BIG DATA: LA PUESTA EN CRISIS DE LA PROTECCIÓN DE DATOS PERSONALES

JUAN FERNANDO BERNAL JIMENEZ

FELIPE VALENCIA SERRANO

PONTIFICIA UNIVERSIDAD JAVERIANA CALI

FACULTAD DE HUMANIDADES Y CIENCIAS SOCIALES

CARRERA DE DERECHO

1
BIG DATA: LA PUESTA EN CRISIS DE LA PROTECCIÓN DE DATOS PERSONALES

JUAN FERNANDO BERNAL JIMENEZ

FELIPE VALENCIA SERRANO

DIRECTOR: RAUL FERNANDO NUÑEZ MARÍN

TESIS DE GRADO PARA OPTAR POR EL TÍTULO DE ABOGADO

PONTIFICIA UNIVERSIDAD JAVERIANA CALI

FACULTAD DE HUMANIDADES Y CIENCIAS SOCIALES

CARRERA DE DERECHO

2
 ARTICULO 23 de

la Resolución No. 13 del 6 de

Julio de 1946, del

Reglamento de la Pontificia

Universidad Javeriana.

“La Universidad no se

hace responsable por los

conceptos emitidos por sus

alumnos en sus trabajos de

Tesis. Solo velará porque no

se publique nada contrario al

dogma y la moral católica y

porque las Tesis no

contengan ataques o

polémicas puramente

personales; antes bien, se vea

en ellas el anhelo de buscar la

Verdad y la Justicia”.

3
 DEDICATORIA

Un profundo agradecimiento a nuestros padres y hermanas por el apoyo durante todos estos

años de carrera universitaria y los meses de redacción de este trabajo, este texto está dedicado a

ustedes por ser siempre incondicionales.

Al Doctor Raul Fernando Nuñez, gracias por aceptar dirigir este trabajo, usted ha sido maestro

de ambos en distintas asignaturas, su influencia intelectual en nosotros va más allá de estas páginas

hasta marcar nuestro camino profesional.

Agradecemos a la firma KBSV ABOGADOS S.A.S por el apoyo durante los meses de

redacción.

También a aquellos amigos que entre tertulias fueron fuente de inspiración de varias de las ideas

de este texto, Julian Segura Restrepo y Diego Fernando Arenas, entre ellos, mentes privilegiadas,

conocedores del comercio, la empresa y las dinámicas de mercado.

A otros que fueron fuente de apoyo moral en momentos difíciles Luis Echeverri, Alvaro Díaz,

Juan José Andrade, Juan Ramírez, Gracias.

4
INDÍCE:

Introducción

1. Planteamiento del problema

2. Objetivos

2.1.Objetivo General

2.2.Objetivos Específicos

3. Metodología

Capítulo I: Las Bases Conceptuales del habeas data y su evolución histórica

1. Concepto, clasificación y relevancia jurídica de los datos

1.1.Clasificación de los datos según Floridi

1.2.Clasificación de los datos según su formato de contenido

1.3.Clasificación jurídica de los datos

1.4. Relevancia jurídica de los datos

2. El habeas data y el desarrollo histórico del poder informático: surgimiento, auge y

crisis.

2.1.Primera etapa histórica: la aparición de la computadora y el nacimiento incipiente

de los principios de administración de datos en Estados Unidos y Europa

2.2.Segunda etapa histórica: valorización económica de la información y el boom de

la protección del hábeas data

2.3.Tercera etapa histórica: paradigma entrante del Big Data.

Conclusiones

5
Capitulo II: El Big Data a la luz de los principios de administración de datos: revelando

dificultades.

1. Características generales del Big Data

2. La cadena de valor del Big Data a la luz de los principios de protección de datos

personales consagrados en la Ley 1581 de 2012.

2.1. Posiciones encontradas entre la ICO, la Casa Blanca y la doctrina extranjera sobre

la contradicción lógica entre el modelo de negocio del Big Data y los principios de

protección de datos personales.

2.2. Agentes que se benefician de la cadena de valor del Big Data y naturaleza global

de la explotación masiva de datos.

3. Beneficios y riesgos del análisis masivo de datos

3.1 Beneficios

3.2 Riesgos o externalidades negativas del Big Data: desafío para el regulador

colombiano.

Conclusiones

Capitulo III: Aplicación de las normas de protección de datos personales al Big Data:

oxímoron.

1. Ámbito de validez de la Ley 1581 de 2012 y dificultades en su aplicación en la era del Big

Data

1.1.La anonimización como respuesta tradicional a la tensión entre el habeas data y la

generación de valor

1.2.La crisis de la anonimización y del concepto de datos personales.

6
2. Algunos modelos de solución frente a la crisis.

2.1.El abandono del concepto de “datos personales”

2.2.Aproximación basada en el riesgo para una aplicación gradual de la normatividad

2.3.El test de probabilidad razonable del RGPD

2.4.La posición de la FTC de los Estados Unidos

Conclusiones

Capitulo IV: La crisis de los principios de finalidad y libertad en el contexto del Big Data

1. Principio de finalidad

1.1.Alcance jurídico en el régimen colombiano de protección de datos.

1.2.Dificultades del cumplimiento del principio de finalidad en la era del Big Data

1.3.Modelos de solución del RGPD en el marco de la comunidad europea de naciones.

2. Principio de Libertad

2.1.Alcance jurídico en el régimen colombiano de protección de datos

2.2. Las dificultades para obtener el consentimiento cualificado en la era del Big Data

2.3. Modelos de solución presentados en el régimen normativo europeo

Conclusiones

CONCLUSIONES

BIBLIOGRAFÍA

7
 ÍNDICE DE GRAFICOS:

Grafico 1. Pirámide del conocimiento, adaptada de Kitchin (2013).

Grafico 2. Regímenes jurídicos aplicables a los datos en el Estado Colombiano

Gráfico 3. Agentes de mercado, cadena de valor y principios de administración de datos.

Grafico 4. Utilidad de los datos vs anonimización

Grafico 5. Importancia de los principios en la jurisprudencia de la Corte Constitucional.

TABLAS:

Tabla 1. Organización y almacenamiento de los datos digitales, tomado Documento CONPES

3920.

Tabla 2. Proyectos de Ley de Hábeas Data anteriores a la expedición de la Ley 1266 de 2008.

Tabla 3. Estados con políticas de explotación de datos masivos.

Tabla 4. Principios de protección de datos personales según la Ley 1581 y la jurisprudencia

Tabla 5. Técnicas de anonimización, características y riesgos de reidentificación según el GT29

Tabla 6. Criterios del Test de compatibilidad según el GT29 y el RGPD

8
 ABREVIATURAS:

GT29 Grupo de Trabajo del Artículo 29

RGPD o Reglamento (europeo) General de Protección de Datos

Reglamento

SIC Superintendencia de Industria y Comercio Colombiana

FTC Federal Trade Comission (Comisión Federal de Comercio)

EDPB European Data Protection Board (Consejo Europeo de

Protección de Datos).

OCDE Organización para la Cooperación y Desarrollo Económico.

ICO Information Commissioner's Office (Oficina del Comisionado

de Información)

DNP Departamento Nacional de Planeación (Colombia)

CONPES Consejo Nacional de Política Económica y Social

9
 Introducción

1. Planteamiento del problema

En la última década, ocho de las principales economías globales entre las cuales se encuentra

Estados Unidos, Reino Unido, Australia, Corea del Sur, la Unión Europea, Francia, Japón y China

han avanzado en una política nacional de aprovechamiento de datos, por lo que resulta un avance

muy significativo que en Colombia se esté dando un paso al frente con esta temática como lo

informa la Revista Dinero (“Política Pública de Big Data”, 2018).

Colombia es el primer país de América Latina que desarrolla una política pública de explotación

de datos por medio del Consejo Nacional de Política Económica y Social (CONPES), promulgada

el 17 de abril del año 2018 gracias al trabajo conjunto del Departamento Nacional de Planeación,

el Ministerio de las Tecnologías de la Información y las Comunicaciones, y la SIC. Con esta

política se pretende invertir alrededor de 16.728 millones de pesos colombianos para ampliar el

aprovechamiento de datos, de forma tal que puedan ser administrados como activos que sirvan

para generar un valor social y económico (DNP, 2018).

Según el CONPES 3920 en Colombia las acciones que se ejecuten por medio de esta política

estarán regidas por una serie de principios como lo son: (i) el respeto de los derechos de los

derechos humanos, (ii) la promoción de datos públicos como recursos de la infraestructura pública,

y (iii) el respeto por la dignidad humana que orienta los usos socialmente permitidos de los mismos

datos, con lo que finalmente se pretende conseguir una colaboración entre el sector público y

privado.

En el documento mencionado queda claro que para la ejecución eficiente de esta política es

necesario la implantación, mantenimiento y explotación de las infraestructuras de los datos. Por lo

1
anterior, se establece que el Estado por medio de sus entidades públicas es el encargado de

colaborar con la creación de tal infraestructura. Para octubre del presente año se espera que gracias

al trabajo conjunto de las citadas instituciones se haya avanzado en el proceso de regulación de la

infraestructura de datos públicos y las condiciones necesarias para su implementación.

Ahora bien, los beneficios esperados del análisis masivo de datos no sólo se refieren a la esfera

pública, sino que se extienden al sector privado, el diario The economist afirma la existencia de

una “economía de los datos”, las personas intercambian sus datos a cambio del acceso gratuito a

servicios digitales, por ejemplo ingresar a las plataformas de las redes sociales o motores de

búsqueda; estos datos son recolectados, almacenados y sujetos a procesos analíticos que permiten

descubrir usos valiosos (“the world’s most valuable resource”, 2017; “Data is giving rise to a new

economy”, 2017).

A nivel global compañías como Facebook, Google, Amazon, IBM están sacando provecho de

esta tecnología, en Colombia se destacan compañías como Proclive que por medio del Big Data

están obteniendo grandes beneficios optimizando las decisiones de empresarios, prediciendo la

conducta de los consumidores para satisfacer de mejor manera sus necesidades, mejorando las

estrategias de marketing, entre otros usos (“Big Data antes”, 2017).

Sin embargo, el Big Data envuelve el manejo de información personal, así como la toma de

decisiones (automatizadas) que afectan intereses o derechos de las personas. En Colombia los

datos personales están protegidos por la Constitución Política, la Ley 1266 de 2008, la Ley 1581

de 2012, la jurisprudencia constitucional, además de normas de naturaleza reglamentaria; todas

estas normas se fundamentan en el derecho fundamental al hábeas data.

Este derecho fundamental constituye una de las principales preocupaciones de la industria

colombiana para la adopción de desarrollos tecnológicos, así lo informa la Encuesta de Opinión

2
Industrial Conjunta Enero - Mayo de 2016 de la ANDI (Asociación Nacional de Empresarios de

Colombia). Por lo que de acuerdo con el citado Documento CONPES esta situación evidencia las

complejidades en la definición del marco jurídico de protección de datos y el empleo de

mecanismos para la adecuada aplicación de los distintos tipos de datos (privados, semiprivados,

sensibles, públicos), que obstaculizan la explotación de los mismos.

El CONPES reconoce los desafíos que afronta el régimen normativo de protección del hábeas

data en Colombia ante este nuevo contexto tecnológico, dado que este fue expedido siguiendo los

estándares propios del Convenio 108 de 1981 del Consejo de Europa, la Directiva Europea

95/46/CE de 1995, la Resolución 45/95 de 1990 de Naciones Unidas y la Resolución de Madrid

de 2009, por lo que las normas contienen “lineamientos previos al reconocimiento de los datos

como una activo y no contemplan su explotación masiva (…)”, de modo que “los aspectos éticos

y jurídicos que se plantean con la explotación de datos, así como los riesgos potenciales que

emergen en este contexto, requieren del diseño de un marco jurídico para maximizar los

beneficios y mitigar los riesgos” (DNP, 2018, p.20) , es decir de reducir externalidades negativas

e incentivar externalidades positivas.

En consecuencia, el Consejo Nacional de Política Económica y Social solicitó a la SIC

(Autoridad de Protección de Datos Personales) que proponga un esquema para la simplificación

de la comprensión de conceptos y clasificaciones legales de datos, y determine las necesidades de

actualización del marco jurídico a efectos de identificar los requerimientos y desarrollos necesarios

a la luz de los principios de administración de datos personales, para mitigar los riesgos existentes

al respecto y generar un ambiente de seguridad jurídica (DNP, 2018).

La literatura jurídica, especialmente extranjera (Gil, 2013; Garriga, 2016; Gayo, 2017; entre

otros), ha expuesto las distintas problemáticas que afronta el hábeas data en el contexto del Big

3
Data, como (i) la aplicabilidad de la normatividad de protección de datos personales a los procesos

analíticos; (ii) las dificultades de obtener un consentimiento previo, expreso e informado para el

tratamiento de datos personales en el entorno digital; (iii) las dificultades de aplicar los principios

de administración de datos personales al proceso de análisis masivo de datos; (iv) las situaciones

de discriminación a las que puede dar lugar la toma de decisiones automatizadas y los procesos

analíticos del Big Data.

En este contexto las propuestas de solución se han orientado en reforzar los principios de

transparencia y responsabilidad demostrada, así como el reconocimiento de nuevos derechos que

empoderen al titular de los datos frente a las compañías privadas o instituciones públicas que se

benefician de los datos recolectados; con el propósito de cambiar la forma en que están

configurados los incentivos de los agentes para favorecer las reglas o principios que se desprenden

del derecho al hábeas data, sin detener el crecimiento económico y social que puede obtenerse a

través del Big Data.

Consecuentemente, con el surgimiento del Big Data es necesario analizar las comentadas

problemáticas planteadas por la literatura jurídica en materia de protección de datos personales,

las soluciones propuestas por la doctrina y por normas o políticas nacionales o extranjeras, los

agentes institucionales y de mercado que se benefician tanto del estado actual de la normatividad

como de las propuestas de cambio, a efectos de aproximarse a una comprensión sobre cuáles son

las condiciones jurídicas en materia de protección de datos personales que deben garantizarse en

el análisis masivo de datos (Big Data), para asegurar la autodeterminación informática del

individuo.

1.1. Hipótesis:

4
 Por lo tanto, la hipótesis de la que parte este trabajo y que pretende demostrarse es que el

régimen colombiano de hábeas data no cuenta con una protección adecuada y efectiva de los

datos personales en el contexto tecnológico de la explotación masiva de datos, en la medida en

que propicia estrategias corporativas que desconocen los principios de protección de datos y la

autodeterminación informática del titular de la información en beneficio de un reducido número

de compañías que participan de la cadena de valor del Big Data.

En el proceso de validación de esta hipótesis, se argumentará que este déficit en la protección

del hábeas data es el resultado de la incertidumbre normativa sobre la aplicación del régimen de

protección de datos personales en los procesos de análisis masivo de datos, y la crisis que

atraviesan los principios de finalidad y libertad para garantizar bajo las circunstancias tecnológicas

actuales el control efectivo del titular de los datos sobre su información personal. De modo que los

objetivos que guían esta investigación son los siguientes:

2. Objetivos

1. Objetivo General:

Demostrar que en el contexto tecnológico actual el régimen colombiano de protección de datos

personales incentiva estrategias corporativas en las compañías participes de la cadena de valor del

Big Data, que desconocen el derecho fundamental a la autodeterminación informática y el alcance

jurídico de los principios de administración de datos personales.

2. Objetivos Específicos.

2.1. Demostrar que el régimen normativo nacional e internacional de protección de

datos personales, así como sus fundamentos científicos y filosóficos, han evolucionado según

5
 las condiciones tecnológicas y económicas en que se ejerce el poder informático a nivel global,

hasta enfrentarse con su desafío más reciente, el Big Data.

2.2. Demostrar que existe una contradicción lógica entre el alcance jurídico de los

principios de protección de datos personales contenidos en el régimen jurídico colombiano y

las características del modelo de negocio del Big Data, que generan estrategias corporativas

tendientes a evadir la aplicación de tales normas a la luz de la experiencia jurídica

internacional.

2.3. Exponer las principales estrategias corporativas que emplean las compañías

participes de la cadena de valor del Big Data a nivel global, en detrimento del derecho a la

autodeterminación informática, para: (i) evadir el ámbito de aplicación normativa del régimen

nacional e internacional de protección de datos, (ii) beneficiarse del principio de finalidad del

tratamiento de datos personales, y (iii) dejar sin efectos prácticos el principio de libertad del

tratamiento.

3. Metodología

Para abordar el problema de investigación planteado se emplearan métodos de análisis

lingüístico, lógico, sistemático, comparativo, y empírico propios de la ciencia jurídica, aplicados

sobre materiales como la doctrina, la jurisprudencia y los textos legales como lo expone Courtis

(2006), tanto del Estado Colombiano como de otros Estados, relacionados con la protección de

datos personales en el contexto digital.

El empleo del análisis lingüístico y lógico permitirá clarificar conceptos fundamentales como

hábeas data, big data, poder informático, principios de administración de datos personales, así

como identificar las relaciones proposicionales que existen entre ellos, problemas lógicos, de

definición, coherencia y plenitud del ordenamiento jurídico en relación con la protección de datos

6
personales. Estos métodos serán útiles al momento de formular el marco teórico, a través del cual

se ubicará y dará sentido al problema de investigación (Daros, 2007).

En este punto, también es especialmente relevante el análisis sistemático para describir los fines,

valores y principios que gobiernan la institución jurídica (Courtis, 2006), en este caso del hábeas

data, reconstruyendo la normatividad colombiana de forma sintética y coherente; reconstrucción

que no será exhaustiva en la medida en que no expone la totalidad de la jurisprudencia y los textos

legales.

El análisis sistémico se aplicará de la misma manera al Big Data con el propósito de

desestructurar el “objeto en su partes, estudiar el papel de cada una, distinguir aquellas que

determinan cualitativamente el sistema” (Villabella, 2009, p. 939). Esta metodología será

predominante al desarrollar los primeros dos capítulos que fijan las bases teóricas y conceptuales

de la investigación.

Para desarrollar los objetivos específicos dos y tres, se apelará esencialmente al derecho

comparado, siguiendo principalmente la doctrina de la Unión Europea de Naciones y de algunos

Estados anglosajones como Estados Unidos y Reino Unido, que han documentado extensamente

los principales desafíos del hábeas data a la luz del Big Data. Como bien lo explica Villabella

(2009) “el método de derecho comparado permite cotejar los objetos jurídicos pertenecientes a

un mismo dominio (…) lo cual posibilita destacar semejanzas y diferencias, establecer

clasificaciones, descubrir tendencias y revelar modelos exitosos” (p.940).

De esta forma se enriquecerá la discusión sobre las condiciones jurídicas que demanda el

análisis masivo de datos con relación al hábeas data atendiendo experiencias extranjeras, que no

se alejan del contexto jurídico colombiano, puesto que los principios de administración de datos

personales reconocidos en Colombia, son similares tanto en el sistema continental Europeo como

7
el Anglosajón, como se constata al estudiar a Remolina (2013), especialmente en razón a que el

modelo de protección actualmente se funda en los estándares europeos de protección de datos

(Remolina, 2010).

Finalmente, en lo que se refiere al análisis empírico, la investigación empleará algunos

conceptos económicos y de las ciencias sociales para efectos de comprender que la normatividad

sobre el hábeas data se da en el marco de una “economía de los datos”, por lo que existen agentes

que se benefician del estado actual o futuro de la protección de datos. El empleo de estos conceptos

será especialmente útil para el desarrollo de los capítulos tres y cuatro que exponen las principales

limitaciones que afronta el régimen colombiano de protección de datos para mitigar los riesgos del

Big Data respecto de la autodeterminación informática.

8
 Capítulo I

Las bases conceptuales del hábeas data y su evolución histórica

“Toda ciencia del Derecho no es sino historia del Derecho”

Friedrich Karl von Savigny

El presente capitulo tiene como finalidad exponer los conceptos fundamentales del régimen de

protección de datos personales, para descubrir el estado actual de la normatividad. Sin embargo

como se verá estas bases conceptuales demuestran que detrás de estas normas existe una serie de

categorías filosóficas y científicas a lo largo de las cuales se proyecta el Derecho produciendo

relaciones de deber ser, que evolucionan según las condiciones tecnológicas y económicas.

Por esta razón, en primer lugar se presentará el concepto de datos y las distintas normas jurídicas

aplicables a estos. En segundo lugar, el texto se concentrará en la categoría específica de datos

personales por lo que se expondrán las características, principios y reglas fundamentales del

régimen normativo del habeas data de forma diacrónica, es decir cómo estas normas han

evolucionado a la par de los desarrollos tecnológicos que se han dado desde el siglo pasado.

1. Concepto, clasificación y relevancia jurídica de los datos:

El concepto de datos puede ser interpretado de diferentes formas desde los distintos campos de

la ciencia, como lo evidencia el maestro Floridi (2008) en su artículo “Data”, donde presenta

cuatro interpretaciones de su significado1.

1
De acuerdo con la RAE, dato proviene del latín datum que significa “lo que se da”, de esta manera los datos son
aquello que está dado en el mundo, que es todo lo que existe para el ser humano, en la significación que le otorga
Enrique Dussel (1995), sin embargo, no todo lo que está “dado”, es aprehendido o tomado, por lo que se prefiere dato
como aquello que es tomado, así Floridi (2011).

9
 Desde un punto de vista epistémico datos es la recolección de hechos, que proveen la base para

el razonamiento al representar “las suposiciones básicas o evidencia empírica sobre la cual se

pueden basar evaluaciones posteriores” (p.2). Esto significa que entre datos y hechos existe una

relación de equivalencia, que los convierte en la base del conocimiento humano.

Desde la perspectiva informática datos se refiere a información, así por ejemplo los datos

personales se trata de información vinculada a un determinado individuo; sin embargo esta

interpretación de acuerdo con el citado autor no es adecuada, en la medida que no todos los datos

constituyen información, puesto que esta es un conjunto de datos bien formados, verdaderos y con

significado (Hernández, 2013). Así datos, información y conocimiento son conceptos diferentes.

Grafico 1. Pirámide del conocimiento, adaptada de Kitchin (2013)

Conocimiento aplicado Competencias

Información organizada Conocimiento

Conjunto de datos con sentido Información

Elementos abstractos Datos

Mundo

Desde una visión computacional los datos son el conjunto de elementos binarios procesados y

transmitidos a través de tecnologías como computadores o celulares; posición que tiene una alta

riqueza descriptiva al explicar porque las imágenes, videos y archivos de música constituyen datos,

además de servir de base para comprender el procesamiento automatizado de los mismos.

Finalmente, Floridi (2011) presenta un concepto alternativo de datos desde una posición

diafórica como el conjunto de elementos abstractos e inteligibles que se distinguen de otros, al

decir “dato es igual a x siendo distinto de y, donde x – y son dos variables no interpretadas que

10
dejan espacio para la interpretación posterior” (p. 85), desde esta visión los datos son pre

analíticos y pre factuales, están dados antes del análisis y de los hechos.

No obstante, no es posible separar de manera absoluta los datos de la realidad, ciertamente los

datos provienen de esta como lo expone el realismo estructural informativo, que “apoya los niveles

de abstracción que conllevan a un compromiso ontológico mínimo en favor de las propiedades

estructurales de la realidad” (Beavers, 2013, p. 64). De modo, que se reconoce que los datos se

derivan de la realidad, del mundo como se desprende del gráfico 1.

En este punto es importante decir que los datos son susceptibles de clasificarse en varias

categorías, al respecto autores como Leenes (2016), Kitchin (2014), Floridi (2011) presentan sus

propias clasificaciones de los datos organizándolos de acuerdo con sus propósitos, sin embargo las

clasificaciones por lo general se fundan en la presentada por el ultimo autor.

1.1. Clasificación de los datos según Floridi.

De acuerdo con Floridi (2011) los datos pueden ser primarios, segundarios, metadatos,

operacionales y derivativos. Los primarios son datos recolectados para cumplir con un

determinado propósito, de acuerdo con el procedimiento que se ajuste de mejor manera para ello

(Hox y Boeije, 2005). Estos generalmente son los principales datos almacenados en una base de

datos (Floridi, 2011, 87).

Los segundarios son datos recolectados originalmente con un propósito, pero reutilizados para

la solución de otros problemas investigativos, es decir que es información que ya ha sido recopilada

por otra persona (Hox y Boeije, 2005). En ese sentido, se emplea el término usos segundarios de

la información, que significa precisamente utilizar los datos para fines distintos a los inicialmente

recolectados con el fin de descubrir valores ocultos en ellos, este es el fundamento económico del

Big Data (Gil, 2013).

11
 Los metadatos son indicaciones o instrucciones acerca de la naturaleza de otros datos, describen

propiedades tales como localización, formato, disponibilidad, restricciones de uso, entre otros

(Floridi, 2011, 88), útiles por lo tanto para identificar, describir, recuperar y organizar la

información a la que están vinculados (Ribes, 2007), son ejemplos en relación con redes sociales

el número de likes que obtiene una persona, la cantidad de interacciones que tiene, la temática

sobre la que versan sus tweets, entre otros.

Los datos operacionales son datos relativos a las operaciones de todo un sistema de datos y al

desempeño del sistema. Los derivados son datos que se extraen de otros datos, que son empleados

como “fuentes indirectas en la búsqueda de patrones, pistas o evidencia inferencial acerca de

otras cosas que no sean las directamente abordadas por tales datos” (Floridi, 2011, 87). Para una

visión más amplia de la clasificación puede consultarse el trabajo de Kitchin (2014).

1.2. Clasificación de los datos según su formato de contenido:

De acuerdo con el formato de contenido los datos pueden ser estructurados, semi-estructurados

y no estructurados. Los primeros son usualmente manejados a través del Lenguaje de Consulta

Estructurada (SQL), esto es un lenguaje especifico de dominio que da acceso a un sistema de

gestión de bases de datos relacionales, es decir organizados a través de tablas. Los datos que

generalmente se manejan a través de este lenguaje son fechas, números, letras, palabras, entre

otros, empleando estructuras y normas bien definidas (Date y Darwen, 1989).

Los datos semi-estructurados son aquellos que no siguen sistemas de bases de datos

convencionales, sin embargo contienen etiquetas para separar elementos semánticos y aplicar

jerarquías que envuelven el empleo de complejas reglas de captura de los datos (Paulsen, 2011),

pueden mencionarse como ejemplos los formatos de texto HTML, XML y JSON.

12
 Finalmente, los no estructurados no siguen ningún tipo específico de formato son de tan variada

naturaleza como las imagines, videos, grabaciones de voz, mensajes de texto y localización; así lo

explica Camargo Vega, Camargo Ortega, Joyanes (2015). El procesamiento de este tipo de datos

hace posible que cualquier aspecto de la vida humana pueda ser sometido a análisis computacional.

Tabla 1. Organización y almacenamiento de los datos digitales, tomado Documento CONPES

3920 (DNP, 2018).

1.3. Clasificación jurídica de los datos:

Desde un punto de vista jurídico los datos procesados se pueden clasificar según se refieran o

no a una persona identificada o identificable, por lo tanto la legislación los distingue en personales

o no personales, los primeros determinan el ámbito de aplicación de las normas relativas a la

protección del derecho al habeas data.

Supriyadi (2017) y Leenes (2016) exponen siguiendo en este aspecto al Foro Económico

Mundial (2014) que los datos personales se pueden clasificar en relación con el análisis de datos,

en entregados, observados, derivados e inferidos. Los datos entregados (“provided data”) se

refieren a la información directamente entregada por un individuo con su consentimiento, por

ejemplo, la información que provee el usuario al crear un perfil en Facebook.

Los datos observados, es información recolectada por un tercero a través de formatos digitales

diseñados para la observación y captura como las Cookies de un sitio web o el Internet de las Cosas

13
(IoT); finalmente los datos derivados e inferidos resultan de un proceso analítico basado en

probabilidades para revelar información desconocida e inesperada; estos últimos datos son

aquellos que pueden extraerse a través del empleo de las tecnologías del Big Data.

En contraste, la legislación colombiana al clasificar los datos personales no toma en cuenta

aspectos de naturaleza analítica como los señalados por los citados autores, precisando que los

datos se clasifican en públicos, semiprivados, privados y sensibles, de acuerdo con el grado de

confidencialidad o privacidad que ostentan según lo expone Remolina (2013).

1.4. Relevancia jurídica de los datos:

Los procesos de generación, recolección, almacenamiento y explotación de los datos se

encuentran parcialmente regulados por diversas disposiciones normativas, que conforman el marco

jurídico relevante en materia de explotación de datos. Como lo destaca el Documento CONPES

3920 esta regulación a través de distintos regímenes obedece a que en la actualidad se reconoce

jurídicamente el valor económico de los datos (DNP, 2018).

Estos según Floridi (2011) son bienes que tienen como características principales: su consumo

no rival, lo que significa que más de una institución puede poseer la misma información, y su

consumo no excluyente, es decir que los datos se pueden compartir fácilmente sin que su uso

adicional agrave el consumo existente.

De este modo, el CONPES presenta cinco regímenes a los que están sujetos los datos en el

Estado Colombiano, siendo estos:

a) El régimen de protección de derechos, donde se establecen los límites y las

garantías que deben utilizarse al tratar los datos personales y privados;

14
 b) El régimen de transparencia y datos abiertos, que se relaciona con la publicidad de

las actividades realizadas por las entidades públicas, donde se vincula el acceso a la

información pública y la necesidad de divulgación.

c) El régimen de acceso e interoperabilidad, que dispone las condiciones mínimas para

que las entidades tanto públicas como privadas, que desarrollen funciones públicas definan

mecanismos para el uso de datos entre sí.

d) El régimen de eficiencia administrativa, es el encargado de gestionar los

documentos que son creados por las entidades públicas y privadas que prestan funciones

públicas, y la generación de documentos digitales para disminuir el trámite de los ciudadanos.

e) Finalmente, el régimen de reportes de información el cual se relaciona con los

reportes de datos que las entidades privadas, académicas, ciudadanos y las mismas entidades

públicas deben realizar.

De los regímenes anteriormente mencionados las normas de protección del habeas data

pertenecen al primero, relativo a la protección de derechos, a través del cual se pretende garantizar

la autodeterminación informática de la persona con relación a las operaciones que se realizan sobre

sus datos personales.

El régimen de habeas data establece una serie de responsabilidades y obligaciones en cabeza de

las organizaciones públicas y privadas que se benefician de la explotación de datos personales,

disposiciones jurídicas que se han venido desarrollando a nivel nacional e internacional conforme

ocurren cambios en el contexto tecnológico y económico, como se expone a continuación.

Grafico 2. Regímenes jurídicos aplicables a los datos en el Estado Colombiano (DNP, 2018):

15
 2. El habeas data y el desarrollo histórico del poder informático: surgimiento, auge

y crisis.

A la pregunta por qué existe el habeas data es posible presentar dos respuestas, una relacionada

con el poder informático, la otra con la constitución antropológica del ser humano. En conferencia

dictada en 1990 Pérez Luño (1992) expone que en la sociedad contemporánea las libertades

individuales se encuentran “acechadas por el empleo de técnicas informáticas de control

individual y colectivo” (p.156), existe una huella digital del individuo que lo amenaza, como efecto

de una disparidad en la posesión y acceso al poder informático2.

Como lo dice Castell (2009) “la expansión de las redes de Internet y el desarrollo de la Web

2.0 y 3.0 ofrecen extraordinarias oportunidades de negocio para la implantación de la estrategia

que denomino mercantilización de la libertad”(p.540), que consiste en un intercambio, en el que

2
Las referencias al poder informático también se encuentran en las investigaciones de Frosini (1988).

16
las empresas propietarias de redes de comunicación global ofrecen acceso a sus plataformas a

cambio de los datos personales y del sacrificio de la privacidad del individuo, quien además

también conviene en convertirse en objetivo publicitario (tanto de publicidad comercial como

política).

Para Castells (2010) el poder en la sociedad red “es multidimensional y se manifiesta en la

articulación entre redes financieras, tecnológicas, empresariales, mediáticas, culturales, militares

y políticas” (p.120), en tal sentido no se habla de un poder absoluto exclusivo del Estado, sino en

términos de Foucault (1979) una microfísica del poder, pues este se difunde por toda la sociedad

y sus instituciones, como la capacidad relacional que permite influir en las decisiones de los

agentes a favor de determinados intereses o valores, a través de la construcción de significados

mediante procesos de comunicación “que tienen lugar en las redes multimedia globales-locales

de comunicación de masas” (Castells, 2009, p.535),

En todo caso el ejercicio del poder por parte de instituciones públicas y de particulares se

enfrenta en las sociedades democráticas a su límite natural, los derechos humanos (Ferrajoli,

2011). Cifuentes Muñoz (1997) sobre este punto realiza una reflexión interesante, al decir que la

tecnología está creando poderes que exigen una respuesta jurídica, en la medida en que el poder

informático es “una mercancía y un saber concreto que genera un potencial inimaginable de

supremacía en la esfera social” (p.116).

En el paradigma actual los seres reales, afirma el ex magistrado de la Corte Constitucional

Colombiana, se disuelven en múltiples datos, que son observados por otros sujetos que operan

desde la penumbra, que les ofrecen los códigos fuentes, los algoritmos de programación, y en

general las distintas técnicas informáticas, a través de las cuales hacen visible a otros individuos,

17
a tal punto de conocer los aspectos más sensibles de su vida privada; lo que se denominó por

George Orwell en su novela rebelión en la granja como el riesgo del Gran Hermano.

La Corte Constitucional Colombiana se ha referido a este fenómeno social en varias

providencias, señala esta institución que los procesos de coordinación de los mercados para ser

eficientes requieren recaudar, almacenar, ordenar, utilizar y difundir datos personales, por lo que

ciertos agentes utilizan plataformas tecnológicas para tales fines, de manera que ostentan lo que se

ha denominado poder informático, definido por la Corte como “la posibilidad de acumular

informaciones en cantidad ilimitada, de confrontarlas, y agregarlas entre sí, de hacerle un

seguimiento en una memoria indefectible, de objetivizarlas y transmitirlas como mercancía”3.

Corolario de lo anterior, afirma la Corte Constitucional que la respuesta histórica del derecho

constitucional y del derecho internacional de los derechos humanos fue el reconocimiento del

derecho fundamental al hábeas data o autodeterminación informática (Sentencia T-058 de 2015),

que de acuerdo con Cifuentes Muñoz es “apenas un intento incipiente y tímido dirigido a corregir

distorsiones extremas del proceso comunicativo informático”(p. 116), como herramienta que

reduce la invisibilidad de los titulares del poder informático imponiéndoles obligaciones jurídicas

respaldadas en sanciones y empoderando a las personas a través del reconocimiento de una serie

de facultades para controlar su información personal.

3
Así lo ha definido la Corte Constitucional en Sentencias T-414 de 1992 (M.S: Ciro Angarita Barón), T-307 de 1999
(M.S. Eduardo Cifuentes Muñoz), C-1011 de 2008 (M.S: Jaime Cordoba Triviño), C-748 de 2011 (M.S: Jorge Ignacio
Pretelt Chaljub), SU-458 de 2012 (Adriana María Guillén Arango) T-058 de 2015 (M.S: Luis Guillermo Guerrero
Pérez). Este concepto es transversal a la jurisprudencia de esta institución, en el proceso investigativo se construyó
una base de datos con 194 providencias, que incluyen sentencias de tutela, unificadoras y de constitucionalidad (no se
incluyeron autos), de la Corte Constitucional Colombiana extraídas de la base de datos de la Corte Constitucional
Colombiana, disponible en:
http://www.corteconstitucional.gov.co/relatoria/tematico.php?vs=476&pg=1&campo=/&sql=habeas%20data; de
este universo de providencias se encontró que en 68 sentencias (incluyendo las citadas) la Corte hizo referencia al
fenómeno social del poder informático, en ocho sentencias de constitucionalidad, una unificadora y cincuenta y nueve
de tutela (35% de las providencias). Esto demuestra la importancia de la presente categoría en el pensamiento
epistémico de la Corte, lo que no es extraño en la medida en que constituye la razón de ser de la protección jurídica
de los datos personales.

18
 Por esta razón, la Constitución Política (en su artículo 15), la jurisprudencia constitucional

colombiana, la legislación sobre protección de datos personales (Ley 1581 de 2012, Ley 1233 de

2009), la doctrina de la Delegatura de Protección de Datos Personales de la SIC (Autoridad de

Protección de Datos Personales en Colombia), así como la normatividad existente a nivel

internacional es producto de esta dialéctica entre Poder y Derecho (Jaramillo Romero, 2016).

Adicionalmente, existe una razón antropológica que justifica el reconocimiento del habeas data.

Westin (1967) dice refiriéndose al control de la persona sobre su información que “para el

individuo existe una necesidad de mantener ciertos hechos acerca de sí mismo en secreto, y

sentirse libre de decidir quién los debe conocer, en qué momento y bajo qué condiciones (…) hay

así mismo una necesidad poderosa en cada persona de comunicar asuntos privados o personales

a otros” (p.369). Esta necesidad a la luz de las investigaciones de Noah Harari (2014) es una

condición antropológica del ser humano referida a la capacidad cognitiva de transmitir grandes

cantidades de información sobre las relaciones sociales de los sapiens y sobre sí mismos

(chismorreo).

No en vano el hábeas data es una alocución latina que significa “que tengas los datos” o “que

tengas los registros, las informaciones o los datos que te conciernen” (Robledo, 2017, pp. 113-

114), representa por ello el reconocimiento jurídico de esta necesidad antropológica, en virtud de

la cual la persona quiere el control sobre sus datos personales. Esta consideración permite aclarar

que la protección jurídica de los datos personales, no recae sobre estos en sí mismo, sino que es

una protección de la persona relativa a sus datos (ibídem, p. 115).

En consecuencia, el centro de la protección del derecho al hábeas data es la persona humana en

sí misma considerada, lo que no es para nada extraño en el marco jurídico de un Estado Social y

Democrático de Derecho, que es por su misma esencia finalista, basado en el respeto de la dignidad

19
humana y de los derechos humanos según lo disponen los artículos 1 y 2 de la Constitución Política

Colombiana (Sánchez, 2005). De este modo un régimen de protección de datos que falle en el

propósito de garantizar la centralidad de la persona humana, carece de un nivel adecuado y efectivo

de protección.

Ahora bien, los significados que tiene una institución jurídica son cambiantes a lo largo del

desarrollo de la historia teniendo en cuenta cada contexto particular, de ahí que Ortega y Gasset

(2010) afirme que el Derecho es secreción de la historia. La protección de los datos personales

según lo expone Mantelero (2014) ha evolucionado a nivel global a lo largo de tres momentos

coyunturales, una etapa inicial que comprende de los años 50s a los 80s, el periodo de los años 80s

en adelante, y finalmente la aparición del Big Data en la última década4. En cada momento de esta

línea de tiempo se evidencia que los avances globales en el entorno tecnológico y económico

generan cambios importantes en los sistemas legislativos de protección de datos.

2.1. Primera etapa histórica: la aparición de la computadora y el nacimiento incipiente

de los principios de administración de datos en Estados Unidos y Europa.

Los profesores Mantelero (2014), Schwartz y Solove (2011) exponen que los datos personales

se convirtieron en una cuestión problemática a partir de 1950 en Europa y Estados Unidos, con la

aparición de la computadora producto de las investigaciones realizadas entre 1936 y 1946 por Alan

Turín y Jonh Newman. El poder computacional permitía a instituciones públicas y privadas

procesar información personal a una mayor escala, cambiando radicalmente la forma de organizar,

recolectar y acceder a los datos.

4
Sobre los periodos de evolución del hábeas data esta investigación concuerda con la realizada por Mantelero (2014),
sin embargo considera de forma diferente los espacios temporales; para Mantelero son: primer periodo entre los años
50s a 70s, segundo periodo de los años 70s a 90s, y de los 90s en adelante.

20
 Esta revolución copernicana significo cambiar los archivos físicos por sistemas de

almacenamiento de la información más eficientes, que hacían plausible agregar los datos de cada

ciudadano dispersos en diferentes bases o ficheros. La computadora podía ser programada para

reorganizar la información con base en cualquier atributo o característica, lo que abrió el horizonte

de posibles formas de asociación de la información con las personas.

Sin embargo, el poder computacional estaba concentrado masivamente en un número reducido

de organizaciones, que contaban con los recursos necesarios para invertir en equipos tecnológicos,

sin contar que la arquitectura de la computadora era centralizada, con una unidad de procesamiento

principal y una memoria única en que residía todo el poder computacional y que daba a terminales

a los que se conectaban los usuarios.

Esto motivó a que se expidieran a nivel interno de cada nación reglas orientadas a proteger a

las personas frente al avance de la ciencia computacional que produjo la computarización y

digitalización de sus datos. El congreso de los Estados Unidos, por ejemplo, expidió varias normas

con ese propósito según lo señala Strandburg (2014), tales como el Fair Credit Reporting Act de

1970 que establecía los usos permitidos de la información relativa al historial crediticio de las

personas, limitaba el tiempo de permanencia de los datos en el historial y fijaba restricciones con

relación a los sujetos que podían acceder a él; el Family Educational Rights and Privacy Act de

1974 que prohibía a las instituciones de educación revelar y permitir el acceso a terceros de los

reportes académicos de estudiantes; y el Privacy Act de 1974.

Mantelero (2014) explica que la respuesta normativa de Estados Unidos y los países Europeos

no estaba centrada en lograr la democratización del poder sobre la información, en cambio

pretendía aumentar el nivel de transparencia con que se realizaban las operaciones sobre los datos,

garantizar el derecho de acceso a la información, el derecho a conocer quién recolecta los datos,

21
los usos que le daban, los fines y propósitos para los cuales eran destinados; así como promover la

creación de autoridades para la protección de los derechos de los titulares de la información, ante

las cuales se debía registrar la creación de nuevas bases de datos.

Así se constata al revisar las Prácticas de Información Justa (FIPs)5 propuestas en 1973 por

Comité asesor del Departamento de Salud, Educación y Bienestar de los Estados Unidos, que

fundamentaron el desarrollo normativo de las normas atrás citadas y especialmente del Privacy

Act de 1974, según lo señala Gellman (2017). Este último restringe la revelación de datos

personales recolectados por agencias gubernamentales, establece los derechos del titular de los

datos a obtener acceso y rectificación de la información personal que tales agencias posean, y

consagra un código buenas de prácticas informativas que debe cumplirse en las distintas

operaciones que se realicen sobre los datos.

De este modo, en esta etapa aparecen en el ámbito norteamericano y europeo de forma

incipiente los principales principios de administración de datos personales, que actualmente

figuran en la normatividad Colombiana en el artículo 4 de la Ley Estatutaria 1581 de 2011, tales

como los principios de transparencia, finalidad, limitación temporal, responsabilidad demostrada,

seguridad, circulación restringida y autoridad independiente, que se conceptualizan adelante.

Bajo el contexto económico de este periodo no existía espacio para el principio de libertad, la

recolección de información era principalmente realizada por instituciones públicas, como mandato

legal sin lugar a que se exigiere el consentimiento del titular. Adicionalmente, los datos no tenían

mayor valor económico para el sector privado y las personas carecían del conocimiento necesario

5
Las Prácticas de Información Justa (FIPs) reconocidas fueron: “(i) No debe haber sistemas de registro de datos
personales cuya existencia sea secreta; (ii) debe haber una manera para que una persona descubra qué información
sobre ella está en un registro y cómo se usa; (iii) Debe haber una manera para que una persona su información que se
obtuvo con un propósito sea empleada con fines distintos sin su consentimiento; (iv) Debe haber una manera para que
la persona corrija o enmiende un registro de información identificable; (v) cualquier organización que cree, mantenga,
use o revele registros de los datos personales identificables deben asegurar la confiabilidad de los datos para su uso
previsto y debe tomar precauciones para evitar el mal uso de los datos”, así aparecen citadas por Strandburg (2014).

22
para comprender las operaciones desarrolladas por complejos equipos computacionales, por lo que

no tenía mayor sentido concederles la oportunidad de elegir según lo aprecia el profesor Mantelero

(2014).

En el Estado Colombiano la llegada del primer computador ocurre en 1957, este equipo era un

IBM 650 traído por BAVARIA S.A., empresa pionera de la sistematización en el país;

posteriormente FABRICATO S.A. adquirió un IBM 1401 primer computador con transistores,

seguido de otras empresas como las Empresas Públicas de Medellín (Mesa, 2012). Al igual que el

movimiento tecnológico a nivel mundial el poder informático se concentró en pocas

organizaciones en Colombia, sin embargo, esto no implicó ninguna respuesta de naturaleza

normativa por parte del Estado, en esto existe una distinción radical con referencia a lo que ocurría

en Estados extranjeros.

La Constitución Política de 1886 vigente para ese momento tampoco contenía disposición

jurídica referida a la protección de datos personales, a pesar que en el derecho extranjero desde el

siglo XIX existían pronunciamientos judiciales en Europea referidos a la privacidad informática,

y doctrina legal desarrollada en Estados Unidos como lo constata Warren y Brandeis (1890). El

derecho al hábeas data tendría que esperar la etapa venidera para desarrollarse a través de la

Constitución de 1991 y la jurisprudencia de la Corte Constitucional Colombiana.

2.2. Segunda etapa histórica: valorización económica de la información y el boom de

la protección del hábeas data.

El siguiente periodo que se desarrolla a partir de la mitad de la década de los 70s se puede ver

como un periodo de recopilación y procesamiento descentralizado de información, es un hecho

clave la propagación del uso de la computadora personal. La humanidad atestigua la

democratización del poder computacional, las personas pueden acceder a computadoras de

23
escritorio a un bajo costo, como consecuencia del abandono de la arquitectura computacional

centralizada (Mantelero, 2014).

La premisa de vulnerabilidad de la arquitectura centralizada dio origen a la necesidad de una

red descentralizada a través de la cual los ordenadores estuviesen interconectados a escala

planetaria intercambiando información de millones de usuarios, aparece así en 1983 la Internet

(Garriga, 2016).

Estos cambios dieron lugar, a la generación de una nueva economía basada en la explotación

económica de los datos de las personas. En principio las compañías empleaban técnicas de

marketing masivo utilizando medios de comunicación como la televisión y los periódicos sobre la

base de la información demográfica de la población. Sin embargo, con la progresiva masificación

del internet y las computadoras, las compañías eran capaces de realizar ofertas a individuos

específicos, basados en la información que recolectaban sobre sus preferencias y características

como lo expone Solove (2000).

La información personal adquirió de este modo valor económico para las organizaciones

privadas, que a través de su empleo lograban satisfacer de una mejor manera las necesidades de

sus consumidores. No obstante, como la recolección de información personal con tales fines no

estaba fundada en un mandato legal, aparece como contrapartida necesaria la libertad económica

de las personas para negociar las condiciones de entrega de sus datos.

La respuesta normativa a esta nueva realidad técnica y económica no se hizo esperar en Europa,

Estados Unidos y a nivel global. La OCDE (2011) en 1980 empleó las Prácticas Informáticas

Justas (FIPs) propuestas en Estados Unidos, para elaborar un conjunto de ocho principios 6

6
Los principios desarrollados en estas directrices están dispuestos de la siguiente forma: “(i) Principio de limitación
de recogida, de acuerdo con el cual deberán existir límites para la recogida de datos personales y cualquiera de estos
datos deberán obtenerse con medios legales y justos y, siempre que sea apropiado, con el conocimiento o
consentimiento del sujeto implicado. (ii) Principio de calidad de los datos: los datos personales deberán ser relevantes

24
contenidos en un documento denominado “Directrices de la OCDE sobre la protección de la

privacidad y los flujos transfronterizos de datos personales”, en el que se reconoce el valor

económico de los datos personales y la importancia de garantizar el libre flujo de la información,

sin desproteger los derechos a la privacidad y a la autodeterminación informática. Estas directrices

serían la base para orientar el desarrollo tanto a nivel nacional como internacional de la protección

de datos personales (Gellman, 2017).

En Europa, desde mediados de los 70s el Comité de Ministros del Consejo de Europa adoptó

varias resoluciones con la intención de proteger los datos personales, con fundamento en el artículo

8 del Convenio Europeo de Derechos Humanos que establece el derecho a la vida privada y

familiar. Esto condujo a que en 1981 el Consejo adoptará el Convenio 108 para proteger a las

personas del procesamiento automatizado de sus datos personales y garantizar el flujo

transfronterizo de datos, con principios similares a los contemplados en las Directrices de la

OCDE, que serían desarrollados por posteriores resoluciones del Comité de Ministros.

En este nuevo contexto jurídico el consentimiento del titular de los datos toma un rol notable,

puesto que se convierte en el instrumento para autorizar la utilización de la información por

terceros, y abre el camino a la negociación del valor de la información personal. En ese sentido,

esta etapa se distingue de la anterior, debido a que antes no se necesitaba del consentimiento del

propietario de los datos porque estos se utilizaban para la satisfacción de intereses públicos, pero

para el propósito de su uso y, en la medida de lo necesario para dicho propósito, exactos, completos y actuales. (iii)
Principio de especificación del propósito: el propósito de la recogida de datos se deberá especificar a más tardar en
el momento en que se produce dicha recogida, y su uso se verá limitado al cumplimiento de los objetivos u otros que
no sean incompatibles con el propósito original, especificando en cada momento el cambio de objetivo. (iv) Principio
de limitación de uso: no se deberá divulgar, poner a disposición o usar los datos personales para propósitos que no
cumplan lo expuesto en el apartado 9, excepto si se tiene el consentimiento del sujeto implicado o por imposición
legal o de las autoridades. (v) Principio de salvaguardia de la seguridad: se emplearán salvaguardias razonables de
seguridad para proteger los datos personales contra riesgos, tales como pérdida, acceso no autorizado, destrucción,
uso, modificación o divulgación de los mismos. (vi) Principio de transparencia: deberá existir una política general
sobre transparencia en cuanto a evolución, prácticas y políticas relativas a datos personales. Finalmente los
principios de Responsabilidad y Participación del Titular”.

25
ante la proliferación del empleo de la información personal por organizaciones privadas, se hizo

necesaria la autorización del titular.

De este modo en Estados Unidos, en 1984 el Congreso profirió el Cable Act que establecía la

obligación de cumplir con las FIPs, así como el deber jurídico de los operadores de cable, que

recolectaran información personal relativa a cualquier suscritor, de obtener previamente su

consentimiento de forma escrita o electrónica. Lo que envuelve un claro reconocimiento del

principio de libertad que continuaría siendo desarrollado en otras normas sectoriales.

En la Unión Europea se afianzaría finalmente este principio y las disposiciones del Convenio

108 en el año 1995 cuando el Parlamento Europeo profiere la Directiva 95/45/CE7 que establece

un detallado y comprehensivo sistema de protección de datos fundado en el derecho fundamental

a la autodeterminación informática, que debía ser transpuesto a las naciones partes de la comunidad

europea con el margen de discreción pertinente para asegurar la armonización de los distintos

ordenamientos jurídicos de los Estados miembros (Tikkinen-Piri, Rohunen y Markkula, 2018).

En adelante en este periodo se desarrollan y afianzan los principios de protección de datos

personales a nivel global, así como se produce una masiva acogida normativa de los mismos.

Naciones Unidas en 1990 adopta la Resolución 45/90 contentiva de una lista básica de principios

para la protección de datos personales de aplicación mundial; en 2005 la Cooperación Económica

Asia Pacifico adopta el APEC Privacy Framework que regula el tratamiento de información

7
La Directiva resume los principios de protección de datos personales en su artículo 7 que dispone: “Los Estados
miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si: a) el interesado ha dado su
consentimiento de forma inequívoca, o b) es necesario para la ejecución de un contrato en el que el interesado sea
parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o c) es necesario para
el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o d) es necesario para
proteger el interés vital del interesado, o e) es necesario para el cumplimiento de una misión de interés público o
inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen
los datos, o f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o
por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y
libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la
presente Directiva.”

26
personal en las economías que la integran; en 2006 la Red Iberoamericana de Protección de Datos

desarrolla una serie de directrices para la armonización de la protección de datos en la comunidad

iberoamericana que esclarece todo el sistema de principios, derechos y responsabilidades entorno

al tratamiento de Datos8.

Por tanto, en esa etapa se asiste al boom tanto a nivel nacional como internacional de la

protección de los datos personales, con un enfoque Europeo, en que se promueve un modelo

normativo centralizado y general basado en el respeto de los derechos humanos, o anglosajón

fundado en la expedición de normas sectoriales que incentive la eficiencia de los mercados. El

Estado colombiano ajustaría su normatividad al primer enfoque como se expondrá en seguida.

2.2.1. El caso del Estado Colombiano: la preeminencia de la jurisprudencia

constitucional en el boom normativo.

El Estado Colombiano no es ajeno a este boom normativo, a partir de 1991 con la expedición

de la nueva Constitución Política y la creación de la Corte Constitucional inicia el desarrollo

jurisprudencial del concepto de hábeas data y los principios de administración de datos,

circunstancia extraña en la tradición del derecho legislado del Civil Law. La Corte sintetiza gran

parte del desarrollo que a nivel global existía sobre la materia, tomando un enfoque más cercano

al europeo.

Así, la jurisprudencia constitucional se proyecta como un intento de reafirmar el control del

individuo sobre su información personal ante el poder informático que detentan tanto instituciones

públicas como privadas, no en vano una de las primeras decisiones la T-414 de 1992 resuelve un

8
La Organización de Estados Americanos (OEA) también se ha pronunciado en varias resoluciones sobre la relevancia
del hábeas data y de los principios de administración de datos personales, de este modo se evidencia en las
Resoluciones CJI/doc. 465/14, CJI/doc. 450/14 del año 2014, y CJI/doc. 474/15 del año 2015. La segunda Resolución
mencionada incorpora una serie de principios referidos a la protección de datos y la privacidad, por lo que resulta de
particular importancia.

27
caso referido a la relación entre un usuario financiero del Banco de Bogotá con las centrales de

riesgo financiero.

La jurisprudencia de la Corte al elaborar el concepto de hábeas data, ha desplegado tres

interpretaciones distintas sobre la naturaleza del mismo, comprendiéndolo como acción

constitucional, dimensión del derecho al desarrollo a la libre personalidad y derecho fundamental

autónomo, la construcción de estos tres significados es equivalente a las posiciones existentes en

el estado del arte sobre la materia:

(a) El hábeas data como acción constitucional para la protección de la

intimidad personal:

Frosini (1988) al referirse a la intimidad en sentido positivo o como una libertad personal

positiva elabora tácitamente el concepto de hábeas data, definiéndolo como “el derecho de

autotutela de la propia identidad informática: o sea el derecho de controlar (conocer, corregir,

quitar o agregar) los datos personales inscritos en las tarjetas de un programa electrónico”, esta

reflexión del profesor tuvo impacto en las decisiones de la Corte Constitucional Colombiana9, que

a inicios de su jurisprudencia consideró el hábeas data como mecanismo de protección de la

intimidad tal como la propia Corte lo explica en sentencia C-748 de 2011.

La mencionada doctrina de la Corte prevaleció sólo hasta 1995 cuando por medio de Sentencia

SU-082 (M.S: Jorge Arango Mejía) rectificó su posición, reafirmándolo en sentencias posteriores

(T-552 de 1997) al decir que: “el derecho al habeas data es, entonces, un derecho claramente

diferenciado del derecho a la intimidad”, dado que no necesariamente la violación de uno implica

la del otro, por lo que sus esferas de protección son diferentes.

9
La Corte Constitucional recoge la reflexiones del profesor Vittorio Frosini en las sentencias T- 414 de 1992 (M.S:
Ciro Angarita Barón) y T-486 de 1992 (M.S: Alejandro Martínez Caballero), especialmente sobre el concepto de
poder informático, de modo que se descubre de que fuente la Corte extrajo este categoría.

28
 En contraste, en el Sistema Interamericano de Protección de los Derechos Humanos sigue

existiendo la conexidad y dependencia del hábeas data con la intimidad personal o vida privada,

como lo dispone el Informe anual de la relatoría para la libertad de expresión del año 2001 (capitulo

3) al decir: “la acción de habeas data se erige sobre la base de(…) el derecho de cada persona a

no ser perturbado en su privacidad”, en tal sentido “habeas data se instituyó como una modalidad

del proceso de amparo para proteger la intimidad de las personas”, por lo tanto, la protección de

los datos personales se funda en el artículo 11 de la Convención Americana10.

De la misma manera en el Sistema Europeo, el Tribunal Europeo de Derechos Humanos no

comprende el derecho a la protección de datos personales como distinto de la intimidad personal,

por el contrario en su consideración el hábeas data forma parte de los derechos amparados por el

artículo 8 de la Carta Europea de Derechos Humanos relativo a la vida privada, dada la amplia

noción que ha construido de esta, así se constata en los casos S. y Marper contra Reino Unido y

Rotaru contra Rumania.

(b) El hábeas data como dimensión del derecho al libre desarrollo de la

personalidad:

Por otra parte, el Tribunal Constitucional Alemán exploró una situación de conexidad diferente

en la sentencia del 15 de diciembre de 1983 que se dictó sobre hábeas data a propósito de datos

10
Esta relación en el marco normativo del Sistema Interamericano de Derechos Humanos, la referencia obligada al
derecho a la intimidad o vida privada para justificar normativamente el hábeas data, se explica en la medida en que la
Convención Americana de Derechos Humanos y los demás instrumentos de hardlaw no hacen referencia expresa a
este derecho; razón por la cual no existen pronunciamientos de la Corte Interamericana de Derechos Humanos
declarando la violación del hábeas data por parte de uno de los Estados miembros del Sistema, esta situación genera
dificultades para el litigio de casos relacionados con este derecho en el sistema. No obstante, existen normas de softlaw
dentro del sistema que se refieren a este derecho como el citado informe, el principio tercero de la Declaración de
Principio de la Libertad de Expresión de la Comisión Interamericana de Derechos Humanos, múltiples resoluciones
de la OEA, así como otros informes de la Relatoría para la libertad de expresión, así en el Informe Anual del año 2013
se señaló que: “La Comisión destacó que resulta fundamental que se desarrollen regímenes de protección de datos
que regulen el almacenamiento, procesamiento, uso y transferencia de datos personales sea entre entidades estatales
como respecto de terceros”.

29
personales recolectados con fundamento en la Ley de Censo de Población para fines estadísticos,

en esta providencia más allá de referirse al derecho a la privacidad, argumentó que la

autodeterminación informativa es un derecho que se desprende del libre desarrollo de la

personalidad: “el libre desarrollo de la personalidad presupone en las modernas condiciones para

el procesamiento de datos, la protección de los individuos frente a la ilimitada recolección,

archivo, empleo y retransmisión de sus datos personales”11; esta línea de pensamiento también

fue empleada por la Corte Constitucional antes de proferirse la citada SU-082 de 1995, así se puede

constatar en Sentencias T-340 de 1993 (M.S: Carlos Gaviria Díaz) y T-022 de 1993 (M.S: Ciro

Angarita Barón).

(c) El habeas data como derecho fundamental autónomo:

En el estado actual de la jurisprudencia constitucional colombiana el hábeas data es un derecho

fundamental autónomo y una garantía de protección de otros derechos fundamentales (perspectiva

instrumental) como la intimidad, la honra, el honor y el buen nombre (Romolina, 2013). En este

aspecto el régimen colombiano se distingue de la legislación de varios países latinoamericanos,

que a pesar de consagrar el habeas data en sus textos constitucionales y legales, lo comprenden

exclusivamente desde la perspectiva estrictamente instrumental, considerándolo una garantía

procesal que protege la autodeterminación informática12.

La Corte constitucional ha ido más allá de la perspectiva instrumental, reconociéndolo como

derecho fundamental en sí mismo. Así lo contempla a partir de la citada sentencia de unificación,

11
De esta manera lo expone la Sentencia de la Primera Sala, del 15 de diciembre, 1983 –1 BvR 209, 269, 362, 420,
440, 484/83.
12
Así ocurre en Argentina y Brasil. El Estado de Argentina en el artículo 43 de su Constitución dispone de manera
expresa que el habeas data es una “acción”, que da lugar en consecuencia a un proceso judicial (Robledo, 2017), la
cual se “puede utilizar para ejercer cualquier (…) facultad emergente expresa o implícitamente de las estandarizadas
reglas del derecho de la protección de datos personales respecto de los legitimados pasivos” (Puccinelli, 2015, p.24).
En cuanto al Estado Brasilero, Doneda (2007) expone que el constituyente brasilero estableció un sistema de garantía
individuales, entre ellas el derecho a acceder y rectificar la información personal, integrado con una serie de principios
de protección de datos, reconociendo tales derechos a través de la “acción de hábeas data”(p.8) .

30
siguiendo claramente la corriente de la comunidad europea que a través del Tribunal de Justicia

Europeo ha señalado que existe una íntima relación entre la protección de datos personales y el

derecho a la vida privada, empero conservan su independencia, al punto que la Carta de los

Derechos Fundamentales de la Unión Europea los contempla en artículos diferentes (artículos 8 y

7 respectivamente)13.

El derecho fundamental autónomo al hábeas data envuelve un sistema de controles respecto del

procesamiento de los datos (Hustinx, 2013), por ende, le permite a la persona controlar el

tratamiento de sus datos personales, dándole la posibilidad de conocer, actualizar, rectificar,

adicionar, certificar la información que sobre ellas existan en bancos de datos o en archivos de

entidades públicas y privadas, así como de exigir que la administración de sus datos se ajuste a

unos principios mínimos (Guío Español, 2007).

De esta forma, la jurisprudencia de la Corte Constitucional Colombiana además ha reconocido

que el contenido mínimo o esencial del hábeas data está compuesto por la autodeterminación

informática y la libertad económica. Este reconocimiento no es más que la síntesis de la evolución

normativa que hasta aquí se ha expuesto sobre la base de los cambios tecnológicos y económicos

que han tenido lugar a nivel mundial. Así mismo, se fundamenta en dos premisas que se han

desarrollado a lo largo del capítulo, el régimen jurídico existente se funda en la centralidad de la

persona humana, al tiempo que afirma el valor económico de los datos y la facultad de disponer

de tal valor por parte del titular de la información14.

13
De este modo se puede evidenciar en Sentencia del 9 de noviembre de 2010 del Tribunal de Justicia Europeo
(asuntos acumulados C-92/09 y C 93/09), y en la providencia 254 de 1993 del Tribunal Constitucional Español.
14
En este aspecto consiste precisamente que una de las dimensiones de la autodeterminación informática sea la
libertad económica, puesto que según lo tiene dicho la Corte Constitucional esta última, consiste en “facultad que
tiene toda persona de realizar actividades de carácter económico, según sus preferencias o habilidades, con miras a
crear, mantener o incrementar un patrimonio.” (Sentencia T-425 de 1992).

31
 Las facultades en cabeza del titular de la información que se desprenden de la

autodeterminación informática y libertad económica, de acuerdo con lo sintetizado en Sentencia

C-748 de 2011 de la Corte Constitucional son las siguientes:

a) Conocer y acceder a la información que sobre su persona repose en bases de datos.

b) Incluir nuevos datos con el fin de proveer una imagen completa de sí mismo, así

como actualizar la información.

c) Solicitar que los datos recolectados sean rectificados o corregidos, para efectos que

concuerden con la realidad

d) Excluir información de las bases de datos, por voluntad del titular, por uso indebido

de la información, o por caducidad del dato personal

e) Exigir el cumplimiento de los principios de administración de datos personales con

relación a las posibilidades de publicación, divulgación y cesión de estos.

Estas facultades se concretan en los denominados derechos “arcars”, esto es, “un conjunto de

valiosos instrumentos para que el titular del dato se convierta en un sujeto activo de su

información personal” (Romolina, 2013, p. 228). En este punto es importante aclarar que estas

facultades se ejercen con relación a los datos personales, esto es, datos referidos a una persona

identificada o identificable denominada titular. El titular del dato es el sujeto de protección frente

a los riesgos que se generan cuando su información es objeto de tratamiento; este sujeto ejerce sus

derechos con respecto a otros, a saber: el responsable, el encargado y los usuarios de la

información15.

15
Estos sujetos aparecen definidos en la Ley Estatutaria 1581 de 2012. El responsable del tratamiento es la persona
sea cual fuere su naturaleza, que por sí misma o en asocio con otros decide sobre las bases de datos o el tratamiento
de estos (literal e, ibídem); el encargado es la persona que realiza el tratamiento de datos personales (por sí misma o
en asocio) por cuenta del responsable del tratamiento (literal d, ibíd.); y el usuario de los datos, quien accede a los
datos personales del titular almacenados en bases o archivos de datos. Sobre este último debe aclararse que al igual

32
 2.1.2. La introducción de los principios de administración de datos personales en

Colombia:

En el Estado Colombiano fue también la Corte Constitucional quien inicialmente a través de

las sentencias T-729 de 2002 y C-185 de 2003 desarrolló e introdujo en el ámbito interno los

principios de administración de datos personales, delineados posteriormente con precisión en las

providencias C-1011 de 2008 y C-748 de 2011. Estas reglas se describen a continuación de manera

sucinta siguiendo esencialmente a Remolina (2013):

De acuerdo con el principio de legalidad el tratamiento sólo puede realizarse de la manera que

lo indica la Ley16, por eso, está prohibido emplear medios engañosos, fraudulentos, desleales o

deshonestos al realizar cualquier operación sobre los datos, por ejemplo emplear información

exclusivamente desfavorable de los titulares para fines discriminatorios, como el caso de las listas

de viajeros no conformes de la aerolínea Avianca resuelto por la Sentencia T-987 de 2012 (M.S:

Luis Ernesto Vargas Silva) de la Corte Constitucional.

El principio de finalidad exige que la información sea empleada para un fin legal y

constitucionalmente legítimo, la finalidad debe ser concreta y expresa, razón por la cual, el titular

debe ser informado previamente de manera clara, expresa y suficiente sobre las finalidades del

tratamiento (Concepto 18199385 del 30 de mayo de 2018 de la SIC). Cualquier operación con un

fin diferente está proscrita, salvo que se cuente con autorización del titular, o que se trate de un

uso conexo, compatible o accesorio con la finalidad principal autorizada según la teoría de los

que el Responsable y Encargado también está obligado al respeto de los derechos del titular y cumplimiento de los
principios de administración de datos como se desprende de la Sentencia C-1011 de 2008, puesto que como lo afirma
Remolina (2011): “Los usuarios no pueden hacer lo que quieran con (…) [los] datos porque con ello comprometen o
lesionan los derechos y libertades de los titulares” (p.6).
16
Así lo ha señalado la SIC en Resolución 51290 de 2018, al decir que: “Conforme al principio de legalidad en materia
de datos personales, cualquier forma de Tratamiento de información personal desde su recolección hasta su disposición
final se encuentra orientada par las normas contenidas no solamente en la Ley 1581 de 2012 sino también en la
normatividad que sobre la materia se ha expedido, la cual, para el caso en particular, corresponde al Decreta Único
Reglamentario 1074 de 2015”

33
ámbitos estructurada por la Corte, por ello la ausencia de una función clara en el tratamiento

constituye abuso del derecho conforme con las sentencias T-058 de 2015 y T-119 de 1995.

Según el principio de limitación temporal el periodo de conservación de los datos no debe

exceder del necesario y razonable para lograr el fin propuesto como se constata en el concepto

117301 del de 2018 de la SIC. Así los datos no pueden estar sujetos a tratamiento indefinidamente,

lo que significa que culminado el tiempo de tratamiento autorizado, los datos deben ser suprimidos

por parte del responsable, encargado o usuario, salvo que deban conservarse en cumplimiento de

una obligación legal o contractual. Este principio fundamenta materias como la caducidad del dato

comercial o financiero y de los antecedentes penales desarrollada ampliamente por la Corte

Constitucional17.

Por otro lado, el principio de pertinencia y proporcionalidad demanda que los datos personales

recolectados sean adecuados, necesarios, pertinentes y acordes con la finalidad para la cual fueron

recolectados, este principio en el marco jurídico europeo ha sido denominado como minimización

de los datos, siendo desarrollado por el Tribunal de Justicia Europeo en los casos C-293/12 and C-

594/12 (Digital Rights Ireland contra el Ministerio de Comunicaciones y otros).

El principio de libertad establece que el tratamiento sobre los datos personales sólo es legítimo

cuando se cuente con el consentimiento previo, expreso e informado18 del titular. El

consentimiento se constituye en el pilar de la protección de datos personales reafirmando la

17
Así se puede verificar en sentencias SU-458 de 2012 (M.S: Adriana María Guillen Arango), T-164 de 2010 (Jorge
Iván Palacio Palacio), T-421 de 2009 (María Victoria Calle Correa), T-173 de 2007 (Nilson Pinilla Pinilla), T-565 de
2005 (M.S: Jaime Araújo Rentería), T-542 de 2003 (M.S: Marco Gerardo Monroy Cabra), entre otras. La Corte
Constitucional se refiere a esta temática en alrededor de 58 providencias de las 194 sentencias de la base de datos
constituida para los efectos de esta investigación; lo que supera los porcentajes estimados por Manríquez (2015) que
señala “A mayo del 2015, más de doscientas sentencias de este tribunal desarrollan el tema de protección y tratamiento
de datos personales, y de ese número, aproximadamente un 3% tratan el derecho al olvido”.
18
La Corte Constitucional en sentencia C-1011 de 2008 explicó que tales calificaciones del consentimiento significan
que la administración de datos personales no pueda realizarse a las espaldas del titular “sino que debe tratarse de un
proceso transparente, en que en todo momento y lugar pueda conocer en dónde está su información personal, para
qué propósitos ha sido recolectada y qué mecanismos tiene a su disposición para su actualización y rectificación. “

34
autodeterminación informática de la persona, por lo tanto se necesita de la autorización del titular

que “debe reunir ciertos requisitos de forma, fondo y tiempo para que sea válida” (Remolina,

2013, p. 191)19.

De conformidad con el principio de veracidad o calidad, los datos recolectados no pueden ser

falsos, parciales, incompletos, obsoletos, sensibles, inútiles o innecesarios, por lo que los datos

“deberán ser exactos y, si fuera necesario, actualizados” (Puldain Salvador, 2017, p.131).

El principio de transparencia exige que el responsable o encargado del tratamiento garantice

el derecho del titular a obtener acceso a su información personal, y a conocer los fines del

tratamiento, las prácticas y políticas implementadas para proteger sus derechos e intereses. Esta

exigencia de transparencia implica que las operaciones realizadas sobre los datos y las finalidades

del tratamiento sean explicadas al titular de manera fácilmente entendible, en un lenguaje simple

y sencillo (SIC, 2017).

El principio de circulación restringida dispone que sólo pueden tener acceso a la información

personal los titulares, sus causahabientes o sus representantes, los terceros autorizados por el titular

o la ley, y las autoridades públicas en ejercicio de funciones legales o judiciales. Esto justifica que

los datos personales (salvo información pública) no estén disponibles en internet o medios de

comunicación masiva, salvo que el acceso sea técnicamente controlable, así lo expone la SIC en

Concepto 18115634 del 23 de mayo de 2018.

En aras de garantizar el cumplimiento de las restricciones en la circulación de la información,

responsables y encargados del tratamiento deben adoptar las medidas de seguridad necesarias para

ello, conjurando riesgos de acceso no autorizado, perdida, contaminación, uso fraudulento,

19
Con relación a estos requisitos el Decreto 1074 de 2015 establece que la autorización deberá constar “(i) por escrito,
(ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que
otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca”.

35
adulteración o revelación de los datos sin autorización (principios de seguridad y

confidencialidad), según lo expone la guía para la implementación del principio de

responsabilidad demostrada (SIC, 2016).

Finalmente, de acuerdo con Remolina (2013) también constituyen principios que se desprenden

de la jurisprudencia los siguientes: (i) principio de daño: cualquier daño que se provoque con

ocasión a fallas en el proceso de administración de datos debe ser indemnizado; (ii)principio de

protección equivalente: está prohibida la transferencia de datos a otros países que no tengan niveles

adecuados de protección; (iii) principio de autoridad independiente: con el propósito de garantizar

el cumplimiento de los comentados principios y en general de la normatividad en materia de

protección de datos personales debe existir una autoridad estatal independiente e imparcial en

cargada de ello; finalmente (iv) principio de responsabilidad demostrada: los deberes de los

responsables y encargados del tratamiento de datos personales se concretan fundamentalmente en

el respeto y garantía de los derechos de los titulares, y la administración de los datos personales

conforme a los principios señalados20.

2.2.1.2. El desarrollo legislativo del hábeas data en Colombia:

De manera paralela al desarrollo jurisprudencial del hábeas data comentado hasta ahora, el

legislador a partir de 1993 intentó en varias oportunidades vincular al Estado colombiano desde el

plano legislativo al boom normativo de protección de datos existente en el mundo, con resultados

infructuosos. Iguaran y Muñoz (2012) en su tesis presenta de manera resumida los proyectos de

Ley que fracasaron, compendiados en la siguiente tabla:

Tabla 2. Proyectos de Ley de Hábeas Data anteriores a la expedición de la Ley 1266 de 2008.

20
El Dictamen 03 de 2010 del GT29 contempla que los responsables y encargados del tratamiento deben estar en
condiciones de demostrar tanto al titular como a las autoridades de control que han cumplido con la normatividad en
materia de protección de datos personales, dando cuenta las políticas, practicas, y los procesos que orientan el
tratamiento de datos personales bajo las condiciones de su organización.

36
 Proyecto de Ley Resultado
Proyecto de Ley del senado 12 de 1993 y Declarado inexequible por la Corte
Cámara de representantes 127 de 1993 Constitucional en la revisión previa a la
sanción presidencial en el año 1995.

Proyecto de Ley Estatutaria número 201 de No prosperó como ley por falta de trámite.
2003 de la cámara de representantes y 071 de Esta norma pretendía regular lo relacionado
2002 del Senado de la Republica. con el acceso a la información de interés
público de carácter comercial.
Proyecto de Ley Estatutaria número 074 de Tampoco se convirtió en ley por falta de
2003 de la cámara de representantes y 64 de trámite, el cual regularía integralmente el
2003 del Senado de la Republica derecho al habeas data.
Proyecto de Ley Estatutaria número 143 de Buscaba regular la protección de los datos
2003 del Senado de la Republica. personales y la circulación de los mismos,
pero no se convirtió en ley porque fue
archivada en plenaria del senado en junio del
2004.

Proyecto de Ley Estatutaria número 139 de Regularía el derecho fundamental al habeas

2004 de la Cámara de Representantes. data, el tratamiento de datos personales en
bases de datos públicas y privadas. Este
proyecto fue retirado por su autor en el año
2004 antes de tuviera debate.

Luego de estos intentos fallidos se expidió la Ley Estatutaria 1266 de 2008, normatividad de

naturaleza sectorial aplicable a la administración de datos personales de contenido comercial,

crediticio y financiero, destinada al cálculo del riesgo crediticio.

Este modelo de regulación sectorial sigue la experiencia de los Estados Unidos que ha optado

por no controlar de forma omnicomprensiva la administración de datos personales, sobre la base

que los mercados se autorregulan de manera eficiente y que la opinión pública es reacia a

empoderar al Estado para la protección de su privacidad, por lo que la intervención estatal es sólo

deseable en ciertos sectores como lo expone Parraguez y Caldera (2016).

La academia colombiana a pesar de las anteriores consideraciones de eficiencia económica

criticó fervientemente este modelo de regulación adoptado a través de la Ley 1266, dado que no

se ajustaba al estándar europeo de protección de datos personales. Romolina (2010) argumenta

37
que esta Ley no establecía un nivel adecuado de protección a la luz de la derogada Directiva

95/46/CE de la Unión Europea, debido a que no era general, no contemplaba el derecho de

cancelación u oposición al tratamiento, omitió regular lo relativo al tratamiento de datos sensibles

y a las decisiones individuales automatizadas, y dispuso que el responsable del tratamiento u

operador, no la autoridad de control, era el encargado de determinar si un tercer país al que

pretendía transferir los datos contaba con un nivel adecuado de protección.

Consecuentemente, con ocasión a estas deficiencias legislativas el país podría verse excluido

de la dinámica de transferencia internacional de datos personales que exige el requisito del “nivel

adecuado de protección” (artículo 25 de la citada Directiva), con la pérdida de competitividad que

ello implicaba. Con el objeto de resolver las comentadas deficiencias de la Ley 1266 se expidió la

Ley Estatutaria 1581 de 2012 complementaria de la anterior, que recoge los conceptos y principios

construidos por la jurisprudencia constitucional.

En la exposición de motivos de esta Ley Estatutaria emerge con claridad que el propósito era

convertir a Colombia en un Estado con un nivel adecuado de protección de conformidad con los

estándares internacionales en la materia, al decir que “Colombia es considerada como un país no

seguro en protección de datos por la Comunidad Europea. Este hecho se traduce en un obstáculo

comercial a la trasferencia de datos personales (…)”. Por lo tanto, el objetivo de la Ley es “la

acreditación de Colombia por parte de la Unión Europea como un país seguro en protección de

datos, y así poder acceder al mercado Europeo sin restricciones”21. De este modo, lo que motivó

a la adopción del actual sistema de protección de datos personales fue la conveniencia económica.

2.3. Tercera etapa histórica: paradigma entrante del Big Data.

21
La exposición de motivos se encuentra en la siguiente dirección web:
https://habeasdatacolombia.uniandes.edu.co/wp-content/uploads/proyecto-de-ley-46-de-2010-camara.pdf

38
 El avance tecnológico no se detuvo con la aparición del Internet y la computadora personal, los

desarrollos continuaron abriendo paso a la era digital y a la datificación de la vida humana en

general. Kitchin (2014) expone que el surgimiento del Big Data requirió de la previa existencia de

ciertas condiciones técnicas que empezaron a florecer a mediados del siglo XX hasta la actualidad,

como el crecimiento exponencial del poder computacional, el crecimiento masivo del internet, la

aparición y crecimiento de la industria web y las redes sociales (Web 2.0), la aparición de

dispositivos inteligentes conectados a través de la red, los procesos de lectura digital de datos, y el

almacenamiento distribuido de información.

De esta manera, el análisis masivo de datos surge en el paradigma tecnológico y digital, que de

acuerdo con lo explicado por Castell (2004) se caracteriza porque la información es la materia

prima de los procesos tecnológicos, es esencial a toda actividad humana, sigue una lógica de

interconexión, con una alta capacidad de reconfiguración por parte de las instituciones y una

integración de los distintos discursos científicos.

Esta etapa se distingue por la concentración de la información en entidades públicas, grandes

compañías privadas, e intermediarios de los flujos masivos de datos como motores de búsqueda,

compañías de marketing, corredores de datos (data brokers) y proveedores de internet. El

procesamiento de los datos ya no se enfoca solamente en personas específicas, sino que la escala

crece, pues se intenta investigar y predecir el comportamiento de grandes grupos o comunidades

para sacar ventajas económicas.

A pesar que cierta cantidad de información está disponible para las personas en la red, esto no

significa que exista una democratización de las técnicas de análisis masivo de datos, puesto que

39
sólo grandes compañías como IBM, Google, Facebook denominadas “Barones de los Datos” 22

cuentan con los recursos humanos y técnicos necesarios para convertir esa masiva cantidad de

información digital en conocimiento, así mismo sólo ellas han acumulado las cantidades de datos

necesarias para ello.

Por esto, Mantelero (2014) considera que esta etapa se asemeja al primer periodo, puesto que

el poder informático nuevamente se concentra en pocas manos, las prácticas de manejo de datos

de estas compañías no son transparentes, y las personas no comprenden el alcance de las

operaciones que se realizan sobre sus datos a través del Big Data.

Esto según el citado autor deviene en una crisis del marco jurídico de protección de datos

personales, en la medida en que los principios que rigen la recolección de datos se tornan obsoletos.

Al punto, que en el actual contexto tecnológico el régimen de protección no cuenta con un nivel

adecuado y efectivo de protección de la autodeterminación informática.

La respuesta normativa a estas nuevas condiciones económicas y tecnológicas envuelven la

derogatoria de la Directiva 95/45/CE de la Unión Europea, y la consecuente expedición de un

conjunto reglas actualizadas, a saber el RGPD del año 2016 que fortaleció los principios de

libertad, transparencia y responsabilidad, estableció nuevas disposiciones que modularon el

principio de finalidad y empoderó al titular de los datos a través del reconocimiento de nuevos

derechos.

De la misma forma, desde el Consejo de Europa (2017) se han dado directrices sobre datos

masivos y protección de datos encaminadas a reducir los riesgos que se desprenden del Big Data.

22
Algunas han calificada la era tecnológica actual como el “reinado” de los barones de datos dada la capacidad que
tienen para influir en los hábitos y patrones de conducta de las personas, a través de la información que recolectan
sobre estos (Giles, 2018).

40
En Estados Unidos, Reino Unido y Canadá las autoridades competentes se han referido al asunto,

planteando propuestas de solución en varios reportes oficiales (Kemp, 2014).

Conclusiones:

Se ha demostrado que el habeas data ha evolucionado a la par de los desarrollos tecnológicos

que han ocurrido a nivel global desde el año de 1950, conforme cambian las condiciones en que

se ejerce el poder informático, primero con la aparición de la computadora, y luego con la

masificación del ordenar personal, el internet y el marketing personalizado, hasta la nueva era del

Big Data, según se propuso en el primer objetivo específico.

En Colombia la institución responsable de la introducción y elaboración de los fundamentos

jurídicos del régimen de protección de datos fue la Corte Constitucional, quien puso al Estado

Colombiano a la par de los avances jurídicos con un enfoque europeo. La jurisprudencia

constitucional vino a sintetizarse recientemente en las Leyes 1266 de 2008 y 1581 de 2012, a través

de las cuales Colombia alcanzó un nivel adecuado de protección de datos y se convirtió en una

economía de datos competitiva a nivel global, al menos a la luz de los estándares de la Unión

Europea.

Sin embargo, en la última década ha ocurrido un cambio en el paradigma tecnológico con la

aparición del Big Data, que ha generado cambios normativos en el enfoque jurídico que sigue el

Estado Colombiano, con la aparición del RGPD. Esto significa que el régimen colombiano ha

quedado de cierta manera obsoleto, frente a los nuevos desafíos que enfrenta el habeas data y frente

a los nuevos cambios jurídicos, por lo que carece de un nivel adecuado y efectivo de protección

de los datos personales.

Este aspecto se explorará en los capítulos subsiguientes, debido a que existe entre los nuevos

desarrollos tecnológicos y el alcance jurídico de los principios de protección de datos personales,

41
una contradicción lógica, que genera incentivos para evadir su cumplimiento en las compañías

responsables del tratamiento de datos personales.

Capitulo II

El Big Data a la luz de los principios de administración de datos: revelando dificultades.

“Vivimos en una sociedad profundamente dependiente de la ciencia y la tecnología y en la que

nadie sabe nada de estos temas. Ello constituye una fórmula segura para el desastre.”

Carl Sagan

El régimen de habeas data no tiene un nivel adecuado de protección de datos en el contexto del

Big Data, desde una perspectiva instrumental o práctica. Remolina (2010) establece que un sistema

normativo debe incorporar ciertos principios23 para alcanzar desde el punto de vista regulatorio un

nivel deseable de protección; sin embargo esto no basta, los principios deben ser efectivos en la

realidad. La legislación colombiana como se apreció contiene tales principios, pero ¿está

preparada para el Big Data?

Esta es la idea central que se desarrollará en este capítulo, para ello en primer lugar se expondrá

las características técnicas del Big Data, seguidamente la cadena de valor de los datos, los agentes

de mercado que participan en ella y las dificultades de la aplicación a esta de los principios de

administración de datos expuestos en el capítulo anterior; finalmente se presentaran los beneficios

y riesgos del análisis masivo de datos, los primeros deben ser promovidos normativamente, los

segundos reducidos: ¿cómo lograrlo?

23
De acuerdo con Remolina (2015) el estándar europeo exige los siguientes principios: limitación de la finalidad,
calidad de los datos y proporcionalidad, transparencia, seguridad, acceso y rectificación, restricciones a las
transferencias con terceros países, reconocimiento de los datos sensibles, marketing directo y decisiones individuales
automatizadas.

42
 Debe realizarse una aclaración preliminar para efectos de la comprensión del capítulo, el

análisis masivo de datos o Big Data y los riesgos o beneficios que de este se desprenden con

relación al derecho fundamental al habeas data, no pueden circunscribirse a la jurisdicción de un

Estado especifico, puesto que por la naturaleza misma del modelo de negocio estos son globales

como se expondrá en el desarrollo de este texto, de ahí que la aproximación no sea únicamente

desde la perspectiva normativa nacional, sino que sea necesario tener en cuenta las experiencias

internacionales.

1. Características Generales del Big Data:

Existen divergencias tanto en la industria como en la academia sobre la definición de Big Data

(Team, 2011), sin embargo en general se ha dicho que corresponde al conjunto de datos que no

podrían ser recolectados, manejados y procesados a través de las técnicas analíticas tradicionales

en un intervalo de tiempo razonable, se refiere por lo tanto a las tecnologías diseñadas para extraer

valor de manera eficiente de un gran volumen de datos analizándolos a alta velocidad (Ganzt J y

Reinsel D, 2011).

Las notas características de esta tecnología son: el volumen, que comprende la generación y

recolección de grandes cantidades de información al alcance de Yottabytes; la velocidad, dada la

capacidad de procesar tal información en reducidos intervalos de tiempo y la rapidez para

transferirse; la variedad que indica la variada cantidad de datos (estructurados, semi-estructurados,

no estructurados) que pueden ser analizados, y el valor, por los beneficios económicos y sociales

que pueden extraerse de las correlaciones generadas a través de algoritmos con la capacidad de

relacionar datos dispersos, (Törngren O, 2018).

También se ha señalado que la veracidad, la visualización y la exhaustividad son atributos del

Big Data, la primera referida a la calidad de los datos y resultados, el segundo a la comprensibilidad

43
de los mismos, y el tercero a la mayor representatividad y validez del análisis como resultado de

abarcar datos de toda la población24(Sriramoju, S. B., 2017).

En tal sentido, Hashem, Yaqoob, Anuar, Mokhtar, Gani, y Khan (2015) reconociendo que no

existe una definición univoca del término en comento, definen Big Data como el conjunto de

técnicas y tecnologías que requieren nuevas formas de integración para descubrir valores ocultos

de una gran cantidad de datos, que son diversos, complejos y de escala masiva. Esta definición es

similar a la aproximación realizada por instituciones como la OCDE, Naciones Unidas y el GT29

según lo expone Munir, Yasin, Hajar, Muhammad-Sukki (2015).

Según los citados autores existen cinco categorías que constituyen las condiciones técnicas

necesarias para el análisis de los datos masivos desde la perspectiva de la ciencia computacional,

a saber las fuentes de datos, los formatos de contenido, los almacenes de datos, el área de stage y

el procesamiento de datos. En lo que respecta a las fuentes de datos pueden mencionarse las redes

sociales, los sensores, las transacciones electrónicas, los datos generados de manera automatizada

a través de computadores, aplicaciones u otros mecanismos, y el Internet de las Cosas (IoT). Estas

fuentes generan grandes cantidades de información tanto personal como impersonal, que circula a

través de la red con el fin de ser explotada en distintos usos.

Los formatos de contenido consisten en formatos codificados para convertir los datos en

información visualizable y comprensible, pueden ser datos estructurados, semi-estructurados y no

estructurados. Por su parte, los almacenes de datos se refieren a repositorios para almacenar

grandes cantidades datos, son de diferentes tipos como por ejemplo los almacenes de documentos,

los sistemas de gestión de bases de datos en columnas, bases de datos de gráficos, y las bases de

datos de valores-clave que almacenan valores y un índice para encontrarlos (Cattell, 2011).

24
Al respecto puede consultarse el documento del IBM Institu for Business Value (2012) denominado “Analytics: el
uso del big data en el mundo real”, en el que se exponen las principales características del Big Data.

44
 El área de stage es un área intermedia de almacenamiento utilizada para el procesamiento de

los datos, por medio de las que se adelantan procesos de identificación de datos incompletos o

irrazonables (limpieza), de transformación de los datos para su análisis, y de estructuración de

bases de datos para reducir la redundancia (Rahm y Do, 2000).

Finalmente, al procesamiento puede ser llevado a cabo a través de programas o aplicaciones

que permiten el manejo ilimitado de datos en tiempo real, utilizando algoritmos paralelos y

distribuidos en un Cluster, al respecto puede consultarse He, Lee, Huai, Shao, Jain, Zhang, y Xu

(2011). A través de este procesamiento se descubren usos ocultos de la información.

2. La cadena de valor del Big Data a la luz de los principios de protección de datos

personales consagrados en la Ley 1581 de 2012:

Ahora bien, Chen, y Zhang (2014) explican que existe una “cadena de valor del Big Data” (p.

178-179), es decir un conjunto de actividades física y tecnológicamente distintas desempeñadas

por una empresa o industria, para obtener un precio por proporcionar un bien o servicio (Porter,

1986). En torno al análisis masivo de datos, tal cadena está compuesta por las siguientes etapas:

generación, adquisición, almacenamiento y análisis de los datos; las cuales siguen una lógica

diferente a los principios de protección de datos personales reconocidos en la Ley 1581 de 2012 y

la jurisprudencia.

Tabla. 3. Principios de protección de datos personales según la Ley 1581 y la jurisprudencia

constitucional:

Principios de Administración de Datos

Finalidad Limitación temporal Circulación Restringida
Transparencia Pertenencia Veracidad
Libertad Seguridad

45
 La generación de la información es el primer paso, implica la producción de una gran cantidad

de datos como consecuencia de diferentes actividades humanas. Por ejemplo, la información

interna de las compañías consistente principalmente en datos de comercio en línea o datos

generados por la actividad empresarial; la información producida por la actividad de las personas

en redes sociales, motores de búsqueda y sitios web; la información recolectada a través de objetos

inteligentes, y los datos que se producen en investigaciones científicas.

Seguidamente se produce la adquisición de los datos, que envuelve la recolección, transmisión

y pre-procesamiento de la información. La recolección se desarrolla utilizando diferentes técnicas

de para adquirir datos de determinados contextos25. Lo datos recolectados serán transportados a

una infraestructura de almacenamiento para su procesamiento y análisis26. Finalmente, dado que

el análisis de los datos requiere que estos sean exactos, consistentes, de calidad y que ocupen la

menor cantidad de espacio posible, los datos deben ser integrados, sometidos a procesos de

limpieza y de eliminación de redundancias.

Este eslabón de la cadena de valor ha generado preocupación por la recolección indiscriminada

de información personal, la lógica económica detrás del modelo de negocio promueve la idea que

entre más datos se recolecten mayores beneficios se pueden obtener, en tanto estos son materia

prima para la innovación (OCDE, 2014). Sin embargo, está recolección masiva e indiscriminada

de información contradice el principio de pertinencia y proporcionalidad (FTC, 2013), que exige

sólo se recolecten los datos necesarios para cumplir con la finalidad del tratamiento, según lo ha

25
Para esto se utilizan técnicas como el log file, sensing, Libpcap-based packet capture technology, Zero-copy packet
capture technology (Chen, Mao, y Liu, 2014).
26
Esta transmisión implica dos fases: Inter-DCN (transmisión de los datos de la fuente al centro de datos) y Intra DCN
(“flujos de comunicación de datos dentro de los centros de datos”). Para un estudio más detallado de estos
procedimientos puede consultarse el trabajo de Chen, Mao, Zhang y Leung (2014, p. 26-27).

46
planteado la Corte Constitucional en sentencia C-748 de 2011 y la SIC en concepto 17-28149 del

año 2017.

De igual forma, al recolectar datos que incluyen tanto información personal como impersonal

existen dificultades en el cumplimiento del principio de libertad. En primer lugar, por los costos

de transacción que representa la obtención del consentimiento de millones de usuarios que

interactúan en la red, así como de generar un entorno que le proporcione la oportunidad real de

elegir al titular de la información (FTC, 2013), aspectos que se estudiaran a fondo en el cuarto

capítulo de este trabajo.

En segundo lugar, porque como se verá la recolección de información en múltiples casos es

imperceptible y secreta, por ejemplo, recientemente se reportó que los televisores inteligentes

recopilan por defecto los hábitos televisivos de sus usuarios y los transfieren a empresas de

publicidad (Maheshwari, 2018), así mismo, la SIC ha sancionado a compañías por recolectar a

través de la red digital información personal sin solicitar consentimiento alguno o conservar las

copias de las autorizaciones como lo exige la Ley 1581 de 2012 (artículo 17 literal b) y el Decreto

1074 de 2015, así se aprecia en la Resolución 78899 de 2017 en la que se sanciona por esta razón

a la sociedad INVERSIONES CMR S.A.S27. Estas circunstancias también despiertan

cuestionamientos sobre la legalidad de la recolección de datos personales sin que su titular sea

consciente de ello.

La siguiente etapa de la cadena de valor es el almacenamiento a gran escala de datos, que se

realiza usualmente a través de bases de datos NoSQL, las cuales se caracterizan por tener una

27
En esta resolución la SIC documenta que la sociedad INVERSIONES CMR S.A.S recolectaba información de unas
cuatrocientas cincuenta mil personas, a través de sus servicios de página web, aplicaciones inteligentes y página de
Facebook; sin el cumplimiento de las reglas previstas en la Ley 1581 de 2012 relativas al principio de libertad del
tratamiento, especialmente lo referente a la obligación de conservar copia de la autorización dada por el titular para el
tratamiento, por lo que no tenía los medios de prueba conducentes para demostrar que efectivamente había solicitado
el consentimiento de los titulares de la información.

47
estructura distribuida, los datos se hallan en diferentes nodos, por lo que permiten que el

procesamiento de la información sea mucho más veloz (Camargo-Vega, Camargo-Ortega y

Joyanes-Aguilar, 2015). En este aspecto cobra especial importancia tecnologías como el Cloud

Computing que operan como una solución a los problemas de almacenamiento, permitiendo

almacenar y procesar grandes cantidades de información en internet o redes similares provenientes

de diferentes fuentes y bases de datos28.

Este eslabón también enfrenta varias dificultades jurídicas con relación al régimen colombiano

de hábeas data. En esta etapa es corriente que se asocie información proveniente de diferentes

bases de datos, esto contradice el principio de circulación restringida, pues de acuerdo con la Corte

Constitucional Colombiana a la luz de tal principio está “prohibida toda conducta tendiente al

cruce de datos entre las diferentes bases de información” (Sentencias C-748 de 2011 y T-987 de

2012), por lo que, sobre este aspecto existe una falta de correspondencia lógica entre el mandato

legal y uno de los caracteres distintivos del Big Data: el volumen (Cukier y Mayer-Schöenberger,

2013).

Así mismo, surge el interrogante sobre el tiempo en que la información personal debe ser

almacenada, el principio de limitación temporal exige un periodo razonable de almacenamiento a

la luz de las finalidades del tratamiento, en palabras de la SIC “el periodo de conservación de los

datos personales no debe exceder del necesario para alcanzar la necesidad con que se han

registrado” (Concepto 121139 de 2015); sin embargo los propósitos o usos que pueden dársele a

la información en el contexto del Big Data no pueden definirse ex ante, el asunto precisamente es

28
Mell y Grace (2011) definen el Cloud Computing “Un modelo para permitir el acceso ubicuo, conveniente y bajo
demanda de la red a un conjunto compartido de recursos informáticos configurables (por ejemplo, redes, servidores,
almacenamiento, aplicaciones y servicios) que se pueden aprovisionar y lanzar rápidamente con un esfuerzo de
administración mínimo (…)”. En tal sentido se afirma que existe una estrecha relación entre Cloud Computing y Big
Data, en la medida que el segundo requiere de tecnologías de almacenamiento distribuido para poder analizar grandes
cantidades de datos.

48
descubrirlos (Kitchin, 2014). En ese sentido, el tiempo de almacenamiento tampoco debería tener

ningún límite jurídico determinado, ya que esto impediría descubrir valores ocultos de la

información.

El almacenamiento de grandes cantidades de datos al interior de las compañías que prestan estos

servicios o explotan este eslabón de la cadena, también provocan un aumento del riesgo que

enfrentan las personas en sus derechos a la vida privada, reputación, buen nombre, entre otros; en

la medida en que de producirse una fuga de información el daño sería mayor dada la enorme

cantidad de aspectos que de su vida se datifican, por esto, en el contexto jurídico de los Estados

Unidos la presidenta de la FTC afirma que “grandes datos envuelven grandes responsabilidades”

(FTC, 2013).

Así, adoptar medidas de protección acordes con el principio de seguridad se convierte en una

tarea más compleja en este contexto tecnológico, a fortiori cuando la SIC ha exigido que las

medidas de seguridad sean proporcionales a: (i) la naturaleza jurídica responsable (su tamaño); (ii)

la naturaleza de los datos personales objeto de tratamiento; (iii) el tipo de tratamiento; (iv) los

riesgos potenciales del tratamiento (Resolución 61062 de 2018).

El último y más importante eslabón en la cadena de valor del Big Data es el análisis, que permite

extraer de una cantidad masiva de datos usos valiosos, correlaciones, recomendaciones,

predicciones y decisiones. Supriyadi (2017) expone que el análisis puede ser de tipo descriptivo,

diagnostico o prescriptivo.

El primero permite establecer correlaciones entre variables o fenómenos al explorar cómo es el

mundo y qué está pasando en el mismo. El segundo abre el paso a la explicación de las relaciones

que existen entre las variables, responde a porqué ocurren determinados eventos o fenómenos, a

través de este análisis “se pueden predecir eventos futuros desconocidos con base en las

49
correlaciones que se establecen entre determinados problemas” (Supriyadi, 2017, p.14);

finalmente a través del análisis prescriptivo, se emplean tecnologías como la Inteligencia Artificial

o el Machine-Learning para adoptar decisiones automatizadas, que esencialmente responden a

cuestiones como “qué debo hacer, cuál es el mejor resultado posible” (p.15).

El desarrollo de estos procesos de análisis es posible debido a la aplicación de diferentes

métodos analíticos especialmente de naturaleza estadística. Según Chen, Mao, y Liu (2014) el

análisis del Big Data envuelve métodos analíticos tradicionales29 y métodos propiamente

aplicables a los datos masivos30.

Entre los métodos de análisis más destacados está el Algoritmo de minería de datos o Machine-

Learning, que se refiere a un conjunto de heurísticas y cálculos que crea modelos a partir de datos

para extraer patrones o estadísticas no descubiertas, con los cuales elabora nuevos modelos y

descubre nuevos patrones, mejorando las predicciones que se realizan, a través de esta tecnología

es posible descubrir conocimientos y tomar decisiones inteligentes de forma automática (Chen y

Zhang, 2014).

Por otra parte, también se tiene como destacada metodología para examinar datos el análisis

visual, el cual implica el uso de técnicas con el fin de crear tablas, diagramas, imágenes, modelados

geométricos u otras formas de visualización para comprender los datos (Chen y Zhang, 2014),

29
Las formas tradicionales de análisis emplean métodos estadísticos para extraer valores ocultos de una gran cantidad
de datos, siendo utilizados tanto a nivel estatal para la elaboración de planes de desarrollo como a nivel empresarial y
académico, entre ellos están el análisis de grupos (agrupar objetos y clasificarlos de acuerdo a ciertas características),
análisis factorial (describe la relación entre múltiples elementos a través de un número menor de factores), análisis de
correlación (determina la magnitud de relación entre dos variables continuas, a través de funciones o correlaciones),
análisis de regresión (herramienta matemática para estimar la correlación entre una variable y muchas más) , Test A/B
(tecnología para determinar cómo los cambios en una variable incrementan un resultado determinado), análisis
estadístico (modelar la incertidumbre y la aleatoriedad por medio de una teoría de la probabilidad).
30
Los métodos analíticos propios de los datos masivos son entre otros: Bloom Filter (estructura de datos que se emplea
para probar que un elemento es miembro de un grupo), Hashing (transforma datos de entrada en una cadena de longitud
fija), Triel (estructura de datos tipo árbol que permite recuperar datos a través de búsquedas rápidas), redes neuronales
(resuelve problemas de regresión y clasificación), Parallel Computing (emplea múltiples recursos computacionales
con el objetivo de descomponer un problema complejo asignando procesos separados que son independiente
completados al mismo tiempo), así como el machine-learning y el análisis visual.

50
puede mencionarse como ejemplo el análisis geográfico o geovisualización que representa

información de tipo geográfica en mapas temáticos, diagramas de dispersión, diagramas de

coordenadas paralelas, líneas de tiempo, entre otros.

Estos métodos son empleados por algoritmos (como Apache Hadoop) que procesan los datos

en tiempo real u offline. Así, la analítica del Big Data sigue una lógica de espiral creciente de la

compresión, en tanto, reutiliza por lo general los datos asignándoles nuevos usos o nuevas

finalidades, dando lugar al descubrimiento de problemas antes desconocidos, en la medida en que

a través del aprendizaje computacional el algoritmo es capaz de identificar patrones que estaban

ocultos.

Esta característica en especial impide que pueda cumplirse con el principio de finalidad del

tratamiento, el cual demanda que desde el momento de la recolección se informe al titular de los

datos del propósito específico del tratamiento, estando prohibido emplear la información personal

para en usos distintos o que no guarden relación con el fin autorizado (Forgó, Hänold y Schütze,

2017). Bajo esta consideración normativa, que es uno de los pilares de la Ley 1581 de 2012, los

usos segundarios de la información están prohibidos, lo que deshace todo el proceso de generación

de valor del Big Data.

De lo anterior, se desprende que existe una contradicción lógica entre las etapas de la cadena

de valor del Big Data y el alcance jurídico de los principios de administración de datos personales

dentro del régimen jurídico colombiano. Esto como se señaló en el capítulo antecedente es

producto del cambio de paradigma en el análisis de la información31. Las compañías vinculadas al

31
Como lo exponen Cukier y Mayer-Schöenberger (2013) el cambio de paradigma se resume a tres cuestiones. En
primer lugar, porque se resuelve en gran medida los problemas de representatividad que se generaban al estudiar una
determinada muestra de la población, el uso intensivo de algoritmos permite que el análisis tenga la capacidad de
estudiar toda la población a costos que no son prohibitivos. En segundo lugar, se admite el análisis de datos no
organizados o estructurados aceptando que es probable que se produzcan pequeñas inexactitudes. Finalmente, el Big
Data enriquece la comprensión humana de la realidad al presentarle al ser humano correlaciones entre fenómenos que

51
proceso de generación de valor son agentes maximizadores que no van a renunciar a las ganancias

que pueden obtener (Cooter y Ulen, 2012), por aplicar en estricto sentido la normatividad en

protección de datos personales, lo que da lugar a estrategias corporativas con el fin de eludir la

aplicación del régimen de hábeas data.

En consecuencia, bajo el modelo de explotación masiva de datos el nivel de protección del

régimen colombiano de habeas data no es adecuado. De acuerdo con Remolina (2010) desde la

perspectiva de la comunidad europea el nivel adecuado de protección de datos depende de dos

factores, uno regulatorio, referido al reconocimiento de los principios de administración de datos

personales y a las obligaciones que se desprenden de ellos; el otro instrumental, relativo a la

efectividad de las normas de protección, que reconoce que sólo se contribuye a la protección del

individuo, si los principios son eficaces en la práctica.

Este segundo aspecto instrumental es el que está puesto en cuestión. Como se explicó en el

primer capítulo el Estado colombiano a través de la Ley estatutaria 1581 ajustó su ordenamiento

interno a las exigencias internacionales de protección de datos, cumpliendo con el requisito

regulatorio; sin embargo, la generación de valor a través del Big Data impide la aplicación efectiva

de tales principios, dado que estos no inciden en la configuración de los incentivos de las

compañías participes en la cadena de valor de forma favorable al habeas data.

2.1. Posiciones encontradas entre la ICO, la Casa Blanca y la doctrina extranjera

sobre la contradicción lógica entre el modelo de negocio del Big Data y los principios de

protección de datos personales:

no habían sido detectadas, estas correlaciones no revelan relaciones de causalidad entre los hechos, de tal manera que
se afirma que existe un paso de la “causalidad” a la “correlación”.

52
 La ICO (2017) de Reino Unido disiente de la conclusión anteriormente presentada, para esta

institución no existe ninguna incompatibilidad entre la lógica que sigue el Big Data y los principios

de administración de datos personales, que en lo esencial son iguales a los principios contenidos

en la legislación colombiana, una visión que promueva tal idea de incompatibilidad desconoce

para la comentada institución la flexibilidad inherente a tales principios. En criterio del ICO no es

dable afirmar que los principios no se ajustan a los desafíos del Big Data, por lo que deban ser

modificados. Contrario a lo afirmado por Mantelero (2014) no existe una crisis como consecuencia

de los cambios tecnológicos, que demande una modificación del paradigma normativo actual.

Para la institución británica la aplicación de los principios a las distintas etapas de la cadena de

valor requiere evaluar el impacto del procesamiento de los datos en el individuo y si es

proporcional a la finalidad u objetivo perseguido en un caso concreto. En tal sentido la exposición

que realiza de los principios de protección de datos está orientada a ajustarlos a la lógica del

modelo de negocio del Big Data, exigiendo en esencia que el tratamiento de los datos sea justo

sobre la base de una evaluación de impacto que deben realizar las organizaciones sin renunciar al

cumplimiento de los principios de finalidad y libertad.

La Casa Blanca (2015) de los Estados Unidos en un informe sobre la materia, no parece estar

tan acorde con esta posición, por el contrario expone que es problemático que los principios de

protección de datos se enfoquen especialmente en controlar la recolección y almacenamiento de

los datos, cuando el énfasis debería estar principalmente en los usos que se le dan a la información

personal, previniendo y sancionando usos indebidos o injustos de los datos personales. Posición

que también comparte el Foro Económico Mundial según Cate y Mayer- Schönberger (2013),

quienes reconocen la complejidad de determinar los usos justos de la información.

53
 En todo caso, la posición de la institución Británica no es desatinada. Los principios como bien

lo afirman Sanchís (1998) y Zagrebelsky (2005) son normas jurídicas de carácter abierto, que no

poseen un supuesto de hecho ni una consecuencia jurídica, en otras palabras, que no tienen la

estructura de una regla. Siguiendo a R. Dworkin (1989) un principio es un “estándar que ha de ser

observado (…)” en mayor o menor media como un mandato de optimización, “no porque

favorezca o asegure una situación económica, política o social que se considera deseable, sino

porque es una exigencia de la justicia, la equidad o alguna otra dimensión de la moralidad” (p.72).

Este estándar no le dice a las personas cómo deben actuar, cuestión que si hacen las reglas, sino

que proporcionan a los individuos humanos criterios para tomar posición ante situaciones

concretas, es decir que generan actitudes favorables o contrarias de apoyo o de disenso ante todo

lo que puede estar implicado en una situación concreta, por eso, su significado no es determinable

en abstracto, sino sólo frente a casos concretos en los que se podrá establecer su alcance

(Zagrebelsky, 2005). Esto significa que el alcance de los principios jurídicos puede ajustarse según

el contexto particular en que se apliquen.

Así, no hay necesidad de abandonar los principios de protección de datos personales como lo

expone el ICO (2017), sino que deben ajustarse o replantearse a la luz de las nuevas condiciones

tecnológicas, tesis que también privilegia la neutralidad tecnológica que debe caracterizar el orden

jurídico, esto es precisamente lo que ha hecho el Consejo de Europa al proferir “directrices sobre

la protección de las personas con respecto al procesamiento de datos personales en un mundo de

Big Data”, y el Parlamento Europeo al expedir el RGPD, disposiciones normativas que no

abandonan los principios de administración de datos. De donde se concluye, que el Estado

Colombiano no debe abandonar el régimen actual de protección de datos personales, sino

replantear el alcance de sus principios fundamentales a la luz de los desafíos del Big Data.

54
 En todo caso, es necesario reconocer en contraposición al criterio de la ICO que sí existe una

incompatibilidad entre el alcance jurídico que actualmente tienen los principios de administración

de datos y la lógica del Big Data. Ignorar este punto de partida, es desconocer una premisa

fundamental para comprender por qué las organizaciones privadas que se benefician de estas

tecnologías intentan evadir el cumplimiento de la normatividad, o en su defecto cumplirla de

manera insulsa como una formalidad destinada de antemano al fracaso. Incluso bajo la

flexibilización o replanteamiento de los principios es necesario cuestionarse sobre si los agentes

están dispuestos a asumir los costos de la regulación.

2.2. Agentes que se benefician de la cadena de valor del Big Data y naturaleza global

de la explotación masiva de datos:

El auge que tanto en la industria como en la academia ha ganado el Big Data desde el año 2008

obedece a ciertos discursos que lo sustentan sobre la base de la generación de valor social. Sin

embargo, estos discursos no son ajenos a la realidad, puesto que como lo informa la OCDE (2014)

los agentes que participan de la cadena de valor de los datos generan ingresos y ganancias

considerables producto de la explotación masiva de datos32: ¿quiénes son estos agentes?

32
Así por ejemplo las compañías de Internet generan aproximadamente un millón de dólares por cada persona
empleada para el año 2011, las de software alrededor de quinientos mil dólares y las de infraestructura digital dos
cientos mil dólares según la OCDE:
Gráfico 2. Ingreso promedio por empleado de las 250 compañías top en tecnologías de la información (OCDE, 2014)

55
 De acuerdo con la OCDE (2014) los agentes que participan del mercado del Big Data

conforman todo un ecosistema de negocio entorno a la cadena de valor, cada uno de estos ofrece

servicios que alimentan la actividad de los otros, se distinguen entre ellos los siguientes:

(i) Los proveedores de servicios de internet que proporcionan la columna vertebral del

negocio, resultan esenciales a lo largo de todos los eslabones de la cadena;

(ii) Los proveedores de infraestructuras informáticas, que ofrecen la herramientas para

la recolección de la información, los almacenes de datos, el área de stage y las aplicaciones

de procesamiento de datos;

(iii) Los proveedores de análisis de datos, quienes suministran el software necesario

para el análisis de la información incluido análisis visual y machine learning;

(iv) Los proveedores de datos que incluyen los titulares de los datos, el Estado,

corredores de datos, y las compañías propietarias de servicios de redes sociales y sistemas

interconectados de información, agentes que participan por ello en el eslabón de generación

de la información.

(v) Finalmente, las empresas que se benefician del análisis masivo, dispersas en

distintos sectores como el financiero, publicitario, científico, entre otros.

56
 Estos agentes operan de manera global, lo que significa que el mercado de datos no se

circunscribe al territorio de ningún Estado, sino que atraviesa las fronteras territoriales, como

efecto de la computación ubicua y el carácter global de los agentes que distribuyen sus recursos

alrededor del mundo. La información puede ser recolectada en un Estado, a través de tecnologías

o aplicaciones que funcionan en una nación distinta, y almacenada en bases de datos de un tercer

Estado, así los flujos de información que circulan en el internet no distinguen los límites

jurisdiccionales.

A la luz de estas circunstancias la definición del ámbito de competencia territorial de las

autoridades de protección de datos es una tarea compleja, al igual que la determinación de la

autoridad competente para conocer de los conflictos que se generan en la red con relación a la

violación de los derechos de las personas. La Declaración Conjunta sobre libertad de expresión e

internet del año 2011, al respecto dispone que “la competencia de causas vinculadas con

contenidos de internet debería corresponder exclusivamente a los Estados con los que tales causas

presenten los contactos más estrechos”, razón por la que las acciones judiciales sólo deberían

ejercerse en la jurisdicción en la que el interesado pueda demostrar un perjuicio sustancial: ¿Qué

jurisdicción sería esta?

El enforcement o ejecución de los principios de administración de datos en este contexto queda

en entre dicho, dada la globalidad del riesgo. Las autoridades nacionales de protección de datos

personales, como la SIC, se enfrentan el desafío de garantizar la autodeterminación informática de

las personas bajo su jurisdicción con relación a compañías que se encuentran fuera de ella en

ocasiones operando de manera oculta o secreta33. Este problema se agrava al considerar que no

33
Al revisar la base de datos de resoluciones sancionatorias proferidas por la SIC en ejercicio de las competencias que
le otorga la Ley 1581, se constata que los sujetos sancionados son personas jurídicas o naturales domiciliadas en el
espacio territorial del Estado Colombiano; no se han proferido resoluciones en contra de compañías domiciliadas en
el exterior o por operaciones que hayan tenido lugar por fuera de los límites territoriales del Estado.

57
existe un sistema unificado de protección de datos a nivel mundial, por lo que las organizaciones

pueden domiciliarse en foros con un régimen flexible o permisivo según les convenga.

La imposición de sanciones por la violación de los principios de protección de datos personales

en estas circunstancias puede resultar inútil o improbable, entre otras cosas, porque las medidas

jurídicas que se adopten no pueden alterar el flujo libre de información que circula a través de la

internet, en razón del principio de neutralidad de la red. En tanto que, este principio persigue la

libertad de acceso y elección de los usuarios de la red, de utilizar cualquier contenido o servicio

sin estar condicionados, direccionados o restringidos a través de bloqueo, filtración o interferencia,

salvo que sea estrictamente necesario y proporcional adoptar dichas medidas por razones de

seguridad, integridad, congestión de la red, o para prevenir la transmisión de contenidos no

deseados por expresa solicitud del usuario (CIDH, 2015; CIDH, 2013).

Gráfico 3. Agentes de mercado, cadena de valor y principios de administración de datos34.

3. Beneficios y riesgos del análisis masivo de datos:

34
Inspirado en un gráfico similar de la OCDE (2014), integrando nuevos elementos.

58
 Analizadas las etapas de la cadena de valor del Big Data a la luz de los principios jurídicos de

protección de datos personales, ahora se procederá a estudiar los beneficios y riesgos que se

derivan de esta tecnología, con el propósito de establecer que al reconsiderar el alcance normativo

de tales principios debe partirse de la premisa fundamental de reducir los perjuicios o riesgos, así

como incentivar la generación de beneficios sociales, económicos o de otra naturaleza; es decir

extraer el mayor provecho social posible.

3.1. Beneficios:

El modelo de explotación de datos no es valorativamente neutro argumenta Kitchin (2014)

siguiendo principalmente a Foucoult, de modo que no es ajeno a las relaciones de poder. Existe

una serie de discursos que promueven el desarrollo del análisis masivo de datos a instancias de los

beneficios que se pueden derivar a nivel estatal, empresarial, económico y comercial. El mercado

de datos no sólo despierta intereses económicos, sino políticos; es decir, todo un conjunto de

relaciones de poder que inciden directamente en el estado de la técnica y el conocimiento35.

En este punto es importante mencionar que desde el punto de vista del poder estatal, se afirma

que el Big Data mejoraría la administración pública y reduciría los gastos públicos a través de la

reducción de errores, fraudes y de la evasión fiscal (Kitchin, 2014).

El Estado emplea los métodos estadísticos para efectos de planificar el desarrollo de sus

territorios (Lane, Stodden, Bender, y Nissenbaum 2014). A través de las herramientas analíticas

propias del Big Data tendría una mayor rapidez y precisión al momento de determinar la forma en

que debe asignar sus recursos, alcanzaría mayores grados de eficiencia, tendría una mayor

35
Como el propio Foucoult (2003) lo afirma “poder y saber se implican directamente el uno al otro, no existe relación
de poder sin constitución correlativa de un campo de saber, ni de saber que no suponga y no constituya al mismo
tiempo relaciones de poder”(p. 28), y siguiendo a Nietzche dice el francés: “El conocimiento es simplemente el
resultado del juego, del enfrentamiento, de la unión, de la lucha y el compromiso entre los instintos”(1999, p. 176).

59
capacidad para desplegar políticas públicas efectivas fundadas en predicciones mucho más

acertadas36 (Kitchin, 2014).

Esta es una herramienta que puede dotar las decisiones estatales de un contenido coordinador

por la cantidad de información que puede procesar en cortos intervalos de tiempo, por ejemplo con

la epidemia del cólera en Haiti las autoridades de salud tuvieron la oportunidad de anticipar con

dos semanas cómo evolucionaría la propagación de la enfermedad a través de la minería de datos

extraídos de Tweets y noticias online (Chunara, Andrews y Brownstein, 2012).

Por otro lado, el Estado podría fortalecer la seguridad pública y la persecución de los delitos

dado que los algoritmos de minería permiten reforzar la vigilancia, predecir crímenes y actos de

terrorismo en tiempo real. Wigan y Clarke (2013) exponen que varios Estados, entre ellos

Australia, Dinamarca, Finlandia, Malasia han promovido la imposición de esquemas de

integración de bases de datos para fortalecer la vigilancia masiva, de igual modo varios Estados

han adoptado políticas públicas orientadas a la explotación de datos, según se señala en la siguiente

tabla:

Tabla 4. Estados con políticas de explotación de datos masivos.

Estados Objetivos Transversales de las Políticas. Referencia al

Hábeas Data
en la Política.
Australia Aprovechamiento de datos por agencias Si
(DFD, 2013) gubernamentales.
Corea del Sur Derecho a
(GRK, 2016) Privacidad
Colombia Promover innovación y crecimiento económico. Si
(DNP, 2018)
China Derecho a
(UNDP, 2014) Privacidad
Estados Unidos Aumentar la productividad del sector público. Derecho a
(BDSSG, 2016) Privacidad

36
En países como Brasil se han implementado propuestas orientadas a este fin, tratando de convertir a ciudades como
Rio de Janerio en “ciudades o espacios inteligentes” para atender problemas como el tráfico o el crimen (Singer, 2012).

60
 Japón Si
(PMJ, 2013)
Francia Extraer conocimiento y valor de los datos que No
(PRME, 2013) generan las distintas instituciones públicas.
Reino Unido Si
(MCOPM, 2017)
Unión Europea Unificar los datos gubernamentales y promover su Si
(CE, 2013) apertura.

Desde la perspectiva del poder económico, las empresas pueden emplear el análisis de datos

masivos para mejorar su administración, satisfacer a sus clientes en mayor medida, ganar

participación en el mercado empleando estrategias de marketing dirigido, gestionar de manera

eficiente la relación con sus proveedores. Brynjolfsson (2011) reporta que la adopción de sistemas

de toma de decisión basada en datos masivos incrementa la productividad de la empresa entre un

cinco y seis por ciento en relación con los modelos tradicionales de manejo de la información.

A su vez Gil (2013) señala que con este nuevo conocimiento las empresas se hacen a una

importante ventaja competitiva, al ser capaces de innovar en productos y servicios, descubriendo

oportunidades de negocio no explotadas aún. La citada autora señala varios casos como el de los

supermercados Waltmart que emplea el análisis de datos masivos para comprender los hábitos de

sus consumidores, establecer patrones de compra de acuerdo con la temporada climática y

personalizar el marketing dirigido a sus consumidores para añadir valor a su experiencia.

Burrows y Savage (2014) explican como la información relativa a las transacciones o

intercambios, puede facilitar el ajuste entre oferta y demanda; al punto de permitirle al oferente

descubrir el precio de reserva de un determinado mercado, maximizando consecuentemente sus

ganancias, de esta manera lo hacen cadenas de venta como Amazon.

Por su parte, Raghupathi y Raghupathi (2014) han descrito como en investigación médica se

han evaluado enormes cantidades de datos con el propósito de implementar nuevos tratamientos,

61
descubrir efectos adversos de medicamentos, analizar los patrones en que se propagan epidemias,

agilizar la creación de vacunas, prevenir crisis de salud pública, determinar el riesgo de

determinados pacientes de contraer alguna enfermedad y enriquecer el perfil médico del paciente.

Van Dijck (2014) expone que los defensores del Big Data han visto en esta forma de análisis

de la información la panacea que trajo la sociedad de la información, ignorando dificultades,

limitaciones o problemáticas de esta tecnología. El análisis masivo de datos ha significado una

remarcada tolerancia a que el Estado, el sector empresarial y académico acceda fácilmente a los

datos personales como consecuencia de la asimilación de una ideología de la datificación

(datification)37, que como explica Neil Cukier y Mayer-Schöenberger (2013) consiste en la

transformación de los diversos aspectos de la acción humana en datos cuantitativos que están en

línea, para efectos de permitir análisis predictivos y descriptivos del comportamiento humano, así

como la vigilancia y rastreo de los individuos.

3.2. Riesgos o externalidades negativas del Big Data: desafío para el regulador

colombiano:

Visto que las personas aceptan de forma casi acrítica el intercambio de datos por los beneficios

que obtienen de los distintos servicios digitales a los que acceden, existe una confianza en las

instituciones sociales vinculadas con la cadena de valor del Big Data, especialmente en que

37
De acuerdo con Van Dijck, J. (2014) los fundamentos ontológicos y epistemológicos de la datificación son dos: (i)
la creencia en la objetividad de la cuantificación de la acción humana, y (ii) la asunción que los datos datos personales
son materia prima para el descubrimiento de valores ocultos; premisas que admiten varios cuestionamientos. En
primer lugar, los datos recolectados no necesariamente son objetivos, las fuentes de información del Big Data generan
una gran cantidad de datos relativos a la amistad, la popularidad, los gustos, que son todo menos objetivos, se refieren
a aspectos humanos enteramente subjetivos, que no son analizables de la misma manera que los fenómenos físicos,
dado que no son cuantificables (por ejemplo en cuanto prefiere una persona más un tipo de relación que otra). En
segundo lugar, el autor se cuestiona que los datos brutos tengan valores ocultos en sí mismos considerados, por el
contrario el valor que se les puede extraer depende de la visión política, empresarial o académica que se le imprima a
los métodos de análisis de la información, lo que envuelve previamente el planteamiento de un problema, canalizador
de todo el esfuerzo en el proceso analítico; así si el objetivo es prevenir eventos de terrorismos, el análisis algorítmico
de los datos será orientado por parámetros consecuentes.

62
actuaran conservando su independencia, cierta creencia que el Estado regulará de manera eficiente

para resolver las dificultades que se presenten y que las empresas emplearán el análisis de datos

masivos respetando la privacidad y la protección de los datos personales (Van Dijck, 2014).

Los individuos construyen idearios equivocados, porque esta confianza es frecuentemente

defraudada, así se evidencia a nivel internacional con los casos de Cambrigde Analytica relativo a

la venta de información personal de redes sociales para fines políticos (BBC mundo, 2018), o el

escándalo Wikileaks de Eduard Snowden con relación a la información personal que obtenía la

Agencia Nacional de Seguridad de los Estados Unidos con la colaboración de compañías

propietarias de redes sociales y motores de búsqueda (Munir, Yasin, Hajar, y Muhammad-Sukki,

2015).

La justificación de los programas de vigilancia, rastreo y desarrollo de perfiles se centra en que

los algoritmos no analizan realmente la información personal que se recoge a través de la red

digital (datos primarios), sino los metadatos que se producen, por lo que supuestamente la

privacidad y autodeterminación informática de las personas está enteramente asegurada (Richards

y King, 2014).

Sin embargo los algoritmos de minería a partir de tales metadatos son capaces de inferir o

predecir aspectos de la vida privada de los individuos (Richards y King, 2014), de este modo como

lo argumenta Sipriyadi (2017) a la luz de estas circunstancias es difícil determinar la línea divisoria

entre los datos que son personales y los que no lo son, lo que constituye un problema capital en la

aplicación del régimen normativo de datos personales, como se expondrá en el siguiente capítulo.

Estas circunstancias que minan la confianza en las instituciones y en el análisis de datos, lo que

exige en los términos de Richards y King (2014) analizar “el potencial del Big Data de manera

63
más crítica” (p.2), razón por la cual estos señalan tres paradojas en relación con este nuevo

paradigma.

Primero, el Big Data promete un mundo con mayor transparencia, en términos de reducción de

asimetrías de información, sin embargo la recolección de datos, los criterios de análisis de la

información, y los criterios para la analítica predictiva son desconocidos, en algunas ocasiones

incomprensibles, ocultos o protegidos por normas relativas a la propiedad intelectual (como el

secreto empresarial).

Segundo, el Big Data busca identificar a grupos e individuos, en el sentido de revelar el perfil

de las personas o de grupos de estas, sus gustos, costumbres, hábitos de consumo, condiciones

médicas, planes criminales o terroristas y demás; sin embargo precisamente por ello amenaza el

derecho a la identidad, a no ser molestado en su persona y a decidir libremente sobre la forma de

vida que se prefiera, valores constitucionales relevantes protegidos por la Constitución Política de

1991.

Tercero, el Big Data pretende empoderar al ser humano, al permitirle comprender el mundo de

mejor manera, empero, termina empoderando aquellas instituciones que cuentan con los medios

necesarios para emplear estos métodos de análisis, los Estados y grandes compañías terminan

ganando a costa de individuos que son “minados, analizados y ordenados” (Richards y King, 2014,

p.5).

De esta manera, se puede afirmar que el empleo de datos masivos genera externalidades

negativas que afectan la privacidad y protección de los datos personales. Kshetri, N. (2014)

realizando un análisis con fundamento en las características de los datos masivos referidas al

principio, señala que el Big Data permite predecir datos de carácter sensible sobre las personas

como su identidad de género, orientación sexual, adicciones, problemas de familia, problemas de

64
salud física o mental, aspectos de los cuales las empresas pueden sacar ventajas; de modo que los

caracteres distintivos de esta tecnología ponen en riesgo las prácticas deseables en materia de

protección de datos personales.

Gil (2013) denomina estas externalidades negativas como riesgos, distinguiendo dos riesgos

concretos. El primero es caer en conclusiones erróneas no revisadas, cuando se analiza una gran

cantidad de datos existen altas probabilidades de “encontrar relaciones ilusorias sin ninguna

significación real, aunque ambas presenten una fuerte relación estadística” (error por azar)

(p.34). Por otro lado, introducir una enorme cantidad de variables de manera acrítica y automática

a los cálculos, puede producir de manera aleatoria relaciones entre variables que en realidad no

existen (error por confusión).

Este tipo de errores puede llevar a conclusiones equivocadas que fundamenten decisiones

políticas o empresariales, con una consecuente pérdida de beneficios o bienestar general. Lo que

envuelve un desconocimiento directo del principio jurídico de veracidad o calidad de los datos,

que puede conducir a la afectación de los derechos o intereses de los sujetos involucrados en los

procesos de decisión.

A manera de ejemplo, en Maryland (Estados Unidos) al emplearse el análisis masivo de datos

por parte de autoridades policiales, se calificó erróneamente a cincuenta y tres activistas de paz y

derechos humanos como terroristas por las características particulares del grupo; esta predicción

se compartió con otras bases de datos federales, sin informar si quiera a los titulares de la

información (Gray y Citrón, 2013). La cuestión es que este tipo de errores bajo el paradigma actual

son cada vez más aceptables, como si fuese un mal necesario (Cukier y Mayer-Schöenberger,

2013).

65
 El segundo riesgo se refiere a las decisiones automatizadas sin intervención humana, que se

toman con relación a personas y afectan sus intereses (comerciales, financieros, familiares,

laborales, entre otros), a través de procesos de análisis prescriptivo, esto implica según Gil (2013)

que “la investigación básica y la intuición básica están siendo usurpadas por formulas

algorítmicas” (p.41). Además estas decisiones se toman sin motivación más allá del diseño

algorítmico que sustenta el proceso analítico, por lo que, no se exponen las razones justificativas

u objetivas de la decisión, es decir, aquellas que justifican una determinada forma de actuar o de

dirigirse para mostrar la legitimidad o corrección de una acción o decisión (Roca, 2004), en otras

palabras la argumentación es suprimida del proceso de decisión.

Este aspecto envuelve varias dificultades jurídicas. En primer lugar, no es clara la posición de

la legislación colombiana sobre la legalidad de la toma de decisiones automatizadas que afecten

intereses o derechos de las personas, en tanto que la Corte Constitucional en sentencias C-748 de

2011 y T-987 de 2012, dispone que no es posible “generar efectos jurídicos adversos frente a los

titulares, con base, únicamente en la información contenida en una base de datos”, lo que excluiría

la aplicación de un algoritmo que tome decisiones sobre la base de información que resida en bases

masivas de datos, siempre que fuesen adversas.

Por otro lado, estas decisiones tienen lugar de forma oculta o en su defecto sin revelar los

criterios que la orientan. La tarea de exponer los criterios que emplea el algoritmo para decidir no

es sencilla, estos siguen la lógica de los lenguajes de programación, difícilmente expresables en

términos comunes, que elaboran modelos matemáticos para descubrir patrones impredecibles, con

los cuales se fundamenta la decisión (Gil, 2013; Rubinstein, 2012; Crawford y Schultz, 2014).

Por ende, existe un problema evidente para cumplir con el principio de transparencia del

tratamiento de los datos, pues según la Corte Constitucional Colombiana, este envuelve la

66
obligación de ofrecer al interesado información cualificada acerca del tratamiento, que le permita

comprender su alcance con facilidad (Sentencia C-748 de 2011)

Ante este riesgo transversal a los distintos Estados se han tomado medidas normativas en el

régimen jurídico de la Comunidad Europea de Naciones, por lo que, el reglamento general europeo

en su artículo 22 consagra el derecho del titular de los datos a no ser objeto de una decisión que

produzca efectos jurídicos con relación a sus intereses basada únicamente en el tratamiento

automatizado de datos, salvo que: (i) la decisión sea necesaria para la celebración o ejecución de

un contrato, (ii) esté autorizada expresamente por disposición legal; (iii) o se base en el

consentimiento explícito del interesado.

En el primer y tercer caso permitido el responsable del tratamiento debe garantizar la

intervención humana, de forma que el titular pueda expresar su punto de vista e impugnar la

decisión, esta disposición jurídica se aproxima a la propuesta de Crawford y Schultz (2014), que

proponen un modelo de regulación del Big Data, que abandone la aproximación desde el punto de

vista del hábeas data, y por el contrario atienda la problemática desde el derecho al debido proceso,

reconociendo un derecho al debido proceso en la toma de decisiones automatizadas.

En consecuencia, sobre estos riesgos particulares es necesario que la legislación y la

jurisprudencia colombiana se pronuncien, para efectos de prevenir que las personas sean afectadas

por decisiones arbitrarias. Las instituciones públicas deberán esclarecer su posición acerca la toma

de decisiones automatizadas con efectos frente a los derechos o intereses de individuos

particulares, así como respecto a las operaciones tendientes a predecir datos personales o sensibles

con fines políticos o económicos, como ya lo han hecho instituciones en el ámbito normativo

europeo y anglosajón, adoptando para ello la aproximación jurídica que consideren más

conveniente.

67
 Conclusiones:

El Big Data promete grandes beneficios socialmente aceptados y deseables, sin embargo la

datificación de la vida en general hace que las personas hayan perdido de cierta forma la conciencia

sobre los riesgos que envuelve el análisis masivo de datos en relación con sus derechos

fundamentales. Este hecho es aprovechado por las compañías que participan de la cadena de valor

de los datos para maximizar sus beneficios, aunque ello implique la proliferación de las

externalidades negativas que asumen los titulares de la información.

Los riesgos o externalidades negativas del empleo de esta tecnología, así como las actividades

que se desarrollan en los distintos eslabones de la cadena de valor, evidencian la contradicción

existente entre la lógica del modelo de negocio de los datos masivos y el alcance jurídico de los

principios de administración de datos. Por lo que, existe una dificultad estructural en la aplicación

del régimen colombiano de habeas data al contexto tecnológico emergente, lo que demuestra que

no existe desde la perspectiva instrumental y regulatoria un nivel de protección adecuado para

atender los desafíos que plantea el Big Data.

El actual régimen normativo genera incentivos en las organizaciones participes de la cadena de

valor para emplear estrategias corporativas que buscan precisamente evadir su aplicación, por

razón de los costos regulatorios; y promueve de forma no intencionada la concentración del poder

informático en un número reducido de organizaciones, en detrimento del control que jurídicamente

se reconoce al titular de la información sobre sus datos.

Por eso, en los próximos dos capítulos se exponen las principales estrategias corporativas

resaltadas por la literatura jurídica que se utilizan para tales efectos, en uno de ellos se abordará

los límites en el ámbito de aplicación material de la normatividad en protección de datos, y en el

otro se analizarán concretamente los principios de finalidad y libertad del tratamiento de datos. La

68
conclusión sea como sea es que la solución jurídica adecuada debe limitar la externalidades

negativas, sin dejar de promover la generación de beneficios sociales, ajustando a los desafíos

tecnológicos los principios de protección de datos dado su carácter abierto.

Capítulo III

Aplicación de las normas de protección de datos personales al Big Data: oxímoron.

“Lo
mejor
es
el
 poder
 ilimitado, la
 tiranía.
 Éste
 es, dice
 Trasímaco, el
 orden
 justo


desde el
punto
de
vista
de
los
fuertes”

Rüdiger Safranski

69
 De acuerdo con las características del Big Data este envuelve el almacenamiento y análisis de

datos a gran escala, Mayer-Scönberger y Cukier (2013) exponen que todas las señales indican que

la recopilación, almacenaje y reutilización de la información personal a través de las distintas

fuentes de datos tiende a ser cada vez mayor, a efectos de realizar predicciones con mayor exactitud

acerca de las personas para favorecer intereses empresariales o políticos.

Por lo que se genera una relación de poder entre las instituciones que explotan los datos (sean

sociedades comerciales, partidos políticos, entidades públicas u otros) y los individuos, que

termina por afectar los derechos de estos al convertirlos en potenciales víctimas de una “dictadura

de los datos”, contexto en el que según la FTC (2012) de los Estados Unidos las empresas pueden

acumular grandes cantidades de información personal para propósitos que las personas no esperan

o no entienden.

El tratamiento a escala masiva de datos, como lo señala Ohm (2012) ha dado rienda suelta a

una carrera descarnada entre empresas por convertir lo antes posible los secretos e información de

las personas en dinero, razón por la que se han creado bases de datos masivas que describen

distintos aspectos de la vida humana alimentadas por redes sociales, transacciones electrónicas, el

IoT y otras fuentes.

La economía de los datos siguiendo a Ohm (2012) tal vez ya alcanzó el punto de generar bases

de datos tan grandes como para asociar a cada individuo con al menos un secreto bien guardado

acerca de su condición médica, familiar o preferencias personales, y seguramente no está lejos de

generar una base de datos única y masiva, que este autor denomina “base de datos de ruina”. La

cuestión estriba en sí las operaciones que se desarrollan en el análisis de datos masivos están (o

deben estar) sujetas al ámbito de aplicación a las normas de protección de datos personales para

proteger a los individuos que se encuentran en desventaja.

70
 Se explorará esta problemática en lo que sigue, explicando en primer lugar las dificultades en

definir el ámbito de aplicación del régimen colombiano de protección de datos personales, y en

segundo lugar algunos de los modelos de solución que se han elaborado a nivel internacional a fin

de dar con una respuesta a la crisis del actual sistema normativo de protección del hábeas data.

1. Ámbito de validez de la Ley 1581 de 2012 y dificultades en su aplicación en la era

del Big Data:

En Colombia, el ámbito de aplicación del régimen de protección de datos personales, Ley 1581

de 2012, aparece definido en su artículo 2, que en el inciso primero confirma el modelo

centralizado o general que adopta la Ley, en el segundo dispone que la Ley aplicará al tratamiento

de datos personales efectuado en el territorio colombiano o cuando en virtud de normas

internacionales sea aplicable a responsables o encargados no establecidos en el territorio nacional;

y el tercer inciso establece las bases de datos exceptuadas del ámbito de validez material de la Ley,

que en todo caso deben respetar los principios de administración de datos de conformidad con el

“principio de la proporcionalidad del establecimiento de excepciones” (Romolina, 2013, p.224).

A propósito de la aplicación de la citada Ley al entorno digital Márquez (2016) expone que el

criterio neural es que se “ejerza actividades de tratamiento de datos personales en el territorio

colombiano, dentro de los cuales efectivamente se encuentra la recolección de datos” (p. 28). En

este sentido la legislación es aplicable cuando cualquiera de las operaciones desarrolladas a los

largo de la cadena de valor del Big Data: (i) verse sobre datos personales, y (ii) sea desarrollada

en el territorio colombiano.

Por lo que, de cumplirse estas condiciones las actividades desarrolladas se enmarcarían en la

definición de tratamiento, a saber toda operación o conjunto de operaciones que se realicen sobre

71
los datos personales que incluyen recolección, almacenamiento, uso, circulación o supresión

(artículo 3 literal g. de la Ley 1581 de 2012).

Márquez (2016) además precisa que: “en el marco de protección de la ley estatutaria de

protección de datos, no existe diferenciación entre tratamiento mediante mecanismos informáticos

y manuales” (p.14). En ese sentido, aunque las operaciones se realicen en la red digital, el régimen

debe aplicarse indistintamente de esta situación, siempre que se cumplan las condiciones arriba

precisadas.

Al respecto, debe subrayarse que no toda la información procesada a través del análisis de datos

masivos se trata de datos personales, en la medida que también se procesan datos impersonales,

como por ejemplo datos operacionales, metadatos, y datos anonimizados, según se expuso en el

primer capítulo.

Fuster y Scherrer (2016) en relación con las normas de protección de datos personales de la

comunidad europea de naciones enseñan que su aplicabilidad está condicionada a que los datos

sean calificados como personales. Esta condición también es necesaria en el Estado Colombiano

como se desprende del artículo 2 de la Ley 1581, puesto que de acuerdo con esta disposición

normativa el objeto de protección del derecho fundamental de hábeas data son los datos personales.

Los datos personales constituyen la información relativa a una persona física determinada o

determinable (Puldain Salvador, 2017). Estos datos se caracterizan de acuerdo con la sentencia T-

729 de 2002 de la Corte Constitucional Colombiana por estar referidos a aspectos propios de una

persona natural, permitir identificar a la persona en mayor o menor medida gracias a la visión de

conjunto que se logre de los mismos, ser de propiedad exclusiva del titular a pesar de la obtención

del dato personal por parte de un tercero de manera lícita o ilícita, y estar sujetos a una serie de

principios para efectos de su tratamiento.

72
 Estos se clasifican de acuerdo con su grado de confidencialidad en públicos, semiprivados,

privados y sensibles (Sentencia T-058 de 2015), son privados aquellos que por su naturaleza íntima

o reservada sólo interesan al titular, como por ejemplo las historias clínicas y los libros del

comerciante; sensibles los datos relacionados con aspectos íntimos de la persona que pueden dar

lugar a situaciones de discriminación, como la orientación sexual, religión, filiación política, raza,

entre otros; el dato semiprivado es aquel que puede interesar no solo al titular sino a cierto grupo

de personas (como lo es el dato crediticio o financiero); y finalmente el dato público es aquel que

no se acopla a ninguna de las características anteriores, por lo que no se requiere autorización para

su tratamiento por regla general, verbigracia el estado civil de las personas, Márquez (2016)

sintetiza esta clasificación de manera precisa.

Cada una de estas categorías de datos tanto en el contexto Colombiano, como Europeo da lugar

a la aplicación de reglas diferentes, así el tratamiento de datos sensibles está prohibido salvo

determinadas excepciones legales38; los datos privados y semiprivados requieren del

consentimiento del titular para proceder con su tratamiento salvo las circunstancias que legalmente

excluyen la autorización, y es necesaria autorización previa para poder acceder a ellos39.

Para, Fuster y Scherrer (2016) es importante asegurar que no se evada el cumplimiento de las

normas de protección del habeas data cuando el tratamiento de datos se encuentre dentro de su

ámbito de aplicación, bajo la simple afirmación que los datos procesados no son personales, lo que

38
Excepciones como lo son la autorización expresa del titular, interés vital del titular, tratamiento para fines internos
de organizaciones sin ánimo de lucro, tratamiento en procesos judiciales, tratamiento con fines históricos, estadísticos
o científicos, al respecto consúltese el artículo 6 de la Ley 1581, y 9 del RGPD.
39
La Ley 1581 de 2012 dispone en su artículo 10 los casos en que no es necesaria la autorización, entre los cuales
incluye: a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por
orden judicial; b) Datos de naturaleza pública; c) Casos de urgencia médica o sanitaria; d) Tratamiento de información
autorizado por la ley para fines históricos, estadísticos o científicos; e) Datos relacionados con el Registro Civil de las
Personas. Circunstancias sintetizadas también en el artículo 9 del RGPD.

73
sugiere que se debe demostrar que efectivamente las operaciones realizadas no versan sobre

información personal.

Esta apreciación cobra sentido dado que existe una estrategia corporativa por parte de las

compañías online, consistente en excusarse de la responsabilidad relativa a la protección de datos

personales, señalando que en su actividad estas no recopilan datos personales y que los

seguimientos que realizan a los usuarios se sujetan a políticas de privacidad consentidas por estos,

de modo que supuestamente no están generando riesgos sobre la privacidad y el hábeas data de las

personas, así lo documenta el Wall Street Journal (Angwin y McGinty, 2010) y la propia FTC

(Schwartz y Solove, 2011).

Sin embargo, esta estrategia corporativa tiene una razón de ser. La sujeción en estricto sentido

al régimen de protección de datos personales significaría que las compañías no podrían realizar

operaciones de análisis masivo de datos o en su defecto que se verían compelidas a asumir altos

costos de transacción para obtener continuas autorizaciones de tratamiento por parte de los titulares

de los datos, dado que la normatividad así lo exige para realizar operaciones con fines distintos a

los que motivaron la recolección de la información (ver artículo 3 de la Ley 1581, y artículo 6

numeral 4 del Reglamento Europeo).

La aplicación de esta disposición normativa significa interrumpir la cadena de generación de

valor, en tanto que, esta se fundamenta en extraer beneficios del uso segundario de datos, es decir,

reutilizar bases de datos para nuevos propósitos, con el fin de identificar nuevos patrones de

información o conocimientos, que resultan ser desconocidos o inesperados (Kitchin, 2014).

De igual manera, de aceptar la aplicación del régimen de protección de datos las compañías se

someterían a la costosa tarea de discernir entre las reglas aplicables a las distintas categorías de

datos que se recolectan masivamente, y que como se explicará pierden sus líneas distintivas en el

74
contexto del Big Data. Existe por ende, una evidente contradicción entre el estado actual de la

protección de datos y la lógica económica que siguen las compañías que participan de la cadena

de valor del Big Data (Zarsky, 2016). ¿Qué hacer al respecto?

1.1. La anonimización como respuesta tradicional a la tensión entre el habeas data y

la generación de valor:

La respuesta tradicional ante circunstancias que pueden afectar el hábeas data y la privacidad

de la personas sin restringir los beneficios que produce la libre circulación de la información, ha

sido optar por anonimizar los datos personales, con el propósito de dejarlos por fuera del ámbito

de aplicación de las normas de protección, salvaguardando simultáneamente la privacidad y

autodeterminación informática (Daries et al, 2016).

Consecuentemente desde una aproximación estática a este proceso de anonimización el

responsable del tratamiento puede darse por desentendido de sus obligaciones respecto del

conjunto de datos que han sido anonimizados, puesto que la información identificadora de carácter

personal (PII expresión frecuentemente utilizada en el derecho de los Estados Unidos40) ha sido

removida (Stalla-Bourdillon y Knight, 2016), lo que significa que las operaciones no versan más

sobre datos personales.

Ohm (2010) hace referencia a esta aproximación como el modelo de públicación-y-olvido de la

información, en el derecho de los Estados Unidos se hace referencia a tal modelo a través de la

expresión “de-identification”, así se constata en varias normas como el Health Insurance

Portability and Accountability Act de 1996, en el ámbito Europeo se prefiere la expresión que se

ha empleado de “anonimización”.

40
Este concepto PII, por sus siglas en ingles ““personally identifiable information” equivale a datos personales, así se
desprende del análisis realizado sobre este concepto por Narayanan, A., & Shmatikov, V. (2010)

75
 En Colombia no existe en el régimen de protección de datos personales referencia directa a este

concepto, sin embargo la Ley 79 de 1993 relativa a Censos de Población y Vivienda en su artículo

5 indirectamente se refiere a él, al decir que “los datos suministrados al Departamento

Administrativo Nacional de Estadística (…), no podrán darse a conocer (…) sino únicamente en

resúmenes numéricos, que no hagan posible deducir de ellos información alguna de carácter

individual”. Partiendo de este fundamento normativo el DANE (2014) estudió de manera expresa

la temática de la anonimización aunque circunscribiéndola a la reserva estadística al expedir los

“lineamientos para la anonimización de microdatos”.

De similar manera, ocurre con la Ley 1266 de 2008 que en su artículo 3 dispone que “los datos

impersonales no se sujetan al régimen de protección de datos de la presente ley”, no existe

disposición similar en la Ley 1581, empero, por sustracción de materia se comprende que los datos

que han sido anonimizados no se encuentran dentro de su ámbito de aplicación por tratarse de

datos que no son personales, al no referirse a una persona determinada o determinable, de acuerdo

con los artículos 2 y 3 de esta Ley41.

Esta interpretación es consecuente con el RGPD y la Directiva 95/46/CE, que en su

considerando 26 dispone que los principios de protección de datos no son aplicables a la

información anónima, que no guarda relación con una persona física identificada o indentificable,

ni a los datos convertidos en anónimos de forma que el interesado no sea identificable.

Ahora bien, en el contexto europeo existen dificultades para establecer jurídicamente cuándo

los datos pueden ser considerados anónimos, el GT29 en su dictamen 05 de 2014 relativo a las

técnicas de anonimización señala que para que los datos se conviertan en anónimos el riesgo de

41
La SIC (2016) se ha referido a la anonimización de datos de manera tangencial en algunos documentos y
resoluciones como la Guía de Protección de Datos Personales en Sistemas de Video-vigilancia, sin embargo no ha
abordado en profundidad la temática presentando por ejemplo una guía sobre las técnicas de anonimización que mejor
garanticen la autodeterminación informática y la forma cómo pueden favorecer la protección de datos personales.

76
re-identificación directa o indirecta de los individuos debe ser igual a cero (anonimización

absoluta), de modo que el proceso de convertir los datos personales en anónimos debe ser

irreversible.

En consecuencia, para el GT29 es “crucial entender que cuando un controlador de datos no

elimina los datos originales (identificables)… y entrega parte de estos datos (después de haber

eliminado los datos identificables), la información resultante aún es personal”, esto significa que,

para que los datos queden por fuera del ámbito de aplicación del régimen de protección de datos

personales, la información original que se sometió al proceso de anonimización debe ser eliminada

de acuerdo con el criterio de este organismo.

No obstante, de acuerdo con la jurisprudencia del Tribunal de Justicia Europea en el caso C-

553/07 (College van burgemeester en wethouders van Rotterdam contra M.E.E. Rijkeboer) el

responsable del tratamiento de datos debe garantizar al titular de los datos los derechos de acceso

a la información de conformidad con el artículo 13 del RGPD y de la anterior Directiva,

conservando los datos personales que haya recolectado.

Así la interpretación del Tribunal impide alcanzar el nivel de anonimización exigido por el

Grupo de Trabajo. Esta tensión interpretativa fue aparentemente resuelta por el artículo 11 del

Reglamento europeo, que señala que una vez no sean identificables los sujetos dentro de una base

de datos, el responsable no será obligado a mantener o tratar información adicional con la finalidad

de garantizar los derechos de acceso a la información del titular, salvo que el titular facilite esa

información al ejercerlos.

En todo caso, el Reglamento no resuelve los problemas de coherencia del dictamen del GT29,

con mayor razón, cuando en el actual contexto del Big Data es imposible alcanzar un grado de

77
anonimización absoluta, puesto que las técnicas de anonimización siempre envuelven algún riesgo

de reidentificación como el propio dictamen lo reconoce (El Emam y Álvarez, 2015).

Adicionalmente, las dificultades técnicas y económicas que envuelve anonimizar cantidades

masivas de datos impiden alcanzar el nivel de perfección exigido, pues este es un proceso

generalmente lento y costoso (Zhang, Leckie, Dou, Chen, Kotagiri, y Salcic, 2016), dado que

implica dividir esas grandes cantidades de datos en pequeños grupos, para proceder a convertirlos

en anónimos, y luego combinarlos nuevamente procurando la menor pérdida posible de

información según lo expone Canbay, y Sağıroğlu (2017), quienes proponen un modelo técnico a

fin de lidiar con esta problema de escalabilidad de los datos.

En el Estado colombiano la normatividad guarda silencio en cuanto al umbral de anonimización

exigido, lo que demuestra el poco interés del regulador y las entidades de control respecto de una

temática neural en la explotación de datos como el propio Documento CONPES 3920 lo advierte:

“el aprovechamiento de datos para la generación de valor social y económico(…) se refiere a

aquellos datos que cumplen las condiciones jurídicas para ser empleados(…) como por ejemplo

los datos impersonales, anonimizados, agregados” (DNP, 2018, p.11).

Si eventualmente se desarrollará normativamente es recomendable a la luz de estas

consideraciones evitar exigir a las compañías que participen de la cadena de valor de los datos un

grado de anonimización absoluta, tampoco demandar la destrucción de los datos originalmente

recolectados a efectos de garantizar la eficacia del artículo 8 de la Ley 1581 (derechos del titular

del dato). Por el contrario, debe adoptarse una aproximación basada en el riesgo de re-

identificación o “risk-based approach” que exija un riesgo aceptable de re-identificación (Stalla-

Bourdillon y Knight, 2016), tomando en cuenta las experiencias de Estados que están adelantados

en esta materia.

78
 Por ejemplo, la ICO de Reino Unido adoptando esta aproximación señala que el Responsable

del tratamiento no puede darse sencillamente por desentendido de sus obligaciones una vez

convierta los datos en anónimos, sino que debe realizar revisiones periódicas de su política de

publicación de datos y de las técnicas de anonimización que ha empleado basándose en actuales o

futuras amenazas, separándose de este modo del modelo de publicación-y-olvido de la

información.

El GT29 en el citado dictamen expone que:

“una solución de anonimización efectiva previene a todas las partes de singularizar a

un individuo de un conjunto de datos, vincular por lo menos dos datos pertenecientes a un

mismo sujeto o grupo de sujetos en el mismo fichero o en ficheros diferentes, e inferir

información de tal conjunto de datos”.

Por lo tanto, para establecer el riesgo de reidentificación de una determinada base datos

sometida a una o varias de las técnicas de anonimización, se emplea un test consistente en analizar

las siguientes propiedades del conjunto de datos: (i) capacidad de singularizar a un individuo, (ii)

capacidad de asociación de individuos o grupos de individuos, (iii) capacidad de inferencia de

datos personales (Gil, 2016; Sanz, 2016). A través del estudio de estos criterios es posible

establecer si los individuos a los que se refieren los datos anonimizados siguen siendo

razonablemente identificables, de modo que si así ocurre los datos no escapan al ámbito de

aplicación del régimen de protección de datos personales.

Empleando el test, el Grupo de Trabajo establece que las distintas técnicas existentes para

anonimizar datos tienen deficiencias, por lo que no protegen ciento por ciento el hábeas data del

titular de los datos como se sintetiza en la Tabla 5, el dictamen concluye de manera similar a la

posición esbozada del ICO, señalando que las buenas prácticas de anonimización no pueden

79
fundarse en el modelo de publicación-y-olvido que cree ciegamente en la imbatibilidad de los datos

anónimos.

Los responsables del tratamiento deben: (i) identificar nuevos riegos y evaluar los riesgos

residuales luego de aplicar las técnicas, (ii) evaluar si los controles establecidos para estos riesgos

son suficientes, y finalmente, (iii) monitorear y controlar los riesgos. Sanz (2016) señala al respecto

que es necesario combinar las técnicas “para asegurar la completa disociación en un proyecto de

Big Data” (p. 20), la mejor metodología para convertir en anónimos los datos dependerá de las

circunstancias concretas del proyecto de Big Data que adelante la empresa o entidad pública.

1.1.1. Crítica al test de reidentificación propuesto por el GT29.

El test de análisis del riesgo propuesto por el Grupo de Trabajo tampoco está exento de

dificultades en el contexto tecnológico del Big Data. En primer lugar, el análisis masivo de datos

se caracteriza por emplear de manera intensiva algoritmos con el fin de extraer la mayor utilidad

posible de los datos descubriendo conocimientos ocultos (Hueso, 2017).

Sin embargo, la investigación de Brickell, y Shmatikov (2008) demostró que por más o menos

efectiva que sea la técnica de anonimización que se aplique, se genera una destrucción casi

completa de la utilidad de la minería de datos, medida en términos de precisión de los algoritmos.

En tal sentido al reducirse el riesgo de reidentificación de la información se genera una consecuente

pérdida de valor del análisis masivo de datos.

A través de las técnicas de anonimización se transforma una base de datos X en otra X´ de

menos calidad, puesto que se reduce la utilidad de los datos generándose una pérdida de

información en el proceso, esta pérdida de información puede ser representada en la función f(X,

X´) equivalente a la divergencia (f(X), f(X´)), que evalúa la distancia entre las funciones de las

bases de datos original y anonimizada (Torra y Navarro-Arribas, 2016).

80
 El test de re-identificación propuesto por el GT29 favorece las técnicas que generan una mayor

divergencia entre ambas funciones por ser más efectivas al impedir la singularización, asociación

e inferencia de información personal (Gil, 2016). En contraste, los esfuerzos investigativos en este

campo se centran en desarrollar técnicas que reduzcan tanto los riesgos de reidentificación como

la pérdida de información o utilidad trazando una expectativa de f(X, X´) igual a cero (Torra y

Navarro-Arribas, 2016).

No obstante, Ohm (2010) plantea que entre la efectividad de la técnica y la utilidad de los datos

existe una relación indirecta, subrayando que de acuerdo con los resultados de la investigación de

Brickell, y Shmatikov (2008) “pequeños aumentos en la utilidad generan grandes reducciones de

la efectividad, y pequeños aumentos en la efectividad de la técnica generan grandes pérdidas de

utilidad”42 (p.1755), razón por la cual incluso las más sofisticadas técnicas de anonimización son

apenas mejor que la supresión definitiva de la totalidad de los datos.

De manera que, no importa lo que haga el responsable de los datos para anonimizarlos, un

adversario con la adecuada información adicional puede aprovechar la utilidad residual de los

datos para descubrir más información o reidentificar a los titulares, por ello, no habrá anonimidad

perfecta mientras las bases de datos sigan siendo útiles según la perspectiva de Ohm (2010). En

consecuencia, la anonimización que promueve implícitamente el régimen colombiano de

protección de datos y directamente la normatividad de la comunidad europea está en abierta

contradicción a la explotación de la utilidad de los datos.

Estas evidencias permiten concluir al respecto que: (i) el regulador no debe imponer un método

de anonimización determinado, debido a que el estado de la técnica está en continuo progreso hacia

42
La expresión original que emplea Ohm (2010) no es efectividad de la técnica de anonimización sino privacidad,
dispone el citado autor: “Small increases in utility are matched by even bigger decreases in privacy, and small
increases in privacy cause large decreasesv in utility”. A efectos de ajustar la expresión “privacidad” al c.ontexto bajo
análisis se utiliza “efectividad de la técnica” que no altera el sentido de la explicación de Ohm.

81
soluciones que concilien esta compleja relación entre anonimidad y utilidad, por lo que en este

aspecto debe seguirse el principio de neutralidad tecnológica, el cual “garantiza que las normas

perduren en el tiempo” sin que cambien “por cuestiones tecnológicas o por quedar obsoletas”

(Remolina, 2014, p.9; Espinosa, 2008); (ii) el test de reidentificación y la normativa en protección

de datos no tiene en cuenta la utilidad de los datos como un factor relevante a analizar, razón por

la que termina privilegiando técnicas de anonimización “más efectivas” en términos de reducción

de la capacidad de singularización, asociación e inferencia.

82
 Tabla 5. Técnicas de anonimización, características y riesgos de reidentificación según el GT29
Técnica Concepto/Caracterización Riesgo de Riesgo de Riesgo de
Singularizac Asociación. Inferencia.
ión.
Seudoanimización Reemplazar un atributo de un conjunto de datos por otro (el SI SI SI
nombre por un número aleatorio, p.ej.). La persona sigue siendo
identificable, razón por la cual no constituye una técnica real de
anonimización (Gil, 2016).
Adición de ruido Pertenece a la familia de la randomización (técnicas que alteran la SI Posiblemente Posiblemente
veracidad de los datos para eliminar la fuerte asociación entre los no no
datos y el individuo). Es modificar los datos de modo que sean
menos precisos, manteniendo su distribución general (Gil, 2016;
Domingo-Ferrer, Sebé, Castella-Roca 2004)
Permutación Pertenece a la familia de la randomización. Es intercambiar SI SI Posiblemente
atributos de los individuos, para que queden ligados a otros sujetos no
(Gil, 2016; Canbay, y Sağıroğlu, 2017)
Agregación y K- Pertenecen a las técnicas de generalización. Estas técnicas tienen NO SI SI
anonymity como propósito evitar que el sujeto sea individualizado, al
agruparlo con K otros individuos, para esto se generalizan los
valores de los atributos (Sweeney, 2002).
L-diversity Pertenece a las técnicas de generalización. Tiene como objetivo NO SI Posiblemente
garantizar que los ataques de inferencia no sean posibles, no
asegurando que cada atributo tenga por lo menos L diferentes
valores, limita la aparición de clases de equivalencia con un
atributo de pobre variabilidad (Li, Li y Venkatasubramanian,
2007).
Privacidad Pertenece a las técnicas de randomización. Consiste en que el Posiblemente Posiblemente Posiblemente
Diferencial Responsable del tratamiento agrega el nivel de ruido necesario (ex no no no
post) a los datos de acuerdo con la complejidad de la secuencia de
consultas que se realicen, para garantizar la privacidad y el habeas
data, aclarando que los datos originales no son modificados
(Dwork, 2008).

83
 Consecuentemente, las disposiciones jurídicas tanto del régimen colombiano como europeo no

propician un entorno legal tecnológicamente neutro, por el contrario las compañías se ven

compelidas a adoptar técnicas de anonimización gradualmente más severas, so pena de caer dentro

del ámbito de validez de las normas de protección de datos personales. Esto genera lo que en la

presente investigación se denominó la paradoja de la utilidad: anonimizar para maximizar la

utilidad de los datos al evitar la aplicación del régimen de protección de datos, resulta en una

pérdida de utilidad.

Grafico. 4. Utilidad de los datos vs anonimización43

Por otro lado, de acuerdo con El Emam y Álvarez (2015) el test de reidentificación considera

como aspectos negativos la capacidad de asociación e inferencia de las bases de datos, de manera

que a fines de proteger el habeas data y la privacidad de los titulares el Responsable del

Tratamiento debe eliminar o reducir a su mínima expresión estas características.

43
Este gráfico que exhibe la relación indirecta entre utilidad y efectividad de las técnicas de anonimización, se elaboró
con fundamento en los datos de la investigación experimental realizada por Brickell y Shmatikov (2008) sobre dos
bases de datos del sector salud; consúltese esta investigación para efectos de juzgar la justificación matemática
pertinente.

84
 Sin embargo, el Big Data se caracteriza por el volumen de información con que opera, lo que

envuelve la asociación de los datos pertenecientes a distintas bases de datos con el propósito de

mejorar la cantidad y cualidad de la información (Torra y Navarro-Arribas, 2016).

Esta propiedad optimiza los resultados de determinados tipos de investigación como los

estudios longitudinales, que sólo pueden desarrollarse cuando datos dispersos en diferentes bases

de datos pueden asociarse a un mismo individuo como lo reconoce el ICO de Reino Unido, lo cual

es sumamente útil al desarrollarse investigaciones demográficas o médicas, por ejemplo para

describir la evolución médica de un paciente o realizar predicciones sobre enfermedades (Gil,

2016).

De la misma manera el análisis masivo de datos a través del machine learning y la minería de

datos aprovecha el uso segundario de los datos, para establecer correlaciones e inferencias que

revelen nuevos conocimientos, este es uno de sus caracteres esenciales que genera las mayores

expectativas en la ciencia y la industria.

Por lo tanto, el comentado test propicia la desaparición o destrucción del eslabón más

importante en la cadena de valor del Big Data, a saber el proceso analítico, puesto que genera

incentivos para evitar la asociación e inferencia de datos. Al respecto, Gil (2016) así como El

Emam y Álvarez (2015) sostienen que los modelos de anonimización no deben impedir estas

operaciones, que los procesos de inferencia realmente no representan un riesgo al hábeas data,

dado que las inferencias no necesariamente versan sobre datos personales, sin embargo esta

posición también es criticable.

En todo caso, ante las razones presentadas la conclusión es fulminante: debe renunciarse a toda

pretensión de aplicar este test a efectos de determinar la aplicación del régimen de protección de

datos personales, aspecto que debe tener en cuenta la autoridad nacional de protección de datos.

85
 1.2. La crisis de la anonimización y del concepto de datos personales:

El problema con relación al proceso de anonimizar datos se agrava en la medida en que

importantes investigaciones en este campo como las del profesor Ohm (2010), Schwartz y Solove

(2011) reconocen que la anonimización es un dios que ha muerto, puesto que en la era del Big

Data la ciencia de la reidentificación ha demostrado que este proceso de convertir los datos

personales en anónimos puede ser fácilmente revertido (Floridi, 2014; Supriyadi, 2016).

Por ello, Rubinstein (2012) afirma que el Big Dada desafía los fundamentos de la protección de

datos personales al permitir que a través del uso intensivo de algoritmos se reidentifiquen datos

personales utilizando datos impersonales, “lo que debilita la anonimización como estrategia

efectiva, generando dudas sobre la distinción fundamental entre datos personales y aquellos que

no lo son” (p. 4). Al respecto existen varios casos documentados por la academia.

Por ejemplo, Narayanan y Shmativo (2009) demostraron que era posible inferir datos sensibles

de los usuarios de redes sociales (Twitter y Flirck) a través del análisis de los gráficos de amistad,

siendo posible des-anonimizar de forma exitosa la información de miles de usuarios. En el año

2006 los periodistas Michael Barbaro y Tom Zeller del New York Times al analizar las búsquedas

en internet realizadas en el motor de búsquedas AOL, que fueron publicadas por esta compañía

“debidamente anonimizadas”, descubrieron patrones únicos de búsqueda que les permitió

reidentificar a Thelma Arnold (mujer viuda de 62 años).

En ese mismo año la compañía Netflix Inc. lanzo el Premio Netflix, para el que logrará mejorar

el sistema de recomendación de películas, por lo que público los registros anonimizados de

500.000 usuarios, con esta información otro estudio de Narayanan y Shmativo (2008) demostró

que con la calificación de cuatro películas era posible identificar en el 84% de los casos quién era

el usuario, así como deducir datos relativos a la orientación sexual, política, entre otros.

86
 Es plenamente plausible que los datos procesados por las empresas no se constituyan en

información personal de acuerdo con su caracterización legal, en la medida en que no pueden

vincularse a una persona identificada o identificable, sin embargo a través de las técnicas analíticas

propias del Big Data y el procesamiento de grandes cantidades de datos no estructurados, es posible

establecer correlaciones entre los datos y una persona en particular (Fuster y Scherrer, 2016), por

lo que los citados autores afirman que es necesario tomar en serio la capacidades del Big Data.

Este aspecto genera mayores complicaciones en la aplicación de la normatividad, dado que

como lo señalan Ohm y Peppet (2016) las técnicas de inferencia pueden terminar con la

racionalidad subyacente a la distinción entre datos personales e impersonales, así como la

clasificación jurídica de los datos personales (datos sensibles, privados, semiprivados y públicos),

al permitir que los analistas de datos infirieran datos protegidos por la normatividad de aquellos

que no lo están.

La incidencia jurídica de esta situación no es menor. La fácil reidentificación en la era del Big

Data genera que la Ley 1581 de 2012 en su ámbito de aplicación sea demasiado amplia,

esencialmente ilimitada, en la medida en que esta define datos personales como “cualquier

información vinculada o que pueda asociarse a una o varias personas naturales determinadas o

determinables” o dicho de otra manera “identificadas o identificables” de acuerdo con la expresión

que emplea RGPD de la Unión Europea, también utilizada por la Corte Constitucional Colombiana

en sentencias T-414 de 1992, T-486 de 1992, entre otras.

Al adoptar la expresión “determinable” o “identificable” la cantidad de datos que pueden caer

en el ámbito de aplicación es astronómica, puesto que con la ciencia de la reidentificación la

persona se hace fácilmente identificable a través de datos que nunca se hubieren concebido como

personales (Schwartz y Solove, 2011), como el patrón de búsquedas que se realice en un motor de

87
búsqueda, la dirección IP, la calificación que se asigna a una película en Netflix, la cantidad de

interacciones de un usuario en una red social, entre otros.

Por esta razón, Ohm (2010) refiriéndose concretamente a la Directiva 95/46/CE, en la cual se

inspiró la actual Ley Estatutaria de Protección de Datos, señala que a medida que “la ciencia de

la reidentificación avanza, amplía la Directiva de la Unión Europea como un gas ideal para

adaptarse a la forma de su contenedor” (p. 1741). De la misma manera, se expande la citada Ley

colombiana, con implicaciones trágicas como convertirse prácticamente en inaplicable, porque

tendría que aplicarse a cualesquier tipo de datos, así como reducir al absurdo el reconocimiento

jurisprudencial que afirma la propiedad de los datos personales en cabeza del titular, puesto que

con los avances de la ciencia de la reidentificación en la era del Big Data esto significaría que el

titular del dato es titular de todos los datos.

Al expedirse el RGPD de la Unión Europea que derogó la comentada Directiva, está

problemática ya había sido identificada, sin embargo, no se aplicó ninguna solución consecuente.

La solución paradójicamente significó ampliar el ámbito de aplicación de la normatividad como

lo expone Engan (2017), puesto que el considerando número 26 de este documento legal dispone

que para determinar si una persona es identificable “deben tenerse en cuenta todos los medios

(…) que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona

para identificar directa o indirectamente a la persona física”, de forma que incluso si una

determinada organización responsable del tratamiento no cuenta con tales medios para

reidentificar a la persona, pero otra sí, la información es personal.

Esta interpretación parece estar respaldada por la jurisprudencia del Tribunal de Justicia

Europeo, que en relación que las direcciones IP en el caso c-70/10 (Scarlet Extended SA v Société

belge des auteurs, compositeurs et éditeurs SCRL) señaló que son datos de carácter personal,

88
cuando la recolección e identificación de tales direcciones son realizadas por el proveedor de

acceso a internet, puesto que este cuenta con la información adicional necesaria para identificar

concretamente a los usuarios.

Además, en el caso c-582/14 (Patrick Breyer v Bundesrepublik Deutschland) aclaró también

con relación a este tipo de información que “para que un dato pueda ser calificado de «dato

personal» (…) no es necesario que toda la información que permita identificar al interesado deba

encontrarse en poder de una sola persona”, de tal modo que aunque el responsable no contaba en

este caso con la información para reidentificar a los usuarios, “con la ayuda de otras personas, a

saber, la autoridad competente y el proveedor de acceso a Internet” si dispone de los medios

necesarios para ello. Esta posición es la misma que ha esbozado el GT29 en su dictamen 04 de

2007.

En consecuencia, Engan (2017) concluye que en el contexto tecnológico del Big Data toda la

información generada por una persona en línea es personal, a fortiori cuando “las personas físicas

pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones,

herramientas y protocolos, como direcciones IP, identificadores de sesión en forma de cookies u

otros identificadores(…)”, por lo que dejan rastros digitales que pueden ser utilizados para elaborar

perfiles de estas e identificarlas (Considerando número 30 del Reglamento).

No obstante, otros autores como Tene y Polonetsky (2012) disienten de esta conclusión, sin

desconocer que bajo las actuales condiciones tecnológicas es compleja la determinación de

aquellos datos que son personales.

Con todo, la ampliación del ámbito de aplicación de las reglas de protección de datos personales

produce cierto grado de injusticia puesto que, las organizaciones deben aplicar los principios de

administración de datos cuando manejen datos considerados como “identidicables”, por ejemplo

89
el IP o los historiales de búsqueda de los usuarios en internet, incluso cuando bajo las

circunstancias concretas en que se encuentren no tengan los medios o la información adicional

necesaria para reidentificar a las personas en sus bases de datos; lo que genera incentivos

precisamente para evadir el cumplimiento de las obligaciones derivadas del régimen de protección

de datos personales (Schwartz y Solove, 2011; Crawford y Schultz, 2013).

Por esta razón, en la industria del análisis masivo de datos ha perdido relevancia la categoría de

datos personales. El Wall Street Journal reporta que las empresas emplean software para elaborar

perfiles de sus clientes, en los que se suprimen los datos considerados como personales, aunque

contienen una gran riqueza de detalles sobre cada individuo, que les permite dirigir de forma

personalizada publicidad, bienes o servicios online (Angwin, 2010).

Directivos de Facebook dicen que ellos presentan publicidad basada en la identidad de los

usuarios, sin que esto signifique que estos sean identificables o determinables; ingenieros de

Google afirman que ellos no recolectan datos identificadores como el nombre de las personas, de

hecho para ellos “el nombre es ruido”; así mismo, otras empresas vinculadas a la industria de

explotación de datos aseveran que “Lo bello de lo que hacemos es que no sabemos quién eres (…)

no queremos saber el nombre de nadie. No queremos saber nada reconocible de ellos. Todo lo

que queremos es tener una serie de atributos asociados a los usuarios” (citadas en Barocas y

Nissenbaum, 2014).

No es vano afirmar que esta situación ha puesto en crisis el paradigma actual de protección de

los datos personales, puesto que como lo afirma Turow (2012) “si una compañía sabe 100 datos

sobre mí, en el entorno digital, y esto afecta como me trata en el mundo digital, qué diferencia hay

en que sepa o no mi nombre?”. El poder informático no requiere de la recolección directa de datos

personales para ejercerse efectivamente contra las libertades e intereses del individuo, es capaz de

90
rastrear su actividad online, para llegar a conocer o predecir los aspectos más íntimos de su vida

privada, sin que el usuario haya suministrado ninguno de esos datos (Barocas y Nissenbaum,

2014), la protección de datos personales se torna así en insulsa e inútil frente a la realidad digital.

La crisis se extiende a las distintas categorías normativas de datos personales. Las empresas o

instituciones pueden inferir categorías especiales de datos como los sensibles de aquellos que no

lo son, por ejemplo la cadena de supermercados Target a través del análisis de los hábitos de

compra de sus clientes dedujo condiciones de salud de sus clientes como el estado de embarazo de

estos (Hill, 2012).

El Big Data de manera inadvertida propicia el paso de una categoría de datos a otra, cada una

de las cuales implica la aplicación de reglas diferentes, por lo que, la disponibilidad de este tipo de

análisis algorítmico socava las distinciones entre los diferentes tipos de datos consagrados en el

régimen de protección de datos personales (Zarsky, 2016).

Por ello, según Zarsky (2016) atender a la clasificación de datos personales genera: (i) costos

regulatorios extensos o innecesarios tanto para los operadores jurídicos como los destinatarios de

la norma al tratar de determinar la naturaleza de un determinado dato; (ii) incertidumbre sustancial

sobre el cumplimiento de las reglas particularmente aplicables a cada categoría, que impedirá a

nuevas firmas incursionar en el análisis masivo de datos, especialmente aquellas que sean

pequeñas por la dificultad de sufragar costosas asesorías legales.

Por esto, en últimas el objetivo de aplicar un tratamiento diferenciado dependiendo del grado

de confidencialidad de la información, esta llamado al fracaso, dado que el Big Data diluye las

características distintivas de cada tipo de dato personal.

2. Algunos modelos de solución frente a la crisis:

2.1. El abandono del concepto de “datos personales”:

91
 Ohm (2010), Crawford y Schultz (2014) recomiendan abandonar una aproximación al problema

basada en un modelo normativo general o centralizado fundando en el concepto de datos

personales o PII en el contexto del derecho de los Estados Unidos. Ohm (2010) propone en su

lugar que la regulación no sea ni enteramente general (como ocurre en el modelo europeo) ni

exclusivamente sectorial (como ocurre en los Estados Unidos); por su parte, Crawford y Schultz

(2014) plantean un modelo de regulación fundado en el derecho a un debido proceso en el análisis

masivo de datos.

En consideración del primer autor es necesario que existan tanto unos deberes mínimos para

todos aquellos que operen con datos, como unas reglas que se ajusten a contextos particulares,

dirigidas especialmente a aquellas compañías que manejan una cantidad masiva de datos, por lo

que representan un mayor riesgo para la autodeterminación informática de las personas, que

justifica exigirles un deber reforzado de cuidado.

En ese sentido, para evaluar los riesgos a la autodeterminación informática dentro de un

determinado contexto sugiere la aplicación de un test que debe seguir el regulador para dar con

medidas normativas efectivas. El test envuelve el análisis de una serie de factores como el grado

de publicidad de los datos, las medidas técnicas de seguridad que se han adoptado, la finalidad con

que la información es procesada, el grado de confianza esperada, y la cantidad de datos manejados,

que permiten establecer el nivel de riesgo. Así la intervención normativa estaría dirigida a controlar

la actividad de los agentes directamente responsables del riesgo, una visión más justa.

2.2. Aproximación basada en el riesgo para una aplicación gradual de la normatividad:

Schwartz y Solove (2011), Tene y Polonetsky (2012) no están de acuerdo con remover el

concepto de datos personales o PII del contexto normativo, plantean en su lugar ciertos ajustes

para salvar el paradigma actual.

92
 Schwartz y Solove (2011) aunque aceptan la amplitud del concepto de datos persones desde la

definición tautológica, disienten en que esto implique que todos los datos generados por una

persona deban considerarse como personales, para determinar si el sujeto es identificable a la luz

de un conjunto de datos es necesario analizar el contexto. En consecuencia, “las determinaciones

abstractas sobre que una información dada es un dato personal son insuficientes, dado que la

capacidad de ser identificable depende del contexto” (p. 1847).

Esta interpretación no es alejada de la posición de la Corte Constitucional Colombiana, que

resalta la importancia del contexto o la “visión de conjunto” al momento de determinar la

naturaleza del dato, al afirmar que un dato personal permite “identificar a la persona, en mayor o

menor medida, gracias a la visión de conjunto que se logre de los mismo y con otros datos”

(Sentencia T-058 de 2015).

Para desarrollar tal análisis contextual Tene y Polonetsky (2012) adoptan nuevamente la

aproximación basada en el riesgo, aunque con parámetros diferentes a los presentados por el GT29,

estos sugieren definir los datos personales con base en una matriz del riesgo opuesta a la

“dicotomía entre datos identificables y no-identificable”. La identificabilidad de los datos debe ser

vista como un continuum, por lo que, la aplicación de las reglas de protección de los datos debe

ser gradual según el costo de identificación, en cuanto este sea bajo o nulo debe aplicarse en su

totalidad los principios de administración de datos personales, y al aumentar los costos las reglas

deben flexibilizarse progresivamente.

Schwartz y Solove (2011) exponen cómo funcionaría una aplicación gradual de los principios

de administración de datos según el riesgo de identificación, para estos es necesario distinguir la

información relativa a un sujeto identificado, indentificable, y no-identificable, puesto que,

contrario a lo que ocurre bajo el actual sistema de protección de datos personales, cada una de estas

93
categorías debe recibir un tratamiento jurídico diferente con el fin de generar incentivos que

propicien el cumplimiento de las obligaciones legales en instituciones públicas y privadas.

De este modo, los principios de administración de datos, sin excepción alguna, deben aplicarse

a aquellos datos de sujetos identificados; frente a la información de personas identificables, que

crece de manera extraordinaria en el contexto del Big Data, sólo deben aplicarse los principios de

seguridad, transparencia y calidad de los datos para prevenir vulneraciones al derecho del habeas

data sin perturbar la libre circulación de los datos y la generación de beneficios; finalmente,

respecto de aquellos datos que se refieran a sujetos no identificables no es necesaria la aplicación

de estos principios. En todo caso los responsables deberán adoptar sistemas de monitoreo de la

información para detectar cambios en el nivel de riesgo.

Por ende, este modelo normativo incentiva a los responsables del tratamiento a mantener los

datos en el menor grado de identificabilidad, para lograr la maximización de sus beneficios,

reduciendo los costos de implementar la regulación de datos personales. Sin embargo, la solución

de Schwartz y Solove, olvida que como lo advirtieron Ohm y Peppet (2015) que el Big Data

permite el paso inadvertido de una categoría de datos a otra: ¿Qué hacer en estas circunstancias?

2.3. El test de probabilidad razonable del RGPDP:

Supriyadi (2016) adopta una aproximación similar para analizar el contexto, fundándose en el

comentado considerando 26 del RGPD, expone que para establecer si una información se refiere

a un sujeto identificable debe realizarse el test de probabilidad razonable, en el que primero se

analiza la legalidad de una potencial identificación del sujeto, para posteriormente analizar los

siguientes criterios objetivos: (i) el costo de la identificación del titular de los datos, (ii) el tiempo

que tomará, (iii)la tecnología disponible para tal propósito.

94
 En caso de ser razonablemente baja la probabilidad de identificación del sujeto se excluye la

aplicación del régimen de protección porque los datos estarían por fuera del concepto de

identificabilidad, esta es la misma aproximación que adopta el Consejo de Europa en las

denominadas Directrices sobre protección de individuos con relación al procesamiento de datos

personales en el mundo del Big Data, en las que se propone de igual forma analizar los señalados

criterios objetivos para establecer el riesgo de reidentificación.

Sin embargo, Supriyadi no se apara del criterio del Tribunal de Justicia Europeo, por lo que en

su propio concepto la categoría de datos personales sigue siendo muy amplia, en tanto que el test

no sólo analiza las circunstancias concretas del responsable, sino de otros agentes que “pueden

llegar a colaborarle” (Caso C-582/14). El test tampoco implica una aplicación gradual de los

principios de administración de datos conforme al crecimiento o reducción de la probabilidad, y

finalmente requiere que se compruebe la legalidad de la identificación.

2.4. La posición de la FTC de los Estados Unidos:

La FTC (2012) sintetiza varios aspectos comentados, al considerar en su reporte “Protecting

Consumer Privacy in an Era of Rapid Change” que para efectos de determinar si los sujetos no

son razonablemente identificables dentro de una determinada base de datos es necesario tener en

cuenta la intención y compromisos de las organizaciones o compañías que están vinculadas a la

explotación de datos.

Por esto, según esta institución los datos quedaran por fuera del ámbito de aplicación del

régimen de habeas data siempre y cuando: (i) no sean razonablemente identificables, (ii) la

compañía se comprometa públicamente a evitar cualquier acción dirigida a reidentificar los

titulares de los datos, (iii) la compañía requiera a cualesquier usuarios de sus bases de dato que se

95
comprometan igualmente mantener la información en la anonimidad o bajo formatos no

identificables.

La cuestión estriba como se vio que las empresas fraguan todo tipo de estrategias para evitar a

toda costa la aplicación de las normas de protección de datos personales, si bien la empresa se

puede comprometer a no identificar al individuo más por beneficio propio que por convicción, ¿de

qué vale? si no tiene necesidad de esto para ejercer su poder informático según lo dicho por el

citado Turow (2014).

Conclusiones:

De análisis realizado se desprende que el concepto jurídico de datos personales consagrado en

la Ley 1581 de 2012, como en los sistemas normativos de protección extranjeros, especialmente

el Europeo, ha entrado en crisis ante el contexto tecnológico del análisis masivo de datos y la

aparición de la ciencia de la reidentificación; puesto que, bajo la calificación de información

identificable o determinable, la cantidad de datos que pueden considerarse como personales

aumenta astronómicamente, al punto de llegar al absurdo de afirmar que toda la información digital

que produce la actividad de una personas en la red debe considerarse protegida bajo el régimen

normativo de habeas data. Situación que deja sin efectos útiles al régimen normativo frente a las

mayores fuentes de riesgo: los barones de datos.

El Consejo Nacional de Política Económica y Social en el Documento CONPES 3920 reconoce

al Big Data como un sector económico que merece promoverse y explotarse con políticas públicas

consecuentes, por ello, recomienda el financiamiento de proyectos empresariales que tengan como

propósito la explotación de los beneficios del mercado de datos masivos, así se lo señala la

recomendación 9:

96
 “Solicitar al Ministerio de Comercio, Industria y Turismo, a través de la Unidad de

Gestión de Crecimiento Empresarial -iNNpulsa Colombia de la Fiduciaria de Comercio

Exterior S.A proponer una estrategia de negocios que estimule la creación de nuevas

empresas, o nuevas líneas de negocio en las existentes, orientada a incentivar el

aprovechamiento de datos y la analítica, para su consolidación transversal en el aparato

productivo, fortaleciendo especialmente a los emprendedores en la materia” (DNP, 2018,

95).

Sin embargo, es evidente la indeterminación e inseguridad jurídica que enfrentaran estas nuevas

empresas, en lo que respecta a la aplicación del régimen colombiano de protección de datos

personales, lo que significará la asunción de mayores costos regulatorios para efectos de garantizar

la protección efectiva del derecho fundamental al habeas data, a través de la debida aplicación de

las reglas que protegen los distintos tipos de datos personales.

La cuestión radica en que los proyectos empresariales que se impulsen inevitablemente se

verán compelidos a respetar las reglas de la Ley 1581, ante la expansión de su ámbito normativo;

y por ende a tomar las distintas medidas de seguridad y protección que ha desarrollado la autoridad

nacional de protección de datos, a través de la “Guía de Implementación para el Principio de

Responsabilidad Demostrada”, que envuelve varios ajustes dentro de la estructura organizacional

de la empresa; o en su defecto emplear técnicas de anonimización severas tratando de evadir el

ámbito de validez material de la Ley cada vez mayor, con la perdida de utilidad que ello implica

en el proceso analítico. Este contexto normativo no genera los mejores incentivos para promover

el cumplimiento del régimen de protección del hábeas data en estas empresas.

Ahora bien, es necesario retomar una consideración planteada en los capítulos anteriores

siguiendo al profesor Mantelero (2014): el poder informático en el contexto tecnológico actual no

97
está democratizado, sólo un número reducido de compañías cuentan con el capital humano, la

tecnología y una escala masiva de datos acumulados, para adquirir nuevos conocimientos que

signifiquen la generación de ganancias a través del Big Data.

Este hecho ha sido reconocido por la OCDE (2014), al decir que las compañías al adquirir bases

de datos masivas, aumentan el riesgo de la aparición de un poder monopólico en el mercado de

datos. Lo que implica que las nuevas compañías que se inicien en virtud de la comentada política

pública, entran a competir en un mercado de datos global con agentes mucho más preparados o

con un desempeño superior, que sacan provecho del estado actual de la normatividad de protección

de datos personales para conservar su posición de dominio.

A diferencia de los empresarios que recién inician en este mercado, los barones de datos son

agentes que pueden evadir con mayor facilidad la aplicación de las reglas de protección de datos

personales, en tanto, cuentan con los recursos necesarios para asumir los costos de aplicar las

técnicas de anonimización de la información o de rastrear la actividad online de los usuarios, sin

necesidad de recopilar datos considerados como personales. Además, estas mismas compañías

tienen los medios necesarios para reidentificar a los titulares de la información que han

recolectado, dada la propiedad que detentan sobre las bases de datos masivos.

En tal sentido, de acuerdo con la dinámica de este mercado, para estos agentes que monopolizan

el poder informático no existe perdida de utilidad, de hecho la utilidad de los datos nunca está en

riesgo para ellos; en tanto evaden la aplicación del régimen normativo de habeas data a través de

las comentadas estrategias corporativas, y no asumen pérdida alguna de información al aplicar

técnicas de reidentificación o rastreo digital. Por otro lado, como estas compañías operan

globalmente es difícil que la SIC ejerza su jurisdicción sobre ellas según se expuso en el capítulo

anterior

98
 En cambio, el resto de responsables del tratamiento, pequeños o medianos empresarios

colombianos, que intentan ingresar a este nuevo mercado del Big Data o que ingresarán

financiados con aportes públicos, son los que soportan la pérdida de utilidad que implícitamente

promueve el régimen de protección de datos. En primer lugar, porque de no tener los medios para

anonimizar la información deben aplicar los principios de protección del hábeas data, que

contradicen la lógica de la explotación masiva de datos. Por lo que, pierden ventaja competitiva

en el mercado frente a los leviatanes corporativos a los que se enfrentan.

En segundo lugar, porque de aplicar las técnicas de anonimización de datos a efectos de evitar

los costos de aplicar las reglas de protección de datos, la utilidad de la información se reduce

considerablemente en virtud de la paradoja de la utilidad, sin que cuenten con los medios para

recuperar la información perdida o para reidentificar los sujetos titulares. Por lo tanto, el contexto

tanto jurídico como económico que enfrentarán estos nuevos proyectos empresariales será hostil,

así los incentivos están dados para que quienes se inician en estos mercados evadan a toda costa

el cumplimiento de la normatividad.

A la luz de estas consideraciones, de los modelos de solución presentados son particularmente

interesantes los que orientan la acción del regulador hacia los barones de los datos, puesto que

estos se benefician del estado actual de la normatividad, al tiempo que generan el mayor riesgo

sobre la autodeterminación informática de los titulares de la información. La dificultad estriba en

que el paradigma jurídico que sigue el Estado colombiano en materia de protección de datos

personales es el de la comunidad europea de naciones, que según lo expuesto también está en

crisis, en tanto que los cambios normativos que trajo el RGDP realmente generaron mayores

dificultades en torno a la definición del ámbito de validez del régimen de protección del habeas

data.

99
 Así mismo, es improbable que el legislador colombiano realice cambios que no sigan la

tendencia normativa europea, puesto que, esto podría poner en cuestión el nivel adecuado de

protección de la normatividad interna en datos personales desde el punto de vista regulatorio,

evaluado por órganos extranjeros como el GT29 reemplazado actualmente por el EDPB. La

presión desde la academia como se evidencia en varios documentos publicados desde el año 2008,

se centra en que Colombia se ajuste al estándar europeo, para ser una economía competitiva de

datos a nivel global y generar confianza en el marco de las transferencias internacionales de

información personal.

De este modo, se atestigua otra paradoja más en esta investigación: si bien el contexto

tecnológico actual genera serias dudas sobre el nivel adecuado de protección de los datos

personales desde la perspectiva instrumental, que justifican replantear el alcance de los principios

jurídicos de administración de datos; el legislador colombiano no puede hacer cambios sustantivos

en el estado actual de la legislación o del contenido de los comentados principios, pues está atado

por lo que a nivel internacional, especialmente europeo se considere como “nivel adecuado de

protección”.

100
 Capitulo IV

La crisis de los principios de finalidad y libertad en el contexto del Big Data

“Permanecemos necesariamente ajenos a nosotros mismos, no nos comprendemos… para

nosotros reza la frase eternamente: de nadie estamos más lejos que de nosotros mismos”

Friedrich Nietzsche

El Consejo de Europa (2017) ha señalado recientemente que la naturaleza del Big Data genera

desafíos relevantes en la aplicación de algunos de los principios fundamentales y tradicionales del

régimen de protección de datos personales, concretamente de los principios de libertad, finalidad,

transparencia, pertinencia y caducidad o limitación temporal.

101
 Estos principios garantizan el núcleo esencial del hábeas data, que consiste en la

autodeterminación informática, es decir el control del individuo sobre su información personal, la

cuestión es que la eficacia de este control está en duda ante el descomunal poder informático y de

mercado de los llamados barones de datos (Facebook, Google, Amazon, entre otros).

La iniciativa del Foro Económico Mundial (2014) denominada “Rethinking Personal Data”,

parte de la premisa que estos principios no funcionan adecuadamente en el contexto tecnológico

actual, dado que fueron diseñados por la OCDE para el año de 1980, cuando no existían aún las

condiciones técnicas necesarias para el análisis masivo de datos, por esto es necesario que se

actualicen, reconsideren o modifiquen a la luz de las nuevas circunstancias, así lo expone Cate y

Mayer-Schönberger (2013).

Estos principios conforman la espina dorsal del régimen colombiano de protección de datos

personales como se comprobó en los dos primeros capítulos, tanto así que son el fundamento

epistémico de un buen porcentaje de providencias de la Corte Constitucional Colombiana con

relación a conflictos que involucran el hábeas data, como lo resume el gráfico 6. Por lo tanto, no

es una labor fácil reconsiderar el alcance de estos principios, con mayor razón cuando el régimen

general de protección de los datos personales (Ley 1581 de 2012) que vino a sintetizar el desarrollo

jurisprudencial en esta materia aún es joven.

Grafico 6. Importancia de los principios en la jurisprudencia de la Corte Constitucional44.

44
Este grafico identifica dentro de la base de datos de 194 providencias de la Corte aquellas que se refieren a los
principios de libertad, transparencia, limitación temporal y finalidad, para reflejar su importancia en el pensamiento
de esta institución.

102
 A continuación se presentan las principales dificultades que afrontan estos principios, partiendo

de su significación jurídica y empleando en el análisis evidencias documentadas por

investigaciones en ciencias sociales y en la literatura jurídica. El análisis se desarrollará en dos

momentos, el primero tiene como foco los principios de finalidad, pertinencia y limitación

temporal; el segundo, los principios de libertad y transparencia, teniendo en cuenta que la presente

problemática ha sido enunciada antecedentemente en el capítulo dos, esta será la oportunidad para

profundizarla.

1. Principio de finalidad:

1.1. Alcance jurídico en el régimen colombiano de protección de datos:

El principio de finalidad exige que el tratamiento de los datos obedezca a una finalidad legítima

de acuerdo con la Constitución y la Ley (artículo 4 de la Ley 1581). El propósito del tratamiento

debe ser específico y explicito, de manera que el Responsable debe informar al titular del dato de

manera clara, suficiente y previa la finalidad de las operaciones que se realicen sobre su

información personal, como lo expresa la Corte en sentencias T-729 de 2002, T-947 de 2008, T-

547 de 2008, T-058 de 2015, entre otras.

Esta obligación del responsable excluye la posibilidad de informar al titular vagamente acerca

del propósito del tratamiento, la SIC (2016) en la “Guía para la implementación del principio de

responsabilidad demostrada” señala que es importante que el responsable realice una evaluación

103
interna a través de la cual identifique con claridad cuáles son las finalidades del tratamiento, las

documente con suficiencia y sea capaz, por ello, de demostrar el cumplimiento de este deber

jurídico. En ese sentido, no se cumple satisfactoriamente con esta obligación cuando se informa el

propósito de forma vaga o abierta, como “mejorar la experiencia del usuario”, “emplear la

información para marketing”, o “futuras investigaciones”.

Este principio previene usos arbitrarios de la información personal, fortalece el control del

titular sobre sus datos, permitiéndole verificar que el responsable esté realizando el tratamiento

conforme a los propósitos informados y autorizados, y asegura que la persona pueda prever

razonablemente como serán procesados sus datos, de forma que no sea sorprendido por usos

desconocidos o incompatibles, así lo expresa la Corte Constitucional en Sentencia C-748 de 2011.

Por lo tanto, el GT29 en dictamen 03 de 2013 expone que el comentado principio está directamente

relacionado con el principio de transparencia, que tiene como objetivo garantizar la predictibilidad

y promover el control del titular sobre sus datos.

De acuerdo con la Corte Constitucional Colombiana el principio de finalidad se despliega en

dos ámbitos concretos: (i) un ámbito temporal, de acuerdo con el cual el periodo de conservación

de los datos personales no podrá exceder del necesario para alcanzar la finalidad del tratamiento

(principio de limitación temporal), y (ii) un ámbito material, que exige que los datos recaudados

sean los estrictamente necesarios para satisfacer la finalidad perseguida por el responsable

(principio de pertinencia y proporcionalidad).

Del ámbito temporal se desprende el denominado principio de limitación temporal del

tratamiento, desarrollado por el artículo 11 del Decreto 1377 de 2013 compilado en el Decreto

1074 de 2015, que dispone que sólo se podrá recolectar, almacenar, usar, circular datos personales

durante el tiempo razonable y necesario a la luz de los fines del tratamiento. Por lo tanto, el

104
responsable o encargado del tratamiento deberá suprimir la información personal una vez se haya

cumplido la finalidad o el tiempo para el tratamiento haya expirado según se expone en Sentencia

C-1110 de 2008.

Con fundamento, en este estándar de limitación temporal la Corte ha elaborado una profusa

línea jurisprudencial sobre la caducidad del dato comercial o financiero, y de los antecedentes

penales, señalando términos de tiempo objetivos para tratar tales datos. Para los datos de otra

naturaleza no está previsto un término específico, por lo que debe valorarse a la luz de las

disposiciones normativas aplicables, los aspectos administrativos, jurídicos, contables, e históricos

de la información según el citado Decreto.

En cuanto al ámbito material, la jurisprudencia constitucional ha exigido que los datos sean

adecuados, pertinentes, y acordes con las finalidades del tratamiento (principio de necesidad). En

todo caso existe la posibilidad de realizar operaciones que no hayan sido específicamente

autorizadas pero que sean compatibles con los usos principales autorizados. Por lo tanto, cuando

el tratamiento se realiza para propósitos incompatibles o no predecibles razonablemente deberá

recabarse nuevamente la autorización del titular.

En el contexto normativo de la comunidad europea el GT29 ha propuesto para efectos de

determinar la relación de compatibilidad entre la finalidad principal y los usos posteriores de la

información un test que evalúa los siguientes criterios y debe ser aplicado por los operadores

jurídicos de acuerdo con las particularidades de cada caso: (i) la relación entre los propósitos que

justificaron la recolección de los datos, y los propósitos de las operaciones posteriormente

realizadas; (ii) el contexto en el que los datos fueron recolectados y las expectativas razonables en

cuanto a los usos posteriores; (iii) la naturaleza de los datos personales y el impacto que sobre el

titular puede generar las operaciones posteriores; (iv) las medidas de seguridad adoptadas por el

105
responsable para asegurar un procesamiento licito y prevenir cualquier impacto indebido con

respecto al titular de los datos.

En el Estado Colombiano, pesé a que la Corte Constitucional se ha referido al concepto de

compatibilidad, no ha elaborado ningún test que oriente a los operadores jurídicos al momento de

estudiar esta característica de los usos de la información.

1.2. Dificultades del cumplimiento del principio de finalidad en la era del Big Data:

Tene y Polonetsky (2012), Bennett y Bayley (2016) afirman que el modelo de negocio del Big

Data representa la antítesis del principio de finalidad y sus implicaciones jurídicas, en la medida

en que el análisis masivo de datos incentiva la recolección de la mayor cantidad de información

posible por largos periodos de tiempo.

Las compañías que participan de la cadena de valor del Big Data extraen beneficios de los usos

segundarios generalmente desconocidos e inesperados, que no necesariamente guardan relación

alguna con el propósito inicial que motivó la recolección de los datos, es decir, que no superan el

test de compatibilidad referido.

La regla del mercado de datos es sustancialmente diferente al comentado principio

concretamente con relación a su ámbito material, según Zarsky (2017) el desarrollo de la ciencia

de los datos y de campos de conocimiento asociados promueve la idea que a mayor cantidad de

datos, mayor será el conocimiento que se descubrirá, por lo que mayores serán los beneficios

sociales e individuales que se generaran, juicio que de acuerdo con algunos autores no es del todo

cierto (Boyd y Crawford, 2012).

En cuanta más información, mejor, porque ex ante no es posible definir qué proporción de

información es relevante o pertinente, en tanto que los potenciales usos son desconocidos, sólo se

descubrirán en la medida en que el análisis tenga lugar. Desde esta posición se estima que el

106
cumplimiento del principio de finalidad en estricto sentido produciría la pérdida total de la utilidad

del análisis masivo de datos.

De acuerdo con Forgó, Hänold y Schütze (2017) las compañías a la luz de este principio tienen

el deber jurídico de presentar en detalle los objetivos de las aplicaciones del Big Data, de tal modo

que los modelos de análisis de datos diseñados para generar respuestas a interrogantes que no se

han planteado al tiempo de la recolección de la información, afrontan una clara limitación jurídica.

Por lo que, como se señaló en la primera parte de este capítulo las compañías se verán compelidas

a anonimizar los datos, con la consecuente pérdida de utilidad que esto genera, además de las otras

problemáticas comentadas relativas al riesgo de reidentificación.

El GT29 ha señalado que el cumplimiento de este principio genera un ambiente de confianza

que favorece la libre competencia entre empresas en el mercado de datos. Zarsky (2017) argumenta

que el efecto es realmente el contrario, al actuar como un inhibidor de la competencia. De acuerdo

con este autor este principio limita la capacidad de los nuevos emprendedores o start-ups de reunir

información personal de mercados secundarios y emplearla para entrar al mercado de datos con

propuestas innovadoras. Por el contrario, este principio asegura que sólo los monopolios que ya

tenían acceso a los datos de sus clientes puedan mantenerse en el mercado de datos, en la medida

en que estos pueden obtener fácilmente la autorización para operaciones posteriores de análisis

sobre los datos.

Esta consideración es coherente con lo expuesto por otros autores como Mantelero (2014), que

señala que la era del Big Data está marcada por una creciente concentración del poder informático,

debido a la naturaleza global o multinacional de los grandes jugadores de esta nueva economía,

así como los procesos de fusiones y adquisiciones que estos promueven, han dado como resultado

el surgimiento de grandes compañías que operan en el mercado online y offline. Este fenómeno de

107
concentración del poder informático paradójicamente está siendo favorecido, por lo tanto, por la

actual normatividad en materia de protección de datos personales.

Esta concentración del poder informático, que se manifiesta en la disponibilidad de grandes

bases de datos y sofisticadas técnicas de análisis para los barones de datos, incrementa el

desbalance económico entre las grandes compañías y los titulares de la información. El Grupo de

Trabajo en el citado dictamen 03 de 2013 ha reconocido que esto puede conducir a graves

externalidades negativas que deba soportar el titular en relación con oportunidades de empleo,

créditos, servicios financieros, cobertura de seguros, así como discriminaciones injustas de precios

y practicas publicitarias discriminatorias,.

Finalmente, el ámbito temporal referido la limitación en el tiempo del tratamiento de datos

personales también es puesta en cuestión, no sólo porque el modelo de negocio privilegia mantener

la información por el mayor tiempo posible para efectos de asociarla con los datos nuevos que se

producen, sino porque tratándose de datos personales que son publicados en internet, en sitios web

o en redes sociales, estos pueden estar disponibles sin restricciones a otros usuarios de manera

indefinida.

Bien lo afirma Viviane Reading ex vicepresidenta de la Comisión Europea: “alguien alguna

vez dijo: Dios perdona y olvida, pero la Web no”, tanta razón existe en esta frase que incluso una

vez se ha suprimido la información personal de la web, a través de algoritmos esta puede ser

inferida (Koops, 2016; Caro, 2015), o incluso ciertos métodos de restricción de difusión de la

información no resultan efectivos como la propia Corte Constitucional lo ha reconocido en

Sentencia T-277 de 2015 (M.S: María Victoria Calle Correa), en la que señaló que la

desindexación de información popular en el ámbito europeo, era una medida de protección

ineficaz.

108
 Bajo estas consideraciones, en los diálogos regionales sobre la privacidad promovidos por

Microsoft en 2012, los participantes señalaron que el principio de finalidad es inconsistente con

las formas en que los datos son usados en el presente y serán utilizados en el futuro, por lo tanto

una gran mayoría sugiere omitirlo en su totalidad, o replantearlo al menos desde sus bases (Gil,

2016).

Cate y Mayer-Schönberger (2013), documentan que existe un sentimiento compartido entre los

participantes de estos diálogos sobre la existencia de límites con relación con los usos de los datos,

de modo que como lo propone la ICO (2017) sólo puedan ser empleados para usos justos, sin

necesidad que estos datos estén necesariamente vinculados con los propósitos con los que

originalmente se recolectaron. Esta ha sido la solución propuesta por la comentada institución, sin

embargo, en el marco de la comunidad europea de naciones también se han presentado otros

modelos normativos.

1.3. Modelos de solución del RGPD en el marco de la Comunidad Europea de naciones:

Forgó, Hänold y Schütze (2017) plantean que el Reglamento General que renovó el régimen de

protección de datos personales en la Unión Europea, no generó cambios sustantivos en el contenido

y alcance del principio de finalidad, por el contrario en su artículo 5 (1) (b) confirma la importancia

de este principio al decir que: “los datos serán recogidos con fines determinados, explícitos y

legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines”,

resumiendo así el estado actual de la normatividad. Sin embargo, el reglamento incluyó

disposiciones normativas tendientes a armonizar el comentado principio con los beneficios o

externalidades positivas que se siguen del análisis masivo de datos.

El considerando 33 del Reglamento reconoce la problemática delineada antecedentemente

sobre la definición ex ante de los propósitos del tratamiento, al decir que generalmente no es

109
posible determinar totalmente la finalidad del tratamiento al momento de su recolección. No

obstante circunscribe este reconocimiento al ámbito de la investigación científica o las operaciones

sobre datos que tengan este propósito.

En consecuencia, dispone que debe permitirse a los titulares de la información otorgar su

consentimiento para determinados ámbitos de investigación científica, que respeten las normas

éticas reconocidas para la investigación, sin que estén definidos por ello los fines del tratamiento

en su totalidad, dando lugar a una forma de autorización “abierta” en estos casos (Schaar, 2016;

Forgó, Hänold y Schütze, 2017).

De manera consecuente, el citado artículo 5 (1) (b) del Reglamento resalta que el tratamiento

ulterior de los datos personales con fines de archivo en interés público, fines de investigación

científica e histórica o fines estadísticos no serán vistos como incompatibles con respecto a los

fines iniciales, cualesquiera estos hayan sido. Los considerandos 159 y 162 establecen que debe

entenderse por fines científicos y estadísticos respectivamente.

Los fines científicos se deben interpretar de forma abierta e incluyen el desarrollo tecnológico

y la demostración, la investigación fundamental, la investigación aplicada y la investigación

financiada por el sector privado. Los fines estadísticos implican que el resultado del tratamiento

no conduzca a datos personales, sino datos agregados, y el resultado o los datos personales no

pueden emplearse para efectos de respaldar medidas o decisiones relativas a personas humanas

concretas.

De esto se desprende que los fines estadísticos o científicos pueden ser interpretados de manera

amplia, y envuelven no solamente usos relacionados con el interés público, sino también las

investigaciones que realicen compañías privadas o agentes particulares para obtener ganancias o

mejorar su rendimiento (Mayer-Schonberger y Padova, 2015).

110
 De esta manera, para los citados autores el Reglamento abre la puerta a la economía del Big

Data sin abandonar el principio de finalidad, puesto que permite que los distintos participes de la

cadena de valor empleen técnicas analíticas con el fin de extraer valores ocultos y desconocidos

de la información en forma de correlaciones o inferencias, justificándolo a la luz de las finalidades

estadísticas.

Sin embargo, cuando del análisis masivo de datos se deriven decisiones que afecten derechos e

intereses de personas particulares, no hay lugar a justificar el tratamiento a través de los fines

científicos o estadísticos (Mayer-Schonberger y Padova, 2015). En estas circunstancias el

responsable deberá obtener el consentimiento previo, expreso e informado bajo la forma opt-in del

titular de la información o afectado por la decisión, de lo contrario el tratamiento ulterior o los

usos posteriores de los datos serán considerados incompatibles con los propósitos iniciales, y por

ello ilícitos, así lo ha dispuesto el GT29 y el ICO de Reino Unido.

Estas disposiciones jurídicas pretenden que se extraiga el mayor provecho social del Big Data

al flexibilizar el principio de finalidad cuando se persigan fines científicos o estadísticos, y

simultáneamente prevenir la producción de externalidades negativas derivadas de la toma de

decisiones automatizadas frente a individuos concretos exigiendo la aplicación estricta del

señalado principio en estos casos, reduciendo por ende los potenciales daños o riesgos del empleo

de esta tecnología.

Al contrastar el Reglamento europeo con la legislación colombiana, en esta última no existe

una disposición con alcance similar a las comentadas. El artículo segundo de la Ley 1581 dispone

que el régimen de protección de datos personales no aplicará a las bases de datos y archivos

regulados por la Ley 79 de 1993, referida a información estadística, pero de alcance limitado

puesto que sólo abarca datos relativos a los censos de población y vivienda.

111
 El artículo 6 de la Ley 1581 establece que está prohibido el tratamiento de datos sensibles,

excepto (entre otros casos) que se persiga el cumplimiento de propósitos de reconstrucción

histórica, estadística y científica; que como lo ha reconocido la Corte Constitucional benefician el

interés de toda la colectiva al colaborar con la satisfacción de derechos como la salud, la vida y la

verdad. Sin embargo este tipo de tratamiento aún queda sujeto estrictamente a los principios de

administración de datos personales, entre ellos el de finalidad.

Por otro lado, el RGPD incorpora en su artículo 6 (4) de manera expresa el test de

compatibilidad propuesto por el GT29 con algunas modificaciones, como herramienta que permite

determinar sí el tratamiento ulterior de la información personal es conforme con la finalidad con

que se recolectaron los datos.

A la luz de los criterios propuesto en el test se debe analizar las aplicaciones del Big Data sobre

la información personal, en este aspecto se ha hecho especial énfasis en cumplir con medidas de

seguridad apropiadas, como la anonimización o la pseudoanimización (Albrecht, 2016), sin

desconocer los otros criterios que deben ser tenidos en cuenta y los riesgos que estas medidas

envuelven (Forgó, Hänold y Schütze, 2017).

De acuerdo con De Hert y Papakonstantinou (2012) este test de compatibilidad bajo el estado

tecnológico actual es de poca ayuda, en la medida que como se deriva del artículo 6(4) del

Reglamento es el responsable del tratamiento quien determina cuáles usos son compatibles y

cuáles no, por lo que serán los interesados quienes deban tomar acciones para controvertir la

posición que adopte el responsable en caso de ser desacertada o no estar conforme con ella.

De esta manera, no es raro que se generen incentivos para que las compañías empleen el test de

la forma que mejor maximice sus beneficios, por lo que realmente se termina empoderando al

112
responsable del tratamiento, lo que sugiere que el test debe acompañarse de otras medidas como

reforzar el deber de información y la vigilancia que se ejerza sobre el responsable.

El diagnostico que Zarsky (2017) realiza de estas disposiciones jurídicas no es para nada

esperanzador, para este autor el Reglamento ha tomado medidas tratando de solucionar la tensión

entre el Big Data y el comentado principio, sin embargo, el resultado aún sigue siendo insuficiente

y genera incertidumbres tanto respecto de la aplicación del comentado test como sobre el alcance

que deben tener los fines científicos y estadísticos, por lo que estas soluciones son complejas,

difíciles de ejecutar y pueden terminar destruyendo la utilidad del análisis masivo de datos.

Tabla 5. Criterios del Test de compatibilidad según el GT29 y el RGPD

Test de compatibilidad Test de compatibilidad Conclusión

según el GT29 según el RGPD
(i) la relación entre los (i) Cualquier relación entre los Igual criterio.
propósitos que justificaron la fines para los cuales se hayan
recolección de los datos, y los recogido los datos personales y
propósitos de las operaciones los fines del tratamiento
posteriores; ulterior previsto;
(ii) el contexto en el que los (ii) el contexto en que se hayan El RGPD exige analizar
datos fueron recolectados y las recogido los datos personales, la relación entre el
expectativas razonables en en particular por lo que titular y el responsable.
cuanto a los usos posteriores; respecta a la relación entre los
interesados y el responsable
del tratamiento;
(iii) la naturaleza de los datos (iii) la naturaleza de los datos El impacto en el RGPD
personales y el impacto que personales, en concreto debe analizarse
sobre el titular puede generar cuando se traten categorías conforme al tipo de
las operaciones posteriores; especiales de datos personales, dato.
o datos personales relativos a
condenas e infracciones
penales.

(iv) las medidas de seguridad (iv) la existencia de garantías Igual criterio.

adoptadas. adecuadas, que podrán incluir
el cifrado o la
pseudonimización
(v) las posibles consecuencias Nuevo criterio similar
- para los interesados del al (iii) del GT29.
tratamiento ulterior previsto;

113
 2. Principio de Libertad:

2.1. Alcance jurídico en el régimen colombiano de protección de datos:

La Corte Constitucional Colombiana en sentencias T-013 de 2015 y C-748 de 2011 ha afirmado

que este principio es el pilar fundamental de la administración de los datos personales, puesto que

permite que la persona decida libremente si su información personal puede ser utilizada en bases

en datos, e impida que sus datos se transfieran a otro organismo o persona que la emplee con fines

distintos a los autorizados, por lo que, favorece el derecho a la autodeterminación informática del

titular del dato.

Esta también ha sido la concepción de la Asamblea General de Naciones Unidas (Resolución

45/95), de la comunidad europea de naciones, y de la Prácticas de Información Justa (FIP) de los

Estados Unidos, que establecen el consentimiento como elemento esencial de la administración de

datos personales y fundamento del paradigma normativo actual (Strandburg, 2014).

Este principio irradia distintas disposiciones normativas de Ley 1581, entre ellas:

(i) el artículo 6 dispone que el tratamiento de datos sensibles requiere de la

autorización explícita del titular;

(ii) el artículo 8 consagra el derecho del titular de solicitar prueba de la autorización

otorgada al Responsable del tratamiento, así como el derecho a retirar el consentimiento y

limitar el término de su validez;

(iii) Los artículos 9 y 10 establecen la obligación del responsable de obtener

autorización del titular para proceder con el tratamiento y las excepciones a esta regla;

114
 (iv) Los artículos 12 y 13 disponen el modo como debe ser informado el titular del dato

de los efectos y alcances de la autorización;

(v) El artículo 17 establece los deberes del responsable de solicitar y conservar copia

de la autorización;

(vi) El artículo 26 impone la prohibición de realizar transferencias de datos a países

que no cumplan con un nivel de protección adecuado, salvo que se cuente con la

autorización del titular.

De esto se desprende el deber jurídico del Responsable del Tratamiento de obtener la

autorización del titular, previa realización de cualquier tipo de operación sobre sus datos, salvo

mandato judicial o legal que lo exonere; en ese sentido la autorización “se debe obtener, como

regla general, para tratar los datos personales, ya sea para recolectarlos, almacenarlos, usarlos,

transferirlos a otros responsables o permitir el acceso a los datos por parte de terceros”

(Remolina, 2013, p. 191).

Ahora bien, de acuerdo con la Ley 1581 de 2012 el tratamiento de datos personales a la luz de

este principio requiere que el consentimiento sea previo, expreso e informado para ser válido

(artículo 4). El carácter de previo significa que el consentimiento debe ser anterior a la

incorporación del dato, el titular debe gozar de la oportunidad real de aceptar las condiciones del

tratamiento antes que este tenga lugar, de lo contrario las operaciones que se realicen sobre los

datos serán ilegales (Sentencia T- 592 de 2003, C-1011 de 2008).

En cuanto al carácter expreso la Corte Constitucional en providencias T-657 de 2005, T-592 de

2003, entre otras, ha considerado que el consentimiento debe ser inequívoco, explícito y referido

a una finalidad específica; esto significa que: (i) la autorización para el tratamiento de los datos no

puede ser abierta, por el contrario debe establecer claramente el alcance y propósito del

115
tratamiento; (ii) no es admisible en este régimen la modalidad de consentimiento o autorización

tácita, de modo que el silencio no puede tomarse bajo ninguna circunstancia como autorización.

Sobre este aspecto el Decreto 1377 en su artículo 7 (compilado por el Decreto 1074 de 2011)

precisó que la autorización también se puede obtener a través de conductas inequívocas del titular

que permitan establecer de forma razonable que el consentimiento fue otorgado. De acuerdo con

Remolina (2013) esto significa que de la conducta debe derivarse de forma lógica la aceptación

del tratamiento, lo que en ningún modo equivale a silencio o inacción, como lo ha aclarado la Corte

Constitucional, y como a nivel de la Unión Europea lo ha esclarecido el Grupo de Trabajo.

La textura abierta de esta disposición normativa genera dificultades interpretativas en cuanto a

su alcance, empero el citado autor y el GT29 en el dictamen 15 de 2011 han señalado algunos

casos de conductas inequívocas a título de ejemplo:

(i) Cuando la persona coloca en una página web sus datos sin ninguna restricción del

acceso a los mismos, por ejemplo su perfil profesional para ser contactada.

(ii) Cuando la persona ingresa a un área en la que le advierten que va a ser grabado, o

a un área wifi que de aproximarse tomará información de sus dispositivos telefónicos.

(iii) Cuando la persona ingresa a un juego en línea que solicita ciertos datos personales

para los propósitos del mismo juego (edad, nombre, entre otros).

Finalmente, el carácter informado exige que el titular esté plenamente consciente de los efectos

de la autorización, por esta razón la autorización para el tratamiento debe ser calificada y contener

una explicación de sus efectos, por lo tanto, la Corte ha señalado que es obligación del Responsable

del tratamiento informar al titular cómo, ante quién, desde cuándo y por cuánto tiempo serán

empleados los datos (T- 592 de 2003).

116
 Consecuentemente, la ley 1581 dispone que el deber de información por parte del Responsable

envuelve comunicar: (i) el alcance del tratamiento y la finalidad, (ii) el carácter facultativo de las

preguntas que se realicen sobre datos sensibles o sobre información relativa a niños, niñas y

adolescentes, (iii) los derechos que le asisten como titular, y (iv) la identificación, dirección física,

o electrónica y teléfono del responsable.

2.2. Las dificultades para obtener el consentimiento cualificado en la era del Big Data:

El problema para cumplir con las exigencias de este principio con relación al contexto

tecnológico actual, son las múltiples fuentes de información que recolectan de manera

imperceptible y compleja cantidades masivas de datos sobre distintos aspectos de la vida de las

personas. Las fuentes de la información para el análisis masivo de datos incluyen las redes sociales,

las transacciones electrónicas, los datos generados de manera automatizada, y el Internet de las

Cosas (IoT).

Las redes sociales son servicios que sirven como plataforma para el intercambio de una gran

cantidad de información personal, los usuarios interactúan entre sí sobre la base de intereses

compartidos45, en ese proceso crean perfiles referidos a datos sobre aspectos de su vida que

comparten con el público en general o determinados grupos de personas, por ende una enorme

cantidad de datos personales son recolectados (Kosta, E., Kalloniatis, C., Mitrou, L., & Gritzalis,

S., 2010).

45
Esta definición está acorde con la forma como lo ha hecho el GT29 en dictamen 05/2009 sobre redes sociales en
línea que señala: “Los Servicios de Redes Sociales (SRS) pueden definirse generalmente como plataformas de
comunicación en línea que permiten a los individuos crear redes de usuarios que comparten intereses comunes. Los
SRS comparten determinadas características: (i) los usuarios deben proporcionar datos personales para generar su
descripción o «perfil»; (ii) los SRS proporcionan también herramientas que permiten a los usuarios poner su propio
contenido en línea (contenido generado por el usuario como fotografías, crónicas o comentarios, música, vídeos o
enlaces hacia otros sitios); (iii) las «redes sociales» funcionan gracias a la utilización de herramientas que
proporcionan una lista de contactos para cada usuario, con las que los usuarios pueden interactuar.”

117
 Esta información es aprovechada por terceros con fines comerciales, de publicidad o de

vigilancia, con los que son financiados este tipo de servicios (Garriga, 2016). Por ejemplo,

corrientemente en redes sociales como Facebook, Instagram, Twitter, presentan publicidad con

base en el perfil que construyen de cada usuario, a partir de los datos suministrados.

Las transacciones electrónicas generan igualmente una gran cantidad de datos relativos al pago

de un bien o servicio, direcciones del comprador, rating del servicio o producto, entre otros

(Kitchin, 2014). Todos estos datos son recolectados a efectos de conocer hábitos de consumo, que

permitan mejorar la experiencia del consumidor con el servicio o producto, e inclusive para

ofrecerle otros bienes, así opera el algoritmo de recomendaciones de la plataforma de películas

Netflix.

Sobre los datos generados de manera automatizada, un caso constantemente referido por la

literatura legal por su relevancia frente al derecho al hábeas data son las Cookies, que como lo

explica Leenes (2016) son una pequeña porción de información que es almacenada por un sitio

web en el navegador del usuario, estas pueden ser empleadas para almacenar datos como la última

vez que se visitó el sitio, las preferencias del usuario, el tamaño de las ventanas, identificadores

únicos del equipo terminal usado por el usuario, así como relacionar la actividad actual del usuario

con actividades previas que se hayan realizado con el mismo identificador. El proveedor de la red

puede reconocer a un usuario y elaborar un perfil del mismo utilizando estas herramientas.

Así mismo, en materia de datos automatizados los motores de búsqueda (Google, Yahoo, y

otros), que son servicios que utilizan los usuarios para encontrar información de la web a través de

determinados criterios de búsqueda (Brin y Page, 1998), generan una gran cantidad de datos

personales, puesto que como lo señala Garriga (2016) “pueden vincular las diferentes consultas

que procedan de la misma dirección IP(…) incorporando una cookie de identificación única para

118
cada usuario”(p. 38), además facilita el acceso a publicaciones contentivas de datos personales

que existan en internet46, por ello este servicio genera cuestionamientos sobre la autodeterminación

informática (Fernández, J. P. M., 2017), tanto así, que el Tribunal de Justicia Europeo, ha

considerado que estos motores realizan tratamiento de datos personales en el caso 132/12 (Google

Spain v. Agencia Española de Protección de Datos y Mario Costeja).

Finalmente, el IoT47 representa el conjunto de objetos como cámaras digitales, tablets, teléfonos

inteligentes, televisores inteligentes entre otros que pueden identificarse como parte del Internet,

por lo que permiten recolectar una enorme cantidad de datos de variada naturaleza como

información relativa al clima, la geografía, el consumo de energía, la localización, la pérdida de

peso, la rutina diaria de las personas, los gustos televisivos, entre otros (Rao, Saluia, Sharma,

Mittal, Sharma, 2012), tomar esa información y transmitirla a compañías con fines comerciales.

La mayoría de las compañías que administran estas fuentes de información tienen una política

de tratamiento de datos personales, y solicitan el consentimiento de sus usuarios para garantizar la

autodeterminación informática. La cuestión radica en si el consentimiento cumple con la

cualificación exigida por la Ley 1581 de 2012. En primer lugar, estas fuentes recolectan de manera

imperceptible los datos sin que en ocasiones los usuarios sean conscientes de ello, por lo que

realmente no existe un consentimiento previo y expreso, además las evidencias demuestran que

existe una seria dificultad en lograr que la autorización sea informada.

46
Así lo ha precisado el dictamen 01 de 2008 del GT29 sobre las cuestiones relativas a la protección de datos
personales con relación a los motores de búsqueda.
47
El Internet de las Cosas ha sido definido como “un mundo donde los objetos físicos se integran a la red de
información, por lo que pueden convertirse en participantes activos de procesos comerciales. Los servicios están
disponibles para interactuar con objetos inteligentes a través de internet , consultar su estado y cualquier información
asociada a ellos teniendo presentes las cuestiones de seguridad y privacidad” (Weber R.H., Weber R., 2010, p.1)
.Esto permite esclarecer la relación entre el Big Data y el Internet de la Cosas (IoT), el segundo representa una fuente
de datos, que se obtienen a través de instrumentos o medios conectados a la Internet, sin embargo para darle o extraer
valor a estos datos es necesario someterlos a procesos de análisis algorítmicos propios del Big Data.

119
 Las estadísticas son abrumadoras. Nissenbaum (2009) expone que sólo el 20% de las personas

revisan las políticas de datos al momento de otorgar su consentimiento, en un estudio de Milne y

Culnan (2004) apenas el 4.5% de los encuestados señalaron que siempre leían las políticas de

privacidad de los sitios web, de la misma manera pocas personas optan por salir (opt-out) de un

determinado servicio virtual que envuelva la recolección de sus datos, ni siquiera se molestan en

cambiar la configuración de privacidad por defecto de los sitios web que visitan como lo exponen

Acquisti y Grossklags (2007).

Esta falta de interés de los titulares de los datos obedece posiblemente al hecho de tener que

revisar políticas de datos largas, engorrosas y de difícil comprensión para entender el alcance del

tratamiento, como lo precisa Solove (2013). Por esta razón, varios sectores han abogado porque al

momento de obtener el consentimiento la información que se suministre al titular en cumplimiento

del deber de informar aparezca en un lenguaje sencillo y comprensible, solución que promueve la

SIC (2017)48. Sin embargo, dado el complejo camino que sigue la información y las distintas

relaciones institucionales que participan en la cadena de explotación de datos se presenta la

paradoja de la transparencia.

Barocas y Nissenbaum (2014) explican que según esta paradoja, cuanto más claro y sencillo es

el lenguaje, mayor es la perdida de precisión al describir el alcance del tratamiento de los datos.

La obligación de informar al titular de los datos cómo, ante quién, desde cuándo y por cuánto

tiempo se realizará el tratamiento no puede cumplirse con un lenguaje simple, en la medida en que

la explotación masiva de datos se desarrolla en una cadena compleja que envuelve distintas etapas

o eslabones conforme se expuso en el primer capítulo del que participan distintas instituciones, e

48
Afirma la citada SIC (2017) que: “Con el fin de hacer más comprensible la información, las organizaciones o
responsables del tratamiento de datos personales pueden elegir diferentes formas de trasmitir la información a los
titulares: señales, dibujos, gráficas, videos, etc.; lo importante es cumplir con la obligación de comunicar de manera
clara y transparente lo exigido en la ley” (p. 10).

120
implica el empleo de la información en usos segundarios que no se conocen al momento de

recolectar la información (Koops, 2014).

En ese sentido, un verdadero consentimiento informado debe poner al tanto al titular del alcance

real del tratamiento, esto significaría exponer en toda su magnitud las operaciones que se realizan

sobre los datos (Gil, 2016), lo que las compañías que administran las comentadas fuentes de

información por lo general no hacen. Toda la cuestión de la autodeterminación informática se

limita a dar un click sin necesidad de revisar las políticas de datos, so pena de no tener acceso a

los servicios que prestan las distintas plataformas virtuales, por lo que, Koops (2014) considera

que los usuarios de la red no cuentan realmente con la oportunidad de decidir sobre sus datos.

En cualquier caso revisar las políticas de datos o de privacidad tampoco asegura un

consentimiento informado, Acquisti y Grossklags (2006) han demostrado que los usuarios de los

distintos servicios están dispuestos a entregar sus datos a cambio de pequeños beneficios (tan

simples como leer una noticia, p. ej.). Los titulares de la información no comprenden realmente

las consecuencias que pueden seguirse al entregar sus datos.

La acción humana se enfrenta a un problema de racionalidad limitada, que restringe la habilidad

para adquirir, almacenar y procesar información relevante, por lo que se decide con base en

modelos mentales simplificados o heurísticas, lo que puede conducir a la persona a juicios

equivocados sobre los riesgos que se desprenden de su relación con los “barones de datos”

(Acquisti y Grossklags, 2008).

Por esta razón, una gran cantidad de personas construyen imaginarios erróneos sobre el respeto

de sus derechos cuando están online, por ejemplo en un estudio realizado por Turow, Feldman y

Meltzer (2005), se señala que el 75% de las personas que participaron creían falsamente que

121
cuando un sitio web presentaba una política de datos o privacidad esto implicaba que no

compartirían la información recolectada de la persona con otras compañías o páginas web.

La presentación de un aviso de privacidad, por ejemplo, puede dar la sensación de seguridad y

protección en la persona (Acquisiti y Grossklags, 2007), no en vano son promovidos por la SIC

(2017), estas sensaciones de control generan mayor confianza en compartir información personal,

así lo revelan estudios de John, Acquisti, y Loewenstein (2009), de modo que la persona decide de

acuerdo al contexto y como se sienta con respecto a este, sin necesidad de existir una protección

real frente a su derecho al hábeas data.

Ante esta evidencia, Solove (2013) concluye que aunque las personas lean y comprendan las

políticas de datos para autorizar el tratamiento, pueden otorgar el consentimiento basados en

imaginarios equivocados, juicios desacertados acerca de la realidad tecnológica, sentimientos que

no se corresponden con la situación real, especialmente porque la explotación masiva de datos es

un campo inexplorado y desconocido, de difícil democratización según Mantelero (2014), por las

dificultades de comprender sus aspectos técnicos y tecnológicos, especialmente bajo las

circunstancias socio-económicas del Estado Colombiano, en el que de acuerdo con el DANE

(2018) y el DNP (2018):

(i) Para 2017 sólo el 44,3% de los hogares contaban con un computador de escritorio

portátil o tableta.

(ii) Para el referido año sólo el 50% de los hogares contaban con acceso a la red de

internet.

(iii) La principal razón de los hogares que carecen de los anteriores bienes o servicios

es que el costo excede su línea de presupuesto.

122
 (iv) Para el referido año sólo el 32,3% de las personas con acceso a internet, lo usaron

para propósitos de educación y aprendizaje.

(v) De las personas que usan un computador, sólo el 15.6% sabe utilizar un lenguaje

de programación, y el 41,6% descargar e instalar un programa computacional.

(vi) Existe una baja oferta de programas académicos relacionados con las áreas del

conocimiento vinculadas a la explotación masiva de datos, el sistema de Información sobre

Educación Superior reporta en todo el país 24 programas de postgrado sobre estadística

aplicada, 39 sobre matemáticas aplicadas y 7 de analítica o ciencia de los datos.

El problema se agrava según Solove (2013) al considerar que existe una gran cantidad de

instituciones que recolectan información a través de la red, por lo que es imposible que una persona

pueda administrar racionalmente todas las relaciones de naturaleza informática que establecen con

los sitios web visitados a diario. Informarse de las políticas de datos, de los cambios o ajustes que

tienen y tomar decisiones consecuentes con ello envuelve un esfuerzo desproporcionado, dado que

las personas no cuentan con el tiempo y los recursos que esto demanda49, razón por la cual prefieren

racionalmente no estar informados como ocurre frecuentemente en otros campos como los

relativos a las decisiones políticas (Downs, 1957; Stigler, 1961; Eisenberg, 1995; Bayern, 2009)

De acuerdo con el citado autor Solove (2013) para que las personas consientan de manera

informada el tratamiento de sus datos, deben realizar un análisis costo-beneficio que les permita

enterarse de la magnitud del riesgo que enfrentan sus derechos al entregar información personal.

Sin embargo, en la era del Big Data tal estimación económica es prácticamente imposible, debido

49
Un informe de McDonald y Faith (2008) demostró que en los Estados Unidos si todas las personas leyeran las
políticas de datos o de privacidad de los sitios web que visitan al año, esto tendría un costo de 781 billones de dólares
en pérdida de productividad.

123
a que la agregación de datos puede generar consecuencias inesperadas en el largo plazo (Koops,

2016).

El modelo normativo que establece la Ley 1581 de 2012 promueve que los titulares de la

información adopten decisiones informadas cuando un determinado responsable recolecta sus

datos para un propósito específico, esto significa que el titular es consciente de manera aislada del

destino inmediato de sus datos, pero no dimensiona de forma global lo que ocurre con la

información, cómo esta es agregada con otros datos, qué datos nuevos se deducen o infieren y en

general como evoluciona el conocimiento que de sí mismo tienen terceros a lo largo del tiempo

asociando los datos que se revelan progresivamente.

En otras palabras, la información personal que se recolecta online no es estática, crece para

generar externalidades positivas o negativas tanto a nivel individual como social (Solove, 2013).

Empero, dado que la forma en que la información es agregada es impredecible, el individuo no

puede realizar un análisis costo-beneficio de los efectos de revelar determinada porción de sus

datos personales, bajo estas circunstancias el consentimiento informado es una quimera como lo

expresa Koops (2014).

Finalmente, el principio de libertad afronta según Barocas y Nissenbaum (2014) el problema

de la tiranía de las minorías. Bajo el estado actual de la técnica es posible inferir determinados

atributos de toda la población, sólo con que el 20% o un porcentaje menor al total de la población

revele tales atributos (Misolve, Viswanath, Gummadi y Druschel, 2010). Esto significa que, con

la información recolectada de unos pocos individuos previo consentimiento informado se puede

revelar la misma cantidad de información sobre aquellos que no han otorgado su consentimiento

(Koops, 2016).

124
 Al respecto existen varios casos documentados, por ejemplo la información publicada en redes

sociales por usuarios sobre su carrera universitaria, permite deducir esta misma información de

usuarios que no la han publicado, o de personas que no forman parte de la red social (Misolve,

Viswanath, Gummadi, y Druschel, 2010). Este hecho genera incentivos en los responsables del

tratamiento para dejar de solicitar el consentimiento informado unas vez han alcanzado el umbral

mínimo de representatividad, puesto que así reducen los costos que deben asumir para obtener el

consentimiento de la totalidad de titulares de los datos, sin desmejorar su posición informática

(Barocas y Nissenbaum, 2014).

2.3. Modelos de solución presentados en el régimen normativo Europeo:

2.3.1. Fortalecimiento del papel del consentimiento de acuerdo con la

ICO y el RGPD.

A pesar de las problemáticas expuestas paradójicamente la ICO de Reino Unido ha reforzado

el papel del consentimiento en la era del Big Data, al decir que la aparente complejidad del análisis

masivo de datos no puede convertirse en una excusa para renunciar a la obtención del

consentimiento del sujeto cuando es obligatorio; de este modo las organizaciones deben encontrar

la forma idónea de explicar los beneficios y riesgos de las operaciones analíticas para que los

titulares tenga realmente la opción de elegir.

La institución británica resalta que las organizaciones que justifican el tratamiento de datos

personales con base en el consentimiento, deben garantizar que las personas sean capaces de

comprender lo que se está haciendo con sus datos, y que autorizan tales operaciones, así mismo se

exige que los responsables tengan especial cuidado en informar al titular de los datos cuando

utilicen la información para fines diferentes e incompatibles de los que motivaron inicialmente la

125
recolección. El ICO (2017) se aferra al modelo del consentimiento informado como pilar

fundamental del régimen de hábeas data, pese a las limitaciones presentadas.

De la misma manera, en el modelo normativo de protección de datos de la Unión Europea el

consentimiento sigue jugando un rol central como lo expone Tikkinen-Piri, Rohunen y Markkula

(2018). El Reglamento establece que: (i) el consentimiento debe ser otorgado de manera libre,

especifica, informada y explicita (artículos 4-11, 6-1.a); (ii) el responsable del tratamiento tiene la

carga de demostrar que se otorgó la autorización (artículo 7-1), y (ii) el titular de la información

tiene derecho a retirar el consentimiento en cualquier momento (artículo 7-3).

La Comisión Europea al presentar en enero de 2012 el proyecto de Reglamento, insiste en que

el titular de la información debe comprender las operaciones que se realicen con sus datos, y dar

su consentimiento de manera expresa, por lo que sólo los esquemas opt-in (por ejemplo dando

click en un recuadro antes que se inicie el tratamiento) son lícitos. No puede derivarse de la

inacción o silencio autorización alguna, excluyendo los esquemas opt-out o de salida50 como lo

expone De Hert y Papakonstantinou, V. (2012).

Esta interpretación instalada ya en el Reglamento, que es la misma que ha realizado la Corte

Constitucional y que se proyecta tenuemente en el Decreto 1377 de 2013 (compilado por el

Decreto 1074 de 2015), puede tener como consecuencia una considerable pérdida de valor para las

compañías online. Puesto que, como lo evidencian Tene y Polonetsky (2011) disuade a los usuarios

de acceder a los servicios, dados “los problemas de acción colectiva que generan equilibrios sub-

óptimos donde los individuos fallan en vincularse a tratamientos de datos socialmente

50
El considerando 32 del Reglamento dispone que: “El consentimiento debe darse mediante un acto afirmativo claro
que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el
tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios
electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger
parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración
o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus
datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento”

126
beneficiosos con la esperanza de ser gorreros de la buena voluntad de sus pares” (p. 68), y

concurrentemente aumenta los costos para las compañías online que deberán generar plataformas

que soliciten el consentimiento antes del procesamiento, según lo expone Solove (2013).

El reglamento también dispone que para determinar si efectivamente la autorización ha sido

libre debe evaluarse sí la ejecución de un contrato o prestación de un servicio, se supedita al

consentimiento del tratamiento de datos no necesarios para la ejecución de dicho contrato (artículo

7-4). Esta disposición novedosa pretende enfrentar el problema comentado que los servicios o

plataformas web generalmente exigen que el usuario consienta el tratamiento de datos

impertinentes, so pena de no obtener el servicio, disuade a las empresas online de este tipo de

prácticas, dado que en estos casos el tratamiento sería ilícito según lo expresamente contemplado

en la norma.

Hasta aquí no existe ninguna diferencia sustancial entre las propuestas de la ICO, el RGPD y

las disposiciones de la Ley estatutaria 1581 de 2011: todas se sustentan en el principio de libertad.

El interrogante que surge es: por qué a pesar de las dificultades del consentimiento en la era del

Big Data que demuestran que las personas no toman decisiones informadas sobre sus datos o no

están interesadas en hacerlo, o incluso que las compañías tienen incentivos para no obtenerlo, los

modelos regulatorios han reforzado su papel, negándose a abandonar el paradigma actual.

La cuestión está en que abandonar el consentimiento de cierta forma significaría adoptar una

regulación paternalista, donde es el regulador quien define cuándo es legítimo el tratamiento de

datos personales, no el individuo, solución que tampoco es prometedora dado que como se

desprende de la reflexión de Solove (2013):

1. El regulador al emplear el criterio costo-beneficio para valorar los usos de la

información con relación a su impacto social e individual tiene serias dificultades, en la medida

127
 en que los beneficios y perjuicios no son objetivos sino subjetivamente valorados, así por

ejemplo mientras una persona no está conforme con que se rastree su actividad online, otra

puede ser feliz porque esto mejora su experiencia en la red.

2. En aras de garantizar la autonomía informática adoptar una legislación paternalista

puede tener el efecto precisamente contrario, limitar la libertad y autonomía del individuo,

puesto que la normatividad se decanta por opciones digitales que no necesariamente son de la

preferencia del individuo; lo que significa precisamente que este pierde el control sobre su

información (dilema del consentimiento).

3. El régimen de protección de datos personales no sólo ha sido concebido para la

protección del derecho de hábeas data, sino para garantizar el libre flujo de la información, una

visión paternalista puede olvidar este elemento de crucial importancia.

De igual forma, para Solove (2013) el modelo del consentimiento informado pese a sus

limitaciones mejora el proceso de administración de datos personales que realizan las instituciones

privadas, dado que da lugar a la generación de cambio internos con el propósito de cumplir las

normas de protección de datos personales, así las empresas capacitan a su personal para que sepan

las obligaciones que se desprenden de los principios de administración de datos personales, de

forma que los servicios, productos y tecnologías que desarrollen sean amigables con la privacidad

y autonomía informática de sus clientes. Por estas razones considera que el consentimiento

informado no puede ser abandonado de tajo.

2.3.2. Aproximación basada en el riesgo de acuerdo con la visión de

Mantelero y el RGPD: ¿un punto medio entre la autonomía y el paternalismo?

Para Mantelero (2014) en contextos en los que el titular de la información afronta serias

limitaciones para comprender el alcance del tratamiento de sus datos, el papel que juega el

128
consentimiento debe restringirse y reforzarse el rol que desempeñan autoridades independientes.

Las autoridades de protección de datos en su criterio cuentan con el conocimiento tecnológico para

evaluar los riesgos asociados a las operaciones que se realizan sobre datos personales en el

contexto de recolección y análisis masivo de la información, por lo que están en mejor posición

para tomar medidas idóneas que ponderen los intereses de los distintos agentes interesados.

De este modo, el propósito de la propuesta del profesor Mantelero (2014) no es abandonar el

modelo tradicional del consentimiento informado que puede ser efectivo bajo determinadas

circunstancias, sino ajustarlo o modificarlo con relación a los desafíos que envuelve el Big Data y

las consecuentes asimetrías de información que socavan la autodeterminación informática de las

personas.

Para el citado autor es necesario crear reglas específicas que apliquen a los usos de información

que se desarrollan a lo largo de la cadena de valor del Big Data, separándose en este aspecto de la

aproximación holística que se promueve en la Unión Europea, que no se ajusta a los distintos

contextos en que los datos pueden ser empleados. En este punto la propuesta de Mantelero es

similar a la aproximación contextual que propone Ohm (2010), analizada en el capítulo anterior.

Estas reglas específicas aplicables al Big Data no deben considerar el consentimiento como

requisito previo para la licitud del tratamiento de los datos. Para que una compañía proceda a

desarrollar análisis masivo de datos personales lícitamente en consideración de Mantelero (2014)

debe solicitar previamente a un tercero independiente que realice una evaluación de impacto

múltiple, que incluya los efectos sobre el hábeas data, el principio de igualdad y no discriminación,

la privacidad, así como otros valores constitucionales en riesgo potencial.

129
 Esta evaluación debe estar disponible al público y ser informada a los titulares de la

información; finalmente, la compañía debe adoptar un esquema opt-out o de salida para los

titulares de los datos una vez se apruebe el tratamiento por la autoridad de protección de datos.

La evaluación se debe caracterizar por su continuidad, de forma que documente la evolución

del riesgo a lo largo del ciclo de vida de los datos, con el propósito de tomar medidas para reducirlo;

esto significa, contrario a lo que ocurre con el modelo normativo existente, que esta solución no

sólo analiza el impacto al momento inicial de la recolección de los datos, sino durante las distintas

etapas de la explotación masiva de los datos.

Además, esta evaluación no sólo analiza el riesgo sobre la base de la autodeterminación

informática, sino también de otros derechos que pueden verse vulnerados, adoptando en el análisis

no sólo una perspectiva jurídica sino ética y social como lo sugieren Schwartz (2010) y Wright

(2011).

La evaluación según Mantelero (2014) debe ser realizada por un tercero independiente bajo la

supervisión y aprobación de la autoridad de protección de datos. Estos agentes financiarían su

actividad a través de tarifas que cobran a las compañías que requieren de esta evaluación,

conservando de esta manera su autonomía con respecto a los responsables del tratamiento.

El Reglamento europeo no ha estado tan distante de la propuesta de Mantelero, en la medida en

que fortaleció el modelo del consentimiento informado con medidas similares a las mencionadas,

sin embargo claramente no adoptó una aproximación contextual, sino que mantuvo el modelo de

regulación centralizado. En la propuesta de Reglamento presentada por la Comisión Europea, esta

adopta una aproximación similar a la comentada, puesto que señalaba que “el consentimiento no

será tomado como base legal del tratamiento, donde exista un desbalance significativo entre la

posición del titular de los datos y el responsable”.

130
 Sin embargo esta disposición fue eliminada del texto final del documento legal, en el que no se

establece con claridad sí las asimetrías de la información sirven de base para excluir la aplicación

del principio de libertad, puesto que el considerando 43 contiene una disposición similar pero que

parece circunscribir sus efectos a las situaciones en que el responsable es una autoridad pública.

Sea como sea el Reglamento no contempla la evaluación del riesgo como un modelo que supla el

consentimiento en estas circunstancias como ocurre en la propuesta de Mantelero.

El Reglamento en cambio además de reafirmar el principio de libertad, pretende reducir los

riesgos del Big Data sobre la autodeterminación informática fortaleciendo los principios de

transparencia, responsabilidad demostrada, y privacidad desde el diseño, de manera similar a como

lo propone el Foro Económico Mundial (2014).

En cuanto al principio de transparencia insiste, a pesar de la paradoja explicada por Barocas y

Nissenbaum (2014), que toda información y comunicación relativa al tratamiento de datos

personales debe ser fácilmente accesible, fácil de entender, que utilice un lenguaje sencillo y claro

de entender, con el fin de asegurar que los titulares de la información tengan conocimiento de los

riesgos, normas, salvaguardias y derechos relativos a las operaciones que realiza el responsable

sobre sus datos; así se desprende de los considerandos 39, 58 y de los artículos 5(1) y 12.

El reglamento para reducir las asimetrías de información existentes entre el titular y el

responsable fomenta el establecimiento de mecanismos de certificación, códigos de conducta,

sellos y marcas de protección de datos según las necesidades específicas de los distintos sectores

como lo dispone el considerando 100, y los artículos 40, 41, 42 y 43; que permiten evaluar con

mayor rapidez el nivel de protección de los productos o servicios correspondientes.

Está opción puede ser una forma efectiva para superar la citada paradoja, en tanto que, se

promueven mecanismos que sirven para demostrar el cumplimiento de las obligaciones a cargo

131
del responsable, generando confianza en los titulares de la información sobre la existencia de un

tratamiento seguro, certificado por un organismo idóneo; así se reducen considerablemente las

dificultades descritas de obtener un consentimiento realmente informado, como consecuencia de

las limitaciones cognitivas del titular.

En lo que respecta al principio de responsabilidad demostrada, el responsable del tratamiento

está obligado a: (i) tomar medidas técnicas y organizativas que garanticen y permitan acreditar el

cumplimiento de sus obligaciones y un nivel de seguridad adecuado al contexto en que se

desarrolle el tratamiento (artículos 24 y 32); (ii) llevar un registro de las actividades de tratamiento

efectuadas bajo su responsabilidad en los estrictos y precisos términos del artículo 30 del

Reglamento; (iii) adherirse a códigos de conducta aprobados o a un mecanismo de certificación;

(iv) aplicar de acuerdo con el contexto, los costes, el estado de la técnica, lo fines del tratamiento

y los riesgos de diversa probabilidad y gravedad medidas técnicas y organizativas por defecto o

concebidas desde su diseño para el cumplimiento de los principios de protección de los datos

(artículo 25); por lo tanto la protección a la privacidad y el hábeas data deben ser considerados en

cada etapa y nivel del negocio según Tikkinen-Piri, Rohunen y Markkula (2018).

El Reglamento también exige en su artículo 35 que el Responsable realice antes de iniciar el

tratamiento una evaluación del impacto de las operaciones en la protección de datos personales,

en circunstancias que representen un alto riesgo para los derechos y libertades de las personas

humanas, en particular cuando se empleen nuevas tecnologías, se adopten decisiones

automatizadas que afecten intereses de personas físicas, o se realicen operaciones a escala masiva

con datos, así lo expone Gellert (2018).

Esto significa que esta es una obligación que aplica esencialmente a aquellas compañías que

pertenecen a la cadena de valor del Big Data. No obstante, a diferencia de la propuesta de

132
Mantelero, la evaluación versa exclusivamente sobre las implicaciones que el tratamiento puede

tener con relación al hábeas data, no es realizada por un tercero independiente sino por el mismo

responsable, y sólo debe ser consultada con la autoridad de protección de datos cuando el resultado

de la evaluación arroje un riesgo alto (artículo 36).

Por otro lado, en aras de reforzar la responsabilidad en el tratamiento El Emam y Álvarez (2015)

propusieron un modelo de ética de la privacidad, que se resumía en términos prácticos a la creación

de un consejo ético en las instituciones responsables del tratamiento de datos personales, que

supervise las prácticas al interior de la organización en relación a la administración de los datos.

Pues bien, el Reglamento fortaleció el principio de responsabilidad demostrada con una

solución similar, en su artículo 37 dispuso que el Responsable y Encargado tienen la obligación

de designar un delegado de protección de datos, siempre y cuando, tengan la naturaleza de

autoridad pública, sus operaciones requieran de la observación habitual y sistemática de los

interesados a gran escala, o realicen operaciones a escala masiva con categorías especiales de

datos.

Este Delegado tiene la función de asesorar al responsable o encargado sobre el tratamiento, las

normas aplicables y de ser necesario colaborar con la evaluación de impacto, así como supervisar

el cumplimiento de las obligaciones que se desprenden del Reglamento y cooperar con la autoridad

de protección de datos. Consecuentemente, este órgano debe tratarse de una persona con suficiente

experticia sobre la materia, aspecto que representa un gran desafío según Tikkinen-Piri, Rohunen

y Markkula (2018), puesto que, la oferta laboral de personal con estas habilidades es baja en el

mercado.

Rubinstein (2012) considera que todas estas disposiciones del régimen europeo de protección

de datos, tienen como propósito asegurar el efectivo cumplimiento de los principios de

133
administración de datos; sin embargo son insuficientes para atender los desafíos planteados por el

Big Data, en tanto que no alcanzan para reparar el modelo del consentimiento informado, a pesar

que este es uno de sus fines. El citado autor propone seguir un modelo que realmente cambie los

incentivos de los distintos agentes involucrados en la explotación de datos, basado en el

empoderamiento del titular de los datos haciéndolo participe de la riqueza o beneficio de los datos

como lo sostienen los profesores Tene y Polonetsky (2012).

2.3.3. El modelo de empoderamiento del titular de los datos:

De acuerdo con Moiso y Minerva (2018) en la administración actual de datos personales las

organizaciones recolectan información personal generada por la actividad de los usuarios en la

web a través de distintas herramientas (cookies, web-bugs, entre otros) y la almacenan en sistemas

internos, para luego emplearla con fines publicitarios o venderla a sus clientes. De esta manera, el

titular de los datos desarrolla un papel marginal en la cadena de valor, a pesar que su información

es la que alimenta todo el proceso

El Foro Económico Mundial (2014) ha señalado que este modelo no va a ser sostenible en el

largo plazo, fallando en el proceso de generación de confianza en los titulares de la información;

especialmente porque como se señaló anteriormente la normatividad promueve un control parcial

y aislado de los datos personales. Los titulares al entregar sus datos mediando la debida

autorización no cuentan con los mecanismos necesarios para rastrear todos los datos y

autorizaciones dados durante su actividad en la web, en ese sentido no ostentan un control real

sobre su información.

Para superar esta dificultad a través del modelo de empoderamiento del titular de los datos se

propone reconocer el derecho de los individuos de obtener y controlar una copia de los datos

134
existentes acerca de ellos en la red digital, a efectos de negociar beneficios por compartir su

información según lo exponen a través de múltiples ejemplos Tene y Polonetsky (2012).

Los citados autores Moiso y Minerva (2018) sugieren que la viabilidad de este modelo depende

de la existencia de Almacenes de Datos Personales controlados por los usuarios, a través de los

cuales las personas pueden recolectar sus datos, y decidir la información que revelan a terceros,

con las restricciones que ellos decidan. Este servicio de almacenamiento lo prestarían proveedores

que no tendrían acceso a la información almacenada.

Siguiendo a Rubinstein (2012) este modelo no sólo es técnicamente plausible, sino que además

está en armonía con los principios de administración de datos personales desarrollados tanto en el

ámbito regulatorio europeo como anglosajón, puesto que tiene las siguientes características

distintivas:

1. Los individuos son el centro de la recolección, administración y uso de la

información; no las organizaciones responsables de tratamiento.

2. Los titulares de los datos tienen el derecho de compartir sus datos selectivamente y

en la cantidad que prefieran, tienen una visión global de los mismos.

3. Los individuos ejercen control sobre los usos primarios y segundarios de su

información personal a través de acuerdos de propiedad de los datos o técnicas de control de

los metadatos.

4. Los individuos son libres de compartir sus datos a efectos de expresar la demanda

de determinados bienes o servicios.

5. Los almacenes de datos personales están protegidos con medidas de seguridad

útiles y pertinentes, que protegen la información de accesos no autorizados.

135
 6. Los titulares de la información tienen el derecho a la portabilidad de los datos, lo

que significa que pueden transferir la información de un proveedor de almacenamiento a otro,

sin obstáculos.

7. Los proveedores de almacenamiento y los terceros que accedan a la información

deben ser responsables con relación a los usos de los datos, cumpliendo las obligaciones legales

o contractuales que contraigan.

Este modelo tuvo incidencia en el reconocimiento de nuevos derechos en el RGPD, con el

objetivo de empoderar al titular de la información en el ámbito digital (Garriga, 2016). Por ello, se

consagraron los derechos a la portabilidad de los datos y al olvido dentro del texto legal, en los

artículos 20 y 17 respectivamente, a continuación se expondrá el primero de ellos.

El derecho a la portabilidad tiene como finalidad reforzar el control de la persona sobre sus

propios datos cuando el tratamiento se realiza a través de medios automatizados, puesto que esta

tendrá derecho a recibir los datos personales que le incumban, cuando los haya facilitado a un

responsable del tratamiento, en un formato estructurado, de uso común, de lectura mecánica e

interoperable, y podrá transmitir los datos a otro responsable sin restricción alguna siempre que

sea técnicamente posible (considerando 68 del Reglamento).

De acuerdo con Ursic (2018), este derecho puede colaborar significativamente para superar las

limitaciones cognitivas que enfrenta el titular de los datos personales al ejercer el control sobre sus

datos en el marco de la normatividad actual. En tanto que, la persona puede ejercer control sobre

las transferencias de sus datos, de manera que estas obedezcan a sus preferencias y deseos

personales, por ejemplo sí el usuario no se siente conforme con la administración de sus datos por

un determinado responsable (v. gr. Facebook), puede transferirlos a otro (Twitter p. ej.), sin que

se generen perdidas de información.

136
 De igual manera este derecho le permitirá al titular controlar los usos segundarios de la

información, siempre que exista una infraestructura de datos funcional para ello. A través del

empleo de Almacenes de Datos u otros programas de administración de información, el titular de

la información podrá gestionar con facilidad los permisos para que se empleen sus datos con fines

investigativos, científicos, estadísticos, empresariales o aquellos que se vayan descubriendo

progresivamente, a cambio de beneficiarse con bienes, servicios o nuevas experiencias que

agreguen valor a su actividad en la red (Tene y Polonetsky, 2012).

Finalmente, la citada autora Ursic (2018) siguiendo al EPDB comenta que una adecuada

combinación entre este derecho y el derecho a la supresión de los datos, tiene el potencial de

prevenir la adopción de decisiones automatizadas basadas en datos que afecten negativamente al

titular de la información, o que envuelvan riesgos de discriminación; debido a que, la persona

podrá enviar la información a una tercera parte que realice un análisis imparcial sobre el perfil que

se elaboró con base en los datos y las decisiones que se adoptaron, a efectos de establecer si

realmente fueron discriminatorias o sesgadas.

Sin embargo, tal como ha sido consagrado este derecho en el Reglamento tiene varias

limitaciones en cuanto a su alcance; porque sólo aplica con relación a los datos entregados

voluntariamente por el titular al responsable del tratamiento (“provided data”), u observados

(“observed data”) por el responsable, según lo ha planteado el GT29 en documento denominado

Directrices sobre el derecho a la portabilidad de los datos (2018). Por lo que, la información que

ha sido inferida, derivada (“infered data”) o anonimizada, queda por fuera de su ámbito de

aplicación, también queda por fuera el tratamiento de información que no se base en el

consentimiento sino en otra de las causas contempladas en la Ley.

137
 En consecuencia los perfiles y demás datos inferidos que elaboran las compañías online con

base en los datos recolectados no estarían sujetos al derecho de portabilidad. Sin embargo, en el

sistema de la comunidad europea de naciones, existe una disposición jurídica que puede remediar

esta situación, en la medida en que la Directiva sobre contenido tecnológico, establece que los

consumidores en la economía digital, pueden obtener todos los datos tanto personales como de

otra naturaleza que se hayan generado como consecuencia de su actividad en la red o en las

aplicaciones digitales.

Debe tenerse en cuenta además que varias propuestas de empoderamiento del titular han

fracasado, debido a las dificultades técnicas que envuelve lograr la centralidad tecnológica del

individuo por medio de Almacenes de Datos Personales u otras herramientas similares, para

hacerlo participe y agente activo de la cadena de valor del Big Data, sin contar que varios de los

proyectos que se han adelantado parten de la base que el titular es un agente con toda la

información adecuada para controlar sus datos (Ursic, 2018).

No obstante, siguiendo a Garriga (2016) es innegable que la portabilidad de los datos luce

prometedora para remediar el desequilibrio existente entre los barones de los datos y los titulares

de la información, en la media en que genera incentivos para prevenir bloqueos tecnológicos

(technology block-in), estimulando la competencia en el mercado de datos, puesto que los

individuos que no estén conformes con la administración de sus datos podrán transferirlos a nuevos

agentes que ingresen al mercado con prácticas que representen mayor confiabilidad para ellos o

mejores servicios.

Conclusiones:

138
 En síntesis el Big Data ha puesto en crisis la espina dorsal de la jurisprudencia de la Corte

Constitucional sobre el derecho al habeas data y los fundamentos mismos de la Ley estatutaria

1581 de 2011, especialmente el principio de libertad y finalidad.

Esto ha significado que los titulares de los datos pierdan el control real sobre los mismos ante

grandes compañías que operan online, las cuales se aprovechan de las limitaciones cognitivas de

las personas al decidir sobre sus datos, para maximizar sus beneficios, mejorar su posición en el

mercado de datos, y sacar ventaja de las normas jurídicas sobre protección de datos personales que

incentivan decisiones parciales y aisladas sobre la información personal.

De igual manera, los barones de datos se benefician de normas jurídicas como el principio de

finalidad, que a pesar de estar en contradicción con la lógica del Big Data, en últimas genera

obstáculos para que nuevos competidores ingresen en el mercado de datos, y terminan por

empoderar al responsable del tratamiento, en lugar del titular, pues fortalece la posición de los

barones de datos.

En este contexto, afirmar la centralidad de la persona y el control sobre su información personal

es una verdad insostenible. En tal sentido el regulador colombiano debe posar la mirada sobre los

distintos modelos de solución que se proponen, para efectos de dar una respuesta efectiva frente a

estos los desafíos. Los distintos modelos de solución que se derivan de la experiencia internacional,

pretenden atenuar la contradicción lógica existente entre los principios de protección de datos

personales y el análisis masivo de datos, de la siguiente manera:

1. Redefiniendo el alcance del principio de finalidad, permitiendo que la información

personal se utilice para usos segundario incompatibles con los principales, siempre y cuando

sean justos.

139
 2. Limitando los efectos de las decisiones automatizadas que afecten individuos

particulares, tomadas sobre la base del análisis masivo de datos, exigiendo que en estos casos

se respete en estricto sentido el principio de finalidad y libertad como ha sido definido

actualmente.

3. Empoderando al titular de los datos personales, a través del fortalecimiento del

papel del consentimiento y del reconocimiento de nuevos derechos como el derecho al olvido

y a la portabilidad de los datos, partiendo de la base que existen limitaciones cognitivas en la

persona que generan dificultades para lograr el estándar legal del consentimiento cualificado.

4. Adoptando una aproximación basada en el riesgo que centre la acción del regulador

en aquellos sujetos, como los barones de datos, que representan un mayor riesgo para la

autodeterminación informática.

El Estado colombiano ha dado sus primeros pasos al tratar de asumir una aproximación basada

en el riesgo, a través de la “Guía para la implementación de responsabilidad demostrada”

publicada en 2016 por la SIC (2016), que promueve con fundamento en el artículo 27 del Decreto

1377 de 2013 compilado en el Decreto 1074 de 2015, la adopción de un Programa Integral de

Gestión de Datos Personales, que sea el resultado de un proceso de debida diligencia al interior de

la organización, en el que se tome en cuenta:

(i) La existencia de una estructura administrativa interna proporcional a la estructura

y tamaño empresarial, así como la gravedad del riesgo;

(ii) La adopción de mecanismo internos que permitan la implementación de las

políticas de protección de datos efectivas;

140
 (iii) La implementación de mecanismos internos para dar respuesta a las peticiones,

quejas o reclamos de los titulares.

La SIC ha querido incentivar un compromiso serio en la protección de los datos personales por

parte de los responsables del tratamiento; sin embargo, aún está latente el problema de la

globalidad con que operan los agentes dentro de la red digital. Sin contar que no se han tomado

medidas legislativas o administrativas a nivel interno con el propósito de redefinir el alcance de

los principios de libertad y finalidad. El camino está por recorrer, la discusión sobre la

conveniencia de los modelos normativos de solución queda abierta, mientras tanto los barones de

datos continúan fortaleciendo su posición de dominio en la red digital.

141
 CONCLUSIONES

1. El régimen normativo nacional e internacional de protección de datos personales,

así como sus fundamentos científicos y filosóficos, han evolucionado según las condiciones

tecnológicas y económicas en que se ejerce el poder informático a nivel global, desde mediados

del siglo XX con la aparición de la computadora de arquitectura centralizada, que permitió el

procesamiento automatizado de la información personal, dando lugar a la aparición dentro de

los ordenamientos jurídicos de los Estados europeos y anglosajones de los principios jurídicos

de transparencia, seguridad, finalidad, circulación restringida, autoridad independiente, daño,

entre otros, aplicables al tratamiento de datos personales.

2. La aparición de la computadora personal y del internet generó un boom regulatorio

en materia de datos personales a nivel global, con la proliferación de normas de carácter

interno, comunitario e internacional. Así, se demostró en esta investigación que el Derecho

está intrínsecamente ligado al contexto tecnológico y económico, no en vano es secreción de

la sociedad y la historia, este se proyecta sobre las condiciones de la técnica, la economía, y lo

social, creando relaciones de deber ser que responden a las necesidades antropológicas

humanas en el marco de contextos particulares, a fin de garantizar la dignidad de la persona,

precisamente esto fue lo que ocurrió con el régimen normativo de hábeas data.

3. El Estado Colombiano se puso a tono con la tendencia normativa internacional y

extranjera de protección del habeas data, a través de la promulgación de la Constitución

Política de 1991, la jurisprudencia constitucional posterior, la Ley 1266 de 2008 y la Ley 1581

de 2012; sistema jurídico en el que prima la centralidad de la persona humana, puesto que

existe con fines a garantizar el control individual sobre la información personal, para limitar el

142
poder informático que detentan grandes compañías privadas o instituciones públicas. Esta fue

la conclusión que se extrajo del análisis de la normatividad vigente sobre la materia.

4. Empero, con la aparición en la última década del Big Data se generan serias

dificultades para la aplicación y cumplimiento de los principios jurídicos de protección de

datos personales, puesto que la lógica subyacente a esta nueva tecnología es sustancialmente

distinta a los fines que se persiguen a través del régimen normativo colombiano y extranjero

de protección del hábeas data. Desde varios sectores de la doctrina jurídica se afirma que los

principios de administración de datos han quedado obsoletos en el nuevo contexto de la

economía digital, por lo que el Estado Colombiano no tiene un nivel adecuado de protección

al menos desde el punto de vista instrumental, como se logró demostrar en el capítulo segundo.

5. Ante esta situación la experiencia internacional demuestra que a nivel externo se

han realizado varios ajustes normativos, el principal de ellos es la expedición en el marco de

la Unión Europea del RGDP por parte del Parlamento Europeo. Esta nueva disposición jurídica

reforzó los principios de libertad, transparencia, y responsabilidad demostrada; así mimo

consagró nuevos derechos a efectos de empoderar a los titulares de los datos personales,

tratando de atenuar la relación asimétrica que tienen con las grandes compañías que se

benefician de la explotación de su información personal. La pregunta que se genera en cuanto

a este aspecto es sí el Estado Colombiano deberá ajustarse a esta nueva tendencia normativa.

6. El asunto es especialmente complejo, en la medida en que al analizar los incentivos

que el régimen colombiano de protección de datos personales genera en los agentes

particulares, se concluyó que este propicia o favorece estrategias corporativas tendientes a

evadir el cumplimiento de los principios de administración de datos debido a los altos costos

143
regulatorios, y a la contradicción lógica existente entre el modelo de negocio del Big Data y el

alcance de tales principios.

7. En primer lugar, con relación al ámbito de aplicación de la Ley 1581 se determinó

que ante las condiciones tecnológicas actuales esté se torna demasiado amplio, en tanto que,

toda información generada por una persona en la red sería identificable o determinable, lo que

extiende la propiedad o titularidad de los datos a toda la información existente en la red; un

absurdo que veja de su efecto útil al régimen normativo. Para escapar a este ámbito regulatorio

cada vez más amplio, las empresas deciden aplicar técnicas de anonimización severa, en las

que quedan atrapados, puesto que estas también significan una pérdida significativa de utilidad,

lo que se denominó la paradoja de la utilidad.

8. Sólo las grandes compañías o barones de datos, propietarias de las bases de datos

masivas, pueden superar con facilidad la paradoja de la utilidad, en tanto que estos pueden

evadir el cumplimiento de la normatividad a través de técnicas de rastreo del titular de la

información en la red sin necesidad de recolectar rasgos identificadores o información

identificable del sujeto, o en su defecto pueden anonimizar sin perder utilidad al aplicar

técnicas de reidentificación. En tal sentido, la Ley 1581 realmente privilegia la posición de

dominio de los barones de datos en el mercado, dado que los costos regulatorios son

esencialmente asumidos por pequeños, medianos o nuevos empresarios que ingresan a la

economía del Big Data, lo que representa una seria dificultad para la ejecución de las

recomendación nueve (9) realizada por el CONPES en el documento 3920 de 2018.

9. Por lo tanto, se concluyó que el Estado colombiano se enfrenta al desafío de

proteger a los titulares de la información en un mercado de datos operado por leviatanes

corporativos, propietarios de bases masivas de datos, que no operan exclusivamente dentro del

144
ámbito de su jurisdicción sino de manera global, lo que les permite evadir con facilidad la

acción de las autoridades de protección de datos personales, aprovechándose en cierta medida

de la falta de armonización de los distintos regímenes de protección de datos existentes. Bajo

estas circunstancias, las autoridades públicas fallan en el intento de garantizar la centralidad

de la persona y sus derechos constitucionales en la red digital.

10. La legislación en datos personales, Ley 1581 de 2011, en lugar de limitar el poder

informático termina generando en el contexto del Big Data el efecto contrario. Por una parte,

el cumplimiento del principio de finalidad del tratamiento, previene el surgimiento de

mercados segundarios de datos que serían aprovechados por nuevos competidores en el

mercado; por lo que su efecto real es empoderar o reforzar la posición de dominio que ostentan

los barones de los datos, generando pérdidas de competitividad para emprendedores o

pequeños empresarios, que al aplicar este principio en estricto sentido no podrían emplear la

información personal recolectada en usos segundarios.

11. A nivel internacional la solución normativa propuesta ante esta problemática ha

sido abrir el camino para el empleo de la información personal en usos segundarios, que no

necesariamente guarden conexidad con las finalidades principales del tratamiento, siempre que

sean justos y se empleen en investigaciones de naturaleza científica o estadística, que no

afecten de modo alguno los intereses o derechos de individuos particulares, esto es, que no

sean base para la toma de decisiones automatizadas con efectos frente a personas humanas.

Así, a través de esta solución se pretende reducir las externalidades negativas o riesgos que se

desprenden del Big Data, en los procesos de toma de decisiones automatizadas; al tiempo que

se promueve la aparición de mercados segundarios de datos con fines investigativos, que sean

de provecho tanto para las instituciones públicas como para la empresa privada.

145
 12. Por otro lado, el principio de libertad también termina por empoderar a los barones

de datos, puesto que como se demostró en el capítulo cuarto, existen toda una serie de

estrategias corporativas disponibles para evadir su alcance real. De hecho se demostró que este

principio tal como aparece desarrollado en la Ley 1581 y en la jurisprudencia constitucional,

genera incentivos para que el titular de la información tome decisiones aisladas y parciales

sobre sus datos personales, en las que no alcanza a comprender las operaciones que sobre ellos

se realizan en la red digital y la forma en que son agregados por los distintos agentes que

participan de la cadena de valor del Big Data. Esto significa que crece la asimetría de poder en

la relación entre el titular del dato y las grandes compañías responsables del tratamiento de

datos; por lo que la centralidad del individuo no pasa de ser más que una ilusión, que se

resquebraja ante el control que ejercen tales compañías sobre sus datos.

13. De este modo, en esta investigación también se demostró que existe una tensión

latente entre el poder informático y el derecho fundamental a la autodeterminación informática,

que ante las condiciones jurídicas, económicas y tecnológicas actuales la balanza parece

inclinarse a favor del primero. El análisis del modelo de negocio detrás de la explotación de

datos revela que quien está realmente en el centro no es el individuo titular del dato, sino las

organizaciones responsables del tratamiento, ¿cómo modificar esta situación?

14. La tendencia normativa europea y anglosajona revelan un decidido movimiento

dirigido a empoderar al titular de la información a través del reconocimiento de nuevos

derechos, como el de portabilidad, con fines a generar incentivos que favorezcan la protección

del hábeas data, tarea para nada sencilla dada las limitaciones cognitivas que afronta el

individuo, que pretenden resolverse de igual manera con el fortalecimiento de los principios

de transparencia y responsabilidad demostrada, a través de medidas como el establecimiento

146
de mecanismos de certificación, códigos de conducta, sellos y marcas de protección de datos;

que garanticen el adecuado tratamiento de datos y simplifiquen el proceso de decisión al

momento de autorizar el tratamiento de los datos.

15. El Estado colombiano, al respecto, apenas está dando sus primeros pasos para

afrontar los desafíos tecnológicos del Big Data. Mientras tanto la posición de los barones de

datos se sigue fortaleciendo, por lo que queda demostrada la hipótesis planteada en la

investigación: el régimen colombiano de hábeas data no cuenta con una protección adecuada

y efectiva de los datos personales en el contexto tecnológico de la explotación masiva de datos,

en la medida en que propicia estrategias corporativas que desconocen los principios de

protección de datos y la autodeterminación informática del titular de la información en

beneficio de un reducido número de compañías que participan de la cadena de valor del Big

Data.

16. Debe tenerse en cuenta que la tarea de ajustar los principios de protección de datos

al nuevo contexto tecnológico no es exclusiva del Estado Colombiano, como se demostró la

naturaleza de los riesgos que se derivan del Big Data es global, los agentes que se benefician

del análisis masivo operan sin sujeción a limites jurisdiccionales; por lo que, es necesario hacer

un llamado a la comunidad internacional para que tome en serio está problemática, que

amenaza la autodeterminación informática de los individuos con el surgimiento de las bases

de datos de ruina (en los términos del Paul Ohm). Es indispensable que se fortalezcan las

autoridades de protección de datos a nivel global, se armonicen los distintos regímenes de

protección de datos y se planteen modelos de solución efectivos para restablecer la centralidad

del titular de los datos.

147
 17. No se trata de derogar o abandonar los principios de protección datos personales

que funcionan adecuadamente en determinados contextos, su carácter de normas abiertas

permite ajustarlos a los nuevos desafíos tecnológicos.

BIBLIOGRAFÍA

148
 Libros, Tesis y Artículos Académicos:

1. Acquisti, A., & Grossklags, J. (2006). Privacy and rationality. In Privacy and Technologies

of Identity (pp. 15-29). Springer, Boston, MA. Doi: https://doi.org/10.1007/0-387-28222-

X_2

2. Acquisti, A., & Grossklags, J. (2007). What can behavioral economics teach us about

privacy. Digital privacy: theory, technologies and practices, 18, 363-377. Recuperado de:

https://s3.amazonaws.com/academia.edu.documents/30777913/file1.pdf?AWSAccessKeyId

=AKIAIWOWYYGZ2Y53UL3A&Expires=1539993171&Signature=wM7lhSkMRXFy6jl

bma0BAKRnsY4%3D&response-content-

disposition=inline%3B%20filename%3DWhat_can_behavioral_economics_teach_us_a.pdf

#page=386

3. Albrecht, J. P. (2016). The EU’s New Data Protection Law–How A Directive Evolved Into

A Regulation. Computer Law Review International, 17(2), 33-43. DOI:

https://doi.org/10.9785/cri-2016-0202

4. Bayern, S. J. (2009). Rational Ignorance, Rational Closed-Mindedness, and Modern

Economic Formalism in Contract Law. California Law Review, 97(3), 943-973. DOI:

http://dx.doi.org/https://doi.org/10.15779/Z38TD7R

5. Bennett, C. J., & Bayley, R. M. (2016). Privacy protection in the era of ‘big data’: regulatory

challenges and social assessments. Exploring the Boundaries of Big Data, 205. Recuperado

de:

https://bartvandersloot.com/onewebmedia/Verkenning_32_Exploring_the_Boundaries_of_

Big_Data.pdf#page=206

149
6. Barocas, S., & Nissenbaum, H. (2014). Big data’s end run around anonymity and

consent. Privacy, big data, and the public good: Frameworks for engagement, 1, 44-75.

7. Beavers, A. F. (2013). Floridi historizado: La cuestión del método, el estado de la profesión

y la oportunidad de la filosofía de la información de Luciano Floridi. Escritos, 21(46), 39-68.

Recuperado de: https://revistas.upb.edu.co/index.php/escritos/article/view/1782/1719

8. Boyd, D., & Crawford, K. (2012). Critical questions for big data: Provocations for a cultural,

technological, and scholarly phenomenon. Information, communication & society, 15(5),

662-679. DOI: https://doi.org/10.1080/1369118X.2012.678878

9. Brin, S., & Page, L. (1998). The anatomy of a large-scale hypertextual web search engine.

Computer networks and ISDN systems, 30(1-7), pp.107-117. DOI:

https://doi.org/10.1016/S0169-7552(98)00110-X

10. Brickell, J., & Shmatikov, V. (2008). The cost of privacy: destruction of data-mining utility

in anonymized data publishing. In Proceedings of the 14th ACM SIGKDD international

conference on Knowledge discovery and data mining, pp. 70-78. DOI:

https://doi.org/10.1145/1401890.1401904

11. Brynjolfsson, E., Hitt, L.M. and Kim, H.H. (2011). Strength in Numbers: How Does Data

Driven Decision-making Affect Firm Performance? DOI:

http://dx.doi.org/10.2139/ssrn.1819486

12. Burrows, R., & Savage, M. (2014). After the crisis? Big data and the methodological

challenges of empirical sociology. Big data & society, April–June, 1–6. DOI:

https://doi.org/10.1177/2053951714540280

150
13. Camargo-Vega, J. J., Camargo-Ortega, J. F., & Joyanes-Aguilar, L. (2015). Knowing the Big

Data. Facultad de Ingeniería, 24(38), 63-77. Recuperado de:

http://www.scielo.org.co/scielo.php?script=sci_arttext&pid=S0121-11292015000100006

14. Cattell, R. (2011). Scalable SQL and NoSQL data stores. Acm Sigmod Record, 39(4), 12-27.

DOI: https://doi.org/10.1145/1978915.1978919

15. Cukier, K., & Mayer-Schoenberger, V. (2013). The rise of big data: How it's changing the

way we think about the world. Foreign Aff., 92, 28.

16. Castells, M. (2004). La era de la información: economía, sociedad y cultura (Vol. 3). Siglo

XXI.

17. Cifuentes Munoz, E. (1997). El hábeas data en Colombia. Derecho PUCP, 51, 115.

18. Castells, M. (2009). Comunicación y poder. Signo y pensamiento.

19. Courtis, C. (2006). El juego de los juristas. Ensayo de caracterización de la investigación

dogmática. Observar la ley. Ensayos sobre metodología de la investigación jurídica, Ed.

Trotta.

20. Crawford, K., & Schultz, J. (2014). Big data and due process: Toward a framework to redress

predictive privacy harms. BCL Rev., 55, 93. DOI: https://ssrn.com/abstract=2325784

21. Canbay, Y., & Sağıroğlu, S. (2017). Big data anonymization with spark. In Computer Science

and Engineering (UBMK), 2017 International Conference on (pp. 833-838). DOI:

https://doi.org/10.1109/UBMK.2017.8093543

22. Cate, F. H., & Mayer-Schönberger, V. (2013). Notice and consent in a world of Big

Data. International Data Privacy Law, 3(2), 67-73. DOI: https://doi.org/10.1093/idpl/ipt005

23. Caro, M. Á. (2015). Derecho al olvido en internet: el nuevo paradigma de la privacidad en

la era digital. Editorial Reus.

151
24. Cooter, R. D., & Ulen, T. (2012). Law and economics. Law & economic.

25. Castells, M. (2010). Comunicación y poder en la sociedad red. Cátedra Globalización y

Democracia.

26. Chen, M., Mao, S., & Liu, Y. (2014). Big data: A survey. Mobile networks and applications,

19(2), 171-209. DOI: 10.1007/s11036-013-0489-0

27. Chen, M., Mao, S., Zhang, Y., & Leung, V. C. (2014). Big data: related technologies,

challenges and future prospects (p. 35). Heidelberg: Springer. Recuperado de:

http://mmlab.snu.ac.kr/~mchen/min_paper/2014/2014-29-Springer-1-BigDataBook.pdf

28. Chen, C. P., & Zhang, C. Y. (2014). Data-intensive applications, challenges, techniques and

technologies: A survey on Big Data. Information Sciences, 275, 314-347. DOI:

https://doi.org/10.1016/j.ins.2014.01.015

29. Date, C. J., & Darwen, H. (1989). A guide to the SQL Standard: a user's guide to the standard

relational language SQL. Addison-Wesley.

30. Doneda, D. (2007). O Habeas data no ordenamento brasileiro e a proteção de dados pessoais:

uma integração ausente. Revista De Derecho Comunicaciones Y Nuevas Tecnologías, (3), 1-

15.

31. Daros, W. R. (2017). ¿ Qué es un marco teórico?. Enfoques, 14(1 y 2), 73-112

32. Daries, J. P., Reich, J., Waldo, J., Young, E. M., Whittinghill, J., Ho, A. D., ... & Chuang, I.

(2014). Privacy, anonymity, and big data in the social sciences. Communications of the ACM,

57(9), 56-63. DOI: https://doi.org/10.1145/2643132

33. De Hert, P., & Papakonstantinou, V. (2012). The proposed data protection Regulation

replacing Directive 95/46/EC: A sound system for the protection of individuals. Computer

Law & Security Review, 28(2), 130-142. DOI: https://doi.org/10.1016/j.clsr.2012.01.011

152
34. Dwork, C. (2008). Differential privacy: A survey of results. In International Conference on

Theory and Applications of Models of Computation (pp. 1-19). Springer, Berlin, Heidelberg.

Recuperado de:

http://users.cis.fiu.edu/~lpeng/Privacy/Differential%20Privacy%20A%20Survey%20of%20

Results.pdf

35. Dworkin, R.M. (1989) Los derechos en serio. Trad. Guastavino, Editorial Ariel.

36. Domingo-Ferrer, J., Sebé, F., & Castella-Roca, J. (2004). On the security of noise addition

for privacy in statistical databases. In International Workshop on Privacy in Statistical

Databases (pp. 149-161). Springer, Berlin, Heidelberg. Recuperado de: https://crises-

deim.urv.cat/webCrises/publications/isijcr/lncs3050OntheSec.pdf

37. Downs, A. (1957). An economic theory of political action in a democracy. Journal of political

economy, 65(2), 135-150. DOI: https://doi.org/10.1086/257897

38. Dussel, E. D. (1995). Introducción a la filosofía de la liberación. Bogotá: Nueva América.

39. El Emam, K., & Álvarez, C. (2014). A critical appraisal of the Article 29 Working Party

Opinion 05/2014 on data anonymization techniques. International Data Privacy Law, 5(1),

73-87. DOI: https://doi.org/10.1093/idpl/ipu033

40. Eisenberg, M. A. (1995). The limits of cognition and the limits of contract. Stanford Law

Review, 211-259. DOI: 10.2307/1229226

41. Espinosa, C. A. (2008). La información en la Red y el principio de neutralidad tecnológica:

la libertad de expresión y la difusión de información administrativa. Revista Vasca de

Administración Pública. Herri-Arduralaritzako Euskal Aldizkaria, (81), 15-61. Recuperado

de: https://dialnet.unirioja.es/servlet/articulo?codigo=2785404

153
42. Engan, M. (2017). Big Data and GDPR. Tesis de maestría, University of Stavanger.

Recuperado de: https://brage.bibsys.no/xmlui/handle/11250/2467489

43. Floridi, L. (2002). "Data", article for the International Encyclopedia of the Social Sciences,

2nd edition, editor in chief William A. Darity (Detroit: Macmillan)

44. Floridi, L. (2011). The philosophy of information. Oxford University Press.

45. Floridi, L. (2014). The 4th Revolution. Oxford University Press.

46. Foucault, M. (2003). Vigilar y castigar: nacimiento de la prisión. Siglo xxi.

47. Foucault, M (1999). Estrategia de poder. Paidos.

48. Fernández, J. P. M. (2017). La protección de datos y los motores de búsqueda en Internet:

Cuestiones actuales y perspectivas de futuro acerca del derecho al olvido/Data protection and

Internet search engines: current issues and future perspectives about the right to be

forgotten. Revista de Derecho Civil, 4(4), 181-209. Recuperado de:

http://nreg.es/ojs/index.php/RDC/article/view/280/228

49. Frosini, V. (1988). Informática y Derecho. Trad. Jorge Guerrero y Marino Ayerra Redín.

50. Fuster, G. G., & Scherrer, A. (2015). Big Data and smart devices and their impact on privacy.

Committee on Civil Liberties, Justice and Home Affairs (LIBE), Directorate-General for

Internal Policies, European Parliament. Recuperado de: http://www. europarl. europa.

eu/RegData/etudes/STUD/2015/536455/IPOL_STU (2015) 536455_EN. pdf

51. Ferrajoli, L. (2011). Principia iuris: teoría del derecho y de la democracia. Teoría de la

democracia. Trotta.

52. Foucault, M. (1979). Microfisica do poder. Tr. de Julia Varela y Fernando Álvarez-Uría. 2a.

ed. Madrid, Ia Piqueta.

154
53. Forgó, N., Hänold, S., & Schütze, B. (2017). The Principle of Purpose Limitation and Big

Data. In New Technology, Big Data and the Law (pp. 17-42). Springer, Singapore.

54. Gantz J, Reinsel D (2011). Extracting value from chaos. IDC iView, pp 1–12 Recuperado de:

https://www.emcgrandprix.com/collateral/analyst-reports/idc-extracting-value-from-chaos-

ar.pdf

55. Gil Gonzales, Elena. (2016). Big Data, Privacidad y Protección de Datos. Accesit en el

premio de investigación, Agencia Española de Protección de Datos.

56. Garriga Domínguez, A. (2016). Nuevos retos para la protección de datos personales. En la

Era del Big Data y de la computación ubicua. Dykinson.

57. Guío Español, C. (2007). Visión nacional e internacional de la vigencia del dato financiero:

avances y retrocesos en el caso colombiano. Revista de derecho, comunicaciones y nuevas

tecnologías, 1-22.

58. Gayo, M. R. (2017). Big data: hacia la protección de datos personales basada en una

transparencia y responsabilidad aumentadas. Revista De Derecho Comunicaciones Y Nuevas

Tecnologías, (17), 1-24. DOI:10.15425/redecom.17.2017.09.

59. Gellert, R. (2018). Understanding the notion of risk in the General Data Protection

Regulation. Computer Law & Security Review, 34(2), 279-288. DOI:

https://doi.org/10.1016/j.clsr.2017.12.003

60. Gellman, R. (2017). Fair information practices: A basic history. Recuperado de:

https://bobgellman.com/rg-docs/rg-FIPshistory.pdf

61. Gray, D., & Citron, D. (2013). The right to quantitative privacy. Minn. L. Rev., 98, 62.

Recuperado de: http://www.minnesotalawreview.org/wp-

content/uploads/2013/11/GrayCitron_MLR.pdf

155
62. Hashem, I. A. T., Yaqoob, I., Anuar, N. B., Mokhtar, S., Gani, A., & Khan, S. U. (2015). The

rise of “big data” on cloud computing: Review and open research issues. Information

Systems, 47, 98-115.

63. Hernández Antón, I. (2014). Floridi: información y filosofía. Thémata, 49, 127-142.

Recuperado de:

https://idus.us.es/xmlui/bitstream/handle/11441/27930/file_1.pdf?sequence=1

64. Hustinx, P. (2013). EU data protection law: The review of directive 95/46/EC and the

proposed general data protection regulation. Collected courses of the European University

Institute’s Academy of European Law, 24th Session on European Union Law, 1-12.

65. Hueso, L. C. (2017). Big data e inteligencia artificial. Una aproximación a su tratamiento

jurídico desde los derechos fundamentales. Dilemata, (24), 131-150. Recuperado de:

https://dialnet.unirioja.es/servlet/articulo?codigo=6066829

66. Hox, J. J., & Boeije, H. R. (2005). Data collection, primary versus secondary. Encyclopedia

of social measurement, 1, 593. Recuperado de:

https://dspace.library.uu.nl/bitstream/handle/1874/23634/hox_05_data+collection,primary+

versus+secondary.pdf?sequence=1

67. He, Y., Lee, R., Huai, Y., Shao, Z., Jain, N., Zhang, X., & Xu, Z. (2011, April). RCFile: A

fast and space-efficient data placement structure in MapReduce-based warehouse systems. In

Data Engineering (ICDE), 2011 IEEE 27th International Conference on (pp. 1199-1208).

DOI: https://doi.org/10.1109/ICDE.2011.5767933

68. Harari, Y. N. (2014). Sapiens. De animales a dioses: Una breve historia de la humanidad.

Debate. Horizon Books (A Division of Ignited Minds Edutech P Ltd).

156
69. Iguaran, M. & Muñoz, R. (2012). Habeas data: desarrollo normativo y jurisprudencial en

Colombia. Tesis de Grado. Recuperado de:

https://repository.eafit.edu.co/bitstream/handle/10784/12075/Miguel%C3%81ngel_Iguaran

Osorio_Rafael_Mu%C3%B1ozJim%C3%A9nez_2012.pdf?sequence=2

70. Jaramillo Romero, C. (2016). Derecho Fundamental al Hábeas Data:¿ Cómo se ha

desarrollado y cuales han sido sus consecuencias en el ordenamiento jurídico colombiano?.

Tesis de Grado. Recuperado de: https://repository.upb.edu.co/handle/20.500.11912/2877

71. John, L. K., Acquisti, A., & Loewenstein, G. (2009). The best of strangers: Context dependent

willingness to divulge personal information. DOI: https://dx.doi.org/10.2139/ssrn.1430482

72. Kitchin, R. (2014). The data revolution: Big data, open data, data infrastructures and their

consequences. Sage.

73. Kshetri, N. (2014). Big data‫ ׳‬s impact on privacy, security and consumer

welfare. Telecommunications Policy, 38(11), 1134-1145. DOI:

https://doi.org/10.1016/j.telpol.2014.10.002

74. Kosta, E., Kalloniatis, C., Mitrou, L., & Gritzalis, S. (2010). Data protection issues pertaining

to social networking under EU law. Transforming Government: People, Process and Policy,

4(2), 193-201. Recuperado de:

https://pdfs.semanticscholar.org/447b/471df7ae93a7180a6e5163ba763c3ba0114f.pdf

75. Koops, B. J. (2014). The trouble with European data protection law. International Data

Privacy Law, 4(4), 250-261. DOI: https://doi.org/10.1093/idpl/ipu023

76. Kemp, Richard. (2014). Big Data and Data Protection. Kemp IT Law, v.1.0. Recuperado de:

http://www.kempitlaw.com/wp-content/uploads/2014/10/Big-Data-and-Data-Protection-

White-Paper-v1_0-November-2014.pdf

157
77. Leenes, R., & Kosta, E. (2015). Taming the cookie monster with dutch law–a tale of

regulatory failure. Computer Law & Security Review, 31(3), 317-335. DOI:

https://doi.org/10.1016/j.clsr.2015.01.004

78. Leenes R. (2016) Explaining the Unknown: Accountability and Transparency in Big Data

Land. Data Science Seminar, Tilburg.

79. Lane, J., Stodden, V., Bender, S., & Nissenbaum, H. (2014). Privacy, big data, and the public

good: Frameworks for engagement. New York, NY: Cambridge University Press.

80. Luño, A. E. P. (1992). Del habeas corpus al habeas data. Informática y derecho: revista

iberoamericana de derecho informático, (1), 153-161. DOI:

https://dialnet.unirioja.es/descarga/articulo/4482974.pdf

81. Li, N., Li, T., & Venkatasubramanian, S. (2007). t-closeness: Privacy beyond k-anonymity

and l-diversity. In Data Engineering, 2007. ICDE 2007. IEEE 23rd International Conference

on (pp. 106-115). IEEE. DOI: https://doi.org/10.1109/ICDE.2007.367856

82. Mell, P., & Grance, T. (2011). The NIST definition of cloud computing. Recuperado de:

http://faculty.winthrop.edu/domanm/csci411/Handouts/NIST.pdf

83. Márquez Buitrago, f. (2016). Aplicación de la ley estatutaria 1581 de 2012 a la red social

facebook en colombia. Revista De Derecho Comunicaciones Y Nuevas Tecnologías, (15), 1-

31. DOI:10.15425/redecom.15.2016.04

84. Manrique Gómez, V. (2015). El derecho al olvido: análisis comparativo de las fuentes

internacionales con la regulación colombiana. Revista De Derecho Comunicaciones Y

Nuevas Tecnologías, (14), 1-25. DOI:10.15425/redecom.14.2015.09

85. Mayer-Schönberger, V., & Cukier, K. (2013). Big Data–A Revolution That Will Transform

How We Live, Think and Work. Houghton Mifflin Harcourt.

158
86. McDonald, A. M., & Cranor, L. F. (2008). The cost of reading privacy policies. ISJLP, 4,

543. Recuperado de: https://kb.osu.edu/bitstream/handle/1811/72839/ISJLP_V4N3_543.pdf

87. Milne, G. R., & Culnan, M. J. (2004). Strategies for reducing online privacy risks: Why

consumers read (or don’t read) online privacy notices. Journal of interactive

marketing, 18(3), 15-29. DOI: https://doi.org/10.1002/dir.20009

88. Mislove, A., Viswanath, B., Gummadi, K. P., & Druschel, P. (2010). You are who you know:

inferring user profiles in online social networks. In Proceedings of the third ACM

international conference on Web search and data mining (pp. 251-260). ACM. DOI:

https://doi.org/10.1145/1718487.1718519

89. Munir, A. B., Yasin, M., Hajar, S., & Muhammad-Sukki, F. (2015). Big data: big challenges

to privacy and data protection. Recuperado de: https://ssrn.com/abstract=2609229

90. Mayer-Schonberger, V., & Padova, Y. (2015). Regime Change: Enabling Big Data through

Europe's New Data Protection Regulation. Colum. Sci. & Tech. L. Rev., 17, 315. Recuperado

de: https://www.kiip.re.kr/webzine/1609/files/library_paper3.pdf

91. Mesa Jiménez, F. Y. (2012). Las tecnologías de la información y la comunicación en la

universidad colombiana: evolución y prospectiva. Revista Historia de la Educación

Latinoamericana, 14(19) Recuperado de: http://www.redalyc.org/html/869/86926976004/

92. Moiso, C., & Minerva, R. (2012). Towards a user-centric personal data ecosystem the role of

the bank of individuals' data. In Intelligence in Next Generation Networks (ICIN), 2012 16th

International Conference on (pp. 202-209). IEEE. DOI:

https://doi.org/10.1109/ICIN.2012.6376027

159
93. Narayanan, A., & Shmatikov, V. (2008, May). Robust de-anonymization of large sparse

datasets. In Security and Privacy, 2008. SP 2008. IEEE Symposium on (pp. 111-125). IEEE.

DOI: https://doi.org/10.1109/SP.2008.33

94. Narayanan, A., & Shmatikov, V. (2009, May). De-anonymizing social networks. In Security

and Privacy, 2009 30th IEEE Symposium on (pp. 173-187). IEEE. DOI:

https://doi.org/10.1109/SP.2009.22

95. Narayanan, A., & Shmatikov, V. (2010). Myths and fallacies of personally identifiable

information. Communications of the ACM, 53(6), 24-26. DOI:

https://doi.org/10.1145/1743546.1743558

96. Nissenbaum, H. (2009). Privacy in context: Technology, policy, and the integrity of social

life. Stanford University Press.

97. O. R. Team (2011) Big data now: current perspectives from OReilly Radar. OReilly Media

98. Ohm, P. (2012). Don't build a database of ruin. Harvard Business Review. Recuperado de:

https://hbr.org/2012/08/dont-build-a-database-of-ruin

99. Ohm, P., & Peppet, S. What if everything reveals everything? En: Sugimoto, C. R., Ekbia,

H. R., & Mattioli, M. (Eds.). (2016). Big data is not a monolith. MIT Press.

100. Ohm, P. (2010). Broken promises of privacy: Responding to the surprising failure of

anonymization. Ucla L. Rev., 57, 1701. Recuperado de: https://ssrn.com/abstract=1450006

101. Ortega y Gasset, J. (2010). La rebelión de las masas. Ed. Raúl Bedrea Núñez.

102. Paulsen, K. (2012). Moving media storage technologies: applications & workflows for

video and media server platforms. Focal Press

103. Porter, M. (1986).Ventaja Competitiva. Editorial C.E.C.S.A. México.

160
104. Puldain Salvador, V. (2017). El futuro marco legal para la protección del acceso a los datos.

Revista Ibero-Latinoamericana de Seguros, 26(47).

105. Puccinelli, O. R. (2015). El hábeas data a veinte años de su incorporación en la

Constitución argentina. Revista De Derecho Comunicaciones Y Nuevas Tecnologías, (13),

1-25. DOI:10.15425/redecom.13.2015.02

106. Parraguez Kobek, L., & Caldera, E. (2016). Cyber Security and Habeas Data: The Latin

American response to information security and data protection. Recuperado de:

https://ssrn.com/abstract=2868039

107. Rao, B. P., Saluia, P., Sharma, N., Mittal, A., & Sharma, S. V. (2012). Cloud computing

for Internet of Things & sensing based applications. In Sensing Technology (ICST), 2012

Sixth International Conference on (pp. 374-380). IEEE. DOI:

https://doi.org/10.1109/ICSensT.2012.6461705

108. Rahm, E., & Do, H. H. (2000). Data cleaning: Problems and current approaches. IEEE

Data Eng. Bull., 23(4), 3-13. Recuperado de:

https://www.betterevaluation.org/sites/default/files/data_cleaning.pdf

109. Ribes, X. (2007). La Web 2.0. El valor de los metadatos y de la inteligencia colectiva.

Telos, 73, 36-43. Recuperado de: https://core.ac.uk/download/pdf/18416063.pdf

110. Raghupathi, W., & Raghupathi, V. (2014). Big data analytics in healthcare: promise and

potential. Health information science and systems, 2(1), 3. Recuperado de:

http://gooa.las.ac.cn/external/download/805531/2383715/20140708080918313.pdf

111. R. Chunara, J. Andrews, J. Brownstein (2012). Social and news media enable estimation

of epidemiological patterns early in the 2010 Haitian cholera outbreak American Journal of

161
 Tropical Medicine and Hygiene, 86 (2012), pp. 39-45. DOI:

https://doi.org/10.4269/ajtmh.2012.11-0597

112. Richards, N. M., & King, J. H. (2014). Big data ethics. Wake Forest L. Rev., 49, 393.

Recuperado de: https://ssrn.com/abstract=2384174

113. Richards, N. M., & King, J. H. (2013). Three paradoxes of big data. Stan. L. Rev. Online,

66, 41. Recuperado de: https://ssrn.com/abstract=2325537

114. Roca Pérez, V. (2003). Derecho y razonamiento práctico en CS Nino. Centro de Estudios

Políticos y Constitucionales.

115. Robledo, E. C. P. L. (2017). El procedimiento de Habeas Data. El derecho procesal ante

las nuevas tecnologías. Dykinson.

116. Remolina Angarita, N. (2010). ¿TIENE COLOMBIA UN NIVEL ADECUADO DE

PROTECCIÓN DE DATOS PERSONALES A LA LUZ DEL ESTÁNDAR EUROPEO?.

International Law, (17), 489-52. Recuperado de:

http://www.redalyc.org/html/824/82420041015/

117. Remolina Angarita, N. (2011). Documento Gecti nro. 11 Propuestas para mejorar y aprobar

el proyecto de ley estatutaria sobre el derecho fundamental del habeas data y la protección de

los datos personales. Revista De Derecho Comunicaciones Y Nuevas Tecnologías, (6), 3-8.

118. Remolina Angarita, N. (2013). Tratamiento de Datos Personales: Aproximación

Internacional y Comentarios a la Ley 1581 de 2012.

119. Remolina Angarita, N. (2014). Neutralidad tecnológica y función administrativa

electrónica. Revista de Derecho, Comunicaciones y Nuevas Tecnologías, (11), 3-22.

162
120. Remolina Angarita, N. (2015). Recolección internacional de datos personales: un reto del

mundo post-internet, Premio protección de datos personales de investigación 2014

Iberoamérica.

121. Rubinstein, I. (2012). Big data: the end of privacy or a new beginning? DOI:

https://dx.doi.org/10.2139/ssrn.2157659

122. Supriyadi, D. (2017). Personal and Non Personal Data, In the context of Big Data. Tesis,

Tilburg.

123. Sriramoju, S. B. (2017). Introduction to big data: infrastructure and networking

considerations. Recuperado de: http://one.com.vn/sites/default/files/file-

attached/catalog/introduction_to_big_data__infrastructure_and_networking_considerations.

pdf

124. Schwartz, P. M., & Solove, D. J. (2011). The PII problem: Privacy and a new concept of

personally identifiable information. NYUL rev., 86, 1814. Recuperado de:

https://www.law.berkeley.edu/files/bclt_Schwartz-Solove_NYU_Final_Print.pdf

125. Stalla-Bourdillon, S., & Knight, A. (2016). Anonymous Data v. Personal Data-False

Debate: An EU Perspective on Anonymization, Pseudonymization and Personal Data. Wis.

Int'l LJ, 34, 284. Recuperado de: https://ssrn.com/abstract=2927945

126. Sanz, C. P. (2016). Aspectos legales del big data. Indice: Revista de Estadística y Sociedad,

(68), 18-21. Recuperado de: http://www.revistaindice.com/numero68/p18.pdf

127. Sweeney, L. (2002). k-anonymity: A model for protecting privacy. International Journal

of Uncertainty, Fuzziness and Knowledge-Based Systems, 10(05), 557-570. DOI:

https://doi.org/10.1142/S0218488502001648

163
128. Strandburg, K. J. (2014). Monitoring, datafication and consent: legal approaches to privacy

in the big data context. Privacy, big data and the public good (eds Lane J, Stodden V, Bender

S, Nissenbaum H), 5-43.

129. Solove, D. J. (2012). Introduction: Privacy self-management and the consent

dilemma. Harv. L. Rev., 126, 1880. Recuperado de: https://ssrn.com/abstract=2171018

130. Schaar, K. (2016). DS-GVO: Geänderte Vorgaben für die Wissenschaft. Was sind die

neuen Rahmenbedingungen und welche Fragen bleiben offen?. Zeitschrift für Datenschutz:

ZD, 5, 224-226.

131. Schwartz, P. M. (2010). Data protection law and the ethical use of analytics. The Center

for Information Policy Leadership, Hunton and Williams LLP. Recuperado de:

https://www.huntonak.com/files/webupload/CIPL_Ethical_Undperinnings_of_Analytics_P

aper.pdf

132. Sánchez, B. C. (2005). El principio de dignidad de la persona humana en la jurisprudencia

constitucional colombiana y francesa. Instituto de Estudios Constitucionales Carlos Restrepo

Piedrahita.

133. Solove, D. J. (2000). Privacy and power: Computer databases and metaphors for

information privacy. Stan. L. Rev., 53, 1393. DOI: https://dx.doi.org/10.2139/ssrn.248300

134. Sanchís, L. P. (1998). Ley, principios, derechos (Vol. 7). Librería-Editorial Dykinson.

135. Stigler, G. J. (1961). The economics of information. Journal of political economy, 69(3),

213-225.

136. Törngren, O. (2018). Mergers in big data-driven markets: is the dimension of privacy and

protection of personal data something to consider in the merger review?. Tesis. Stockholm

164
 University. Recuperado de: https://su.diva-

portal.org/smash/get/diva2:1186978/FULLTEXT01.pdf

137. Torra, V., & Navarro-Arribas, G. (2016). Big data privacy and anonymization. In IFIP

International Summer School on Privacy and Identity Management (pp. 15-26). Springer,

Cham. Recuperado de: https://link.springer.com/chapter/10.1007/978-3-319-55783-0_2

138. Turow, J. (2012). The daily you: How the new advertising industry is defining your identity

and your worth. Yale University Press. DOI: https://doi.org/10.1177/1461444814535723

139. Turow, J., Feldman, L., & Meltzer, K. (2005). Open to exploitation: America's shoppers

online and offline. Departmental Papers (ASC), 35 Recuperado de:

https://repository.upenn.edu/cgi/viewcontent.cgi?article=1035&context=asc_papers

140. Turow, J., Hoofnagle, C. J., Mulligan, D. K., & Good, N. (2007). The federal trade

commission and consumer privacy in the coming decade. ISJLP, 3, 723. Recuperado de:

https://ptolemy.berkeley.edu/projects/truststc/pubs/142/techade_report_final.pdf

141. Tene, O., & Polonetsky, J. (2012). Big data for all: Privacy and user control in the age of

analytics. Nw. J. Tech. & Intell. Prop., 11, xxvii. Recuperado de:

https://ssrn.com/abstract=2149364

142. Tene, O., & Polonetsky, J. (2011). Privacy in the age of big data: a time for big decisions.

Stan. L. Rev. Online, 64, 63. Recuperado de:

https://pdfs.semanticscholar.org/a9fb/2b43417bab7c60b57a258b1fc24b9331727b.pdf

143. Tikkinen-Piri, C., Rohunen, A., & Markkula, J. (2018). EU General Data Protection

Regulation: Changes and implications for personal data collecting companies. Computer Law

& Security Review, 34(1), 134-153. DOI: https://doi.org/10.1016/j.clsr.2017.05.015

165
144. Ursic, H. (2018). Unfolding the New-Born Right to Data Portability: Four Gateways to

Data Subject Control. Recuperado de: https://ssrn.com/abstract=3176820

145. Villabella Armengol, C.M. (2009) Los métodos en la investigación jurídica, algunas

precisiones. En. En: La metodología de la investigación y la comunicación jurídica. México,

Universidad Autónoma de Puebla. Pp. 922-954.

https://archivos.juridicas.unam.mx/www/bjv/libros/8/3983/46.pdf

146. Van Dijck, J. (2014). Datafication, dataism and dataveillance: Big Data between scientific

paradigm and ideology. Surveillance & Society, 12(2), 197. Recuperado de:

http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.671.6043&rep=rep1&type=pdf

147. Westin, A. F. (1967). Privacy and freedom. The association of the bar of the City of New

York.

148. Weber R.H., Weber R. (2010). Internet of Things. Springer, Berlin, Heidelberg.

149. Wright, D. (2011). A framework for the ethical impact assessment of information

technology. Ethics and information technology, 13(3), 199-226. DOI: 10.1007/s10676-010-

9242-6

150. Wigan, M. R., & Clarke, R. (2013). Big data's big unintended consequences. Computer,

46(6), 46-53. DOI: https://doi.org/10.1109/MC.2013.195

151. Zagrebelsky, G. (2005). El derecho dúctil: ley, derechos, justicia. Trotta.

152. Zhang, X., Leckie, C., Dou, W., Chen, J., Kotagiri, R., & Salcic, Z. (2016). Scalable local-

recoding anonymization using locality sensitive hashing for big data privacy preservation.

In Proceedings of the 25th ACM International on Conference on Information and Knowledge

Management (pp. 1793-1802). ACM. DOI: https://doi.org/10.1145/2983323.2983841

166
153. Zarsky, T. Z. (2016). Incompatible: The GDPR in the Age of Big Data. Seton Hall L.

Rev., 47, 995. Recuperado de: https://ssrn.com/abstract=3022646

Informes o Documentos de Instituciones nacionales, extrangeras o internacionales:

1. DNP. (2018). Documento CONPES 3920, Politica Nacional de Explotación de Datos (Big

Data). Recuperado de:

https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3920.pdf

2. OCDE. (2011).The Evolving Privacy Landscape: 30 Years After the OECD

Privacy Guidelines. OECD Digital Economy Papers, No. 176, OECD Publishing, Paris.

Recuperado de: https://doi.org/10.1787/5kgf09z90c31-en

3. OCDE. (2014). Data-driven Innovation for Growth and Well-being. Interim

synthesis report. Recuperado de: https://www.oecd.org/sti/inno/data-driven-innovation-

interim-synthesis.pdf

4. APEC (2017). APEC Privacy Framework 2015. APEC#217-CT-01.9. Recuperado

de: https://www.apec.org/Publications/2017/08/APEC-Privacy-Framework-(2015)

5. Red Iberoamericana de Protección de Datos. (2006). Directrices para la

armonización de la protección de datos en la comunidad iberoamericana. Recuperado de:

http://www.redipd.es/actividades/encuentros/V/common/9_nov/Directrices_de_armonizaci

on.pdf

6. FTC. (2012). Protecting Consumer Privacy in an Era of Rapid Change. Recuperado

de: https://www.ftc.gov/sites/default/files/documents/reports/federal-trade-commission-

report-protecting-consumer-privacy-era-rapid-change-

recommendations/120326privacyreport.pdf

167
 7. FTC. (2013).The privacy challenges of big data: a view from the lifeguard’s chair.

Recuperado de:

https://www.ftc.gov/sites/default/files/documents/public_statements/privacy-challenges-

big-data-view-lifeguard%E2%80%99s-chair/130819bigdataaspen.pdf

8. IBM Institu for Business Value. (2012). Analytics: el uso del big data en el mundo

real. Recuperado de: https://www-

05.ibm.com/services/es/gbs/consulting/pdf/El_uso_de_Big_Data_en_el_mundo_real.pdf

9. ICO. (2017). Big data, artificial intelligence, machine learning and data protection.

Recuperado de: https://ico.org.uk/media/for-organisations/documents/2013559/big-data-ai-

ml-and-data-protection.pdf

10. Casa Blanca. (2015). Big Data: Seizing Opportunities, Preserving Value.

Recuperado de:

https://obamawhitehouse.archives.gov/sites/default/files/docs/20150204_Big_Data_Seizing

_Opportunities_Preserving_Values_Memo.pdf

11. Big Data Senior Steering Group - BDSSG. (2016). The federal big data research

and development strategic plan. Recuperado de:

https://bigdatawg.nist.gov/pdf/bigdatardstrategicplan.pdf

12. Consejo de Europa – CE. (2013). Conclusions. EUCO 169/13. Recuperado de:

http://data.consilium.europa.eu/doc/document/ST-169-2013-INIT/en/pdf

13. Department of Finance and Deregulation – DFD. (2013). The Australian Public

Service Big Data Strategy. Recuperado de:

https://www.finance.gov.au/sites/default/files/Big-Data-Strategy.pdf

168
 14. Minister for the Cabinet Office and Paymaster General – MCOPG. (2017).

Government Transformation Strategy. Recuperado de:

https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_da

ta/file/590199/Government_Transformation_Strategy.pdf

15. Président de la République et le Ministre de l’Economie - PRME. (2013). 34 plans

de reconquête pour la nouvelle France industrielle. Recuperado de:

https://www.economie.gouv.fr/files/files/PDF/nouvelle-france-industrielle-sept-2014.pdf

16. Prime Minister of Japan – PMJ. (2013). Declaration to be the World’s Most

Advanced IT Nation. Recuperado de:

https://japan.kantei.go.jp/policy/it/2013/0614_declaration.pdf

17. Government of the Republic of Korea - GRK (2016). Mid- to Long-Term Master

Plan in Preparation for the Intelligent Information Society. Recuperado de:

https://msit.go.kr/cms/english/pl/policies2/__icsFiles/afieldfile/2017/07/20/Master%20Plan

%20for%20the%20intelligent%20information%20society.pdf

18. UNDP, China (2014). Big Data for Development in China, Recuperado:

http://www.cn.undp.org/content/dam/china/docs/Publications/UNDP%20Working%20Pape

r_Big%20Data%20for%20Development%20in%20China_Nov%202014.pdf

19. Comité Consultivo del Consejo de Europa (2017). Guidelines on the protection of

individuals with regard to the processing of personal data in a world of big data. Recuperado

de: https://rm.coe.int/16806ebe7a

20. SIC. (2016). Protección de Datos Personales en Sistemas de Video Vigilancia.

Recuperado de:

169
 http://www.sic.gov.co/sites/default/files/files/Nuestra_Entidad/Guia_Vigilancia_sept16_20

16.pdf

21. SIC (2017). Formato modelo para el cumplimiento de obligaciones establecidas en

la Ley 1581 de 2012 y sus decretos reglamentarios. Recuperado de:

https://issuu.com/quioscosic/docs/cartilla_formatos_datos_personales_

22. SIC (2016). Guía de implementación del Principio de Responsabilidad demostrada.

Recuperado de: http://www.sic.gov.co/sites/default/files/files/Publicaciones/Guia-

Accountability.pdf

23. DANE (2018). Indicadores básicos de tenencia y uso de Tecnologías de la

Información y Comunicación en hogares y personas de 5 y más años de edad. Recuperado

de: https://www.dane.gov.co/files/investigaciones/boletines/tic/prese_tic_hogares_2017.pdf

24. CIDH (2016). Estándares para una internet libre, abierta e incluyente. Recuperado

de: http://www.oas.org/es/cidh/expresion/docs/publicaciones/internet_2016_esp.pdf

25. CIDH (2013). Informe Anual 2013. Informe de la Relatoría Especial para la

Libertad de Expresión. Recuperado de:

http://www.oas.org/es/cidh/expresion/docs/informes/anuales/2014_04_22_IA_2013_ESP_F

INAL_WEB.pdf

Artículos de periódicos o revistas:

26. Política de Big Data. (2018). Revista Dinero. Recuperado de:

https://www.dinero.com/pais/articulo/colombia-ya-tiene-politica-publica-de-big-

data/257479.

170
 27. Big Data antes. (2017). Revista Dinero. Recuperado de:

https://www.dinero.com/empresas/articulo/big-data-y-analitica-en-las-empresas-de-

colombia/246643

28. The world’s most valuable resource. (2017). The econonomist. Recuperado de:

https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-

longer-oil-but-data

29. Data is giving rise to a new economy. (2017). The economist. Recuperado de:

https://www.economist.com/briefing/2017/05/06/data-is-giving-rise-to-a-new-economy.

30. Giles, M. (2018). It’s time to rein in the data barons. MIT Technology review.

Recuperado de: https://www.technologyreview.com/s/611425/its-time-to-rein-in-the-data-

barons/

31. BBC Mundo. (2018). 5 claves para entender el escándalo de Cambridge Analytica

que hizo que Facebook perdiera US$37.000 millones en un día. BBC. Recuperado de:

https://www.bbc.com/mundo/noticias-43472797

32. Angwin, J., & McGinty, T. (2010). Sites Feed Personal Details To New Tracking

Industry. Wall Street Journal. Recuperado de:

https://www.wsj.com/articles/SB10001424052748703977004575393173432219064

33. Angwin, J. (2010). The Web's New Gold Mine: Your Secrets. Wall Street Journal.

Recuperado de:

https://www.wsj.com/articles/SB10001424052748703940904575395073512989404

34. Singer, N. (2012). Mission Control, Built for Cities. New York Times. Recuperado

de: https://www.nytimes.com/2012/03/04/business/ibm-takes-smarter-cities-concept-to-rio-

de-janeiro.html

171
 35. Barbaro, M & Zeller T. (2006). A Face Is Exposed for AOL Searcher No. 4417749.

New York Times. Recuperado de:

https://www.nytimes.com/2006/08/09/technology/09aol.html

36. Hill, K. (2012). How Target Figured Out A Teen Girl Was Pregnant Before Her

Father Did. Rev. Forbes. Recuperado de:

https://www.forbes.com/sites/kashmirhill/2012/02/16/how-target-figured-out-a-teen-girl-

was-pregnant-before-her-father-did/#2a3a75de6668

37. Maheshwari, S. Two Senators Call for Investigation of Smart TV Industry. New

York Times. Recuperado de:

https://www.nytimes.com/2018/07/12/business/media/senators-smart-tv-investigation.html

172