Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
2
2
3
Tabla de contenido
ENSAYOS GANADORES DEL PRIMER CONCURSO UNIVERSITARIO EN
PROTECCIÓN DE DATOS PERSONALES......................................................................................... 1
1. Presentación ............................................................................................................................................... 4
2. Hansel y Gretel: las migajas como datos comercializables en la red y la publicidad
basada en intereses. Nicolás Rojas Vásquez ........................................................................................... 7
3. Protección de Datos Personales - Garantía del titular frente al avance tecnológico.
Jonathan Leonardo Buitrago Vargas ........................................................................................................19
4. Dos comentarios respecto de la Ley 1266 de 2008. Álvaro Andrés Crovo Godoy.......32
5. Consideraciones sobre la protección de información privada y datos personales en
los servicios Cloud Computing. Ivonne Natalia Flórez Corredor ..................................................45
6. Efecto mariposa, habeas data y enfoque sistémico: inquietudes sobre los retos
actuales del tratamiento de los datos personales en la legislación colombiana, ante
instituciones como el contrato de mandato y la interpretación constitucional por
principios, y teniendo de presente el nuevo Reglamento Europeo (RGPD). Camilo García
Sarmiento y Claudia María Josefina García de Jeanjean ................................................................58
7. Conclusiones y temas emergentes sobre la protección de datos personales. Omar
Cabrales Salazar y Gina Paola Agudelo Bastilla.................................................................................79
3
4
1. Presentación
En este contexto, surge la necesidad de adecuar las diferentes normas que a nivel mundial
protegen la información de las personas en estos ambientes digitales; tal es el caso del nuevo
Reglamento Europeo de Protección de Datos Personales, que próximamente entrará en
vigencia y que ha generado la adecuación de los procedimientos internos y las políticas de
grandes compañías que procesan y recolectan información.
Dicha realidad no es ajena a lo que está ocurriendo en Colombia, pues con el avance en la
política de apertura de mercados existen programas gubernamentales para mejorar la
conectividad del país, el desarrollo en materia de nuevas tecnologías de la información y las
comunicaciones y el incentivo a la innovación. Así, es claro que el tema de la privacidad y
la protección de los datos personales es un asunto que impacta las políticas públicas del país
y a los empresarios, quienes deben respetar las reglas impuestas para el adecuado tratamiento
de los datos personales, así como a los ciudadanos, quienes son los llamados a exigir a esas
empresas el respeto de sus derechos.
De esta forma, la Superintendencia de Industria y Comercio (SIC), que tiene como objetivos
fundamentales salvaguardar los derechos de los consumidores, proteger la libre y sana
competencia, actuar como autoridad nacional de la propiedad industrial y defender los
derechos relacionados con la correcta administración de datos personales promoviendo y
divulgando a los ciudadanos su derecho a la privacidad y a la protección de sus datos
personales, por medio de acciones concretas que aporten a estos objetivos y generen procesos
de concientización y educación.
4
5
El concurso, que se llevó a cabo en el primer semestre de 2018, procuró que los estudiantes
de educación superior escribieran un ensayo que diera respuesta a preguntas como: ¿qué
impacto genera en la vida cotidiana de las personas y las empresas el desarrollo acelerado de
tecnologías que capturan y procesan información personal?, ¿qué influencias positivas o
negativas genera el manejo de información personal en redes sociales?, ¿qué opina sobre el
uso que dan algunas empresas a los datos personales para incrementar sus ingresos
económicos?, ¿cómo lograr un balance entre el avance tecnológico y el respeto a la
privacidad y protección de datos de las personas?, ¿cómo lograr la articulación del desarrollo
de nuevas tecnologías con la protección de la información personal para no afectar los
derechos de las personas? y ¿qué acciones deberían adelantar las empresas y todos aquellos
emprendedores para lograr un balance entre el desarrollo de sus proyectos y el respeto de los
derechos de las personas?
5
6
Igualmente, los temas abordados por los otros cuatro finalistas también representan una
excelente perspectiva académica sobre la protección de los datos personales, Ellos son:
Leonardo Buitrago Vargas, estudiante del Programa de Derecho de la Universidad Nacional
de Colombia, quien ocupó el segundo lugar con su ensayo: Protección de Datos Personales
- Garantía del titular frente al avance tecnológico. Así mismo, se otorgaron menciones
especiales a Ivonne Natalia Flórez, de la Maestría en Derecho de la Universidad Sergio
Arboleda, por su ensayo titulado: Consideraciones sobre la protección de información
privada y sobre datos personales en los servicios Cloud Computing. Claudia María Josefina
García, del programa de Derecho y Camilo García Sarmiento, de la Especialización en
Derecho Constitucional y Administrativo de la Universidad Católica, por su ensayo: Efecto
mariposa: habeas data y enfoque sistémico, inquietudes sobre los retos actuales del
tratamiento de los datos personales ante el nuevo Reglamento Europeo (RGPD). Y al
estudiante, Álvaro Andrés Crovo Godoy, del programa de Derecho de la Universidad del
Rosario, por su ensayo: Dos comentarios respecto del modelo regulatorio previsto en la ley
1266 de 2008.
6
7
nrojasv@unal.edu.co
Resumen
Los responsables de los tratamientos de datos personales, los anunciantes y los titulares
de la información, unidos por la publicidad basada en intereses, protagonizan en este ensayo
el cuento de “Hansel y Gretel”, en el que desde un abordaje crítico y propositivo se evidencia
la forma en que los datos personales han venido siendo utilizados en la web como “migas de
pan” comercializables que incrementan progresivamente los ingresos de grandes empresas
del entorno digital.
Palabras clave: datos personales, migajas, publicidad basada en intereses.
Abstract
The responsible for the processing of personal data, the advertisers and the holders of the
information, joined by the campaigns of advertising based on interests, star in this essay the
story of "Hansel and Gretel", in which from a critical and proactive approach, it’s evident the
way in which personal data have been used on the web as commercialized "bread crumbs"
that progressively increase the income of big companies in the digital environment.
Key Words: personal data, crumbs, interest-based advertising
1. Introducción
Este ensayo presentará metafóricamente una opinión crítica y propositiva frente a la
recolección, el uso y el aprovechamiento comercial, con base en la publicidad basada en
intereses, que dan muchas empresas de la red de redes a los datos personales, con el
objetivo de incrementar sus ingresos.
7
8
Para ello, en primer lugar, se hará un pequeño resumen del cuento de Hansel y Gretel a
modo de antesala al segundo punto en el cual se evidenciará que los usuarios del internet, en
calidad de titulares de datos personales, se comportan como “niños perdidos en el bosque”,
desmigajando su información personal en las redes sociales, aplicaciones y páginas web que
utilizan. Enlazado a lo anterior, en tercer lugar, se mostrará que los grandes responsables de
los tratamientos de datos personales en la red se comportan, por un lado, como cuervos o
aves que ingieren y hacen una gestión lucrativa de las “migas de pan” que van dejando por
el camino los titulares de la información, y, por otro lado, se comportan, inspirados en la
previa o concomitante actividad en la red de los titulares, como “pájaros guías” que a través
de “caramelos y dulces” personalizados, a modo de estrategias visuales y publicitarias,
pronostican, atraen y dirigen el comportamiento futuro de los cibernautas, obteniendo
grandes rendimientos financieros de ello. Siguiendo la misma línea, en cuarto lugar, se
demostrará que los anunciantes que contratan la publicidad basada en intereses, ofertada en
el mercado por los grandes responsables de los tratamientos, hacen las veces de arquitectos
y artífices de la “casa de azúcar y pastel”, entendiendo por ésta el producto, servicio o
candidato que buscan promover entre los consumidores y electores, respectivamente. En
quinto lugar, se determinará quiénes podrían ser las “brujas” que con fines legítimos de lucro
y mercadeo “cazan” a los titulares de datos personales que transitan algo extraviados por el
internet. En sexto lugar, se plantearán tres propuestas para compensar socialmente el
fenómeno del enriquecimiento a partir del uso de los datos personales y de la publicidad
basada en intereses. Se hará una pequeña conclusión en el sentido de afirmar que en esta
historia todos participan de las utilidades resultantes de explotar económicamente los datos
personales, excepto el titular a quién le corresponde gozar apenas de “servicios gratuitos”
ofertados por quienes tratan la información.
Hansel al enterarse que sus padres lo abandonarán en el bosque junto a su hermana arroja
piedrillas brillantes en el camino para saber regresar a casa. Una vez sus padres los dejan
internados en la espesura del bosque, los dos niños logran su objetivo y vuelven a casa para
sorpresa de sus progenitores. Luego, en un nuevo intento, sus padres los internan aún más en
el bosque, pero en esta ocasión Hansel en vez de piedras, arroja migas de pan. Para su
8
9
infortunio, al intentar volver a su casa se percatan que los cuervos y otras aves silvestres se
habían comido su único camino de regreso. Perdidos allí, misteriosamente fueron conducidos
por un ave blanca como la nieve a una casa de azúcar y pastel ubicada en esos recónditos
parajes. Con el apetito elevado, proceden a devorar paredes, ventanas y techos. Mientras
tanto, adentro de dicha casa comestible, una bruja se saborea pues piensa cazarlos,
engordarlos y cenarlos. Finalmente, Gretel, que era la nueva sirvienta de la malvada vieja, en
ágil maniobra introduce y encierra forzadamente a la bruja en el horno y colorín colorado:
ambos niños logran huir de allí con joyas y tesoros (Grimm Stories, s.f.).
“Mañana, de madrugada, nos llevaremos a los niños a lo más espeso del bosque. Les encenderemos un fuego, les
daremos un pedacito de pan y luego los dejaremos solos” (Grimm Stories, s.f., párr. 1).
Una manera de ofrecer anuncios en los sitios web que usted visita de modo que le resulten
más relevantes. Los intereses compartidos se agrupan en función de su actividad de
navegación en la Red, después de lo cual los usuarios reciben anuncios que responden a
sus intereses (párr. 4).
De los tipos de marketing en línea (…) la publicidad comportamental es sin dudas, una
de las más invasivas de la privacidad, ya que implica el estudio de los intereses del
usuario de la web a lo largo de un periodo de tiempo, dejando así al descubierto sus
preferencias, gustos y datos personales de la más diversa índole (párr. 5).
Pues bien, los titulares de datos personales, vía internet, se suscriben crecientemente, por
razones disímiles, a redes sociales, plataformas audiovisuales o de mensajería instantánea
como Gmail, Facebook, Instagram, Outlook, Netflix, Whatsapp o Youtube, a navegadores
web como Google, Bing o Yahoo, a tiendas online tipo Amazon, Ebay, Dafiti o Mercado
Libre, a medios de comunicación con plataformas virtuales como El Espectador, The New
York Times, El Tiempo, The Guardian, Las 2 Orillas, Semana, Times, entre otros.
9
10
En Colombia es una verdad a gritos que pocas personas revisan y aprueban de forma
informada las políticas de tratamiento de datos, de cookies y de anuncios de estas
plataformas. La causa de esto es que los usuarios usualmente no realizan un ejercicio
juicioso de desarrollo de sus derechos constitucionales y legales, verbigracia los previstos
en la Ley 1581 de 2012, porque muchas veces ni siquiera saben que los tienen, así que,
presos de su ignorancia, se internan y se extravían en un bosque laberíntico al navegar en
sus dispositivos y riegan en su recorrido virtual toda clase de datos, incluyendo datos
privados sensibles y de niños, niñas y adolescentes.
Se puede decir que incluso Hansel, en el primer intento paternal de extraviarlos, sabía que
los abandonarían y actuó en consecuencia ubicando por el camino “piedrillas brillantes” -
no digeribles por las aves- para regresar a su hogar: hizo, por tanto, metafóricamente, un
ejercicio responsable, con altos niveles de seguridad e informado de sus “datos”.
Contrariamente, un gran porcentaje de titulares no se autorreconocen como extraviados aun
estándolo y sin dar autorizaciones de tratamiento u otorgándolas bajo el influjo de tácticas
poco leales y transparentes de los responsables dejan una estela de datos -éstos sí
digeribles- en los caminos que transitan para disfrutar de “servicios gratuitos” u onerosos
ofertados por los colosos y por los tramposos del internet contemporáneo.
“Se dispusieron a regresar; pero no encontraron ni una sola miga; se las habían comido los pajarillos que volaban por
el bosque” (Grimm Stories, s.f., párr. 9).
En la red de redes nuestras acciones y omisiones por más insignificantes que parezcan,
actúan como las migajas que Hansel y Gretel dejaban para regresar a casa, solo que en
nuestro caso no las dejamos premeditadamente con el fin de retornar a algún lado, sino más
bien para alimentar a los miles de pajarillos que van detrás de ellas, en especial cuervos del
talante de Cambridge Analytica, por ejemplo.
En ese sentido, somos “niños perdidos” en el bosque, dejando desperdigados, sin son ni
ton: intereses, rutas de tránsito, ubicación georreferenciada, miedos, preferencias, claves de
acceso, conversaciones, imágenes, transacciones, sonidos, material audiovisual, datos
10
11
biométricos, etcétera. “Migas de pan” a las que los responsables del tratamiento le asignan
una doble función.
11
12
Es decir, esta empresa no vende nuestras “migas de pan” a los anunciantes. Venden el
uso que se le da a esas migajas a la hora de guiar, con dulces deliciosos arrojados por el
mismo Google en calidad de “pajarillos blancos como la nieve”, nuestro comportamiento
comercial, social o electoral. Ubican, según ellos, “anuncios útiles” en las páginas web que
visitamos, tal como a continuación se muestra:
Tratamos de mostrarte anuncios útiles. Para ello, usamos los datos que recopilamos de
tus dispositivos, incluidas tus búsquedas y tu ubicación, los sitios web y las apps que
usaste, los videos y anuncios que miraste, y la información personal que nos
proporcionaste, como tu edad, tu sexo y los temas que te interesan (…) Cuando los
anunciantes realizan campañas publicitarias con nosotros, nos pagan solo en función del
rendimiento de los anuncios y no por tu información personal (Google, 2018).
Dado lo anterior, los datos personales adquieren para el responsable del tratamiento, así
no lo reconozcan explícitamente, las características, como ya se dijo, de materia prima de
un modelo de negocio. Google se vende ante los anunciantes como ese pajarillo blanco que
guía a los consumidores hacia una “casa de bizcocho y azúcar”, diseñada y regentada por
los anunciantes que pueden ser empresas, entidades o dirigentes políticos.
En otras palabras: las migajas que dejas en el pasado, son las que determinan el tipo
particular de dulce que arrojará el pajarillo blanco como la nieve con el fin de guiarnos
hacia el futuro y el tipo de “casa de azúcar y pastel” que veremos. Todo un negocio cíclico
cuya caracterización y regulación está incipiente en muchos países.
La empresa Facebook, por su parte, en su política de datos (Facebook, 2018) al igual que
muchas redes sociales, nos plantean una especie de círculo vicioso: a cambio de los
servicios y productos que ofertan, hay que aceptar los términos y condiciones y a
continuación hay que ofrendar toda suerte de datos personales que serán tratados y
protegidos por la empresa. Una vez autorizamos el tratamiento y comenzamos a utilizar la
red social, nos sugieren cosas que según los datos recolectados por ellos nos podrían
12
13
interesar. Para acceder a lo que nos interesa nuevamente hay que ofrendar datos y así en
ciclos interminables.
La novedad de la era digital y del tratamiento masivo y a veces abusivo de los datos
personales, es la posibilidad de conducir, por no decir inducir, a los consumidores –
generalmente titulares de datos personales- a probar la “casa de azúcar y pastel”, a través de
todo un sistema, supuestamente impersonal y seudonimizante –en perspectiva del nuevo
reglamento europeo (Boletín Oficial del Estado [BOE], 2016)-, de pájaros guía y de
“caramelos y dulces” extrañamente personalizados.
Le corresponde entonces, por un lado, a las empresas, al Estado y a las campañas electorales
diseñar arquitectónicamente sus “casas de azúcar y pastel”, en ocasiones con base en la
información suministrada por los responsables del tratamiento. Por otro lado, le corresponde
a éstos últimos diseñar el pájaro blanco como la nieve y el tipo de dulce que éste arrojará a
cada segmento poblacional para que los consumidores o electores, de forma inconsciente y a
veces subliminal, visualicen la casa y hagan o no uso de su legítimo pero a veces manipulado
derecho a saborear las delicias del producto, del servicio o del candidato respectivo.
13
14
“Los niños se asustaron de tal modo, que soltaron lo que tenían en las manos; pero la vieja, meneando la cabeza, les
dijo: - Hola, pequeñines, ¿quién os ha traído? Entrad y quedaos conmigo, no os haré ningún daño” (Grimm Stories,
s.f.).
En primera instancia, los responsables del tratamiento internan y extravían a los titulares
de datos personales en el “bosque embrujado” a través de una autorización que usualmente
no es otorgada de forma previa, expresa e informada: se oprime aceptar en un checkbox y
listo. Seguidamente, los responsables empiezan como cuervos o aves a picar y engullir las
migajas que van dejando los “niños perdidos”: analizan, procesan, segmentan, organizan y
clasifican la información personal que es recolectada con sus “pico-okies”. Luego, en un
proceso metamorfósico, pueden convertirse en el pajarillo blanco que va arrojando dulces,
colocándolos con paciencia casi quirúrgica delante de los ojos de los titulares de los datos
para conducirlos al producto, servicio o candidato. Sea como sea, su finalidad es solo una:
dejar al consumidor en la puerta de la “casa de azúcar y pastel” y que él decida, en esa
margen de autonomía que le queda, sí muerde o continúa el camino en el bosque. En esta
historia los niños sobreviven, salen de la casa, con un producto, con un servicio o con un
presidente o por lo menos con una imagen mental, y es en ese instante en donde
nuevamente los responsables del tratamiento asumen su doble papel de recolectores de
migajas y “sembradores” de publicidad: convierten el mordisco o la indiferencia hacia la
casa, por más paradójico que parezca, en una migaja más del pasado y le proyectan al
consumidor o titular de los datos personales nuevos caminos a seguir. Paralelamente, los
anunciantes construyen sus “casas de dulce y pastel”. Aguardan a que el pajarillo blanco
como la nieve, contratado previamente por medio de cláusulas onerosas, guíe hacia ellos a
los consumidores potenciales para que, si quieren, se deleiten o se antojen con sus paredes,
techos y ventanas de galleta, crema y frutas. Por cada mordisco y por cada visualización de
la casa, que técnicamente son denominados “rendimientos”, el anunciante paga lo
correspondiente a los responsables del tratamiento.
14
15
¿Cuál es entonces la salida más óptima? Gretel metió y encerró a la bruja en el horno y
huyó con joyas y riquezas. ¿Hay que hacer lo mismo con los responsables del tratamiento?
¿Sacarlos del juego y otorgar las ganancias generadas en el tratamiento de información
personal a los titulares de la misma? La desaparición de dichos sujetos no parece ser una
solución viable si tenemos en cuenta el principio de neutralidad en la web y la libertad
económica y de información consagrada en la Constitución Política. Tampoco parece
prudente sustraerles a los responsables todas las ganancias que generan por su gestión.
Este ensayo propone entonces tres medidas en aras de compensar socialmente el uso
lucrativo de datos personales en Colombia: la primera es tributaria, la segunda es
prohibitiva y la tercera es pedagógica.
1. Propuesta tributaria
15
16
año 2013 (ABC, 2013) o lo sucedido en España a Google en 2017 (El País, 2017) o a
Whatsapp en 2018 (Agencia Española de Protección de Datos [AEPD], 2018).
Pues bien, aquí se propone una medida previa a la sanción, proporcional y que trasciende
de los usos no autorizados, a los que sí lo están: crear un impuesto al uso autorizado con
ánimo de lucro de la información personal, esté o no seudonimizada. El monto exacto del
impuesto dependerá de las ganancias reportadas por este concepto en los estados contables
de los responsables y de los anunciantes que contratan los servicios de publicidad basada en
intereses, quienes estarían obligados a registrar en sus libros dichos rubros.
De esta forma, ingresarían al erario recursos que podrían ser utilizados por el Estado
colombiano para hacer pedagogía social respecto a la protección de la información personal
y fortalecer y ampliar las funciones, la cobertura, la descentralización, el nivel de
reconocimiento público y la planta de personal de la Delegatura para la Protección de Datos
Personales de la Superintendencia de Industria y Comercio.
2. Propuesta prohibitiva
3. Propuesta pedagógica
16
17
problemática existente alrededor del uso abusivo, excesivo y no autorizado de los datos
personales.
Conclusiones
Referencias
ABC. (27 de agosto de 2013). Facebook debe pagar US$ 20 millones por uso de datos
para publicidad. Recuperado en: http://www.abc.com.py/ciencia/facebook-debe-
pagar-usd-20-millones-por-uso-de-datos-para-publicidad-611261.html
Balaguer, Roberto, (2012). La nueva matriz cultural. Claves para entender como la
tecnología moldea nuestras mentes. Montevideo, Uruguay: Pearson.
Boletín Oficial del Estado. (2016). Reglamento (UE) 2016/679 del Parlamento Europeo y
del Consejo. España. Recuperado en: https://www.boe.es/doue/2016/119/L00001-
00088.pdf
17
18
Congreso de la República. (2012). Ley 1581 de 2012. Por la cual se dictan disposiciones
generales para la protección de datos personales. Recuperado en:
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=49981
El País. (7 de noviembre de 2017). Sanción a Google por captar sin consentimiento datos
personales. España. Recuperado en:
https://cincodias.elpais.com/cincodias/2017/11/07/companias/1510049641_464135.ht
ml
European Interactive Digital Advertising Alliance [EDAA]. (2012). Your online choice. A
guide to online behavioural advertising. Recuperado en:
http://www.youronlinechoices.com/es/sobre-la-publicidad-basada-en-el-
comportamiento/
18
19
Resumen
En el artículo, se lleva a cabo una mención de los orígenes de la Protección de Datos
Personales, a saber, el Sistema Europeo y el norteamericano, pasando luego a exponer la
dinámica digital en la que los usuarios de internet son expuestos, mediante su huella digital,
a realidades emergentes como el Big Data y el comercio electrónico de datos. Se procede a
explicar el panorama colombiano en la materia, y finalmente se propone la materialización
del deber estatal de la formación digital de los ciudadanos.
Abstract
In the paper, a mention is made of the origins of the Protection of Personal Data,
namely, the European System and the North American one, going on to expose the digital
dynamic in which Internet users are exposed, through their fingerprint digital, to emerging
realities such as Big Data and electronic data commerce. It proceeds to explain the Colombian
landscape in the matter, and finally proposes the materialization of the state duty of digital
education of citizens.
Introducción
Lo primero que debe decirse respecto a la protección de datos personales (en adelante
PDP) es que el mundo entero descubrió, luego de la Segunda Guerra Mundial, que el
tratamiento de los datos personales puede ser usado en contra de las personas con
consecuencias nunca imaginadas. Ello es un hecho que no debe perderse de vista, pues el
daño causado por la captación malintencionada de datos personales en la Alemania nazi,
evidenció crudamente la necesidad de proteger a las personas frente al tratamiento
inescrupuloso de su información (Remolina, 2013). Hoy, el mundo está presenciando un auge
tecnológico desmesurado que genera planteamientos respecto a la seguridad de los datos
personales y a la capacidad de las personas para proteger su privacidad sin renunciar a la
19
20
integración digital. Para proponer una respuesta, es necesario hacer la revisión contextual de
las distintas aristas de la PDP, en lo histórico, lo tecnológico y lo jurídico, y así contar con
un sustento sólido que justifique cualquier ejercicio propositivo derivado de los debates
actuales y de las herramientas adoptadas.
Como se sabe, con la cooperación del gigante tecnológico IBM, el régimen nazi se
puso en la tarea de recolectar la mayor cantidad de datos personales de sus ciudadanos para
identificar de manera individual y pormenorizada a los judíos, los gitanos y los homosexuales
(Black, 2001). El precedente de lo que las computadoras mal dirigidas podían hacer con los
datos personales tuvo la fuerza suficiente para inspirar la Hesse Act, primera ley especial de
PDP en la historia, surgida en Alemania en 1970, buscando proteger a los titulares de datos
frente a la creciente computarización de la época (Freude y Freude, 2016).
La iniciativa alemana de regular la PDP generó una línea conceptual que ha sido
adoptada, enriquecida y consolidada en el marco europeo, desarrollándose mediante formas
jurídicas sucesivas que buscan proteger a las personas contra un tratamiento inseguro de sus
datos personales, bajo el entendido de que una protección jurídica insuficiente conduce a
graves vulneraciones de los derechos fundamentales (Burket, 1999). Este desarrollo se
perfecciona en la Unión Europea con la Regulación General de Datos Personales (en adelante
GPDR) cuya vigencia comienza a partir del 25 de mayo de 2018, convirtiéndose en la
regulación supranacional europea más avanzada en la materia hasta ahora, remplazando la
Directiva 95/46/EC del Parlamento Europeo. Este referente es sumamente importante pues
incorpora una actualización normativa más garantista, que puede influenciar el comercio
global desde, y hacia, el mercado europeo.
En Estados Unidos, la construcción del marco que sustenta la PDP tuvo un origen
diferente que se remonta a finales del siglo XIX, cuando los juristas Samuel Warren y Louis
Brandeis publicaron en 1890 su ensayo titulado El Derecho a la Privacidad (Newman, 2015).
Este texto marcó el punto de partida para el desarrollo legal de la concepción de la privacidad,
pilar que soporta la PDP en el contexto norteamericano. Sin embargo, a diferencia de los
instrumentos jurídicos europeos supranacionales que se caracterizan por su unicidad y su
aplicación general, el sistema estadounidense se compone de normas sectoriales, aisladas, en
20
21
21
22
está en aumento, mostrando que las TICs están altamente integradas en las sociedades de
hoy. El lado oculto de esta realidad emerge cuando se evidencia también que las empresas
tienen más facilidad de acceder a los datos de las personas que compran sus bienes y
servicios, a veces sin consentimiento, a través de su huella digital.
La huella digital de una persona es el agregado de datos que quedan registrados
cuando la persona entra a internet, pues la red genera registro por cada movimiento que se
ejecuta en su interior. Además, los dispositivos digitales requieren siempre alguna clase de
suscripción rastreable del usuario en las bases de datos de los proveedores de servicios a los
que accede. Servicios de telecomunicaciones, transporte, de compras en línea, portales
bancarios, crédito al consumo en grandes superficies, redes sociales, portales noticiosos, etc.
Todo movimiento digital genera un registro, y de cada registro quedan datos. Si se suman los
datos dejados en la red a lo largo de la vida digital de una persona se obtiene su huella digital.
Al respecto, Zezulka (2017) menciona que 71% de los usuarios consultados por la Comisión
Europea consideran inevitable proveer información personal para acceder a bienes o
servicios, a pesar de comprender la necesidad de preservar la PDP mediante el
consentimiento y conocimiento del titular de los datos.
La preocupación surge cuando las huellas digitales de billones de personas en el
mundo se convierten en activos económicos de empresas ocultas tras la pantalla, dedicadas
a la extracción de datos personales para su posterior análisis y comercialización en un
mercado de corredores de datos del que apenas se habla (Rieke, Yu, Robinson y Hoboken,
2016). Ello ha sido posible, además, gracias al desarrollo de un área investigativa
completamente nueva en las ciencias de la computación aplicada a la industria digital,
conocida como Big Data.
Big Data es, en realidad, la agregación de todos estos puntos de datos
individuales de los que se puede echar mano, los cuales son sintetizados en una
base de datos o en un registro, limpiados, y usados para informar y crear una
vista interna de tu audiencia objetivo; esto puede incluir el factor demográfico,
el factor geográfico, edad, género, etnia, religión, y así. (Nix, 2017, min 5:36)
Dado ello, surgen serias dudas respecto a la transparencia de esta realidad mercantil
cibernética en la que los consumidores son vulnerables a través de sus huellas digitales, pues
los titulares de los datos personales no tienen certeza ni garantía de hasta dónde han llegado
22
23
sus datos ni qué uso se les está dando. De acuerdo con el activista informático Christl Wolfie
(2017) esto ocurre en el marco de áreas grises en las que no hay una definición concreta que
prohíba ciertos usos de los datos personales colectados, dándose un abuso de la tecnología
con fines económicos, para direccionar el comportamiento de las personas en un sentido que
socaba su libertad de elección, al tiempo que se reduce su capacidad para la toma de
decisiones en el plano individual.
La muestra más evidente de ello es el reciente escándalo de Cambridge Analytica, la
cual ofrecía servicios de asesoría electoral basándose en el perfil sicológico de los usuarios
de redes sociales, de quienes obtenía datos personales ilegalmente a través de aplicaciones
gratuitas que estos descargaban sin ninguna precaución (Wylie, 2018, min 6:35). Ante esto,
voces alrededor de todo el mundo están pidiendo una mayor regulación para materializar la
PDP frente a responsables de datos como el gigante Corporativo Facebook, cuyo CEO Mark
Zuckerberg se vio obligado a comparecer ante el Congreso de Estados Unidos por la
gravedad de lo acontecido (Remolina, 2018); En Colombia este escándalo llevó al bloqueo
preventivo de la aplicación Pig.gi, relacionada con Cambridge Analytica (SIC, 2018). El
debate entre compañías del sector digital, entidades gubernamentales, y usuarios de las TICs
apenas está comenzando.
3. El panorama en Colombia
23
24
Con la expedición de la Ley Estatutaria 1581 de 2012 se instituyó una cobertura general más
amplia de la PDP que trascendió a otros tipos de información, incorporando además
definiciones fundamentales que pusieron el régimen colombiano de PDP a tono con las
mejores prácticas internacionales documentadas de su momento (CONPES, 2018). A ello se
suman el Decreto 1377 de 2013, que reglamenta la Ley 1581, y el Título V de la Circular
Única de la Superintendencia de Industria y Comercio, como instrumentos jurídicos
principales de regulación y aplicación directa.
Haciendo una revisión detallada de los pronunciamientos de la DPD-SIC en su
ejercicio como APD, se observa que esta ha tomado a la fecha 58 decisiones con las que se
determinó la responsabilidad por algún tipo de vulneración de la PDP en cada una de ellas.
De estas, tan solo 6 decisiones (10,3%) no condujeron a sanción económica, mientras que las
otras 52 suman un total de 1,6 millones de dólares en multas a los responsables, impuestas
en un lapso de 4 años. El 32,8% de los casos implicó vulneración al deber de conservar la
información bajo condiciones óptimas de seguridad, de modo que los datos personales
terminaron al alcance de terceros no autorizados. En el 55,2% se encontraron fallas en el
cumplimiento de la autorización del titular para hacer el tratamiento de datos, ya fuera porque
no había autorización, o porque la había, pero no se informó la finalidad de los datos, o
porque se informó pero se dio un uso distinto. Y en el 58,6% se halló una vulneración directa
al habeas data, ya fuera porque no había un canal para acudir al responsable de los datos, o
porque existía el canal pero no se atendió la solicitud del titular, o porque se atendió la
solicitud pero no se resolvió de fondo el motivo de la solicitud. Además, se encontró que en
el 13,8% de los casos el responsable no contaba con políticas para el tratamiento de la
información, o contaba con ellas pero no estaban al acceso de los titulares1.
Se encuentra además que los responsables por el incumplimiento al régimen de PDP
son sumamente variados, encontrando compañías de comercio electrónico, empresas de
servicios públicos, instituciones educativas, prestadores de servicios de salud, hoteles,
centros comerciales, editoriales, candidatos políticos, etc. Los casos más representativos son
el de Casa Editorial El Tiempo S.A. y Linio S.A.S, las más sancionadas con 4 anotaciones
para cada una, todas ellas por vulneración del habeas data. Un caso particular que llama
1 Análisis estadístico propio. Resumen anexo a este trabajo. Resoluciones recuperadas de:
http://www.sic.gov.co/
24
25
25
26
para sí mismo y para otros, pues puede dar lugar a un uso no deseado por parte de terceros
de los datos que comparte, y verse gravemente afectado en su buen nombre, en su imagen y
en su integridad.
La respuesta necesaria para afrontar el desafío en materia de PDP que ello implica,
consiste en el planteamiento de una nueva formación que le provea al ciudadano digital del
siglo XXI las herramientas necesarias para ser un titular empoderado de sus derechos, y así,
mediante un ejercicio formativo que le haga conocedor de los riesgos, de las garantías y de
las facultades que le asisten, este generará las dinámicas necesarias para velar por el correcto
uso y tratamiento de sus datos personales. Ello está sustentado jurídicamente por el artículo
21 de la Ley 1581, que estipula:
La Superintendencia de Industria y Comercio ejercerá las siguientes
funciones:
d) Promover y divulgar los derechos de las personas en relación con el
tratamiento de datos personales e implementará campañas pedagógicas para
capacitar e informar a los ciudadanos acerca del ejercicio y garantía del
derecho fundamental a la protección de datos.
Este artículo debe integrarse además con lo acordado en los Estándares de Protección
de Datos Personales para los Estados Iberoamericanos:
8.2 Los Estados Iberoamericanos promoverán en la formación
académica de las niñas, niños y adolescentes, el uso responsable, adecuado y
seguro de las tecnologías de la información y comunicación y los eventuales
riesgos a los que se enfrentan en ambientes digitales respecto del tratamiento
indebido de sus datos personales, así como el respeto de sus derechos y
libertades. (RIPD, 2017)
Así, la propuesta consiste en la provisión de recursos por parte del Estado para dotar
a la APD de las herramientas suficientes para que pueda cumplir cabalmente con los deberes
jurídicos que le asisten en la formación digital de los derechos de niñas, niños, adolescentes,
y ciudadanía en general, consolidando con estrategias más amplias y efectivas el deber de
divulgación que ha venido desarrollando. Cuando finalmente la educación para el ciudadano
digital sea adoptada y difundida como un uso común, habrá una autoconciencia social,
colectiva e informada, que permitirá a cada persona ser veedora de sus derechos y estar mejor
26
27
equipada para responder frente a cualquier intencionalidad económica, política o social que
amenace la PDP, garantizando su defensa ante cualquier avance tecnológico actual o
venidero.
Conclusiones
27
28
Referencias
Allan, A. (2017, Octubre 8). The coming privacy crisis on the Internet of Things: Will
privacy survive the coming of the Internet of Things? Medium. Recuperado de:
https://medium.com/@aallan/has-the-death-of-privacy-been-greatly-exaggerated-
f2c4f2423b5
Amín, J. (2017, Agosto 15). Informe de ponencia para primer debate al proyecto de
ley 89 de 2017 Senado: por medio de la cual se modifica la Ley Estatutaria 1581 de 2012.
Gaceta del Congreso 713/17. Recuperado de:
http://www.imprenta.gov.co/gacetap/gaceta.mostrar_documento?p_tipo=18&p_numero=89
&p_consec=48950
Baer, D. (2016, Febrero 22). This map shows the percentage of people around the
world who own smartphones. Business Insider. Recuperado de:
http://www.businessinsider.com/how-many-people-own-smartphones-around-the-world-
2016-2
Black, E. (2001). IBM y el Holocausto. Traducción de Rolando Costa Picazo. Buenos
Aires, Argentina: Atlántida Editorial. 508 p.
Boren, Z. (2014, Octubre 7). There are officially more mobile devices than people in
the world. The Independent. Recuperado de: https://www.independent.co.uk/life-
style/gadgets-and-tech/news/there-are-officially-more-mobile-devices-than-people-in-the-
world-9780518.html
Burkert, H. (1999). Privacy – Data Protection: A German/European Perspective.
Recuperado de: http://www.coll.mpg.de/sites/www/files/text/burkert.pdf
Christl, W. (2017). How Companies Use Personal Data Against People. Viena,
Austria: Craked Labs. 56 p. Recuperado de:
https://crackedlabs.org/dl/CrackedLabs_Christl_DataAgainstPeople.pdf
Cohen, J. (2016). The Regulatory State in the Information Age. The Cegla Center for
Interdisciplinary Research of the Law. Theoretical Inquiries in Law. Vol 17, No 2.
Recuperado de: http://www7.tau.ac.il/ojs/index.php/til/article/view/1425
Congreso de Colombia. (2012, octubre 17). Ley Estatutaria 1581 De 2012: Por la
cual se dictan disposiciones generales para la protección de datos personales. Diario Oficial
28
29
29
30
30
31
Anexo
HD - no atendió
HD - no resolvió
no autorización
HD - no canal
no seguridad
nota especial
no políticas
sancionado
resolución
deber SIC
sanción
fecha
28/03/2014 19812 $ 6.000.000 Groupon S.A.S. 1 1
30/04/2014 28628 $ 21.560.000 Protecci ón S.A. 1 1 2
30/05/2014 36901 $ 30.000.000 Cos mocentro Ca l i 1 1 menor 2
30/05/2014 36863 $ 36.960.000 Éxi to S.A. 1 1 2
27/07/2014 41510 $ 66.528.000 Metroki a S.A. 1 1
15/09/2014 54559 $ 18.480.000 Jos é Ga rcía Ca l ume 1 pros el i ti s mo 1
29/09/2014 58969 $ 123.200.000 RedCord S.A. 1 emba ra zo 1
30/10/2014 64984 $ 15.400.000 Merca dol i bre 1 1
28/11/2014 71307 $ 30.800.000 Ca s a El Ti empo S.A. 1 1
28/11/2014 72337 $ 30.800.000 Tel expres s S.A.S. 1 1 2
27/02/2015 8483 $ 96.652.500 Na l Chocol a tes S.A.S. 1 7mi l ti tul a res 1
26/03/2015 13086 $ - Tel eBuca ra ma nga ESP 1 1 revoca da 2
26/05/2015 26282 $ 32.217.500 Di recTV Ltda . 1 1 2
28/05/2015 27650 $ 6.443.500 Col ombi a Tel ecom ESP 1 1 2
30/09/2015 79573 $ 12.887.000 Hotel Sa nJua n S.A.S. 1 1 modi fi ca da 2
30/09/2015 79622 $ 6.443.500 C.C. Puerta del Norte 1 modi fi ca da 1
28/12/2015 101695 $ 6.443.500 Ges ti on Competi ti va S.A.S. 1 1 modi fi ca da 2
24/02/2016 7883 $ 241.309.000 Supergi ros 1 1
29/03/2016 13681 $ 6.894.550 Lui s Día z Ca ma rgo 1 a fi ni da d pol i ti ca 1
29/03/2016 13790 $ 10.341.825 Sergi o Guzmá n Muñoz 1 1 pros el i ti s mo 2
31/03/2016 15339 $ 6.894.550 Lui s Pa l a ci o Fra nco 1 1 1 3
06/04/2016 16308 $ 68.945.500 Intera udi t S.A.S. 1 ICETEX 1
21/06/2016 24109 $ 10.341.825 IBI Compa ny S.A.S. 1 1
21/06/2016 39298 $ 827.346.000 Col médi ca S.A. 1 menores 1
18/07/2016 46693 $ 20.683.620 U Iberoa meri ca na 1 1
26/12/2016 85323 $ 248.203.800 Col egi o Cl ermont 1 1 1 1 menores 4
27/12/2016 85568 $ 275.782.000 Ba nco de Occi dente 1 1 2
27/12/2016 85653 $ 241.309.250 Codens a E.S.P. 1 1 2
13/12/2016 85652 $ 137.891.000 Fa l a bel l a S.A. 1 1 1 3
13/12/2016 85654 $ 241.309.250 Li ni o S.A.S. 1 1 2
22/12/2016 88624 $ 6.894.550 Woobs i ng S.A.S. 1 1 2
28/04/2017 21360 $ 48.689.322 Conexi ón Corpora ti va Ca l i 1 1 2
22/05/2017 27708 $ 22.131.510 C.C. Ovi edo 1 1
31/05/2017 30554 $ 48.869.322 Bus i nes s Ti me Ltda . 1 1 2
31/05/2017 30559 $ 132.789.060 Li ni o S.A.S. 1 1
08/06/2017 33072 $ 66.394.530 Ca s a El Ti empo S.A. 1 1 2
30/06/2017 38139 $ 258.200.950 Li ni o S.A.S. 1 1
30/07/2017 45827 $ 7.377.170 Des t. Si n Lími tes S.A.S. 1 1
17/08/2017 49717 $ 66.394.530 Ca s a El Ti empo S.A. 1 1
31/08/2017 53250 $ 103.280.380 Li ni o S.A.S. 1 1 2
26/09/2017 60814 $ 29.508.680 L&F S.A.S. 1 1 2
25/09/2017 60460 $ - Edi fi ci o Mons erra t 1 1 2
28/11/2017 78322 $ - Ferna ndo Na rva ez S.A.S. 1 1 2
30/11/2017 78914 $ 66.394.530 Na l s a ni S.A.S. Totto 1 1
30/11/2017 78899 $ 213.937.930 Invers i ones CMR S.A.S. 1 1 1 3
30/11/2017 78906 $ 18.442.925 Fl exi tra vel S.A.S. 1 1
30/11/2017 78911 $ 168.937.193 Tel mex 1 1 1 3
27/02/2018 13882 $ 35.155.890 Li ber Col ombi a S.A.S. 1 1 2
28/02/2018 14485 $ 49.999.488 Col ombi a Movi l S.A. E.S.P. 1 1
27/02/2018 13814 $ 195.310.500 Fa l a bel l a S.A. 1 1 2
23/02/2018 12809 $ - Mul ti l a bor Servi ci os Ltda . 1 1
26/02/2018 13234 $ 9.374.904 Es tra tego Ma rketi ng S.A.S. 1 1
28/02/2018 14487 $ 19.531.050 Puchetty S.A.S. 1 1 2
20/02/2018 11396 $ 7.812.420 U Ma nuel a Bel tra n 1 1
20/02/2018 11395 $ - Col egi o Nota ri a do 1 1 2
19/02/2018 10967 $ - Sodi ma c Col ombi a S.A. 0
19/02/2018 10975 $ 179.685.660 Ca s a El Ti empo S.A. 1 1 2
31/02/2018 5250 $ 54.686.940 Col ti ckets S.A. 1 1
$ 4.687.867.104 10% 22% 26% 55% 33% 14% 2%
31
32
alvaro.crovo@urosario.edu.co
Resumen
El presente ensayo tiene por tema de estudio la relación entre el mercado de datos y la
actividad financiera; lo que hace imperativa la revisión de la Ley 1266 de 2008, que es la que
se encarga de darle contenido al derecho de Habeas Data Financiero. Para lo anterior, se
abordará el tema propuesto desde dos perspectivas: una estática y una dinámica.
Introducción.
Abtract
The present essay has for subject of study the relation between the market of data and the
financial activity; what makes it imperative the revision of Law 1266 of 2008, which is in
charge of giving content to the right of Habeas Data Financiero. For the above, the proposed
topic will be approached from two perspectives: a static and a dynamic.
Introducción
Al margen de otros tipos de industria, que también están íntimamente relacionados con el
mercado de datos, el presente ensayo tiene por derrotero concentrarse en la actividad
financiera. No porque los otros temas sean menos importantes, sino porque del mundo
financiero se desprenden consecuencias directas en la calidad de vida de los consumidores.
Lo anterior no quiere significar que toda actividad que comprometa el patrimonio de una
persona es dañina en sí misma; al contrario, bienvenidas sean las prácticas de perfilamiento
y recolección de datos, siempre que con estas no se mitiguen las garantías que el
ordenamiento jurídico da a los consumidores para ejercer sus derechos.
32
33
Así las cosas, no sobra poner de presente que, desde hace más de treinta años, los
comerciantes han realizado su empresa a través de herramientas como los loyalty programs2.
Lo que implica que es útil para el empresario conocer a qué tipo de público va a dirigir sus
productos.
Lo que ocurre, sin embargo, es que con el auge de la irrupción del mundo digital en la vida
cotidiana, los comerciantes están aprovechando para realizar actos de perfilamiento cuya
lealtad con las normas es cuestionable. Razón por la cual, es necesario evaluar el modelo
regulatorio vigente con miras a la protección del consumidor.
En cuanto al quehacer financiero, piénsese en la importancia de las prácticas de calificación
crediticia. Una mala calificación, puede resultar en un irresistible deterioro de la calidad de
vida de un consumidor. Por lo que debe haber cierta rigurosidad a la hora de utilizar la
información del usuario; no es poca cosa la que está sobre la mesa.
Siendo esa y no otra la cuestión que aquí será estudiada, lo último a tener en cuenta es que la
norma encargada de regular los datos que pueden o no ser tenidos en cuenta al momento de
realizar calificación crediticia es la Ley 1266 de 2008, cuya idoneidad será evaluada al final
de este escrito.
Los pasos a seguir son los siguientes: primero, se hará una exposición estática del mercado
de datos; esto es, la descripción de los sujetos y objetos que permiten las dinámicas de este.
Segundo, se llevará a cabo la correspondiente exposición dinámica del mercado de datos; es
decir, que mediante un ejemplo se ilustrará al lector de cómo funciona la relación entre el
mercado de datos y la actividad financiera. Finalmente, sirviéndose de las dos exposiciones
previas, el texto concluirá sobre la idoneidad o no de la Ley 1266 de 2008 como paradigma
regulatorio del derecho de Habeas Data Financiero.
Como se anticipaba en la introducción de este texto, lo primero será describir a los sujetos y
objetos que permiten las dinámicas del mercado de datos. Los sujetos, por un lado, son todos
2 Para más información respecto de las prácticas de recolección anteriores a la era digital, es útil el texto Data and Goliath de Bruce
Schneider (2015): “Eventually this evolved into the databases that enable companies to track their sales leads all the way from initial
inquiry to final purchase, and retail loyalty cards, which offer consumers discounts but whose real purpose is to track their purchases”
(p.42).
33
34
aquellos agentes que actúan dentro de las relaciones de intercambio del data-driven martket3.
Por otro lado, llámense objetos todos los productos respecto de los cuales se predican las
mencionadas relaciones de intercambio; en este contexto, los objetos más relevantes son los
datos.
a) Tipos de sujetos
Los agentes que hacen posible el intercambio masivo de información a través del ecosistema
digital son cuatro: consumidores, recolectores, corredores y compradores4, cada uno de los
cuales tiene una relación en particular con el dato. No obstante, debe advertirse que estos
roles no son excluyentes, por lo que la regulación de este tipo de mercado se vuelve bastante
compleja.
Consumidores, en este contexto, son todos aquellos individuos susceptibles de ser perfilados
por las plataformas virtuales y los empresarios. La operación de perfilamiento, o scoring,
consiste en reunir el máximo conjunto posible de datos de una persona para asignarle un
avatar; el cual se usará para todo tipo de propósitos, desde la asignación de precios
personalizados5 hasta la determinación de la calificación crediticia6.
Por otro lado, los recolectores7 se encargan de conseguir y almacenar información sin darle
ningún propósito específico. Este es el caso de Facebook y Google, plataformas que a través
de sus actividades reúnen cantidades de datos alarmantes, pero sin asignarles una finalidad
más allá de la que contempla su quehacer en el internet; la de red social y la de buscador,
respectivamente.
Dos comentarios caben antes de seguir con la descripción de los agentes; el primero, es que
Facebook y Google no venden la información que tienen bajo su dominio, lo que hacen es
dar usufructo sobre sus bases de datos a las empresas que están dispuestas a pagar un precio8.
so by utilizing data and analytics to sort and rank both customers and prospects for prioritization purposes and personalized
treatment, such as customized telemarketing scripts, promotional materials, online content, ads, offers, discounts and pricing” (Christl,
2017, p.40).
6 La siguiente es una descripción aportada por un artículo de Chupadatos sobre calificación financiera: “Cada consumidor tiene una
nota que indica si tiene buenas chances o no de honrar un préstamo. Esa nota es generada mediante fórmulas matemáticas de
propiedad de las empresas que consideran nuestro historial bancario, deudas anteriores, edad, género, profesión, círculo social,
actividades en Facebook, compras recientes y todo tipo, realmente todo tipo, de información sobre nosotros que circula por ahí”
[https://chupadados.codingrights.org/es/te-estan-stalkeando/] Consultado el 12 de mayo de 2018.
7 En inglés, Data management platforms: “Data management platforms (DMPs) have assumed the role of “central hubs” that
aggregate, integrate, manage and deploy different sources of data about consumers” (Christl, 2017, p.48).
8 Esta forma de usufructo ha sido denominada Walled Garden en algunos artículos: “Similar to the walled gardens of content from
the ‘90s, Facebook and Google have put up walled gardens of data. The walled gardens are no surprise, given Facebook and Google’s
34
35
Lo segundo, es que no solo las plataformas virtuales pueden fungir como recolectoras en el
mercado de datos, los agentes presentes en el off-line world9 también. De hecho, vincular el
mundo digital con el tradicional es el objetivo de nuevas startups10 como Neustar11.
En tercer lugar, y de más exhaustivo estudio, se encuentran los corredores o data brokers.
Son los que mantienen en movimiento el mercado de datos y cumplen varias funciones, Bria,
Francesca (2015) identifica cuatro principales: identity and fraud services, customer
relations and customer care, marketing and advertising and predictive analytics12(p.38-40).
A pesar de ser múltiples las actividades que pueden desarrollar los corredores respecto de la
información a la que tienen acceso, llámese manejo de los clientes13 o publicidad dirigida14,
lo que tienen en común es que son el punto de enlace entre los recolectores y los compradores.
De este modo, un empresario que necesite información para abrirse paso en el mercado, tiene
como posibilidad solicitar la asesoría de un corredor, que lo contactará con un recolector y le
enseñará a manejar la información que está recibiendo.
El último sujeto por definir, es el comprador. Como se vio en el ejemplo planteado, un
comprador es cualquier empresa o individuo con interés en adquirir información que por
alguna circunstancia le es ajena.
Luego de haber estudiado los tipos de sujetos presentes en el mercado de datos, resta dejar
una inquietud que se resolverá al evaluar el modelo regulatorio propuesto por la Ley 1266 de
2008; es decir, al final de este ensayo:
Como se anticipaba al principio de este acápite, lo común es que un sujeto juegue más de un
papel dentro de la relación de intercambio del dato. De este modo, puede que, dada la
situación, un sujeto sea recolector y corredor al mismo tiempo, o comprador y recolector. Lo
cual es relevante al momento de plantear el andamiaje regulatorio de este tipo de mercado,
tremendous first party data assets” [Revista virtual Bussines insider: [http://www.businessinsider.com/luma-partners-state-of-
digital-media-2016-presentation-2016-5] Consultado el 12 de mayo de 2018.
9 Agentes que no ejercen el grueso de su actividad económica a través de plataformas virtuales (traducción propia).
10 Innovaciones tecnológicas generalmente instrumentalizadas a través de programas o aplicaciones (traducción propia).
11 Página oficial de Neustar: “Neustar can help businesses answer the question – who’s at the end of the connection. We can do that by
linking traditional off-line identity verification data (name, address, phone, email, etc.) with online, digital identity data (IP address,
geo-location, cookie, device ID, mobile network operator data, and more) to generate a complete view of new or returning customers
and their devices” [https://www.risk.neustar/fraud-prevention] Consultado el 12 de mayo de 2018.
12 Para una explicación más detallada, véase el texto Research on Identity Ecosystem [https://dcentproject.eu/wp-
“They provide list marketing data, strategy, marketing technology, creative services, media reach, and personalization of online, offline
and mobile marketing campaigns” (p.82).
14 Mismo texto anterior, pero en relación a los corredores que se dedican a la publicidad dirigida: “Linked to costumer care, these
companies offer marketing, lead generation, digital advertising, and targeting” (p.82).
35
36
puesto que del rol que ocupe el sujeto depende la forma en la que debe asignársele una
responsabilidad respecto del dato del consumidor. ¿Cómo entonces debe responder por la
información objeto de intercambio un sujeto con una doble identidad en el mercado de datos?
Para no desviar el hilo de la argumentación, antes de resolver esta cuestión, se va continuar
con el camino planteado en la introducción de este texto. A continuación, la descripción y
taxonomía del objeto predilecto del mercado de la información: el dato.
b) Las clases de datos
Todo el cúmulo de datos del que hacen uso las empresas puede clasificarse de varias formas:
según cómo fue recolectada la información, conforme la industria a la que se va a destinar el
dato15, teniendo en cuenta la relación entre el recolector/corredor y el consumidor16, etc. En
lo que sigue solo se va a estudiar el primer criterio, puesto que este fue el seleccionado por
la Ley 1266 de 2008; no obstante, huelga hacer un comentario a este respecto en líneas
posteriores, junto con la cuestión que se dejó pendiente bajo el subtítulo precedente.
A la pregunta, cómo se clasifican los datos según la forma de obtenerlos, Spiekermann, Sarah
(2016, p.84) responde de la siguiente manera. Hay tres tipos de datos, los voluntarios, los
que surgen de la observación y los inferidos.
Los datos voluntarios son aquellos que son creados y explícitamente compartidos por los
consumidores; en este grupo, entran todas las fotos y publicaciones que los usuarios fijan en
sus redes sociales.
En contraste, los datos que surgen de la observación no son emitidos explícitamente por los
consumidores, se configuran a través de un análisis que realizan los corredores respecto de
las actuaciones de los consumidores. Son parte de esta categoría todas las actividades que
involucran el uso del behavioral data17.
El último tipo de datos, los inferidos, se erigen a través de ejercicios de analítica predictiva.
Una vez recolectados suficientes datos voluntarios y observados, es posible para las empresas
15 En este sentido, un dato puede ser financiero, de contacto, socio-demográfico, contractual, de ubicación geográfica (GPS), de
comportamiento, técnico, de comunicación, relacionado con las relaciones personales, etc. Puede encontrarse esta información en
el siguiente link, que dirige hacia un documento oficial de la CMA, la autoridad en mercado y competencia en Reino Unido:
[https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/435817/The_commercial
_use_of_consumer_data.pdf] Consultado el 13 de mayo de 2018.
16 Sobre este criterio de clasificación, es prudente revisar el texto The evolution of online-user data, publicado por el Boston
Consulting Group.
17 Dentro del arsenal tecnológico del que disponen las plataformas, hay aplicaciones que identifican y archivan cada vez que el
consumidor mueve el cursor en la pantalla. Los clicks del usuario y las búsquedas que realiza a través de los browsers de las páginas
web queda en el registro de datos de los recolectores y corredores.
36
37
rotular a los consumidores y hacer un estimado de predicciones sobre sus futuras acciones.
Es aquí donde entran los ejercicios relacionados con la calificación crediticia.
Habiendo visto los dos elementos, los tipos de agentes y las clases de datos, que hacen posible
la circulación masiva de la información, se hace presente el inmenso panorama que se postra
ante quien quiera estudiar estas materias: las relaciones entre agentes pueden desarrollarse
de múltiples formas y con infinitos objetivos.
Lo siguiente, será ilustrar al lector de cómo funciona el mercado de datos en movimiento,
mediante un modelo de explotación del dato que está operando en la actualidad.
A lo largo del primer acápite de este ensayo, se estudió una concepción estática del mercado
de datos, describiendo sus sujetos y objetos; en esta segunda parte, la tarea será poner esas
figuras en el tablero, para así comprehender un ejercicio poco ortodoxo de calificación
crediticia que ha estado cobrando importancia en la actualidad.
Sin llegar a profundizar mucho, la calificación crediticia es una operación que va de la mano
con la actividad financiera. Los bancos, para asegurar el pago del saldo insoluto que tienen a
favor de sus clientes, se sirven de entidades cuya labor es investigar el historial crediticio de
quien solicita un préstamo. En el registro otorgado por la institución calificadora se enlistan
las deudas, préstamos y otros tipos de datos que conciernen al banco para tomar la decisión
de desembolsar o no el crédito.
Así descrita la operación, no hay problema alguno. De hecho, robustecer la confianza del
sistema financiero puede tener consecuencias positivas en el crecimiento de la economía. No
obstante, la infiltración sistemática del germen virtual en la vida cotidiana, ha permitido que
las calificadoras de riesgo se hagan con datos cada vez más privados y los involucren en sus
algoritmos de perfilamiento del consumidor18.
En Colombia, por ejemplo, la empresa Biocredit está a la vanguardia de la recolección no
tradicional de información. Dentro de su modelo de calificación, un paso previo a la
18Christl postula como ejemplo de este fenómeno a la empresa Cignifi, cuya página web no escatima en
señalar lo siguiente: “Manage credit default risk or augment your mobile wallet applications with credit
scores based on mobile device usage” [https://cignifi.com/telcomarketing/] Consultado el 13 de mayo
de 2018.
37
38
información. El reconocimiento facial está definido por la United States Government Accountability Office (2015) de esta forma:
“Facial recognition technology is one of several biometric technologies, which identify individuals by measuring and analyzing their
physiological or behavioral characteristics” (p.3).
21 Los API son nodos de información por medio de los cuales varias páginas web integran sus bases de datos.
22 El nombre es arbitrario, sirve para el ejemplo, al igual que la descripción que sigue.
38
39
que intenta, Beatriz solo consigue una respuesta de Biocredit: “no garantizamos la
adjudicación del crédito”. Una injusticia a todas luces, Beatriz no sabe a ciencia cierta qué
fue lo que hizo que le negaran el crédito.
El ejemplo no es baladí, cambiando un par de variables, puede uno reconocer al vecino a
quién se le niega un crédito hipotecario o al tío que no puede levantar su local comercial;
ambos, sin tener ni idea de por qué no son aptos para recibir la financiación del banco24.
Respecto de los tipos de información involucrados en la situación descrita, lo primero que
hay que decir es que los corredores suelen ser reacios a describir sus estrategias de
perfilamiento; tema que merece consideraciones de orden normativo. Lo segundo, es que en
el caso se ven inmiscuidos los tres tipos de datos planteados líneas arriba: voluntarios,
observados e inferidos, cada uno con un problema distinto.
Los datos voluntarios presentes en la situación descrita son aquellos suministrados por
Beatriz en cada una de sus redes sociales. A pesar de que estos deberían ser los menos
problemáticos, caben las siguientes preguntas: ¿para qué subió Beatriz esa información a la
red?, ¿importa que se esté usando para la asignación de un crédito?, ¿Beatriz debió autorizar
el uso de esos datos? No sobra recordar que, en el ejemplo, Beatriz accedió a entregar una
fotografía, no ha que se realizara una investigación exhaustiva sobre su yo virtual.
Por otro lado, los datos observados no son menos problemáticos, los API consultados por
Biocredit (las cosas que Beatriz buscó en Google y las fotos a las que le dio like), ¿qué tanto
valen en el algoritmo de perfilamiento empleado por el corredor? Está información no fue
voluntariamente suministrada por Beatriz.
Ahora, los datos inferidos: “Beatriz pagará o no pagará”, ¿qué tan perjudiciales pueden llegar
a ser estos juicios a priori en la vida de un consumidor?, ¿hay lugar a impugnar la calificación
que se le asigna al perfil?
Sin lugar a dudas, casos como este plantean varias incógnitas respecto de la scored society
hacia a la que progresivamente se dirige la sociedad. Es necesaria una regulación preparada
para evitar que se permitan este tipo de situaciones.
A continuación, se hablará de la ley 1266 de 2008, la llamada a establecer las directrices que
deben seguir los corredores, compradores, recolectores y consumidores a la hora de participar
24 Sobre esta situación, Christl (2017) señala lo siguiente: “Inaccurate assessments may spread from one system to another. It is
often difficult, if not impossible, to object to such negative assessments that exclude or deny, especially because of how hard it is to
object to mechanisms or decisions that someone does not know about at all” (p.32).
39
40
en el mercado de datos, para concluir si el modelo regulatorio propuesto por esta es idóneo o
no, de cara a la inminente propagación de prácticas de calificación crediticia como la
expuesta.
3. Sobre la idoneidad de la ley 1266 de 2008
Al son del título que se le dio al presente escrito, hay dos comentarios que se desprenden de
todo lo aquí dicho. Lo primero es hacer la venia al modelo regulatorio, por cuanto resuelve
la cuestión postergada referente a la doble identidad de los sujetos al momento del
intercambio del dato. Lo segundo, es reprobar el trato que le da la Ley 1266 de 2008 al criterio
de clasificación del dato escogido por ella, en tanto este trato impide resolver el caso
propuesto como exposición dinámica del mercado de datos.
a) La venia
Siguiendo el orden planteado por el texto, la primera cuestión dejada en el camino fue la de
la responsabilidad que los sujetos 25 tienen respecto de la información. En este punto, el
artículo tercero de la Ley 1266 de 2008 acierta en establecer una solución para el problema
atinente a la doble identidad de los agentes en el mercado de datos; corredor-recolector o
comprador-recolector.
Tratándose del escenario corredor-recolector:
“Si la fuente [recolector] entrega la información directamente a los usuarios y no, a través de
un operador [corredor], aquella tendrá la doble condición de fuente y operador [corredor-
recolector] y asumirá los deberes y responsabilidades de ambos”26.
Acerca del escenario comprador-recolector:
“En el caso en que el usuario [comprador] a su vez entregue la información directamente a
un operador [corredor], aquella tendrá la doble condición de usuario y fuente [comprador-
recolector], y asumirá los deberes y responsabilidades de ambos”27.
25 El vocabulario presente en la ley es bastante acertado; sin embargo, en aras de preservar la continuidad
del ensayo, se van a utilizar las categorías planteadas. La ley define a los sujetos como: titular de la
información (consumidor), fuente de información (recolector), operador de información (corredor) y
usuario (comprador).
26 Ordinal b del artículo tercero.
27 Ordinal d del artículo tercero.
40
41
28 Artículo octavo.
29 Artículo noveno.
30 Incisos e, f, g, h.
41
42
En suma, fue voluntad de la propia Ley excluir de su ámbito de aplicación los datos
reservados, ¡que son los que más van a ser utilizados de ahora en más para las actividades de
perfilamiento crediticio! Así lo confirma la sentencia que realizó el control automático de
constitucionalidad de la norma bajo estudio:
“y por último, la información reservada, que es, aquella que sólo interesa al titular en razón
a que está estrechamente relacionada con la protección de sus derechos a la dignidad humana,
la intimidad y la libertad; como es el caso de los datos sobre la preferencia sexual de las
personas, su credo ideológico o político, su información genética, sus hábitos, etc. Estos
datos, que han sido agrupados por la jurisprudencia bajo la categoría de información sensible,
no son susceptibles de acceso por parte de terceros, salvo que se trate en una situación
excepcional, en la que el dato reservado constituya un elemento probatorio pertinente y
conducente dentro de una investigación penal y que, a su vez, esté directamente relacionado
con el objeto de la investigación” (Sentencia C- 1011 del 16 de octubre de 2008).
La propia Ley 1266 de 2008 condena al exilio al dato reservado en su artículo segundo:
“Igualmente, quedan excluidos de la aplicación de la presente ley aquellos datos mantenidos
en un ámbito exclusivamente personal o doméstico y aquellos que circulan internamente,
esto es, que no se suministran a otras personas jurídicas o naturales”.
Véase entonces como, la falta de técnica legislativa presente en el modelo regulatorio
planteado para darle contenido al derecho de Habeas Data Financiero es tal, que el ejemplo
propuesto en el presente texto queda al margen de las prerrogativas de la Ley 1266 de 2008.
Primero, porque no hay remedios en la norma para las operaciones que incluyen datos
biométricos; segundo, porque el caso propuesto involucra datos reservados. Es por esto que
la norma a pesar de la venia, merece una bofetada.
Conclusiones
Tras haber estudiado la relación entre el mercado de datos y la actividad financiera a través
de dos definiciones, una estática y una dinámica, es prudente concluir lo siguiente:
Primero, que el vínculo entre una calificación crediticia y los derechos del consumidor es
supremamente estrecho. Pese a que el caso aquí propuesto es netamente académico, en un
escenario de crédito hipotecario, o de alimentos, sería imposible no dimensionar la gravedad
del asunto.
42
43
Segundo, que el mercado de datos se edifica a través de una estructura complejísima, que
permite múltiples tipos de interacción entre sujetos. Lo que prima facie dificulta garantizar
los derechos de los consumidores. Afortunadamente, el legislador fue efectivo y resolvió este
inconveniente con la cláusula de doble identidad presente en la Ley 1266 de 2008.
Finalmente, es necesario reiterar que la Ley 1266 de 2008 no cumple el cometido a la hora
de regular los tipos de datos. Bien sea un anacronismo, puesto que estas prácticas de
calificación poco ortodoxas parecen estar germinando hasta ahora; o bien sea falta de
diligencia, puesto que el legislador no echo mano de los demás criterios de clasificación del
dato, lo cierto es que el derecho de Habeas Data Financiero necesita verse robustecido frente
a ola de innovación que viene con el auge de la era digital. Ya lo anunciaba la sentencia C-
1011 de 2008: “El inusitado auge de la administración automatizada de datos personales
ofrece retos de primer orden para la vigencia de los derechos fundamentales en el Estado
Social y Democrático de Derecho”.
Referencias
43
44
44
45
Nataliaflorez9@hotmail.com
Resumen
El tratamiento de datos, demanda de las empresas responsables la consecución de
mecanismos tecnológicos que faciliten estas operaciones para el logro de sus objetivos. En
este escenario opciones como el almacenamiento en cloud en servidores localizados
alrededor del mundo permiten atender las necesidades de estas empresas. Aquí, es imperativo
que el Derecho vigile estas operaciones y atienda las necesidades referentes a la garantía de
derechos de los particulares especialmente en cuanto tiene que ver con protección del derecho
hábeas data.
Palabras Clave
Cloud Computing, servidores, datacenters, datos personales, jurisdicción.
Abstract
Nowadays, the data treatment requires for those companies who are responsible, the need
to pursue different technical mechanisms in order to accomplish their goals. In this scenario,
all the benefits incorporated on the cloud computing services by using servers aroud the
world, give the chance to attend all those needs. Here, is mandatory to establish a regulation
to monitor this operations and a regulation that attends all the challenges that the protection
of the personal information faces due the storage and treatment operations by using cloud
computing services.
Key Words
Cloud Computing, server, datacenters, personal data, jurisdiction
45
46
Introducción
Con las novedades introducidas gracias a las nuevas formas de almacenamiento y
administración de información en lo que se ha denominado el cloud computing, entendido
como una nueva forma de prestación de servicios de almacenamiento de información a través
de internet, mediante datacenters, localizados en países distintos al del usuario de a pie,
diversos retos regulatorios y de interpretación a nivel jurídico han surgido también como
consecuencia de la necesidad de dilucidar los múltiples problemas que representa en sí mismo
el hecho de establecer relaciones contractuales en las más de las veces sin interacción física
de las partes, con la existencia de diversas jurisdicciones aplicables – considerando solo la
de la ubicación de los servidores – posibles actuaciones criminales, resolución de conflictos
en materia de responsabilidad civil y especialmente el tema de protección de datos
personales e información privada.
Esta nueva forma de almacenamiento de información, sin duda ha representado para las
empresas un ahorro importante de recursos por cuanto mediante la utilización de este
servicio, es posible reducir las inversiones en equipos, infraestructura e incluso en los mismos
desarrollos de software, revolucionando así la forma de su consumo e inevitablemente
planteando un reto importante para el Derecho y la regulación.
46
47
Vale la pena dar inicio al presente ensayo, definiendo lo que se entiende por computación en
la nube, y es así como, el Reglamento de la Ley Federal de Protección de Datos Personales
en Posesión de los Particulares, expedido por el Gobierno Mexicano en el año 2011, en su
artículo 52 indica que por computación en la nube deberá entenderse el “modelo de provisión
externa de servicios de cómputo bajo demanda, que implica el suministro de infraestructura,
plataforma o software que se distribuyen de modo flexible, mediante procesos de
virtualización en recursos compartidos dinámicamente”; bajo este entendido, se trata
entonces de un servicio mediante el cual un usuario contrata la provisión de recursos
tecnológicos basados en la plataforma internet y que a través de datacenters permiten el
almacenamiento de información o de programas de cómputo destinados a la atención de estas
necesidades.
47
48
El doctor Gonzalo Moreno Gómez32 explica que esta particular forma de almacenamiento de
información ofrece diversas posibilidades al usuario dentro de las que se encuentran la nube
pública, que permite el acceso de recursos de cómputo compartidos a través de internet
mediante cualquier navegador común, la nube privada que ata el servicio a una organización
o empresa siendo entonces éste de su uso exclusivo, y la nube híbrida que provee sus servicios
mediante la interacción de nubes públicas y privadas lo que garantiza el intercambio de datos
controlado entre ellas y satisface así grandes necesidades de información a las diversas
empresas que lo requieran.
Estos servicios pueden prestarse dentro de algunas de las siguientes categorías: Software
como Servicio, que permite al usuario acceder a sitios web y hacer uso de los programas y
software que requiera sin necesidad de realizar la descarga en su equipo; Plataforma como
Servicio, es otra de la modalidades que permite desarrollar directamente en la web
aplicaciones y software con múltiples accesos y finalmente, Infraestructura como Servicio,
en la que se permite una migración total de la operación completa de servidores, redes,
equipos y demás hacia la virtualización.
Dado entonces que se trata de un servicio de gran valía para las personas y empresas, los
proveedores han buscado también ofrecer un ambiente de seguridad que atienda las
necesidades de confidencialidad, integridad y disponibilidad de la información que
almacenan llegando a conceptos como el de privacidad por diseño, que involucra el análisis
de aspectos como privacidad y protección de datos en todas las fases de diseño y salida a
32Moreno Gómez, Gonzalo (2013) Jurisdicción aplicable en materia de datos personales en los contratos de cloud
computing: Análisis Bajo la Legislación Colombiana. Revista de Derecho, Comunicaciones y Nuevas Tecnologías.
Universidad de los Andes. Bogotá.
48
49
Este acelerado desarrollo de las nuevas tecnologías trae consigo importantes preocupaciones
regulatorias , como se ha manifestado en el seno de la Asamblea de las Naciones Unidas y
así se expone en las consideraciones de la resolución 68/167 del 18 de Diciembre de 2013
sobre el Derecho a la Privacidad en la Era Digital35 al indicar que: “Observando que el
rápido ritmo del desarrollo tecnológico permite a las personas de todo el mundo utilizar las
nuevas tecnologías de la información y las comunicaciones y, al mismo tiempo, incrementa
la capacidad de los gobiernos, las empresas y las personas de llevar a cabo actividades de
vigilancia, interceptación y recopilación de datos, lo que podría constituir una violación o
una transgresión de los derechos humanos, en particular del derecho a la privacidad,
33 Respecto de la protección de datos y seguridad en sus servicios en cloud, Microsoft explica este tema en su informe
(2014) Protecting Data and Privacy in the Cloud. Recuperado de:
tps://webcache.googleusercontent.com/search?q=cache:HwU7jh52TNMJ:https://download.microsoft.com/downl
oad/2/0/a/20a1529e-65cb-4266-8651-1b57b0e42daa/protecting-data-and-privacy-in-the-
cloud.pdf+&cd=1&hl=es-419&ct=clnk&gl=co
34 Reglamento UE 2016/679 Parlamento Europeo y Del Consejo, de 27 de Abril de 2016 relativo a la protección de
las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por
el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Recuperado de : https://eur-
lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32016R0679
35 ONU. Asamblea General. 2013. El derecho a la Privacidad en la Era Digital. Sexagésimo Octavo Periodo de sesiones.
Recuperado de http://www.un.org/es/comun/docs/?symbol=A/RES/68/167.
49
50
50
51
38 Ley 1581 de 2012 Diario Oficial N. 48.587 del 18 de Octubre de 2012 Art.26
51
52
39 Numeral 2 Articulo 1 Proyecto de Ley Estatutaria No. 89 de 2017 Senado, Por medio del cual se modifica la Ley
estatutaria 1581 de 2012” rescatado de
http://www.imprenta.gov.co/gacetap/gaceta.mostrar_documento?p_tipo=83&p_numero=89&p_consec=49365
40Nougreres Brian, Ana (2012). LA PROTECCION INTELIGENTE DE LOS DATOS PERSONALES: PRIVACY BY DESIGN.
(PbD). Revista Internacional de Protección de datos personales. Universidad de los Andes. Facultad de Derecho-
Bogotá Colombia. No. 1 Julio – Diciembre de 2012. Recuperado de https://habeasdatacolombia.uniandes.edu.co/wp-
content/uploads/ok6_-Ana-Brian-Nougreres_FINAL.pdf
52
53
haciendo hincapié en que, tal como ha sido manifestado por la ONU, “las empresas
comerciales tienen la responsabilidad de respetar los derechos humanos”.41
Y es que no debe dejarse de lado que, con la irrupción de nuevas tecnologías y nuevas formas
de generar ingresos por parte de empresas que, aprovechándose de las ventajas que representa
estar inmersos en una sociedad donde la información es el activo más importante, hacen uso
desmedido de los datos personales proporcionados por las personas para generar valor y
cumplir con sus objetivos en algunas ocasiones con desmedro de los derechos de los
particulares y es allí donde debe confluir regulación legal, autorregulación de la empresa
prestadora, intervención de autoridades de control, capacitación al ciudadano, y convenios
internacionales a través de redes de apoyo que redunden siempre en beneficio de la persona
y la protección del activo más importante que posee, que no es otro que sus propios datos,
ligado indefectiblemente a su dignidad.
41ONU. Asamblea General. Consejo de Derechos Humanos, El Derecho a la Privacidad en la era digital. Vigésimo
octavo periodo de sesiones. A.HRC.28/L.27. Recuperado de
http://ap.ohchr.org/documents/S/HRC/d_res_dec/A_HRC_28_L27.pdf
53
54
En este punto, vale la pena destacar que si bien nuestra legislación actual ha introducido
conceptos claves en la protección de datos y ha establecido para las empresas responsables
de tratamiento grandes responsabilidades para garantizar un uso justo y adecuado de los
mismos, resulta innegable la necesidad de que el legislador colombiano dé un paso más y
tenga presente que en un mundo cada vez más globalizado, el tratamiento de datos de
colombianos y sus posibles vulneraciones se están dando en espacios de almacenamiento
cloud donde es necesaria la intervención estatal , pues considero no toda la regulación de la
relación debe dejarse a los acuerdos de voluntades entre las partes contratistas y contratantes
del servicio, pues de por medio está el fundamento de estos negocios que estriba, entre otros,
en la información personal de los particulares.
42Proyecto de Ley Estatutaria No. 89 de 2017 Senado, Por medio del cual se modifica la Ley estatutaria 1581 de 2012”
Recuperado de
http://www.imprenta.gov.co/gacetap/gaceta.mostrar_documento?p_tipo=83&p_numero=89&p_consec=49365
54
55
Este esfuerzo al que hago referencia considero debe involucrar a las autoridades de control
en los países y que puedan agruparse en torno a instancias internacionales creadas
exclusivamente para abordar los temas de protección de datos personales y que se creen para
el efecto, dentro de un ambiente colaborativo, participativo, decisorio y de intervención en el
que se ponderen los intereses involucrados y claramente se otorgue el nivel de protección al
ser humano ante posibles violaciones a su derecho a la privacidad de la información causado
por empresas multinacionales o incluso particulares y por qué no autoridades
gubernamentales. Mi propuesta es que, todas los esfuerzos regulatorios que se han hecho
desde la Unión europea, y Latinoamérica con el aporte importante de Países como México,
Perú, Argentina, Colombia entre otros, se condense en organismos internacionales dotados
de toda autoridad administrativa, y porque no judicial y que confluyan allí todas las
investigaciones criminales, comerciales civiles etc., de posibles hechos violatorios al
derecho fundamental al habeas data de cualquier ciudadano y donde tengan cabida principios
fundamentales como el derecho al debido proceso para que los posibles responsables tengan
allí también oportunidad de ser oídos esto porque, si bien es cierto es necesario poner freno
al apetito de información y uso algunas veces indebido de la misma por parte de empresas
que, aprovechando las bondades de la tecnología y del internet quieran indebidamente usar
los datos que recolectan, no es menos cierto que, una injerencia directa de las autoridades
gubernamentales en políticas internas de estas empresas podría a mi juicio derivar en
situaciones de conflicto incluso diplomático, porque, como se ha explicado, el tema de la
ubicación de la empresa prestadora, del datacenter, de la empresa contratante, y de la persona
titular de la información en las más de las veces difiere. Por ello es necesario lograr un
consenso internacional de principios generales básicos a adoptarse por los países que reglen
la actuación de sus connacionales y que las posibles violaciones al derecho de habeas data se
ventilen ante autoridades de corte internacional, dado el asunto de las jurisdicciones, se creen
precedentes y se impongan sanciones ejemplarizantes.
55
56
Conclusiones
Es necesario proceder con ejercicios de ponderación de derechos en cuanto tiene que ver con
la libre empresa por el ofrecimiento de servicios de tratamiento de datos versus los derechos
que le asisten a los titulares de la información privada que es utilizada por operadores de
tratamiento de ésta para diversos objetivos enmarados las más de las veces en operaciones
de índole comercial e incluso el interés general al que puede abogar los estados por asuntos
de seguridad nacional ante la posible comisión de delitos, siempre salvaguardando los
derechos de la persona humana a la llamada autodeterminación de su información y
protección de la misma, como recalco en escenarios de equidad y prevalencia del interés
general.
El ciberespacio no puede derivar en una realidad sin regulación, sin posibilidad de actuación
de las autoridades, las empresas privadas no pueden escudarse en la extraterritorialidad de
sus servidores para omitir cumplimiento de regulaciones locales o incluso internacionales
sobre protección de datos.
56
57
La legislación colombiana debe propender por generar marcos de acción que permitan
generar acciones de cooperación internacional pues el tratamiento de datos personales a gran
escala se está dando en escenarios de internet donde la definición de temas de jurisdicción es
clave para la resolución de conflictos.
Referencias
57
58
Resumen
Este artículo busca presentar inquietudes sobre los retos ante la llegada del nuevo Reglamento
Europeo de Protección de Datos Personales (RGPD), y la necesidad de adoptar dicha
normativa bajo un enfoque sistémico, planteando como hipótesis que puede incorporarse
parte de su contenido sin necesidad de reformar las Leyes 1266 de 2008 y 1581 de 2012,
mediante la reglamentación del Art. 27 del último estatuto, y aplicando instituciones jurídicas
ya existentes como el mandato civil y la interpretación constitucional por principios.
Palabras Clave: teoría del caos, efecto mariposa, habeas data, Reglamento General de
Protección de Datos (RGPD), Ley 1266 de 2008, Ley 1581 de 2012, tratamiento de datos
personales, contrato de mandato civil, interpretación constitucional por principios
Abstract
This article pretends to suggest concerns about new challenges on the issue of personal data
protection, according to the entry into force in Europe of the new General Data Protection
Regulation (GDPR), and the need of adopt this regulation in Colombia under a systemic
approach. Raising as hypothesis that it is possible to incorporate a substantial part of its
content in our country without overhauling Act 1266 of 2008 and Act 1582 of 2012, through
a regulatory decree of Article 27, Act 1582 of 2012, and applying also preexistent institutions
like the civil mandate and the constitutional interpretation by principles.
58
59
Key words: chaos theory, butterfly theory, habeas data, General Data Protection Regulation,
Act 1266 of 2008, Act 1582 of 2012, personal data protection, mandate contract,
constitutional interpretation by principles.
Introducción
Este artículo busca presentar inquietudes sobre los retos ante la llegada del nuevo
Reglamento Europeo de Protección de Datos Personales (RGPD), y la necesidad de adoptar
dicha normativa bajo un enfoque sistémico, planteando como hipótesis que puede
incorporarse parte de su contenido sin necesidad de reformar las Leyes 1266 de 2008 y 1581
de 2012, mediante la reglamentación del Art. 27 del último estatuto, y aplicando instituciones
jurídicas como el mandato civil y la interpretación constitucional por principios.
59
60
La teoría del caos, desarrollo posterior de las ideas de Lorenz, permite explicar el
comportamiento caótico de los sistemas inestables y complejos, como el tiempo
meteorológico, la bolsa de valores, el sistema solar, las placas tectónicas, los fluidos en
régimen turbulento y el crecimiento demográfico, pero también puede explicar la dinámica
de los ordenamientos o “sistemas” jurídicos (Grün, 1999, 2001).
Si bien a primera vista, Derecho y caos aparentan ser dos conceptos, absoluta e
irreconciliablemente opuestos, entendiendo al primero como un sistema (constituido por sub
sistemas) con función de mecanismo de control social e incluso, de control indirecto de
nuestros sistemas ecológicos – el Derecho, al servir como parámetro de regulación de la
conducta humana, tiene influencia directa en el entorno material – cada vez más y más
complejos por el aumento de las interrelaciones a nivel comunitario, local, nacional e
internacional (derivados de las fuerzas tecnológicas y económicas de la globalización),
vislumbramos que entre más complejo se convierte un sistema, se vuelve más difícil – si no
imposible – su conducción consciente, como lo demuestran los efectos imprevistos
(incremento del riesgo o tendencia a falibilidad) de las decisiones de los legisladores y demás
creadores del Derecho – entre quienes destacamos no solo a los jueces, sino a sus
destinatarios finales, contrapartes contractuales y grupos de interés – encontrando sistemas
que en vez del orden (neguentropía), tienden hacia el caos, al desequilibrio dinámico
(entropía). Por eso Grün postula que el orden planificado es una trampa de la razón. Y al ser
más difícil pensar sobre un paradigma lineal – determinista, en términos de relaciones causa
y efecto, cuanto más complejo se vuelva el sistema, será menos factible regulársele con
esquemas lineales (órdenes).
60
61
Los sistemas jurídicos inspirados en el common law, por oposición a los de tradición
francesa con preeminencia del derecho legislado – normas estáticas, rígidas –, a pesar de
incluir regulación positiva, están basados primordialmente en decisiones de los jueces
considerando, y construyendo precedentes, a partir de hechos únicos, específicos, por lo cual
son inherentemente flexibles y adaptables al cambio con el tiempo y las circunstancias, lo
cual explica la adopción cada vez mayor de este tipo de instituciones en los sistemas de
derecho europeo continental. Además, a medida que las relaciones individuales y colectivas
se vuelven más dinámicas y complejas (llegando a un esquema trasnacional), y las
organizaciones, inicialmente piramidales, se achatan para convertirse en redes, la manera en
que se produce la toma de decisiones cambia, de un orden vertical (instrucciones) a un orden
horizontal, en que todos negocian, en eventual igualdad de condiciones (Grün, 2000).
61
62
2. Las Leyes 1266 de 2008 y 1581 de 2012 ante la llegada del nuevo Reglamento Europeo
62
63
63
64
exigir parámetros inequívocos en cuanto al consentimiento del titular del habeas data, frente
a la recolección y tratamiento de la información, lo que inevitablemente nos sugiere una
relación contractual, y la necesidad de definir, si los administradores de datos estarían o no
legitimados para exigir el cumplimiento de obligaciones por parte de los titulares, o incluso
aún, podrían aspirar a ser titulares de derechos reales sobre todo o parte de la información
por el simple hecho de recopilar y administrar este insumo (tal como, de facto, y en forma
abusiva tiende a darse, situación que ha ameritado nacional e internacionalmente una estricta
regulación).
64
65
La posibilidad de invocar las normas sobre el contrato del mandato por analogía (Art.
8º, Ley 153 de 1887) para suplir eventuales vacíos normativos de las Leyes 1266 y 1581, es
viable dada la notable similitud o semejanza entre la administración de datos y el contrato de
mandato que, como se indicó, supone una actividad de gestión.
Así las cosas, los derechos de los titulares (Art. 8º, Ley 1581) y los correlativos
deberes de los responsables y encargados del tratamiento (Arts. 17 y 18 Ibíd.), se pueden
entender como inherentes al objeto de un mandato cualificado, cual es, se insiste, el
tratamiento de los datos personales de los titulares, recopilados bien sea por mandato legal o
por acuerdo de voluntades (convención, contrato, negocio jurídico) entre las partes, siendo
esto último el caso más usual en la práctica (y que por supuesto, requiere mayor atención), si
se entiende la autorización previa e informada del titular (Art. 9º, Ley 1581) como una
65
66
expresión válida, inequívoca de consentimiento libre de vicios, con causa y objeto lícitos (y
además, con carácter de solemnidad ad probationem), tal como es el propósito verdadero del
Art. 9º.
Más similitudes: dentro de los derechos de los titulares (Art. 8º, Ley 1581), destella
la facultad de revocar la autorización y/o solicitar la supresión del dato cuando en el
tratamiento no se respeten los principios, derechos y garantías constitucionales y legales,
previa determinación por parte de la Superintendencia de Industria y Comercio de que,
precisamente, en el tratamiento el responsable o encargado haya incurrido en conductas
contrarias a dicha ley y a la Constitución. Esta disposición bien puede entenderse como una
limitación a la facultad de revocación unilateral del mandato civil (Núm. 3º, Art. 2189 C.C.),
dentro de unos límites constitucional y legalmente razonables (esto es, el orden público y los
derechos de terceros interesados, o cotitulares, en el recaudo y tratamiento de la información),
que en todo caso, impide que los encargados y responsables, de manera por demás atrevida
pretendan imponer la irrevocabilidad del mandato mercantil (Art. 1279 C. de Co.) al
momento de solicitar la autorización (como se ha visto en el pasado, en otras jurisdicciones).
Ni hablar también sobre la distinción entre responsables y encargados del tratamiento de
datos, la cual resulta afín a la figura de la delegación ínsita al mandato civil (Arts. 2161 a
2164 C.C.).
66
67
67
68
encargado o responsable con ocasión del tratamiento, ¿acaso los beneficios que
implícitamente reportarán estos últimos no constituye una manera difusa de remuneración?).
68
69
1581 para datos sensibles), o “mediante una clara acción afirmativa” (esto es, autorización
implícita), como cuando el interesado continua navegando por el sitio web y acepta que se
utilicen cookies para monitorear su navegación, situaciones que terminan cayendo en el
desequilibrio negocial (aun rechazando la implicación contractual que tiene en el mandato su
fuente legítima), pues en la práctica las condiciones prefijadas por el generador de contenidos
digitales se imponen al interesado en acceder a los contenidos, productos o servicios, y
terminan vulnerado el contenido del derecho del titular del habeas data, quien se somete a
un contrato de adhesión, en el cual muchas veces no queda claro su derecho a la revocación
(Núm. 3º, Art. 2189 C.C.), ni las condiciones para el ejercicio material y efectivo de esa
eventual prerrogativa a su favor.
Otro tema, es la gratuidad u onerosidad del ejercicio de los derechos por el titular de
la información. Ya el Reglamento Europeo contempla una regla general de gratuidad,
excepto cuando se formulen solicitudes manifiestamente infundadas o excesivas,
especialmente por repetitivas, situación que se encuadra en los lindes de abuso del derecho,
y dentro de las previsiones que para la administración del mandato, había sentado el Art.
2184 C.C., recordando en el discurso de este documento, lo ya expuesto sobre los grados de
responsabilidad a que se refiere el Art. 2155 C.C., bajo el postulado general de ejecución
contractual de buena fe.
69
70
En este orden de ideas, tenemos que si bien es cierto que asimilar la administración
de datos personales al contrato de mandato no se ajusta del todo (pues la regulación expresa
de las Leyes 1266 y 1581 constituye un régimen especial, con carácter de norma imperativa
y de orden público en todos sus artículos), también es necesario reconocer que la normativa
nacional se está quedando corta en temas que surgen con ocasión de las problemáticas
prácticas en la dinámica del tratamiento, especialmente en entornos alejados de aquellos
campos más conocidos para el público en general, tales como las redes sociales y las centrales
de riesgo.
Por ejemplo: el Núm. 2º del Art. 51 de la Ley 675 de 2001 (por medio de la cual se
expide el régimen de propiedad horizontal) obliga al administrador, dentro de sus funciones
legales, a llevar directamente o bajo su dependencia y responsabilidad, el registro de
propietarios y residentes de la copropiedad. Por otra parte, el Art. 128 del Código Nacional
de Policía (Ley 1801 de 2016) consagra la obligación de llevar un registro de los ejemplares
caninos potencialmente peligrosos ante las Alcaldías, en el cual debe constar necesariamente
el nombre del ejemplar canino, la identificación y lugar de ubicación de su propietario, y el
lugar habitual de residencia del animal, con la especificación de si está destinado a convivir
con los seres humanos o si será destinado a la guarda, protección u otra tarea específica, entre
otra información. El Art. 129 siguiente, estatuye que en los conjuntos cerrados,
urbanizaciones y edificios con régimen de propiedad horizontal, podrá prohibirse la
permanencia de ejemplares caninos potencialmente peligrosos, a solicitud de cualquiera de
los copropietarios o residentes y por decisión calificada de tres cuartas partes de las
asambleas o juntas directivas de la copropiedad. El Art. 129 del mismo Código prohíbe omitir
la recogida de los excrementos de los animales, por parte de sus tenedores o propietarios, o
dejarlos abandonados después de recogidos, cuando ello ocurra en el espacio público o en
áreas comunes (Núm. 1º), o trasladar un canino de raza potencialmente peligrosa en el
espacio público, lugares abiertos al público, transporte público o en las zonas comunes, sin
bozal, trailla o demás implementos establecidos por las normas vigentes. Lo cual implica que
70
71
71
72
72
73
Así las cosas, los tradicionales derechos ARCO (acceso, rectificación, cancelación y
oposición) desarrollados con la Directiva 95 / 46 / CE, han sido reforzados y complementados
con el nuevo Reglamento Europeo, por ejemplo, reconociendo el derecho a obtener una copia
de los datos personales objeto de tratamiento; efectuando solicitudes de limitación de
tratamiento que antes no eran procedentes, o garantizando la portabilidad de los datos, como
formas avanzadas del derecho de acceso.
73
74
que, en Asamblea General, han tomado, mediante votación cualificada del 70 % de los
coeficientes de copropiedad (Art. 46, Núm. 5º), las decisiones sobre obligaciones y derechos
de los miembros de la comunidad (a consignar, específicamente, en el Reglamento de
Propiedad Horizontal, Arts. 5º, 59 y 60, Ley 675), teniendo en cuenta aspectos de convivencia
pacífica, respeto a la dignidad humana, acatamiento de la ley, y respeto de los derechos
legales y constitucionales ajenos (entre ellos, los de igualdad, libre desarrollo de la
personalidad, habeas data y la intimidad), dentro de los postulados de la buena fe y
prohibición del abuso de los derechos (Arts. 1º, 2º, 13, 15, 16, 83, y 95, Núm. 2º, Constitución
Política). Situación que obliga a la copropiedad, como entidad obligada legalmente a la
recolección y demás operaciones de tratamiento de datos personales, a adoptar un manual
interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley
1581 (y en especial, para la atención de consultas y reclamos), políticas y procedimientos
que deben desarrollarse y aceptarse por la Asamblea General, teniendo de presente los
principios rectores estatuidos por el Art. 4º de la Ley 1581. Con lo cual surgen problemáticas
de difícil solución para la comunidad, así como para el encargado y responsable – quien por
lo general, será la misma persona jurídica – del tratamiento (¿cuáles datos recaudar? ¿Cómo
utilizarlos? ¿con qué finalidad?), que además, para llegar a ser jurídicamente exigibles frente
a los propios asociados (esto es, empleando medidas sancionatorias ante la negativa de
copropietarios o residentes a darles cumplimiento) deben ser aprobadas por la Asamblea y,
lo más importante, formar parte integral del reglamento de copropiedad (lo cual implica una
reforma estatutaria y la consecuente inscripción de la misma en todos los folios de matrícula
inmobiliaria de los condóminos: situación que resulta bastante onerosa y ha motivado en la
práctica la adopción de manuales de convivencia que muchísimas veces conviven en forma
paralela con el respectivo reglamento). De ahí que la aplicación de estos principios rectores
(acudiendo de ser el caso, no solo a la doctrina constitucional colombiana, sino incluso a
referentes foráneos dentro de los cuales destaca, precisamente, el nuevo Reglamento
Europeo), de manera principialística, es una necesidad insalvable para lograr consensos
razonables y justos, esto es, respetuosos de los derechos constitucionales de los titulares de
la información.
74
75
Estas nuevas directrices, tal como lo insinúa el precitado ejemplo, pueden ser
desarrolladas reglamentaria o jurisprudencialmente, al reconocer que la estructura de estos
derechos (que se fundamenta en principios rectores establecidos por las Leyes 1266 de 2008
y 1581 de 2012), forman parte del núcleo esencial del derecho fundamental al habeas data,
cuyo contenido puede ser invocado directamente a partir de la jurisprudencia de la Corte
Constitucional (tomando, a prudente criterio del intérprete, parámetros como los del nuevo
RGPD), sin necesidad de modificaciones legislativas que, por supuesto, serían convenientes.
Conclusiones
Las arriba indicadas son solo algunas de las posibilidades, sabiendo que la normativa
existente, sobre un tema tan dinámico y complejo (en el cual, por ejemplo, la promoción del
uso responsable de los datos personales puede conducir, como “efecto mariposa”, incluso al
desestimulo de su tratamiento), requiere de un enfoque sistémico, para soluciones flexibles,
basadas en la aplicación de principios rectores a partir de la solución de casos concretos.
75
76
Referencias
Congreso de la República (2001, enero 5). Ley 640, por la cual se modifican normas
relativas a la conciliación y se dictan otras disposiciones. Bogotá, Colombia: Diario Oficial
Nº 44303 (2001, enero 24).
Congreso de la República (2001, agosto 3). Ley 675, por medio de la cual se expide
el régimen de propiedad horizontal. Bogotá, Colombia: Diario Oficial Nº 44509 (2001,
agosto 4).
Congreso de la República (2008, diciembre 31). Ley Estatutaria 1266, por la cual se
dictan las disposiciones generales del hábeas data y se regula el manejo de la información
contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de
servicios y la proveniente de terceros países y se dictan otras disposiciones. Bogotá,
Colombia: Diario Oficial Nº 47219.
Congreso de la República (2012, julio 12). Ley 1564, por medio de la cual se expide
el Código General del Proceso y se dictan otras disposiciones. Bogotá, Colombia: Diario
Oficial Nº 48489.
Congreso de la República (2012, octubre 17). Ley Estatutaria 1581, por medio de la
cual se dictan disposiciones generales para la protección de datos personales. Bogotá,
Colombia: Diario Oficial Nº 48587 (2012, octubre 18).
Congreso de la República (2016, julio 29). Ley 1801, por la cual se expide el Código
Nacional de Policía. Bogotá, Colombia: Diario Oficial Nº 49949.
76
77
Corte Constitucional (1992, junio 5). Sentencia T – 406 [M.P.: Angarita, C.].
Corte Constitucional (1999, octubre 11). Sentencia T – 752 [M.P.: Martínez, A.].
Corte Constitucional (2016, febrero 10). Sentencia C – 054 [M.P.: Vargas, L.].
Corte Constitucional (2017, febrero 17). Sentencia T – 101 [M.P.: Rojas, A.].
Corte Suprema de Justicia, Sala de Casación Civil (1955, julio 6). Sentencia [M.P.:
Barrera, M].
Corte Suprema de Justicia, Sala de Casación Civil (1970, noviembre 17). Sentencia
[M.P.: Esguerra, J].
Corte Suprema de Justicia, Sala de Casación Civil (2010, septiembre 16). Sentencia
[M.P.: Valencia, C.].
Corte Suprema de Justicia, Sala de Casación Civil (2014, septiembre 9). Sentencia
SC12122 [M.P.: Vall del Rutten, J.].
Grün, E. (1999). Derecho y caos. Sobre la actual y futura evolución del derecho.
Revista Telemática de Filosofía del Derecho, (3), 2000.
77
78
Grün, E. (2000). Los nuevos sistemas jurídicos del mundo globalizado. Revista
Telemática de Filosofía del Derecho, (4), 2001.
Grün, E. (2000). El derecho en el mundo globalizado del siglo XXI desde una
perspectiva sistémico – cibernética. Revista Telemática de Filosofía del Derecho, (4), 2001.
Higgs, J. (2015). Historia alternativa del siglo XX: más extraño de lo que cabe
imaginar. Buenos Aires, Argentina. Taurus.
Presidencia de la República (1971, marzo 27). Decreto 410, por el cual se expide el
Código de Comercio. Bogotá, Colombia: Diario Oficial Nº 33339 (1971, junio 16).
78
79
Después de leer los 47 ensayos presentados al concurso, mostramos en este capítulo final
algunos de los puntos reiterativos que desde la perspectiva de los estudiantes universitarios
se convierten en temas emergentes de sumo interés para la protección de datos personales.
Fueron objetivos del concurso: fomentar las buenas prácticas para la protección de datos
personales con el propósito generar conciencia al respecto de la importancia de resguardar y
protegerlos, y así mismo, reivindicar el papel de la SIC en este sentido, a través de la
percepción que tienen los estudiantes universitarios sobre el tema. También nos propusimos
sensibilizar a los jóvenes sobre el impacto que tiene en la vida cotidiana de las personas darle
un tratamiento indebido de sus datos personales, concientizar a los estudiantes sobre la
importancia de su adecuado tratamiento y del respeto a la privacidad en el contexto actual de
apertura y desarrollo tecnológico. Así mismo, evidenciar los riesgos que trae el ciber espacio
y las redes sociales en el manejo de los datos personales y dar pautas para su buen manejo y
aseguramiento y sobre todo; conocer desde la perspectiva de los estudiantes universitarios,
cuáles son sus recomendaciones para que el sector empresarial y las instituciones educativas
generen políticas transparentes y actualizadas sobre la protección de datos personales.
Comenzamos entonces este capítulo final con algunas tendencias que se dan entre la juventud
colombiana, derivadas del uso generalizado de aparatos electrónicos y telefónos inteligentes,
como los chats a través de la aplicación Wassap. Fue un tema recurrente en varios de los
ensayos la procupación de los jóvenes porque en este tipo de chats se están presentando
tendencias como el Sexting, que hace referencia al envío de mensajes de contenido sexual o
erótico a través de sus teléfonos celulares, que en los últimos meses ha comenzado a aludir
también al envío de material pornográfico, como fotos y videos, inclusive de ellos mismos.
Se pudo ver que los trabajos recibidos tratan con preocupación esta tendencia, pues pueden
terminar divulgando fotos íntimas de sus amigos o conocidos y de las personas en general
79
80
que luego son divulgadas en la red, violando el derecho de las personas a la intimidad o dando
la pauta para cobrar extorsiones y otro tipo de delitos. En tal sentido, se evidencia que dentro
de la misma población universitaria no se tiene conciencia de la amenaza que representan las
redes sociales y del peligro de compartir abiertamente información personal en ellas.
Otro tema importante que se encontró, hace referencia al aprovechamiento indebido por parte
de las empresas de los datos personales que se recolectan, a veces sin la autorización del
ciudadano, para su usufructo o para compartirlos o venderlos a otras entidades con el fin de
generar más ingresos económicos. Esto genera molestias en el usuario por la llegada masiva
de correos electrónicos, mensajes de texto o anuncios a sus redes sociales con información
publicitaria que el usuario no ha autorizado. En este sentido, se pudo notar que hay poca
infomación o engaño hacia los ciudadanos sobre las dobles intenciones en la captación de
sus datos personales, pues algunos consideran que no es de mayor importancia resguardarlos
y por esa razón, los entregan sin preocupación.
Otro tema recurrente fue el riesgo que se genera por la circulación internacional de
información en masa. Es sabido que los grupos corporativos requieren que la información
almacenada en sus bases de datos circule a nivel global sin trabas regulatorias para el
desarrollo de su gestión. Debido a esto, la transferencia internacional de datos personales es
80
81
una actividad cada vez más recurrente en el contexto actual de globalización, apertura y
desarrollo tecnológico en el que nos encontramos. Desde esta perspectiva, los datos
personales van y vienen indistintamente de un país a otro a través de la red sin mayor control,
regulación y seguridad, en la medidia en que la penetración de internet se hace más intensa,
generando riesgos para los dueños, pues su accesibilidad se torna más acequible para hackers
y delincuentes, debido a que se hace más difícil aplicar la regulación normativa de una
autoriad nacional o local. En este sentido, se recomienda que las empresas apliquen políticas
serias en el cuidado de los datos a través de controles y regulaciones internas en colaboración
con el Estado. A su vez, este debe entrar a regular con la debida proporcionalidad el acceso
y el almacenamiento de datos en servidores públicos y privados que luego podrán pasar a
organizaciones multinacionales, sin ningún control. Además, se debe incentivar en las
organizaciones la adopción de mecanismos de autorregulación y la utilización de buenas
prácticas en cuanto al tratamiento de datos personales por medio de una colaboración
conjunta, e integral con el usuario y el Estado.
Así mismo, como la autoridad de control debe velar y ejercer sus funciones sancionatorias,
es también recomendable que se lleven a cabo reconocimientos a aquellas organizaciones
empresariales que han desarrollado por su propia iniciativa ciertos mecanismos de
autorregulación y que han adoptado en su gestión de tratamiento de los datos personales
buenas prácticas de seguridad y control. Se hace necesario entonces, seguir incentivando la
participaciòn de Colombia en los organismos multilaterales de cooperación, como el Consejo
Europeo sobre Cooperación en Contra del Ciberdelito y el Consejo Europeo sobre la
Protección de Individuos con respecto al Procesamiento de Datos Personales en un Mundo
de Grandes Datos, entre otros, pues los flujos internacionales de datos personales deben estar
acompañados de un importante soporte del Estado en cuanto tiene que ver con alianzas de
cooperación con otros Estados que ya hayan logrado altos estàndares de protección y
mantener esas alianzas con el fin de tener plena garantía de que los datos de los colombianos
están siendo legítimamente tratados en países con altos niveles de protección y salvaguarda
de la información.
81
82
Otro tema importante fue la preocupación por el seguiento del debido proceso y la aplicación
rigurosa del ordenamiento jurídico colombiano, específicamente en el ejercicio del Derecho
al Hábeas Data. El Estado y las empresas encargadas de acopiar la información financiera de
los deudores morosos y que tratan datos personales, deben tener suficiente capacidad para
otorgar al ciudadano la plena garantía de los derechos derivados de hábeas data, como lo son
actualizar y rectificar la información finaciera, así como pedir que sea eliminada o corregida
de las bases de datos de la Cifin, Data Crédito y otroas entidades. Se debe tener presente que
en una sociedad altamente interconectada, la información personal se convierte en un activo
muy imporante para la toma de decisiones personales y empresariales, por esto, el derecho al
olvido y demás derechos conexos deben tener plena garantía para su ejercicio.
A pesar de las mútiples campañas que se realizan a nivel nacional, aún las redes sociales
representan una amenaza para los datos personales de los ciudadanos. No se tiene aún
conciencia del peligro que representa compartir información privada y financiera en
Facebook, tinder, instragram, etc., o fotos de los documentos de indentidad, pasaportes y
tarjetas de crédito en chats de wassap o mensajes de texto, que pueden pasar a manos de los
delicuentes por la pérdida o robo de los telefónos, o el hackeo de las claves de acceso. El día
de hoy los ciberdelicuentes son de carácter global, pues operan desde cualquier lugar del
mundo y las 24 horas del día a la espera de un descuido de los usuarios.
Otro tema tratado en algunos de los ensayos fue el impacto de la llegada de tecnologías
emergentes y su relación con la protección de datos personales. Hablamos del Big Data y el
Internet de las cosas. En relación al primero, los recientes acontecimientos de uso indebido
de grandes datos analizados a gran escala, por parte de Cambridge Analytica (CA), compañía
privada que mezcla la minería de datos y el análisis de datos con la comunicación estratégica,
con el fin de generar influencia en el proceso electoral norteamericano a través de la Red
Social facebook, queda el sinsabor de que el manejo equivocado que se le dé a la información
privada puede representar un gran riesgo para las personas que ven afectada su intimidad
personal, puesto que se anteponen los intereses económicos de las empresas.
82
83
Por su parte, el Internet es una tecnología que habilita a los dispositivos electrónicos de los
hogares, oficinas, locales y automoviles, para captar información del entorno de los usuarios
y plantear soluciones y en otras ocasiones para ‘facilitar’ la vida de las personas en las
ciudades agetreadas por el tráfico o con poco tiempo disponible. Por ejemplo, el refrigerador
que puede leer los códigos de barras de los alimentos en su interior y con la ayda de una
cámara y conexión a internet, reportarle al usuario, al tendero o al supermercado la
insuficiencia de algunos productos, para que automáticamete sean despachados al hogar del
usuario. Así mismo, el computador con cámara o el televisor inteligente con sensores,
microfonos y cámaras, que pueden encenderse desde terminales remotas, acceder al interior
de la vivienda y grabar o trasmitir videos e imágenes de carácter privado que violan
abiertamente el derecho a la privacidad y pueden ser utilizados también por los delicuentes
para extorsionar a sus víctimas u otra clase de delitos. Esta tecnología implica un riesgo
implícito pues se está dando acceso a los espacios privados desde internet que podrían ser
vulnerados por ciberdelincuentes para obtener datos personales de los usuarios.
De otro lado, tenemos el papel de la inteligencia artificial abierta y flexible, que es un tipo de
inteligencia que tiene la capacidad de aprender por sí misma, mejorarse y realizar tareas no
especializadas. Con estos desarrollos tecnológicos se corre el riesgo de que aprenda
indirectamente a obtener utilidad o valor mediante el tratamiento de datos personales en
contextos específicos, pues puede aprender a vulnerar bases de datos y hackear claves de
acceso y otro tipo de tratamientos no autorizados, que se convierten en un riesgo para los
usuarios y sus datos personales.
Otro caso riesgoso en el manejo de los datos personales se puede presentar cuando el derecho
a la protección de la información privada deba ceder ante ciertas necesidades particulares
como el bien común o la seguridad nacional. Por esto, es primordial revisar y hacer
seguimiento a las decisiones que adopten las Altas Cortes en los Estados Unidos, pues van
a determinar el rumbo a seguir respecto de casos en los que grandes gigantes tecnológicos
como Google, Microsoft, Amazon, Apple, etc, que manejan grandes cantidades de
información y son depositarios de millones de datos personales de los ciudadanos, se
83
84
puendan ver obligados a atender peticiones de revelación de información de sus clientes por
solicitud expresa de las autoridades gubernamentales en el marco de investigaciones
judiciales o de amenzas contra la seguridad nacional.
Finalmente, en relación a las amenazas que se evidencian por el avance de la tecnología y las
redes sociales, se recomienda incluir en los programas educativos, desde la primera infancia,
una formación rigurosa en cuanto al cuidado que deben tener los jóvenes con su información
personal, así como la reglamentacón vigente en relación a sus deberes y derechos. Los
currículos no sólo deben incluir las competencias para el manejo de la tecnología, que de
hecho la mayoría de los estudiantes nativos digitales lo aprenden por sí solos, sino los riesgos
y la comprensión de su alcance a la hora de compartir sin mayores precauciones su
información personal.
84