Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tesis Big - Data y Protección de Datos Personales PDF
Tesis Big - Data y Protección de Datos Personales PDF
CARRERA DE DERECHO
1
BIG DATA: LA PUESTA EN CRISIS DE LA PROTECCIÓN DE DATOS PERSONALES
CARRERA DE DERECHO
2
ARTICULO 23 de
Reglamento de la Pontificia
Universidad Javeriana.
“La Universidad no se
contengan ataques o
polémicas puramente
Verdad y la Justicia”.
3
DEDICATORIA
Un profundo agradecimiento a nuestros padres y hermanas por el apoyo durante todos estos
años de carrera universitaria y los meses de redacción de este trabajo, este texto está dedicado a
Al Doctor Raul Fernando Nuñez, gracias por aceptar dirigir este trabajo, usted ha sido maestro
de ambos en distintas asignaturas, su influencia intelectual en nosotros va más allá de estas páginas
Agradecemos a la firma KBSV ABOGADOS S.A.S por el apoyo durante los meses de
redacción.
También a aquellos amigos que entre tertulias fueron fuente de inspiración de varias de las ideas
de este texto, Julian Segura Restrepo y Diego Fernando Arenas, entre ellos, mentes privilegiadas,
A otros que fueron fuente de apoyo moral en momentos difíciles Luis Echeverri, Alvaro Díaz,
4
INDÍCE:
Introducción
2. Objetivos
2.1.Objetivo General
2.2.Objetivos Específicos
3. Metodología
crisis.
Conclusiones
5
Capitulo II: El Big Data a la luz de los principios de administración de datos: revelando
dificultades.
2. La cadena de valor del Big Data a la luz de los principios de protección de datos
2.1. Posiciones encontradas entre la ICO, la Casa Blanca y la doctrina extranjera sobre
la contradicción lógica entre el modelo de negocio del Big Data y los principios de
2.2. Agentes que se benefician de la cadena de valor del Big Data y naturaleza global
3.1 Beneficios
3.2 Riesgos o externalidades negativas del Big Data: desafío para el regulador
colombiano.
Conclusiones
Capitulo III: Aplicación de las normas de protección de datos personales al Big Data:
oxímoron.
1. Ámbito de validez de la Ley 1581 de 2012 y dificultades en su aplicación en la era del Big
Data
generación de valor
6
2. Algunos modelos de solución frente a la crisis.
Conclusiones
Capitulo IV: La crisis de los principios de finalidad y libertad en el contexto del Big Data
1. Principio de finalidad
1.2.Dificultades del cumplimiento del principio de finalidad en la era del Big Data
2. Principio de Libertad
2.2. Las dificultades para obtener el consentimiento cualificado en la era del Big Data
Conclusiones
CONCLUSIONES
BIBLIOGRAFÍA
7
ÍNDICE DE GRAFICOS:
TABLAS:
3920.
Tabla 2. Proyectos de Ley de Hábeas Data anteriores a la expedición de la Ley 1266 de 2008.
8
ABREVIATURAS:
Reglamento
Protección de Datos).
de Información)
9
Introducción
En la última década, ocho de las principales economías globales entre las cuales se encuentra
Estados Unidos, Reino Unido, Australia, Corea del Sur, la Unión Europea, Francia, Japón y China
han avanzado en una política nacional de aprovechamiento de datos, por lo que resulta un avance
muy significativo que en Colombia se esté dando un paso al frente con esta temática como lo
Colombia es el primer país de América Latina que desarrolla una política pública de explotación
de datos por medio del Consejo Nacional de Política Económica y Social (CONPES), promulgada
el 17 de abril del año 2018 gracias al trabajo conjunto del Departamento Nacional de Planeación,
política se pretende invertir alrededor de 16.728 millones de pesos colombianos para ampliar el
aprovechamiento de datos, de forma tal que puedan ser administrados como activos que sirvan
Según el CONPES 3920 en Colombia las acciones que se ejecuten por medio de esta política
estarán regidas por una serie de principios como lo son: (i) el respeto de los derechos de los
derechos humanos, (ii) la promoción de datos públicos como recursos de la infraestructura pública,
y (iii) el respeto por la dignidad humana que orienta los usos socialmente permitidos de los mismos
datos, con lo que finalmente se pretende conseguir una colaboración entre el sector público y
privado.
En el documento mencionado queda claro que para la ejecución eficiente de esta política es
1
anterior, se establece que el Estado por medio de sus entidades públicas es el encargado de
colaborar con la creación de tal infraestructura. Para octubre del presente año se espera que gracias
Ahora bien, los beneficios esperados del análisis masivo de datos no sólo se refieren a la esfera
pública, sino que se extienden al sector privado, el diario The economist afirma la existencia de
una “economía de los datos”, las personas intercambian sus datos a cambio del acceso gratuito a
servicios digitales, por ejemplo ingresar a las plataformas de las redes sociales o motores de
búsqueda; estos datos son recolectados, almacenados y sujetos a procesos analíticos que permiten
descubrir usos valiosos (“the world’s most valuable resource”, 2017; “Data is giving rise to a new
economy”, 2017).
A nivel global compañías como Facebook, Google, Amazon, IBM están sacando provecho de
esta tecnología, en Colombia se destacan compañías como Proclive que por medio del Big Data
conducta de los consumidores para satisfacer de mejor manera sus necesidades, mejorando las
Sin embargo, el Big Data envuelve el manejo de información personal, así como la toma de
decisiones (automatizadas) que afectan intereses o derechos de las personas. En Colombia los
datos personales están protegidos por la Constitución Política, la Ley 1266 de 2008, la Ley 1581
2
Industrial Conjunta Enero - Mayo de 2016 de la ANDI (Asociación Nacional de Empresarios de
Colombia). Por lo que de acuerdo con el citado Documento CONPES esta situación evidencia las
mecanismos para la adecuada aplicación de los distintos tipos de datos (privados, semiprivados,
El CONPES reconoce los desafíos que afronta el régimen normativo de protección del hábeas
data en Colombia ante este nuevo contexto tecnológico, dado que este fue expedido siguiendo los
estándares propios del Convenio 108 de 1981 del Consejo de Europa, la Directiva Europea
de 2009, por lo que las normas contienen “lineamientos previos al reconocimiento de los datos
como una activo y no contemplan su explotación masiva (…)”, de modo que “los aspectos éticos
y jurídicos que se plantean con la explotación de datos, así como los riesgos potenciales que
emergen en este contexto, requieren del diseño de un marco jurídico para maximizar los
beneficios y mitigar los riesgos” (DNP, 2018, p.20) , es decir de reducir externalidades negativas
actualización del marco jurídico a efectos de identificar los requerimientos y desarrollos necesarios
a la luz de los principios de administración de datos personales, para mitigar los riesgos existentes
La literatura jurídica, especialmente extranjera (Gil, 2013; Garriga, 2016; Gayo, 2017; entre
otros), ha expuesto las distintas problemáticas que afronta el hábeas data en el contexto del Big
3
Data, como (i) la aplicabilidad de la normatividad de protección de datos personales a los procesos
analíticos; (ii) las dificultades de obtener un consentimiento previo, expreso e informado para el
tratamiento de datos personales en el entorno digital; (iii) las dificultades de aplicar los principios
de administración de datos personales al proceso de análisis masivo de datos; (iv) las situaciones
de discriminación a las que puede dar lugar la toma de decisiones automatizadas y los procesos
En este contexto las propuestas de solución se han orientado en reforzar los principios de
empoderen al titular de los datos frente a las compañías privadas o instituciones públicas que se
benefician de los datos recolectados; con el propósito de cambiar la forma en que están
configurados los incentivos de los agentes para favorecer las reglas o principios que se desprenden
del derecho al hábeas data, sin detener el crecimiento económico y social que puede obtenerse a
Consecuentemente, con el surgimiento del Big Data es necesario analizar las comentadas
las soluciones propuestas por la doctrina y por normas o políticas nacionales o extranjeras, los
agentes institucionales y de mercado que se benefician tanto del estado actual de la normatividad
como de las propuestas de cambio, a efectos de aproximarse a una comprensión sobre cuáles son
las condiciones jurídicas en materia de protección de datos personales que deben garantizarse en
el análisis masivo de datos (Big Data), para asegurar la autodeterminación informática del
individuo.
1.1. Hipótesis:
4
Por lo tanto, la hipótesis de la que parte este trabajo y que pretende demostrarse es que el
régimen colombiano de hábeas data no cuenta con una protección adecuada y efectiva de los
que propicia estrategias corporativas que desconocen los principios de protección de datos y la
del hábeas data es el resultado de la incertidumbre normativa sobre la aplicación del régimen de
protección de datos personales en los procesos de análisis masivo de datos, y la crisis que
atraviesan los principios de finalidad y libertad para garantizar bajo las circunstancias tecnológicas
actuales el control efectivo del titular de los datos sobre su información personal. De modo que los
2. Objetivos
1. Objetivo General:
personales incentiva estrategias corporativas en las compañías participes de la cadena de valor del
2. Objetivos Específicos.
datos personales, así como sus fundamentos científicos y filosóficos, han evolucionado según
5
las condiciones tecnológicas y económicas en que se ejerce el poder informático a nivel global,
2.2. Demostrar que existe una contradicción lógica entre el alcance jurídico de los
las características del modelo de negocio del Big Data, que generan estrategias corporativas
internacional.
2.3. Exponer las principales estrategias corporativas que emplean las compañías
participes de la cadena de valor del Big Data a nivel global, en detrimento del derecho a la
autodeterminación informática, para: (i) evadir el ámbito de aplicación normativa del régimen
nacional e internacional de protección de datos, (ii) beneficiarse del principio de finalidad del
tratamiento de datos personales, y (iii) dejar sin efectos prácticos el principio de libertad del
tratamiento.
3. Metodología
sobre materiales como la doctrina, la jurisprudencia y los textos legales como lo expone Courtis
(2006), tanto del Estado Colombiano como de otros Estados, relacionados con la protección de
El empleo del análisis lingüístico y lógico permitirá clarificar conceptos fundamentales como
hábeas data, big data, poder informático, principios de administración de datos personales, así
como identificar las relaciones proposicionales que existen entre ellos, problemas lógicos, de
definición, coherencia y plenitud del ordenamiento jurídico en relación con la protección de datos
6
personales. Estos métodos serán útiles al momento de formular el marco teórico, a través del cual
En este punto, también es especialmente relevante el análisis sistemático para describir los fines,
valores y principios que gobiernan la institución jurídica (Courtis, 2006), en este caso del hábeas
que no será exhaustiva en la medida en que no expone la totalidad de la jurisprudencia y los textos
legales.
desestructurar el “objeto en su partes, estudiar el papel de cada una, distinguir aquellas que
predominante al desarrollar los primeros dos capítulos que fijan las bases teóricas y conceptuales
de la investigación.
Para desarrollar los objetivos específicos dos y tres, se apelará esencialmente al derecho
Estados anglosajones como Estados Unidos y Reino Unido, que han documentado extensamente
los principales desafíos del hábeas data a la luz del Big Data. Como bien lo explica Villabella
(2009) “el método de derecho comparado permite cotejar los objetos jurídicos pertenecientes a
De esta forma se enriquecerá la discusión sobre las condiciones jurídicas que demanda el
análisis masivo de datos con relación al hábeas data atendiendo experiencias extranjeras, que no
se alejan del contexto jurídico colombiano, puesto que los principios de administración de datos
personales reconocidos en Colombia, son similares tanto en el sistema continental Europeo como
7
el Anglosajón, como se constata al estudiar a Remolina (2013), especialmente en razón a que el
(Remolina, 2010).
conceptos económicos y de las ciencias sociales para efectos de comprender que la normatividad
sobre el hábeas data se da en el marco de una “economía de los datos”, por lo que existen agentes
que se benefician del estado actual o futuro de la protección de datos. El empleo de estos conceptos
será especialmente útil para el desarrollo de los capítulos tres y cuatro que exponen las principales
limitaciones que afronta el régimen colombiano de protección de datos para mitigar los riesgos del
8
Capítulo I
El presente capitulo tiene como finalidad exponer los conceptos fundamentales del régimen de
protección de datos personales, para descubrir el estado actual de la normatividad. Sin embargo
como se verá estas bases conceptuales demuestran que detrás de estas normas existe una serie de
relaciones de deber ser, que evolucionan según las condiciones tecnológicas y económicas.
Por esta razón, en primer lugar se presentará el concepto de datos y las distintas normas jurídicas
personales por lo que se expondrán las características, principios y reglas fundamentales del
régimen normativo del habeas data de forma diacrónica, es decir cómo estas normas han
evolucionado a la par de los desarrollos tecnológicos que se han dado desde el siglo pasado.
El concepto de datos puede ser interpretado de diferentes formas desde los distintos campos de
la ciencia, como lo evidencia el maestro Floridi (2008) en su artículo “Data”, donde presenta
1
De acuerdo con la RAE, dato proviene del latín datum que significa “lo que se da”, de esta manera los datos son
aquello que está dado en el mundo, que es todo lo que existe para el ser humano, en la significación que le otorga
Enrique Dussel (1995), sin embargo, no todo lo que está “dado”, es aprehendido o tomado, por lo que se prefiere dato
como aquello que es tomado, así Floridi (2011).
9
Desde un punto de vista epistémico datos es la recolección de hechos, que proveen la base para
pueden basar evaluaciones posteriores” (p.2). Esto significa que entre datos y hechos existe una
Desde la perspectiva informática datos se refiere a información, así por ejemplo los datos
interpretación de acuerdo con el citado autor no es adecuada, en la medida que no todos los datos
constituyen información, puesto que esta es un conjunto de datos bien formados, verdaderos y con
significado (Hernández, 2013). Así datos, información y conocimiento son conceptos diferentes.
Mundo
Desde una visión computacional los datos son el conjunto de elementos binarios procesados y
transmitidos a través de tecnologías como computadores o celulares; posición que tiene una alta
riqueza descriptiva al explicar porque las imágenes, videos y archivos de música constituyen datos,
Finalmente, Floridi (2011) presenta un concepto alternativo de datos desde una posición
decir “dato es igual a x siendo distinto de y, donde x – y son dos variables no interpretadas que
10
dejan espacio para la interpretación posterior” (p. 85), desde esta visión los datos son pre
analíticos y pre factuales, están dados antes del análisis y de los hechos.
No obstante, no es posible separar de manera absoluta los datos de la realidad, ciertamente los
datos provienen de esta como lo expone el realismo estructural informativo, que “apoya los niveles
estructurales de la realidad” (Beavers, 2013, p. 64). De modo, que se reconoce que los datos se
En este punto es importante decir que los datos son susceptibles de clasificarse en varias
categorías, al respecto autores como Leenes (2016), Kitchin (2014), Floridi (2011) presentan sus
propias clasificaciones de los datos organizándolos de acuerdo con sus propósitos, sin embargo las
De acuerdo con Floridi (2011) los datos pueden ser primarios, segundarios, metadatos,
operacionales y derivativos. Los primarios son datos recolectados para cumplir con un
determinado propósito, de acuerdo con el procedimiento que se ajuste de mejor manera para ello
(Hox y Boeije, 2005). Estos generalmente son los principales datos almacenados en una base de
Los segundarios son datos recolectados originalmente con un propósito, pero reutilizados para
la solución de otros problemas investigativos, es decir que es información que ya ha sido recopilada
por otra persona (Hox y Boeije, 2005). En ese sentido, se emplea el término usos segundarios de
la información, que significa precisamente utilizar los datos para fines distintos a los inicialmente
recolectados con el fin de descubrir valores ocultos en ellos, este es el fundamento económico del
11
Los metadatos son indicaciones o instrucciones acerca de la naturaleza de otros datos, describen
propiedades tales como localización, formato, disponibilidad, restricciones de uso, entre otros
(Floridi, 2011, 88), útiles por lo tanto para identificar, describir, recuperar y organizar la
información a la que están vinculados (Ribes, 2007), son ejemplos en relación con redes sociales
el número de likes que obtiene una persona, la cantidad de interacciones que tiene, la temática
Los datos operacionales son datos relativos a las operaciones de todo un sistema de datos y al
desempeño del sistema. Los derivados son datos que se extraen de otros datos, que son empleados
otras cosas que no sean las directamente abordadas por tales datos” (Floridi, 2011, 87). Para una
De acuerdo con el formato de contenido los datos pueden ser estructurados, semi-estructurados
y no estructurados. Los primeros son usualmente manejados a través del Lenguaje de Consulta
gestión de bases de datos relacionales, es decir organizados a través de tablas. Los datos que
generalmente se manejan a través de este lenguaje son fechas, números, letras, palabras, entre
Los datos semi-estructurados son aquellos que no siguen sistemas de bases de datos
convencionales, sin embargo contienen etiquetas para separar elementos semánticos y aplicar
jerarquías que envuelven el empleo de complejas reglas de captura de los datos (Paulsen, 2011),
pueden mencionarse como ejemplos los formatos de texto HTML, XML y JSON.
12
Finalmente, los no estructurados no siguen ningún tipo específico de formato son de tan variada
naturaleza como las imagines, videos, grabaciones de voz, mensajes de texto y localización; así lo
explica Camargo Vega, Camargo Ortega, Joyanes (2015). El procesamiento de este tipo de datos
hace posible que cualquier aspecto de la vida humana pueda ser sometido a análisis computacional.
Desde un punto de vista jurídico los datos procesados se pueden clasificar según se refieran o
no a una persona identificada o identificable, por lo tanto la legislación los distingue en personales
Supriyadi (2017) y Leenes (2016) exponen siguiendo en este aspecto al Foro Económico
Mundial (2014) que los datos personales se pueden clasificar en relación con el análisis de datos,
Los datos observados, es información recolectada por un tercero a través de formatos digitales
diseñados para la observación y captura como las Cookies de un sitio web o el Internet de las Cosas
13
(IoT); finalmente los datos derivados e inferidos resultan de un proceso analítico basado en
probabilidades para revelar información desconocida e inesperada; estos últimos datos son
aquellos que pueden extraerse a través del empleo de las tecnologías del Big Data.
aspectos de naturaleza analítica como los señalados por los citados autores, precisando que los
encuentran parcialmente regulados por diversas disposiciones normativas, que conforman el marco
3920 esta regulación a través de distintos regímenes obedece a que en la actualidad se reconoce
Estos según Floridi (2011) son bienes que tienen como características principales: su consumo
no rival, lo que significa que más de una institución puede poseer la misma información, y su
consumo no excluyente, es decir que los datos se pueden compartir fácilmente sin que su uso
De este modo, el CONPES presenta cinco regímenes a los que están sujetos los datos en el
14
b) El régimen de transparencia y datos abiertos, que se relaciona con la publicidad de
las actividades realizadas por las entidades públicas, donde se vincula el acceso a la
que las entidades tanto públicas como privadas, que desarrollen funciones públicas definan
documentos que son creados por las entidades públicas y privadas que prestan funciones
reportes de datos que las entidades privadas, académicas, ciudadanos y las mismas entidades
De los regímenes anteriormente mencionados las normas de protección del habeas data
pertenecen al primero, relativo a la protección de derechos, a través del cual se pretende garantizar
la autodeterminación informática de la persona con relación a las operaciones que se realizan sobre
disposiciones jurídicas que se han venido desarrollando a nivel nacional e internacional conforme
Grafico 2. Regímenes jurídicos aplicables a los datos en el Estado Colombiano (DNP, 2018):
15
2. El habeas data y el desarrollo histórico del poder informático: surgimiento, auge
y crisis.
A la pregunta por qué existe el habeas data es posible presentar dos respuestas, una relacionada
con el poder informático, la otra con la constitución antropológica del ser humano. En conferencia
dictada en 1990 Pérez Luño (1992) expone que en la sociedad contemporánea las libertades
individual y colectivo” (p.156), existe una huella digital del individuo que lo amenaza, como efecto
Como lo dice Castell (2009) “la expansión de las redes de Internet y el desarrollo de la Web
2
Las referencias al poder informático también se encuentran en las investigaciones de Frosini (1988).
16
las empresas propietarias de redes de comunicación global ofrecen acceso a sus plataformas a
cambio de los datos personales y del sacrificio de la privacidad del individuo, quien además
política).
y políticas” (p.120), en tal sentido no se habla de un poder absoluto exclusivo del Estado, sino en
términos de Foucault (1979) una microfísica del poder, pues este se difunde por toda la sociedad
y sus instituciones, como la capacidad relacional que permite influir en las decisiones de los
mediante procesos de comunicación “que tienen lugar en las redes multimedia globales-locales
En todo caso el ejercicio del poder por parte de instituciones públicas y de particulares se
enfrenta en las sociedades democráticas a su límite natural, los derechos humanos (Ferrajoli,
2011). Cifuentes Muñoz (1997) sobre este punto realiza una reflexión interesante, al decir que la
tecnología está creando poderes que exigen una respuesta jurídica, en la medida en que el poder
Colombiana, se disuelven en múltiples datos, que son observados por otros sujetos que operan
desde la penumbra, que les ofrecen los códigos fuentes, los algoritmos de programación, y en
general las distintas técnicas informáticas, a través de las cuales hacen visible a otros individuos,
17
a tal punto de conocer los aspectos más sensibles de su vida privada; lo que se denominó por
George Orwell en su novela rebelión en la granja como el riesgo del Gran Hermano.
providencias, señala esta institución que los procesos de coordinación de los mercados para ser
eficientes requieren recaudar, almacenar, ordenar, utilizar y difundir datos personales, por lo que
ciertos agentes utilizan plataformas tecnológicas para tales fines, de manera que ostentan lo que se
ha denominado poder informático, definido por la Corte como “la posibilidad de acumular
Corolario de lo anterior, afirma la Corte Constitucional que la respuesta histórica del derecho
constitucional y del derecho internacional de los derechos humanos fue el reconocimiento del
que de acuerdo con Cifuentes Muñoz es “apenas un intento incipiente y tímido dirigido a corregir
distorsiones extremas del proceso comunicativo informático”(p. 116), como herramienta que
reduce la invisibilidad de los titulares del poder informático imponiéndoles obligaciones jurídicas
respaldadas en sanciones y empoderando a las personas a través del reconocimiento de una serie
3
Así lo ha definido la Corte Constitucional en Sentencias T-414 de 1992 (M.S: Ciro Angarita Barón), T-307 de 1999
(M.S. Eduardo Cifuentes Muñoz), C-1011 de 2008 (M.S: Jaime Cordoba Triviño), C-748 de 2011 (M.S: Jorge Ignacio
Pretelt Chaljub), SU-458 de 2012 (Adriana María Guillén Arango) T-058 de 2015 (M.S: Luis Guillermo Guerrero
Pérez). Este concepto es transversal a la jurisprudencia de esta institución, en el proceso investigativo se construyó
una base de datos con 194 providencias, que incluyen sentencias de tutela, unificadoras y de constitucionalidad (no se
incluyeron autos), de la Corte Constitucional Colombiana extraídas de la base de datos de la Corte Constitucional
Colombiana, disponible en:
http://www.corteconstitucional.gov.co/relatoria/tematico.php?vs=476&pg=1&campo=/&sql=habeas%20data; de
este universo de providencias se encontró que en 68 sentencias (incluyendo las citadas) la Corte hizo referencia al
fenómeno social del poder informático, en ocho sentencias de constitucionalidad, una unificadora y cincuenta y nueve
de tutela (35% de las providencias). Esto demuestra la importancia de la presente categoría en el pensamiento
epistémico de la Corte, lo que no es extraño en la medida en que constituye la razón de ser de la protección jurídica
de los datos personales.
18
Por esta razón, la Constitución Política (en su artículo 15), la jurisprudencia constitucional
colombiana, la legislación sobre protección de datos personales (Ley 1581 de 2012, Ley 1233 de
internacional es producto de esta dialéctica entre Poder y Derecho (Jaramillo Romero, 2016).
Adicionalmente, existe una razón antropológica que justifica el reconocimiento del habeas data.
Westin (1967) dice refiriéndose al control de la persona sobre su información que “para el
individuo existe una necesidad de mantener ciertos hechos acerca de sí mismo en secreto, y
sentirse libre de decidir quién los debe conocer, en qué momento y bajo qué condiciones (…) hay
así mismo una necesidad poderosa en cada persona de comunicar asuntos privados o personales
a otros” (p.369). Esta necesidad a la luz de las investigaciones de Noah Harari (2014) es una
condición antropológica del ser humano referida a la capacidad cognitiva de transmitir grandes
cantidades de información sobre las relaciones sociales de los sapiens y sobre sí mismos
(chismorreo).
No en vano el hábeas data es una alocución latina que significa “que tengas los datos” o “que
tengas los registros, las informaciones o los datos que te conciernen” (Robledo, 2017, pp. 113-
114), representa por ello el reconocimiento jurídico de esta necesidad antropológica, en virtud de
la cual la persona quiere el control sobre sus datos personales. Esta consideración permite aclarar
que la protección jurídica de los datos personales, no recae sobre estos en sí mismo, sino que es
sí misma considerada, lo que no es para nada extraño en el marco jurídico de un Estado Social y
Democrático de Derecho, que es por su misma esencia finalista, basado en el respeto de la dignidad
19
humana y de los derechos humanos según lo disponen los artículos 1 y 2 de la Constitución Política
Colombiana (Sánchez, 2005). De este modo un régimen de protección de datos que falle en el
de protección.
Ahora bien, los significados que tiene una institución jurídica son cambiantes a lo largo del
desarrollo de la historia teniendo en cuenta cada contexto particular, de ahí que Ortega y Gasset
(2010) afirme que el Derecho es secreción de la historia. La protección de los datos personales
según lo expone Mantelero (2014) ha evolucionado a nivel global a lo largo de tres momentos
coyunturales, una etapa inicial que comprende de los años 50s a los 80s, el periodo de los años 80s
en adelante, y finalmente la aparición del Big Data en la última década4. En cada momento de esta
línea de tiempo se evidencia que los avances globales en el entorno tecnológico y económico
Los profesores Mantelero (2014), Schwartz y Solove (2011) exponen que los datos personales
se convirtieron en una cuestión problemática a partir de 1950 en Europa y Estados Unidos, con la
aparición de la computadora producto de las investigaciones realizadas entre 1936 y 1946 por Alan
procesar información personal a una mayor escala, cambiando radicalmente la forma de organizar,
4
Sobre los periodos de evolución del hábeas data esta investigación concuerda con la realizada por Mantelero (2014),
sin embargo considera de forma diferente los espacios temporales; para Mantelero son: primer periodo entre los años
50s a 70s, segundo periodo de los años 70s a 90s, y de los 90s en adelante.
20
Esta revolución copernicana significo cambiar los archivos físicos por sistemas de
almacenamiento de la información más eficientes, que hacían plausible agregar los datos de cada
ciudadano dispersos en diferentes bases o ficheros. La computadora podía ser programada para
reorganizar la información con base en cualquier atributo o característica, lo que abrió el horizonte
de organizaciones, que contaban con los recursos necesarios para invertir en equipos tecnológicos,
sin contar que la arquitectura de la computadora era centralizada, con una unidad de procesamiento
principal y una memoria única en que residía todo el poder computacional y que daba a terminales
Esto motivó a que se expidieran a nivel interno de cada nación reglas orientadas a proteger a
digitalización de sus datos. El congreso de los Estados Unidos, por ejemplo, expidió varias normas
con ese propósito según lo señala Strandburg (2014), tales como el Fair Credit Reporting Act de
1970 que establecía los usos permitidos de la información relativa al historial crediticio de las
personas, limitaba el tiempo de permanencia de los datos en el historial y fijaba restricciones con
relación a los sujetos que podían acceder a él; el Family Educational Rights and Privacy Act de
1974 que prohibía a las instituciones de educación revelar y permitir el acceso a terceros de los
Mantelero (2014) explica que la respuesta normativa de Estados Unidos y los países Europeos
pretendía aumentar el nivel de transparencia con que se realizaban las operaciones sobre los datos,
garantizar el derecho de acceso a la información, el derecho a conocer quién recolecta los datos,
21
los usos que le daban, los fines y propósitos para los cuales eran destinados; así como promover la
creación de autoridades para la protección de los derechos de los titulares de la información, ante
Así se constata al revisar las Prácticas de Información Justa (FIPs)5 propuestas en 1973 por
Comité asesor del Departamento de Salud, Educación y Bienestar de los Estados Unidos, que
fundamentaron el desarrollo normativo de las normas atrás citadas y especialmente del Privacy
Act de 1974, según lo señala Gellman (2017). Este último restringe la revelación de datos
personales recolectados por agencias gubernamentales, establece los derechos del titular de los
datos a obtener acceso y rectificación de la información personal que tales agencias posean, y
consagra un código buenas de prácticas informativas que debe cumplirse en las distintas
Bajo el contexto económico de este periodo no existía espacio para el principio de libertad, la
recolección de información era principalmente realizada por instituciones públicas, como mandato
legal sin lugar a que se exigiere el consentimiento del titular. Adicionalmente, los datos no tenían
mayor valor económico para el sector privado y las personas carecían del conocimiento necesario
5
Las Prácticas de Información Justa (FIPs) reconocidas fueron: “(i) No debe haber sistemas de registro de datos
personales cuya existencia sea secreta; (ii) debe haber una manera para que una persona descubra qué información
sobre ella está en un registro y cómo se usa; (iii) Debe haber una manera para que una persona su información que se
obtuvo con un propósito sea empleada con fines distintos sin su consentimiento; (iv) Debe haber una manera para que
la persona corrija o enmiende un registro de información identificable; (v) cualquier organización que cree, mantenga,
use o revele registros de los datos personales identificables deben asegurar la confiabilidad de los datos para su uso
previsto y debe tomar precauciones para evitar el mal uso de los datos”, así aparecen citadas por Strandburg (2014).
22
para comprender las operaciones desarrolladas por complejos equipos computacionales, por lo que
no tenía mayor sentido concederles la oportunidad de elegir según lo aprecia el profesor Mantelero
(2014).
En el Estado Colombiano la llegada del primer computador ocurre en 1957, este equipo era un
IBM 650 traído por BAVARIA S.A., empresa pionera de la sistematización en el país;
posteriormente FABRICATO S.A. adquirió un IBM 1401 primer computador con transistores,
seguido de otras empresas como las Empresas Públicas de Medellín (Mesa, 2012). Al igual que el
normativa por parte del Estado, en esto existe una distinción radical con referencia a lo que ocurría
en Estados extranjeros.
La Constitución Política de 1886 vigente para ese momento tampoco contenía disposición
jurídica referida a la protección de datos personales, a pesar que en el derecho extranjero desde el
y doctrina legal desarrollada en Estados Unidos como lo constata Warren y Brandeis (1890). El
derecho al hábeas data tendría que esperar la etapa venidera para desarrollarse a través de la
El siguiente periodo que se desarrolla a partir de la mitad de la década de los 70s se puede ver
23
escritorio a un bajo costo, como consecuencia del abandono de la arquitectura computacional
(Garriga, 2016).
Estos cambios dieron lugar, a la generación de una nueva economía basada en la explotación
económica de los datos de las personas. En principio las compañías empleaban técnicas de
marketing masivo utilizando medios de comunicación como la televisión y los periódicos sobre la
del internet y las computadoras, las compañías eran capaces de realizar ofertas a individuos
La información personal adquirió de este modo valor económico para las organizaciones
privadas, que a través de su empleo lograban satisfacer de una mejor manera las necesidades de
sus consumidores. No obstante, como la recolección de información personal con tales fines no
estaba fundada en un mandato legal, aparece como contrapartida necesaria la libertad económica
La respuesta normativa a esta nueva realidad técnica y económica no se hizo esperar en Europa,
Estados Unidos y a nivel global. La OCDE (2011) en 1980 empleó las Prácticas Informáticas
Justas (FIPs) propuestas en Estados Unidos, para elaborar un conjunto de ocho principios 6
6
Los principios desarrollados en estas directrices están dispuestos de la siguiente forma: “(i) Principio de limitación
de recogida, de acuerdo con el cual deberán existir límites para la recogida de datos personales y cualquiera de estos
datos deberán obtenerse con medios legales y justos y, siempre que sea apropiado, con el conocimiento o
consentimiento del sujeto implicado. (ii) Principio de calidad de los datos: los datos personales deberán ser relevantes
24
contenidos en un documento denominado “Directrices de la OCDE sobre la protección de la
serían la base para orientar el desarrollo tanto a nivel nacional como internacional de la protección
En Europa, desde mediados de los 70s el Comité de Ministros del Consejo de Europa adoptó
varias resoluciones con la intención de proteger los datos personales, con fundamento en el artículo
8 del Convenio Europeo de Derechos Humanos que establece el derecho a la vida privada y
familiar. Esto condujo a que en 1981 el Consejo adoptará el Convenio 108 para proteger a las
OCDE, que serían desarrollados por posteriores resoluciones del Comité de Ministros.
En este nuevo contexto jurídico el consentimiento del titular de los datos toma un rol notable,
terceros, y abre el camino a la negociación del valor de la información personal. En ese sentido,
esta etapa se distingue de la anterior, debido a que antes no se necesitaba del consentimiento del
propietario de los datos porque estos se utilizaban para la satisfacción de intereses públicos, pero
para el propósito de su uso y, en la medida de lo necesario para dicho propósito, exactos, completos y actuales. (iii)
Principio de especificación del propósito: el propósito de la recogida de datos se deberá especificar a más tardar en
el momento en que se produce dicha recogida, y su uso se verá limitado al cumplimiento de los objetivos u otros que
no sean incompatibles con el propósito original, especificando en cada momento el cambio de objetivo. (iv) Principio
de limitación de uso: no se deberá divulgar, poner a disposición o usar los datos personales para propósitos que no
cumplan lo expuesto en el apartado 9, excepto si se tiene el consentimiento del sujeto implicado o por imposición
legal o de las autoridades. (v) Principio de salvaguardia de la seguridad: se emplearán salvaguardias razonables de
seguridad para proteger los datos personales contra riesgos, tales como pérdida, acceso no autorizado, destrucción,
uso, modificación o divulgación de los mismos. (vi) Principio de transparencia: deberá existir una política general
sobre transparencia en cuanto a evolución, prácticas y políticas relativas a datos personales. Finalmente los
principios de Responsabilidad y Participación del Titular”.
25
ante la proliferación del empleo de la información personal por organizaciones privadas, se hizo
De este modo en Estados Unidos, en 1984 el Congreso profirió el Cable Act que establecía la
obligación de cumplir con las FIPs, así como el deber jurídico de los operadores de cable, que
En la Unión Europea se afianzaría finalmente este principio y las disposiciones del Convenio
108 en el año 1995 cuando el Parlamento Europeo profiere la Directiva 95/45/CE7 que establece
a la autodeterminación informática, que debía ser transpuesto a las naciones partes de la comunidad
europea con el margen de discreción pertinente para asegurar la armonización de los distintos
personales a nivel global, así como se produce una masiva acogida normativa de los mismos.
Naciones Unidas en 1990 adopta la Resolución 45/90 contentiva de una lista básica de principios
Asia Pacifico adopta el APEC Privacy Framework que regula el tratamiento de información
7
La Directiva resume los principios de protección de datos personales en su artículo 7 que dispone: “Los Estados
miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si: a) el interesado ha dado su
consentimiento de forma inequívoca, o b) es necesario para la ejecución de un contrato en el que el interesado sea
parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o c) es necesario para
el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o d) es necesario para
proteger el interés vital del interesado, o e) es necesario para el cumplimiento de una misión de interés público o
inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen
los datos, o f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o
por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y
libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la
presente Directiva.”
26
personal en las economías que la integran; en 2006 la Red Iberoamericana de Protección de Datos
al tratamiento de Datos8.
Por tanto, en esa etapa se asiste al boom tanto a nivel nacional como internacional de la
protección de los datos personales, con un enfoque Europeo, en que se promueve un modelo
El Estado Colombiano no es ajeno a este boom normativo, a partir de 1991 con la expedición
circunstancia extraña en la tradición del derecho legislado del Civil Law. La Corte sintetiza gran
parte del desarrollo que a nivel global existía sobre la materia, tomando un enfoque más cercano
al europeo.
individuo sobre su información personal ante el poder informático que detentan tanto instituciones
públicas como privadas, no en vano una de las primeras decisiones la T-414 de 1992 resuelve un
8
La Organización de Estados Americanos (OEA) también se ha pronunciado en varias resoluciones sobre la relevancia
del hábeas data y de los principios de administración de datos personales, de este modo se evidencia en las
Resoluciones CJI/doc. 465/14, CJI/doc. 450/14 del año 2014, y CJI/doc. 474/15 del año 2015. La segunda Resolución
mencionada incorpora una serie de principios referidos a la protección de datos y la privacidad, por lo que resulta de
particular importancia.
27
caso referido a la relación entre un usuario financiero del Banco de Bogotá con las centrales de
riesgo financiero.
intimidad personal:
Frosini (1988) al referirse a la intimidad en sentido positivo o como una libertad personal
positiva elabora tácitamente el concepto de hábeas data, definiéndolo como “el derecho de
quitar o agregar) los datos personales inscritos en las tarjetas de un programa electrónico”, esta
reflexión del profesor tuvo impacto en las decisiones de la Corte Constitucional Colombiana9, que
La mencionada doctrina de la Corte prevaleció sólo hasta 1995 cuando por medio de Sentencia
SU-082 (M.S: Jorge Arango Mejía) rectificó su posición, reafirmándolo en sentencias posteriores
(T-552 de 1997) al decir que: “el derecho al habeas data es, entonces, un derecho claramente
diferenciado del derecho a la intimidad”, dado que no necesariamente la violación de uno implica
9
La Corte Constitucional recoge la reflexiones del profesor Vittorio Frosini en las sentencias T- 414 de 1992 (M.S:
Ciro Angarita Barón) y T-486 de 1992 (M.S: Alejandro Martínez Caballero), especialmente sobre el concepto de
poder informático, de modo que se descubre de que fuente la Corte extrajo este categoría.
28
En contraste, en el Sistema Interamericano de Protección de los Derechos Humanos sigue
existiendo la conexidad y dependencia del hábeas data con la intimidad personal o vida privada,
como lo dispone el Informe anual de la relatoría para la libertad de expresión del año 2001 (capitulo
3) al decir: “la acción de habeas data se erige sobre la base de(…) el derecho de cada persona a
no ser perturbado en su privacidad”, en tal sentido “habeas data se instituyó como una modalidad
del proceso de amparo para proteger la intimidad de las personas”, por lo tanto, la protección de
por el contrario en su consideración el hábeas data forma parte de los derechos amparados por el
artículo 8 de la Carta Europea de Derechos Humanos relativo a la vida privada, dada la amplia
noción que ha construido de esta, así se constata en los casos S. y Marper contra Reino Unido y
personalidad:
Por otra parte, el Tribunal Constitucional Alemán exploró una situación de conexidad diferente
en la sentencia del 15 de diciembre de 1983 que se dictó sobre hábeas data a propósito de datos
10
Esta relación en el marco normativo del Sistema Interamericano de Derechos Humanos, la referencia obligada al
derecho a la intimidad o vida privada para justificar normativamente el hábeas data, se explica en la medida en que la
Convención Americana de Derechos Humanos y los demás instrumentos de hardlaw no hacen referencia expresa a
este derecho; razón por la cual no existen pronunciamientos de la Corte Interamericana de Derechos Humanos
declarando la violación del hábeas data por parte de uno de los Estados miembros del Sistema, esta situación genera
dificultades para el litigio de casos relacionados con este derecho en el sistema. No obstante, existen normas de softlaw
dentro del sistema que se refieren a este derecho como el citado informe, el principio tercero de la Declaración de
Principio de la Libertad de Expresión de la Comisión Interamericana de Derechos Humanos, múltiples resoluciones
de la OEA, así como otros informes de la Relatoría para la libertad de expresión, así en el Informe Anual del año 2013
se señaló que: “La Comisión destacó que resulta fundamental que se desarrollen regímenes de protección de datos
que regulen el almacenamiento, procesamiento, uso y transferencia de datos personales sea entre entidades estatales
como respecto de terceros”.
29
personales recolectados con fundamento en la Ley de Censo de Población para fines estadísticos,
personalidad: “el libre desarrollo de la personalidad presupone en las modernas condiciones para
archivo, empleo y retransmisión de sus datos personales”11; esta línea de pensamiento también
fue empleada por la Corte Constitucional antes de proferirse la citada SU-082 de 1995, así se puede
constatar en Sentencias T-340 de 1993 (M.S: Carlos Gaviria Díaz) y T-022 de 1993 (M.S: Ciro
Angarita Barón).
instrumental) como la intimidad, la honra, el honor y el buen nombre (Romolina, 2013). En este
que a pesar de consagrar el habeas data en sus textos constitucionales y legales, lo comprenden
11
De esta manera lo expone la Sentencia de la Primera Sala, del 15 de diciembre, 1983 –1 BvR 209, 269, 362, 420,
440, 484/83.
12
Así ocurre en Argentina y Brasil. El Estado de Argentina en el artículo 43 de su Constitución dispone de manera
expresa que el habeas data es una “acción”, que da lugar en consecuencia a un proceso judicial (Robledo, 2017), la
cual se “puede utilizar para ejercer cualquier (…) facultad emergente expresa o implícitamente de las estandarizadas
reglas del derecho de la protección de datos personales respecto de los legitimados pasivos” (Puccinelli, 2015, p.24).
En cuanto al Estado Brasilero, Doneda (2007) expone que el constituyente brasilero estableció un sistema de garantía
individuales, entre ellas el derecho a acceder y rectificar la información personal, integrado con una serie de principios
de protección de datos, reconociendo tales derechos a través de la “acción de hábeas data”(p.8) .
30
siguiendo claramente la corriente de la comunidad europea que a través del Tribunal de Justicia
Europeo ha señalado que existe una íntima relación entre la protección de datos personales y el
derecho a la vida privada, empero conservan su independencia, al punto que la Carta de los
7 respectivamente)13.
El derecho fundamental autónomo al hábeas data envuelve un sistema de controles respecto del
procesamiento de los datos (Hustinx, 2013), por ende, le permite a la persona controlar el
adicionar, certificar la información que sobre ellas existan en bancos de datos o en archivos de
entidades públicas y privadas, así como de exigir que la administración de sus datos se ajuste a
que el contenido mínimo o esencial del hábeas data está compuesto por la autodeterminación
normativa que hasta aquí se ha expuesto sobre la base de los cambios tecnológicos y económicos
que han tenido lugar a nivel mundial. Así mismo, se fundamenta en dos premisas que se han
persona humana, al tiempo que afirma el valor económico de los datos y la facultad de disponer
13
De este modo se puede evidenciar en Sentencia del 9 de noviembre de 2010 del Tribunal de Justicia Europeo
(asuntos acumulados C-92/09 y C 93/09), y en la providencia 254 de 1993 del Tribunal Constitucional Español.
14
En este aspecto consiste precisamente que una de las dimensiones de la autodeterminación informática sea la
libertad económica, puesto que según lo tiene dicho la Corte Constitucional esta última, consiste en “facultad que
tiene toda persona de realizar actividades de carácter económico, según sus preferencias o habilidades, con miras a
crear, mantener o incrementar un patrimonio.” (Sentencia T-425 de 1992).
31
Las facultades en cabeza del titular de la información que se desprenden de la
b) Incluir nuevos datos con el fin de proveer una imagen completa de sí mismo, así
c) Solicitar que los datos recolectados sean rectificados o corregidos, para efectos que
d) Excluir información de las bases de datos, por voluntad del titular, por uso indebido
Estas facultades se concretan en los denominados derechos “arcars”, esto es, “un conjunto de
valiosos instrumentos para que el titular del dato se convierta en un sujeto activo de su
información personal” (Romolina, 2013, p. 228). En este punto es importante aclarar que estas
facultades se ejercen con relación a los datos personales, esto es, datos referidos a una persona
identificada o identificable denominada titular. El titular del dato es el sujeto de protección frente
a los riesgos que se generan cuando su información es objeto de tratamiento; este sujeto ejerce sus
información15.
15
Estos sujetos aparecen definidos en la Ley Estatutaria 1581 de 2012. El responsable del tratamiento es la persona
sea cual fuere su naturaleza, que por sí misma o en asocio con otros decide sobre las bases de datos o el tratamiento
de estos (literal e, ibídem); el encargado es la persona que realiza el tratamiento de datos personales (por sí misma o
en asocio) por cuenta del responsable del tratamiento (literal d, ibíd.); y el usuario de los datos, quien accede a los
datos personales del titular almacenados en bases o archivos de datos. Sobre este último debe aclararse que al igual
32
2.1.2. La introducción de los principios de administración de datos personales en
Colombia:
las sentencias T-729 de 2002 y C-185 de 2003 desarrolló e introdujo en el ámbito interno los
providencias C-1011 de 2008 y C-748 de 2011. Estas reglas se describen a continuación de manera
De acuerdo con el principio de legalidad el tratamiento sólo puede realizarse de la manera que
lo indica la Ley16, por eso, está prohibido emplear medios engañosos, fraudulentos, desleales o
deshonestos al realizar cualquier operación sobre los datos, por ejemplo emplear información
exclusivamente desfavorable de los titulares para fines discriminatorios, como el caso de las listas
de viajeros no conformes de la aerolínea Avianca resuelto por la Sentencia T-987 de 2012 (M.S:
El principio de finalidad exige que la información sea empleada para un fin legal y
constitucionalmente legítimo, la finalidad debe ser concreta y expresa, razón por la cual, el titular
debe ser informado previamente de manera clara, expresa y suficiente sobre las finalidades del
tratamiento (Concepto 18199385 del 30 de mayo de 2018 de la SIC). Cualquier operación con un
fin diferente está proscrita, salvo que se cuente con autorización del titular, o que se trate de un
uso conexo, compatible o accesorio con la finalidad principal autorizada según la teoría de los
que el Responsable y Encargado también está obligado al respeto de los derechos del titular y cumplimiento de los
principios de administración de datos como se desprende de la Sentencia C-1011 de 2008, puesto que como lo afirma
Remolina (2011): “Los usuarios no pueden hacer lo que quieran con (…) [los] datos porque con ello comprometen o
lesionan los derechos y libertades de los titulares” (p.6).
16
Así lo ha señalado la SIC en Resolución 51290 de 2018, al decir que: “Conforme al principio de legalidad en materia
de datos personales, cualquier forma de Tratamiento de información personal desde su recolección hasta su disposición
final se encuentra orientada par las normas contenidas no solamente en la Ley 1581 de 2012 sino también en la
normatividad que sobre la materia se ha expedido, la cual, para el caso en particular, corresponde al Decreta Único
Reglamentario 1074 de 2015”
33
ámbitos estructurada por la Corte, por ello la ausencia de una función clara en el tratamiento
constituye abuso del derecho conforme con las sentencias T-058 de 2015 y T-119 de 1995.
exceder del necesario y razonable para lograr el fin propuesto como se constata en el concepto
117301 del de 2018 de la SIC. Así los datos no pueden estar sujetos a tratamiento indefinidamente,
lo que significa que culminado el tiempo de tratamiento autorizado, los datos deben ser suprimidos
por parte del responsable, encargado o usuario, salvo que deban conservarse en cumplimiento de
una obligación legal o contractual. Este principio fundamenta materias como la caducidad del dato
Constitucional17.
Por otro lado, el principio de pertinencia y proporcionalidad demanda que los datos personales
recolectados sean adecuados, necesarios, pertinentes y acordes con la finalidad para la cual fueron
recolectados, este principio en el marco jurídico europeo ha sido denominado como minimización
de los datos, siendo desarrollado por el Tribunal de Justicia Europeo en los casos C-293/12 and C-
El principio de libertad establece que el tratamiento sobre los datos personales sólo es legítimo
17
Así se puede verificar en sentencias SU-458 de 2012 (M.S: Adriana María Guillen Arango), T-164 de 2010 (Jorge
Iván Palacio Palacio), T-421 de 2009 (María Victoria Calle Correa), T-173 de 2007 (Nilson Pinilla Pinilla), T-565 de
2005 (M.S: Jaime Araújo Rentería), T-542 de 2003 (M.S: Marco Gerardo Monroy Cabra), entre otras. La Corte
Constitucional se refiere a esta temática en alrededor de 58 providencias de las 194 sentencias de la base de datos
constituida para los efectos de esta investigación; lo que supera los porcentajes estimados por Manríquez (2015) que
señala “A mayo del 2015, más de doscientas sentencias de este tribunal desarrollan el tema de protección y tratamiento
de datos personales, y de ese número, aproximadamente un 3% tratan el derecho al olvido”.
18
La Corte Constitucional en sentencia C-1011 de 2008 explicó que tales calificaciones del consentimiento significan
que la administración de datos personales no pueda realizarse a las espaldas del titular “sino que debe tratarse de un
proceso transparente, en que en todo momento y lugar pueda conocer en dónde está su información personal, para
qué propósitos ha sido recolectada y qué mecanismos tiene a su disposición para su actualización y rectificación. “
34
autodeterminación informática de la persona, por lo tanto se necesita de la autorización del titular
que “debe reunir ciertos requisitos de forma, fondo y tiempo para que sea válida” (Remolina,
2013, p. 191)19.
De conformidad con el principio de veracidad o calidad, los datos recolectados no pueden ser
falsos, parciales, incompletos, obsoletos, sensibles, inútiles o innecesarios, por lo que los datos
“deberán ser exactos y, si fuera necesario, actualizados” (Puldain Salvador, 2017, p.131).
el derecho del titular a obtener acceso a su información personal, y a conocer los fines del
tratamiento, las prácticas y políticas implementadas para proteger sus derechos e intereses. Esta
exigencia de transparencia implica que las operaciones realizadas sobre los datos y las finalidades
del tratamiento sean explicadas al titular de manera fácilmente entendible, en un lenguaje simple
El principio de circulación restringida dispone que sólo pueden tener acceso a la información
personal los titulares, sus causahabientes o sus representantes, los terceros autorizados por el titular
o la ley, y las autoridades públicas en ejercicio de funciones legales o judiciales. Esto justifica que
los datos personales (salvo información pública) no estén disponibles en internet o medios de
comunicación masiva, salvo que el acceso sea técnicamente controlable, así lo expone la SIC en
responsables y encargados del tratamiento deben adoptar las medidas de seguridad necesarias para
19
Con relación a estos requisitos el Decreto 1074 de 2015 establece que la autorización deberá constar “(i) por escrito,
(ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que
otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca”.
35
adulteración o revelación de los datos sin autorización (principios de seguridad y
Finalmente, de acuerdo con Remolina (2013) también constituyen principios que se desprenden
de la jurisprudencia los siguientes: (i) principio de daño: cualquier daño que se provoque con
protección equivalente: está prohibida la transferencia de datos a otros países que no tengan niveles
protección de datos personales debe existir una autoridad estatal independiente e imparcial en
cargada de ello; finalmente (iv) principio de responsabilidad demostrada: los deberes de los
el respeto y garantía de los derechos de los titulares, y la administración de los datos personales
De manera paralela al desarrollo jurisprudencial del hábeas data comentado hasta ahora, el
legislador a partir de 1993 intentó en varias oportunidades vincular al Estado colombiano desde el
plano legislativo al boom normativo de protección de datos existente en el mundo, con resultados
infructuosos. Iguaran y Muñoz (2012) en su tesis presenta de manera resumida los proyectos de
Tabla 2. Proyectos de Ley de Hábeas Data anteriores a la expedición de la Ley 1266 de 2008.
20
El Dictamen 03 de 2010 del GT29 contempla que los responsables y encargados del tratamiento deben estar en
condiciones de demostrar tanto al titular como a las autoridades de control que han cumplido con la normatividad en
materia de protección de datos personales, dando cuenta las políticas, practicas, y los procesos que orientan el
tratamiento de datos personales bajo las condiciones de su organización.
36
Proyecto de Ley Resultado
Proyecto de Ley del senado 12 de 1993 y Declarado inexequible por la Corte
Cámara de representantes 127 de 1993 Constitucional en la revisión previa a la
sanción presidencial en el año 1995.
Proyecto de Ley Estatutaria número 201 de No prosperó como ley por falta de trámite.
2003 de la cámara de representantes y 071 de Esta norma pretendía regular lo relacionado
2002 del Senado de la Republica. con el acceso a la información de interés
público de carácter comercial.
Proyecto de Ley Estatutaria número 074 de Tampoco se convirtió en ley por falta de
2003 de la cámara de representantes y 64 de trámite, el cual regularía integralmente el
2003 del Senado de la Republica derecho al habeas data.
Proyecto de Ley Estatutaria número 143 de Buscaba regular la protección de los datos
2003 del Senado de la Republica. personales y la circulación de los mismos,
pero no se convirtió en ley porque fue
archivada en plenaria del senado en junio del
2004.
Luego de estos intentos fallidos se expidió la Ley Estatutaria 1266 de 2008, normatividad de
Este modelo de regulación sectorial sigue la experiencia de los Estados Unidos que ha optado
que los mercados se autorregulan de manera eficiente y que la opinión pública es reacia a
empoderar al Estado para la protección de su privacidad, por lo que la intervención estatal es sólo
criticó fervientemente este modelo de regulación adoptado a través de la Ley 1266, dado que no
37
que esta Ley no establecía un nivel adecuado de protección a la luz de la derogada Directiva
Consecuentemente, con ocasión a estas deficiencias legislativas el país podría verse excluido
de la dinámica de transferencia internacional de datos personales que exige el requisito del “nivel
ello implicaba. Con el objeto de resolver las comentadas deficiencias de la Ley 1266 se expidió la
Ley Estatutaria 1581 de 2012 complementaria de la anterior, que recoge los conceptos y principios
En la exposición de motivos de esta Ley Estatutaria emerge con claridad que el propósito era
convertir a Colombia en un Estado con un nivel adecuado de protección de conformidad con los
seguro en protección de datos por la Comunidad Europea. Este hecho se traduce en un obstáculo
comercial a la trasferencia de datos personales (…)”. Por lo tanto, el objetivo de la Ley es “la
acreditación de Colombia por parte de la Unión Europea como un país seguro en protección de
datos, y así poder acceder al mercado Europeo sin restricciones”21. De este modo, lo que motivó
a la adopción del actual sistema de protección de datos personales fue la conveniencia económica.
21
La exposición de motivos se encuentra en la siguiente dirección web:
https://habeasdatacolombia.uniandes.edu.co/wp-content/uploads/proyecto-de-ley-46-de-2010-camara.pdf
38
El avance tecnológico no se detuvo con la aparición del Internet y la computadora personal, los
general. Kitchin (2014) expone que el surgimiento del Big Data requirió de la previa existencia de
ciertas condiciones técnicas que empezaron a florecer a mediados del siglo XX hasta la actualidad,
como el crecimiento exponencial del poder computacional, el crecimiento masivo del internet, la
aparición y crecimiento de la industria web y las redes sociales (Web 2.0), la aparición de
dispositivos inteligentes conectados a través de la red, los procesos de lectura digital de datos, y el
De esta manera, el análisis masivo de datos surge en el paradigma tecnológico y digital, que de
acuerdo con lo explicado por Castell (2004) se caracteriza porque la información es la materia
prima de los procesos tecnológicos, es esencial a toda actividad humana, sigue una lógica de
interconexión, con una alta capacidad de reconfiguración por parte de las instituciones y una
compañías privadas, e intermediarios de los flujos masivos de datos como motores de búsqueda,
procesamiento de los datos ya no se enfoca solamente en personas específicas, sino que la escala
A pesar que cierta cantidad de información está disponible para las personas en la red, esto no
significa que exista una democratización de las técnicas de análisis masivo de datos, puesto que
39
sólo grandes compañías como IBM, Google, Facebook denominadas “Barones de los Datos” 22
cuentan con los recursos humanos y técnicos necesarios para convertir esa masiva cantidad de
información digital en conocimiento, así mismo sólo ellas han acumulado las cantidades de datos
Por esto, Mantelero (2014) considera que esta etapa se asemeja al primer periodo, puesto que
el poder informático nuevamente se concentra en pocas manos, las prácticas de manejo de datos
operaciones que se realizan sobre sus datos a través del Big Data.
Esto según el citado autor deviene en una crisis del marco jurídico de protección de datos
personales, en la medida en que los principios que rigen la recolección de datos se tornan obsoletos.
Al punto, que en el actual contexto tecnológico el régimen de protección no cuenta con un nivel
conjunto reglas actualizadas, a saber el RGPD del año 2016 que fortaleció los principios de
principio de finalidad y empoderó al titular de los datos a través del reconocimiento de nuevos
derechos.
De la misma forma, desde el Consejo de Europa (2017) se han dado directrices sobre datos
masivos y protección de datos encaminadas a reducir los riesgos que se desprenden del Big Data.
22
Algunas han calificada la era tecnológica actual como el “reinado” de los barones de datos dada la capacidad que
tienen para influir en los hábitos y patrones de conducta de las personas, a través de la información que recolectan
sobre estos (Giles, 2018).
40
En Estados Unidos, Reino Unido y Canadá las autoridades competentes se han referido al asunto,
Conclusiones:
que han ocurrido a nivel global desde el año de 1950, conforme cambian las condiciones en que
masificación del ordenar personal, el internet y el marketing personalizado, hasta la nueva era del
jurídicos del régimen de protección de datos fue la Corte Constitucional, quien puso al Estado
constitucional vino a sintetizarse recientemente en las Leyes 1266 de 2008 y 1581 de 2012, a través
de las cuales Colombia alcanzó un nivel adecuado de protección de datos y se convirtió en una
economía de datos competitiva a nivel global, al menos a la luz de los estándares de la Unión
Europea.
aparición del Big Data, que ha generado cambios normativos en el enfoque jurídico que sigue el
Estado Colombiano, con la aparición del RGPD. Esto significa que el régimen colombiano ha
quedado de cierta manera obsoleto, frente a los nuevos desafíos que enfrenta el habeas data y frente
a los nuevos cambios jurídicos, por lo que carece de un nivel adecuado y efectivo de protección
Este aspecto se explorará en los capítulos subsiguientes, debido a que existe entre los nuevos
41
una contradicción lógica, que genera incentivos para evadir su cumplimiento en las compañías
Capitulo II
nadie sabe nada de estos temas. Ello constituye una fórmula segura para el desastre.”
Carl Sagan
El régimen de habeas data no tiene un nivel adecuado de protección de datos en el contexto del
Big Data, desde una perspectiva instrumental o práctica. Remolina (2010) establece que un sistema
normativo debe incorporar ciertos principios23 para alcanzar desde el punto de vista regulatorio un
nivel deseable de protección; sin embargo esto no basta, los principios deben ser efectivos en la
realidad. La legislación colombiana como se apreció contiene tales principios, pero ¿está
Esta es la idea central que se desarrollará en este capítulo, para ello en primer lugar se expondrá
las características técnicas del Big Data, seguidamente la cadena de valor de los datos, los agentes
de mercado que participan en ella y las dificultades de la aplicación a esta de los principios de
y riesgos del análisis masivo de datos, los primeros deben ser promovidos normativamente, los
23
De acuerdo con Remolina (2015) el estándar europeo exige los siguientes principios: limitación de la finalidad,
calidad de los datos y proporcionalidad, transparencia, seguridad, acceso y rectificación, restricciones a las
transferencias con terceros países, reconocimiento de los datos sensibles, marketing directo y decisiones individuales
automatizadas.
42
Debe realizarse una aclaración preliminar para efectos de la comprensión del capítulo, el
análisis masivo de datos o Big Data y los riesgos o beneficios que de este se desprenden con
Estado especifico, puesto que por la naturaleza misma del modelo de negocio estos son globales
como se expondrá en el desarrollo de este texto, de ahí que la aproximación no sea únicamente
desde la perspectiva normativa nacional, sino que sea necesario tener en cuenta las experiencias
internacionales.
Existen divergencias tanto en la industria como en la academia sobre la definición de Big Data
(Team, 2011), sin embargo en general se ha dicho que corresponde al conjunto de datos que no
podrían ser recolectados, manejados y procesados a través de las técnicas analíticas tradicionales
en un intervalo de tiempo razonable, se refiere por lo tanto a las tecnologías diseñadas para extraer
valor de manera eficiente de un gran volumen de datos analizándolos a alta velocidad (Ganzt J y
Reinsel D, 2011).
Las notas características de esta tecnología son: el volumen, que comprende la generación y
no estructurados) que pueden ser analizados, y el valor, por los beneficios económicos y sociales
que pueden extraerse de las correlaciones generadas a través de algoritmos con la capacidad de
Big Data, la primera referida a la calidad de los datos y resultados, el segundo a la comprensibilidad
43
de los mismos, y el tercero a la mayor representatividad y validez del análisis como resultado de
En tal sentido, Hashem, Yaqoob, Anuar, Mokhtar, Gani, y Khan (2015) reconociendo que no
existe una definición univoca del término en comento, definen Big Data como el conjunto de
técnicas y tecnologías que requieren nuevas formas de integración para descubrir valores ocultos
de una gran cantidad de datos, que son diversos, complejos y de escala masiva. Esta definición es
similar a la aproximación realizada por instituciones como la OCDE, Naciones Unidas y el GT29
Según los citados autores existen cinco categorías que constituyen las condiciones técnicas
necesarias para el análisis de los datos masivos desde la perspectiva de la ciencia computacional,
a saber las fuentes de datos, los formatos de contenido, los almacenes de datos, el área de stage y
el procesamiento de datos. En lo que respecta a las fuentes de datos pueden mencionarse las redes
sociales, los sensores, las transacciones electrónicas, los datos generados de manera automatizada
a través de computadores, aplicaciones u otros mecanismos, y el Internet de las Cosas (IoT). Estas
fuentes generan grandes cantidades de información tanto personal como impersonal, que circula a
Los formatos de contenido consisten en formatos codificados para convertir los datos en
estructurados. Por su parte, los almacenes de datos se refieren a repositorios para almacenar
grandes cantidades datos, son de diferentes tipos como por ejemplo los almacenes de documentos,
los sistemas de gestión de bases de datos en columnas, bases de datos de gráficos, y las bases de
datos de valores-clave que almacenan valores y un índice para encontrarlos (Cattell, 2011).
24
Al respecto puede consultarse el documento del IBM Institu for Business Value (2012) denominado “Analytics: el
uso del big data en el mundo real”, en el que se exponen las principales características del Big Data.
44
El área de stage es un área intermedia de almacenamiento utilizada para el procesamiento de
los datos, por medio de las que se adelantan procesos de identificación de datos incompletos o
que permiten el manejo ilimitado de datos en tiempo real, utilizando algoritmos paralelos y
distribuidos en un Cluster, al respecto puede consultarse He, Lee, Huai, Shao, Jain, Zhang, y Xu
2. La cadena de valor del Big Data a la luz de los principios de protección de datos
Ahora bien, Chen, y Zhang (2014) explican que existe una “cadena de valor del Big Data” (p.
por una empresa o industria, para obtener un precio por proporcionar un bien o servicio (Porter,
1986). En torno al análisis masivo de datos, tal cadena está compuesta por las siguientes etapas:
generación, adquisición, almacenamiento y análisis de los datos; las cuales siguen una lógica
diferente a los principios de protección de datos personales reconocidos en la Ley 1581 de 2012 y
la jurisprudencia.
constitucional:
45
La generación de la información es el primer paso, implica la producción de una gran cantidad
generados por la actividad empresarial; la información producida por la actividad de las personas
en redes sociales, motores de búsqueda y sitios web; la información recolectada a través de objetos
el análisis de los datos requiere que estos sean exactos, consistentes, de calidad y que ocupen la
menor cantidad de espacio posible, los datos deben ser integrados, sometidos a procesos de
de información personal, la lógica económica detrás del modelo de negocio promueve la idea que
entre más datos se recolecten mayores beneficios se pueden obtener, en tanto estos son materia
prima para la innovación (OCDE, 2014). Sin embargo, está recolección masiva e indiscriminada
sólo se recolecten los datos necesarios para cumplir con la finalidad del tratamiento, según lo ha
25
Para esto se utilizan técnicas como el log file, sensing, Libpcap-based packet capture technology, Zero-copy packet
capture technology (Chen, Mao, y Liu, 2014).
26
Esta transmisión implica dos fases: Inter-DCN (transmisión de los datos de la fuente al centro de datos) y Intra DCN
(“flujos de comunicación de datos dentro de los centros de datos”). Para un estudio más detallado de estos
procedimientos puede consultarse el trabajo de Chen, Mao, Zhang y Leung (2014, p. 26-27).
46
planteado la Corte Constitucional en sentencia C-748 de 2011 y la SIC en concepto 17-28149 del
año 2017.
De igual forma, al recolectar datos que incluyen tanto información personal como impersonal
existen dificultades en el cumplimiento del principio de libertad. En primer lugar, por los costos
interactúan en la red, así como de generar un entorno que le proporcione la oportunidad real de
elegir al titular de la información (FTC, 2013), aspectos que se estudiaran a fondo en el cuarto
imperceptible y secreta, por ejemplo, recientemente se reportó que los televisores inteligentes
recopilan por defecto los hábitos televisivos de sus usuarios y los transfieren a empresas de
publicidad (Maheshwari, 2018), así mismo, la SIC ha sancionado a compañías por recolectar a
través de la red digital información personal sin solicitar consentimiento alguno o conservar las
copias de las autorizaciones como lo exige la Ley 1581 de 2012 (artículo 17 literal b) y el Decreto
1074 de 2015, así se aprecia en la Resolución 78899 de 2017 en la que se sanciona por esta razón
cuestionamientos sobre la legalidad de la recolección de datos personales sin que su titular sea
consciente de ello.
realiza usualmente a través de bases de datos NoSQL, las cuales se caracterizan por tener una
27
En esta resolución la SIC documenta que la sociedad INVERSIONES CMR S.A.S recolectaba información de unas
cuatrocientas cincuenta mil personas, a través de sus servicios de página web, aplicaciones inteligentes y página de
Facebook; sin el cumplimiento de las reglas previstas en la Ley 1581 de 2012 relativas al principio de libertad del
tratamiento, especialmente lo referente a la obligación de conservar copia de la autorización dada por el titular para el
tratamiento, por lo que no tenía los medios de prueba conducentes para demostrar que efectivamente había solicitado
el consentimiento de los titulares de la información.
47
estructura distribuida, los datos se hallan en diferentes nodos, por lo que permiten que el
Joyanes-Aguilar, 2015). En este aspecto cobra especial importancia tecnologías como el Cloud
Computing que operan como una solución a los problemas de almacenamiento, permitiendo
Este eslabón también enfrenta varias dificultades jurídicas con relación al régimen colombiano
de hábeas data. En esta etapa es corriente que se asocie información proveniente de diferentes
bases de datos, esto contradice el principio de circulación restringida, pues de acuerdo con la Corte
Constitucional Colombiana a la luz de tal principio está “prohibida toda conducta tendiente al
cruce de datos entre las diferentes bases de información” (Sentencias C-748 de 2011 y T-987 de
2012), por lo que, sobre este aspecto existe una falta de correspondencia lógica entre el mandato
legal y uno de los caracteres distintivos del Big Data: el volumen (Cukier y Mayer-Schöenberger,
2013).
Así mismo, surge el interrogante sobre el tiempo en que la información personal debe ser
la luz de las finalidades del tratamiento, en palabras de la SIC “el periodo de conservación de los
datos personales no debe exceder del necesario para alcanzar la necesidad con que se han
registrado” (Concepto 121139 de 2015); sin embargo los propósitos o usos que pueden dársele a
la información en el contexto del Big Data no pueden definirse ex ante, el asunto precisamente es
28
Mell y Grace (2011) definen el Cloud Computing “Un modelo para permitir el acceso ubicuo, conveniente y bajo
demanda de la red a un conjunto compartido de recursos informáticos configurables (por ejemplo, redes, servidores,
almacenamiento, aplicaciones y servicios) que se pueden aprovisionar y lanzar rápidamente con un esfuerzo de
administración mínimo (…)”. En tal sentido se afirma que existe una estrecha relación entre Cloud Computing y Big
Data, en la medida que el segundo requiere de tecnologías de almacenamiento distribuido para poder analizar grandes
cantidades de datos.
48
descubrirlos (Kitchin, 2014). En ese sentido, el tiempo de almacenamiento tampoco debería tener
ningún límite jurídico determinado, ya que esto impediría descubrir valores ocultos de la
información.
El almacenamiento de grandes cantidades de datos al interior de las compañías que prestan estos
servicios o explotan este eslabón de la cadena, también provocan un aumento del riesgo que
enfrentan las personas en sus derechos a la vida privada, reputación, buen nombre, entre otros; en
la medida en que de producirse una fuga de información el daño sería mayor dada la enorme
cantidad de aspectos que de su vida se datifican, por esto, en el contexto jurídico de los Estados
Unidos la presidenta de la FTC afirma que “grandes datos envuelven grandes responsabilidades”
(FTC, 2013).
Así, adoptar medidas de protección acordes con el principio de seguridad se convierte en una
tarea más compleja en este contexto tecnológico, a fortiori cuando la SIC ha exigido que las
medidas de seguridad sean proporcionales a: (i) la naturaleza jurídica responsable (su tamaño); (ii)
la naturaleza de los datos personales objeto de tratamiento; (iii) el tipo de tratamiento; (iv) los
El último y más importante eslabón en la cadena de valor del Big Data es el análisis, que permite
predicciones y decisiones. Supriyadi (2017) expone que el análisis puede ser de tipo descriptivo,
diagnostico o prescriptivo.
mundo y qué está pasando en el mismo. El segundo abre el paso a la explicación de las relaciones
que existen entre las variables, responde a porqué ocurren determinados eventos o fenómenos, a
través de este análisis “se pueden predecir eventos futuros desconocidos con base en las
49
correlaciones que se establecen entre determinados problemas” (Supriyadi, 2017, p.14);
finalmente a través del análisis prescriptivo, se emplean tecnologías como la Inteligencia Artificial
cuestiones como “qué debo hacer, cuál es el mejor resultado posible” (p.15).
métodos analíticos especialmente de naturaleza estadística. Según Chen, Mao, y Liu (2014) el
análisis del Big Data envuelve métodos analíticos tradicionales29 y métodos propiamente
Entre los métodos de análisis más destacados está el Algoritmo de minería de datos o Machine-
Learning, que se refiere a un conjunto de heurísticas y cálculos que crea modelos a partir de datos
para extraer patrones o estadísticas no descubiertas, con los cuales elabora nuevos modelos y
descubre nuevos patrones, mejorando las predicciones que se realizan, a través de esta tecnología
Zhang, 2014).
Por otra parte, también se tiene como destacada metodología para examinar datos el análisis
visual, el cual implica el uso de técnicas con el fin de crear tablas, diagramas, imágenes, modelados
geométricos u otras formas de visualización para comprender los datos (Chen y Zhang, 2014),
29
Las formas tradicionales de análisis emplean métodos estadísticos para extraer valores ocultos de una gran cantidad
de datos, siendo utilizados tanto a nivel estatal para la elaboración de planes de desarrollo como a nivel empresarial y
académico, entre ellos están el análisis de grupos (agrupar objetos y clasificarlos de acuerdo a ciertas características),
análisis factorial (describe la relación entre múltiples elementos a través de un número menor de factores), análisis de
correlación (determina la magnitud de relación entre dos variables continuas, a través de funciones o correlaciones),
análisis de regresión (herramienta matemática para estimar la correlación entre una variable y muchas más) , Test A/B
(tecnología para determinar cómo los cambios en una variable incrementan un resultado determinado), análisis
estadístico (modelar la incertidumbre y la aleatoriedad por medio de una teoría de la probabilidad).
30
Los métodos analíticos propios de los datos masivos son entre otros: Bloom Filter (estructura de datos que se emplea
para probar que un elemento es miembro de un grupo), Hashing (transforma datos de entrada en una cadena de longitud
fija), Triel (estructura de datos tipo árbol que permite recuperar datos a través de búsquedas rápidas), redes neuronales
(resuelve problemas de regresión y clasificación), Parallel Computing (emplea múltiples recursos computacionales
con el objetivo de descomponer un problema complejo asignando procesos separados que son independiente
completados al mismo tiempo), así como el machine-learning y el análisis visual.
50
puede mencionarse como ejemplo el análisis geográfico o geovisualización que representa
Estos métodos son empleados por algoritmos (como Apache Hadoop) que procesan los datos
en tiempo real u offline. Así, la analítica del Big Data sigue una lógica de espiral creciente de la
compresión, en tanto, reutiliza por lo general los datos asignándoles nuevos usos o nuevas
a través del aprendizaje computacional el algoritmo es capaz de identificar patrones que estaban
ocultos.
Esta característica en especial impide que pueda cumplirse con el principio de finalidad del
tratamiento, el cual demanda que desde el momento de la recolección se informe al titular de los
datos del propósito específico del tratamiento, estando prohibido emplear la información personal
para en usos distintos o que no guarden relación con el fin autorizado (Forgó, Hänold y Schütze,
2017). Bajo esta consideración normativa, que es uno de los pilares de la Ley 1581 de 2012, los
usos segundarios de la información están prohibidos, lo que deshace todo el proceso de generación
De lo anterior, se desprende que existe una contradicción lógica entre las etapas de la cadena
de valor del Big Data y el alcance jurídico de los principios de administración de datos personales
dentro del régimen jurídico colombiano. Esto como se señaló en el capítulo antecedente es
31
Como lo exponen Cukier y Mayer-Schöenberger (2013) el cambio de paradigma se resume a tres cuestiones. En
primer lugar, porque se resuelve en gran medida los problemas de representatividad que se generaban al estudiar una
determinada muestra de la población, el uso intensivo de algoritmos permite que el análisis tenga la capacidad de
estudiar toda la población a costos que no son prohibitivos. En segundo lugar, se admite el análisis de datos no
organizados o estructurados aceptando que es probable que se produzcan pequeñas inexactitudes. Finalmente, el Big
Data enriquece la comprensión humana de la realidad al presentarle al ser humano correlaciones entre fenómenos que
51
proceso de generación de valor son agentes maximizadores que no van a renunciar a las ganancias
que pueden obtener (Cooter y Ulen, 2012), por aplicar en estricto sentido la normatividad en
protección de datos personales, lo que da lugar a estrategias corporativas con el fin de eludir la
régimen colombiano de habeas data no es adecuado. De acuerdo con Remolina (2010) desde la
efectividad de las normas de protección, que reconoce que sólo se contribuye a la protección del
Este segundo aspecto instrumental es el que está puesto en cuestión. Como se explicó en el
primer capítulo el Estado colombiano a través de la Ley estatutaria 1581 ajustó su ordenamiento
regulatorio; sin embargo, la generación de valor a través del Big Data impide la aplicación efectiva
de tales principios, dado que estos no inciden en la configuración de los incentivos de las
sobre la contradicción lógica entre el modelo de negocio del Big Data y los principios de
no habían sido detectadas, estas correlaciones no revelan relaciones de causalidad entre los hechos, de tal manera que
se afirma que existe un paso de la “causalidad” a la “correlación”.
52
La ICO (2017) de Reino Unido disiente de la conclusión anteriormente presentada, para esta
institución no existe ninguna incompatibilidad entre la lógica que sigue el Big Data y los principios
de administración de datos personales, que en lo esencial son iguales a los principios contenidos
en la legislación colombiana, una visión que promueva tal idea de incompatibilidad desconoce
para la comentada institución la flexibilidad inherente a tales principios. En criterio del ICO no es
dable afirmar que los principios no se ajustan a los desafíos del Big Data, por lo que deban ser
modificados. Contrario a lo afirmado por Mantelero (2014) no existe una crisis como consecuencia
de los cambios tecnológicos, que demande una modificación del paradigma normativo actual.
Para la institución británica la aplicación de los principios a las distintas etapas de la cadena de
que realiza de los principios de protección de datos está orientada a ajustarlos a la lógica del
modelo de negocio del Big Data, exigiendo en esencia que el tratamiento de los datos sea justo
sobre la base de una evaluación de impacto que deben realizar las organizaciones sin renunciar al
La Casa Blanca (2015) de los Estados Unidos en un informe sobre la materia, no parece estar
tan acorde con esta posición, por el contrario expone que es problemático que los principios de
los datos, cuando el énfasis debería estar principalmente en los usos que se le dan a la información
personal, previniendo y sancionando usos indebidos o injustos de los datos personales. Posición
que también comparte el Foro Económico Mundial según Cate y Mayer- Schönberger (2013),
53
En todo caso, la posición de la institución Británica no es desatinada. Los principios como bien
lo afirman Sanchís (1998) y Zagrebelsky (2005) son normas jurídicas de carácter abierto, que no
poseen un supuesto de hecho ni una consecuencia jurídica, en otras palabras, que no tienen la
estructura de una regla. Siguiendo a R. Dworkin (1989) un principio es un “estándar que ha de ser
observado (…)” en mayor o menor media como un mandato de optimización, “no porque
favorezca o asegure una situación económica, política o social que se considera deseable, sino
porque es una exigencia de la justicia, la equidad o alguna otra dimensión de la moralidad” (p.72).
Este estándar no le dice a las personas cómo deben actuar, cuestión que si hacen las reglas, sino
que proporcionan a los individuos humanos criterios para tomar posición ante situaciones
concretas, es decir que generan actitudes favorables o contrarias de apoyo o de disenso ante todo
lo que puede estar implicado en una situación concreta, por eso, su significado no es determinable
en abstracto, sino sólo frente a casos concretos en los que se podrá establecer su alcance
(Zagrebelsky, 2005). Esto significa que el alcance de los principios jurídicos puede ajustarse según
Así, no hay necesidad de abandonar los principios de protección de datos personales como lo
expone el ICO (2017), sino que deben ajustarse o replantearse a la luz de las nuevas condiciones
tecnológicas, tesis que también privilegia la neutralidad tecnológica que debe caracterizar el orden
jurídico, esto es precisamente lo que ha hecho el Consejo de Europa al proferir “directrices sobre
replantear el alcance de sus principios fundamentales a la luz de los desafíos del Big Data.
54
En todo caso, es necesario reconocer en contraposición al criterio de la ICO que sí existe una
incompatibilidad entre el alcance jurídico que actualmente tienen los principios de administración
de datos y la lógica del Big Data. Ignorar este punto de partida, es desconocer una premisa
fundamental para comprender por qué las organizaciones privadas que se benefician de estas
manera insulsa como una formalidad destinada de antemano al fracaso. Incluso bajo la
2.2. Agentes que se benefician de la cadena de valor del Big Data y naturaleza global
El auge que tanto en la industria como en la academia ha ganado el Big Data desde el año 2008
obedece a ciertos discursos que lo sustentan sobre la base de la generación de valor social. Sin
embargo, estos discursos no son ajenos a la realidad, puesto que como lo informa la OCDE (2014)
los agentes que participan de la cadena de valor de los datos generan ingresos y ganancias
32
Así por ejemplo las compañías de Internet generan aproximadamente un millón de dólares por cada persona
empleada para el año 2011, las de software alrededor de quinientos mil dólares y las de infraestructura digital dos
cientos mil dólares según la OCDE:
Gráfico 2. Ingreso promedio por empleado de las 250 compañías top en tecnologías de la información (OCDE, 2014)
55
De acuerdo con la OCDE (2014) los agentes que participan del mercado del Big Data
conforman todo un ecosistema de negocio entorno a la cadena de valor, cada uno de estos ofrece
servicios que alimentan la actividad de los otros, se distinguen entre ellos los siguientes:
(i) Los proveedores de servicios de internet que proporcionan la columna vertebral del
de procesamiento de datos;
(iv) Los proveedores de datos que incluyen los titulares de los datos, el Estado,
de la información.
(v) Finalmente, las empresas que se benefician del análisis masivo, dispersas en
56
Estos agentes operan de manera global, lo que significa que el mercado de datos no se
circunscribe al territorio de ningún Estado, sino que atraviesa las fronteras territoriales, como
efecto de la computación ubicua y el carácter global de los agentes que distribuyen sus recursos
alrededor del mundo. La información puede ser recolectada en un Estado, a través de tecnologías
o aplicaciones que funcionan en una nación distinta, y almacenada en bases de datos de un tercer
Estado, así los flujos de información que circulan en el internet no distinguen los límites
jurisdiccionales.
autoridad competente para conocer de los conflictos que se generan en la red con relación a la
violación de los derechos de las personas. La Declaración Conjunta sobre libertad de expresión e
internet del año 2011, al respecto dispone que “la competencia de causas vinculadas con
contenidos de internet debería corresponder exclusivamente a los Estados con los que tales causas
presenten los contactos más estrechos”, razón por la que las acciones judiciales sólo deberían
en entre dicho, dada la globalidad del riesgo. Las autoridades nacionales de protección de datos
las personas bajo su jurisdicción con relación a compañías que se encuentran fuera de ella en
ocasiones operando de manera oculta o secreta33. Este problema se agrava al considerar que no
33
Al revisar la base de datos de resoluciones sancionatorias proferidas por la SIC en ejercicio de las competencias que
le otorga la Ley 1581, se constata que los sujetos sancionados son personas jurídicas o naturales domiciliadas en el
espacio territorial del Estado Colombiano; no se han proferido resoluciones en contra de compañías domiciliadas en
el exterior o por operaciones que hayan tenido lugar por fuera de los límites territoriales del Estado.
57
existe un sistema unificado de protección de datos a nivel mundial, por lo que las organizaciones
pueden domiciliarse en foros con un régimen flexible o permisivo según les convenga.
en estas circunstancias puede resultar inútil o improbable, entre otras cosas, porque las medidas
jurídicas que se adopten no pueden alterar el flujo libre de información que circula a través de la
internet, en razón del principio de neutralidad de la red. En tanto que, este principio persigue la
libertad de acceso y elección de los usuarios de la red, de utilizar cualquier contenido o servicio
salvo que sea estrictamente necesario y proporcional adoptar dichas medidas por razones de
deseados por expresa solicitud del usuario (CIDH, 2015; CIDH, 2013).
34
Inspirado en un gráfico similar de la OCDE (2014), integrando nuevos elementos.
58
Analizadas las etapas de la cadena de valor del Big Data a la luz de los principios jurídicos de
protección de datos personales, ahora se procederá a estudiar los beneficios y riesgos que se
derivan de esta tecnología, con el propósito de establecer que al reconsiderar el alcance normativo
de tales principios debe partirse de la premisa fundamental de reducir los perjuicios o riesgos, así
3.1. Beneficios:
siguiendo principalmente a Foucoult, de modo que no es ajeno a las relaciones de poder. Existe
una serie de discursos que promueven el desarrollo del análisis masivo de datos a instancias de los
beneficios que se pueden derivar a nivel estatal, empresarial, económico y comercial. El mercado
de datos no sólo despierta intereses económicos, sino políticos; es decir, todo un conjunto de
En este punto es importante mencionar que desde el punto de vista del poder estatal, se afirma
que el Big Data mejoraría la administración pública y reduciría los gastos públicos a través de la
El Estado emplea los métodos estadísticos para efectos de planificar el desarrollo de sus
territorios (Lane, Stodden, Bender, y Nissenbaum 2014). A través de las herramientas analíticas
propias del Big Data tendría una mayor rapidez y precisión al momento de determinar la forma en
que debe asignar sus recursos, alcanzaría mayores grados de eficiencia, tendría una mayor
35
Como el propio Foucoult (2003) lo afirma “poder y saber se implican directamente el uno al otro, no existe relación
de poder sin constitución correlativa de un campo de saber, ni de saber que no suponga y no constituya al mismo
tiempo relaciones de poder”(p. 28), y siguiendo a Nietzche dice el francés: “El conocimiento es simplemente el
resultado del juego, del enfrentamiento, de la unión, de la lucha y el compromiso entre los instintos”(1999, p. 176).
59
capacidad para desplegar políticas públicas efectivas fundadas en predicciones mucho más
Esta es una herramienta que puede dotar las decisiones estatales de un contenido coordinador
por la cantidad de información que puede procesar en cortos intervalos de tiempo, por ejemplo con
la epidemia del cólera en Haiti las autoridades de salud tuvieron la oportunidad de anticipar con
Por otro lado, el Estado podría fortalecer la seguridad pública y la persecución de los delitos
dado que los algoritmos de minería permiten reforzar la vigilancia, predecir crímenes y actos de
terrorismo en tiempo real. Wigan y Clarke (2013) exponen que varios Estados, entre ellos
integración de bases de datos para fortalecer la vigilancia masiva, de igual modo varios Estados
han adoptado políticas públicas orientadas a la explotación de datos, según se señala en la siguiente
tabla:
36
En países como Brasil se han implementado propuestas orientadas a este fin, tratando de convertir a ciudades como
Rio de Janerio en “ciudades o espacios inteligentes” para atender problemas como el tráfico o el crimen (Singer, 2012).
60
Japón Si
(PMJ, 2013)
Francia Extraer conocimiento y valor de los datos que No
(PRME, 2013) generan las distintas instituciones públicas.
Reino Unido Si
(MCOPM, 2017)
Unión Europea Unificar los datos gubernamentales y promover su Si
(CE, 2013) apertura.
Desde la perspectiva del poder económico, las empresas pueden emplear el análisis de datos
masivos para mejorar su administración, satisfacer a sus clientes en mayor medida, ganar
eficiente la relación con sus proveedores. Brynjolfsson (2011) reporta que la adopción de sistemas
cinco y seis por ciento en relación con los modelos tradicionales de manejo de la información.
A su vez Gil (2013) señala que con este nuevo conocimiento las empresas se hacen a una
oportunidades de negocio no explotadas aún. La citada autora señala varios casos como el de los
supermercados Waltmart que emplea el análisis de datos masivos para comprender los hábitos de
intercambios, puede facilitar el ajuste entre oferta y demanda; al punto de permitirle al oferente
Por su parte, Raghupathi y Raghupathi (2014) han descrito como en investigación médica se
han evaluado enormes cantidades de datos con el propósito de implementar nuevos tratamientos,
61
descubrir efectos adversos de medicamentos, analizar los patrones en que se propagan epidemias,
determinados pacientes de contraer alguna enfermedad y enriquecer el perfil médico del paciente.
Van Dijck (2014) expone que los defensores del Big Data han visto en esta forma de análisis
remarcada tolerancia a que el Estado, el sector empresarial y académico acceda fácilmente a los
transformación de los diversos aspectos de la acción humana en datos cuantitativos que están en
línea, para efectos de permitir análisis predictivos y descriptivos del comportamiento humano, así
3.2. Riesgos o externalidades negativas del Big Data: desafío para el regulador
colombiano:
Visto que las personas aceptan de forma casi acrítica el intercambio de datos por los beneficios
que obtienen de los distintos servicios digitales a los que acceden, existe una confianza en las
instituciones sociales vinculadas con la cadena de valor del Big Data, especialmente en que
37
De acuerdo con Van Dijck, J. (2014) los fundamentos ontológicos y epistemológicos de la datificación son dos: (i)
la creencia en la objetividad de la cuantificación de la acción humana, y (ii) la asunción que los datos datos personales
son materia prima para el descubrimiento de valores ocultos; premisas que admiten varios cuestionamientos. En
primer lugar, los datos recolectados no necesariamente son objetivos, las fuentes de información del Big Data generan
una gran cantidad de datos relativos a la amistad, la popularidad, los gustos, que son todo menos objetivos, se refieren
a aspectos humanos enteramente subjetivos, que no son analizables de la misma manera que los fenómenos físicos,
dado que no son cuantificables (por ejemplo en cuanto prefiere una persona más un tipo de relación que otra). En
segundo lugar, el autor se cuestiona que los datos brutos tengan valores ocultos en sí mismos considerados, por el
contrario el valor que se les puede extraer depende de la visión política, empresarial o académica que se le imprima a
los métodos de análisis de la información, lo que envuelve previamente el planteamiento de un problema, canalizador
de todo el esfuerzo en el proceso analítico; así si el objetivo es prevenir eventos de terrorismos, el análisis algorítmico
de los datos será orientado por parámetros consecuentes.
62
actuaran conservando su independencia, cierta creencia que el Estado regulará de manera eficiente
para resolver las dificultades que se presenten y que las empresas emplearán el análisis de datos
masivos respetando la privacidad y la protección de los datos personales (Van Dijck, 2014).
defraudada, así se evidencia a nivel internacional con los casos de Cambrigde Analytica relativo a
la venta de información personal de redes sociales para fines políticos (BBC mundo, 2018), o el
escándalo Wikileaks de Eduard Snowden con relación a la información personal que obtenía la
2015).
los algoritmos no analizan realmente la información personal que se recoge a través de la red
digital (datos primarios), sino los metadatos que se producen, por lo que supuestamente la
y King, 2014).
Sin embargo los algoritmos de minería a partir de tales metadatos son capaces de inferir o
predecir aspectos de la vida privada de los individuos (Richards y King, 2014), de este modo como
lo argumenta Sipriyadi (2017) a la luz de estas circunstancias es difícil determinar la línea divisoria
entre los datos que son personales y los que no lo son, lo que constituye un problema capital en la
aplicación del régimen normativo de datos personales, como se expondrá en el siguiente capítulo.
Estas circunstancias que minan la confianza en las instituciones y en el análisis de datos, lo que
exige en los términos de Richards y King (2014) analizar “el potencial del Big Data de manera
63
más crítica” (p.2), razón por la cual estos señalan tres paradojas en relación con este nuevo
paradigma.
Primero, el Big Data promete un mundo con mayor transparencia, en términos de reducción de
información, y los criterios para la analítica predictiva son desconocidos, en algunas ocasiones
secreto empresarial).
Segundo, el Big Data busca identificar a grupos e individuos, en el sentido de revelar el perfil
de las personas o de grupos de estas, sus gustos, costumbres, hábitos de consumo, condiciones
médicas, planes criminales o terroristas y demás; sin embargo precisamente por ello amenaza el
vida que se prefiera, valores constitucionales relevantes protegidos por la Constitución Política de
1991.
Tercero, el Big Data pretende empoderar al ser humano, al permitirle comprender el mundo de
mejor manera, empero, termina empoderando aquellas instituciones que cuentan con los medios
necesarios para emplear estos métodos de análisis, los Estados y grandes compañías terminan
ganando a costa de individuos que son “minados, analizados y ordenados” (Richards y King, 2014,
p.5).
De esta manera, se puede afirmar que el empleo de datos masivos genera externalidades
negativas que afectan la privacidad y protección de los datos personales. Kshetri, N. (2014)
realizando un análisis con fundamento en las características de los datos masivos referidas al
principio, señala que el Big Data permite predecir datos de carácter sensible sobre las personas
64
salud física o mental, aspectos de los cuales las empresas pueden sacar ventajas; de modo que los
caracteres distintivos de esta tecnología ponen en riesgo las prácticas deseables en materia de
Gil (2013) denomina estas externalidades negativas como riesgos, distinguiendo dos riesgos
concretos. El primero es caer en conclusiones erróneas no revisadas, cuando se analiza una gran
cantidad de datos existen altas probabilidades de “encontrar relaciones ilusorias sin ninguna
significación real, aunque ambas presenten una fuerte relación estadística” (error por azar)
(p.34). Por otro lado, introducir una enorme cantidad de variables de manera acrítica y automática
a los cálculos, puede producir de manera aleatoria relaciones entre variables que en realidad no
Este tipo de errores puede llevar a conclusiones equivocadas que fundamenten decisiones
políticas o empresariales, con una consecuente pérdida de beneficios o bienestar general. Lo que
envuelve un desconocimiento directo del principio jurídico de veracidad o calidad de los datos,
que puede conducir a la afectación de los derechos o intereses de los sujetos involucrados en los
procesos de decisión.
por parte de autoridades policiales, se calificó erróneamente a cincuenta y tres activistas de paz y
derechos humanos como terroristas por las características particulares del grupo; esta predicción
se compartió con otras bases de datos federales, sin informar si quiera a los titulares de la
información (Gray y Citrón, 2013). La cuestión es que este tipo de errores bajo el paradigma actual
son cada vez más aceptables, como si fuese un mal necesario (Cukier y Mayer-Schöenberger,
2013).
65
El segundo riesgo se refiere a las decisiones automatizadas sin intervención humana, que se
toman con relación a personas y afectan sus intereses (comerciales, financieros, familiares,
laborales, entre otros), a través de procesos de análisis prescriptivo, esto implica según Gil (2013)
que “la investigación básica y la intuición básica están siendo usurpadas por formulas
algorítmicas” (p.41). Además estas decisiones se toman sin motivación más allá del diseño
algorítmico que sustenta el proceso analítico, por lo que, no se exponen las razones justificativas
u objetivas de la decisión, es decir, aquellas que justifican una determinada forma de actuar o de
dirigirse para mostrar la legitimidad o corrección de una acción o decisión (Roca, 2004), en otras
Este aspecto envuelve varias dificultades jurídicas. En primer lugar, no es clara la posición de
intereses o derechos de las personas, en tanto que la Corte Constitucional en sentencias C-748 de
2011 y T-987 de 2012, dispone que no es posible “generar efectos jurídicos adversos frente a los
titulares, con base, únicamente en la información contenida en una base de datos”, lo que excluiría
la aplicación de un algoritmo que tome decisiones sobre la base de información que resida en bases
Por otro lado, estas decisiones tienen lugar de forma oculta o en su defecto sin revelar los
criterios que la orientan. La tarea de exponer los criterios que emplea el algoritmo para decidir no
términos comunes, que elaboran modelos matemáticos para descubrir patrones impredecibles, con
los cuales se fundamenta la decisión (Gil, 2013; Rubinstein, 2012; Crawford y Schultz, 2014).
Por ende, existe un problema evidente para cumplir con el principio de transparencia del
tratamiento de los datos, pues según la Corte Constitucional Colombiana, este envuelve la
66
obligación de ofrecer al interesado información cualificada acerca del tratamiento, que le permita
Ante este riesgo transversal a los distintos Estados se han tomado medidas normativas en el
régimen jurídico de la Comunidad Europea de Naciones, por lo que, el reglamento general europeo
en su artículo 22 consagra el derecho del titular de los datos a no ser objeto de una decisión que
produzca efectos jurídicos con relación a sus intereses basada únicamente en el tratamiento
automatizado de datos, salvo que: (i) la decisión sea necesaria para la celebración o ejecución de
un contrato, (ii) esté autorizada expresamente por disposición legal; (iii) o se base en el
intervención humana, de forma que el titular pueda expresar su punto de vista e impugnar la
decisión, esta disposición jurídica se aproxima a la propuesta de Crawford y Schultz (2014), que
proponen un modelo de regulación del Big Data, que abandone la aproximación desde el punto de
vista del hábeas data, y por el contrario atienda la problemática desde el derecho al debido proceso,
jurisprudencia colombiana se pronuncien, para efectos de prevenir que las personas sean afectadas
por decisiones arbitrarias. Las instituciones públicas deberán esclarecer su posición acerca la toma
particulares, así como respecto a las operaciones tendientes a predecir datos personales o sensibles
con fines políticos o económicos, como ya lo han hecho instituciones en el ámbito normativo
europeo y anglosajón, adoptando para ello la aproximación jurídica que consideren más
conveniente.
67
Conclusiones:
El Big Data promete grandes beneficios socialmente aceptados y deseables, sin embargo la
datificación de la vida en general hace que las personas hayan perdido de cierta forma la conciencia
sobre los riesgos que envuelve el análisis masivo de datos en relación con sus derechos
fundamentales. Este hecho es aprovechado por las compañías que participan de la cadena de valor
de los datos para maximizar sus beneficios, aunque ello implique la proliferación de las
Los riesgos o externalidades negativas del empleo de esta tecnología, así como las actividades
existente entre la lógica del modelo de negocio de los datos masivos y el alcance jurídico de los
principios de administración de datos. Por lo que, existe una dificultad estructural en la aplicación
del régimen colombiano de habeas data al contexto tecnológico emergente, lo que demuestra que
valor para emplear estrategias corporativas que buscan precisamente evadir su aplicación, por
razón de los costos regulatorios; y promueve de forma no intencionada la concentración del poder
Por eso, en los próximos dos capítulos se exponen las principales estrategias corporativas
resaltadas por la literatura jurídica que se utilizan para tales efectos, en uno de ellos se abordará
otro se analizarán concretamente los principios de finalidad y libertad del tratamiento de datos. La
68
conclusión sea como sea es que la solución jurídica adecuada debe limitar la externalidades
negativas, sin dejar de promover la generación de beneficios sociales, ajustando a los desafíos
Capítulo III
“Lo mejor es el poder ilimitado, la tiranía. Éste es, dice Trasímaco, el orden justo
desde el punto de vista de los fuertes”
Rüdiger Safranski
69
De acuerdo con las características del Big Data este envuelve el almacenamiento y análisis de
datos a gran escala, Mayer-Scönberger y Cukier (2013) exponen que todas las señales indican que
fuentes de datos tiende a ser cada vez mayor, a efectos de realizar predicciones con mayor exactitud
Por lo que se genera una relación de poder entre las instituciones que explotan los datos (sean
sociedades comerciales, partidos políticos, entidades públicas u otros) y los individuos, que
termina por afectar los derechos de estos al convertirlos en potenciales víctimas de una “dictadura
de los datos”, contexto en el que según la FTC (2012) de los Estados Unidos las empresas pueden
acumular grandes cantidades de información personal para propósitos que las personas no esperan
o no entienden.
El tratamiento a escala masiva de datos, como lo señala Ohm (2012) ha dado rienda suelta a
una carrera descarnada entre empresas por convertir lo antes posible los secretos e información de
las personas en dinero, razón por la que se han creado bases de datos masivas que describen
distintos aspectos de la vida humana alimentadas por redes sociales, transacciones electrónicas, el
La economía de los datos siguiendo a Ohm (2012) tal vez ya alcanzó el punto de generar bases
de datos tan grandes como para asociar a cada individuo con al menos un secreto bien guardado
generar una base de datos única y masiva, que este autor denomina “base de datos de ruina”. La
cuestión estriba en sí las operaciones que se desarrollan en el análisis de datos masivos están (o
deben estar) sujetas al ámbito de aplicación a las normas de protección de datos personales para
70
Se explorará esta problemática en lo que sigue, explicando en primer lugar las dificultades en
segundo lugar algunos de los modelos de solución que se han elaborado a nivel internacional a fin
de dar con una respuesta a la crisis del actual sistema normativo de protección del hábeas data.
En Colombia, el ámbito de aplicación del régimen de protección de datos personales, Ley 1581
centralizado o general que adopta la Ley, en el segundo dispone que la Ley aplicará al tratamiento
y el tercer inciso establece las bases de datos exceptuadas del ámbito de validez material de la Ley,
que en todo caso deben respetar los principios de administración de datos de conformidad con el
A propósito de la aplicación de la citada Ley al entorno digital Márquez (2016) expone que el
colombiano, dentro de los cuales efectivamente se encuentra la recolección de datos” (p. 28). En
este sentido la legislación es aplicable cuando cualquiera de las operaciones desarrolladas a los
largo de la cadena de valor del Big Data: (i) verse sobre datos personales, y (ii) sea desarrollada
en el territorio colombiano.
definición de tratamiento, a saber toda operación o conjunto de operaciones que se realicen sobre
71
los datos personales que incluyen recolección, almacenamiento, uso, circulación o supresión
Márquez (2016) además precisa que: “en el marco de protección de la ley estatutaria de
y manuales” (p.14). En ese sentido, aunque las operaciones se realicen en la red digital, el régimen
debe aplicarse indistintamente de esta situación, siempre que se cumplan las condiciones arriba
precisadas.
Al respecto, debe subrayarse que no toda la información procesada a través del análisis de datos
masivos se trata de datos personales, en la medida que también se procesan datos impersonales,
como por ejemplo datos operacionales, metadatos, y datos anonimizados, según se expuso en el
primer capítulo.
Fuster y Scherrer (2016) en relación con las normas de protección de datos personales de la
comunidad europea de naciones enseñan que su aplicabilidad está condicionada a que los datos
sean calificados como personales. Esta condición también es necesaria en el Estado Colombiano
como se desprende del artículo 2 de la Ley 1581, puesto que de acuerdo con esta disposición
normativa el objeto de protección del derecho fundamental de hábeas data son los datos personales.
Los datos personales constituyen la información relativa a una persona física determinada o
determinable (Puldain Salvador, 2017). Estos datos se caracterizan de acuerdo con la sentencia T-
729 de 2002 de la Corte Constitucional Colombiana por estar referidos a aspectos propios de una
persona natural, permitir identificar a la persona en mayor o menor medida gracias a la visión de
conjunto que se logre de los mismos, ser de propiedad exclusiva del titular a pesar de la obtención
del dato personal por parte de un tercero de manera lícita o ilícita, y estar sujetos a una serie de
72
Estos se clasifican de acuerdo con su grado de confidencialidad en públicos, semiprivados,
privados y sensibles (Sentencia T-058 de 2015), son privados aquellos que por su naturaleza íntima
o reservada sólo interesan al titular, como por ejemplo las historias clínicas y los libros del
comerciante; sensibles los datos relacionados con aspectos íntimos de la persona que pueden dar
lugar a situaciones de discriminación, como la orientación sexual, religión, filiación política, raza,
entre otros; el dato semiprivado es aquel que puede interesar no solo al titular sino a cierto grupo
de personas (como lo es el dato crediticio o financiero); y finalmente el dato público es aquel que
no se acopla a ninguna de las características anteriores, por lo que no se requiere autorización para
su tratamiento por regla general, verbigracia el estado civil de las personas, Márquez (2016)
Cada una de estas categorías de datos tanto en el contexto Colombiano, como Europeo da lugar
a la aplicación de reglas diferentes, así el tratamiento de datos sensibles está prohibido salvo
consentimiento del titular para proceder con su tratamiento salvo las circunstancias que legalmente
Para, Fuster y Scherrer (2016) es importante asegurar que no se evada el cumplimiento de las
normas de protección del habeas data cuando el tratamiento de datos se encuentre dentro de su
ámbito de aplicación, bajo la simple afirmación que los datos procesados no son personales, lo que
38
Excepciones como lo son la autorización expresa del titular, interés vital del titular, tratamiento para fines internos
de organizaciones sin ánimo de lucro, tratamiento en procesos judiciales, tratamiento con fines históricos, estadísticos
o científicos, al respecto consúltese el artículo 6 de la Ley 1581, y 9 del RGPD.
39
La Ley 1581 de 2012 dispone en su artículo 10 los casos en que no es necesaria la autorización, entre los cuales
incluye: a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por
orden judicial; b) Datos de naturaleza pública; c) Casos de urgencia médica o sanitaria; d) Tratamiento de información
autorizado por la ley para fines históricos, estadísticos o científicos; e) Datos relacionados con el Registro Civil de las
Personas. Circunstancias sintetizadas también en el artículo 9 del RGPD.
73
sugiere que se debe demostrar que efectivamente las operaciones realizadas no versan sobre
información personal.
Esta apreciación cobra sentido dado que existe una estrategia corporativa por parte de las
personales, señalando que en su actividad estas no recopilan datos personales y que los
seguimientos que realizan a los usuarios se sujetan a políticas de privacidad consentidas por estos,
de modo que supuestamente no están generando riesgos sobre la privacidad y el hábeas data de las
personas, así lo documenta el Wall Street Journal (Angwin y McGinty, 2010) y la propia FTC
Sin embargo, esta estrategia corporativa tiene una razón de ser. La sujeción en estricto sentido
al régimen de protección de datos personales significaría que las compañías no podrían realizar
operaciones de análisis masivo de datos o en su defecto que se verían compelidas a asumir altos
costos de transacción para obtener continuas autorizaciones de tratamiento por parte de los titulares
de los datos, dado que la normatividad así lo exige para realizar operaciones con fines distintos a
los que motivaron la recolección de la información (ver artículo 3 de la Ley 1581, y artículo 6
valor, en tanto que, esta se fundamenta en extraer beneficios del uso segundario de datos, es decir,
reutilizar bases de datos para nuevos propósitos, con el fin de identificar nuevos patrones de
De igual manera, de aceptar la aplicación del régimen de protección de datos las compañías se
someterían a la costosa tarea de discernir entre las reglas aplicables a las distintas categorías de
datos que se recolectan masivamente, y que como se explicará pierden sus líneas distintivas en el
74
contexto del Big Data. Existe por ende, una evidente contradicción entre el estado actual de la
protección de datos y la lógica económica que siguen las compañías que participan de la cadena
la generación de valor:
La respuesta tradicional ante circunstancias que pueden afectar el hábeas data y la privacidad
de la personas sin restringir los beneficios que produce la libre circulación de la información, ha
sido optar por anonimizar los datos personales, con el propósito de dejarlos por fuera del ámbito
responsable del tratamiento puede darse por desentendido de sus obligaciones respecto del
conjunto de datos que han sido anonimizados, puesto que la información identificadora de carácter
personal (PII expresión frecuentemente utilizada en el derecho de los Estados Unidos40) ha sido
removida (Stalla-Bourdillon y Knight, 2016), lo que significa que las operaciones no versan más
información, en el derecho de los Estados Unidos se hace referencia a tal modelo a través de la
Portability and Accountability Act de 1996, en el ámbito Europeo se prefiere la expresión que se
ha empleado de “anonimización”.
40
Este concepto PII, por sus siglas en ingles ““personally identifiable information” equivale a datos personales, así se
desprende del análisis realizado sobre este concepto por Narayanan, A., & Shmatikov, V. (2010)
75
En Colombia no existe en el régimen de protección de datos personales referencia directa a este
concepto, sin embargo la Ley 79 de 1993 relativa a Censos de Población y Vivienda en su artículo
Administrativo Nacional de Estadística (…), no podrán darse a conocer (…) sino únicamente en
resúmenes numéricos, que no hagan posible deducir de ellos información alguna de carácter
individual”. Partiendo de este fundamento normativo el DANE (2014) estudió de manera expresa
De similar manera, ocurre con la Ley 1266 de 2008 que en su artículo 3 dispone que “los datos
disposición similar en la Ley 1581, empero, por sustracción de materia se comprende que los datos
que han sido anonimizados no se encuentran dentro de su ámbito de aplicación por tratarse de
datos que no son personales, al no referirse a una persona determinada o determinable, de acuerdo
información anónima, que no guarda relación con una persona física identificada o indentificable,
Ahora bien, en el contexto europeo existen dificultades para establecer jurídicamente cuándo
los datos pueden ser considerados anónimos, el GT29 en su dictamen 05 de 2014 relativo a las
técnicas de anonimización señala que para que los datos se conviertan en anónimos el riesgo de
41
La SIC (2016) se ha referido a la anonimización de datos de manera tangencial en algunos documentos y
resoluciones como la Guía de Protección de Datos Personales en Sistemas de Video-vigilancia, sin embargo no ha
abordado en profundidad la temática presentando por ejemplo una guía sobre las técnicas de anonimización que mejor
garanticen la autodeterminación informática y la forma cómo pueden favorecer la protección de datos personales.
76
re-identificación directa o indirecta de los individuos debe ser igual a cero (anonimización
absoluta), de modo que el proceso de convertir los datos personales en anónimos debe ser
irreversible.
elimina los datos originales (identificables)… y entrega parte de estos datos (después de haber
eliminado los datos identificables), la información resultante aún es personal”, esto significa que,
para que los datos queden por fuera del ámbito de aplicación del régimen de protección de datos
personales, la información original que se sometió al proceso de anonimización debe ser eliminada
553/07 (College van burgemeester en wethouders van Rotterdam contra M.E.E. Rijkeboer) el
responsable del tratamiento de datos debe garantizar al titular de los datos los derechos de acceso
Así la interpretación del Tribunal impide alcanzar el nivel de anonimización exigido por el
Grupo de Trabajo. Esta tensión interpretativa fue aparentemente resuelta por el artículo 11 del
Reglamento europeo, que señala que una vez no sean identificables los sujetos dentro de una base
de datos, el responsable no será obligado a mantener o tratar información adicional con la finalidad
de garantizar los derechos de acceso a la información del titular, salvo que el titular facilite esa
información al ejercerlos.
En todo caso, el Reglamento no resuelve los problemas de coherencia del dictamen del GT29,
con mayor razón, cuando en el actual contexto del Big Data es imposible alcanzar un grado de
77
anonimización absoluta, puesto que las técnicas de anonimización siempre envuelven algún riesgo
masivas de datos impiden alcanzar el nivel de perfección exigido, pues este es un proceso
generalmente lento y costoso (Zhang, Leckie, Dou, Chen, Kotagiri, y Salcic, 2016), dado que
implica dividir esas grandes cantidades de datos en pequeños grupos, para proceder a convertirlos
información según lo expone Canbay, y Sağıroğlu (2017), quienes proponen un modelo técnico a
exigido, lo que demuestra el poco interés del regulador y las entidades de control respecto de una
temática neural en la explotación de datos como el propio Documento CONPES 3920 lo advierte:
aquellos datos que cumplen las condiciones jurídicas para ser empleados(…) como por ejemplo
consideraciones evitar exigir a las compañías que participen de la cadena de valor de los datos un
recolectados a efectos de garantizar la eficacia del artículo 8 de la Ley 1581 (derechos del titular
del dato). Por el contrario, debe adoptarse una aproximación basada en el riesgo de re-
Bourdillon y Knight, 2016), tomando en cuenta las experiencias de Estados que están adelantados
en esta materia.
78
Por ejemplo, la ICO de Reino Unido adoptando esta aproximación señala que el Responsable
del tratamiento no puede darse sencillamente por desentendido de sus obligaciones una vez
convierta los datos en anónimos, sino que debe realizar revisiones periódicas de su política de
información.
Por lo tanto, para establecer el riesgo de reidentificación de una determinada base datos
sometida a una o varias de las técnicas de anonimización, se emplea un test consistente en analizar
las siguientes propiedades del conjunto de datos: (i) capacidad de singularizar a un individuo, (ii)
datos personales (Gil, 2016; Sanz, 2016). A través del estudio de estos criterios es posible
establecer si los individuos a los que se refieren los datos anonimizados siguen siendo
razonablemente identificables, de modo que si así ocurre los datos no escapan al ámbito de
Empleando el test, el Grupo de Trabajo establece que las distintas técnicas existentes para
anonimizar datos tienen deficiencias, por lo que no protegen ciento por ciento el hábeas data del
titular de los datos como se sintetiza en la Tabla 5, el dictamen concluye de manera similar a la
posición esbozada del ICO, señalando que las buenas prácticas de anonimización no pueden
79
fundarse en el modelo de publicación-y-olvido que cree ciegamente en la imbatibilidad de los datos
anónimos.
Los responsables del tratamiento deben: (i) identificar nuevos riegos y evaluar los riesgos
residuales luego de aplicar las técnicas, (ii) evaluar si los controles establecidos para estos riesgos
son suficientes, y finalmente, (iii) monitorear y controlar los riesgos. Sanz (2016) señala al respecto
que es necesario combinar las técnicas “para asegurar la completa disociación en un proyecto de
Big Data” (p. 20), la mejor metodología para convertir en anónimos los datos dependerá de las
circunstancias concretas del proyecto de Big Data que adelante la empresa o entidad pública.
El test de análisis del riesgo propuesto por el Grupo de Trabajo tampoco está exento de
dificultades en el contexto tecnológico del Big Data. En primer lugar, el análisis masivo de datos
se caracteriza por emplear de manera intensiva algoritmos con el fin de extraer la mayor utilidad
Sin embargo, la investigación de Brickell, y Shmatikov (2008) demostró que por más o menos
efectiva que sea la técnica de anonimización que se aplique, se genera una destrucción casi
menos calidad, puesto que se reduce la utilidad de los datos generándose una pérdida de
información en el proceso, esta pérdida de información puede ser representada en la función f(X,
X´) equivalente a la divergencia (f(X), f(X´)), que evalúa la distancia entre las funciones de las
80
El test de re-identificación propuesto por el GT29 favorece las técnicas que generan una mayor
divergencia entre ambas funciones por ser más efectivas al impedir la singularización, asociación
e inferencia de información personal (Gil, 2016). En contraste, los esfuerzos investigativos en este
campo se centran en desarrollar técnicas que reduzcan tanto los riesgos de reidentificación como
la pérdida de información o utilidad trazando una expectativa de f(X, X´) igual a cero (Torra y
Navarro-Arribas, 2016).
No obstante, Ohm (2010) plantea que entre la efectividad de la técnica y la utilidad de los datos
existe una relación indirecta, subrayando que de acuerdo con los resultados de la investigación de
utilidad”42 (p.1755), razón por la cual incluso las más sofisticadas técnicas de anonimización son
De manera que, no importa lo que haga el responsable de los datos para anonimizarlos, un
adversario con la adecuada información adicional puede aprovechar la utilidad residual de los
datos para descubrir más información o reidentificar a los titulares, por ello, no habrá anonimidad
perfecta mientras las bases de datos sigan siendo útiles según la perspectiva de Ohm (2010). En
Estas evidencias permiten concluir al respecto que: (i) el regulador no debe imponer un método
de anonimización determinado, debido a que el estado de la técnica está en continuo progreso hacia
42
La expresión original que emplea Ohm (2010) no es efectividad de la técnica de anonimización sino privacidad,
dispone el citado autor: “Small increases in utility are matched by even bigger decreases in privacy, and small
increases in privacy cause large decreasesv in utility”. A efectos de ajustar la expresión “privacidad” al c.ontexto bajo
análisis se utiliza “efectividad de la técnica” que no altera el sentido de la explicación de Ohm.
81
soluciones que concilien esta compleja relación entre anonimidad y utilidad, por lo que en este
aspecto debe seguirse el principio de neutralidad tecnológica, el cual “garantiza que las normas
perduren en el tiempo” sin que cambien “por cuestiones tecnológicas o por quedar obsoletas”
(Remolina, 2014, p.9; Espinosa, 2008); (ii) el test de reidentificación y la normativa en protección
de datos no tiene en cuenta la utilidad de los datos como un factor relevante a analizar, razón por
82
Tabla 5. Técnicas de anonimización, características y riesgos de reidentificación según el GT29
Técnica Concepto/Caracterización Riesgo de Riesgo de Riesgo de
Singularizac Asociación. Inferencia.
ión.
Seudoanimización Reemplazar un atributo de un conjunto de datos por otro (el SI SI SI
nombre por un número aleatorio, p.ej.). La persona sigue siendo
identificable, razón por la cual no constituye una técnica real de
anonimización (Gil, 2016).
Adición de ruido Pertenece a la familia de la randomización (técnicas que alteran la SI Posiblemente Posiblemente
veracidad de los datos para eliminar la fuerte asociación entre los no no
datos y el individuo). Es modificar los datos de modo que sean
menos precisos, manteniendo su distribución general (Gil, 2016;
Domingo-Ferrer, Sebé, Castella-Roca 2004)
Permutación Pertenece a la familia de la randomización. Es intercambiar SI SI Posiblemente
atributos de los individuos, para que queden ligados a otros sujetos no
(Gil, 2016; Canbay, y Sağıroğlu, 2017)
Agregación y K- Pertenecen a las técnicas de generalización. Estas técnicas tienen NO SI SI
anonymity como propósito evitar que el sujeto sea individualizado, al
agruparlo con K otros individuos, para esto se generalizan los
valores de los atributos (Sweeney, 2002).
L-diversity Pertenece a las técnicas de generalización. Tiene como objetivo NO SI Posiblemente
garantizar que los ataques de inferencia no sean posibles, no
asegurando que cada atributo tenga por lo menos L diferentes
valores, limita la aparición de clases de equivalencia con un
atributo de pobre variabilidad (Li, Li y Venkatasubramanian,
2007).
Privacidad Pertenece a las técnicas de randomización. Consiste en que el Posiblemente Posiblemente Posiblemente
Diferencial Responsable del tratamiento agrega el nivel de ruido necesario (ex no no no
post) a los datos de acuerdo con la complejidad de la secuencia de
consultas que se realicen, para garantizar la privacidad y el habeas
data, aclarando que los datos originales no son modificados
(Dwork, 2008).
83
Consecuentemente, las disposiciones jurídicas tanto del régimen colombiano como europeo no
propician un entorno legal tecnológicamente neutro, por el contrario las compañías se ven
compelidas a adoptar técnicas de anonimización gradualmente más severas, so pena de caer dentro
del ámbito de validez de las normas de protección de datos personales. Esto genera lo que en la
utilidad de los datos al evitar la aplicación del régimen de protección de datos, resulta en una
pérdida de utilidad.
Por otro lado, de acuerdo con El Emam y Álvarez (2015) el test de reidentificación considera
como aspectos negativos la capacidad de asociación e inferencia de las bases de datos, de manera
que a fines de proteger el habeas data y la privacidad de los titulares el Responsable del
43
Este gráfico que exhibe la relación indirecta entre utilidad y efectividad de las técnicas de anonimización, se elaboró
con fundamento en los datos de la investigación experimental realizada por Brickell y Shmatikov (2008) sobre dos
bases de datos del sector salud; consúltese esta investigación para efectos de juzgar la justificación matemática
pertinente.
84
Sin embargo, el Big Data se caracteriza por el volumen de información con que opera, lo que
envuelve la asociación de los datos pertenecientes a distintas bases de datos con el propósito de
Esta propiedad optimiza los resultados de determinados tipos de investigación como los
estudios longitudinales, que sólo pueden desarrollarse cuando datos dispersos en diferentes bases
de datos pueden asociarse a un mismo individuo como lo reconoce el ICO de Reino Unido, lo cual
2016).
De la misma manera el análisis masivo de datos a través del machine learning y la minería de
datos aprovecha el uso segundario de los datos, para establecer correlaciones e inferencias que
revelen nuevos conocimientos, este es uno de sus caracteres esenciales que genera las mayores
Por lo tanto, el comentado test propicia la desaparición o destrucción del eslabón más
importante en la cadena de valor del Big Data, a saber el proceso analítico, puesto que genera
incentivos para evitar la asociación e inferencia de datos. Al respecto, Gil (2016) así como El
Emam y Álvarez (2015) sostienen que los modelos de anonimización no deben impedir estas
operaciones, que los procesos de inferencia realmente no representan un riesgo al hábeas data,
dado que las inferencias no necesariamente versan sobre datos personales, sin embargo esta
En todo caso, ante las razones presentadas la conclusión es fulminante: debe renunciarse a toda
pretensión de aplicar este test a efectos de determinar la aplicación del régimen de protección de
datos personales, aspecto que debe tener en cuenta la autoridad nacional de protección de datos.
85
1.2. La crisis de la anonimización y del concepto de datos personales:
importantes investigaciones en este campo como las del profesor Ohm (2010), Schwartz y Solove
(2011) reconocen que la anonimización es un dios que ha muerto, puesto que en la era del Big
Data la ciencia de la reidentificación ha demostrado que este proceso de convertir los datos
personales en anónimos puede ser fácilmente revertido (Floridi, 2014; Supriyadi, 2016).
Por ello, Rubinstein (2012) afirma que el Big Dada desafía los fundamentos de la protección de
datos personales al permitir que a través del uso intensivo de algoritmos se reidentifiquen datos
personales utilizando datos impersonales, “lo que debilita la anonimización como estrategia
efectiva, generando dudas sobre la distinción fundamental entre datos personales y aquellos que
no lo son” (p. 4). Al respecto existen varios casos documentados por la academia.
Por ejemplo, Narayanan y Shmativo (2009) demostraron que era posible inferir datos sensibles
de los usuarios de redes sociales (Twitter y Flirck) a través del análisis de los gráficos de amistad,
2006 los periodistas Michael Barbaro y Tom Zeller del New York Times al analizar las búsquedas
en internet realizadas en el motor de búsquedas AOL, que fueron publicadas por esta compañía
En ese mismo año la compañía Netflix Inc. lanzo el Premio Netflix, para el que logrará mejorar
500.000 usuarios, con esta información otro estudio de Narayanan y Shmativo (2008) demostró
que con la calificación de cuatro películas era posible identificar en el 84% de los casos quién era
el usuario, así como deducir datos relativos a la orientación sexual, política, entre otros.
86
Es plenamente plausible que los datos procesados por las empresas no se constituyan en
vincularse a una persona identificada o identificable, sin embargo a través de las técnicas analíticas
propias del Big Data y el procesamiento de grandes cantidades de datos no estructurados, es posible
establecer correlaciones entre los datos y una persona en particular (Fuster y Scherrer, 2016), por
lo que los citados autores afirman que es necesario tomar en serio la capacidades del Big Data.
como lo señalan Ohm y Peppet (2016) las técnicas de inferencia pueden terminar con la
clasificación jurídica de los datos personales (datos sensibles, privados, semiprivados y públicos),
al permitir que los analistas de datos infirieran datos protegidos por la normatividad de aquellos
que no lo están.
La incidencia jurídica de esta situación no es menor. La fácil reidentificación en la era del Big
Data genera que la Ley 1581 de 2012 en su ámbito de aplicación sea demasiado amplia,
esencialmente ilimitada, en la medida en que esta define datos personales como “cualquier
información vinculada o que pueda asociarse a una o varias personas naturales determinadas o
que emplea RGPD de la Unión Europea, también utilizada por la Corte Constitucional Colombiana
persona se hace fácilmente identificable a través de datos que nunca se hubieren concebido como
personales (Schwartz y Solove, 2011), como el patrón de búsquedas que se realice en un motor de
87
búsqueda, la dirección IP, la calificación que se asigna a una película en Netflix, la cantidad de
Por esta razón, Ohm (2010) refiriéndose concretamente a la Directiva 95/46/CE, en la cual se
inspiró la actual Ley Estatutaria de Protección de Datos, señala que a medida que “la ciencia de
la reidentificación avanza, amplía la Directiva de la Unión Europea como un gas ideal para
adaptarse a la forma de su contenedor” (p. 1741). De la misma manera, se expande la citada Ley
tendría que aplicarse a cualesquier tipo de datos, así como reducir al absurdo el reconocimiento
jurisprudencial que afirma la propiedad de los datos personales en cabeza del titular, puesto que
con los avances de la ciencia de la reidentificación en la era del Big Data esto significaría que el
problemática ya había sido identificada, sin embargo, no se aplicó ninguna solución consecuente.
lo expone Engan (2017), puesto que el considerando número 26 de este documento legal dispone
que para determinar si una persona es identificable “deben tenerse en cuenta todos los medios
(…) que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona
para identificar directa o indirectamente a la persona física”, de forma que incluso si una
determinada organización responsable del tratamiento no cuenta con tales medios para
Esta interpretación parece estar respaldada por la jurisprudencia del Tribunal de Justicia
Europeo, que en relación que las direcciones IP en el caso c-70/10 (Scarlet Extended SA v Société
belge des auteurs, compositeurs et éditeurs SCRL) señaló que son datos de carácter personal,
88
cuando la recolección e identificación de tales direcciones son realizadas por el proveedor de
acceso a internet, puesto que este cuenta con la información adicional necesaria para identificar
con relación a este tipo de información que “para que un dato pueda ser calificado de «dato
personal» (…) no es necesario que toda la información que permita identificar al interesado deba
encontrarse en poder de una sola persona”, de tal modo que aunque el responsable no contaba en
este caso con la información para reidentificar a los usuarios, “con la ayuda de otras personas, a
necesarios para ello. Esta posición es la misma que ha esbozado el GT29 en su dictamen 04 de
2007.
En consecuencia, Engan (2017) concluye que en el contexto tecnológico del Big Data toda la
información generada por una persona en línea es personal, a fortiori cuando “las personas físicas
pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones,
otros identificadores(…)”, por lo que dejan rastros digitales que pueden ser utilizados para elaborar
No obstante, otros autores como Tene y Polonetsky (2012) disienten de esta conclusión, sin
Con todo, la ampliación del ámbito de aplicación de las reglas de protección de datos personales
produce cierto grado de injusticia puesto que, las organizaciones deben aplicar los principios de
administración de datos cuando manejen datos considerados como “identidicables”, por ejemplo
89
el IP o los historiales de búsqueda de los usuarios en internet, incluso cuando bajo las
necesaria para reidentificar a las personas en sus bases de datos; lo que genera incentivos
precisamente para evadir el cumplimiento de las obligaciones derivadas del régimen de protección
Por esta razón, en la industria del análisis masivo de datos ha perdido relevancia la categoría de
datos personales. El Wall Street Journal reporta que las empresas emplean software para elaborar
perfiles de sus clientes, en los que se suprimen los datos considerados como personales, aunque
contienen una gran riqueza de detalles sobre cada individuo, que les permite dirigir de forma
Directivos de Facebook dicen que ellos presentan publicidad basada en la identidad de los
usuarios, sin que esto signifique que estos sean identificables o determinables; ingenieros de
Google afirman que ellos no recolectan datos identificadores como el nombre de las personas, de
hecho para ellos “el nombre es ruido”; así mismo, otras empresas vinculadas a la industria de
explotación de datos aseveran que “Lo bello de lo que hacemos es que no sabemos quién eres (…)
no queremos saber el nombre de nadie. No queremos saber nada reconocible de ellos. Todo lo
que queremos es tener una serie de atributos asociados a los usuarios” (citadas en Barocas y
Nissenbaum, 2014).
No es vano afirmar que esta situación ha puesto en crisis el paradigma actual de protección de
los datos personales, puesto que como lo afirma Turow (2012) “si una compañía sabe 100 datos
sobre mí, en el entorno digital, y esto afecta como me trata en el mundo digital, qué diferencia hay
personales para ejercerse efectivamente contra las libertades e intereses del individuo, es capaz de
90
rastrear su actividad online, para llegar a conocer o predecir los aspectos más íntimos de su vida
privada, sin que el usuario haya suministrado ninguno de esos datos (Barocas y Nissenbaum,
2014), la protección de datos personales se torna así en insulsa e inútil frente a la realidad digital.
La crisis se extiende a las distintas categorías normativas de datos personales. Las empresas o
instituciones pueden inferir categorías especiales de datos como los sensibles de aquellos que no
lo son, por ejemplo la cadena de supermercados Target a través del análisis de los hábitos de
compra de sus clientes dedujo condiciones de salud de sus clientes como el estado de embarazo de
El Big Data de manera inadvertida propicia el paso de una categoría de datos a otra, cada una
de las cuales implica la aplicación de reglas diferentes, por lo que, la disponibilidad de este tipo de
análisis algorítmico socava las distinciones entre los diferentes tipos de datos consagrados en el
Por ello, según Zarsky (2016) atender a la clasificación de datos personales genera: (i) costos
regulatorios extensos o innecesarios tanto para los operadores jurídicos como los destinatarios de
sobre el cumplimiento de las reglas particularmente aplicables a cada categoría, que impedirá a
nuevas firmas incursionar en el análisis masivo de datos, especialmente aquellas que sean
Por esto, en últimas el objetivo de aplicar un tratamiento diferenciado dependiendo del grado
de confidencialidad de la información, esta llamado al fracaso, dado que el Big Data diluye las
91
Ohm (2010), Crawford y Schultz (2014) recomiendan abandonar una aproximación al problema
personales o PII en el contexto del derecho de los Estados Unidos. Ohm (2010) propone en su
lugar que la regulación no sea ni enteramente general (como ocurre en el modelo europeo) ni
exclusivamente sectorial (como ocurre en los Estados Unidos); por su parte, Crawford y Schultz
masivo de datos.
En consideración del primer autor es necesario que existan tanto unos deberes mínimos para
todos aquellos que operen con datos, como unas reglas que se ajusten a contextos particulares,
dirigidas especialmente a aquellas compañías que manejan una cantidad masiva de datos, por lo
que representan un mayor riesgo para la autodeterminación informática de las personas, que
determinado contexto sugiere la aplicación de un test que debe seguir el regulador para dar con
medidas normativas efectivas. El test envuelve el análisis de una serie de factores como el grado
de publicidad de los datos, las medidas técnicas de seguridad que se han adoptado, la finalidad con
que permiten establecer el nivel de riesgo. Así la intervención normativa estaría dirigida a controlar
la actividad de los agentes directamente responsables del riesgo, una visión más justa.
Schwartz y Solove (2011), Tene y Polonetsky (2012) no están de acuerdo con remover el
concepto de datos personales o PII del contexto normativo, plantean en su lugar ciertos ajustes
92
Schwartz y Solove (2011) aunque aceptan la amplitud del concepto de datos persones desde la
definición tautológica, disienten en que esto implique que todos los datos generados por una
persona deban considerarse como personales, para determinar si el sujeto es identificable a la luz
abstractas sobre que una información dada es un dato personal son insuficientes, dado que la
naturaleza del dato, al afirmar que un dato personal permite “identificar a la persona, en mayor o
menor medida, gracias a la visión de conjunto que se logre de los mismo y con otros datos”
Para desarrollar tal análisis contextual Tene y Polonetsky (2012) adoptan nuevamente la
aproximación basada en el riesgo, aunque con parámetros diferentes a los presentados por el GT29,
estos sugieren definir los datos personales con base en una matriz del riesgo opuesta a la
“dicotomía entre datos identificables y no-identificable”. La identificabilidad de los datos debe ser
vista como un continuum, por lo que, la aplicación de las reglas de protección de los datos debe
ser gradual según el costo de identificación, en cuanto este sea bajo o nulo debe aplicarse en su
totalidad los principios de administración de datos personales, y al aumentar los costos las reglas
Schwartz y Solove (2011) exponen cómo funcionaría una aplicación gradual de los principios
contrario a lo que ocurre bajo el actual sistema de protección de datos personales, cada una de estas
93
categorías debe recibir un tratamiento jurídico diferente con el fin de generar incentivos que
De este modo, los principios de administración de datos, sin excepción alguna, deben aplicarse
crece de manera extraordinaria en el contexto del Big Data, sólo deben aplicarse los principios de
seguridad, transparencia y calidad de los datos para prevenir vulneraciones al derecho del habeas
data sin perturbar la libre circulación de los datos y la generación de beneficios; finalmente,
de estos principios. En todo caso los responsables deberán adoptar sistemas de monitoreo de la
Por ende, este modelo normativo incentiva a los responsables del tratamiento a mantener los
reduciendo los costos de implementar la regulación de datos personales. Sin embargo, la solución
de Schwartz y Solove, olvida que como lo advirtieron Ohm y Peppet (2015) que el Big Data
permite el paso inadvertido de una categoría de datos a otra: ¿Qué hacer en estas circunstancias?
Supriyadi (2016) adopta una aproximación similar para analizar el contexto, fundándose en el
comentado considerando 26 del RGPD, expone que para establecer si una información se refiere
analiza la legalidad de una potencial identificación del sujeto, para posteriormente analizar los
siguientes criterios objetivos: (i) el costo de la identificación del titular de los datos, (ii) el tiempo
94
En caso de ser razonablemente baja la probabilidad de identificación del sujeto se excluye la
aplicación del régimen de protección porque los datos estarían por fuera del concepto de
personales en el mundo del Big Data, en las que se propone de igual forma analizar los señalados
Sin embargo, Supriyadi no se apara del criterio del Tribunal de Justicia Europeo, por lo que en
su propio concepto la categoría de datos personales sigue siendo muy amplia, en tanto que el test
no sólo analiza las circunstancias concretas del responsable, sino de otros agentes que “pueden
llegar a colaborarle” (Caso C-582/14). El test tampoco implica una aplicación gradual de los
Consumer Privacy in an Era of Rapid Change” que para efectos de determinar si los sujetos no
son razonablemente identificables dentro de una determinada base de datos es necesario tener en
explotación de datos.
Por esto, según esta institución los datos quedaran por fuera del ámbito de aplicación del
régimen de habeas data siempre y cuando: (i) no sean razonablemente identificables, (ii) la
titulares de los datos, (iii) la compañía requiera a cualesquier usuarios de sus bases de dato que se
95
comprometan igualmente mantener la información en la anonimidad o bajo formatos no
identificables.
La cuestión estriba como se vio que las empresas fraguan todo tipo de estrategias para evitar a
toda costa la aplicación de las normas de protección de datos personales, si bien la empresa se
puede comprometer a no identificar al individuo más por beneficio propio que por convicción, ¿de
qué vale? si no tiene necesidad de esto para ejercer su poder informático según lo dicho por el
Conclusiones:
la Ley 1581 de 2012, como en los sistemas normativos de protección extranjeros, especialmente
el Europeo, ha entrado en crisis ante el contexto tecnológico del análisis masivo de datos y la
aumenta astronómicamente, al punto de llegar al absurdo de afirmar que toda la información digital
que produce la actividad de una personas en la red debe considerarse protegida bajo el régimen
normativo de habeas data. Situación que deja sin efectos útiles al régimen normativo frente a las
al Big Data como un sector económico que merece promoverse y explotarse con políticas públicas
consecuentes, por ello, recomienda el financiamiento de proyectos empresariales que tengan como
propósito la explotación de los beneficios del mercado de datos masivos, así se lo señala la
recomendación 9:
96
“Solicitar al Ministerio de Comercio, Industria y Turismo, a través de la Unidad de
Exterior S.A proponer una estrategia de negocios que estimule la creación de nuevas
95).
Sin embargo, es evidente la indeterminación e inseguridad jurídica que enfrentaran estas nuevas
personales, lo que significará la asunción de mayores costos regulatorios para efectos de garantizar
la protección efectiva del derecho fundamental al habeas data, a través de la debida aplicación de
verán compelidos a respetar las reglas de la Ley 1581, ante la expansión de su ámbito normativo;
y por ende a tomar las distintas medidas de seguridad y protección que ha desarrollado la autoridad
ámbito de validez material de la Ley cada vez mayor, con la perdida de utilidad que ello implica
en el proceso analítico. Este contexto normativo no genera los mejores incentivos para promover
Ahora bien, es necesario retomar una consideración planteada en los capítulos anteriores
97
está democratizado, sólo un número reducido de compañías cuentan con el capital humano, la
tecnología y una escala masiva de datos acumulados, para adquirir nuevos conocimientos que
Este hecho ha sido reconocido por la OCDE (2014), al decir que las compañías al adquirir bases
datos. Lo que implica que las nuevas compañías que se inicien en virtud de la comentada política
pública, entran a competir en un mercado de datos global con agentes mucho más preparados o
con un desempeño superior, que sacan provecho del estado actual de la normatividad de protección
A diferencia de los empresarios que recién inician en este mercado, los barones de datos son
agentes que pueden evadir con mayor facilidad la aplicación de las reglas de protección de datos
personales, en tanto, cuentan con los recursos necesarios para asumir los costos de aplicar las
necesidad de recopilar datos considerados como personales. Además, estas mismas compañías
tienen los medios necesarios para reidentificar a los titulares de la información que han
recolectado, dada la propiedad que detentan sobre las bases de datos masivos.
En tal sentido, de acuerdo con la dinámica de este mercado, para estos agentes que monopolizan
el poder informático no existe perdida de utilidad, de hecho la utilidad de los datos nunca está en
riesgo para ellos; en tanto evaden la aplicación del régimen normativo de habeas data a través de
técnicas de reidentificación o rastreo digital. Por otro lado, como estas compañías operan
globalmente es difícil que la SIC ejerza su jurisdicción sobre ellas según se expuso en el capítulo
anterior
98
En cambio, el resto de responsables del tratamiento, pequeños o medianos empresarios
colombianos, que intentan ingresar a este nuevo mercado del Big Data o que ingresarán
financiados con aportes públicos, son los que soportan la pérdida de utilidad que implícitamente
promueve el régimen de protección de datos. En primer lugar, porque de no tener los medios para
anonimizar la información deben aplicar los principios de protección del hábeas data, que
contradicen la lógica de la explotación masiva de datos. Por lo que, pierden ventaja competitiva
En segundo lugar, porque de aplicar las técnicas de anonimización de datos a efectos de evitar
los costos de aplicar las reglas de protección de datos, la utilidad de la información se reduce
considerablemente en virtud de la paradoja de la utilidad, sin que cuenten con los medios para
recuperar la información perdida o para reidentificar los sujetos titulares. Por lo tanto, el contexto
tanto jurídico como económico que enfrentarán estos nuevos proyectos empresariales será hostil,
así los incentivos están dados para que quienes se inician en estos mercados evadan a toda costa
el cumplimiento de la normatividad.
interesantes los que orientan la acción del regulador hacia los barones de los datos, puesto que
estos se benefician del estado actual de la normatividad, al tiempo que generan el mayor riesgo
que el paradigma jurídico que sigue el Estado colombiano en materia de protección de datos
crisis, en tanto que los cambios normativos que trajo el RGDP realmente generaron mayores
dificultades en torno a la definición del ámbito de validez del régimen de protección del habeas
data.
99
Así mismo, es improbable que el legislador colombiano realice cambios que no sigan la
tendencia normativa europea, puesto que, esto podría poner en cuestión el nivel adecuado de
evaluado por órganos extranjeros como el GT29 reemplazado actualmente por el EDPB. La
presión desde la academia como se evidencia en varios documentos publicados desde el año 2008,
se centra en que Colombia se ajuste al estándar europeo, para ser una economía competitiva de
información personal.
De este modo, se atestigua otra paradoja más en esta investigación: si bien el contexto
tecnológico actual genera serias dudas sobre el nivel adecuado de protección de los datos
personales desde la perspectiva instrumental, que justifican replantear el alcance de los principios
en el estado actual de la legislación o del contenido de los comentados principios, pues está atado
por lo que a nivel internacional, especialmente europeo se considere como “nivel adecuado de
protección”.
100
Capitulo IV
nosotros reza la frase eternamente: de nadie estamos más lejos que de nosotros mismos”
Friedrich Nietzsche
El Consejo de Europa (2017) ha señalado recientemente que la naturaleza del Big Data genera
101
Estos principios garantizan el núcleo esencial del hábeas data, que consiste en la
cuestión es que la eficacia de este control está en duda ante el descomunal poder informático y de
mercado de los llamados barones de datos (Facebook, Google, Amazon, entre otros).
La iniciativa del Foro Económico Mundial (2014) denominada “Rethinking Personal Data”,
actual, dado que fueron diseñados por la OCDE para el año de 1980, cuando no existían aún las
condiciones técnicas necesarias para el análisis masivo de datos, por esto es necesario que se
actualicen, reconsideren o modifiquen a la luz de las nuevas circunstancias, así lo expone Cate y
Mayer-Schönberger (2013).
Estos principios conforman la espina dorsal del régimen colombiano de protección de datos
personales como se comprobó en los dos primeros capítulos, tanto así que son el fundamento
relación a conflictos que involucran el hábeas data, como lo resume el gráfico 6. Por lo tanto, no
es una labor fácil reconsiderar el alcance de estos principios, con mayor razón cuando el régimen
general de protección de los datos personales (Ley 1581 de 2012) que vino a sintetizar el desarrollo
44
Este grafico identifica dentro de la base de datos de 194 providencias de la Corte aquellas que se refieren a los
principios de libertad, transparencia, limitación temporal y finalidad, para reflejar su importancia en el pensamiento
de esta institución.
102
A continuación se presentan las principales dificultades que afrontan estos principios, partiendo
momentos, el primero tiene como foco los principios de finalidad, pertinencia y limitación
temporal; el segundo, los principios de libertad y transparencia, teniendo en cuenta que la presente
problemática ha sido enunciada antecedentemente en el capítulo dos, esta será la oportunidad para
profundizarla.
1. Principio de finalidad:
El principio de finalidad exige que el tratamiento de los datos obedezca a una finalidad legítima
de acuerdo con la Constitución y la Ley (artículo 4 de la Ley 1581). El propósito del tratamiento
debe ser específico y explicito, de manera que el Responsable debe informar al titular del dato de
manera clara, suficiente y previa la finalidad de las operaciones que se realicen sobre su
información personal, como lo expresa la Corte en sentencias T-729 de 2002, T-947 de 2008, T-
Esta obligación del responsable excluye la posibilidad de informar al titular vagamente acerca
del propósito del tratamiento, la SIC (2016) en la “Guía para la implementación del principio de
responsabilidad demostrada” señala que es importante que el responsable realice una evaluación
103
interna a través de la cual identifique con claridad cuáles son las finalidades del tratamiento, las
documente con suficiencia y sea capaz, por ello, de demostrar el cumplimiento de este deber
jurídico. En ese sentido, no se cumple satisfactoriamente con esta obligación cuando se informa el
propósito de forma vaga o abierta, como “mejorar la experiencia del usuario”, “emplear la
Este principio previene usos arbitrarios de la información personal, fortalece el control del
titular sobre sus datos, permitiéndole verificar que el responsable esté realizando el tratamiento
conforme a los propósitos informados y autorizados, y asegura que la persona pueda prever
razonablemente como serán procesados sus datos, de forma que no sea sorprendido por usos
Por lo tanto, el GT29 en dictamen 03 de 2013 expone que el comentado principio está directamente
relacionado con el principio de transparencia, que tiene como objetivo garantizar la predictibilidad
dos ámbitos concretos: (i) un ámbito temporal, de acuerdo con el cual el periodo de conservación
de los datos personales no podrá exceder del necesario para alcanzar la finalidad del tratamiento
(principio de limitación temporal), y (ii) un ámbito material, que exige que los datos recaudados
sean los estrictamente necesarios para satisfacer la finalidad perseguida por el responsable
tratamiento, desarrollado por el artículo 11 del Decreto 1377 de 2013 compilado en el Decreto
1074 de 2015, que dispone que sólo se podrá recolectar, almacenar, usar, circular datos personales
durante el tiempo razonable y necesario a la luz de los fines del tratamiento. Por lo tanto, el
104
responsable o encargado del tratamiento deberá suprimir la información personal una vez se haya
cumplido la finalidad o el tiempo para el tratamiento haya expirado según se expone en Sentencia
C-1110 de 2008.
Con fundamento, en este estándar de limitación temporal la Corte ha elaborado una profusa
línea jurisprudencial sobre la caducidad del dato comercial o financiero, y de los antecedentes
penales, señalando términos de tiempo objetivos para tratar tales datos. Para los datos de otra
naturaleza no está previsto un término específico, por lo que debe valorarse a la luz de las
En cuanto al ámbito material, la jurisprudencia constitucional ha exigido que los datos sean
adecuados, pertinentes, y acordes con las finalidades del tratamiento (principio de necesidad). En
todo caso existe la posibilidad de realizar operaciones que no hayan sido específicamente
autorizadas pero que sean compatibles con los usos principales autorizados. Por lo tanto, cuando
información un test que evalúa los siguientes criterios y debe ser aplicado por los operadores
jurídicos de acuerdo con las particularidades de cada caso: (i) la relación entre los propósitos que
realizadas; (ii) el contexto en el que los datos fueron recolectados y las expectativas razonables en
cuanto a los usos posteriores; (iii) la naturaleza de los datos personales y el impacto que sobre el
titular puede generar las operaciones posteriores; (iv) las medidas de seguridad adoptadas por el
105
responsable para asegurar un procesamiento licito y prevenir cualquier impacto indebido con
compatibilidad, no ha elaborado ningún test que oriente a los operadores jurídicos al momento de
1.2. Dificultades del cumplimiento del principio de finalidad en la era del Big Data:
Tene y Polonetsky (2012), Bennett y Bayley (2016) afirman que el modelo de negocio del Big
Data representa la antítesis del principio de finalidad y sus implicaciones jurídicas, en la medida
Las compañías que participan de la cadena de valor del Big Data extraen beneficios de los usos
alguna con el propósito inicial que motivó la recolección de los datos, es decir, que no superan el
concretamente con relación a su ámbito material, según Zarsky (2017) el desarrollo de la ciencia
de los datos y de campos de conocimiento asociados promueve la idea que a mayor cantidad de
datos, mayor será el conocimiento que se descubrirá, por lo que mayores serán los beneficios
sociales e individuales que se generaran, juicio que de acuerdo con algunos autores no es del todo
En cuanta más información, mejor, porque ex ante no es posible definir qué proporción de
información es relevante o pertinente, en tanto que los potenciales usos son desconocidos, sólo se
descubrirán en la medida en que el análisis tenga lugar. Desde esta posición se estima que el
106
cumplimiento del principio de finalidad en estricto sentido produciría la pérdida total de la utilidad
De acuerdo con Forgó, Hänold y Schütze (2017) las compañías a la luz de este principio tienen
el deber jurídico de presentar en detalle los objetivos de las aplicaciones del Big Data, de tal modo
que los modelos de análisis de datos diseñados para generar respuestas a interrogantes que no se
han planteado al tiempo de la recolección de la información, afrontan una clara limitación jurídica.
Por lo que, como se señaló en la primera parte de este capítulo las compañías se verán compelidas
a anonimizar los datos, con la consecuente pérdida de utilidad que esto genera, además de las otras
que favorece la libre competencia entre empresas en el mercado de datos. Zarsky (2017) argumenta
con este autor este principio limita la capacidad de los nuevos emprendedores o start-ups de reunir
información personal de mercados secundarios y emplearla para entrar al mercado de datos con
propuestas innovadoras. Por el contrario, este principio asegura que sólo los monopolios que ya
tenían acceso a los datos de sus clientes puedan mantenerse en el mercado de datos, en la medida
en que estos pueden obtener fácilmente la autorización para operaciones posteriores de análisis
Esta consideración es coherente con lo expuesto por otros autores como Mantelero (2014), que
señala que la era del Big Data está marcada por una creciente concentración del poder informático,
debido a la naturaleza global o multinacional de los grandes jugadores de esta nueva economía,
así como los procesos de fusiones y adquisiciones que estos promueven, han dado como resultado
el surgimiento de grandes compañías que operan en el mercado online y offline. Este fenómeno de
107
concentración del poder informático paradójicamente está siendo favorecido, por lo tanto, por la
bases de datos y sofisticadas técnicas de análisis para los barones de datos, incrementa el
desbalance económico entre las grandes compañías y los titulares de la información. El Grupo de
Trabajo en el citado dictamen 03 de 2013 ha reconocido que esto puede conducir a graves
externalidades negativas que deba soportar el titular en relación con oportunidades de empleo,
créditos, servicios financieros, cobertura de seguros, así como discriminaciones injustas de precios
personales también es puesta en cuestión, no sólo porque el modelo de negocio privilegia mantener
la información por el mayor tiempo posible para efectos de asociarla con los datos nuevos que se
producen, sino porque tratándose de datos personales que son publicados en internet, en sitios web
o en redes sociales, estos pueden estar disponibles sin restricciones a otros usuarios de manera
indefinida.
vez dijo: Dios perdona y olvida, pero la Web no”, tanta razón existe en esta frase que incluso una
vez se ha suprimido la información personal de la web, a través de algoritmos esta puede ser
inferida (Koops, 2016; Caro, 2015), o incluso ciertos métodos de restricción de difusión de la
Sentencia T-277 de 2015 (M.S: María Victoria Calle Correa), en la que señaló que la
ineficaz.
108
Bajo estas consideraciones, en los diálogos regionales sobre la privacidad promovidos por
Microsoft en 2012, los participantes señalaron que el principio de finalidad es inconsistente con
las formas en que los datos son usados en el presente y serán utilizados en el futuro, por lo tanto
una gran mayoría sugiere omitirlo en su totalidad, o replantearlo al menos desde sus bases (Gil,
2016).
Cate y Mayer-Schönberger (2013), documentan que existe un sentimiento compartido entre los
participantes de estos diálogos sobre la existencia de límites con relación con los usos de los datos,
de modo que como lo propone la ICO (2017) sólo puedan ser empleados para usos justos, sin
necesidad que estos datos estén necesariamente vinculados con los propósitos con los que
originalmente se recolectaron. Esta ha sido la solución propuesta por la comentada institución, sin
modelos normativos.
Forgó, Hänold y Schütze (2017) plantean que el Reglamento General que renovó el régimen de
y alcance del principio de finalidad, por el contrario en su artículo 5 (1) (b) confirma la importancia
de este principio al decir que: “los datos serán recogidos con fines determinados, explícitos y
sobre la definición ex ante de los propósitos del tratamiento, al decir que generalmente no es
109
posible determinar totalmente la finalidad del tratamiento al momento de su recolección. No
consentimiento para determinados ámbitos de investigación científica, que respeten las normas
éticas reconocidas para la investigación, sin que estén definidos por ello los fines del tratamiento
en su totalidad, dando lugar a una forma de autorización “abierta” en estos casos (Schaar, 2016;
De manera consecuente, el citado artículo 5 (1) (b) del Reglamento resalta que el tratamiento
ulterior de los datos personales con fines de archivo en interés público, fines de investigación
científica e histórica o fines estadísticos no serán vistos como incompatibles con respecto a los
fines iniciales, cualesquiera estos hayan sido. Los considerandos 159 y 162 establecen que debe
Los fines científicos se deben interpretar de forma abierta e incluyen el desarrollo tecnológico
financiada por el sector privado. Los fines estadísticos implican que el resultado del tratamiento
no conduzca a datos personales, sino datos agregados, y el resultado o los datos personales no
pueden emplearse para efectos de respaldar medidas o decisiones relativas a personas humanas
concretas.
De esto se desprende que los fines estadísticos o científicos pueden ser interpretados de manera
amplia, y envuelven no solamente usos relacionados con el interés público, sino también las
investigaciones que realicen compañías privadas o agentes particulares para obtener ganancias o
110
De esta manera, para los citados autores el Reglamento abre la puerta a la economía del Big
Data sin abandonar el principio de finalidad, puesto que permite que los distintos participes de la
cadena de valor empleen técnicas analíticas con el fin de extraer valores ocultos y desconocidos
estadísticas.
Sin embargo, cuando del análisis masivo de datos se deriven decisiones que afecten derechos e
intereses de personas particulares, no hay lugar a justificar el tratamiento a través de los fines
responsable deberá obtener el consentimiento previo, expreso e informado bajo la forma opt-in del
usos posteriores de los datos serán considerados incompatibles con los propósitos iniciales, y por
Estas disposiciones jurídicas pretenden que se extraiga el mayor provecho social del Big Data
señalado principio en estos casos, reduciendo por ende los potenciales daños o riesgos del empleo
de esta tecnología.
una disposición con alcance similar a las comentadas. El artículo segundo de la Ley 1581 dispone
que el régimen de protección de datos personales no aplicará a las bases de datos y archivos
regulados por la Ley 79 de 1993, referida a información estadística, pero de alcance limitado
puesto que sólo abarca datos relativos a los censos de población y vivienda.
111
El artículo 6 de la Ley 1581 establece que está prohibido el tratamiento de datos sensibles,
interés de toda la colectiva al colaborar con la satisfacción de derechos como la salud, la vida y la
verdad. Sin embargo este tipo de tratamiento aún queda sujeto estrictamente a los principios de
Por otro lado, el RGPD incorpora en su artículo 6 (4) de manera expresa el test de
compatibilidad propuesto por el GT29 con algunas modificaciones, como herramienta que permite
A la luz de los criterios propuesto en el test se debe analizar las aplicaciones del Big Data sobre
la información personal, en este aspecto se ha hecho especial énfasis en cumplir con medidas de
desconocer los otros criterios que deben ser tenidos en cuenta y los riesgos que estas medidas
De acuerdo con De Hert y Papakonstantinou (2012) este test de compatibilidad bajo el estado
tecnológico actual es de poca ayuda, en la medida que como se deriva del artículo 6(4) del
Reglamento es el responsable del tratamiento quien determina cuáles usos son compatibles y
cuáles no, por lo que serán los interesados quienes deban tomar acciones para controvertir la
posición que adopte el responsable en caso de ser desacertada o no estar conforme con ella.
De esta manera, no es raro que se generen incentivos para que las compañías empleen el test de
la forma que mejor maximice sus beneficios, por lo que realmente se termina empoderando al
112
responsable del tratamiento, lo que sugiere que el test debe acompañarse de otras medidas como
El diagnostico que Zarsky (2017) realiza de estas disposiciones jurídicas no es para nada
esperanzador, para este autor el Reglamento ha tomado medidas tratando de solucionar la tensión
entre el Big Data y el comentado principio, sin embargo, el resultado aún sigue siendo insuficiente
y genera incertidumbres tanto respecto de la aplicación del comentado test como sobre el alcance
que deben tener los fines científicos y estadísticos, por lo que estas soluciones son complejas,
difíciles de ejecutar y pueden terminar destruyendo la utilidad del análisis masivo de datos.
113
2. Principio de Libertad:
que este principio es el pilar fundamental de la administración de los datos personales, puesto que
permite que la persona decida libremente si su información personal puede ser utilizada en bases
en datos, e impida que sus datos se transfieran a otro organismo o persona que la emplee con fines
distintos a los autorizados, por lo que, favorece el derecho a la autodeterminación informática del
Este principio irradia distintas disposiciones normativas de Ley 1581, entre ellas:
autorización del titular para proceder con el tratamiento y las excepciones a esta regla;
114
(iv) Los artículos 12 y 13 disponen el modo como debe ser informado el titular del dato
(v) El artículo 17 establece los deberes del responsable de solicitar y conservar copia
de la autorización;
que no cumplan con un nivel de protección adecuado, salvo que se cuente con la
autorización del titular, previa realización de cualquier tipo de operación sobre sus datos, salvo
mandato judicial o legal que lo exonere; en ese sentido la autorización “se debe obtener, como
regla general, para tratar los datos personales, ya sea para recolectarlos, almacenarlos, usarlos,
transferirlos a otros responsables o permitir el acceso a los datos por parte de terceros”
Ahora bien, de acuerdo con la Ley 1581 de 2012 el tratamiento de datos personales a la luz de
este principio requiere que el consentimiento sea previo, expreso e informado para ser válido
(artículo 4). El carácter de previo significa que el consentimiento debe ser anterior a la
incorporación del dato, el titular debe gozar de la oportunidad real de aceptar las condiciones del
tratamiento antes que este tenga lugar, de lo contrario las operaciones que se realicen sobre los
2003, entre otras, ha considerado que el consentimiento debe ser inequívoco, explícito y referido
a una finalidad específica; esto significa que: (i) la autorización para el tratamiento de los datos no
puede ser abierta, por el contrario debe establecer claramente el alcance y propósito del
115
tratamiento; (ii) no es admisible en este régimen la modalidad de consentimiento o autorización
tácita, de modo que el silencio no puede tomarse bajo ninguna circunstancia como autorización.
Sobre este aspecto el Decreto 1377 en su artículo 7 (compilado por el Decreto 1074 de 2011)
precisó que la autorización también se puede obtener a través de conductas inequívocas del titular
que permitan establecer de forma razonable que el consentimiento fue otorgado. De acuerdo con
Remolina (2013) esto significa que de la conducta debe derivarse de forma lógica la aceptación
del tratamiento, lo que en ningún modo equivale a silencio o inacción, como lo ha aclarado la Corte
su alcance, empero el citado autor y el GT29 en el dictamen 15 de 2011 han señalado algunos
(i) Cuando la persona coloca en una página web sus datos sin ninguna restricción del
acceso a los mismos, por ejemplo su perfil profesional para ser contactada.
(ii) Cuando la persona ingresa a un área en la que le advierten que va a ser grabado, o
(iii) Cuando la persona ingresa a un juego en línea que solicita ciertos datos personales
para los propósitos del mismo juego (edad, nombre, entre otros).
Finalmente, el carácter informado exige que el titular esté plenamente consciente de los efectos
de la autorización, por esta razón la autorización para el tratamiento debe ser calificada y contener
una explicación de sus efectos, por lo tanto, la Corte ha señalado que es obligación del Responsable
del tratamiento informar al titular cómo, ante quién, desde cuándo y por cuánto tiempo serán
116
Consecuentemente, la ley 1581 dispone que el deber de información por parte del Responsable
envuelve comunicar: (i) el alcance del tratamiento y la finalidad, (ii) el carácter facultativo de las
preguntas que se realicen sobre datos sensibles o sobre información relativa a niños, niñas y
adolescentes, (iii) los derechos que le asisten como titular, y (iv) la identificación, dirección física,
2.2. Las dificultades para obtener el consentimiento cualificado en la era del Big Data:
El problema para cumplir con las exigencias de este principio con relación al contexto
tecnológico actual, son las múltiples fuentes de información que recolectan de manera
imperceptible y compleja cantidades masivas de datos sobre distintos aspectos de la vida de las
personas. Las fuentes de la información para el análisis masivo de datos incluyen las redes sociales,
las transacciones electrónicas, los datos generados de manera automatizada, y el Internet de las
Cosas (IoT).
Las redes sociales son servicios que sirven como plataforma para el intercambio de una gran
cantidad de información personal, los usuarios interactúan entre sí sobre la base de intereses
compartidos45, en ese proceso crean perfiles referidos a datos sobre aspectos de su vida que
comparten con el público en general o determinados grupos de personas, por ende una enorme
cantidad de datos personales son recolectados (Kosta, E., Kalloniatis, C., Mitrou, L., & Gritzalis,
S., 2010).
45
Esta definición está acorde con la forma como lo ha hecho el GT29 en dictamen 05/2009 sobre redes sociales en
línea que señala: “Los Servicios de Redes Sociales (SRS) pueden definirse generalmente como plataformas de
comunicación en línea que permiten a los individuos crear redes de usuarios que comparten intereses comunes. Los
SRS comparten determinadas características: (i) los usuarios deben proporcionar datos personales para generar su
descripción o «perfil»; (ii) los SRS proporcionan también herramientas que permiten a los usuarios poner su propio
contenido en línea (contenido generado por el usuario como fotografías, crónicas o comentarios, música, vídeos o
enlaces hacia otros sitios); (iii) las «redes sociales» funcionan gracias a la utilización de herramientas que
proporcionan una lista de contactos para cada usuario, con las que los usuarios pueden interactuar.”
117
Esta información es aprovechada por terceros con fines comerciales, de publicidad o de
vigilancia, con los que son financiados este tipo de servicios (Garriga, 2016). Por ejemplo,
corrientemente en redes sociales como Facebook, Instagram, Twitter, presentan publicidad con
base en el perfil que construyen de cada usuario, a partir de los datos suministrados.
Las transacciones electrónicas generan igualmente una gran cantidad de datos relativos al pago
de un bien o servicio, direcciones del comprador, rating del servicio o producto, entre otros
(Kitchin, 2014). Todos estos datos son recolectados a efectos de conocer hábitos de consumo, que
permitan mejorar la experiencia del consumidor con el servicio o producto, e inclusive para
Netflix.
Sobre los datos generados de manera automatizada, un caso constantemente referido por la
literatura legal por su relevancia frente al derecho al hábeas data son las Cookies, que como lo
explica Leenes (2016) son una pequeña porción de información que es almacenada por un sitio
web en el navegador del usuario, estas pueden ser empleadas para almacenar datos como la última
vez que se visitó el sitio, las preferencias del usuario, el tamaño de las ventanas, identificadores
únicos del equipo terminal usado por el usuario, así como relacionar la actividad actual del usuario
con actividades previas que se hayan realizado con el mismo identificador. El proveedor de la red
puede reconocer a un usuario y elaborar un perfil del mismo utilizando estas herramientas.
Así mismo, en materia de datos automatizados los motores de búsqueda (Google, Yahoo, y
otros), que son servicios que utilizan los usuarios para encontrar información de la web a través de
determinados criterios de búsqueda (Brin y Page, 1998), generan una gran cantidad de datos
personales, puesto que como lo señala Garriga (2016) “pueden vincular las diferentes consultas
que procedan de la misma dirección IP(…) incorporando una cookie de identificación única para
118
cada usuario”(p. 38), además facilita el acceso a publicaciones contentivas de datos personales
que existan en internet46, por ello este servicio genera cuestionamientos sobre la autodeterminación
informática (Fernández, J. P. M., 2017), tanto así, que el Tribunal de Justicia Europeo, ha
considerado que estos motores realizan tratamiento de datos personales en el caso 132/12 (Google
Finalmente, el IoT47 representa el conjunto de objetos como cámaras digitales, tablets, teléfonos
inteligentes, televisores inteligentes entre otros que pueden identificarse como parte del Internet,
por lo que permiten recolectar una enorme cantidad de datos de variada naturaleza como
peso, la rutina diaria de las personas, los gustos televisivos, entre otros (Rao, Saluia, Sharma,
Mittal, Sharma, 2012), tomar esa información y transmitirla a compañías con fines comerciales.
La mayoría de las compañías que administran estas fuentes de información tienen una política
cualificación exigida por la Ley 1581 de 2012. En primer lugar, estas fuentes recolectan de manera
imperceptible los datos sin que en ocasiones los usuarios sean conscientes de ello, por lo que
realmente no existe un consentimiento previo y expreso, además las evidencias demuestran que
46
Así lo ha precisado el dictamen 01 de 2008 del GT29 sobre las cuestiones relativas a la protección de datos
personales con relación a los motores de búsqueda.
47
El Internet de las Cosas ha sido definido como “un mundo donde los objetos físicos se integran a la red de
información, por lo que pueden convertirse en participantes activos de procesos comerciales. Los servicios están
disponibles para interactuar con objetos inteligentes a través de internet , consultar su estado y cualquier información
asociada a ellos teniendo presentes las cuestiones de seguridad y privacidad” (Weber R.H., Weber R., 2010, p.1)
.Esto permite esclarecer la relación entre el Big Data y el Internet de la Cosas (IoT), el segundo representa una fuente
de datos, que se obtienen a través de instrumentos o medios conectados a la Internet, sin embargo para darle o extraer
valor a estos datos es necesario someterlos a procesos de análisis algorítmicos propios del Big Data.
119
Las estadísticas son abrumadoras. Nissenbaum (2009) expone que sólo el 20% de las personas
Culnan (2004) apenas el 4.5% de los encuestados señalaron que siempre leían las políticas de
privacidad de los sitios web, de la misma manera pocas personas optan por salir (opt-out) de un
determinado servicio virtual que envuelva la recolección de sus datos, ni siquiera se molestan en
cambiar la configuración de privacidad por defecto de los sitios web que visitan como lo exponen
Esta falta de interés de los titulares de los datos obedece posiblemente al hecho de tener que
revisar políticas de datos largas, engorrosas y de difícil comprensión para entender el alcance del
tratamiento, como lo precisa Solove (2013). Por esta razón, varios sectores han abogado porque al
del deber de informar aparezca en un lenguaje sencillo y comprensible, solución que promueve la
SIC (2017)48. Sin embargo, dado el complejo camino que sigue la información y las distintas
paradoja de la transparencia.
Barocas y Nissenbaum (2014) explican que según esta paradoja, cuanto más claro y sencillo es
el lenguaje, mayor es la perdida de precisión al describir el alcance del tratamiento de los datos.
La obligación de informar al titular de los datos cómo, ante quién, desde cuándo y por cuánto
tiempo se realizará el tratamiento no puede cumplirse con un lenguaje simple, en la medida en que
la explotación masiva de datos se desarrolla en una cadena compleja que envuelve distintas etapas
o eslabones conforme se expuso en el primer capítulo del que participan distintas instituciones, e
48
Afirma la citada SIC (2017) que: “Con el fin de hacer más comprensible la información, las organizaciones o
responsables del tratamiento de datos personales pueden elegir diferentes formas de trasmitir la información a los
titulares: señales, dibujos, gráficas, videos, etc.; lo importante es cumplir con la obligación de comunicar de manera
clara y transparente lo exigido en la ley” (p. 10).
120
implica el empleo de la información en usos segundarios que no se conocen al momento de
En ese sentido, un verdadero consentimiento informado debe poner al tanto al titular del alcance
real del tratamiento, esto significaría exponer en toda su magnitud las operaciones que se realizan
sobre los datos (Gil, 2016), lo que las compañías que administran las comentadas fuentes de
limita a dar un click sin necesidad de revisar las políticas de datos, so pena de no tener acceso a
los servicios que prestan las distintas plataformas virtuales, por lo que, Koops (2014) considera
que los usuarios de la red no cuentan realmente con la oportunidad de decidir sobre sus datos.
consentimiento informado, Acquisti y Grossklags (2006) han demostrado que los usuarios de los
distintos servicios están dispuestos a entregar sus datos a cambio de pequeños beneficios (tan
simples como leer una noticia, p. ej.). Los titulares de la información no comprenden realmente
para adquirir, almacenar y procesar información relevante, por lo que se decide con base en
equivocados sobre los riesgos que se desprenden de su relación con los “barones de datos”
Por esta razón, una gran cantidad de personas construyen imaginarios erróneos sobre el respeto
de sus derechos cuando están online, por ejemplo en un estudio realizado por Turow, Feldman y
Meltzer (2005), se señala que el 75% de las personas que participaron creían falsamente que
121
cuando un sitio web presentaba una política de datos o privacidad esto implicaba que no
protección en la persona (Acquisiti y Grossklags, 2007), no en vano son promovidos por la SIC
(2017), estas sensaciones de control generan mayor confianza en compartir información personal,
así lo revelan estudios de John, Acquisti, y Loewenstein (2009), de modo que la persona decide de
acuerdo al contexto y como se sienta con respecto a este, sin necesidad de existir una protección
Ante esta evidencia, Solove (2013) concluye que aunque las personas lean y comprendan las
un campo inexplorado y desconocido, de difícil democratización según Mantelero (2014), por las
(i) Para 2017 sólo el 44,3% de los hogares contaban con un computador de escritorio
portátil o tableta.
(ii) Para el referido año sólo el 50% de los hogares contaban con acceso a la red de
internet.
(iii) La principal razón de los hogares que carecen de los anteriores bienes o servicios
122
(iv) Para el referido año sólo el 32,3% de las personas con acceso a internet, lo usaron
(v) De las personas que usan un computador, sólo el 15.6% sabe utilizar un lenguaje
(vi) Existe una baja oferta de programas académicos relacionados con las áreas del
El problema se agrava según Solove (2013) al considerar que existe una gran cantidad de
instituciones que recolectan información a través de la red, por lo que es imposible que una persona
pueda administrar racionalmente todas las relaciones de naturaleza informática que establecen con
los sitios web visitados a diario. Informarse de las políticas de datos, de los cambios o ajustes que
tienen y tomar decisiones consecuentes con ello envuelve un esfuerzo desproporcionado, dado que
las personas no cuentan con el tiempo y los recursos que esto demanda49, razón por la cual prefieren
racionalmente no estar informados como ocurre frecuentemente en otros campos como los
relativos a las decisiones políticas (Downs, 1957; Stigler, 1961; Eisenberg, 1995; Bayern, 2009)
De acuerdo con el citado autor Solove (2013) para que las personas consientan de manera
informada el tratamiento de sus datos, deben realizar un análisis costo-beneficio que les permita
enterarse de la magnitud del riesgo que enfrentan sus derechos al entregar información personal.
Sin embargo, en la era del Big Data tal estimación económica es prácticamente imposible, debido
49
Un informe de McDonald y Faith (2008) demostró que en los Estados Unidos si todas las personas leyeran las
políticas de datos o de privacidad de los sitios web que visitan al año, esto tendría un costo de 781 billones de dólares
en pérdida de productividad.
123
a que la agregación de datos puede generar consecuencias inesperadas en el largo plazo (Koops,
2016).
El modelo normativo que establece la Ley 1581 de 2012 promueve que los titulares de la
datos para un propósito específico, esto significa que el titular es consciente de manera aislada del
destino inmediato de sus datos, pero no dimensiona de forma global lo que ocurre con la
información, cómo esta es agregada con otros datos, qué datos nuevos se deducen o infieren y en
general como evoluciona el conocimiento que de sí mismo tienen terceros a lo largo del tiempo
En otras palabras, la información personal que se recolecta online no es estática, crece para
generar externalidades positivas o negativas tanto a nivel individual como social (Solove, 2013).
puede realizar un análisis costo-beneficio de los efectos de revelar determinada porción de sus
datos personales, bajo estas circunstancias el consentimiento informado es una quimera como lo
de la tiranía de las minorías. Bajo el estado actual de la técnica es posible inferir determinados
atributos de toda la población, sólo con que el 20% o un porcentaje menor al total de la población
revele tales atributos (Misolve, Viswanath, Gummadi y Druschel, 2010). Esto significa que, con
revelar la misma cantidad de información sobre aquellos que no han otorgado su consentimiento
(Koops, 2016).
124
Al respecto existen varios casos documentados, por ejemplo la información publicada en redes
sociales por usuarios sobre su carrera universitaria, permite deducir esta misma información de
usuarios que no la han publicado, o de personas que no forman parte de la red social (Misolve,
Viswanath, Gummadi, y Druschel, 2010). Este hecho genera incentivos en los responsables del
tratamiento para dejar de solicitar el consentimiento informado unas vez han alcanzado el umbral
mínimo de representatividad, puesto que así reducen los costos que deben asumir para obtener el
ICO y el RGPD.
el papel del consentimiento en la era del Big Data, al decir que la aparente complejidad del análisis
masivo de datos no puede convertirse en una excusa para renunciar a la obtención del
consentimiento del sujeto cuando es obligatorio; de este modo las organizaciones deben encontrar
la forma idónea de explicar los beneficios y riesgos de las operaciones analíticas para que los
La institución británica resalta que las organizaciones que justifican el tratamiento de datos
personales con base en el consentimiento, deben garantizar que las personas sean capaces de
comprender lo que se está haciendo con sus datos, y que autorizan tales operaciones, así mismo se
exige que los responsables tengan especial cuidado en informar al titular de los datos cuando
utilicen la información para fines diferentes e incompatibles de los que motivaron inicialmente la
125
recolección. El ICO (2017) se aferra al modelo del consentimiento informado como pilar
consentimiento sigue jugando un rol central como lo expone Tikkinen-Piri, Rohunen y Markkula
(2018). El Reglamento establece que: (i) el consentimiento debe ser otorgado de manera libre,
especifica, informada y explicita (artículos 4-11, 6-1.a); (ii) el responsable del tratamiento tiene la
carga de demostrar que se otorgó la autorización (artículo 7-1), y (ii) el titular de la información
el titular de la información debe comprender las operaciones que se realicen con sus datos, y dar
su consentimiento de manera expresa, por lo que sólo los esquemas opt-in (por ejemplo dando
click en un recuadro antes que se inicie el tratamiento) son lícitos. No puede derivarse de la
inacción o silencio autorización alguna, excluyendo los esquemas opt-out o de salida50 como lo
Decreto 1074 de 2015), puede tener como consecuencia una considerable pérdida de valor para las
compañías online. Puesto que, como lo evidencian Tene y Polonetsky (2011) disuade a los usuarios
de acceder a los servicios, dados “los problemas de acción colectiva que generan equilibrios sub-
50
El considerando 32 del Reglamento dispone que: “El consentimiento debe darse mediante un acto afirmativo claro
que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el
tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios
electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger
parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración
o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus
datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento”
126
beneficiosos con la esperanza de ser gorreros de la buena voluntad de sus pares” (p. 68), y
concurrentemente aumenta los costos para las compañías online que deberán generar plataformas
que soliciten el consentimiento antes del procesamiento, según lo expone Solove (2013).
consentimiento del tratamiento de datos no necesarios para la ejecución de dicho contrato (artículo
7-4). Esta disposición novedosa pretende enfrentar el problema comentado que los servicios o
impertinentes, so pena de no obtener el servicio, disuade a las empresas online de este tipo de
prácticas, dado que en estos casos el tratamiento sería ilícito según lo expresamente contemplado
en la norma.
Hasta aquí no existe ninguna diferencia sustancial entre las propuestas de la ICO, el RGPD y
las disposiciones de la Ley estatutaria 1581 de 2011: todas se sustentan en el principio de libertad.
El interrogante que surge es: por qué a pesar de las dificultades del consentimiento en la era del
Big Data que demuestran que las personas no toman decisiones informadas sobre sus datos o no
están interesadas en hacerlo, o incluso que las compañías tienen incentivos para no obtenerlo, los
La cuestión está en que abandonar el consentimiento de cierta forma significaría adoptar una
datos personales, no el individuo, solución que tampoco es prometedora dado que como se
información con relación a su impacto social e individual tiene serias dificultades, en la medida
127
en que los beneficios y perjuicios no son objetivos sino subjetivamente valorados, así por
ejemplo mientras una persona no está conforme con que se rastree su actividad online, otra
puede tener el efecto precisamente contrario, limitar la libertad y autonomía del individuo,
puesto que la normatividad se decanta por opciones digitales que no necesariamente son de la
preferencia del individuo; lo que significa precisamente que este pierde el control sobre su
protección del derecho de hábeas data, sino para garantizar el libre flujo de la información, una
De igual forma, para Solove (2013) el modelo del consentimiento informado pese a sus
limitaciones mejora el proceso de administración de datos personales que realizan las instituciones
privadas, dado que da lugar a la generación de cambio internos con el propósito de cumplir las
normas de protección de datos personales, así las empresas capacitan a su personal para que sepan
forma que los servicios, productos y tecnologías que desarrollen sean amigables con la privacidad
y autonomía informática de sus clientes. Por estas razones considera que el consentimiento
Para Mantelero (2014) en contextos en los que el titular de la información afronta serias
limitaciones para comprender el alcance del tratamiento de sus datos, el papel que juega el
128
consentimiento debe restringirse y reforzarse el rol que desempeñan autoridades independientes.
Las autoridades de protección de datos en su criterio cuentan con el conocimiento tecnológico para
evaluar los riesgos asociados a las operaciones que se realizan sobre datos personales en el
contexto de recolección y análisis masivo de la información, por lo que están en mejor posición
para tomar medidas idóneas que ponderen los intereses de los distintos agentes interesados.
modelo tradicional del consentimiento informado que puede ser efectivo bajo determinadas
circunstancias, sino ajustarlo o modificarlo con relación a los desafíos que envuelve el Big Data y
personas.
Para el citado autor es necesario crear reglas específicas que apliquen a los usos de información
que se desarrollan a lo largo de la cadena de valor del Big Data, separándose en este aspecto de la
aproximación holística que se promueve en la Unión Europea, que no se ajusta a los distintos
contextos en que los datos pueden ser empleados. En este punto la propuesta de Mantelero es
similar a la aproximación contextual que propone Ohm (2010), analizada en el capítulo anterior.
Estas reglas específicas aplicables al Big Data no deben considerar el consentimiento como
requisito previo para la licitud del tratamiento de los datos. Para que una compañía proceda a
debe solicitar previamente a un tercero independiente que realice una evaluación de impacto
múltiple, que incluya los efectos sobre el hábeas data, el principio de igualdad y no discriminación,
129
Esta evaluación debe estar disponible al público y ser informada a los titulares de la
información; finalmente, la compañía debe adoptar un esquema opt-out o de salida para los
titulares de los datos una vez se apruebe el tratamiento por la autoridad de protección de datos.
del riesgo a lo largo del ciclo de vida de los datos, con el propósito de tomar medidas para reducirlo;
esto significa, contrario a lo que ocurre con el modelo normativo existente, que esta solución no
sólo analiza el impacto al momento inicial de la recolección de los datos, sino durante las distintas
informática, sino también de otros derechos que pueden verse vulnerados, adoptando en el análisis
no sólo una perspectiva jurídica sino ética y social como lo sugieren Schwartz (2010) y Wright
(2011).
La evaluación según Mantelero (2014) debe ser realizada por un tercero independiente bajo la
actividad a través de tarifas que cobran a las compañías que requieren de esta evaluación,
conservando de esta manera su autonomía con respecto a los responsables del tratamiento.
que fortaleció el modelo del consentimiento informado con medidas similares a las mencionadas,
sin embargo claramente no adoptó una aproximación contextual, sino que mantuvo el modelo de
adopta una aproximación similar a la comentada, puesto que señalaba que “el consentimiento no
será tomado como base legal del tratamiento, donde exista un desbalance significativo entre la
130
Sin embargo esta disposición fue eliminada del texto final del documento legal, en el que no se
establece con claridad sí las asimetrías de la información sirven de base para excluir la aplicación
del principio de libertad, puesto que el considerando 43 contiene una disposición similar pero que
parece circunscribir sus efectos a las situaciones en que el responsable es una autoridad pública.
Sea como sea el Reglamento no contempla la evaluación del riesgo como un modelo que supla el
riesgos del Big Data sobre la autodeterminación informática fortaleciendo los principios de
personales debe ser fácilmente accesible, fácil de entender, que utilice un lenguaje sencillo y claro
de entender, con el fin de asegurar que los titulares de la información tengan conocimiento de los
riesgos, normas, salvaguardias y derechos relativos a las operaciones que realiza el responsable
sobre sus datos; así se desprende de los considerandos 39, 58 y de los artículos 5(1) y 12.
sellos y marcas de protección de datos según las necesidades específicas de los distintos sectores
como lo dispone el considerando 100, y los artículos 40, 41, 42 y 43; que permiten evaluar con
Está opción puede ser una forma efectiva para superar la citada paradoja, en tanto que, se
promueven mecanismos que sirven para demostrar el cumplimiento de las obligaciones a cargo
131
del responsable, generando confianza en los titulares de la información sobre la existencia de un
tratamiento seguro, certificado por un organismo idóneo; así se reducen considerablemente las
está obligado a: (i) tomar medidas técnicas y organizativas que garanticen y permitan acreditar el
desarrolle el tratamiento (artículos 24 y 32); (ii) llevar un registro de las actividades de tratamiento
efectuadas bajo su responsabilidad en los estrictos y precisos términos del artículo 30 del
(iv) aplicar de acuerdo con el contexto, los costes, el estado de la técnica, lo fines del tratamiento
y los riesgos de diversa probabilidad y gravedad medidas técnicas y organizativas por defecto o
concebidas desde su diseño para el cumplimiento de los principios de protección de los datos
(artículo 25); por lo tanto la protección a la privacidad y el hábeas data deben ser considerados en
cada etapa y nivel del negocio según Tikkinen-Piri, Rohunen y Markkula (2018).
tratamiento una evaluación del impacto de las operaciones en la protección de datos personales,
en circunstancias que representen un alto riesgo para los derechos y libertades de las personas
automatizadas que afecten intereses de personas físicas, o se realicen operaciones a escala masiva
Esto significa que esta es una obligación que aplica esencialmente a aquellas compañías que
132
Mantelero, la evaluación versa exclusivamente sobre las implicaciones que el tratamiento puede
tener con relación al hábeas data, no es realizada por un tercero independiente sino por el mismo
responsable, y sólo debe ser consultada con la autoridad de protección de datos cuando el resultado
Por otro lado, en aras de reforzar la responsabilidad en el tratamiento El Emam y Álvarez (2015)
de un consejo ético en las instituciones responsables del tratamiento de datos personales, que
interesados a gran escala, o realicen operaciones a escala masiva con categorías especiales de
datos.
Este Delegado tiene la función de asesorar al responsable o encargado sobre el tratamiento, las
normas aplicables y de ser necesario colaborar con la evaluación de impacto, así como supervisar
el cumplimiento de las obligaciones que se desprenden del Reglamento y cooperar con la autoridad
de protección de datos. Consecuentemente, este órgano debe tratarse de una persona con suficiente
experticia sobre la materia, aspecto que representa un gran desafío según Tikkinen-Piri, Rohunen
y Markkula (2018), puesto que, la oferta laboral de personal con estas habilidades es baja en el
mercado.
Rubinstein (2012) considera que todas estas disposiciones del régimen europeo de protección
133
administración de datos; sin embargo son insuficientes para atender los desafíos planteados por el
Big Data, en tanto que no alcanzan para reparar el modelo del consentimiento informado, a pesar
que este es uno de sus fines. El citado autor propone seguir un modelo que realmente cambie los
empoderamiento del titular de los datos haciéndolo participe de la riqueza o beneficio de los datos
De acuerdo con Moiso y Minerva (2018) en la administración actual de datos personales las
web a través de distintas herramientas (cookies, web-bugs, entre otros) y la almacenan en sistemas
internos, para luego emplearla con fines publicitarios o venderla a sus clientes. De esta manera, el
titular de los datos desarrolla un papel marginal en la cadena de valor, a pesar que su información
El Foro Económico Mundial (2014) ha señalado que este modelo no va a ser sostenible en el
y aislado de los datos personales. Los titulares al entregar sus datos mediando la debida
autorización no cuentan con los mecanismos necesarios para rastrear todos los datos y
autorizaciones dados durante su actividad en la web, en ese sentido no ostentan un control real
sobre su información.
Para superar esta dificultad a través del modelo de empoderamiento del titular de los datos se
propone reconocer el derecho de los individuos de obtener y controlar una copia de los datos
134
existentes acerca de ellos en la red digital, a efectos de negociar beneficios por compartir su
Los citados autores Moiso y Minerva (2018) sugieren que la viabilidad de este modelo depende
de la existencia de Almacenes de Datos Personales controlados por los usuarios, a través de los
cuales las personas pueden recolectar sus datos, y decidir la información que revelan a terceros,
con las restricciones que ellos decidan. Este servicio de almacenamiento lo prestarían proveedores
Siguiendo a Rubinstein (2012) este modelo no sólo es técnicamente plausible, sino que además
está en armonía con los principios de administración de datos personales desarrollados tanto en el
ámbito regulatorio europeo como anglosajón, puesto que tiene las siguientes características
distintivas:
2. Los titulares de los datos tienen el derecho de compartir sus datos selectivamente y
los metadatos.
4. Los individuos son libres de compartir sus datos a efectos de expresar la demanda
135
6. Los titulares de la información tienen el derecho a la portabilidad de los datos, lo
sin obstáculos.
deben ser responsables con relación a los usos de los datos, cumpliendo las obligaciones legales
objetivo de empoderar al titular de la información en el ámbito digital (Garriga, 2016). Por ello, se
consagraron los derechos a la portabilidad de los datos y al olvido dentro del texto legal, en los
El derecho a la portabilidad tiene como finalidad reforzar el control de la persona sobre sus
propios datos cuando el tratamiento se realiza a través de medios automatizados, puesto que esta
tendrá derecho a recibir los datos personales que le incumban, cuando los haya facilitado a un
interoperable, y podrá transmitir los datos a otro responsable sin restricción alguna siempre que
De acuerdo con Ursic (2018), este derecho puede colaborar significativamente para superar las
limitaciones cognitivas que enfrenta el titular de los datos personales al ejercer el control sobre sus
datos en el marco de la normatividad actual. En tanto que, la persona puede ejercer control sobre
las transferencias de sus datos, de manera que estas obedezcan a sus preferencias y deseos
personales, por ejemplo sí el usuario no se siente conforme con la administración de sus datos por
un determinado responsable (v. gr. Facebook), puede transferirlos a otro (Twitter p. ej.), sin que
136
De igual manera este derecho le permitirá al titular controlar los usos segundarios de la
información, siempre que exista una infraestructura de datos funcional para ello. A través del
la información podrá gestionar con facilidad los permisos para que se empleen sus datos con fines
Finalmente, la citada autora Ursic (2018) siguiendo al EPDB comenta que una adecuada
combinación entre este derecho y el derecho a la supresión de los datos, tiene el potencial de
podrá enviar la información a una tercera parte que realice un análisis imparcial sobre el perfil que
se elaboró con base en los datos y las decisiones que se adoptaron, a efectos de establecer si
Sin embargo, tal como ha sido consagrado este derecho en el Reglamento tiene varias
limitaciones en cuanto a su alcance; porque sólo aplica con relación a los datos entregados
Directrices sobre el derecho a la portabilidad de los datos (2018). Por lo que, la información que
ha sido inferida, derivada (“infered data”) o anonimizada, queda por fuera de su ámbito de
137
En consecuencia los perfiles y demás datos inferidos que elaboran las compañías online con
base en los datos recolectados no estarían sujetos al derecho de portabilidad. Sin embargo, en el
sistema de la comunidad europea de naciones, existe una disposición jurídica que puede remediar
esta situación, en la medida en que la Directiva sobre contenido tecnológico, establece que los
consumidores en la economía digital, pueden obtener todos los datos tanto personales como de
otra naturaleza que se hayan generado como consecuencia de su actividad en la red o en las
aplicaciones digitales.
Debe tenerse en cuenta además que varias propuestas de empoderamiento del titular han
fracasado, debido a las dificultades técnicas que envuelve lograr la centralidad tecnológica del
individuo por medio de Almacenes de Datos Personales u otras herramientas similares, para
hacerlo participe y agente activo de la cadena de valor del Big Data, sin contar que varios de los
proyectos que se han adelantado parten de la base que el titular es un agente con toda la
No obstante, siguiendo a Garriga (2016) es innegable que la portabilidad de los datos luce
prometedora para remediar el desequilibrio existente entre los barones de los datos y los titulares
individuos que no estén conformes con la administración de sus datos podrán transferirlos a nuevos
agentes que ingresen al mercado con prácticas que representen mayor confiabilidad para ellos o
mejores servicios.
Conclusiones:
138
En síntesis el Big Data ha puesto en crisis la espina dorsal de la jurisprudencia de la Corte
Constitucional sobre el derecho al habeas data y los fundamentos mismos de la Ley estatutaria
Esto ha significado que los titulares de los datos pierdan el control real sobre los mismos ante
grandes compañías que operan online, las cuales se aprovechan de las limitaciones cognitivas de
las personas al decidir sobre sus datos, para maximizar sus beneficios, mejorar su posición en el
mercado de datos, y sacar ventaja de las normas jurídicas sobre protección de datos personales que
De igual manera, los barones de datos se benefician de normas jurídicas como el principio de
finalidad, que a pesar de estar en contradicción con la lógica del Big Data, en últimas genera
obstáculos para que nuevos competidores ingresen en el mercado de datos, y terminan por
empoderar al responsable del tratamiento, en lugar del titular, pues fortalece la posición de los
barones de datos.
es una verdad insostenible. En tal sentido el regulador colombiano debe posar la mirada sobre los
distintos modelos de solución que se proponen, para efectos de dar una respuesta efectiva frente a
estos los desafíos. Los distintos modelos de solución que se derivan de la experiencia internacional,
pretenden atenuar la contradicción lógica existente entre los principios de protección de datos
personal se utilice para usos segundario incompatibles con los principales, siempre y cuando
sean justos.
139
2. Limitando los efectos de las decisiones automatizadas que afecten individuos
particulares, tomadas sobre la base del análisis masivo de datos, exigiendo que en estos casos
actualmente.
papel del consentimiento y del reconocimiento de nuevos derechos como el derecho al olvido
persona que generan dificultades para lograr el estándar legal del consentimiento cualificado.
4. Adoptando una aproximación basada en el riesgo que centre la acción del regulador
en aquellos sujetos, como los barones de datos, que representan un mayor riesgo para la
autodeterminación informática.
El Estado colombiano ha dado sus primeros pasos al tratar de asumir una aproximación basada
publicada en 2016 por la SIC (2016), que promueve con fundamento en el artículo 27 del Decreto
Gestión de Datos Personales, que sea el resultado de un proceso de debida diligencia al interior de
140
(iii) La implementación de mecanismos internos para dar respuesta a las peticiones,
La SIC ha querido incentivar un compromiso serio en la protección de los datos personales por
parte de los responsables del tratamiento; sin embargo, aún está latente el problema de la
globalidad con que operan los agentes dentro de la red digital. Sin contar que no se han tomado
los principios de libertad y finalidad. El camino está por recorrer, la discusión sobre la
conveniencia de los modelos normativos de solución queda abierta, mientras tanto los barones de
141
CONCLUSIONES
así como sus fundamentos científicos y filosóficos, han evolucionado según las condiciones
tecnológicas y económicas en que se ejerce el poder informático a nivel global, desde mediados
los ordenamientos jurídicos de los Estados europeos y anglosajones de los principios jurídicos
social, creando relaciones de deber ser que responden a las necesidades antropológicas
precisamente esto fue lo que ocurrió con el régimen normativo de hábeas data.
Política de 1991, la jurisprudencia constitucional posterior, la Ley 1266 de 2008 y la Ley 1581
de 2012; sistema jurídico en el que prima la centralidad de la persona humana, puesto que
existe con fines a garantizar el control individual sobre la información personal, para limitar el
142
poder informático que detentan grandes compañías privadas o instituciones públicas. Esta fue
4. Empero, con la aparición en la última década del Big Data se generan serias
datos personales, puesto que la lógica subyacente a esta nueva tecnología es sustancialmente
distinta a los fines que se persiguen a través del régimen normativo colombiano y extranjero
de protección del hábeas data. Desde varios sectores de la doctrina jurídica se afirma que los
economía digital, por lo que el Estado Colombiano no tiene un nivel adecuado de protección
al menos desde el punto de vista instrumental, como se logró demostrar en el capítulo segundo.
la Unión Europea del RGDP por parte del Parlamento Europeo. Esta nueva disposición jurídica
consagró nuevos derechos a efectos de empoderar a los titulares de los datos personales,
tratando de atenuar la relación asimétrica que tienen con las grandes compañías que se
a este aspecto es sí el Estado Colombiano deberá ajustarse a esta nueva tendencia normativa.
evadir el cumplimiento de los principios de administración de datos debido a los altos costos
143
regulatorios, y a la contradicción lógica existente entre el modelo de negocio del Big Data y el
que ante las condiciones tecnológicas actuales esté se torna demasiado amplio, en tanto que,
toda información generada por una persona en la red sería identificable o determinable, lo que
absurdo que veja de su efecto útil al régimen normativo. Para escapar a este ámbito regulatorio
cada vez más amplio, las empresas deciden aplicar técnicas de anonimización severa, en las
que quedan atrapados, puesto que estas también significan una pérdida significativa de utilidad,
8. Sólo las grandes compañías o barones de datos, propietarias de las bases de datos
masivas, pueden superar con facilidad la paradoja de la utilidad, en tanto que estos pueden
identificable del sujeto, o en su defecto pueden anonimizar sin perder utilidad al aplicar
dominio de los barones de datos en el mercado, dado que los costos regulatorios son
economía del Big Data, lo que representa una seria dificultad para la ejecución de las
corporativos, propietarios de bases masivas de datos, que no operan exclusivamente dentro del
144
ámbito de su jurisdicción sino de manera global, lo que les permite evadir con facilidad la
10. La legislación en datos personales, Ley 1581 de 2011, en lugar de limitar el poder
informático termina generando en el contexto del Big Data el efecto contrario. Por una parte,
mercado; por lo que su efecto real es empoderar o reforzar la posición de dominio que ostentan
pequeños empresarios, que al aplicar este principio en estricto sentido no podrían emplear la
sido abrir el camino para el empleo de la información personal en usos segundarios, que no
necesariamente guarden conexidad con las finalidades principales del tratamiento, siempre que
afecten de modo alguno los intereses o derechos de individuos particulares, esto es, que no
sean base para la toma de decisiones automatizadas con efectos frente a personas humanas.
Así, a través de esta solución se pretende reducir las externalidades negativas o riesgos que se
desprenden del Big Data, en los procesos de toma de decisiones automatizadas; al tiempo que
se promueve la aparición de mercados segundarios de datos con fines investigativos, que sean
de provecho tanto para las instituciones públicas como para la empresa privada.
145
12. Por otro lado, el principio de libertad también termina por empoderar a los barones
de datos, puesto que como se demostró en el capítulo cuarto, existen toda una serie de
estrategias corporativas disponibles para evadir su alcance real. De hecho se demostró que este
genera incentivos para que el titular de la información tome decisiones aisladas y parciales
sobre sus datos personales, en las que no alcanza a comprender las operaciones que sobre ellos
se realizan en la red digital y la forma en que son agregados por los distintos agentes que
participan de la cadena de valor del Big Data. Esto significa que crece la asimetría de poder en
la relación entre el titular del dato y las grandes compañías responsables del tratamiento de
datos; por lo que la centralidad del individuo no pasa de ser más que una ilusión, que se
resquebraja ante el control que ejercen tales compañías sobre sus datos.
13. De este modo, en esta investigación también se demostró que existe una tensión
que ante las condiciones jurídicas, económicas y tecnológicas actuales la balanza parece
inclinarse a favor del primero. El análisis del modelo de negocio detrás de la explotación de
datos revela que quien está realmente en el centro no es el individuo titular del dato, sino las
derechos, como el de portabilidad, con fines a generar incentivos que favorezcan la protección
del hábeas data, tarea para nada sencilla dada las limitaciones cognitivas que afronta el
individuo, que pretenden resolverse de igual manera con el fortalecimiento de los principios
146
de mecanismos de certificación, códigos de conducta, sellos y marcas de protección de datos;
15. El Estado colombiano, al respecto, apenas está dando sus primeros pasos para
afrontar los desafíos tecnológicos del Big Data. Mientras tanto la posición de los barones de
investigación: el régimen colombiano de hábeas data no cuenta con una protección adecuada
beneficio de un reducido número de compañías que participan de la cadena de valor del Big
Data.
16. Debe tenerse en cuenta que la tarea de ajustar los principios de protección de datos
naturaleza de los riesgos que se derivan del Big Data es global, los agentes que se benefician
del análisis masivo operan sin sujeción a limites jurisdiccionales; por lo que, es necesario hacer
un llamado a la comunidad internacional para que tome en serio está problemática, que
de datos de ruina (en los términos del Paul Ohm). Es indispensable que se fortalezcan las
147
17. No se trata de derogar o abandonar los principios de protección datos personales
BIBLIOGRAFÍA
148
Libros, Tesis y Artículos Académicos:
1. Acquisti, A., & Grossklags, J. (2006). Privacy and rationality. In Privacy and Technologies
X_2
2. Acquisti, A., & Grossklags, J. (2007). What can behavioral economics teach us about
privacy. Digital privacy: theory, technologies and practices, 18, 363-377. Recuperado de:
https://s3.amazonaws.com/academia.edu.documents/30777913/file1.pdf?AWSAccessKeyId
=AKIAIWOWYYGZ2Y53UL3A&Expires=1539993171&Signature=wM7lhSkMRXFy6jl
bma0BAKRnsY4%3D&response-content-
disposition=inline%3B%20filename%3DWhat_can_behavioral_economics_teach_us_a.pdf
#page=386
3. Albrecht, J. P. (2016). The EU’s New Data Protection Law–How A Directive Evolved Into
https://doi.org/10.9785/cri-2016-0202
Economic Formalism in Contract Law. California Law Review, 97(3), 943-973. DOI:
http://dx.doi.org/https://doi.org/10.15779/Z38TD7R
5. Bennett, C. J., & Bayley, R. M. (2016). Privacy protection in the era of ‘big data’: regulatory
challenges and social assessments. Exploring the Boundaries of Big Data, 205. Recuperado
de:
https://bartvandersloot.com/onewebmedia/Verkenning_32_Exploring_the_Boundaries_of_
Big_Data.pdf#page=206
149
6. Barocas, S., & Nissenbaum, H. (2014). Big data’s end run around anonymity and
consent. Privacy, big data, and the public good: Frameworks for engagement, 1, 44-75.
8. Boyd, D., & Crawford, K. (2012). Critical questions for big data: Provocations for a cultural,
9. Brin, S., & Page, L. (1998). The anatomy of a large-scale hypertextual web search engine.
https://doi.org/10.1016/S0169-7552(98)00110-X
10. Brickell, J., & Shmatikov, V. (2008). The cost of privacy: destruction of data-mining utility
https://doi.org/10.1145/1401890.1401904
11. Brynjolfsson, E., Hitt, L.M. and Kim, H.H. (2011). Strength in Numbers: How Does Data
http://dx.doi.org/10.2139/ssrn.1819486
12. Burrows, R., & Savage, M. (2014). After the crisis? Big data and the methodological
challenges of empirical sociology. Big data & society, April–June, 1–6. DOI:
https://doi.org/10.1177/2053951714540280
150
13. Camargo-Vega, J. J., Camargo-Ortega, J. F., & Joyanes-Aguilar, L. (2015). Knowing the Big
http://www.scielo.org.co/scielo.php?script=sci_arttext&pid=S0121-11292015000100006
14. Cattell, R. (2011). Scalable SQL and NoSQL data stores. Acm Sigmod Record, 39(4), 12-27.
DOI: https://doi.org/10.1145/1978915.1978919
15. Cukier, K., & Mayer-Schoenberger, V. (2013). The rise of big data: How it's changing the
16. Castells, M. (2004). La era de la información: economía, sociedad y cultura (Vol. 3). Siglo
XXI.
17. Cifuentes Munoz, E. (1997). El hábeas data en Colombia. Derecho PUCP, 51, 115.
Trotta.
20. Crawford, K., & Schultz, J. (2014). Big data and due process: Toward a framework to redress
21. Canbay, Y., & Sağıroğlu, S. (2017). Big data anonymization with spark. In Computer Science
https://doi.org/10.1109/UBMK.2017.8093543
22. Cate, F. H., & Mayer-Schönberger, V. (2013). Notice and consent in a world of Big
151
24. Cooter, R. D., & Ulen, T. (2012). Law and economics. Law & economic.
Democracia.
26. Chen, M., Mao, S., & Liu, Y. (2014). Big data: A survey. Mobile networks and applications,
27. Chen, M., Mao, S., Zhang, Y., & Leung, V. C. (2014). Big data: related technologies,
challenges and future prospects (p. 35). Heidelberg: Springer. Recuperado de:
http://mmlab.snu.ac.kr/~mchen/min_paper/2014/2014-29-Springer-1-BigDataBook.pdf
28. Chen, C. P., & Zhang, C. Y. (2014). Data-intensive applications, challenges, techniques and
https://doi.org/10.1016/j.ins.2014.01.015
29. Date, C. J., & Darwen, H. (1989). A guide to the SQL Standard: a user's guide to the standard
30. Doneda, D. (2007). O Habeas data no ordenamento brasileiro e a proteção de dados pessoais:
15.
31. Daros, W. R. (2017). ¿ Qué es un marco teórico?. Enfoques, 14(1 y 2), 73-112
32. Daries, J. P., Reich, J., Waldo, J., Young, E. M., Whittinghill, J., Ho, A. D., ... & Chuang, I.
(2014). Privacy, anonymity, and big data in the social sciences. Communications of the ACM,
33. De Hert, P., & Papakonstantinou, V. (2012). The proposed data protection Regulation
replacing Directive 95/46/EC: A sound system for the protection of individuals. Computer
152
34. Dwork, C. (2008). Differential privacy: A survey of results. In International Conference on
Theory and Applications of Models of Computation (pp. 1-19). Springer, Berlin, Heidelberg.
Recuperado de:
http://users.cis.fiu.edu/~lpeng/Privacy/Differential%20Privacy%20A%20Survey%20of%20
Results.pdf
35. Dworkin, R.M. (1989) Los derechos en serio. Trad. Guastavino, Editorial Ariel.
36. Domingo-Ferrer, J., Sebé, F., & Castella-Roca, J. (2004). On the security of noise addition
deim.urv.cat/webCrises/publications/isijcr/lncs3050OntheSec.pdf
37. Downs, A. (1957). An economic theory of political action in a democracy. Journal of political
39. El Emam, K., & Álvarez, C. (2014). A critical appraisal of the Article 29 Working Party
Opinion 05/2014 on data anonymization techniques. International Data Privacy Law, 5(1),
40. Eisenberg, M. A. (1995). The limits of cognition and the limits of contract. Stanford Law
de: https://dialnet.unirioja.es/servlet/articulo?codigo=2785404
153
42. Engan, M. (2017). Big Data and GDPR. Tesis de maestría, University of Stavanger.
43. Floridi, L. (2002). "Data", article for the International Encyclopedia of the Social Sciences,
Cuestiones actuales y perspectivas de futuro acerca del derecho al olvido/Data protection and
Internet search engines: current issues and future perspectives about the right to be
http://nreg.es/ojs/index.php/RDC/article/view/280/228
49. Frosini, V. (1988). Informática y Derecho. Trad. Jorge Guerrero y Marino Ayerra Redín.
50. Fuster, G. G., & Scherrer, A. (2015). Big Data and smart devices and their impact on privacy.
Committee on Civil Liberties, Justice and Home Affairs (LIBE), Directorate-General for
51. Ferrajoli, L. (2011). Principia iuris: teoría del derecho y de la democracia. Teoría de la
democracia. Trotta.
52. Foucault, M. (1979). Microfisica do poder. Tr. de Julia Varela y Fernando Álvarez-Uría. 2a.
154
53. Forgó, N., Hänold, S., & Schütze, B. (2017). The Principle of Purpose Limitation and Big
Data. In New Technology, Big Data and the Law (pp. 17-42). Springer, Singapore.
54. Gantz J, Reinsel D (2011). Extracting value from chaos. IDC iView, pp 1–12 Recuperado de:
https://www.emcgrandprix.com/collateral/analyst-reports/idc-extracting-value-from-chaos-
ar.pdf
55. Gil Gonzales, Elena. (2016). Big Data, Privacidad y Protección de Datos. Accesit en el
56. Garriga Domínguez, A. (2016). Nuevos retos para la protección de datos personales. En la
57. Guío Español, C. (2007). Visión nacional e internacional de la vigencia del dato financiero:
tecnologías, 1-22.
58. Gayo, M. R. (2017). Big data: hacia la protección de datos personales basada en una
59. Gellert, R. (2018). Understanding the notion of risk in the General Data Protection
https://doi.org/10.1016/j.clsr.2017.12.003
60. Gellman, R. (2017). Fair information practices: A basic history. Recuperado de:
https://bobgellman.com/rg-docs/rg-FIPshistory.pdf
61. Gray, D., & Citron, D. (2013). The right to quantitative privacy. Minn. L. Rev., 98, 62.
content/uploads/2013/11/GrayCitron_MLR.pdf
155
62. Hashem, I. A. T., Yaqoob, I., Anuar, N. B., Mokhtar, S., Gani, A., & Khan, S. U. (2015). The
rise of “big data” on cloud computing: Review and open research issues. Information
63. Hernández Antón, I. (2014). Floridi: información y filosofía. Thémata, 49, 127-142.
Recuperado de:
https://idus.us.es/xmlui/bitstream/handle/11441/27930/file_1.pdf?sequence=1
64. Hustinx, P. (2013). EU data protection law: The review of directive 95/46/EC and the
proposed general data protection regulation. Collected courses of the European University
Institute’s Academy of European Law, 24th Session on European Union Law, 1-12.
65. Hueso, L. C. (2017). Big data e inteligencia artificial. Una aproximación a su tratamiento
jurídico desde los derechos fundamentales. Dilemata, (24), 131-150. Recuperado de:
https://dialnet.unirioja.es/servlet/articulo?codigo=6066829
66. Hox, J. J., & Boeije, H. R. (2005). Data collection, primary versus secondary. Encyclopedia
https://dspace.library.uu.nl/bitstream/handle/1874/23634/hox_05_data+collection,primary+
versus+secondary.pdf?sequence=1
67. He, Y., Lee, R., Huai, Y., Shao, Z., Jain, N., Zhang, X., & Xu, Z. (2011, April). RCFile: A
Data Engineering (ICDE), 2011 IEEE 27th International Conference on (pp. 1199-1208).
DOI: https://doi.org/10.1109/ICDE.2011.5767933
68. Harari, Y. N. (2014). Sapiens. De animales a dioses: Una breve historia de la humanidad.
156
69. Iguaran, M. & Muñoz, R. (2012). Habeas data: desarrollo normativo y jurisprudencial en
https://repository.eafit.edu.co/bitstream/handle/10784/12075/Miguel%C3%81ngel_Iguaran
Osorio_Rafael_Mu%C3%B1ozJim%C3%A9nez_2012.pdf?sequence=2
71. John, L. K., Acquisti, A., & Loewenstein, G. (2009). The best of strangers: Context dependent
72. Kitchin, R. (2014). The data revolution: Big data, open data, data infrastructures and their
consequences. Sage.
73. Kshetri, N. (2014). Big data ׳s impact on privacy, security and consumer
https://doi.org/10.1016/j.telpol.2014.10.002
74. Kosta, E., Kalloniatis, C., Mitrou, L., & Gritzalis, S. (2010). Data protection issues pertaining
to social networking under EU law. Transforming Government: People, Process and Policy,
https://pdfs.semanticscholar.org/447b/471df7ae93a7180a6e5163ba763c3ba0114f.pdf
75. Koops, B. J. (2014). The trouble with European data protection law. International Data
76. Kemp, Richard. (2014). Big Data and Data Protection. Kemp IT Law, v.1.0. Recuperado de:
http://www.kempitlaw.com/wp-content/uploads/2014/10/Big-Data-and-Data-Protection-
White-Paper-v1_0-November-2014.pdf
157
77. Leenes, R., & Kosta, E. (2015). Taming the cookie monster with dutch law–a tale of
regulatory failure. Computer Law & Security Review, 31(3), 317-335. DOI:
https://doi.org/10.1016/j.clsr.2015.01.004
78. Leenes R. (2016) Explaining the Unknown: Accountability and Transparency in Big Data
79. Lane, J., Stodden, V., Bender, S., & Nissenbaum, H. (2014). Privacy, big data, and the public
good: Frameworks for engagement. New York, NY: Cambridge University Press.
80. Luño, A. E. P. (1992). Del habeas corpus al habeas data. Informática y derecho: revista
https://dialnet.unirioja.es/descarga/articulo/4482974.pdf
81. Li, N., Li, T., & Venkatasubramanian, S. (2007). t-closeness: Privacy beyond k-anonymity
and l-diversity. In Data Engineering, 2007. ICDE 2007. IEEE 23rd International Conference
82. Mell, P., & Grance, T. (2011). The NIST definition of cloud computing. Recuperado de:
http://faculty.winthrop.edu/domanm/csci411/Handouts/NIST.pdf
83. Márquez Buitrago, f. (2016). Aplicación de la ley estatutaria 1581 de 2012 a la red social
31. DOI:10.15425/redecom.15.2016.04
84. Manrique Gómez, V. (2015). El derecho al olvido: análisis comparativo de las fuentes
85. Mayer-Schönberger, V., & Cukier, K. (2013). Big Data–A Revolution That Will Transform
158
86. McDonald, A. M., & Cranor, L. F. (2008). The cost of reading privacy policies. ISJLP, 4,
87. Milne, G. R., & Culnan, M. J. (2004). Strategies for reducing online privacy risks: Why
consumers read (or don’t read) online privacy notices. Journal of interactive
88. Mislove, A., Viswanath, B., Gummadi, K. P., & Druschel, P. (2010). You are who you know:
inferring user profiles in online social networks. In Proceedings of the third ACM
international conference on Web search and data mining (pp. 251-260). ACM. DOI:
https://doi.org/10.1145/1718487.1718519
89. Munir, A. B., Yasin, M., Hajar, S., & Muhammad-Sukki, F. (2015). Big data: big challenges
90. Mayer-Schonberger, V., & Padova, Y. (2015). Regime Change: Enabling Big Data through
Europe's New Data Protection Regulation. Colum. Sci. & Tech. L. Rev., 17, 315. Recuperado
de: https://www.kiip.re.kr/webzine/1609/files/library_paper3.pdf
92. Moiso, C., & Minerva, R. (2012). Towards a user-centric personal data ecosystem the role of
the bank of individuals' data. In Intelligence in Next Generation Networks (ICIN), 2012 16th
https://doi.org/10.1109/ICIN.2012.6376027
159
93. Narayanan, A., & Shmatikov, V. (2008, May). Robust de-anonymization of large sparse
datasets. In Security and Privacy, 2008. SP 2008. IEEE Symposium on (pp. 111-125). IEEE.
DOI: https://doi.org/10.1109/SP.2008.33
94. Narayanan, A., & Shmatikov, V. (2009, May). De-anonymizing social networks. In Security
and Privacy, 2009 30th IEEE Symposium on (pp. 173-187). IEEE. DOI:
https://doi.org/10.1109/SP.2009.22
95. Narayanan, A., & Shmatikov, V. (2010). Myths and fallacies of personally identifiable
https://doi.org/10.1145/1743546.1743558
96. Nissenbaum, H. (2009). Privacy in context: Technology, policy, and the integrity of social
97. O. R. Team (2011) Big data now: current perspectives from OReilly Radar. OReilly Media
98. Ohm, P. (2012). Don't build a database of ruin. Harvard Business Review. Recuperado de:
https://hbr.org/2012/08/dont-build-a-database-of-ruin
99. Ohm, P., & Peppet, S. What if everything reveals everything? En: Sugimoto, C. R., Ekbia,
H. R., & Mattioli, M. (Eds.). (2016). Big data is not a monolith. MIT Press.
100. Ohm, P. (2010). Broken promises of privacy: Responding to the surprising failure of
101. Ortega y Gasset, J. (2010). La rebelión de las masas. Ed. Raúl Bedrea Núñez.
102. Paulsen, K. (2012). Moving media storage technologies: applications & workflows for
160
104. Puldain Salvador, V. (2017). El futuro marco legal para la protección del acceso a los datos.
1-25. DOI:10.15425/redecom.13.2015.02
106. Parraguez Kobek, L., & Caldera, E. (2016). Cyber Security and Habeas Data: The Latin
https://ssrn.com/abstract=2868039
107. Rao, B. P., Saluia, P., Sharma, N., Mittal, A., & Sharma, S. V. (2012). Cloud computing
for Internet of Things & sensing based applications. In Sensing Technology (ICST), 2012
https://doi.org/10.1109/ICSensT.2012.6461705
108. Rahm, E., & Do, H. H. (2000). Data cleaning: Problems and current approaches. IEEE
https://www.betterevaluation.org/sites/default/files/data_cleaning.pdf
109. Ribes, X. (2007). La Web 2.0. El valor de los metadatos y de la inteligencia colectiva.
110. Raghupathi, W., & Raghupathi, V. (2014). Big data analytics in healthcare: promise and
http://gooa.las.ac.cn/external/download/805531/2383715/20140708080918313.pdf
111. R. Chunara, J. Andrews, J. Brownstein (2012). Social and news media enable estimation
of epidemiological patterns early in the 2010 Haitian cholera outbreak American Journal of
161
Tropical Medicine and Hygiene, 86 (2012), pp. 39-45. DOI:
https://doi.org/10.4269/ajtmh.2012.11-0597
112. Richards, N. M., & King, J. H. (2014). Big data ethics. Wake Forest L. Rev., 49, 393.
113. Richards, N. M., & King, J. H. (2013). Three paradoxes of big data. Stan. L. Rev. Online,
114. Roca Pérez, V. (2003). Derecho y razonamiento práctico en CS Nino. Centro de Estudios
Políticos y Constitucionales.
http://www.redalyc.org/html/824/82420041015/
117. Remolina Angarita, N. (2011). Documento Gecti nro. 11 Propuestas para mejorar y aprobar
el proyecto de ley estatutaria sobre el derecho fundamental del habeas data y la protección de
los datos personales. Revista De Derecho Comunicaciones Y Nuevas Tecnologías, (6), 3-8.
162
120. Remolina Angarita, N. (2015). Recolección internacional de datos personales: un reto del
Iberoamérica.
121. Rubinstein, I. (2012). Big data: the end of privacy or a new beginning? DOI:
https://dx.doi.org/10.2139/ssrn.2157659
122. Supriyadi, D. (2017). Personal and Non Personal Data, In the context of Big Data. Tesis,
Tilburg.
attached/catalog/introduction_to_big_data__infrastructure_and_networking_considerations.
124. Schwartz, P. M., & Solove, D. J. (2011). The PII problem: Privacy and a new concept of
https://www.law.berkeley.edu/files/bclt_Schwartz-Solove_NYU_Final_Print.pdf
125. Stalla-Bourdillon, S., & Knight, A. (2016). Anonymous Data v. Personal Data-False
126. Sanz, C. P. (2016). Aspectos legales del big data. Indice: Revista de Estadística y Sociedad,
127. Sweeney, L. (2002). k-anonymity: A model for protecting privacy. International Journal
https://doi.org/10.1142/S0218488502001648
163
128. Strandburg, K. J. (2014). Monitoring, datafication and consent: legal approaches to privacy
in the big data context. Privacy, big data and the public good (eds Lane J, Stodden V, Bender
130. Schaar, K. (2016). DS-GVO: Geänderte Vorgaben für die Wissenschaft. Was sind die
neuen Rahmenbedingungen und welche Fragen bleiben offen?. Zeitschrift für Datenschutz:
ZD, 5, 224-226.
131. Schwartz, P. M. (2010). Data protection law and the ethical use of analytics. The Center
for Information Policy Leadership, Hunton and Williams LLP. Recuperado de:
https://www.huntonak.com/files/webupload/CIPL_Ethical_Undperinnings_of_Analytics_P
aper.pdf
Piedrahita.
133. Solove, D. J. (2000). Privacy and power: Computer databases and metaphors for
134. Sanchís, L. P. (1998). Ley, principios, derechos (Vol. 7). Librería-Editorial Dykinson.
135. Stigler, G. J. (1961). The economics of information. Journal of political economy, 69(3),
213-225.
136. Törngren, O. (2018). Mergers in big data-driven markets: is the dimension of privacy and
protection of personal data something to consider in the merger review?. Tesis. Stockholm
164
University. Recuperado de: https://su.diva-
portal.org/smash/get/diva2:1186978/FULLTEXT01.pdf
137. Torra, V., & Navarro-Arribas, G. (2016). Big data privacy and anonymization. In IFIP
International Summer School on Privacy and Identity Management (pp. 15-26). Springer,
138. Turow, J. (2012). The daily you: How the new advertising industry is defining your identity
139. Turow, J., Feldman, L., & Meltzer, K. (2005). Open to exploitation: America's shoppers
https://repository.upenn.edu/cgi/viewcontent.cgi?article=1035&context=asc_papers
140. Turow, J., Hoofnagle, C. J., Mulligan, D. K., & Good, N. (2007). The federal trade
commission and consumer privacy in the coming decade. ISJLP, 3, 723. Recuperado de:
https://ptolemy.berkeley.edu/projects/truststc/pubs/142/techade_report_final.pdf
141. Tene, O., & Polonetsky, J. (2012). Big data for all: Privacy and user control in the age of
analytics. Nw. J. Tech. & Intell. Prop., 11, xxvii. Recuperado de:
https://ssrn.com/abstract=2149364
142. Tene, O., & Polonetsky, J. (2011). Privacy in the age of big data: a time for big decisions.
https://pdfs.semanticscholar.org/a9fb/2b43417bab7c60b57a258b1fc24b9331727b.pdf
143. Tikkinen-Piri, C., Rohunen, A., & Markkula, J. (2018). EU General Data Protection
Regulation: Changes and implications for personal data collecting companies. Computer Law
165
144. Ursic, H. (2018). Unfolding the New-Born Right to Data Portability: Four Gateways to
145. Villabella Armengol, C.M. (2009) Los métodos en la investigación jurídica, algunas
https://archivos.juridicas.unam.mx/www/bjv/libros/8/3983/46.pdf
146. Van Dijck, J. (2014). Datafication, dataism and dataveillance: Big Data between scientific
paradigm and ideology. Surveillance & Society, 12(2), 197. Recuperado de:
http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.671.6043&rep=rep1&type=pdf
147. Westin, A. F. (1967). Privacy and freedom. The association of the bar of the City of New
York.
148. Weber R.H., Weber R. (2010). Internet of Things. Springer, Berlin, Heidelberg.
149. Wright, D. (2011). A framework for the ethical impact assessment of information
9242-6
150. Wigan, M. R., & Clarke, R. (2013). Big data's big unintended consequences. Computer,
152. Zhang, X., Leckie, C., Dou, W., Chen, J., Kotagiri, R., & Salcic, Z. (2016). Scalable local-
recoding anonymization using locality sensitive hashing for big data privacy preservation.
166
153. Zarsky, T. Z. (2016). Incompatible: The GDPR in the Age of Big Data. Seton Hall L.
1. DNP. (2018). Documento CONPES 3920, Politica Nacional de Explotación de Datos (Big
https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3920.pdf
Privacy Guidelines. OECD Digital Economy Papers, No. 176, OECD Publishing, Paris.
interim-synthesis.pdf
de: https://www.apec.org/Publications/2017/08/APEC-Privacy-Framework-(2015)
http://www.redipd.es/actividades/encuentros/V/common/9_nov/Directrices_de_armonizaci
on.pdf
de: https://www.ftc.gov/sites/default/files/documents/reports/federal-trade-commission-
report-protecting-consumer-privacy-era-rapid-change-
recommendations/120326privacyreport.pdf
167
7. FTC. (2013).The privacy challenges of big data: a view from the lifeguard’s chair.
Recuperado de:
https://www.ftc.gov/sites/default/files/documents/public_statements/privacy-challenges-
big-data-view-lifeguard%E2%80%99s-chair/130819bigdataaspen.pdf
8. IBM Institu for Business Value. (2012). Analytics: el uso del big data en el mundo
05.ibm.com/services/es/gbs/consulting/pdf/El_uso_de_Big_Data_en_el_mundo_real.pdf
9. ICO. (2017). Big data, artificial intelligence, machine learning and data protection.
ml-and-data-protection.pdf
10. Casa Blanca. (2015). Big Data: Seizing Opportunities, Preserving Value.
Recuperado de:
https://obamawhitehouse.archives.gov/sites/default/files/docs/20150204_Big_Data_Seizing
_Opportunities_Preserving_Values_Memo.pdf
11. Big Data Senior Steering Group - BDSSG. (2016). The federal big data research
https://bigdatawg.nist.gov/pdf/bigdatardstrategicplan.pdf
12. Consejo de Europa – CE. (2013). Conclusions. EUCO 169/13. Recuperado de:
http://data.consilium.europa.eu/doc/document/ST-169-2013-INIT/en/pdf
13. Department of Finance and Deregulation – DFD. (2013). The Australian Public
https://www.finance.gov.au/sites/default/files/Big-Data-Strategy.pdf
168
14. Minister for the Cabinet Office and Paymaster General – MCOPG. (2017).
https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_da
ta/file/590199/Government_Transformation_Strategy.pdf
https://www.economie.gouv.fr/files/files/PDF/nouvelle-france-industrielle-sept-2014.pdf
16. Prime Minister of Japan – PMJ. (2013). Declaration to be the World’s Most
https://japan.kantei.go.jp/policy/it/2013/0614_declaration.pdf
17. Government of the Republic of Korea - GRK (2016). Mid- to Long-Term Master
https://msit.go.kr/cms/english/pl/policies2/__icsFiles/afieldfile/2017/07/20/Master%20Plan
%20for%20the%20intelligent%20information%20society.pdf
18. UNDP, China (2014). Big Data for Development in China, Recuperado:
http://www.cn.undp.org/content/dam/china/docs/Publications/UNDP%20Working%20Pape
r_Big%20Data%20for%20Development%20in%20China_Nov%202014.pdf
19. Comité Consultivo del Consejo de Europa (2017). Guidelines on the protection of
individuals with regard to the processing of personal data in a world of big data. Recuperado
de: https://rm.coe.int/16806ebe7a
Recuperado de:
169
http://www.sic.gov.co/sites/default/files/files/Nuestra_Entidad/Guia_Vigilancia_sept16_20
16.pdf
https://issuu.com/quioscosic/docs/cartilla_formatos_datos_personales_
Accountability.pdf
de: https://www.dane.gov.co/files/investigaciones/boletines/tic/prese_tic_hogares_2017.pdf
24. CIDH (2016). Estándares para una internet libre, abierta e incluyente. Recuperado
de: http://www.oas.org/es/cidh/expresion/docs/publicaciones/internet_2016_esp.pdf
25. CIDH (2013). Informe Anual 2013. Informe de la Relatoría Especial para la
http://www.oas.org/es/cidh/expresion/docs/informes/anuales/2014_04_22_IA_2013_ESP_F
INAL_WEB.pdf
https://www.dinero.com/pais/articulo/colombia-ya-tiene-politica-publica-de-big-
data/257479.
170
27. Big Data antes. (2017). Revista Dinero. Recuperado de:
https://www.dinero.com/empresas/articulo/big-data-y-analitica-en-las-empresas-de-
colombia/246643
28. The world’s most valuable resource. (2017). The econonomist. Recuperado de:
https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-
longer-oil-but-data
29. Data is giving rise to a new economy. (2017). The economist. Recuperado de:
https://www.economist.com/briefing/2017/05/06/data-is-giving-rise-to-a-new-economy.
30. Giles, M. (2018). It’s time to rein in the data barons. MIT Technology review.
barons/
31. BBC Mundo. (2018). 5 claves para entender el escándalo de Cambridge Analytica
que hizo que Facebook perdiera US$37.000 millones en un día. BBC. Recuperado de:
https://www.bbc.com/mundo/noticias-43472797
32. Angwin, J., & McGinty, T. (2010). Sites Feed Personal Details To New Tracking
https://www.wsj.com/articles/SB10001424052748703977004575393173432219064
33. Angwin, J. (2010). The Web's New Gold Mine: Your Secrets. Wall Street Journal.
Recuperado de:
https://www.wsj.com/articles/SB10001424052748703940904575395073512989404
34. Singer, N. (2012). Mission Control, Built for Cities. New York Times. Recuperado
de: https://www.nytimes.com/2012/03/04/business/ibm-takes-smarter-cities-concept-to-rio-
de-janeiro.html
171
35. Barbaro, M & Zeller T. (2006). A Face Is Exposed for AOL Searcher No. 4417749.
https://www.nytimes.com/2006/08/09/technology/09aol.html
36. Hill, K. (2012). How Target Figured Out A Teen Girl Was Pregnant Before Her
https://www.forbes.com/sites/kashmirhill/2012/02/16/how-target-figured-out-a-teen-girl-
was-pregnant-before-her-father-did/#2a3a75de6668
37. Maheshwari, S. Two Senators Call for Investigation of Smart TV Industry. New
https://www.nytimes.com/2018/07/12/business/media/senators-smart-tv-investigation.html
172