Cómo tratar datos personales sin terminar en prisión

0
140

Cumplir con las cargas en materia de habeas data no es fácil en Colombia.

En la década pasada, la Superintendencia de Industria y Comercio – SIC – impuso cerca de 30.000 millones de pesos en multas a las empresas por tratamiento inadecuado de datos personales. En el mismo periodo, las denuncias anuales en la Fiscalía General de la Nación pasaron de 350 a más de 4.000. Hoy, la SIC recibe más de 1.000 denuncias al mes por este concepto y la Fiscalía tiene abiertas 6.177 investigaciones por un delito que puede implicar hasta ocho años de prisión (art. 269F). ¿Qué está pasando?

El derecho fundamental al habeas data fue previsto por nuestro constituyente dentro del mismo artículo que el de la intimidad (art. 15). Sin embargo, en el estado actual de las cosas, a la SIC le es posible sancionar a una empresa por tratamiento inadecuado de información que, ni siquiera remotamente, afecta la intimidad de las personas. Tal es el caso, por ejemplo, de la publicidad enviada a cuentas de correo electrónico que no contienen nombres, apellidos, apodos, de sus titulares y que, igual, la SIC considera datos personales. Aunque criticable, lo cierto es que hoy el ámbito de aplicación del habeas data es muy amplio y ello impone elevadas cargas a casi cualquier organización.

Según Andrés Barreto, actual superintendente, uno de los principales problemas es la falta de protocolos en el manejo de datos personales. Ciertamente, cuando no se planifica el cumplimiento en la materia, cualquier persona, natural o jurídica, eleva su exposición al riesgo de una sanción. De ahí, la importancia de la organización en este aspecto.

Para ello, lo primero es conocer qué información se maneja. No toda información es dato personal. Éste se refiere, únicamente, a aquella información que se pueda vincular a una persona natural determidada o determinable. Por eso, el número de empleados de la empresa de la competencia, sus logos, fotos de sus instalaciones, no son datos personales.

Lo segundo, es identificar qué clase de dato personal se administra y qué reserva aplica. Hay cuatro: (i) públicos, como el nombre, cédula, estado civil o profesión, que pueden obtenerse y revelarse sin ninguna reserva; (ii) semi-privados, como el historial financiero o la información de contacto de alguna persona, que solamente pueden ser revelados en virtud de orden de autoridad administrativa (como un ministerio o superintendencia); (iii) privados, como las comunicaciones entre particulares e información de la vida familiar o personal de alguien, que solamente puede ser revelada en virtud de orden de un juez, y (iv) sensibles, como raza, credo, condiciones de salud, filiación política o actividad sindical, que solamente puede ser revelada si un juez lo ordena para proteger un derecho fundamental en un proceso de su competencia.

En tercer lugar, cada quien debe organizar sus bases de datos con base en esta clasificación y capacitar a quienes sean responsables de su tratamiento para evitar un manejo inadecuado. En este proceso, debe tenerse en cuenta el alcance de todos los derechos que componen el habeas data (desde la autorización para la obtención de la información hasta su revocatoria en cualquier momento y por cualquier razón).

Finalmente, deben implementarse canales internos y externos de atención de requerimientos y divulgación de información. En relación con lo primero, deben mantenerse medidas óptimas de seguridad informática, pues cada administrador es responsable no solo de sus actos, sino de prevenir ataques de terceros (esto es lo que conllevó a que la SIC dictara órdenes a Uber y Facebook en este asunto). En cuanto a lo segundo, debe publicarse toda la información que permita al titular conocer y ejercer sus derechos antes y después de otorgar la información (esto fue lo que motivó las recientes sanciones de la SIC a Rappi y Falabella, respectivamente).

Cumplir con las cargas en materia de habeas data no es fácil en Colombia. Menos, cuando los conceptos siguen aplicándose de manera laxa y el alcance de la autoridad sancionatoria es tan amplio. Pero ello solamente resalta la importancia de la prevención: la planificación y el autoconocimiento son claves para cualquier persona (natural o jurídica). Con eso – y algo de suerte – se puede evitar incurrir en una falta en nuestro país.

*Andrés Felipe Díaz, abogado y filósofo. Especialista, magíster y doctorando en Derecho Penal. Profesor de la Universidad Libre de Barranquilla.

DEJA UNA RESPUESTA

Please enter your comment!
Please enter your name here