|
Comentarios Al Proyecto De Ley 221/07c-27/06s De 2006
“Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial y de servicios y se dictan otras disposiciones”
Varias han sido las propuestas que en Colombia se han presentado para buscar la regulación de la protección de datos en el país. Las disposiciones de cada una de estas han pretendido abarcar varios aspectos de la protección del derecho de habeas data y aún siendo algunas considerablemente garantistas, no han logrado el suficiente impulso para su aprobación legislativa y su consecuente sanción.
El proyecto de ley 027 del 2006, a diferencia de las otras iniciativas logró ser aprobado por el Congreso de la República el pasado 29 de Mayo.
Contrario a lo que pensarían muchos de los colombianos, la aprobación de este proyecto no garantiza suficientemente sus derechos. Este es un proyecto que sufre de lo que han sufrido algunos de los proyectos presentados con anterioridad y es de la incapacidad de crear una norma completamente protectora de un derecho fundamental. Como lo expondré a continuación, esta es una iniciativa que carece de un reconocimiento pleno de los derechos de habeas data, por tres motivos principales:
a) No ofrece un nivel adecuado de protección
b) Tiene deficiencias conceptuales básicas
c) No cumple con parámetros internacionales.
A continuación se explicarán cada uno de los siguientes puntos:
a. No ofrece un nivel adecuado de protección:
Desafortunadamente, la ley contempla dentro de su articulado varios puntos en los que en su redacción puede llegar a desconocerse el derecho fundamental del Habeas Data.
a.1. Las bases de datos especiales se excluyen de protección: Aquí, encontramos la primera falencia: en la redacción se incluye que "…Se exceptúan de esta ley las bases de datos que tienen por finalidad producir la Inteligencia de Estado por parte del Departamento Administrativo de Seguridad, DAS, y de la Fuerza Pública para garantizar la seguridad nacional interna y externa...". Si bien, es claro que deben existir limitaciones en las bases de datos de manejo en pro de la seguridad pública, no se pueden estas apartar totalmente del control de una ley de prot|ección de datos personales, ya que, derechos como el de rectificación y el de cancelación se le estarían anulando al ciudadano y se violaría ampliamente el principio de veracidad de la información.
a.2. No se regulan bases de datos que circulan internamente: En el mismo artículo, se establece que "…Igualmente, quedan excluidos de la aplicación de la presente ley aquellos datos mantenidos en un ámbito exclusivamente personal o doméstico y aquellos que circulan internamente, esto es, que no se suministran a otras personas jurídicas o naturales…". La frase "… y aquellos que circulan internamente…" permite entender que aquellas bases de datos que no son transmitidas a terceros o comunicadas a otros, sea con o sin autorización del titular, no tienen protección de la ley y se desconoce ampliamente que esta información así no circule, está siendo tratada por un administradores de datos personales y su comportamiento debe ser controlada por la ley.
a.3. El operador evade una eventual responsabilidad en el tratamiento de bases de datos. En el artículo 3 referente a las definiciones, específicamente en su literal c, referente a operadores de la información, se adiciona el final del párrafo que "… Salvo que el operador sea la misma fuente de la información, este no tiene relación comercial o de servicio con el titular y por ende no es responsable por la calidad de los datos que le sean suministrados por la fuente;…". En este punto, se considera que no puede apartarse de responsabilidad al operador de las bases de datos en ningún evento. En el caso concreto, debe decidirse el grado de responsabilidad que recae sobre la fuente de la información, el operador o el usuario independientemente. Y aunque puede de darse que se concluya que no es responsable el operador, debe ser este considerado administrador de datos personales y potencialmente responsable.
a.4. Sin el consentimiento del titular se pueden manipular sus datos financieros y crediticios. Se establece que "…La administración de datos semiprivados y privados requiere el consentimiento previo y expreso del titular de los datos, salvo en el caso del dato financiero y crediticio, el cual no requiere autorización del titular. Respecto a este punto hay que aclarar que La Corte Constitucional en varios de sus pronunciamientos ha establecido los principios básicos en la protección de datos. Entre ellos está el de libertad, consentimiento y veracidad. Este aparte del proyecto de ley está en contra totalmente de lo principios para la protección de habeas data. Se pregunta entonces para buscar una justificación aceptable: ¿El dato financiero y crediticio no tiene la calidad de dato personal? ¿Existe algún pronunciamiento constitucional en el que se excluya amplia y expresamente los datos financieros del resto de los datos personales?. El dato personal, como bien lo expone al principio el proyecto de ley, es cualquier dato de una persona identificada o identificable y el dato crediticio, mientras le pertenezca a alguien en particular hace parte de este concepto y no se debe excluir de un principio básico como es el de consentimiento.
a.5. Se limita el derecho de acceso gratuito a las bases de datos: El artículo 11 sobre Principio de favorecimiento a una actividad de interés público en su parágrafo 2 dispone: "La consulta de información financiera y crediticia por parte del titular será gratuita por lo menos una vez al año, o cuando un usuario hubiere consultado el registro en el curso de una solicitud de crédito en los últimos treinta (30) días. Las políticas o manuales internos del operador desarrollarán la presente disposición". El derecho de acceso es un derecho reconocido por la Corte Constitucional. Este parágrafo entonces, limita esta extensión del derecho fundamental de habeas data, estableciendo que su ejercicio es sólo a una vez al año. El derecho de acceso para ser completamente garantista, debe contar con dos características principales: 1. Su gratuidad y 2. Su permanente posibilidad de ejercicio.
a.6. Se establece un tiempo excesivo de permanencia de los datos de carácter financiero y crediticio: La ley en su artículo 14 referente a la permanencia de la información, dice que "Los datos cuyo contenido haga referencia al tiempo de mora, tipo de cobro, estado de la cartera, y en general, aquellos datos referentes a una situación de incumplimiento de obligaciones, se regirán por un término máximo de permanencia, vencido el cual deberá ser retirada de los bancos de datos por el operador, de forma que los usuarios no puedan acceder o consultar dicha información. El término de permanencia de esta información será de cinco (5) años contados a partir de la fecha en que sean pagadas las cuotas vencidas o sea pagada la obligación vencida". Respecto a este punto debe decirse que si bien, tal como lo aclara el presente proyecto, la actividad de administración de información financiera y crediticia está directamente relacionada y favorece una actividad de interés público, como lo es la actividad financiera propiamente, por cuanto ayuda a la democratización del crédito, promueve el desarrollo de la actividad de crédito, no se debe interponer a los principios básicos de la protección de datos. Una vez mas el principio de veracidad de la información se viola al establecer un término de permanencia de 5 años posteriores al cambio de calidad de la información.
b. Tiene deficiencias conceptuales básicas:
b.1. No es pertinente ponderar el derecho de información frente al derecho de Habeas Data: Los comentarios sobre este punto se analizarán iniciando con el evidente problema que se encuentra en el artículo 1 que dispone el objeto de la ley. La redacción de este punto tiene una gran tendencia garantizadora al establecer que se reconoce con la ley al ciudadano, desarrollar derechos constitucionales de protección de datos personales. No obstante, consideramos que el nivel de protección que este artículo otorga, se ve afectado por incluir en líneas posteriores que se reconoce el derecho de información del art. 20 de la Constitución Nacional. Si bien el derecho de información, con su carácter de fundamental que le da el ordenamiento superior debe siempre ser reconocido, de antemano, no puede incluir su protección en una ley cuyo objeto de protección sea el derecho a la intimidad y el derecho a proteger los datos personales. Per –se, el derecho a la información se contrapone con el derecho al habeas data y se convierte en su límite, tanto así que su estudio ha sido objeto de arduas discusiones constitucionales y de ponderación de derechos.
b.2. Se excluye el principio de consentimiento: Adicionalmente, el artículo 4 dedicado a la exposición de los principios rectores, excluye evidentemente el principio de consentimiento. El consentimiento del titular de los datos, es uno de los pilares para un tratamiento de información personal dentro de unos parámetros lícitos. Si esto no se establece como fundamental dentro de un capitulo de principios básico de la ley, se estará desconociendo garantías fundamentales del ser humano respecto al l manejo y pleno conocimiento de su información personal. Del principio de consentimiento se desprenden el resto de principios que bien contempla el proyecto, ya que, sólo con la aprobación del titular en la transmisión de sus datos para el posterior tratamiento, se podrá tener una legislación dentro de parámetros leales. Solo garantizando como principio el derecho del dueño de los datos a consentir y conocer la finalidad de sus datos, se permitirá que estos sean manipulados legalmente.
b.3. El principio de temporalidad sólo se sujeta al principio de finalidad y se excluye el principio de consentimiento: Siguiendo con la línea del principio de consentimiento, se trae a colación el literal c del mismo artículo 4. En este punto de establece que "…La administración de datos personales se sujeta a los límites que se derivan de la naturaleza de los datos, de las disposiciones de la presente ley y de los principios de la administración de datos personales especialmente de los principios de temporalidad de la información y la finalidad del banco de datos" con lo cual debe adicionarse que el principio de circulación restringida debe sujetarse, junto con el resto de principios que dispone le proyecto, principalmente bajo los de veracidad y consentimiento. Del principio de consentimiento de deriva el principio de finalidad y no al contrario como lo hace ver esta ley. Se considera que el fundamento de la protección de datos de las personas es proteger su intimidad, su honra y buen nombre. Por lo tanto, lo que se debe propender a mantener es que los datos que se mantengan sobre una persona sean ciertos y que circulen sólo con su autorización, salvo en los casos en que la seguridad del estado requiera algo diferente.
- De igual manera el principio de temporalidad no debe sujetarse únicamente al principio de finalidad de la información. Debe depender de igual manera, de si el titular de los datos deja de dar su consentimiento, en el evento en que el dato debe cancelarse a pesar de permanecer su finalidad.
b.4. Se dispone de un periodo muy amplio para certificación de autorización de tratamiento de la información: El artículo 8 referente a los deberes de las fuentes de información, se dispone que estos deben "Certificar, semestralmente al operador, que la información suministrada cuenta con la autorización de conformidad con lo previsto en la presente ley". Ante lo cual se considera que es un periodo de tiempo muy extenso que desconoce el principio de consentimiento y veracidad.
b.5. La ley se concentra en la regulación de datos de carácter financiero y crediticio y omite la protección de aspectos fundamentales del habeas data: También, sigue permaneciendo dentro de la norma la aparentemente inevitable concentración en la regulación de los datos crediticios y financieros. Con esta especialización en el tema de regulación, el problema radica en que dejamos de lado la protección de elementos indispensables dentro de la información personal y descuidamos principios básicos que protegen el derecho de protección de datos personales.
Además íntimamente relacionado con el punto anterior, nos referimos al evidente desconocimiento de la regulación de los datos personales de carácter sensible. El proyecto de ley no reconoce como concepto dentro de su articulado, aquellos datos que por su naturaleza, no pueden ser tratados sin confidencialidad por su potencial de generar discriminación. Definición que para nuestro concepto debe estar resaltada paralelamente con el de dato personal, se omite y se le niega su protección en caso de un tratamiento inadecuado al ciudadano.
c) No cumple con parámetros internacionales.
c.1. El ente de control que establece, carece de independencia: Finalmente, el presente proyecto de ley no cuenta con los parámetros internacionales que se requieren para contar con una aceptación de un nivel adecuado de protección.
Principalmente la falencia en este punto, aparte del desconocimiento de los principios que antes de señala, se encuentra en no incluir en su articulado la creación de un ente de control y vigilancia que cuente con un cierto nivel de independencia. Según el artículo 18 se dispone que " La Superintendencia de Industria y Comercio ejercerá la función de vigilancia de los operadores, las fuentes y los usuarios de información financiera y crediticia, en cuanto se refiere a la actividad de administración de datos personales que se regula en la presente ley" y esta entidad tiene una vinculación clara y estrecha con el estado.
c.2. El tema de circulación de datos carece de completa regulación. Adicionalmente, específicamente el tema de ciruculación de datos no está regulado correctamente, en el sentido en que la transferencia internacional de datos no puede estar sujeta únicamente a la autorización del titular sino por el contrario debe estar limitada a la existencia de parámetros nacionales de exportación o importación de bases de datos. De esta manera el parágrafo del artículo 5 debería excluir que "la entrega de datos a un banco localizado en dicho países solo podrá realizarse con autorización del titular".
Como conclusión, se puede decir que el proyecto de ley 027 de 2006 es una iniciativa con tendencia a proteger los derechos de los ciudadanos pero que contiene varias carencias en puntos clave de garantías como son en aspectos fundamentales, como principios básicos y falencias en conceptos de la protección de datos personales no menos importantes que los anteriores.
Adicionalmente, se centra, como muchos otros proyectos de ley, en la regulación de los datos financieros y crediticios y deja de lado la protección de aspectos indispensables dentro del derecho del Habeas Data como son los datos sensibles.
Por lo tanto, a pesar de su intención garantizadora deben ser tenidos en cuenta varios puntos que primero, le procuren al ciudadano una plena protección del derecho constitucional y que segundo, le permitan a Colombia ser incluido dentro de la lista de países considerados con parámetros internacionales de protección adecuada. Escrito Por Andrea Bonnet Bonila Abogados |
