Protección de datos sensibles en Colombia.

Por: Sheila Amaya Jiménez[1]

1. Derecho de habeas data

Los datos personales son toda aquella información asociada a una persona, que permite su identificación. Por ejemplo, su documento de identidad, estado civil, edad, lugar de residencia, trayectoria académica y profesional. Existe también información más sensible como su estado de salud, ideología política, credo religioso, orientación sexual, entre otros.

En Colombia contamos con la Ley 1581 de 2012 (Régimen General de Protección de Datos Personales) cuyo objeto consiste en «(…) desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos (…)”.  

El artículo 15 de la constitución política (habeas data[2]) reconoce el derecho de las personas a decidir libremente frente al uso de la información que sobre ellas se haya recogido en bases, bancos o archivos de datos de entidades públicas o privadas.

De hecho, la Corte Constitucional en sentencia C-748 de 2011, señaló que, en atención al principio de libertad consagrado en la ley 1581 de 2012, el tratamiento de datos personales sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular, y resaltó que, “los datos personales no podrán ser obtenidos o divulgados sin previa autorización, (…)”.

Ese principio como pilar fundamental de la administración de datos, permite al ciudadano elegir voluntariamente si su información personal puede ser utilizada o no en bases de datos. También impide que la información ya registrada de un usuario, que ha sido obtenida con su consentimiento, pueda pasar a otro organismo que la utilice con fines distintos para los que fue autorizado inicialmente.

1. Autorización y tratamiento de los datos sensibles

Conforme lo establecido en el artículo 5 de la ley 1581 de 2012, los datos sensibles son aquellos que afectan la intimidad del Titular y pueden dar lugar a que la persona sea discriminada, como aquellos que revelan su origen racial o étnico, su orientación política, datos relativos a la salud, así como los datos biométricos[3].

Los datos sensibles constituyen una categoría especial de datos personales y por ello, requieren una protección reforzada y algunas consideraciones especiales a la hora de solicitar autorización para su tratamiento. Veamos:

1. El titular debe saber que, por tratarse de datos sensibles, no está obligado a autorizar su tratamiento;
2. El Responsable del Tratamiento debe informar al titular de forma explícita y previa, cuáles datos son sensibles y cuál será la finalidad del tratamiento.

Al respecto, el artículo 6 de la Ley 1581 de 2012, establece que, “se prohíbe el tratamiento de datos sensibles, excepto cuando, el titular haya dado su autorización explicita, salvo en los casos que por ley no sea requerido el otorgamiento de esa autorización (…)”.

Así, el tratamiento de los datos personales sensibles sólo puede realizarse cuando exista la autorización previa, expresa e informada del titular, con el fin de permitirle que se garantice que en todo momento y lugar pueda conocer (i) en dónde está su información personal, (ii) para qué propósitos ha sido recolectada y (iii) qué mecanismos tiene a su disposición para su actualización y rectificación.

Respecto a la autorización, el artículo 2.2.2.25.2.2, del Decreto 1074 de 2015 señala que, el Responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el tratamiento de los mismos e informarle cuáles son los datos personales que serán recolectados, así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento.

En concordancia con lo anterior, el artículo 2.2.2.25.2.4., del precitado decreto prevé que, el titular de la información ha dado su autorización para el tratamiento de los datos personales cuando haya sido: (i) por escrito; (ii) de forma verbal o (iii) mediante conductas inequívocas, es decir, aquellas que no admiten duda o equivocación, del titular que permitan concluir de forma razonable que otorgó la autorización.

Por su parte, la Superintendencia de Industria y Comercio en concepto 17-299565 de 31 de octubre de 2017 sostuvo que, el silencio no puede asimilarse a una conducta inequívoca, y “para el caso de los datos sensibles, la autorización explícita se refiere solo a que sea escrita o verbal”.

Adicionalmente, el Responsable del Tratamiento, al momento de solicitar al Titular la autorización, deberá informarle[4] de manera clara y expresa:

1. El tratamiento al cual serán sometidos sus datos personales sensibles y la finalidad del mismo.
2. El carácter facultativo de la respuesta.
3. Los derechos que le asisten como titular, entre ellos, el de la supresión de sus datos y;
4. La identificación, dirección física o electrónica y teléfono del responsable del tratamiento, para que pueda ejercer sus derechos.

En línea de lo expuesto, es claro que, los responsables del tratamiento de los datos personales deben obtener la autorización explicita (verbal o escrita) por parte del titular a más tardar al momento de su recolección informándole la finalidad específica del tratamiento de los mismos, y debe utilizar mecanismos que garanticen su consulta posterior, so pena de ser sancionados por la Superintendencia de Industria y Comercio, de conformidad con lo previsto en el artículo 23 de la Ley 1581 de 2012.

[1] Abogada egresada de la Universidad Militar Nueva Granada. Especialista en derecho de la competencia de la Pontificia Universidad Javeriana. Miembro del Instituto Colombiano de Derecho Procesal (ICDP).

[2] La Corte Constitucional en sentencia T-729 de 2002, M.P. Eduardo Montealegre Lynett, definió el derecho al habeas data o también conocido como de autodeterminación informativa como “aquel que otorga la facultad al titular de datos personales, de exigir a los administradores de datos personales el acceso, inclusión, exclusión, corrección, adición, actualización, y certificación de los datos, así como la limitación en las posibilidades de divulgación, publicación o cesión de los mismos, conforme a los principios que informan el proceso de administración de bases de datos personales”.

[3] Los datos biométricos son datos sensibles que permiten identificar a una persona natural a través del reconocimiento de una característica física e intransferible que, al ser única de cada individuo, permite distinguir a un ser humano de otro.

[4] Artículo 12 de la Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales”.