
las normas Europeas, el fundamento constitucional de la autodeterminación informativa está
Regulación en materia de protección de datos personales o habeas data en Colombia 19
consagrado en artículo 15 de nuestra Constitución, y busca que cualquier persona pueda acceder
a conocer, actualizar y rectificar información contenida en una base de datos en un archivo
público privado.
Esta garantía como la señalan algunas regulaciones, está planteada como un medio de control
del cual gozan los individuos para poder tener un manejo apropiado de su información personal
que está contenida en las diferentes bases de datos. A este respecto nos referimos a los titulares
del dato, como las personas a quienes les pertenece la información susceptible de ser tratada, y
los sujetos responsables quienes son los encargados de organizar almacenar difundir información
de los bancos de datos llámense administradores, operadores o usuarios.
2. De los derechos del titular de datos personales, de los datos tratados y del mecanismo
procesal para su protección
2.1 Derechos del titular de Habeas Data
La problemática en cuanto a los contenidos mínimos de los derechos de los titulares ha sido
emprendida por diferentes organizaciones internacionales; entre las que por citar algunas se
encuentran Alemania con la Ley del “Land de Hesse”, y "Datenschutzgesetz"- Ley federal de
protección de datos-, Estados Unidos con el Privacy Act, Inglaterra con el "Informe Younger"
etc, Asimismo encontramos el Tribunal Europeo de Derechos Humanos, el Convenio de Roma,
entre otros. En nuestro ordenamiento jurídico ha quedado incorporada en la Ley 1581 de 2012,
Titulo IV, en sus artículos 8 a 13, así como en desarrollo jurisprudencial de donde se desprenden
los mandatos normativos esenciales.
Cabe destacar que “(…) el derecho a la "autodeterminación informativa" conlleva a la soberanía
total y absoluta de la información subjetiva por parte del titular de los datos en desmedro de los
restantes integrantes de la sociedad y del Estado, que en algunas situaciones tienen el derecho y el
deber de conocer de ciertos y determinados datos. No existen derechos absolutos, sino un equilibrio
entre los intereses generales de la comunidad y los que la integran. (Masciotra, 2003, Pág.141).
Por lo anterior se han acopiado una serie de derechos en los denominados “derechos Arcars”
acrónimo que traduce autorizar, revocar, conocer, actualizar, rectificar o suprimir los datos
personales en situaciones específicas. (Remolina Angarita, 2013, Pag. 226)
Regulación en materia de protección de datos personales o habeas data en Colombia 20
Conforme a otros criterios que emanan de diferentes directrices encontramos la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal de España, -
consignadas en Articulo 5 numeral d; en la que se encuentran los “derechos Arco” (acceso,
rectificación, cancelación y oposición). Y este modelo europeo, es el que actualmente se aplica
en nuestra legislación, mismo al que haremos referencia a continuación.
“Artículo 5. Derecho de información en la recogida de datos.
(…)De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y
oposición (...)”
Asimismo la autora Garriga (2011) refiere en su libro Tratamiento de datos personales y
derechos fundamentales lo siguiente:
“Derechos de acceso, rectificación y cancelación. Junto con los derechos de rectificación y
cancelación de datos, el derecho de acceso constituye el instrumento idóneo para que el ciudadano
pueda controlar la información que sobre él tienen registrada entidades públicas y privadas. De la
misma manera que los derechos de información y a prestar o no el propio consentimiento, suponen
los instrumentos «a priori» de control sobre los datos personales, anteriores al momento en que
estos pasan a formar parte de un fichero, los derechos de acceso, cancelación y rectificación lo son
a «posteriori», ya que permiten a su titular ejercer el control sobre aquellos datos que han sido
recabados y registrados en el pasado. Son derechos subjetivos de carácter personalísimo 334 y
deberán ser ejercidos directamente por el afectado frente al responsable del fichero, salvo que aquél
se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio de los
mismos, en cuyo caso podrá actuar su representante legal”. (p. 131).
Como se aprecia en esta definición la autora nos habla del consentimiento, y con él se busca
facultar al individuo para controlar la información personal que es objeto de tratamiento y con
ello garantizar que tenga el control de sus datos personales de una manera prolija. Para apoyar
esta apreciación me remito de nuevo a la Ley Orgánica 15/1999, de Protección de Datos de
Carácter Personal, que textualmente reseña:
“Artículo 6. Consentimiento del afectado.
1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del
afectado, salvo que la ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el
ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus
competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial,
laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el
Regulación en materia de protección de datos personales o habeas data en Colombia 21
tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos
del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al
público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el
responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se
vulneren los derechos y libertades fundamentales del interesado.
3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada
para ello y no se le atribuyan efectos retroactivos.
4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los
datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su
tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación
personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al
afectado” (LOPDP, 1999, Bloque 9: #a6).
2.1.1. Derecho a conocer -a acceder- (rigth to know)
O también denominado derecho a ser informado acerca de quién es el tratante de los datos,
que registros contiene esa información, cual es el fin buscado con la elaboración del registro en
cuanto a su uso y destino. Etc. En El plano normativo lo podemos evidenciar en el decreto 1377
de 2013, en su artículo 21, mediante el cual se reglamenta parcialmente la Ley 1581 de 2012.
A este respecto, Rebollo (2015) enuncia este derecho de la siguiente manera: “Derecho de
acceso. “El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus
datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las
comunicaciones realizadas o que se prevén hacer de los mismos” (p. 86).
En este mismo sentido la Directiva 95/46/CE de 24 de octubre de 1995 proferida por el
Consejo Europeo conceptualiza:
“Sección V Derecho De Acceso Del Interesado A Los Datos
Artículo 12. Derecho de acceso Los Estados miembros garantizarán a todos los interesados el
derecho de obtener del responsable del tratamiento: a) libremente, sin restricciones y con una
periodicidad razonable y sin retrasos ni gastos excesivos: - la confirmación de la existencia o
inexistencia del tratamiento de datos que le conciernen, así como información por lo menos de los
fines de dichos tratamientos, las categorías de datos a que se refieran Y los destinatarios o las
categorías de destinatarios a quienes se comuniquen dichos datos; - la comunicación, en forma
inteligible, de los datos objeto de los tratamientos, así como toda la información disponible sobre el
Regulación en materia de protección de datos personales o habeas data en Colombia 22
origen de los datos; - el conocimiento de la lógica utilizada en los tratamientos automatizados de
los datos referidos al interesado, al menos en los casos de las decisiones automatizados a que se
refiere el apartado 1 del artículo 15” (p. 13).
2.1.2 Derecho a solicitar rectificación modificación o actualización (right to correct)
También permite aclarar o agregar la información que se encuentre en un banco de datos para
que el registro sea verdadero y completo, lo que se traduce en que constantemente deba ser
actualizado por parte del responsable de su tratamiento y permita obtener un perfil correcto del
titular de la información, evitando incurrir en errores acerca de la realidad actual y
consecuentemente pueda llegar a generarle un perjuicio.
Así pues lo menciona Marzo (2009): “Los derechos de rectificación y cancelación El
derecho de rectificación es el derecho del interesado a que se modifiquen los datos que resulten ser:
Inexactos. Incompletos. Sin perjuicio del deber de bloqueo que corresponde al responsable del
tratamiento, (...) el ejercicio del derecho de cancelación dará lugar a que se supriman los datos que
resulten ser: Inadecuados. Excesivos. En los supuestos en que el interesado invoque el ejercicio del
derecho de cancelación para revocar el consentimiento previamente prestado al responsable del
tratamiento para un tratamiento concreto (…)” (p. 207).
Esta definición es congruente con la disposición contenida en el artículo 16, numerales 1 a 5
de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
“Artículo 16. Derecho de rectificación y cancelación.
1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación
o cancelación del interesado en el plazo de diez días.
2. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se
ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o
incompletos.
3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de
las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles
responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas.
Cumplido el citado plazo deberá procederse a la supresión.
4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del
tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado,
Regulación en materia de protección de datos personales o habeas data en Colombia 23
en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la
cancelación.
5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las
disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad
responsable del tratamiento y el interesado”. (LOPDP, 1999, Bloque 20: #a6)
En otras palabras, este derecho incluido en diferentes marcos constitucionales vislumbra la
posibilidad al titular de Habeas Data de acudir al aparato jurisdiccional en el evento que sus
datos no sean tratados para el fin dispuesto.
2.1.3 Derecho a la eliminación de información (derecho al olvido)
También denominado “derecho a la caducidad del dato negativo”, tema de especial
relevancia en normas regionales europeas y norteamericanas, en razón a sus diferentes escenarios
relacionados con la salvaguarda de la privacidad y dignidad personal del titular de la
información, toda vez que goza del amparo legal para poder exigir la desaparición de sus datos
existentes en bases de información, redes sociales, y motores de búsqueda de Internet.
En la doctrina española, se recogió un concepto de este derecho por parte de Álvarez (2015),
el cual me permito compartir:
“El derecho al olvido (denominado en inglés the right to be forgotten o the right to oblivion) está
inexorablemente ligado al derecho a la protección de datos y al derecho a la intimidad. Este
derecho, aún no reconocido como tal, ha sido objeto de abundantes reflexiones, pese a su corta vida
que aún podría calificarse de embrionaria, en estado de germen o fase de gestación. En el ámbito de
los derechos fundamentales se han venido identificando una serie de conflictos. Entre ellos
destacan, la clásica colisión entre seguridad y libertad, presente en muchas políticas legislativas tras
el 11-S 192, el conflicto entre la intimidad y el derecho de defensa y la investigación penal, o el
derecho de la sociedad a protegerse frente a comportamientos que se han decidido penalizar, la
controversia entre el derecho a expresarnos o incluso a exhibirnos y el derecho a
arrepentirnos(…)el derecho al olvido está íntimamente ligado al derecho al arrepentimiento y a
borrar de la memoria colectiva digital ciertos datos personales y está ligado al autocontrol de los
propios datos personales(...)” (p. 67).
Con esta eliminación se busca proteger el interés genuino de los titulares de información
frente a la divulgación de hechos acaecidos y que actualmente no consientan que sigan siendo
difundidos.
Regulación en materia de protección de datos personales o habeas data en Colombia 24
Otro referente de este derecho lo podemos ubicar en El Tribunal de Justicia de la Unión
Europea (TJUE), con referencia al caso Google Spain, S.L., Google Inc. Contra Agencia
Española de Protección de Datos (AEPD), Mario Costeja González, y por el momento
únicamente procederé a citarlo debido que el título IV del presente artículo se desarrollara
ampliamente este tema.
2.2 Tipo de datos protegidos
En cuanto al acceso de datos personales a través de cualquier medio de circulación llámese
Internet o cualquier otro medio de comunicación masiva, únicamente la información pública
podrá ser utilizada y consultada de conformidad con la regulación legal, garantizando de esta
manera el derecho a la información consagrado en el artículo 20 de nuestra carta política.
Jurisprudencialmente se han planteado dos tipos de clasificación de la información a saber:
2.2.1 Clasificación 1
Alude al derecho a la intimidad – bien jurídico inalienable- y se divide en información
personal e impersonal; en este sentido la Corte Constitucional (2002), refiere:
“En función de la especialidad del régimen aplicable al derecho a la autodeterminación, esta
diferenciación es útil principalmente por tres razones la primera, es la que permite afirmar que en el
caso de la información impersonal no existe un límite constitucional fuerte al derecho a la
información, sobre todo teniendo en cuenta la expresa prohibición constitucional de la censura
(artículo 20 inciso 2º), sumada en algunos casos a los principios de publicidad, transparencia y
eficiencia en lo relativo al funcionamiento de la administración pública (artículo 209) o de la
administración de justicia (artículo 228). Una segunda razón, está asociada con la reconocida
diferencia entre los derechos a la intimidad, al buen nombre y al Habeas Data, lo cual implica
reconocer igualmente las diferencias entre su relación con la llamada información personal y su
posible colisión con el derecho a la información. La tercera razón, guarda relación con el régimen
jurídico aplicable a los llamados procesos de administración de datos inspirado por principios
especiales y en el cual opera, con sus particularidades, el derecho al Habeas Data” (T-729, p. 13).
De otra parte la Directiva 95/46 CE, consigna en su Artículo 2 literal a:
Regulación en materia de protección de datos personales o habeas data en Colombia 25
“A efectos de la presente Directiva, se entenderá por:
a) «datos personales»: toda información sobre una persona física identificada o identificable (el
«Interesado»); se considerará identificable toda persona cuya identidad pueda determinarse, directa
o indirectamente, en particular mediante un número de identificación o uno o varios elementos
específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o
social”.
Con ello quiere significar que la interrelación existente entre una persona y los datos que la
caracterizan determinan su status frente a diferentes situaciones de índole social cultural o
económica.
2.2.2 Clasificación 2
Fragmenta los datos personales desde un enfoque cualitativo y según su grado de difusión, es
decir desde una perspectiva que permita identificar quienes pueden recolectar, tratar, y acceder a
este tipo de información. En este mismo sentido la Corte Constitucional implanta la existencia de
información pública o de dominio público, la información semi-privada, la información privada
y la información reservada o secreta.
2.2.2.1 Datos públicos. De conformidad con el Decreto 1377 de 2013, en el numeral 2 del
artículo 3, corresponde a los datos que no estén clasificados en las otras categorías, por lo que se
considera residual -es decir que no sean semiprivados, privados o sensibles-. Además
ejemplariza algunos como lo son los relativos a:
“Estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de
servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en
registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales
debidamente ejecutoriadas que no estén sometidas a reserva”. (Congreso de la República, 2013,
Decreto 1377).
A este respecto la Sentencia C-1011 de 2008, de la Corte Constitucional refiere:
“La información pública es aquella que puede ser obtenida sin reserva alguna, entre ella los
documentos públicos, habida cuenta el mandato previsto en el artículo 74 C.P. Otros ejemplos se
encuentran en las providencias judiciales, los datos sobre el estado civil de las personas o sobre la
Regulación en materia de protección de datos personales o habeas data en Colombia 26
conformación de la familia. Esta información, puede ser adquirida por cualquier persona, sin
necesidad de autorización alguna para ello”. (C-1011, p. 11).
Esta tipología según desarrollo jurisprudencial previsto por la Corte, permite a cualquier
persona obtener información general, privada o personal de cualquier otro individuo sin
discreción alguna, -uso incontrolado- máxime que no debe cumplir ningún requisito para su
acceso. (Sentencias T 729 de 2002, C 336 de 2007, C 1011 de 2008, C 334 de 2010, T-020/14).
Para matizar lo contenido en las disposiciones anteriores, es preciso incorporar lo establecido
en documentos internacionales como el contenido en el marco de privacidad APEC, que refiere:
“Información a disposición del público significa información personal acerca de un individuo,
que él mismo hace o permite que esté disponible al público, o es obtenida o accedida legalmente
desde:
a) registros del gobierno que están disponibles para el público;
b) reportes periodísticos; o
c) Información requerida para por la ley para ser puesta a disposición del público.”
2.2.2.2 Datos privados. Se encuentran en la esfera privada del titular de la información, en el
entendido que no es lícito acceder a ellos sin su consentimiento, porque se configuraría una
violación del derecho a la intimidad y únicamente se pueden obtener mediante orden judicial.
Para ratificar tal afirmación, y en función de lo señalado precedentemente, la Corte
Constitucional (2008), indica que:
“La información privada es aquella que se encuentra en el ámbito propio del sujeto concernido
y, por ende, sólo puede accederse por orden de autoridad judicial competente y en ejercicio de sus
funciones. Entre dicha información se encuentran los libros de los comerciantes, los documentos
privados, las historias clínicas, los datos obtenidos en razón a la inspección de domicilio o luego de
la práctica de pruebas en procesos penales sujetas a reserva, entre otros.” (C-1011, p. 11).
Por lo anterior, esta normativa es concordante con lo estatuido en la Ley Orgánica 15/1999,
de 13 de diciembre, de protección de datos de carácter personal al siguiente tenor:
“1. (…) nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Cuando en
relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado
siguiente, se advertirá al interesado acerca de su derecho a no prestarlo.
2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento
los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se
exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o
comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya
Regulación en materia de protección de datos personales o habeas data en Colombia 27
finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados
o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo
consentimiento del afectado”. (LOPDP, 1999, Bloque 10: #a7)
Como consecuencia de este mandato de obligatorio cumplimiento y en armonía con la
legislación interna de cada país, es preciso determinar el perfil al cual se integran los datos
recogidos en los ficheros para poder darles el tratamiento que merecen sin desconocer el objeto
principal de salvaguarda de la integridad de la persona.
2.2.2.3 Datos semiprivados. Refieren a la reserva de información por parte de los
administradores del registro, por lo que es conveniente mantenerlo bajo la confidencialidad a su
cargo, ya que por su naturaleza únicamente admiten un uso personal exclusivo, o un fin legal en
tratándose de actividades financieras, comerciales o de servicios.
Para ampliar este concepto me permito citar el alcance dado por la Corte Constitucional
(2008), así:
“La información semiprivada es aquel dato personal o impersonal que, al no pertenecer a la
categoría de información pública, sí requiere de algún grado de limitación para su acceso,
incorporación a bases de datos y divulgación. Por ende, se trata de información que sólo puede
accederse por orden de autoridad judicial o administrativa y para los fines propios de sus funciones,
o a través del cumplimiento de los principios de administración de datos personales. Ejemplo de
estos datos son la información relacionada con el comportamiento financiero, comercial y crediticio
y los datos sobre la seguridad social distintos a aquellos que tienen que ver con las condiciones
médicas de los usuarios”. (C-1011, p. 138).
A este respecto, y de conformidad con lo establecido en el artículo 7 numeral 5 de LOPD, la
citada norma refiere:
“5. Los datos de carácter personal relativos a la comisión de infracciones penales o
administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes
en los supuestos previstos en las respectivas normas reguladoras”. (LOPDP, 1999, Bloque 10: #a7)
Como concibe el precedente, de este órgano de control y bajo los principios en cuanto a la
protección de datos se refiere, vemos que el sistema debe generar políticas rígidas que acentúen
el cumplimiento por parte de los administradores de datos en lo concerniente al fin idóneo de su
tratamiento.
2.2.2.4 Datos sensibles. Refiere a los datos primordialmente protegidos de un potencial trato
marginal o discriminatorio, y que perturben la dignidad del afectado o titular. La jurisprudencia
Regulación en materia de protección de datos personales o habeas data en Colombia 28
ha enunciado diferentes tesis de "datos sensibles" a lo largo de su estudio. – El concepto que
comparto- se encuentra en la Corte Constitucional (2010), que expresa:
“La información reservada es aquella que sólo interesa al titular en razón a que está estrechamente
relacionada con la protección de sus derechos a la dignidad humana, la intimidad y la libertad;
como es el caso de los datos sobre la preferencia sexual de las personas, su credo ideológico o
político, su información genética, sus hábitos, etc. Estos datos, que han sido agrupados por la
jurisprudencia bajo la categoría de “información sensible”, no son susceptibles de acceso por parte
de terceros, salvo que se trate en una situación excepcional, en la que el dato reservado constituya
un elemento probatorio pertinente y conducente dentro de una investigación penal y que, a su vez,
esté directamente relacionado con el objeto de la investigación. En este escenario, habida cuenta la
naturaleza del dato incorporado en el proceso, la información deberá estar sometida a la reserva
propia del proceso penal”. (C-334, p. 5).
Asimismo en sentencia T-729/02, el legislador reconoce que esta tipificación apoya la
restricción entre la información que es susceptible de ser conocida, en ejercicio del derecho a la
información y la de naturaleza intima que solo concierne a su titular y por ende está prohibida su
publicación.
Acogiendo otros enfoques doctrinales en la materia, La Directiva 95/46/CE, en su artículo 8
numeral 1; implanta:
"Tratamiento de categorías especiales de datos 1. Los Estados miembros prohibirán el
tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las
convicciones religiosas o filosóficas, la pertenencia a sindicatos, así como el tratamiento de los
datos relativos a la salud o a la sexualidad...".
En función de esta especialidad también la Ley 1581 (2012), esgrime su concepción donde
incorpora primigeniamente los datos biométricos y su tratamiento, así:
“Artículo 5°. Datos sensibles. Para los propósitos de la presente Ley, se entiende por datos
sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su
discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las
convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de
derechos humanos o que promueva intereses de cualquier partido político o que garanticen los
derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la
vida sexual y los datos biométricos.
Artículo 6°. Tratamiento de datos sensibles. Se prohíbe el Tratamiento de datos sensibles, excepto
cuando
Regulación en materia de protección de datos personales o habeas data en Colombia 29
a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por
Ley no sea requerido el otorgamiento de dicha autorización;
b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre
física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su
autorización;
c) El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías
por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya
finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus
miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos
eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular;
d) El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa
de un derecho en un proceso judicial;
e) El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán
adoptarse las medidas conducentes a la supresión de identidad de los Titulares” (Arts. 5 y 6).
Ahora bien la sentencia C 748 de 2011, amplía su espectro de aplicación a organizaciones
sociales, de Derechos Humanos, o que promueva intereses de cualquier partido político o que
garanticen los derechos y garantías de partidos políticos de oposición, motivada en la protección
de las víctimas.
Con carácter especial Herrán (2004) alude, el significado de datos sensibles como sometidos
a un régimen especial dado la necesidad y especialidad de la persona.
“(…) Es por ello, que se ha introducido el concepto de datos sensibles, para referirse a la
información que debe ser especialmente protegida a tenor de su especial incidencia en el ámbito de
la persona. Como tradicionalmente se ha venido insistiendo, determinados datos personales, por su
especial vinculación a la persona merecen, y así lo han entendido los legisladores de forma
unánime, una protección reforzada en relación con otros datos que aun siendo también personales,
no afectan al núcleo esencial de la persona y a su esfera privada. Es por ello, que se ha introducido
el concepto de datos sensibles, para referirse a la información que debe ser especialmente protegida
a tenor de su especial incidencia en el ámbito de la persona.” (p. 225- 226).
2.3 Procedimiento de protección de datos personales en Colombia – mecanismo garantía
constitucional de Habeas Data.
Regulación en materia de protección de datos personales o habeas data en Colombia 30
El marco normativo del Habeas Data en Colombia se ha venido regulando bajo unos
principios básicos de (veracidad-finalidad-circulación-temporalidad-interpretación-seguridad y
confidencialidad), incluyendo normas que garanticen el debido cumplimiento de este derecho, y
un amparo eficaz, contra la eventual afectación por su indebida utilización. (Corte
Constitucional, 2015, T-366, p. 18).
La legislación Colombiana adoptó esta iniciativa y fue reconocida en la Constitución de
1991, Posteriormente apareció la Ley Estatutaria 1266 de 2008, con una orientación sectorial o
especial para el sector financiero, -relacionada con el riesgo crediticio- consecutivamente fue
necesario expedir la Ley 1581 de 2012, ante la insuficiencia de la Ley 1266 de 2008, y la
creciente necesidad de ampliar la reglamentación a todos los tipos de datos que salieran de esa
orbita, y que permitiera cumplir con los estándares internacionales.
Finalmente se centralizaron competencias, bajo la denominada regulación administrativa, que
puso en marcha el sistema de registro de bases de datos personales o registro de ficheros - RNBD
bajo la responsabilidad de la Superintendencia de Industria y Comercio.
En el ámbito de la legislación internacional se han determinado medidas especiales que
propenden por la tutela efectiva de los datos personales, mediante decretos, decisiones,
directivas, jurisprudencia etc. Tanto en los sistemas de Estados Unidos como de Europa se han
conformado diferentes normativas tendientes al amparo de los derechos personales, es así como a
nivel de Latinoamérica bajo estos precedentes los diferentes países han incorporado en sus
constituciones esta garantía promoviendo la protección de datos personales.
Haciendo un recorrido normativo de los procedimientos para ejercitar este derecho
encontramos los siguientes:
Universalmente encontramos la Resolución 45/95, adoptada por la Asamblea General de la
ONU, fechada 14 de diciembre de 1990, contentiva de los principios rectores para la
reglamentación de los ficheros computadorizados.
Posteriormente, la Organización para la Cooperación y el Desarrollo Económico (OCDE),
conocida por armonizar políticas tendientes a optimizar el desarrollo económico y social de las
personas a nivel mundial, impulsó diferentes preceptos entre las cuales se encuentran las
Directrices sobre protección de la privacidad y flujos transfronterizos de datos (directrices de
privacidad), adoptadas el 23 de septiembre de 1980. Consecutivamente aparece la Declaración
sobre flujos de datos transfronterizos del 11 de abril de 1985. Y seguidamente la Declaración
Regulación en materia de protección de datos personales o habeas data en Colombia 31
ministerial sobre la protección de la privacidad de las redes globales, denominada “Un mundo
sin fronteras”, y que se celebró en Ottawa, Canadá entre el 7 y el 9 de octubre de 1998.
En la esfera del derecho internacional, se encuentra decretado el Convenio 108 del Consejo
de Europa, de 28-1-1981, para la protección de las personas con respecto al tratamiento
automatizado de datos de carácter personal, hecho en Estrasburgo el 28 de enero de 1981.
Ratificado por España el 27 de enero de 1984 (entró en vigor de forma general el 1 de octubre de
1985, de conformidad con lo establecido en el artículo 22.2 del mismo). (BOE núm. 274 de 15-
11-1985).
A nivel del derecho comunitario europeo, surge la Directiva 95/46/CE del Parlamento
Europeo y del Consejo, del 24 de octubre de 1995, inherente a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos
datos.
Asimismo, se encuentra la carta de los derechos fundamentales de la Unión Europea,
realizada en Niza, el siete de diciembre del 2000, (2000/C 364/01), la cual proclama en su
artículo 8:
“Protección de datos de carácter personal
1. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan.
2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de
la persona afectada o en virtud de otro fundamento legítimo previsto por la Ley. Toda persona tiene
derecho a acceder a los datos recogidos que la conciernan y a su rectificación.
3. El respeto de estas normas quedará sujeto al control de una autoridad independiente.”
Otro documento internacional se encuentra contenido en el denominado Safe Harbour
Principles (Principios de Puerto Seguro), discutido entre las autoridades del Departamento de
Comercio de Estados Unidos en colaboración con la Unión Europea, encaminado a obtener una
declaración aplicable a nivel de protección de datos personales; decisión de 26 de Julio de 2000.
A este tenor, emerge El Foro de Cooperación Económica de Asia Pacífico APEC Privacy
Framework, que inició su funcionamiento en 1989. Encaminándose hacia el amparo de la
privacidad de la información, soslayando barreras para el tráfico de información.
Doctrinariamente autores como Antonio Rubio, analizan las disposiciones emanadas de los
diferentes organismos internacionales, donde se acredita la creación de una oficina especializada
en reglar el tratamiento de datos, y que para nuestro caso fue el recientemente creado Registro
Nacional de Bases de Datos. (RNBD). El referido autor señala:
Regulación en materia de protección de datos personales o habeas data en Colombia 32
“La Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de datos de
carácter personal, creó la Agencia de Protección de Datos, como ente independiente encargado de
velar por el cumplimiento de las previsiones que dicha ley establece, al precisar el mandato
constitucional, expresado en el artículo 18.4 de nuestra Carta Magna, de “(...) limitar el uso de la
informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el
legítimo ejercicio de sus derechos”. Este cometido le hace seguir con especial interés todas aquellas
nuevas manifestaciones tecnológicas que puedan afectar a la privacidad de los ciudadanos y al uso
que de sus datos personales se puede llevar a cabo a través de ellas”. (Rubio Navarro, 2004, p. 388)
2.4 Conclusiones parciales
Se rompen paradigmas cuando se empieza a hablar del derecho a Habeas Data, y es que la
propiedad del dato como tal no está en cabeza ni de las empresas o las entidades privadas que la
poseen ni en cabeza de las entidades públicas que lo tratan, puesto que realmente esta es en
cabeza de su titular (persona – ciudadano). Por eso se llama Habeas Data (yo protejo mi dato /
yo tengo control sobre mi dato).
Hay dos regímenes de protección de datos en el mundo, el modelo de protección de datos
Europeo del cual tomamos nosotros nuestras normas y el modelo americano. En el modelo
Europeo la esencia del hábeas data es que es un derecho fundamental y por lo tanto se requiere el
consentimiento del titular y están los derechos arco o los derechos que se derivan del derecho a
la autodeterminación informática, y que deben ser protegidos mediante unos principios Leyes y
sanciones.
Para el Modelo Americano el derecho hábeas data es un derecho del usuario no es un derecho
fundamental, y en este modelo el consentimiento no es esencial, lo fundamental es que el
tratamiento del dato se haga con trasparencia frente al individuo, es decir la persona debe saber
para que se está tratando su dato, cual es el uso que se le está dando a ese dato y además que se le
proteja con todas la seguridad existente.
Para poder implementar estos modelos en nuestro país se hizo necesario generar una serie de
Leyes, de conformidad con lo dispuesto por la corte. Es así como se da origen a la primera Ley
para regular este asunto y es la Ley 1266 de 2008, pero es una Ley por decirlo así insuficiente en
el entendido que únicamente regula el ámbito financiero, máxime que se expidió para unas
Regulación en materia de protección de datos personales o habeas data en Colombia 33
circunstancias especiales. Esta Ley fue declarada exequible mediante la sentencia C-1011 de
2008.
Posteriormente, se expide la Ley general de protección de datos personales que es la Ley
1581 de 2012, revisada por la corte en sentencia C-748 de 2011, y es en esta Ley donde se regula
el tratamiento de todos los datos que estén en cabeza de entidades públicas y privadas,
consagrando los deberes y derechos de los titulares, los principios atinentes a este derecho, y su
régimen sancionatorio.
En Colombia, la Ley 1581 de 2012, estableció que la máxima autoridad en materia de
protección de datos es la Superintendencia de Industria y Comercio. Y a su vez esta Ley la regula
el Decreto 1377 de 2013, donde se implementó una de las normas más importantes en materia de
protección de datos que hay, denominadas guías de responsabilidad demostrada con el ánimo de
disminuir las sanciones impuestas a las diferentes entidades.
Ahora bien, Como hemos venido resaltando en este segundo título, y dado los intereses del
bien tutelado como lo es el derecho a la autodeterminación informativa, cabe resaltar la
importancia de contar con un sistema prevalente en el ámbito de la administración de datos, y de
ahí que diferentes legislaciones a nivel mundial hayan acogido sus referentes para incorporarlos
en su carta constitucional.
Lo que nos lleva a reiterar la importante labor desempeñada por la Legislación Española,
cuando origino la denominada Ley Orgánica de Regulación de Tratamiento Automatizado de los
Datos de Carácter Personal (LORTAD), con la finalidad proteger la información personal frente
a los riesgos que puedan derivarse de su mal uso.
3. De los operadores de las bases de datos
3.1 Definición de operadores de bases de datos a nivel internacional, regional y nacional
Cuando se promulgó la LORTAD, Ley Orgánica 5/1992 de 29 de Octubre de Regulación del
Tratamiento Automatizado de Datos de Carácter Personal, se buscó amparar la protección de
datos de las personas con relación al tratamiento de su información.
Regulación en materia de protección de datos personales o habeas data en Colombia 34
Es así como es importante deslindar conceptualmente que es tratamiento de datos, gestor de
datos, motor de búsqueda, para poder entender mejor el ámbito de protección de los datos
personales.
Es plausible a este respecto la referencia realizada por Fernández (2005), donde integra a su
escrito el concepto de tratamiento de datos así:
“La LORTAD introduce el concepto de "tratamiento de datos" ("operaciones y procedimientos
técnicos, de carácter automatizado o no, que permitan la recogida, grabación, conservación,
elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de
comunicaciones, consultas, interconexiones y transferencias"), concibiendo los ficheros desde una
perspectiva dinámica; dicho en otros términos, no los entiende sólo como un mero depósito de
datos, sino también, y sobre todo, como una globalidad de procesos o aplicaciones informáticas que
se llevan a cabo con los datos almacenados y que son susceptibles, si llegasen a conectarse entre sí,
de configurar un determinado perfil personal”. (p. 53).
Sobre el particular, la Directiva 95/46/CE de 24 de octubre de 1995 proferida por el Consejo
Europeo ha indicado en su artículo 2 literal b:
“tratamiento de datos personales» («tratamiento»): cualquier operación o conjunto de operaciones,
efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la
recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta,
utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a
los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción” (CE, 1945,
Directiva 95/46, p. 9)
Por su parte la Ley Orgánica 15 de 1999, de Protección de datos de Carácter Personal (lopd),
incorpora exactamente el mismo concepto en su artículo 3 literal c, y que a su vez fue
perfeccionado por el Real Decreto 1720/2007, de 21 de diciembre, mediante el cual se aprobó el
Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de
datos de carácter personal.
El Real Decreto, en su articulado integra definiciones en la que amplía el marco de aplicación
del tratamiento de datos así:
“Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatizado, que
permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización,
modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de
Regulación en materia de protección de datos personales o habeas data en Colombia 35
comunicaciones, consultas, interconexiones y transferencias”. (Real Decreto 1720/2007, [Bloque
18: #a5])
Al mismo respecto, Rebollo (2008), se ha pronunciado trayendo el mismo concepto de la
LORTAD, comprobando la importancia del responsable de tratamiento quien debe cumplir con
el acatamiento de la ley.
“Fichero y tratamiento. La Ley distingue los conceptos de fichero y tratamiento de datos. La
normativa de la LORTAD incidía fundamentalmente en los aspectos relativos al fichero y el
responsable del mismo. Fichero es, a tenor de la definición adoptada por el legislador en el artículo
3, apartado b): "todo conjunto organizado de datos de carácter personal, cualquiera que fuera la
forma o la modalidad de su creación, almacenamiento, organización y acceso". Requisito
fundamental del fichero es el carácter organizado del mismo, es decir, el conjunto de datos debe ser
accesible (ya sea manual o automáticamente) conforme a un determinado criterio lógico que
permita un empleo sistemático y selectivo de los mismos.
El tratamiento de datos consiste en "operaciones y procedimientos técnicos de carácter
automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación,
bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas,
interconexiones y transferencias". Conviene recordar que la norma no exige que el dato personal
haya sido tratado conforme al procedimiento descrito, para que se incardine en su ámbito de
aplicación, sino simplemente que sea susceptible de ello. Por otro lado, la figura de la persona
encargada del tratamiento se perfila como el instrumento idóneo para salvar la inexistencia de un
responsable específico del fichero” (p. 57).
Es importante señalar que las figuras internacionales anotadas anteriormente, y que
reglamentan las disposiciones generales en nuestro país para la protección de datos personales,
adquieren su importancia en la medida que permean los escenarios bajo los cuales se garantiza el
respeto y la libertad de las personas cumpliendo de esta manera con los fines del Estado.
En el plexo normativo nacional, esta definición está contenida en la Ley Estatutaria 1581 de
2012. En virtud del régimen contenido en la presente ley, se hace mención al tratamiento de
información en los siguientes términos:
“Cualquier operación o conjunto de operaciones sobre datos personales, tales como la
recolección, almacenamiento, uso, circulación o supresión.”. (Congreso de la República, 2008,
Ley Estatutaria 1581, p. 1).
Regulación en materia de protección de datos personales o habeas data en Colombia 36
De lo anterior, se hace importante precisar los términos claros y concretos que han sido
establecidos para el tratamiento de la información de carácter personal y que deben guardar total
coherencia con las facultades que tienen las partes de exigir el cumplimiento de sus derechos.
Con respecto al concepto de gestor de bases de datos, es imperioso comprender que se refiere
a un software que almacena y maneja información, tal como lo refieren autores como Valderrey
(2014):
“Los sistemas de gestión de bases de datos o SGBD (en inglés Database Management System,
abreviado DBMS) son un tipo de software muy específico, dedicado a servir de interfaz entre la
base de datos, el usuario y las aplicaciones que la utilizan. En concreto, definimos un Sistema
Gestor de Bases de Datos como una colección de datos relacionados entre sí, estructurados y
organizados, y un conjunto de programas que acceden y gestionan esos datos. La colección de esos
datos se denomina base de datos. El propósito general de los sistemas de gestión de bases de datos
es el de manejar de manera clara, sencilla y ordenada un conjunto de datos que posteriormente se
convertirán en información relevante” (p. 37).
Por su parte, en el marco Legislativo Europeo el Tribunal de Justicia de la Unión Europea
(2012), se definió el gestor de un motor de búsqueda en Internet en la Sentencia C-131/12 en el
caso Google Spain, S.L., Google Inc. / Agencia Española de Protección de Datos, Mario Costeja
González, donde demarca su posición sobre este concepto así:
“El gestor de un motor de búsqueda en Internet es responsable del tratamiento que aplique a los
datos de carácter personal que aparecen en las páginas Web publicadas por terceros cuando, a raíz
de una búsqueda efectuada a partir del nombre de una persona, la lista de resultados ofrece enlaces
a páginas Web que contienen información sobre esa persona, ésta puede dirigirse directamente al
gestor del motor de búsqueda, o bien, si este último no accede a su solicitud, acudir a las
autoridades competentes para conseguir que se eliminen esos enlaces de la lista de resultados, bajo
determinadas condiciones”. (C-131, p. 1).
Ahora bien, la figura del gestor de bases también la inserta en su libro María Álvarez, cuando
refiere:
“(…) el gestor de un motor de búsqueda “recoge” (...) “extrae”, “registra” y “organiza”
posteriormente en el marco de sus programas de indexación, “conserva” en sus servidores y, en su
caso “comunica” y “facilita el acceso” a sus usuarios en forma de listas de resultados de sus
búsquedas. (Álvarez Caro, 2015, p. 111)
Regulación en materia de protección de datos personales o habeas data en Colombia 37
Es de esta manera, como se denota una perspectiva influyente del sistema regulatorio
internacional en relación con la protección de datos, por cuanto le asigna una serie de
responsabilidades al gestor de motor de búsqueda para que se ciña al procedimiento fijado en él,
sin perder de vista las restricciones legales existentes que garanticen la salvaguarda de la
información que conserven en sus páginas Web.
Colombia también ha incorporado este concepto en su jurisprudencia de la Corte
Constitucional, en busca de impedir que se lesionen derechos fundamentales de la persona.
Así las cosas, el fallo de la Corte Constitucional (2015), hace alusión a la directriz emanada
de la Directiva 95/46, en el sentido de excluir de la listas de resultados, la información de una
persona que haya sido divulgada por terceros; en este mismo entendido también preciso:
“Los gestores son responsables de dicho tratamiento y que los usuarios pueden exigir al
intermediario que suprima los resultados obtenidos luego de utilizar descriptores correspondientes a
datos personales, aun en eventos en los que no se ha ordenado a los propietarios de las páginas de
Internet indexadas que procedan a eliminar la información que el titular no quiere que sea conocida
por terceros”. (C-277, p. 42).
Al aproximarnos a una definición de motor de búsqueda, o también denominado buscador es
preciso referirnos a lo enunciado por López (2007), cuando indica textualmente:
“Un motor de búsqueda es un programa que busca con palabras claves dentro de las bases de datos
de información que ha sido compaginada sobre páginas de la Web. Además de estas características
se tienen las siguientes:
Las bases de datos son elaboradas por máquinas (arañas) sin la intervención del hombre.
No se organizan por categorías de materias. Indexan cada palabra de los documentos.
Da acceso a una enorme cantidad de información, sin evaluarla.
Por estas características, es probable que una búsqueda hecha sin el cuidado apropiado entregue
resultados anonadadores que dejan en el más profundo de los desalientos al usuario que le hizo.
Puede obtener como respuesta a la búsqueda millones de resultados de los que muchos
probablemente le sean completamente inútiles.” (p. 149).
De conformidad con la anterior definición, basta con referirnos a un motor de búsqueda
como un instrumento para encontrar información en Internet. Básicamente es una herramienta
que rastrea páginas Web y las indexa de tal manera que proporciona una exploración de infinitos
resultados al usuario en cuestión de segundos.
Regulación en materia de protección de datos personales o habeas data en Colombia 38
Por citar algunos de los buscadores más importantes podemos encontrar, Google, Yahoo,
Bing, Ask.com, Altavista, Aol Search, Qihoo 360, etc. Sin duda hay un conglomerado de
opciones al momento de generar una búsqueda de información en Internet y estos motores son la
mejor opción al momento de realizarlas de una manera ágil y enlistando un sinfín de sugerencias.
Aquí el cuestionamiento seria si los enlaces a los que nos direccionan dichas búsquedas
corresponden a una fuente fiable, o si la información que allí reposa es veraz, y lo más
importante determinar si se están respetando las políticas de privacidad de los usuarios al
direccionar la búsqueda a información considerada restringida.
Para contextualizarnos con esta definición el Dictamen 1/2008, sobre cuestiones de
protección de datos relacionadas con motores de búsqueda emitida el 4 de abril de 2008, señala
que los motores de búsqueda se han involucrado en la cotidianidad de los internautas y por ello
su objetivo es generar una ponderación entre las necesidades de los proveedores y la protección
de los datos tratados, es importante resaltar lo contenido en este dictamen así:
“Los motores de búsqueda recogen y tratan grandes cantidades de datos de los usuarios, incluidos
los recogidos por medios técnicos, como las cookies ("chivatos"). Los datos recogidos pueden ser
desde direcciones IP de los distintos usuarios hasta historiales de búsqueda amplios, o también
datos proporcionados por los propios usuarios cuando se registran con el fin de utilizar servicios
personalizados.”(Dictamen 1/2008, p. 4).
Como se desprende de lo anteriormente anotado, los motores de búsqueda vinculan enormes
cantidades de información obtenidas a través de diferentes accesos y que permiten perfilar
detalladamente al titular de la información, toda vez que el mismo ha concedido la facultad de
divulgar su información como sucede con las redes sociales. Cuando esta información es
indexada en los motores de búsqueda pueden generasen riesgos para la privacidad de la
información.
A este respecto Serrano Cobos (2015), nos indica cómo funciona el buscador:
“Básicamente, un motor de búsqueda captura la información del contenido de cada página de un
sitio Web, mediante los denominados spiders, crawlers o robots de indexación (como el de Google,
llamado Googlebot), un tipo de software que recorre los enlaces que hay entre los sitios Web. Cada
vez que llega a un sitio nuevo, lee todo el texto y lo guarda. Asimismo, descubre nuevos enlaces y
los sigue hacia nuevos sitios Web, y así sucesivamente. Con ello, genera una base de datos con
información a texto completo, y un índice de las palabras que aparecen en cada página Web”. (p.
17).
Regulación en materia de protección de datos personales o habeas data en Colombia 39
Como se puede apreciar, cada vez se hace más difícil la labor de disminuir los riesgos y
salvaguardar los datos personales en la red, debido a que esta misma se reproduce
exponencialmente y su uso indebido constituye una amenaza a la intimidad de las personas.
3.2 Obligaciones de cada operador y responsabilidades
Al respecto conviene señalar que la Guía de Seguridad de Datos, de la Agencia Española de
Protección de Datos, indica los lineamientos que deben acoger los operadores de las bases de
información en aras de garantizar su reserva, previniendo así que los datos sean modificados,
extraviados o en el peor de los escenarios que se acceda a ella aunque sea de uso restringido.
A este propósito la Corte Constitucional (2006) acogió como responsabilidades de los
operadores los siguientes:
“Las entidades administradoras de bases de datos financieros son responsables de que (i) el
ejercicio de recolección, tratamiento y circulación de datos sea razonable y no lesione los derechos
fundamentales de los titulares de la información; (ii) de la incorporación de los nuevos datos que
les sean remitidos, en particular cuando de la inclusión de dichos datos se deriven situaciones
ventajosas para el titular; (iii) de retirar los datos una vez se cumplan los términos de caducidad de
los mismos; (iv) de mantener separadas las bases de datos que se encuentren bajo su cargo y de
impedir cruces de datos con otros bancos de información; (v) de garantizar la integridad y
seguridad de la información almacenada; (vi) de verificar que la entidad que le remite datos para
divulgación, cuanta con autorización previa, expresa y escrita del titular del dato para el efecto, y
(vii) de informar a este último que la información será incluida en su fichero.” (T-684, p. 1).
Dentro del ordenamiento jurídico colombiano, está expresamente consagrado en el Artículo
12 de la Ley 1581 de 2012, las obligaciones del Responsable del Tratamiento, que para fines
prácticos es a quien le asiste el deber de informar al titular cuál será el tratamiento y finalidad de
sus datos, no obstante lo anterior le otorga un perfil discrecional en torno a información sensible
o personal de menores y adolescentes, así como sus derechos y los datos demográficos del
responsable del tratamiento de la información.
Sobre el particular, debe tenerse en cuenta que el responsable del tratamiento funge como
garante de protección de datos y en cabeza de él está la obligación de conservar de la manera
prevista en la citada ley la información a su cargo, so pena de incurrir en las sanciones a que
hubiere lugar.
Regulación en materia de protección de datos personales o habeas data en Colombia 40
3.3 Conclusiones parciales
Se estableció conceptualmente que es tratamiento de datos, gestor de datos, motor de
búsqueda, desarrollados a través de la jurisprudencia, Internacional, Regional así como a través
de la doctrina y la ley, estableciéndose que están incorporados en nuestro ordenamiento donde se
traslada a los jueces la autoridad de impartir justicia.
Se entiende que el concepto de los Operadores de las Bases de Datos, se desprende del
resultado de una evolución constante en búsqueda de generar responsabilidades a quienes
adelanten este tratamiento y lo que permite a los afectados tener una regulación que los proteja
cuando se sientan vulnerados por algún mal manejo de su información.
Actualmente nuestra legislación consagra las obligaciones de los operadores de bases de
datos lo cual reclama entonces que las actuaciones desplegadas por cualquier persona estarán
sometidas al imperio de la ley, la jurisprudencia y las normas que regulan la materia.
4. Examen crítico del Habeas Data
4.1 Del derecho a la eliminación de información o derecho al olvido
A la luz del anterior enunciado, abordaremos el derecho al olvido, como la facultad de
eliminar o cancelar aquella información que no es relevante y que con el pasar del tiempo genera
efectos nocivos contra la pertenencia moral del individuo, por lo que no queremos que continúe
apareciendo en la enorme red que agrupa datos a nivel mundial.
Para los fines del argumento propuesto; Castellano Pere (2012), refiere:
“(…) el derecho al olvido puede encontrarse en el ordenamiento jurídico, y otorga al individuo
mecanismos para evitar que su vida se vea condicionada por el recuerdo constante de hechos
pasados que pueden hipotecar su futuro. El derecho subjetivo al olvido se complementa con el
deber de los otros a respetar este olvido. A pesar de ser una tarea complicada, más todavía con el
advenimiento de Internet y la Web 2.0, la existencia de este derecho individual podría ser un
elemento del razonamiento jurídico que los jueces realizan en el caso concreto. De acuerdo con el
derecho al olvido, se otorga una protección a los individuos frente a la divulgación de hechos
pasados; el razonamiento jurídico que motiva esta tutela no necesariamente parte del debido
Regulación en materia de protección de datos personales o habeas data en Colombia 41
respecto a la vida privada, pues el derecho general al olvido tiene un alcance más amplio, ligado al
libre desarrollo de la personalidad. (…)”. (p. 113)
Por consiguiente se hace importante precisar el alcance de este derecho a la
autodeterminación de la información, y estipular los bienes jurídicos conexos, como lo son el
libre desarrollo a la personalidad, la intimidad y la protección de datos personales, entre otros.
Al llegar a este punto es importante compendiar los límites claros y específicos que han sido
establecidos en la configuración de este derecho, que está íntimamente ligado con la libertad de
la persona a tener control sobre su información personal, y determinar qué tipo de datos pueden
ser tratados por terceros.
Los principios y garantías de este derecho están reconocidos en varios modelos
internacionales, tanto en los ámbitos globales como regionales, entre los que vale la pena matizar
los siguientes:
ONU: La Declaración Universal de los Derechos Humanos, incluyó las Directrices para la
regulación de los archivos de datos personales informatizados; adoptados mediante Resolución
45/95 de la Asamblea General, de 14 de diciembre de 1990, la cual incorpora en su numeral
tercero inciso c: “El período durante el que se guarden los datos personales no supere aquel que
permita la consecución de los fines especificados”.
Consejo de Europa (28 de enero de 1981), para la protección de las personas con respecto al
tratamiento automatizado de datos de carácter personal: Dentro de este marco se inserta en el
Capítulo II, los principios básicos para la protección de datos, y en su artículo 5 consigna:
“Calidad de los datos: Los datos de carácter personal que sean objeto de un tratamiento
automatizado(…) c) serán adecuados, pertinentes y no excesivos en relación con las finalidades
para las cuales se hayan registrado; d) serán exactos y si fuera necesario puestos al día; e) se
conservarán bajo una forma que permita la identificación de las personas concernidas durante un
período de tiempo que no exceda del necesario para las finalidades para las cuales se hayan
registrado”.(Convenio Nº 108).
En relación con las normas regionales, se encuentra la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal, la cual incorpora en su articulado:
“Artículo 16. Derecho de rectificación y cancelación. (…) 5. Los datos de carácter personal
deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso,
en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el
interesado (...)”
Regulación en materia de protección de datos personales o habeas data en Colombia 42
En concordancia con lo anterior, se equipara el ámbito de aplicación del citado derecho en
legislaciones a nivel iberoamericano, entre los que por mencionar algunos, se encuentran Brasil,
Chile, Argentina, Uruguay México, Perú, Costa Rica y Colombia.
La jurisprudencia colombiana como fuente formal del derecho, y en virtud de ponderar
bienes jurídicos contrapuestos, como lo es el derecho al olvido vs la libertad informática ha
realizado importantes pronunciamientos sobre el particular y circunscribe su posición, así: Corte
Constitucional (2015)
(…) vulnera derechos fundamentales informar sobre hechos pasados que rodearon la vida de una
persona y que no tienen incidencia sobre la situación actual del sujeto. (…) (i) la rectificación en
condiciones de equidad ha sido tratada como un derecho fundamental autónomo, pero íntimamente
ligado a los derechos al buen nombre y a la honra; (ii) existe un derecho a la rectificación en
condiciones de equidad en aquellos eventos en los que la información suministrada por un medio
de comunicación resulta falsa, tendenciosa, incompleta o induce a error; (iii) los medios de
comunicación son responsables por la calidad de la información que les proveen sus fuentes
informativas; (iv) el derecho a la rectificación en condiciones de equidad implica que la corrección
tenga un despliegue comunicativo similar al inicial, que se haga dentro de un tiempo razonable y
que el medio de comunicación reconozca su error. (T-277, p. 40)”.
A este propósito, se adhiere la Corte Suprema de Justicia, órgano de cierre de la jurisdicción
ordinaria entre éstas la penal, donde demarca su posición en el comunicado 08/15 Sala Penal,
intitulado “derecho al olvido rige tras cumplir condenas” A este respecto la referida corporación
sostiene:
“Cuando se compruebe que judicialmente se declaró cumplida o prescrita la pena, se suprimirán de
las bases de datos de acceso abierto los nombres de las personas condenadas (…) No obstante, se
mantendrá el documento íntegro en los archivos de la [Corte Suprema de Justicia]. Este, bajo los
preceptos legales que rigen el derecho de acceso a la información pública, podrá consultarse
directamente en las oficinas en las cuales reposa” (Corte Suprema de Justicia, Sala Penal, 2015,
Comunicado 08, p. 1).
De lo anterior, se evidencia que este concepto ha sido desarrollado por las Altas Cortes en
medio de sus lineamientos jurisprudenciales y contemplados en nuestro ordenamiento jurídico en
procura de resguardar nuestros derechos fundamentales. Es así como se establecen los términos
que proscriben las actuaciones en torno a esta facultad y que estarán sometidos al marco legal
vigente.
Regulación en materia de protección de datos personales o habeas data en Colombia 43
4.1.1 Concepto
Definición de la cual nacen diferentes acepciones doctrinales en favor de establecer con
claridad el carácter que ostenta el denominado derecho al olvido o “derecho a la caducidad del
dato negativo” como lo refiere el autor Puccinelli, Oscar R., quien adhiere este concepto a los
datos pertenecientes a la información crediticia.
Con respecto a este derecho, y al tenor de la concepción interna de cada estado varían sus
definiciones como lo expone Ordoñez Solís (2014):
“El ‘derecho al olvido’ es una denominación que puede variar en las distintas lenguas; así, en
inglés se utiliza la expresión right to be forgotten (derecho a que se olviden de uno); en francés se
recurre a la expresión droit à l’oubli numérique (derecho al olvido numérico o digital)”. (p. 27).
Desde la perspectiva de Garriga (2011), en la que su planteamiento sobre este concepto
refiere:
“El derecho al olvido, cuya realización se consigue a través de la cancelación de los datos
personales, ya sea de oficio, ya sea a instancia del interesado, pasado un determinado período de
tiempo. Por una parte es un instrumento necesario para el efectivo cumplimiento del principio de
finalidad, que exige los datos recogidos y registrados sólo puedan usarse de acuerdo con una
finalidad concreta e implica la cancelación de los que ya no sean necesarios para la realización de
la misma. Por otra, supone este derecho que ciertas informaciones, pasado un cierto período de
tiempo, deben ser eliminadas, puesto que tiene por objeto contrarrestar uno de los riesgos más
característicos del procesamiento informático de la información personal: la posibilidad de
recuperar en un instante cualquier dato por insignificante que éste parezca, aun habiendo
transcurrido decenas de años, lo que significa la desaparición de la garantía que suponía para la
intimidad de las personas la fragilidad de la memoria humana”. (p. 40)
Como vemos, a la luz del anterior presupuesto es importante tener en cuenta que este derecho
se configura con el paso del tiempo, toda vez que subyace como una herramienta que el
interesado puede hacer valer ante la omisión de las entidades tratantes de datos, lo que es
equivalente a que las personas demanden este derecho en aras de evitar ser hostigadas por
informaciones de su pasado consignadas en Internet.
Procedente de lo anterior, es evidente que el Derecho al Olvido en Colombia, así como en
diversos países, ha generado grandes cambios e innovaciones, producto de las necesidades de los
Regulación en materia de protección de datos personales o habeas data en Colombia 44
usuarios de Internet. Sin embargo su cimiento se ha instituido en contextos internacionales, como
lo veremos a continuidad.
La Comisión Europea (25, enero, 2012), aprobó en Bruselas la Propuesta de Reglamento del
Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos datos, la cual
proscribe:
“Derecho al olvido y a la supresión
1. El interesado tendrá derecho a que el responsable del tratamiento suprima los datos personales
que le conciernen y se abstenga de darles más difusión, especialmente en lo que respecta a los datos
personales proporcionados por el interesado siendo niño, cuando concurra alguna de las
circunstancias siguientes:
a) los datos ya no son necesarios en relación con los fines para los que fueron recogidos o tratados;
b) el interesado retira el consentimiento en que se basa el tratamiento de conformidad con lo
dispuesto en el artículo 6, apartado 1, letra a), o ha expirado el plazo de conservación autorizado y
no existe otro fundamento jurídico para el tratamiento de los datos; c) el interesado se opone al
tratamiento de datos personales con arreglo a lo dispuesto en el artículo 19; d) el tratamiento de
datos no es conforme con el presente Reglamento por otros motivos.(…) (art. 17, p. 36) .
El artículo 17 denota gran importancia, ya que establece el derecho que tienen las personas
para solicitar la supresión de sus datos cuando ya no consientan que se sigan divulgando de tal
manera que se garanticen sus derechos fundamentales.
Por su parte la Agencia Española de Protección de Datos (AGPD), lo define como:
“la manifestación de los tradicionales derechos de cancelación y oposición aplicados a los
buscadores de Internet. El 'derecho al olvido' hace referencia al derecho a impedir la difusión de
información personal a través de Internet cuando su publicación no cumple los requisitos de
adecuación y pertinencia previstos en la normativa. En concreto, incluye el derecho a limitar la
difusión universal e indiscriminada de datos personales en los buscadores generales cuando la
información es obsoleta o ya no tiene relevancia ni interés público, aunque la publicación original
sea legítima (en el caso de boletines oficiales o informaciones amparadas por las libertades de
expresión o de información)”. (p. 19).
Así entonces, las situaciones que se deriven de cualquier uso indebido de la información
accesada en la red, demandan una regulación legal que limite el tratamiento de datos de los
sujetos concernidos, de forma tal, que las medidas adoptadas encuentren respaldo en la ley y no
en la mera voluntad de las partes involucradas.
Regulación en materia de protección de datos personales o habeas data en Colombia 45
Ahora bien, una vez revisado el marco general internacional, atinente al concepto del derecho
al olvido, es imperioso revisar en nuestro ordenamiento como se ha definido, y hacer un
comparativo para determinar si defieren o no sus elementos.
El concepto de derecho al olvido ha venido desarrollándose jurisprudencialmente, y se ha
venido erigiendo, bajo el principio de la autodeterminación informática, en ausencia de una
consagración taxativa. Por lo anterior estos criterios han sido acopiados en sentencias de
unificación en virtud de hacer respetar los derechos fundamentales de la persona.
Es importante agregar una de las sentencias de la Corte Constitucional (1995) que añaden
este concepto como se ilustra a continuación:
“En efecto, en cuanto al término de la caducidad del dato, la Corporación estimó que a falta de
norma legal, se puede aplicar plazos de tiempo razonables y objetivos. Al respecto se dispuso: “Es
claro, pues, que el término para la caducidad del dato lo debe fijar, razonablemente, el legislador.
“Pero, mientras no lo haya fijado, hay que considerar que es razonable el término que evite el abuso
del poder informático y preserve las sanas prácticas crediticias, defendiendo así el interés general.
(…)” (T 615, p. 4).
A partir de esta comparación, y de conformidad con la sentencia citada a modo de ejemplo,
se puede colegir que para la legislación colombiana, se habla únicamente de la temporalidad del
dato en materia crediticia, en cambio en el ámbito internacional este concepto es más amplio
porque abarca la temporalidad de la información de manera global.
Es así como abordamos los diferentes conceptos surgidos doctrinaria y jurisprudencialmente,
y las normas más expeditas en la aplicación de este reconocido derecho.
4.1.2 Restricciones del derecho
Las restricciones son generadas en el tipo de datos y en el tipo de gestor que está tratando los
datos, de cara a los riesgos de Internet y la carencia de una política uniforme, por lo que
actualmente se resuelve ante los altos tribunales; Para abordar este tema se incluirá la
normatividad local e internacional y jurisprudencia Colombiana.
En el plano regional europeo, encontramos la carta de derechos fundamentales, que recogió
en su artículo 8, la Protección de datos de carácter personal, y preciso que estas normas estarán
sujetas a la autoridad correspondiente, de allí se deriva el derecho a la privacidad, al cual más
Regulación en materia de protección de datos personales o habeas data en Colombia 46
adelante nos referiremos cuando se analice el caso C-131/12, atinente a la decisión del Tribunal
de Justicia de la Unión Europea relativo a la controversia suscitada entre Google Spain, S.L.
Google Inc. y Agencia Española de Protección de Datos (AEPD).
Ahora bien, veamos la disposición de un organismo internacional: Directiva 95/46/CE del
Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de
estos datos. El artículo 3, numeral 2, suscribe lo siguiente en relación con las restricciones del
derecho al olvido:
“Las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales:
- efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho
comunitario, como las previstas por las disposiciones de los títulos V y VI del Tratado de la Unión
Europea y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la
defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho
tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia
penal;
- efectuado por una persona física en el ejercicio de actividades exclusivamente personales o
domésticas. (CE, 1945, Directiva 95/46, p. 9)
De lo anterior, es importante resaltar que la Directiva, no aplica expresamente al tratamiento
de datos concernientes a la seguridad y defensa publica, de tal manera que una vez los
intervinientes en este proceso los cobije este texto, se entenderá que no podrán tener ningún tipo
de consideración, por estar exentos de conformidad con lo estatuido en este mandato.
En este contexto la Agencia Española de Protección de Datos (AEPD), a través de diferentes
resoluciones ha adoptado las medidas necesarias para hacer que los motores de búsqueda retiren
datos de su índice, es decir desindexen la información, e impidan el acceso posterior a los
mismos.
Para ratificar lo anteriormente enunciado podemos citar la Resolución Nº: R/01046/2007, de
la Agencia Española de Protección de Datos (AEPD), como competente para conocer del asunto
y en virtud de su potestad sancionatoria dispone:
“En relación a Google, cabe señalar que un buscador es una herramienta que facilita al usuario de
Internet el acceso a determinadas páginas Web. Para ello, la herramienta accede a una lista de
enlaces previamente indexados y ofrece al usuario una relación de direcciones Web que remiten a
páginas en las que figuran las palabras seleccionadas por el usuario. Es importante especificar que
Regulación en materia de protección de datos personales o habeas data en Colombia 47
la legislación española incluye a los buscadores dentro de la definición de “servicios de la sociedad
de la información” de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información
y de Comercio Electrónico (LSSI). Así el apartado b) del Anexo define los servicios de
intermediación como “el servicio de la sociedad de la información por el que se facilita la
prestación o utilización de otros servicios de la sociedad de la información o el acceso a la
información” y añade que son servicios de intermediación, entre otros, la provisión de instrumentos
de búsqueda, acceso y recopilación de datos o de enlaces a otros sitios de Internet”. (AEPD, 2007,
TD00463, p. 5).
En tratándose de la vertiginosa evolución de la era digital en Internet, y el creciente uso de
los motores de búsqueda que permiten a un click, obtener cualquier tipo de información es
importante determinar si realmente este servicio es escrupuloso de los derechos a la intimidad y
la libertad. O si por el contrario mantiene perenne la información así este desactualizada.
En los últimos años y con la gran importancia que ha ido alcanzando el contenido de
diferente tipo de información en la Web, se han evidenciado avances determinantes en la materia
y muestra de ello queda plasmado en un pronunciamiento del Tribunal de Justicia Europeo de
Luxemburgo, asunto C‑131/12, de 13 de mayo de 2014, caso Mario Costeja Vs. AEPD, Google
Inc., y Google Spain.
La decisión versa sobre una reclamación realizada por el abogado Mario Costeja González,
ante el diario La Vanguardia y contra Google Spain y Google Inc. Debido a que registraban
información contraproducente para él, en el entendido que los datos enlistados en la red,
plasmaban un informe de subasta de inmuebles embargados por acreencias de Seguridad Social,
lo cual no corresponde a su realidad actual máxime que este tema fue subsanado en su
oportunidad, y que además considera violatorio de su intimidad.
El titular de esta acción avoco conocimiento tanto al diario la Vanguardia, como a Google
Spain y Google Inc., para que sus datos personales fueran eliminados de los resultados de
búsqueda. Por lo que durante el litigio se debatió la actividad desplegada por parte de los
gestores de los motores de búsqueda, respeto a la vida privada y exclusión de información,
Por lo mencionado anteriormente, el núcleo de esta sentencia se puede desarrollar en tres
escenarios; primigeniamente destaca la aplicación de la ley en el territorio español
secundariamente la responsabilidad de los motores de búsqueda (en este caso Google) y
finalmente la protección del derecho al olvido.
Regulación en materia de protección de datos personales o habeas data en Colombia 48
Todos estos elementos influyeron en el desarrollo de las cuestiones prejudiciales planteadas
para que el tribunal optara por fallar en favor del petente, primero porque determino que Google
Inc. A través de su filial, Google Spain, es responsable del tratamiento de datos en España, al
tenor de lo preceptuado en la Directiva 95/46.
En cuanto al segundo propósito, atinente a la responsabilidad del gestor de un motor de
búsqueda, el Tribunal a la luz de la Directiva 95/46, concluyó que es obligatorio para los gestores
de un motor de búsqueda excluir de la lista de resultados información relativa a esta persona, así
como también consideró la especial protección de la libertad y los derechos fundamentales,
especialmente en su vida privada.
Aunado a lo anterior, hizo una ponderación entre los derechos y libertades del interesado y a
este respecto resalta:
“un tratamiento de datos personales como el controvertido en el litigio principal, efectuado por el
gestor de un motor de búsqueda, puede afectar significativamente a los derechos fundamentales de
respeto de la vida privada y de protección de datos personales cuando la búsqueda realizada
sirviéndose de ese motor de búsqueda se lleva a cabo a partir del nombre de una persona física,
toda vez que dicho tratamiento permite a cualquier internauta obtener mediante la lista de
resultados una visión estructurada de la información relativa a esta persona que puede hallarse en
Internet, que afecta potencialmente a una multitud de aspectos de su vida privada, que, sin dicho
motor, no se habrían interconectado o sólo podrían haberlo sido muy difícilmente y que le permite
de este modo establecer un perfil más o menos detallado de la persona de que se trate. Además, el
efecto de la injerencia en dichos derechos del interesado se multiplica debido al importante papel
que desempeñan Internet y los motores de búsqueda en la sociedad moderna, que confieren a la
información contenida en tal lista de resultados carácter ubicuo” (TJUE, 2012, C- 131, p. 19)”.
Finalmente, y como resultado de lo anterior se equipara el perjuicio causado al interesado,
habida cuenta de sus derechos prevalentes frente al interés público de acceso a su información
contenida en un motor de búsqueda.
Ahora bien, para el caso Colombiano hay un antecedente que vale la pena poner en contexto
y el cual está inserto en el Trabajo de investigación intitulado -el derecho al olvido vs. el poder
informático- y que corresponde a una sentencia de tutela de 21 de julio de 2003, (Exp. 2003-053-
0059), mediante la cual un juez de conocimiento tuteló el derecho de Habeas Data,
autodeterminación informática, e intimidad del recurrente. (Morales, 2015).
Regulación en materia de protección de datos personales o habeas data en Colombia 49
A este respecto el pronunciamiento del juez segundo promiscuo municipal de Rovira en el
departamento de Tolima, consistió en ordenar a los representantes de una firma virtual abstenerse
de continuar remitiendo correos al titular de la acción y en consecuencia eliminar de sus bases de
información la dirección de correo electrónico.
Precisando dicho juicio, puede aseverarse que se puso fin a la acción de tutela con efectos
favorables para su autor toda vez que se amparó la garantía del derecho a la autodeterminación
de la información por él impetrado.
En suma, hay varios referentes en la legislación Colombiana, muestra de ello la Corte
Constitucional hizo su primer pronunciamiento sobre el derecho al olvido en Internet, mediante
sentencia T-277 del 12 de mayo de 2015, a la cual hicimos referencia en el titulo 4.1., de esta
investigación.
4.2 Mecanismos constitucionales y procesales para su protección.
En este punto es importante conocer en qué normas constitucionales se encuentra
incorporado el derecho de Habeas Data, empero todos los derechos contenidos en la carta magna
propenden por salvaguardar los derechos humanos. Una de las características primordiales
incorporadas en la Constitución de 1991, fue la clasificación de los derechos y asimismo su
mecanismo de protección, como es el caso del Habeas Data, que hace parte de los derechos
fundamentales y por ende procede subsidiariamente la acción constitucional de tutela para su
amparo.
Nuestro ordenamiento en virtud del Estado Social de Derecho, destaca en su marco jurídico
democrático y participativo, la Acción de Tutela, consagrada en la Constitución Política (1991),
así:
“Toda persona tendrá acción de tutela para reclamar ante los jueces, en todo momento y lugar,
mediante un procedimiento preferente y sumario, por sí misma o por quien actúe a su nombre, la
protección inmediata de sus derechos constitucionales fundamentales, cuando quiera que éstos
resulten vulnerados o amenazados por la acción o la omisión de cualquier autoridad pública.
La protección consistirá en una orden para que aquel respecto de quien se solicita la tutela, actúe o
se abstenga de hacerlo. El fallo, que será de inmediato cumplimiento, podrá impugnarse ante el
juez competente y, en todo caso, éste lo remitirá a la Corte Constitucional para su eventual revisión.
Regulación en materia de protección de datos personales o habeas data en Colombia 50
Esta acción solo procederá cuando el afectado no disponga de otro medio de defensa judicial, salvo
que aquella se utilice como mecanismo transitorio para evitar un perjuicio irremediable.
En ningún caso podrán transcurrir más de diez días entre la solicitud de tutela y su resolución.
La ley establecerá los casos en los que la acción de tutela procede contra particulares encargados de
la prestación de un servicio público o cuya conducta afecte grave y directamente el interés
colectivo, o respecto de quienes el solicitante se halle en estado de subordinación o indefensión.”
(Art. 86).
Como se desprende del anterior contenido, la acción constitucional de tutela – Acción de
Amparo- es un mecanismo adicional “transitorio”, preferente, sumario e inmediato, el cual
solamente opera si hay la posibilidad de un perjuicio irremediable. Por lo que el mecanismo
procesal constitucional de –Habeas Data - funge como el mecanismo idóneo al que puede
acceder el titular para la efectiva protección de sus derechos.
Dando alcance al contenido de este título, en Colombia doctrinaria y jurisprudencialmente, el
derecho al olvido es un tema que ha sido poco decantado por los tratadistas, cabe mencionar que
después de diversos intentos, en regular ampliamente la materia de protección de datos se generó
el Decreto 1377 de 2013, reglamentario de la Ley 1581 de 2012, y que es el que está vigente
actualmente.
4.2.1 Mecanismo Habeas Data
El Habeas Data es considerado un dispositivo constitucional en defensa de la ilegalidad
ejercida por el denominado poder informático. En vista que en ocasiones este mecanismo resulta
exiguo, se acude a la acción constitucional de tutela como mecanismo subsidiario y transitorio en
busca de un amparo que evite trasgresiones a este bien jurídico. No obstante a que este
instrumento ha adquirido fuerza desde que se implementó.
Con relación a este derecho, la Corte Constitucional (2014), refiere:
“El reconocimiento del derecho fundamental autónomo al Habeas Data, busca la protección de los
datos personales en un universo globalizado en el que el poder informático es creciente. Esta
protección responde a la importancia que tales datos revisten para la garantía de otros derechos
como la intimidad, el buen nombre, el libre desarrollo de la personalidad, entre otros. Sin embargo,
el que exista una estrecha relación con tales derechos, no significa que no sea un derecho diferente,
en tanto conlleva una serie de garantías diferenciables, cuya protección es directamente reclamable
Regulación en materia de protección de datos personales o habeas data en Colombia 51
por medio de la acción de tutela, sin prejuicio del principio de subsidiariedad que rige la
procedencia de la acción”. (T-176A/14, p. 1).
De lo anterior, es importante rescatar que con el creciente avance tecnológico se hace
necesario adoptar medidas tendientes a regular la defensa de los derechos fundamentales y acudir
a mecanismos subsidiarios como la acción constitucional de tutela en virtud de su alcance de
protección dentro de nuestro ordenamiento jurídico.
4.2.2 Tutelas
La Corte Constitucional ha sido enfática que para proteger el derecho en comento, es
indispensable haber agotado previamente el requisito de procedibilidad, fundamentándose en que
se debe acudir preliminarmente a la entidad que originó el perjuicio ya que es una exigencia sine
qua non para dar continuidad al amparo solicitado.
Con respecto a este enunciado la Corte Constitucional (2014), ha expresado:
“La Corte ha precisado que en virtud del artículo 15 y 16 de la Ley 1581 de 2012 y del artículo 6°
del Decreto 2591 de 1991, es necesario que el actor antes de acudir a la acción de tutela para
solicitar el amparo de su derecho al Habeas Data haya solicitado previamente a la entidad
correspondiente que se corrija, aclare, rectifique, actualice o suprima el dato o la información que
ésta tiene sobre el mismo.” (T-358, p. 1).
Esto nos evidencia que la intención que tiene la Corte es excluir a quienes no cumplan dicha
exigencia. En el entendido que solo se puede acudir a ella siempre y cuando con anterioridad se
haya elevado solicitud de corrección, actualización, modificación o eliminación de datos a la
entidad que haya estado incursa en esta violación al derecho de Habeas Data.
4.3 Papel de la Superintendencia delegada para la Protección de Datos Personales y otros
organismos estatales (como garante)
El Régimen General de Protección de Datos Personales – Ley Estatutaria 1581 de 2012 – es
la ley que regula el derecho a la autodeterminación de la información, a este respecto se suma el
Decreto 886 de mayo 13 de 2014, el cual reglamenta el artículo 25 de la citada ley, relativo a la
creación del Registro Nacional de Bases de Datos, en cabeza de la Superintendencia de Industria
y Comercio.
Regulación en materia de protección de datos personales o habeas data en Colombia 52
Este Registro Nacional de Bases de Datos – RNBD - es el directorio público de las bases de
datos sujetas a tratamiento que operan en el país, y su objetivo es garantizar la protección de
datos personales. A este propósito es de resaltar que la Delegatura para la Protección de Datos
Personales es la garante del bien constitucionalmente protegido del derecho a la
autodeterminación de la información en nuestro país.
Asimismo, la Corte Constitucional (2011), a este respecto indicó:
“debe permitir a cualquier persona determinar quién está haciendo tratamiento de sus datos
personales para de esa forma garantizar que la persona pueda tener un control efectivo sobre sus
datos personales al poder conocer clara y certeramente en qué bases se manejan sus datos
personales. Por ende, el Gobierno Nacional tendrá en su labor de reglamentación que acudir a los
estándares internacionales y a la experiencia de otros Estados en la materia para lograr que la
finalidad antes descrita de este registro se cumpla”. (C-748, p. 284).
4.4 Conclusiones parciales
El derecho al olvido germina básicamente como una forma de oposición a los denominados
maltratos del poder informático, desde su génesis en los diferentes sistemas internacionales como
por ejemplo la Ley Modelo Uncitral, ha tenido gran acogida y ha permitido integrar su normativa
en los diferentes ordenamientos jurídicos y de esta forma hacer efectivo el derecho a la
autodeterminación de la información.
El derecho al olvido se identifica como la posibilidad de los sujetos concernidos a evitar que
sus datos personales tengan vocación de perennidad en la Internet, lo cual iría totalmente en
contravía del libre desarrollo de la personalidad. Máxime que en pro de salvaguardar este
derecho se ha tenido que ponderar el conflicto que existe contra la libertad de información.
En este entendido se dedujo la responsabilidad que recae sobre los operadores de los motores
de búsqueda y su compromiso a la hora de proteger el derecho al olvido, tal como se desprende
de la sentencia Google Spain, donde el Tribunal de Justicia Español, examino los derechos en
conflicto y fallo en favor del peticionario.
En cuanto a la garantía del derecho al olvido, nuestro país a través de la Superintendencia de
Industria y Comercio, ha adoptado las políticas de privacidad tendientes a garantizar la
efectividad de este derecho; para ello ha adoptado mecanismos procesales y constitucionales para
su protección.
Regulación en materia de protección de datos personales o habeas data en Colombia 53
Conclusiones y recomendaciones finales
Actualmente los avances tecnológicos proyectan retos en las legislaciones de la esfera
terrestre, lo que tradicionalmente se conocía como Internet ha evolucionado y asimismo la
dinámica de diferentes sistemas constitucionales para proteger la libertad de expresión, y la
protección de datos personales; generando una ponderación entre los derechos contrapuestos y
desarrollando normas expeditas que permitan regularlos.
Consecuencialmente, se han concebido internacionalmente leyes modelo asimiles atinentes a
la protección de datos y que sirven de modelo a diferentes legislaciones, como también hay
estados que se han adherido a ellas mediante tratados ratificados dada la urgencia de proteger los
individuos de un posible uso lesivo de sus datos personales.
Además de lo mencionado anteriormente, el ordenamiento jurídico colombiano ha
concentrado normativamente garantías de protección y vigilancia encaminadas a endilgar
responsabilidades a quienes traten la información en indebida forma y asimismo en caso que
hayan incurrido en un uso abusivo de información, penalizar esta conducta mediante sanciones
que pueden ir desde una multa, hasta el cierre definitivo de operaciones.
A este propósito, la implementación del derecho de Habeas Data surge como la necesidad de
proteger constitucionalmente la intimidad del individuo ofreciéndole garantías consagradas en la
legislación como lo son el acceso, rectificación, cancelación y oposición de los datos
concernidos.
De esta manera se abordaron los conceptos de titulares, garantes e intervinientes de Habeas
Data, así como sus responsabilidades y obligaciones de cara al manejo de la información a la
cual pueden acceder, desarrollando así mecanismos de protección frente al uso desproporcionado
de información que ya no sea relevante para su titular.
En esta investigación se evidenció la responsabilidad de los motores de búsqueda, portales o
metabuscadores desde los desarrollos jurisprudenciales como lo fue el Caso Derecho al Olvido,
Google Motores de Búsqueda, decisión C-131/12 del Tribunal de Justicia de la Unión Europea,
Google Inc. Contra Agencia Española de Protección de Datos (AEPD), Mario Costeja González,
y que consecuencialmente demostró la prevalencia de la garantía del derecho al olvido. Lo
anterior en virtud que la información del accionante era protegida por el derecho de Habeas Data.
(Tribunal de Justicia de la Unión Europea, 2012, C-131).
Regulación en materia de protección de datos personales o habeas data en Colombia 54
A este respecto el Tribunal Europeo, ha sido enfático en la responsabilidad que se le debe
endilgar a los motores de búsqueda en cuanto a la protección del derecho al olvido y a quien
atañe la exclusión de cierta información y asimismo hacerla invisible a través de sus enlaces.
Para el caso colombiano, se tomó como referente para este estudio la providencia del Juez
Segundo Promiscuo Municipal de Rovira-Tolima, correspondiente a resolver una acción de
tutela impetrada por violación al derecho constitucional de Habeas Data, autodeterminación
informática y la intimidad mediante spam. El demandante arguye que nunca otorgo autorización
para recibir información de la entidad accionada (Virtual Card), y no obstante sus continuas
peticiones de dar de baja su dirección electrónica y abstenerse de enviar correos mediante spam,
recibió por lo menos 8 correos de la referida entidad a los cuales respondió que no medio
consentimiento alguno para su recepción y que suplicaba ser eliminado de sus bases de
información. (Sentencia de 21 de julio de 2003. Rad. 73-624-40-89-002-2003-053-00).
Mediante decisión del 21 de julio de 2003, el juez tutelo los derechos del accionante
ordenando a la firma (Virtual Card), y a los creados bajo dominio i-network.com, no enviarle
más correos a su cuenta electrónica. Así como dar de baja la dirección electrónica de sus bases
de datos y de sus aliados.
Así pues, se reafirma la posición de Garante del Estado, en relación con el derecho
constitucional de Habeas Data, -autodeterminación informática- lo que permitirá cuando se
genere una trasgresión a este bien jurídico, determinar si hay o no una violación a este derecho
fundamental amparado constitucionalmente.
En este orden de ideas, los administradores de bases de información-intermediarios- y
motores de búsqueda les asiste la responsabilidad de proteger los datos a su cargo y en aras de
ese compromiso serán sujetos de las sanciones a que haya lugar en virtud de incumplir con las
garantías que proscribe la ley para este tipo de tratamiento. Como sustento de esta afirmación me
permito aludir el artículo EL DERECHO AL OLVIDO VS. EL PODER INFORMÁTICO,
Análisis desde la regulación colombiana con referencias al ordenamiento jurídico español
(Morales, 2015).
Ahora bien, para entender la responsabilidad y el manejo de la información se hace
indispensable entender la clasificación de los tipos de datos; misma que la Corte Constitucional
ha reconstruido en su decisión según Sentencia C-1011 de 2008, y que la subdivide en datos
públicos, privados, semiprivados y sensibles. Siendo éste último tipo de datos el objeto central de
Regulación en materia de protección de datos personales o habeas data en Colombia 55
la protección del mecanismo de Habeas Data. Así las cosas, esta diferenciación permite
determinar qué tipo de información es la que hace más vulnerable al titular del dato y precisar el
núcleo jurídico del bien protegido (Derecho a la Autodeterminación de la Información) así como
garantizar efectivamente la protección de otros derechos conexos como lo son el de la intimidad
y la honra y buen nombre.
Desde la óptica de la garantía constitucional del Habeas Data – Derecho a la
Autodeterminación de la Información- en nuestro país, emerge como un mecanismo procesal
constitucional preferente, adicionalmente se cuenta con un mecanismo transitorio sumario,
permanente e inmediato, denominado acción constitucional de tutela, (acción de Amparo), el
cual debe impetrarse ante la entidad que ha vulnerado el referido derecho y en caso de no obtener
respuesta en favor del accionante, este pueda acceder al aparato jurisdiccional en búsqueda de
hacer efectivo su pedimento. Sin embargo, ella tiene requisitos para su procedencia, como no
existir otro mecanismo que pueda usar el titular para la protección efectiva de sus derechos.
Resulta conveniente resaltar que con la expedición de la Ley Estatutaria de protección de
datos y el desarrollo jurisprudencial que ha versado sobre la materia, se ha puesto en cabeza de la
Superintendencia de Industria y Comercio, la salvaguarda de este derecho a través de la creación
del denominado Registro Nacional de Bases de Datos, – RNBD, el cual funge como garante del
derecho de Habeas Data en nuestro país. Cabe aclarar que a través de la Circular Externa No.
02 del 3 de noviembre de 2015, se solicitó a las entidades tratantes de datos inscribir sus bases en
este directorio y para este año entraría en funcionamiento.
En concreto, el uso indiscriminado del poder informático es lo que aqueja actualmente a
nuestra sociedad, y en este ámbito es donde se desarrolla el cumulo de datos personales que
posiblemente en lo sucesivo se pueden convertir en una amenaza de la esfera personal de quien
es su titular, por ello el derecho al olvido irrumpe como la posibilidad de generar límites
temporales a dicha información y de esta manera controlar que se eliminen o se den de baja para
que no tengan repercusiones en su presente.
Con base en las conclusiones anteriormente reseñadas, se demuestra que
jurisprudencialmente el -derecho a la autodeterminación de la información- ha sido desarrollado
y se ha extendido la responsabilidad a los motores de búsqueda, por lo que podría decirse que es
un derecho en desarrollo y por ello se está dotando a Entidades como la Superintendencia de
Regulación en materia de protección de datos personales o habeas data en Colombia 56
Industria y Comercio, así como también a personas privadas para que regulen y acompañen el
proceso de los titulares de este derecho fundamental.
Finalmente, la solución para salvaguardar este derecho es desde la interpretación
constitucional y desarrollo jurisprudencial donde se privilegia el derecho del titular a la
autodeterminación de la información identificando el tipo de datos protegidos frente al derecho
de manejo y suministro de la información en administradores de bases de datos, portales y
motores de búsqueda.
Regulación en materia de protección de datos personales o habeas data en Colombia 57
Referencias
1. Textos
Álvarez Caro, M. l. (2015). Derecho al olvido en Internet: el nuevo paradigma de la privacidad en la era
digital. Madrid: Reus.
Bazán, V. (2009). El Habeas Data y el derecho de autodeterminación informativa en perspectiva de
derecho comparado. Santiago de Chile: Red Estudios Constitucionales.
Cifuentes Muñoz, E. (2006). El Habeas Data en Colombia. Santiago de Chile: Red Ius et Praxis.
Conde Colmenero, P. A. (2014). Los derechos a la intimidad y a la privacidad en el siglo XXI. España:
Dykinson.
Conde Ortiz, C. (2006). La protección de datos personales: un derecho autónomo con base en los
conceptos de intimidad y privacidad. España: Dykinson.
Eguiguren P., F. J. (2005). El Habeas Data y su desarrollo en el Perú. Chile: Red Ius et Praxis.
Fernández Segado, F. (2005). El régimen jurídico del tratamiento automatizado de los datos de carácter
personal de España. Chile: Red Ius et Praxis.
Fernández Sola, N. (2003). Unión Europea y derechos fundamentales en perspectiva constitucional.
España: Dykinson.
Garriga Domínguez, A. (2011). Tratamiento de datos personales y derechos fundamentales. Madrid, ES:
Dykinson.
López Presmanes, J. L. (2007). Internet: servicios básicos. La Habana: Universitaria.
Marzo Portera, A. (2009). Guía práctica para la protección de datos de carácter personal. Barcelona:
Experiencia.
Masciotra, M. (2003). El Habeas Data: la garantía polifuncional. Argentina: Librería Editora Platense
S.R.L.
Morales, N. D. (octubre de 2015). El derecho al olvido vs. el poder informático: análisis desde la
regulación colombiana con referencias al ordenamiento jurídico español. Salamanca, España.
Nogueira Alcalá, H. (2006). Reflexiones sobre el establecimiento constitucional del Habeas Data y del
proyecto en tramitación parlamentaria sobre la materia. Santiago de Chile: Red Ius et Praxis.
Ordóñez Solís, D. (2014). La protección judicial de los derechos en Internet en la jurisprudencia
europea. Madrid: Reus.
Pfeffer Urquiaga, E. (2006). Los derechos a la intimidad o privacidad, a la honra y a la propia imagen:
su protección frente a la libertad de opinión e información. Chile: Red Ius et Praxis.
Rebollo Delgado, L. (2008). Introducción a la protección de datos (2a ed.). Madrid: Dykinson.
Rebollo Delgado, L. (2014). Vida privada y protección de datos en la Unión Europea. España: Dykinson.
Regulación en materia de protección de datos personales o habeas data en Colombia 58
Rebollo Delgado, L. y Saltor. E. C. (2015). El derecho a la protección de datos en España y Argentina:
orígenes y regulación vigente. Madrid: Dykinson.
Remolina Angarita, N. (2013). Tratamiento de datos personales: aproximación internacional y
comentarios a la Ley 1581 de 2012. Bogotá: Legis.
Serrano-Cobos, J. (2015). Introducción a la disciplina del posicionamiento en buscadores. Barcelona:
UOC.
Simón Castellano, P. (2012). El régimen constitucional del derecho al olvido digita. Valencia: Editorial
Tirant Lo Blanch.
Tejerina Rodríguez, O. P. (2014). Seguridad del estado y privacidad. España: Reus.
Valderrey Sanz, P. (2014). Administración de sistemas gestores de bases de dato. Madrid: RA-MA.
Zúñiga Urbina, F. (2006). El derecho a la intimidad y sus paradigmas. Santiago de Chile: Red Ius et
Praxis.
2. Normatividad
Agencia Española de Protección de Datos. (2007). Resolución Nº. R/01046. Recuperado de
http://www.lapaginadefinitiva.com/aboix/wp-content/uploads/resolucion-aepd-sobre-borrado-de-
datos-google.pdf
Agencia Española de Protección de Datos. 'Derecho al olvido'. Recuperado de
http://www.agpd.es/portalwebAGPD/CanalDelCiudadano/derecho_olvido/index-ides-idphp.php
Agencia Española de Protección de Datos. Protección de datos y Habeas Data: una visión desde
Iberoamérica. Recuperado de
https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/premios_2015/Pr
oteccion_de_datos_y_habeas_data.pdf
Asamblea General de la ONU (14 de diciembre de 1990). Resolución 45/95 de la Asamblea General.
Directrices para la regulación de los archivos de datos personales informatizados. Recuperado de
http://inicio.ifai.org.mx/Estudios/D.3BIS-cp--Directrices-de-Protecci-oo-n-de-Datos-de-la-ONU.pdf
Asamblea General de la ONU. (1948). Declaración Universal de Derechos Humanos de las Naciones
Unidas. Recuperado de http://www.un.org/es/documents/udhr/
Asamblea General de la ONU. Pacto Internacional de Derechos Civiles y Políticos. Recuperado de
http://www.ohchr.org/SP/ProfessionalInterest/Pages/CCPR.aspx
Congreso de la República de Colombia (2012). Ley 1581 de 2012. Recuperado de
http://www.secretariasenado.gov.co/senado/basedoc/ley_1581_2012.html] fecha de la última consulta
[17 de julio de 2016].
Regulación en materia de protección de datos personales o habeas data en Colombia 59
Congreso de la República de Colombia. (1991). Constitución Política. Recuperado de
http://www.senado.gov.co/images/stories/Informacion_General/constitucion_politica.pdf
Congreso de la República de Colombia. (2008). Ley 1266. Recuperado de
http://www.sic.gov.co/drupal/sites/default/files/files/ley1266_31_12_2008(1).pdf
Consejo de Europa. (2000). Grupo de Trabajo sobre Protección de Datos. Dictamen 4, sobre el nivel de
protección que proporcionan los “principios de puerto seguro”. Recuperado de
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2000/wp32es.pdf
Consejo de Europa. (28 de enero de 1981). Convenio 108 de Estrasburgo, para la protección de las
personas con respecto al tratamiento automatizado de datos de carácter personal. Recuperado de
https://www.boe.es/buscar/doc.php?id=BOE-A-1985-23447
Consejo de Europa. (4 de abril de 2008). Dictamen 1 sobre cuestiones de protección de datos relacionadas
con motores de búsqueda. Recuperado de
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp148_es.pdf
Consejo de Europa. Carta de los Derechos Fundamentales de la Unión Europea. Recuperado de
http://portal.ugt.org/internacional/cartaderechosfundamentalesue.pdf
Consejo de Europa. Convenio Europeo de Derechos Humanos. Recuperado de http://
www.echr.coe.int/Documents/Convention_SPA.pdf
Consejo de la Unión Europea. Expediente interinstitucional: 2012/0011 (COD). Propuesta de Reglamento
del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general
de protección de datos) Recuperado de
http://register.consilium.europa.eu/doc/srv?f=ST+5853+2012+INIT&l=es]
Don Juan Carlos I, Rey de España. (13 de diciembre de 1999). Ley Orgánica 15, de protección de datos
de carácter personal. Recuperado de https://www.boe.es/buscar/act.php?id=BOE-A-1999-23750
Don Juan Carlos I, Rey de España. (29 de octubre de 1992). Ley Orgánica 5, de regulación del
tratamiento automatizado de los datos de carácter personal. Recuperado de
https://www.boe.es/buscar/doc.php?id=BOE-A-1992-24189
Gobierno de España. Ministerio de Justicia. (2007). Real Decreto 1720, de 21 de diciembre, por el que se
aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección
de datos de carácter personal. Recuperado de https://www.boe.es/buscar/act.php?id=BOE-A-2008-
979
Gobierno Nacional de Colombia. (2014). Decreto reglamentario 886. Recuperado de
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=57338
Regulación en materia de protección de datos personales o habeas data en Colombia 60
Gobierno Nacional de Colombia. Decreto Reglamentario 1377 de 2013. Recuperado de
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=53646] consultado el [17 de julio de
2016 03:51 PM].
Marco de Privacidad del Foro de Cooperación Económica Asia Pacífico (APEC). El Marco de Privacidad
de APEC promueve un acercamiento flexible a la protección de la privacidad de la información en las
Economías Miembro de APEC, evitando la creación de barreras innecesarias para los flujos de
información. Recuperado de
https://www.sellosdeconfianza.org.mx/docs/marco_de_privacidad_APEC.pdf
Organización de Estados Americanos, OEA. (4 de junio de 2014). Resolución 2842, Ley de Acceso a la
Información Pública y Protección de Datos Personales. Recuperado de
http://www.oas.org/es/sla/ddi/docs/AG-RES_2842_XLIV-O-14.pdf
Organización de Estados Americanos, OEA. (8 de junio de 2010). Resolución 2607. AG/RES. 2607 (XL-
O/10) Ley Modelo Interamericana sobre Acceso a la Información Pública. Recuperado de
http://www.oas.org/dil/esp/AG-RES_2607-2010.pdf
Organización de Estados Americanos, OEA. Convención Americana sobre Derechos Humanos.
Recuperado de http://www.oas.org/dil/esp/tratados_B-
32_Convencion_Americana_sobre_Derechos_Humanos.htm
Organización de Estados Americanos, OEA. Declaración Americana de Derechos Humanos. Recuperado
de http://www.oas.org/es/cidh/mandato/Basicos/declaracion.asp
Organización de Estados Americanos, OEA. Resolución AG/RES. 2514 (XXXIX-O/09) de la Asamblea
General. Ley Modelo Interamericana sobre Acceso a la Información. Recuperado de
https://www.oas.org/dil/esp/CP-CAJP-2840-10_Corr1_esp.pdf
Organización para la Cooperación y el Desarrollo Económico (OCDE). (1980). Directrices sobre
protección de la privacidad y flujos transfronterizos de datos personales. Recuperado de
http://www.oecd.org/sti/ieconomy/15590267.pdf
Parlamento Europeo y Consejo de Europa. (24 de octubre de 1995). Directiva 95/46CE, relativa a la
protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de esos datos. Recuperado de
https://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/union_europea/directivas/com
mon/pdfs/B.4-cp--Directiva-95-46-CE.pdf
Reglas Mínimas para la Difusión de Información Judicial en Internet. Reglas de Heredia. Recuperado de
http://www.iijusticia.org/heredia/Reglas_de_Heredia.htm
Regulación en materia de protección de datos personales o habeas data en Colombia 61
3. Jurisprudencia
Corte Constitucional de Colombia. (1993). Sentencia T 022. Recuperado de
http://www.corteconstitucional.gov.co/relatoria/1993/t-022-93.htm
Corte Constitucional de Colombia. (1995). Sentencia SU 082. Recuperado de
http://www.corteconstitucional.gov.co/relatoria/1995/su082-95.htm
Corte Constitucional de Colombia. (1995). Sentencia T 094 1995. Recuperado de
http://www.corteconstitucional.gov.co/relatoria/1995/T-094-95.htm
Corte Constitucional de Colombia. (1995). Sentencia T 615. Recuperado de
http://www.corteconstitucional.gov.co/relatoria/1995/T-615-95.htm
Corte Constitucional de Colombia. (2002). Sentencia T 729. Recuperado de
http://www.corteconstitucional.gov.co/relatoria/2002/t-729-02.htm
Corte Constitucional de Colombia. (2006). Sentencia T 684. Recuperado de
http://corteconstitucional.gov.co/relatoria/2006/T-684-06.htm
Corte Constitucional de Colombia. (2007). Sentencia C 336. Recuperado de
http://www.corteconstitucional.gov.co/RELATORIA/2007/C-336-07.htm
Corte Constitucional de Colombia. (2008). Sentencia C 1011. Recuperado de
http://www.corteconstitucional.gov.co/relatoria/2008/C-1011-08.htm
Corte Constitucional de Colombia. (2010). Sentencia C 334. Recuperado de
http://www.corteconstitucional.gov.co/relatoria/2010/C-334-10.htm
Corte Constitucional de Colombia. (2011). Sentencia C 748. Recuperado de
http://www.corteconstitucional.gov.co/RELATORIA/2007/C-336-07.htm
Corte Constitucional de Colombia. (2013). Sentencia T 419. Recuperado de
http://www.corteconstitucional.gov.co/relatoria/2013/T-419-13.htm
Corte Constitucional de Colombia. (2014). Sentencia T 176A. Recuperado de
http://www.corteconstitucional.gov.co/RELATORIA/2014/T-176A-14.htm
Corte Constitucional de Colombia. (2015). Sentencia T 277. Recuperado de
http://www.corteconstitucional.gov.co/relatoria/2015/t-277-15.htm
Corte Constitucional de Colombia. (2015). Sentencia T 366. Recuperado de
http://www.corteconstitucional.gov.co/relatoria/2015/T-366-15.htm
Corte Constitucional de Colombia. Sentencia T 358 2014. Recuperado de
http://www.corteconstitucional.gov.co/RELATORIA/2014/T-358-14.htm
Regulación en materia de protección de datos personales o habeas data en Colombia 62
Corte Suprema de Justicia. Sala Penal. Comunicado 08/15. Recuperado de
http://www.procuraduria.gov.co/relatoria/media/file/flas_juridico/1217_CSJSP-Comunicado%2008-
15.pdf
Juzgado Segundo Promiscuo Municipal de Rovira, Tolima (Colombia). (2003). Sentencia de 21 de Júlio.
Rad. 73-624-40-89-002-2003-053-00. Recuperado de
http://www.oas.org/es/sla/ddi/docs/CO15%20Juzgado%20Segundo%20Municipal%20Sentencia%20
21.7.03.pdf
Tribunal de Justicia de la Unión Europea TJUE. (13 de mayo de 2014). Sentencia C-131/12. Caso Google
Motores de Búsqueda. Recuperado de
http://curia.europa.eu/juris/document/document.jsf?docid=152065&doclang=ES
4. Páginas Web referidas para consulta
Revista Chilena de Derecho Informático. Página Web
http://Web.uchile.cl/vignette/derechoinformatico/CDA/der_informatico_simple/0,1493,SCID%253D
14338%2526ISID%253D507%2526PRT%253D14331,00.html
Superintendencia de Industria y Comercio. Delegatura para la Protección de Datos Personales.
Recuperado de http://www.sic.gov.co/drupal/proteccion-de-datos-personales