1

LA PROTECCIÓN DE DATOS PERSONALES DESDE LA

PERSPECTIVA DE LOS ESTUDIANTES UNIVERSITARIOS DE LA
CIUDAD DE BOGOTÁ

ENSAYOS GANADORES DEL PRIMER CONCURSO UNIVERSITARIO EN

PROTECCIÓN DE DATOS PERSONALES

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

Oficina de Servicios al Consumidor y Apoyo Empresarial
Delegatura Para la Protección de Datos Personales

BOGOTÁ, D.C. 2018

1
 2

SUPERINTENDENTE DE INDUSTRIA Y COMERCIO: Pablo Felipe Robledo del Castillo

Delegada Para la Protección de Datos Personales: María Claudia Caviedes Mejía
Jefe Oficina de Servicios al Consumidor y Apoyo Empresarial: Ana María Uribe Navarro
Coordinadora Gurpo de Trabajo de Formación: Gina Paola Agudelo Bastilla
Asesora Delegatura para la Protección de Datos Personales: Diana Cristina Gil Cuervo
Jurado del concurso: María Claudia Caviedes Mejía
Jurado del concurso: Claudia Bibiana García Vargas
Jurado del concurso: Aida Lucia Hurtado Bejarano
Apoyo en la gestión: Yovanna Costanza González Pérez
Apoyo en la gestión: Omar Cabrales Salazar

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

Delegatura Para la Protección de Datos Personales
Oficina de Servicios al Consumidor y Apoyo Empresarial
ENSAYOS GANADORES DEL PRIMER CONCURSO UNIVERSITARIO EN
PROTECCIÓN DE DATOS PERSONALES
Bogotá, D.C. 2018

2
 3

Tabla de contenido
ENSAYOS GANADORES DEL PRIMER CONCURSO UNIVERSITARIO EN
PROTECCIÓN DE DATOS PERSONALES......................................................................................... 1
1. Presentación ............................................................................................................................................... 4
2. Hansel y Gretel: las migajas como datos comercializables en la red y la publicidad
basada en intereses. Nicolás Rojas Vásquez ........................................................................................... 7
3. Protección de Datos Personales - Garantía del titular frente al avance tecnológico.
Jonathan Leonardo Buitrago Vargas ........................................................................................................19
4. Dos comentarios respecto de la Ley 1266 de 2008. Álvaro Andrés Crovo Godoy.......32
5. Consideraciones sobre la protección de información privada y datos personales en
los servicios Cloud Computing. Ivonne Natalia Flórez Corredor ..................................................45
6. Efecto mariposa, habeas data y enfoque sistémico: inquietudes sobre los retos
actuales del tratamiento de los datos personales en la legislación colombiana, ante
instituciones como el contrato de mandato y la interpretación constitucional por
principios, y teniendo de presente el nuevo Reglamento Europeo (RGPD). Camilo García
Sarmiento y Claudia María Josefina García de Jeanjean ................................................................58
7. Conclusiones y temas emergentes sobre la protección de datos personales. Omar
Cabrales Salazar y Gina Paola Agudelo Bastilla.................................................................................79

3
 4

1. Presentación

La globalización y apertura de mercados, la evolución acelerada de la tecnología, el

desarrollo de los nuevos ecosistemas digitales en el que se fortalecen y producen grandes
proyectos de innovación y emprendimiento generan, para todos los actores, retos
relacionados con la privacidad y la protección de los datos personales.

En este contexto, surge la necesidad de adecuar las diferentes normas que a nivel mundial
protegen la información de las personas en estos ambientes digitales; tal es el caso del nuevo
Reglamento Europeo de Protección de Datos Personales, que próximamente entrará en
vigencia y que ha generado la adecuación de los procedimientos internos y las políticas de
grandes compañías que procesan y recolectan información.

Dicha realidad no es ajena a lo que está ocurriendo en Colombia, pues con el avance en la
política de apertura de mercados existen programas gubernamentales para mejorar la
conectividad del país, el desarrollo en materia de nuevas tecnologías de la información y las
comunicaciones y el incentivo a la innovación. Así, es claro que el tema de la privacidad y
la protección de los datos personales es un asunto que impacta las políticas públicas del país
y a los empresarios, quienes deben respetar las reglas impuestas para el adecuado tratamiento
de los datos personales, así como a los ciudadanos, quienes son los llamados a exigir a esas
empresas el respeto de sus derechos.

De esta forma, la Superintendencia de Industria y Comercio (SIC), que tiene como objetivos
fundamentales salvaguardar los derechos de los consumidores, proteger la libre y sana
competencia, actuar como autoridad nacional de la propiedad industrial y defender los
derechos relacionados con la correcta administración de datos personales promoviendo y
divulgando a los ciudadanos su derecho a la privacidad y a la protección de sus datos
personales, por medio de acciones concretas que aporten a estos objetivos y generen procesos
de concientización y educación.

4
 5

Desde esta perspectiva, la Delegatura para la Protección de Datos Personales, a través de la

Oficina de Servicios al Consumidor y Apoyo Empresarial de la Superintendencia de Industria
y Comercio, diseño e implemento un proyecto de formación denominado: Primer Concurso
de Ensayo Universitario en Protección de Datos Personales, como una estrategia para
lograr que los jóvenes, en el marco de los conocimientos adquiridos en sus instituciones
educativas, se aproximaran a la realidad del tratamiento de datos personales y el respeto a la
privacidad en el contexto actual de apertura y desarrollo tecnológico, generando consciencia
sobre las implicaciones que tiene el tema en la vida cotidiana de las personas y para que
comprendieran los efectos de un inadecuado tratamiento de la información de las personas.

El concurso, que se llevó a cabo en el primer semestre de 2018, procuró que los estudiantes
de educación superior escribieran un ensayo que diera respuesta a preguntas como: ¿qué
impacto genera en la vida cotidiana de las personas y las empresas el desarrollo acelerado de
tecnologías que capturan y procesan información personal?, ¿qué influencias positivas o
negativas genera el manejo de información personal en redes sociales?, ¿qué opina sobre el
uso que dan algunas empresas a los datos personales para incrementar sus ingresos
económicos?, ¿cómo lograr un balance entre el avance tecnológico y el respeto a la
privacidad y protección de datos de las personas?, ¿cómo lograr la articulación del desarrollo
de nuevas tecnologías con la protección de la información personal para no afectar los
derechos de las personas? y ¿qué acciones deberían adelantar las empresas y todos aquellos
emprendedores para lograr un balance entre el desarrollo de sus proyectos y el respeto de los
derechos de las personas?

Como resultado de la convocatoria se recibieron 47 ensayos de diferentes universidades de

la ciudad de Bogotá, de los cuales, después de un riguroso proceso de evaluación se
clasificaron cinco como los finalistas. En esta primera edición del concurso, presentamos al
ganador, Nicolás Rojas Vásquez, estudiante del Programa de Derecho de la Universidad
Nacional de Colombia, quien logró plasmar a través de una metáfora sobre el cuento de
Hansel y Gretel, los peligros que corren en la red los titulares de la información que, como
niños perdidos en el bosque, entregan sus datos personales como migas de pan que son
recogidas por las empresas de la internet para crear identidades digitales o perfiles que

5
 6

utilizan posteriormente las grandes organizaciones empresariales para dirigir publicidad

basada en intereses. Como parte del premio al primer lugar, el estudiante ganador al VI
Congreso Internacional de Protección de Datos Personales, organizado por la entidad
anualmente y que se llevó a cabo en Santa Marta, Colombia, el 7 y 8 de junio de 2018.

Igualmente, los temas abordados por los otros cuatro finalistas también representan una
excelente perspectiva académica sobre la protección de los datos personales, Ellos son:
Leonardo Buitrago Vargas, estudiante del Programa de Derecho de la Universidad Nacional
de Colombia, quien ocupó el segundo lugar con su ensayo: Protección de Datos Personales
- Garantía del titular frente al avance tecnológico. Así mismo, se otorgaron menciones
especiales a Ivonne Natalia Flórez, de la Maestría en Derecho de la Universidad Sergio
Arboleda, por su ensayo titulado: Consideraciones sobre la protección de información
privada y sobre datos personales en los servicios Cloud Computing. Claudia María Josefina
García, del programa de Derecho y Camilo García Sarmiento, de la Especialización en
Derecho Constitucional y Administrativo de la Universidad Católica, por su ensayo: Efecto
mariposa: habeas data y enfoque sistémico, inquietudes sobre los retos actuales del
tratamiento de los datos personales ante el nuevo Reglamento Europeo (RGPD). Y al
estudiante, Álvaro Andrés Crovo Godoy, del programa de Derecho de la Universidad del
Rosario, por su ensayo: Dos comentarios respecto del modelo regulatorio previsto en la ley
1266 de 2008.

6
 7

2. Hansel y Gretel: las migajas como datos comercializables en la

red y la publicidad basada en intereses. Nicolás Rojas
Vásquez
Estudiante de Derecho de la Universidad Nacional de Colombia

nrojasv@unal.edu.co

Resumen

Los responsables de los tratamientos de datos personales, los anunciantes y los titulares
de la información, unidos por la publicidad basada en intereses, protagonizan en este ensayo
el cuento de “Hansel y Gretel”, en el que desde un abordaje crítico y propositivo se evidencia
la forma en que los datos personales han venido siendo utilizados en la web como “migas de
pan” comercializables que incrementan progresivamente los ingresos de grandes empresas
del entorno digital.
Palabras clave: datos personales, migajas, publicidad basada en intereses.
Abstract
The responsible for the processing of personal data, the advertisers and the holders of the
information, joined by the campaigns of advertising based on interests, star in this essay the
story of "Hansel and Gretel", in which from a critical and proactive approach, it’s evident the
way in which personal data have been used on the web as commercialized "bread crumbs"
that progressively increase the income of big companies in the digital environment.
Key Words: personal data, crumbs, interest-based advertising

1. Introducción
Este ensayo presentará metafóricamente una opinión crítica y propositiva frente a la
recolección, el uso y el aprovechamiento comercial, con base en la publicidad basada en
intereses, que dan muchas empresas de la red de redes a los datos personales, con el
objetivo de incrementar sus ingresos.

7
 8

Para ello, en primer lugar, se hará un pequeño resumen del cuento de Hansel y Gretel a
modo de antesala al segundo punto en el cual se evidenciará que los usuarios del internet, en
calidad de titulares de datos personales, se comportan como “niños perdidos en el bosque”,
desmigajando su información personal en las redes sociales, aplicaciones y páginas web que
utilizan. Enlazado a lo anterior, en tercer lugar, se mostrará que los grandes responsables de
los tratamientos de datos personales en la red se comportan, por un lado, como cuervos o
aves que ingieren y hacen una gestión lucrativa de las “migas de pan” que van dejando por
el camino los titulares de la información, y, por otro lado, se comportan, inspirados en la
previa o concomitante actividad en la red de los titulares, como “pájaros guías” que a través
de “caramelos y dulces” personalizados, a modo de estrategias visuales y publicitarias,
pronostican, atraen y dirigen el comportamiento futuro de los cibernautas, obteniendo
grandes rendimientos financieros de ello. Siguiendo la misma línea, en cuarto lugar, se
demostrará que los anunciantes que contratan la publicidad basada en intereses, ofertada en
el mercado por los grandes responsables de los tratamientos, hacen las veces de arquitectos
y artífices de la “casa de azúcar y pastel”, entendiendo por ésta el producto, servicio o
candidato que buscan promover entre los consumidores y electores, respectivamente. En
quinto lugar, se determinará quiénes podrían ser las “brujas” que con fines legítimos de lucro
y mercadeo “cazan” a los titulares de datos personales que transitan algo extraviados por el
internet. En sexto lugar, se plantearán tres propuestas para compensar socialmente el
fenómeno del enriquecimiento a partir del uso de los datos personales y de la publicidad
basada en intereses. Se hará una pequeña conclusión en el sentido de afirmar que en esta
historia todos participan de las utilidades resultantes de explotar económicamente los datos
personales, excepto el titular a quién le corresponde gozar apenas de “servicios gratuitos”
ofertados por quienes tratan la información.

2. Breve resumen de “Hansel y Gretel”

Hansel al enterarse que sus padres lo abandonarán en el bosque junto a su hermana arroja
piedrillas brillantes en el camino para saber regresar a casa. Una vez sus padres los dejan
internados en la espesura del bosque, los dos niños logran su objetivo y vuelven a casa para
sorpresa de sus progenitores. Luego, en un nuevo intento, sus padres los internan aún más en
el bosque, pero en esta ocasión Hansel en vez de piedras, arroja migas de pan. Para su

8
 9

infortunio, al intentar volver a su casa se percatan que los cuervos y otras aves silvestres se
habían comido su único camino de regreso. Perdidos allí, misteriosamente fueron conducidos
por un ave blanca como la nieve a una casa de azúcar y pastel ubicada en esos recónditos
parajes. Con el apetito elevado, proceden a devorar paredes, ventanas y techos. Mientras
tanto, adentro de dicha casa comestible, una bruja se saborea pues piensa cazarlos,
engordarlos y cenarlos. Finalmente, Gretel, que era la nueva sirvienta de la malvada vieja, en
ágil maniobra introduce y encierra forzadamente a la bruja en el horno y colorín colorado:
ambos niños logran huir de allí con joyas y tesoros (Grimm Stories, s.f.).

3. Titulares de datos personales: ¿perdidos en el bosque?

“Mañana, de madrugada, nos llevaremos a los niños a lo más espeso del bosque. Les encenderemos un fuego, les
daremos un pedacito de pan y luego los dejaremos solos” (Grimm Stories, s.f., párr. 1).

Para la European Interactive Digital Advertising Alliance (EDAA, 2012) la publicidad

basada en intereses o en el comportamiento es:

Una manera de ofrecer anuncios en los sitios web que usted visita de modo que le resulten
más relevantes. Los intereses compartidos se agrupan en función de su actividad de
navegación en la Red, después de lo cual los usuarios reciben anuncios que responden a
sus intereses (párr. 4).

En clave crítica, Romero (2013) considera que:

De los tipos de marketing en línea (…) la publicidad comportamental es sin dudas, una
de las más invasivas de la privacidad, ya que implica el estudio de los intereses del
usuario de la web a lo largo de un periodo de tiempo, dejando así al descubierto sus
preferencias, gustos y datos personales de la más diversa índole (párr. 5).

Pues bien, los titulares de datos personales, vía internet, se suscriben crecientemente, por
razones disímiles, a redes sociales, plataformas audiovisuales o de mensajería instantánea
como Gmail, Facebook, Instagram, Outlook, Netflix, Whatsapp o Youtube, a navegadores
web como Google, Bing o Yahoo, a tiendas online tipo Amazon, Ebay, Dafiti o Mercado
Libre, a medios de comunicación con plataformas virtuales como El Espectador, The New
York Times, El Tiempo, The Guardian, Las 2 Orillas, Semana, Times, entre otros.

9
 10

En Colombia es una verdad a gritos que pocas personas revisan y aprueban de forma
informada las políticas de tratamiento de datos, de cookies y de anuncios de estas
plataformas. La causa de esto es que los usuarios usualmente no realizan un ejercicio
juicioso de desarrollo de sus derechos constitucionales y legales, verbigracia los previstos
en la Ley 1581 de 2012, porque muchas veces ni siquiera saben que los tienen, así que,
presos de su ignorancia, se internan y se extravían en un bosque laberíntico al navegar en
sus dispositivos y riegan en su recorrido virtual toda clase de datos, incluyendo datos
privados sensibles y de niños, niñas y adolescentes.

Se puede decir que incluso Hansel, en el primer intento paternal de extraviarlos, sabía que
los abandonarían y actuó en consecuencia ubicando por el camino “piedrillas brillantes” -
no digeribles por las aves- para regresar a su hogar: hizo, por tanto, metafóricamente, un
ejercicio responsable, con altos niveles de seguridad e informado de sus “datos”.
Contrariamente, un gran porcentaje de titulares no se autorreconocen como extraviados aun
estándolo y sin dar autorizaciones de tratamiento u otorgándolas bajo el influjo de tácticas
poco leales y transparentes de los responsables dejan una estela de datos -éstos sí
digeribles- en los caminos que transitan para disfrutar de “servicios gratuitos” u onerosos
ofertados por los colosos y por los tramposos del internet contemporáneo.

4. Responsables, desarrolladores de contenido y plataformas asociadas: ¿cuervos o

pajarillos que ingieren datos?

“Se dispusieron a regresar; pero no encontraron ni una sola miga; se las habían comido los pajarillos que volaban por
el bosque” (Grimm Stories, s.f., párr. 9).

En la red de redes nuestras acciones y omisiones por más insignificantes que parezcan,
actúan como las migajas que Hansel y Gretel dejaban para regresar a casa, solo que en
nuestro caso no las dejamos premeditadamente con el fin de retornar a algún lado, sino más
bien para alimentar a los miles de pajarillos que van detrás de ellas, en especial cuervos del
talante de Cambridge Analytica, por ejemplo.

En ese sentido, somos “niños perdidos” en el bosque, dejando desperdigados, sin son ni
ton: intereses, rutas de tránsito, ubicación georreferenciada, miedos, preferencias, claves de
acceso, conversaciones, imágenes, transacciones, sonidos, material audiovisual, datos

10
 11

biométricos, etcétera. “Migas de pan” a las que los responsables del tratamiento le asignan
una doble función.

La primera es alimentar sus bases de información que en la mayoría de los casos

almacenan datos personales sin el consentimiento expreso, libre e informado de los
titulares, en contravía de lo consagrado normativamente.

La segunda es constituirse en el sustrato fáctico o materia prima que conforma la big

data, la small data y la dark data. Tipos de información utilizada por los responsables de
los tratamientos para transformarse en el “pajarillo blanco como la nieve” cuyo fin esencial
es guiar a los titulares de la información con “caramelos y dulces” personalizados y
deliciosos ubicados estratégicamente en el camino, a modo de publicidad relevante o útil,
hacia un punto específico definido previamente por el anunciante que está vinculado de
forma contractual con el responsable.

Es decir: los responsables de los tratamientos de información recogen nuestras “migas de

pan”, pero simultáneamente e inspirados en las “migas del pasado”, construyen perfiles de
nuestro comportamiento o identidades digitales (Balaguer, 2012) y van dejando frente a
nosotros, en forma de publicidad dirigida por intereses, dulces arrojados por el pájaro guía
que pretende conducirnos, no a la “casa de dulce y pastel” de la “bruja cazadora”, sino a
comprar determinados productos, adquirir ciertos servicios o a votar a favor o en contra de
políticos o de decisiones de interés público, tal como, al parecer, sucedió con el Brexit en el
Reino Unido o con el plebiscito refrendatorio del proceso de paz en Colombia.

5. Responsables del tratamiento: ¿los pajarillos blancos como la nieve?

“Un hermoso pajarillo, blanco como la nieve (…) abrió sus alas y emprendió el vuelo, y ellos lo siguieron” (Grimm
Stories, s.f., párr. 10).

En un ejercicio de inmersión, se consultó la política actual de anuncios y de privacidad de

Google, encontrándose lo siguiente:

Gran parte de nuestro negocio se basa en la publicación de anuncios, tanto en los

servicios de Google como en los sitios web y las apps para dispositivos móviles que se
asocian con nosotros. Los anuncios permiten que nuestros servicios sean gratuitos para
todo el mundo. Usamos datos para mostrarte estos anuncios, pero no vendemos

11
 12

información personal, como tu nombre, dirección de correo electrónico e información de

pago (Google, 2018).

Es decir, esta empresa no vende nuestras “migas de pan” a los anunciantes. Venden el
uso que se le da a esas migajas a la hora de guiar, con dulces deliciosos arrojados por el
mismo Google en calidad de “pajarillos blancos como la nieve”, nuestro comportamiento
comercial, social o electoral. Ubican, según ellos, “anuncios útiles” en las páginas web que
visitamos, tal como a continuación se muestra:

Tratamos de mostrarte anuncios útiles. Para ello, usamos los datos que recopilamos de
tus dispositivos, incluidas tus búsquedas y tu ubicación, los sitios web y las apps que
usaste, los videos y anuncios que miraste, y la información personal que nos
proporcionaste, como tu edad, tu sexo y los temas que te interesan (…) Cuando los
anunciantes realizan campañas publicitarias con nosotros, nos pagan solo en función del
rendimiento de los anuncios y no por tu información personal (Google, 2018).

Dado lo anterior, los datos personales adquieren para el responsable del tratamiento, así
no lo reconozcan explícitamente, las características, como ya se dijo, de materia prima de
un modelo de negocio. Google se vende ante los anunciantes como ese pajarillo blanco que
guía a los consumidores hacia una “casa de bizcocho y azúcar”, diseñada y regentada por
los anunciantes que pueden ser empresas, entidades o dirigentes políticos.

En otras palabras: las migajas que dejas en el pasado, son las que determinan el tipo
particular de dulce que arrojará el pajarillo blanco como la nieve con el fin de guiarnos
hacia el futuro y el tipo de “casa de azúcar y pastel” que veremos. Todo un negocio cíclico
cuya caracterización y regulación está incipiente en muchos países.

La empresa Facebook, por su parte, en su política de datos (Facebook, 2018) al igual que
muchas redes sociales, nos plantean una especie de círculo vicioso: a cambio de los
servicios y productos que ofertan, hay que aceptar los términos y condiciones y a
continuación hay que ofrendar toda suerte de datos personales que serán tratados y
protegidos por la empresa. Una vez autorizamos el tratamiento y comenzamos a utilizar la
red social, nos sugieren cosas que según los datos recolectados por ellos nos podrían

12
 13

interesar. Para acceder a lo que nos interesa nuevamente hay que ofrendar datos y así en
ciclos interminables.

En conclusión, el uso responsable o irresponsable que le damos a la red y a sus plataformas

se vuelve la bandera de largada para la recolección de nuestros datos, sin importar el uso que
éstas quieran darle. Los datos personales son el premio que ellos reciben y el precio que
nosotros pagamos a cambio de la gratuidad de los servicios en línea. Pero ¿qué gratuidad
para el titular puede tener un servicio cuyo prestador hace negocios y transacciones
multimillonarias, muchas veces aprovechándose de la ignorancia de sus usuarios en materia
de derechos, con el uso de sus datos personales capturados por las denominadas cookies, por
ejemplo? La consigna en internet de muchos responsables de los tratamientos parece ser la
siguiente: Hansel, Gretel, coman, coman, es gratis, mastiquen, disfruten, jueguen, conversen,
interactúen pero que conste: concomitantemente los observaré, los estudiaré, construiré
perfiles de ustedes, los cocinaré, los cenaré y me aprovecharé de su información.

6. Los anunciantes: ¿arquitectos de la casa de azúcar y pastel?

“La vieja aparentaba ser muy buena y amable, pero, en realidad, era una bruja malvada que acechaba a los niños para
cazarlos, y había construido la casita de pan con el único objeto de atraerlos” (Grimm Stories, s.f., párr. 12).

La novedad de la era digital y del tratamiento masivo y a veces abusivo de los datos
personales, es la posibilidad de conducir, por no decir inducir, a los consumidores –
generalmente titulares de datos personales- a probar la “casa de azúcar y pastel”, a través de
todo un sistema, supuestamente impersonal y seudonimizante –en perspectiva del nuevo
reglamento europeo (Boletín Oficial del Estado [BOE], 2016)-, de pájaros guía y de
“caramelos y dulces” extrañamente personalizados.

Le corresponde entonces, por un lado, a las empresas, al Estado y a las campañas electorales
diseñar arquitectónicamente sus “casas de azúcar y pastel”, en ocasiones con base en la
información suministrada por los responsables del tratamiento. Por otro lado, le corresponde
a éstos últimos diseñar el pájaro blanco como la nieve y el tipo de dulce que éste arrojará a
cada segmento poblacional para que los consumidores o electores, de forma inconsciente y a
veces subliminal, visualicen la casa y hagan o no uso de su legítimo pero a veces manipulado
derecho a saborear las delicias del producto, del servicio o del candidato respectivo.

7. ¿Quién es la bruja cazadora entonces?

13
 14

“Los niños se asustaron de tal modo, que soltaron lo que tenían en las manos; pero la vieja, meneando la cabeza, les
dijo: - Hola, pequeñines, ¿quién os ha traído? Entrad y quedaos conmigo, no os haré ningún daño” (Grimm Stories,
s.f.).

¿El responsable del tratamiento es la “bruja cazadora”? ¿Acaso es el anunciante? Es

preciso señalar que ambos, a su manera, pero con similares móviles de lucro, actúan como
esa bruja que se alimenta de la comercialización del uso de los datos personales de los
“infantes perdidos” en ese bosque llamado internet.

En primera instancia, los responsables del tratamiento internan y extravían a los titulares
de datos personales en el “bosque embrujado” a través de una autorización que usualmente
no es otorgada de forma previa, expresa e informada: se oprime aceptar en un checkbox y
listo. Seguidamente, los responsables empiezan como cuervos o aves a picar y engullir las
migajas que van dejando los “niños perdidos”: analizan, procesan, segmentan, organizan y
clasifican la información personal que es recolectada con sus “pico-okies”. Luego, en un
proceso metamorfósico, pueden convertirse en el pajarillo blanco que va arrojando dulces,
colocándolos con paciencia casi quirúrgica delante de los ojos de los titulares de los datos
para conducirlos al producto, servicio o candidato. Sea como sea, su finalidad es solo una:
dejar al consumidor en la puerta de la “casa de azúcar y pastel” y que él decida, en esa
margen de autonomía que le queda, sí muerde o continúa el camino en el bosque. En esta
historia los niños sobreviven, salen de la casa, con un producto, con un servicio o con un
presidente o por lo menos con una imagen mental, y es en ese instante en donde
nuevamente los responsables del tratamiento asumen su doble papel de recolectores de
migajas y “sembradores” de publicidad: convierten el mordisco o la indiferencia hacia la
casa, por más paradójico que parezca, en una migaja más del pasado y le proyectan al
consumidor o titular de los datos personales nuevos caminos a seguir. Paralelamente, los
anunciantes construyen sus “casas de dulce y pastel”. Aguardan a que el pajarillo blanco
como la nieve, contratado previamente por medio de cláusulas onerosas, guíe hacia ellos a
los consumidores potenciales para que, si quieren, se deleiten o se antojen con sus paredes,
techos y ventanas de galleta, crema y frutas. Por cada mordisco y por cada visualización de
la casa, que técnicamente son denominados “rendimientos”, el anunciante paga lo
correspondiente a los responsables del tratamiento.

14
 15

Ambos, como la bruja, se alimentan del titular de la información, ambos viven de él y de

sus datos personales, ambos lo cocinan a fuego lento, ambos se lucran de él mientras este
navega en internet y hace uso de las tecnologías.

8. Propuestas a modo de recomendaciones

Tal como sucede en el cuento, los únicos capaces de escapar del influjo de la bruja o, en
palabras jurídicas, hacer un uso responsable de los datos personales en la web, son los
“niños perdidos”, somos nosotros: los titulares de la información. ¿Pero cómo? El poder de
la Delegatura para la Protección de Datos Personales y de otras autoridades similares en el
mundo ha quedado corto en comparación a las colosales e internacionales magnitudes que
ha alcanzado el uso mercantilizado, no autorizado o autorizado con vicios del
consentimiento, de información personal por parte de las empresas de internet que fungen
como responsables de los tratamientos. Aunque las autoridades administrativas y judiciales
especializadas en temas de protección de datos personales no podrán por sí solas solucionar
el estado actual de las cosas, no dejan de ser actores cruciales para la solución de la
problemática.

¿Cuál es entonces la salida más óptima? Gretel metió y encerró a la bruja en el horno y
huyó con joyas y riquezas. ¿Hay que hacer lo mismo con los responsables del tratamiento?
¿Sacarlos del juego y otorgar las ganancias generadas en el tratamiento de información
personal a los titulares de la misma? La desaparición de dichos sujetos no parece ser una
solución viable si tenemos en cuenta el principio de neutralidad en la web y la libertad
económica y de información consagrada en la Constitución Política. Tampoco parece
prudente sustraerles a los responsables todas las ganancias que generan por su gestión.

Este ensayo propone entonces tres medidas en aras de compensar socialmente el uso
lucrativo de datos personales en Colombia: la primera es tributaria, la segunda es
prohibitiva y la tercera es pedagógica.

1. Propuesta tributaria

Lo normal es que se apliquen medidas sancionatorias a posteriori por usos o tratamientos

no autorizados de datos personales, como lo sucedido en Estados Unidos a Facebook en el

15
 16

año 2013 (ABC, 2013) o lo sucedido en España a Google en 2017 (El País, 2017) o a
Whatsapp en 2018 (Agencia Española de Protección de Datos [AEPD], 2018).

Pues bien, aquí se propone una medida previa a la sanción, proporcional y que trasciende
de los usos no autorizados, a los que sí lo están: crear un impuesto al uso autorizado con
ánimo de lucro de la información personal, esté o no seudonimizada. El monto exacto del
impuesto dependerá de las ganancias reportadas por este concepto en los estados contables
de los responsables y de los anunciantes que contratan los servicios de publicidad basada en
intereses, quienes estarían obligados a registrar en sus libros dichos rubros.

De esta forma, ingresarían al erario recursos que podrían ser utilizados por el Estado
colombiano para hacer pedagogía social respecto a la protección de la información personal
y fortalecer y ampliar las funciones, la cobertura, la descentralización, el nivel de
reconocimiento público y la planta de personal de la Delegatura para la Protección de Datos
Personales de la Superintendencia de Industria y Comercio.

2. Propuesta prohibitiva

Amén de los derechos electorales, de la sana competencia y de los múltiples y vergonzantes

escándalos en materia de usos no autorizados y malintencionados de datos personales en
diferentes campañas electorales, se propone prohibir expresamente la utilización de éstos
últimos para hacer publicidad dirigida por intereses en temas estrictamente eleccionarios,
pues hay en juego intereses públicos trascendentales que no deberían ser objeto de
manipulaciones. En el resto de temas es necesario, por razones tecnológicas y económicas,
que siga, en el marco del respeto a los derechos, éste novedoso enfoque publicitario que ha
revolucionado la forma de hacer negocios.

3. Propuesta pedagógica

Con base en la disertación metafórica que se realizó en este ensayo, se propone a

continuación un programa pedagógico para las instituciones de educación privada y oficial
de diferentes niveles cuyo lema podría ser: “Tus datos personales no son migajas: valóralos,
los cuervos acechan”. Dicho programa podría consistir en contar o representar teatralmente
el cuento de Hansel y Gretel y luego mostrarle al público las similitudes entre la historia y la

16
 17

problemática existente alrededor del uso abusivo, excesivo y no autorizado de los datos
personales.

Conclusiones

El respeto a la privacidad en el contexto actual de apertura económica y desarrollo

tecnológico en el mundo es un tema clave y más cuando probadamente se ha demostrado que
muchos responsables de los tratamientos de datos personales han actuado como antagonistas
de una historia cuyas víctimas principales apenas sí se enteran que lo fueron y cuya trama
literaria gira en torno a las estratagemas que los primeros ubican en los portales web para
incrementar sus ingresos económicos haciendo uso de la publicidad basada en intereses. En
esta historia ganan todos menos el protagonista que es el titular. Ya es hora que le corresponda
a él algo más que disfrutar de servicios en línea supuestamente gratuitos, ya es hora de
compartir con los titulares de la información las utilidades que su información personal
genera y ya es hora que los responsables asuman su obligación legal de proteger, según varios
autores, el mayor activo de las empresas contemporáneas.

Referencias
ABC. (27 de agosto de 2013). Facebook debe pagar US$ 20 millones por uso de datos
para publicidad. Recuperado en: http://www.abc.com.py/ciencia/facebook-debe-
pagar-usd-20-millones-por-uso-de-datos-para-publicidad-611261.html

Agencia Española de Protección de Datos Personales. (2018). La AEPD sanciona a

Whatsapp y Facebook por ceder y tratar, respectivamente, datos personales sin
consentimiento. Recuperado en:
https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2018/notas_pren
sa/news/2018_03_15-ides-idphp.php

Balaguer, Roberto, (2012). La nueva matriz cultural. Claves para entender como la
tecnología moldea nuestras mentes. Montevideo, Uruguay: Pearson.

Boletín Oficial del Estado. (2016). Reglamento (UE) 2016/679 del Parlamento Europeo y
del Consejo. España. Recuperado en: https://www.boe.es/doue/2016/119/L00001-
00088.pdf

17
 18

Congreso de la República. (2012). Ley 1581 de 2012. Por la cual se dictan disposiciones
generales para la protección de datos personales. Recuperado en:
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=49981

El País. (7 de noviembre de 2017). Sanción a Google por captar sin consentimiento datos
personales. España. Recuperado en:
https://cincodias.elpais.com/cincodias/2017/11/07/companias/1510049641_464135.ht
ml

European Interactive Digital Advertising Alliance [EDAA]. (2012). Your online choice. A
guide to online behavioural advertising. Recuperado en:
http://www.youronlinechoices.com/es/sobre-la-publicidad-basada-en-el-
comportamiento/

Facebook. (2018). Política de Datos. Recuperado en:

https://www.facebook.com/about/privacy/

Google. (2018). Cómo funcionan los anuncios. Recuperado en:

https://privacy.google.com/intl/es-419/how-ads-
work.html?utm_source=google&utm_medium=ad-settings&utm_campaign=inbound-
site-link

Grimm Stories. (s.f.) Hansel y Gretel. Recuperado en:

https://www.grimmstories.com/es/grimm_cuentos/hansel_y_gretel

Romero Silvera, Graciela. (2013). Publicidad basada en el comportamiento en internet.

Experiencia de la autoridad de protección de datos de Uruguay. Recuperado en:
http://www.redipd.es/actividades/encuentros/XI/common/Ponencias/P5_URUGUAY_
TEXTO.pdf

18
 19

3. Protección de Datos Personales - Garantía del titular frente al

avance tecnológico. Jonathan Leonardo Buitrago Vargas

Estudiante de Derecho de la Universidad Nacional de Colombia – Sede Bogotá.

jlbuitragov@unal.edu.co

Resumen
En el artículo, se lleva a cabo una mención de los orígenes de la Protección de Datos
Personales, a saber, el Sistema Europeo y el norteamericano, pasando luego a exponer la
dinámica digital en la que los usuarios de internet son expuestos, mediante su huella digital,
a realidades emergentes como el Big Data y el comercio electrónico de datos. Se procede a
explicar el panorama colombiano en la materia, y finalmente se propone la materialización
del deber estatal de la formación digital de los ciudadanos.
Abstract
In the paper, a mention is made of the origins of the Protection of Personal Data,
namely, the European System and the North American one, going on to expose the digital
dynamic in which Internet users are exposed, through their fingerprint digital, to emerging
realities such as Big Data and electronic data commerce. It proceeds to explain the Colombian
landscape in the matter, and finally proposes the materialization of the state duty of digital
education of citizens.

Introducción
Lo primero que debe decirse respecto a la protección de datos personales (en adelante
PDP) es que el mundo entero descubrió, luego de la Segunda Guerra Mundial, que el
tratamiento de los datos personales puede ser usado en contra de las personas con
consecuencias nunca imaginadas. Ello es un hecho que no debe perderse de vista, pues el
daño causado por la captación malintencionada de datos personales en la Alemania nazi,
evidenció crudamente la necesidad de proteger a las personas frente al tratamiento
inescrupuloso de su información (Remolina, 2013). Hoy, el mundo está presenciando un auge
tecnológico desmesurado que genera planteamientos respecto a la seguridad de los datos
personales y a la capacidad de las personas para proteger su privacidad sin renunciar a la

19
 20

integración digital. Para proponer una respuesta, es necesario hacer la revisión contextual de
las distintas aristas de la PDP, en lo histórico, lo tecnológico y lo jurídico, y así contar con
un sustento sólido que justifique cualquier ejercicio propositivo derivado de los debates
actuales y de las herramientas adoptadas.

1. Orígenes y referentes de la Protección de Datos Personales

Como se sabe, con la cooperación del gigante tecnológico IBM, el régimen nazi se
puso en la tarea de recolectar la mayor cantidad de datos personales de sus ciudadanos para
identificar de manera individual y pormenorizada a los judíos, los gitanos y los homosexuales
(Black, 2001). El precedente de lo que las computadoras mal dirigidas podían hacer con los
datos personales tuvo la fuerza suficiente para inspirar la Hesse Act, primera ley especial de
PDP en la historia, surgida en Alemania en 1970, buscando proteger a los titulares de datos
frente a la creciente computarización de la época (Freude y Freude, 2016).
La iniciativa alemana de regular la PDP generó una línea conceptual que ha sido
adoptada, enriquecida y consolidada en el marco europeo, desarrollándose mediante formas
jurídicas sucesivas que buscan proteger a las personas contra un tratamiento inseguro de sus
datos personales, bajo el entendido de que una protección jurídica insuficiente conduce a
graves vulneraciones de los derechos fundamentales (Burket, 1999). Este desarrollo se
perfecciona en la Unión Europea con la Regulación General de Datos Personales (en adelante
GPDR) cuya vigencia comienza a partir del 25 de mayo de 2018, convirtiéndose en la
regulación supranacional europea más avanzada en la materia hasta ahora, remplazando la
Directiva 95/46/EC del Parlamento Europeo. Este referente es sumamente importante pues
incorpora una actualización normativa más garantista, que puede influenciar el comercio
global desde, y hacia, el mercado europeo.
En Estados Unidos, la construcción del marco que sustenta la PDP tuvo un origen
diferente que se remonta a finales del siglo XIX, cuando los juristas Samuel Warren y Louis
Brandeis publicaron en 1890 su ensayo titulado El Derecho a la Privacidad (Newman, 2015).
Este texto marcó el punto de partida para el desarrollo legal de la concepción de la privacidad,
pilar que soporta la PDP en el contexto norteamericano. Sin embargo, a diferencia de los
instrumentos jurídicos europeos supranacionales que se caracterizan por su unicidad y su
aplicación general, el sistema estadounidense se compone de normas sectoriales, aisladas, en

20
 21

ocasiones contradictorias, que ofrecen un cubrimiento parcial de la privacidad (Jolly, 2017),

amparando bajo esta única figura 3 conceptos diferenciables entre sí, que son la privacidad
individual propiamente dicha, la PDP, y la seguridad de las comunicaciones (Wada, 2010).
Esta dualidad de sistemas que surgió en occidente ha sido el marco de referencia sobre
el que los demás países han desarrollado sus propias regulaciones, y Colombia no está exenta
de esta dinámica. Ello obedece a que la importancia adquirida por la PDP fue definida por
los avances tecnológicos computacionales que permitieron captar, clasificar, y analizar
grandes cantidades de datos personales, y tal desarrollo computacional ocurrió primero en
Estados Unidos y en Europa. Esta situación, aunada a la influencia política y económica
mundial que han tenido los países industrializados en la globalización, condujo a que sus
sistemas de PDP se desarrollaran primero y fueran posteriormente reproducidos y mejorados
por los países de otras regiones, a medida que estos últimos fueron logrando acceso a las
tecnologías computacionales de la era de la información.
2. El mercado digital de datos personales

De acuerdo con Cohen (2016) la era de la información ha supuesto un reto a las

regulaciones públicas puesto que el ascenso vertiginoso de nuevas tecnologías supone nuevas
prácticas y usos que pueden escapar de las concepciones consolidadas sobre las que se basan
los marcos normativos, llegándose a considerar incluso el fracaso del Estado Regulador. Sin
ir tan lejos, es claro que sí resulta urgente la actualización constante por parte de los
reguladores para evitar que las nuevas prácticas y usos de los avances tecnológicos puedan
llegar a vulnerar derechos. Frente a ello, se ha extendido hoy un debate fundamental atinente
al tratamiento de datos personales mediante el uso de Tecnologías de la Información y de la
Comunicación (en adelante TICs), pues de una parte resulta necesario el tratamiento de datos
personales en un modelo de mercado abierto digitalizado, pero por otra parte ello expone a
los usuarios de las TICs a tratamientos de datos no autorizados, que paulatinamente se tornan
cada vez más invasivos (Allan, 2017).
Tan solo considerar que en el año 2013 había 7,2 billones de teléfonos celulares
activos, tantos como personas en el mundo, según reportó Boren (2014), da para pensar en el
crecimiento que han tenido las TICs alrededor del globo. Decantando mejor las cifras, Baer
(2016) reportó que, según estimaciones del Director del Centro de Investigaciones Pew,
Conrad Hanckett, 43% de la población mundial posee un teléfono inteligente. Y la tendencia

21
 22

está en aumento, mostrando que las TICs están altamente integradas en las sociedades de
hoy. El lado oculto de esta realidad emerge cuando se evidencia también que las empresas
tienen más facilidad de acceder a los datos de las personas que compran sus bienes y
servicios, a veces sin consentimiento, a través de su huella digital.
La huella digital de una persona es el agregado de datos que quedan registrados
cuando la persona entra a internet, pues la red genera registro por cada movimiento que se
ejecuta en su interior. Además, los dispositivos digitales requieren siempre alguna clase de
suscripción rastreable del usuario en las bases de datos de los proveedores de servicios a los
que accede. Servicios de telecomunicaciones, transporte, de compras en línea, portales
bancarios, crédito al consumo en grandes superficies, redes sociales, portales noticiosos, etc.
Todo movimiento digital genera un registro, y de cada registro quedan datos. Si se suman los
datos dejados en la red a lo largo de la vida digital de una persona se obtiene su huella digital.
Al respecto, Zezulka (2017) menciona que 71% de los usuarios consultados por la Comisión
Europea consideran inevitable proveer información personal para acceder a bienes o
servicios, a pesar de comprender la necesidad de preservar la PDP mediante el
consentimiento y conocimiento del titular de los datos.
La preocupación surge cuando las huellas digitales de billones de personas en el
mundo se convierten en activos económicos de empresas ocultas tras la pantalla, dedicadas
a la extracción de datos personales para su posterior análisis y comercialización en un
mercado de corredores de datos del que apenas se habla (Rieke, Yu, Robinson y Hoboken,
2016). Ello ha sido posible, además, gracias al desarrollo de un área investigativa
completamente nueva en las ciencias de la computación aplicada a la industria digital,
conocida como Big Data.
Big Data es, en realidad, la agregación de todos estos puntos de datos
individuales de los que se puede echar mano, los cuales son sintetizados en una
base de datos o en un registro, limpiados, y usados para informar y crear una
vista interna de tu audiencia objetivo; esto puede incluir el factor demográfico,
el factor geográfico, edad, género, etnia, religión, y así. (Nix, 2017, min 5:36)
Dado ello, surgen serias dudas respecto a la transparencia de esta realidad mercantil
cibernética en la que los consumidores son vulnerables a través de sus huellas digitales, pues
los titulares de los datos personales no tienen certeza ni garantía de hasta dónde han llegado

22
 23

sus datos ni qué uso se les está dando. De acuerdo con el activista informático Christl Wolfie
(2017) esto ocurre en el marco de áreas grises en las que no hay una definición concreta que
prohíba ciertos usos de los datos personales colectados, dándose un abuso de la tecnología
con fines económicos, para direccionar el comportamiento de las personas en un sentido que
socaba su libertad de elección, al tiempo que se reduce su capacidad para la toma de
decisiones en el plano individual.
La muestra más evidente de ello es el reciente escándalo de Cambridge Analytica, la
cual ofrecía servicios de asesoría electoral basándose en el perfil sicológico de los usuarios
de redes sociales, de quienes obtenía datos personales ilegalmente a través de aplicaciones
gratuitas que estos descargaban sin ninguna precaución (Wylie, 2018, min 6:35). Ante esto,
voces alrededor de todo el mundo están pidiendo una mayor regulación para materializar la
PDP frente a responsables de datos como el gigante Corporativo Facebook, cuyo CEO Mark
Zuckerberg se vio obligado a comparecer ante el Congreso de Estados Unidos por la
gravedad de lo acontecido (Remolina, 2018); En Colombia este escándalo llevó al bloqueo
preventivo de la aplicación Pig.gi, relacionada con Cambridge Analytica (SIC, 2018). El
debate entre compañías del sector digital, entidades gubernamentales, y usuarios de las TICs
apenas está comenzando.
3. El panorama en Colombia

El sistema de PDP en el contexto colombiano está fundamentado jurídicamente sobre

desarrollos constitucionales, legales y administrativos, que se articulan y cobran forma en la
competencia de la Delegatura de Protección de Datos Personales de la Superintendencia de
Industria y Comercio (en adelante DPD-SIC), la cual fue consagrada como la Autoridad de
Protección de Datos en Colombia (en adelante APD). Este sistema surge del artículo 15 de
la Constitución Política de 1991, que reconoce el derecho de las personas a la intimidad
personal, al buen nombre, a la inviolabilidad de la correspondencia, y al habeas data,
consistente en el derecho de conocer, actualizar y rectificar la información personal que haya
sido colectada en bases de datos públicas o privadas.
El habeas data tuvo regulación y definición legal mediante la Ley 1266 de 2008, la
cual está dirigida a definir la PDP en materia de información de carácter financiero,
comercial, de servicios y proveniente de terceros países, destinada al cálculo del riesgo
crediticio, haciendo de esta una regulación restringida, sectorial y especial (Newman, 2015).

23
 24

Con la expedición de la Ley Estatutaria 1581 de 2012 se instituyó una cobertura general más
amplia de la PDP que trascendió a otros tipos de información, incorporando además
definiciones fundamentales que pusieron el régimen colombiano de PDP a tono con las
mejores prácticas internacionales documentadas de su momento (CONPES, 2018). A ello se
suman el Decreto 1377 de 2013, que reglamenta la Ley 1581, y el Título V de la Circular
Única de la Superintendencia de Industria y Comercio, como instrumentos jurídicos
principales de regulación y aplicación directa.
Haciendo una revisión detallada de los pronunciamientos de la DPD-SIC en su
ejercicio como APD, se observa que esta ha tomado a la fecha 58 decisiones con las que se
determinó la responsabilidad por algún tipo de vulneración de la PDP en cada una de ellas.
De estas, tan solo 6 decisiones (10,3%) no condujeron a sanción económica, mientras que las
otras 52 suman un total de 1,6 millones de dólares en multas a los responsables, impuestas
en un lapso de 4 años. El 32,8% de los casos implicó vulneración al deber de conservar la
información bajo condiciones óptimas de seguridad, de modo que los datos personales
terminaron al alcance de terceros no autorizados. En el 55,2% se encontraron fallas en el
cumplimiento de la autorización del titular para hacer el tratamiento de datos, ya fuera porque
no había autorización, o porque la había, pero no se informó la finalidad de los datos, o
porque se informó pero se dio un uso distinto. Y en el 58,6% se halló una vulneración directa
al habeas data, ya fuera porque no había un canal para acudir al responsable de los datos, o
porque existía el canal pero no se atendió la solicitud del titular, o porque se atendió la
solicitud pero no se resolvió de fondo el motivo de la solicitud. Además, se encontró que en
el 13,8% de los casos el responsable no contaba con políticas para el tratamiento de la
información, o contaba con ellas pero no estaban al acceso de los titulares1.
Se encuentra además que los responsables por el incumplimiento al régimen de PDP
son sumamente variados, encontrando compañías de comercio electrónico, empresas de
servicios públicos, instituciones educativas, prestadores de servicios de salud, hoteles,
centros comerciales, editoriales, candidatos políticos, etc. Los casos más representativos son
el de Casa Editorial El Tiempo S.A. y Linio S.A.S, las más sancionadas con 4 anotaciones
para cada una, todas ellas por vulneración del habeas data. Un caso particular que llama

1 Análisis estadístico propio. Resumen anexo a este trabajo. Resoluciones recuperadas de:
http://www.sic.gov.co/

24
 25

bastante la atención es el de L&F Consultorías Legales y Financieras, cuya decisión todavía

no está en firme (Resolución 60814 de 2017). Es una ironía que una firma de abogados, de
quienes se presume un conocimiento especial de las normas, esté posiblemente vulnerando
el régimen de PDP mediante la utilización de datos personales sin autorización de sus
titulares. Ello es una muestra de que en Colombia existen empresas que no tienen
conocimiento pleno de sus obligaciones frente a la PDP, y por su desconocimiento están
vulnerando el derecho fundamental del habeas data. Así mismo, las personas están acudiendo
cada vez más a la DPD-SIC a denunciar estos hechos lo que se traduce en más decisiones y
más sanciones (7 casos en 2015 Vs 16 casos en 2017). Ello es muestra de la conciencia
creciente que tiene la ciudadanía respecto de la PDP.
Colombia está asumiendo innovaciones y actualizaciones necesarias frente a la
relación entre el Big Data, la PDP, y el entorno globalizado en el que fluye la información.
Por ejemplo, la constitución de una Política Pública para la explotación de datos (CONPES,
2018), emitida en días recientes, resalta la necesidad de integrar la explotación de datos
dentro de las actividades económicas de la nación, a la vez que reconoce su carácter
generador de riqueza. Al mismo tiempo, existe una iniciativa parlamentaria para actualizar
el régimen general de PDP, asesorada por el Observatorio Ciro Angarita Barón sobre
Protección de Datos en Colombia, que busca proveer a la APD de mayores herramientas para
perseguir las vulneraciones del habeas data cometidas por corporaciones en un contexto
internacional (Amín, 2017), tal como la documentada en el caso de Facebook y Cambridge
Analytica. En caso de concretarse, ello favorecería enormemente la transparencia y la
seguridad de los titulares nacionales frente a empresas extranjeras.
4. El deber de formación digital

Además de la información personal captada en bases de datos públicas y privadas, se

debe considerar que la información personal compartida por los usuarios de las TICs en redes
sociales conforma un vehículo para comunicarse con los contactos que componen sus
círculos sociales en el entorno digitalizado. Su manejo genera impactos positivos cuando las
personas son plenamente conscientes del alcance y de las consecuencias que conlleva aquello
que publican, permitiendo la interacción responsable y el fortalecimiento de vínculos
saludables con otras personas. Por el contrario, cuando el usuario no es plenamente
consciente del alcance y de las consecuencias de lo que publica, se convierte en un riesgo

25
 26

para sí mismo y para otros, pues puede dar lugar a un uso no deseado por parte de terceros
de los datos que comparte, y verse gravemente afectado en su buen nombre, en su imagen y
en su integridad.
La respuesta necesaria para afrontar el desafío en materia de PDP que ello implica,
consiste en el planteamiento de una nueva formación que le provea al ciudadano digital del
siglo XXI las herramientas necesarias para ser un titular empoderado de sus derechos, y así,
mediante un ejercicio formativo que le haga conocedor de los riesgos, de las garantías y de
las facultades que le asisten, este generará las dinámicas necesarias para velar por el correcto
uso y tratamiento de sus datos personales. Ello está sustentado jurídicamente por el artículo
21 de la Ley 1581, que estipula:
La Superintendencia de Industria y Comercio ejercerá las siguientes
funciones:
d) Promover y divulgar los derechos de las personas en relación con el
tratamiento de datos personales e implementará campañas pedagógicas para
capacitar e informar a los ciudadanos acerca del ejercicio y garantía del
derecho fundamental a la protección de datos.
Este artículo debe integrarse además con lo acordado en los Estándares de Protección
de Datos Personales para los Estados Iberoamericanos:
8.2 Los Estados Iberoamericanos promoverán en la formación
académica de las niñas, niños y adolescentes, el uso responsable, adecuado y
seguro de las tecnologías de la información y comunicación y los eventuales
riesgos a los que se enfrentan en ambientes digitales respecto del tratamiento
indebido de sus datos personales, así como el respeto de sus derechos y
libertades. (RIPD, 2017)
Así, la propuesta consiste en la provisión de recursos por parte del Estado para dotar
a la APD de las herramientas suficientes para que pueda cumplir cabalmente con los deberes
jurídicos que le asisten en la formación digital de los derechos de niñas, niños, adolescentes,
y ciudadanía en general, consolidando con estrategias más amplias y efectivas el deber de
divulgación que ha venido desarrollando. Cuando finalmente la educación para el ciudadano
digital sea adoptada y difundida como un uso común, habrá una autoconciencia social,
colectiva e informada, que permitirá a cada persona ser veedora de sus derechos y estar mejor

26
 27

equipada para responder frente a cualquier intencionalidad económica, política o social que
amenace la PDP, garantizando su defensa ante cualquier avance tecnológico actual o
venidero.
Conclusiones

Tal como tristemente se evidenció en el Holocausto, recientemente en el caso de

Cambride Analytica, y en la revisión de los pronunciamientos de la Dirección de
Investigación de Protección de Datos Personales de la Superintendencia de Industria y
Comercio, la afectación de derechos fundamentales de las personas mediante el uso de las
TICs viene dado por una de dos situaciones: o por una intencionalidad humana, premeditada,
volitivamente dirigida a atropellar derechos en la búsqueda de un objetivo poco transparente,
o por el descuido torpe de no tomar las medidas necesarias para cumplir los estándares
fundamentales de la PDP, contenidos en el marco jurídico, que garantizan los derechos de
los titulares. Ante esta situación, la materialización del deber de formación en materia digital
que tiene el Estado para con sus ciudadanos es el mejor antídoto frente a la amenaza de
vulneración de los derechos, pues los ciudadanos informados ejercen veeduría y facilitan la
materialización de una regulación más efectiva, tal como se demuestra con la creciente tasa
de sanciones por la APD.
Finalmente, la discusión actual sobre la PDP pasa por distintos niveles que implican
una construcción interdisciplinar, la cual se enriquece en la medida en que cada vez más
personas se interesan por hacer parte del debate. Ello es un aliciente para buscar que el
diálogo público y transparente se anteponga a la práctica clandestina y subterránea que ha
caracterizado a ciertos sectores involucrados en el tratamiento de datos personales, y por ello
se debe propender a que las controversias que alimentan la PDP sean en un lenguaje tan
sencillo y accesible, que cualquier ciudadano pueda sentirse en capacidad de hacer su aporte.
Todos tienen algo para decir frente al tratamiento de sus propios datos, y por ello es necesario
abrir el ruedo a todos los involucrados, superando definitivamente el prejuicio común de que
el tema está reservado únicamente para abogados e ingenieros informáticos.

27
 28

Referencias

Allan, A. (2017, Octubre 8). The coming privacy crisis on the Internet of Things: Will
privacy survive the coming of the Internet of Things? Medium. Recuperado de:
https://medium.com/@aallan/has-the-death-of-privacy-been-greatly-exaggerated-
f2c4f2423b5
Amín, J. (2017, Agosto 15). Informe de ponencia para primer debate al proyecto de
ley 89 de 2017 Senado: por medio de la cual se modifica la Ley Estatutaria 1581 de 2012.
Gaceta del Congreso 713/17. Recuperado de:
http://www.imprenta.gov.co/gacetap/gaceta.mostrar_documento?p_tipo=18&p_numero=89
&p_consec=48950
Baer, D. (2016, Febrero 22). This map shows the percentage of people around the
world who own smartphones. Business Insider. Recuperado de:
http://www.businessinsider.com/how-many-people-own-smartphones-around-the-world-
2016-2
Black, E. (2001). IBM y el Holocausto. Traducción de Rolando Costa Picazo. Buenos
Aires, Argentina: Atlántida Editorial. 508 p.
Boren, Z. (2014, Octubre 7). There are officially more mobile devices than people in
the world. The Independent. Recuperado de: https://www.independent.co.uk/life-
style/gadgets-and-tech/news/there-are-officially-more-mobile-devices-than-people-in-the-
world-9780518.html
Burkert, H. (1999). Privacy – Data Protection: A German/European Perspective.
Recuperado de: http://www.coll.mpg.de/sites/www/files/text/burkert.pdf
Christl, W. (2017). How Companies Use Personal Data Against People. Viena,
Austria: Craked Labs. 56 p. Recuperado de:
https://crackedlabs.org/dl/CrackedLabs_Christl_DataAgainstPeople.pdf
Cohen, J. (2016). The Regulatory State in the Information Age. The Cegla Center for
Interdisciplinary Research of the Law. Theoretical Inquiries in Law. Vol 17, No 2.
Recuperado de: http://www7.tau.ac.il/ojs/index.php/til/article/view/1425
Congreso de Colombia. (2012, octubre 17). Ley Estatutaria 1581 De 2012: Por la
cual se dictan disposiciones generales para la protección de datos personales. Diario Oficial

28
 29

48587 de octubre 18 de 2012. Recuperado de:

http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=49981
Consejo Nacional de Política Económica y Social CONPES. (2018, abril 17). Política
Nacional de Explotación de Datos (Big Data). Departamento Nacional de Planeación.
Recuperado de:
https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3920.pdf
Freude, A. & Freude, T. (2016). Echoes of History: Understanding German Data
Protection. Newpolitik. Recuperado de: http://www.bfna.org/wp-
content/uploads/2017/04/Echoes_of_history_Understanding_German_Data_Protection_Fre
ude.pdf
Jolly, I. (2017). Data Protection in the United States: overview. Thomson Reuters -
Practical Law. Recuperado de: https://uk.practicallaw.thomsonreuters.com/6-502-
0467?originationContext=document&transitionType=DocumentItem&contextData=(sc.Def
ault)&comp=pluk&firstPage=true&bhcp=1
Newman, V. (2015). Datos personales en información pública: oscuridad en lo
privado y luz en lo público. Bogotá, Colombia: Dejusticia. 86 p.
Nix, A. [Concordia]. (27 sep, 2016). Cambridge Analytica - The Power of Big Data
and Psychographics [Archivo de video]. Recuperado de
https://www.youtube.com/watch?v=n8Dd5aVXLCc
Red Iberoamericana de Protección de Datos RIPD. (2017, junio 20). Estándares de
Protección de Datos Personales para los Estados Iberoamericanos. 34 p. Recuperado de:
http://www.sic.gov.co/sites/default/files/files/Proteccion_Datos/Estandares-Proteccion-
Datos-Personales-espanol.pdf
Remolina, N. (2013). Tratamiento de datos personales: Aproximación Internacional
y comentarios a la ley 1581 de 2012. Bogotá, Colombia: Legis. 375 p.
Remolina, N. (2018, abril 11). Autoridades de protección de datos de todos los países
del mundo deberían investigar a Facebook y exigirle mejores medidas de seguridad y
cumplimiento del principio de “accountability”. Observatorio Ciro Angarita Barón sobre la
Protección de Datos en Colombia. Recuperado de:
https://habeasdatacolombia.uniandes.edu.co/?p=2757

29
 30

Rieke, A. Yu, H. Robinson, D. Hoboken, J. (2016). Data Brokers in an Open Society.

Upturn. Recuperado de: https://www.opensocietyfoundations.org/sites/default/files/data-
brokers-in-an-open-society-20161121.pdf
Superintendencia de Industria y Comercio SIC. (2018, marzo 28). Como medida
preventiva, Superindustria ORDENA bloqueo de aplicación Pig.gi por su aparente
vinculación con posible tratamiento ilegal de datos personales de colombianos. Nota de
prensa. Recuperado de: http://www.sic.gov.co/noticias/como-medida-preventiva-
superindustria-ordena-bloqueo-de-aplicacion-pig-gi-por-su-aparente-vinculacion-con-
posible-tratamiento-ilegal-de-datos-personales-de-colombianos
Wada, K. (2010). The right to be let alone. Educase Review. January/February 2010.
Recuperado de: https://er.educause.edu/~/media/files/article-downloads/erm10110.pdf
Wylie, C. [The Guardian]. (17 mar, 2018). Cambridge Analytica whistleblower: 'We
spent $1m harvesting millions of Facebook profiles' [Archivo de video]. Recuperado de
https://www.youtube.com/watch?v=FXdYSQ6nu-M
Zezulka, O. (2017). The Digital Footprint and Principles of Personality Protection
in the European Union. Charles University in Prague Faculty of Law Research Paper No.
2016/III/2. Recuperado de: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2896864

30
 31

Anexo

HD - no atendió

HD - no resolvió

no autorización
HD - no canal

no seguridad

nota especial
no políticas
sancionado
resolución

deber SIC
sanción
fecha
28/03/2014 19812 $ 6.000.000 Groupon S.A.S. 1 1
30/04/2014 28628 $ 21.560.000 Protecci ón S.A. 1 1 2
30/05/2014 36901 $ 30.000.000 Cos mocentro Ca l i 1 1 menor 2
30/05/2014 36863 $ 36.960.000 Éxi to S.A. 1 1 2
27/07/2014 41510 $ 66.528.000 Metroki a S.A. 1 1
15/09/2014 54559 $ 18.480.000 Jos é Ga rcía Ca l ume 1 pros el i ti s mo 1
29/09/2014 58969 $ 123.200.000 RedCord S.A. 1 emba ra zo 1
30/10/2014 64984 $ 15.400.000 Merca dol i bre 1 1
28/11/2014 71307 $ 30.800.000 Ca s a El Ti empo S.A. 1 1
28/11/2014 72337 $ 30.800.000 Tel expres s S.A.S. 1 1 2
27/02/2015 8483 $ 96.652.500 Na l Chocol a tes S.A.S. 1 7mi l ti tul a res 1
26/03/2015 13086 $ - Tel eBuca ra ma nga ESP 1 1 revoca da 2
26/05/2015 26282 $ 32.217.500 Di recTV Ltda . 1 1 2
28/05/2015 27650 $ 6.443.500 Col ombi a Tel ecom ESP 1 1 2
30/09/2015 79573 $ 12.887.000 Hotel Sa nJua n S.A.S. 1 1 modi fi ca da 2
30/09/2015 79622 $ 6.443.500 C.C. Puerta del Norte 1 modi fi ca da 1
28/12/2015 101695 $ 6.443.500 Ges ti on Competi ti va S.A.S. 1 1 modi fi ca da 2
24/02/2016 7883 $ 241.309.000 Supergi ros 1 1
29/03/2016 13681 $ 6.894.550 Lui s Día z Ca ma rgo 1 a fi ni da d pol i ti ca 1
29/03/2016 13790 $ 10.341.825 Sergi o Guzmá n Muñoz 1 1 pros el i ti s mo 2
31/03/2016 15339 $ 6.894.550 Lui s Pa l a ci o Fra nco 1 1 1 3
06/04/2016 16308 $ 68.945.500 Intera udi t S.A.S. 1 ICETEX 1
21/06/2016 24109 $ 10.341.825 IBI Compa ny S.A.S. 1 1
21/06/2016 39298 $ 827.346.000 Col médi ca S.A. 1 menores 1
18/07/2016 46693 $ 20.683.620 U Iberoa meri ca na 1 1
26/12/2016 85323 $ 248.203.800 Col egi o Cl ermont 1 1 1 1 menores 4
27/12/2016 85568 $ 275.782.000 Ba nco de Occi dente 1 1 2
27/12/2016 85653 $ 241.309.250 Codens a E.S.P. 1 1 2
13/12/2016 85652 $ 137.891.000 Fa l a bel l a S.A. 1 1 1 3
13/12/2016 85654 $ 241.309.250 Li ni o S.A.S. 1 1 2
22/12/2016 88624 $ 6.894.550 Woobs i ng S.A.S. 1 1 2
28/04/2017 21360 $ 48.689.322 Conexi ón Corpora ti va Ca l i 1 1 2
22/05/2017 27708 $ 22.131.510 C.C. Ovi edo 1 1
31/05/2017 30554 $ 48.869.322 Bus i nes s Ti me Ltda . 1 1 2
31/05/2017 30559 $ 132.789.060 Li ni o S.A.S. 1 1
08/06/2017 33072 $ 66.394.530 Ca s a El Ti empo S.A. 1 1 2
30/06/2017 38139 $ 258.200.950 Li ni o S.A.S. 1 1
30/07/2017 45827 $ 7.377.170 Des t. Si n Lími tes S.A.S. 1 1
17/08/2017 49717 $ 66.394.530 Ca s a El Ti empo S.A. 1 1
31/08/2017 53250 $ 103.280.380 Li ni o S.A.S. 1 1 2
26/09/2017 60814 $ 29.508.680 L&F S.A.S. 1 1 2
25/09/2017 60460 $ - Edi fi ci o Mons erra t 1 1 2
28/11/2017 78322 $ - Ferna ndo Na rva ez S.A.S. 1 1 2
30/11/2017 78914 $ 66.394.530 Na l s a ni S.A.S. Totto 1 1
30/11/2017 78899 $ 213.937.930 Invers i ones CMR S.A.S. 1 1 1 3
30/11/2017 78906 $ 18.442.925 Fl exi tra vel S.A.S. 1 1
30/11/2017 78911 $ 168.937.193 Tel mex 1 1 1 3
27/02/2018 13882 $ 35.155.890 Li ber Col ombi a S.A.S. 1 1 2
28/02/2018 14485 $ 49.999.488 Col ombi a Movi l S.A. E.S.P. 1 1
27/02/2018 13814 $ 195.310.500 Fa l a bel l a S.A. 1 1 2
23/02/2018 12809 $ - Mul ti l a bor Servi ci os Ltda . 1 1
26/02/2018 13234 $ 9.374.904 Es tra tego Ma rketi ng S.A.S. 1 1
28/02/2018 14487 $ 19.531.050 Puchetty S.A.S. 1 1 2
20/02/2018 11396 $ 7.812.420 U Ma nuel a Bel tra n 1 1
20/02/2018 11395 $ - Col egi o Nota ri a do 1 1 2
19/02/2018 10967 $ - Sodi ma c Col ombi a S.A. 0
19/02/2018 10975 $ 179.685.660 Ca s a El Ti empo S.A. 1 1 2
31/02/2018 5250 $ 54.686.940 Col ti ckets S.A. 1 1
$ 4.687.867.104 10% 22% 26% 55% 33% 14% 2%

31
 32

4. Dos comentarios respecto de la Ley 1266 de 2008. Álvaro

Andrés Crovo Godoy
Estudiante de Derecho del Colegio Mayor de Nuestra Señora del Rosario

alvaro.crovo@urosario.edu.co

Resumen
El presente ensayo tiene por tema de estudio la relación entre el mercado de datos y la
actividad financiera; lo que hace imperativa la revisión de la Ley 1266 de 2008, que es la que
se encarga de darle contenido al derecho de Habeas Data Financiero. Para lo anterior, se
abordará el tema propuesto desde dos perspectivas: una estática y una dinámica.
Introducción.
Abtract
The present essay has for subject of study the relation between the market of data and the
financial activity; what makes it imperative the revision of Law 1266 of 2008, which is in
charge of giving content to the right of Habeas Data Financiero. For the above, the proposed
topic will be approached from two perspectives: a static and a dynamic.

Introducción
Al margen de otros tipos de industria, que también están íntimamente relacionados con el
mercado de datos, el presente ensayo tiene por derrotero concentrarse en la actividad
financiera. No porque los otros temas sean menos importantes, sino porque del mundo
financiero se desprenden consecuencias directas en la calidad de vida de los consumidores.
Lo anterior no quiere significar que toda actividad que comprometa el patrimonio de una
persona es dañina en sí misma; al contrario, bienvenidas sean las prácticas de perfilamiento
y recolección de datos, siempre que con estas no se mitiguen las garantías que el
ordenamiento jurídico da a los consumidores para ejercer sus derechos.

32
 33

Así las cosas, no sobra poner de presente que, desde hace más de treinta años, los
comerciantes han realizado su empresa a través de herramientas como los loyalty programs2.
Lo que implica que es útil para el empresario conocer a qué tipo de público va a dirigir sus
productos.
Lo que ocurre, sin embargo, es que con el auge de la irrupción del mundo digital en la vida
cotidiana, los comerciantes están aprovechando para realizar actos de perfilamiento cuya
lealtad con las normas es cuestionable. Razón por la cual, es necesario evaluar el modelo
regulatorio vigente con miras a la protección del consumidor.
En cuanto al quehacer financiero, piénsese en la importancia de las prácticas de calificación
crediticia. Una mala calificación, puede resultar en un irresistible deterioro de la calidad de
vida de un consumidor. Por lo que debe haber cierta rigurosidad a la hora de utilizar la
información del usuario; no es poca cosa la que está sobre la mesa.
Siendo esa y no otra la cuestión que aquí será estudiada, lo último a tener en cuenta es que la
norma encargada de regular los datos que pueden o no ser tenidos en cuenta al momento de
realizar calificación crediticia es la Ley 1266 de 2008, cuya idoneidad será evaluada al final
de este escrito.
Los pasos a seguir son los siguientes: primero, se hará una exposición estática del mercado
de datos; esto es, la descripción de los sujetos y objetos que permiten las dinámicas de este.
Segundo, se llevará a cabo la correspondiente exposición dinámica del mercado de datos; es
decir, que mediante un ejemplo se ilustrará al lector de cómo funciona la relación entre el
mercado de datos y la actividad financiera. Finalmente, sirviéndose de las dos exposiciones
previas, el texto concluirá sobre la idoneidad o no de la Ley 1266 de 2008 como paradigma
regulatorio del derecho de Habeas Data Financiero.

1. Exposición estática del mercado de datos

Como se anticipaba en la introducción de este texto, lo primero será describir a los sujetos y
objetos que permiten las dinámicas del mercado de datos. Los sujetos, por un lado, son todos

2 Para más información respecto de las prácticas de recolección anteriores a la era digital, es útil el texto Data and Goliath de Bruce
Schneider (2015): “Eventually this evolved into the databases that enable companies to track their sales leads all the way from initial
inquiry to final purchase, and retail loyalty cards, which offer consumers discounts but whose real purpose is to track their purchases”
(p.42).

33
 34

aquellos agentes que actúan dentro de las relaciones de intercambio del data-driven martket3.
Por otro lado, llámense objetos todos los productos respecto de los cuales se predican las
mencionadas relaciones de intercambio; en este contexto, los objetos más relevantes son los
datos.
a) Tipos de sujetos

Los agentes que hacen posible el intercambio masivo de información a través del ecosistema
digital son cuatro: consumidores, recolectores, corredores y compradores4, cada uno de los
cuales tiene una relación en particular con el dato. No obstante, debe advertirse que estos
roles no son excluyentes, por lo que la regulación de este tipo de mercado se vuelve bastante
compleja.
Consumidores, en este contexto, son todos aquellos individuos susceptibles de ser perfilados
por las plataformas virtuales y los empresarios. La operación de perfilamiento, o scoring,
consiste en reunir el máximo conjunto posible de datos de una persona para asignarle un
avatar; el cual se usará para todo tipo de propósitos, desde la asignación de precios
personalizados5 hasta la determinación de la calificación crediticia6.
Por otro lado, los recolectores7 se encargan de conseguir y almacenar información sin darle
ningún propósito específico. Este es el caso de Facebook y Google, plataformas que a través
de sus actividades reúnen cantidades de datos alarmantes, pero sin asignarles una finalidad
más allá de la que contempla su quehacer en el internet; la de red social y la de buscador,
respectivamente.
Dos comentarios caben antes de seguir con la descripción de los agentes; el primero, es que
Facebook y Google no venden la información que tienen bajo su dominio, lo que hacen es
dar usufructo sobre sus bases de datos a las empresas que están dispuestas a pagar un precio8.

3 Mercado dirigido a través de la información (traducción propia).

4 La clasificación es propia y surge de la bibliografía que conforma el presente texto.
5 Cita del texto Corporate surveillance in everyday life que enumera algunos usos posibles para la información recolectada: “They do

so by utilizing data and analytics to sort and rank both customers and prospects for prioritization purposes and personalized
treatment, such as customized telemarketing scripts, promotional materials, online content, ads, offers, discounts and pricing” (Christl,
2017, p.40).
6 La siguiente es una descripción aportada por un artículo de Chupadatos sobre calificación financiera: “Cada consumidor tiene una

nota que indica si tiene buenas chances o no de honrar un préstamo. Esa nota es generada mediante fórmulas matemáticas de
propiedad de las empresas que consideran nuestro historial bancario, deudas anteriores, edad, género, profesión, círculo social,
actividades en Facebook, compras recientes y todo tipo, realmente todo tipo, de información sobre nosotros que circula por ahí”
[https://chupadados.codingrights.org/es/te-estan-stalkeando/] Consultado el 12 de mayo de 2018.
7 En inglés, Data management platforms: “Data management platforms (DMPs) have assumed the role of “central hubs” that

aggregate, integrate, manage and deploy different sources of data about consumers” (Christl, 2017, p.48).
8 Esta forma de usufructo ha sido denominada Walled Garden en algunos artículos: “Similar to the walled gardens of content from
the ‘90s, Facebook and Google have put up walled gardens of data. The walled gardens are no surprise, given Facebook and Google’s

34
 35

Lo segundo, es que no solo las plataformas virtuales pueden fungir como recolectoras en el
mercado de datos, los agentes presentes en el off-line world9 también. De hecho, vincular el
mundo digital con el tradicional es el objetivo de nuevas startups10 como Neustar11.
En tercer lugar, y de más exhaustivo estudio, se encuentran los corredores o data brokers.
Son los que mantienen en movimiento el mercado de datos y cumplen varias funciones, Bria,
Francesca (2015) identifica cuatro principales: identity and fraud services, customer
relations and customer care, marketing and advertising and predictive analytics12(p.38-40).
A pesar de ser múltiples las actividades que pueden desarrollar los corredores respecto de la
información a la que tienen acceso, llámese manejo de los clientes13 o publicidad dirigida14,
lo que tienen en común es que son el punto de enlace entre los recolectores y los compradores.
De este modo, un empresario que necesite información para abrirse paso en el mercado, tiene
como posibilidad solicitar la asesoría de un corredor, que lo contactará con un recolector y le
enseñará a manejar la información que está recibiendo.
El último sujeto por definir, es el comprador. Como se vio en el ejemplo planteado, un
comprador es cualquier empresa o individuo con interés en adquirir información que por
alguna circunstancia le es ajena.
Luego de haber estudiado los tipos de sujetos presentes en el mercado de datos, resta dejar
una inquietud que se resolverá al evaluar el modelo regulatorio propuesto por la Ley 1266 de
2008; es decir, al final de este ensayo:
Como se anticipaba al principio de este acápite, lo común es que un sujeto juegue más de un
papel dentro de la relación de intercambio del dato. De este modo, puede que, dada la
situación, un sujeto sea recolector y corredor al mismo tiempo, o comprador y recolector. Lo
cual es relevante al momento de plantear el andamiaje regulatorio de este tipo de mercado,

tremendous first party data assets” [Revista virtual Bussines insider: [http://www.businessinsider.com/luma-partners-state-of-
digital-media-2016-presentation-2016-5] Consultado el 12 de mayo de 2018.
9 Agentes que no ejercen el grueso de su actividad económica a través de plataformas virtuales (traducción propia).
10 Innovaciones tecnológicas generalmente instrumentalizadas a través de programas o aplicaciones (traducción propia).
11 Página oficial de Neustar: “Neustar can help businesses answer the question – who’s at the end of the connection. We can do that by

linking traditional off-line identity verification data (name, address, phone, email, etc.) with online, digital identity data (IP address,
geo-location, cookie, device ID, mobile network operator data, and more) to generate a complete view of new or returning customers
and their devices” [https://www.risk.neustar/fraud-prevention] Consultado el 12 de mayo de 2018.
12 Para una explicación más detallada, véase el texto Research on Identity Ecosystem [https://dcentproject.eu/wp-

content/uploads/2015/10/research_on_digital_identity_ecosystems.pdf] Consultado el 12 de mayo de 2018.

13 Al tenor de Spiekermann, Sarah (2016) los corredores que se dedican al manejo de clientes realizan las siguientes actividades:

“They provide list marketing data, strategy, marketing technology, creative services, media reach, and personalization of online, offline
and mobile marketing campaigns” (p.82).
14 Mismo texto anterior, pero en relación a los corredores que se dedican a la publicidad dirigida: “Linked to costumer care, these

companies offer marketing, lead generation, digital advertising, and targeting” (p.82).

35
 36

puesto que del rol que ocupe el sujeto depende la forma en la que debe asignársele una
responsabilidad respecto del dato del consumidor. ¿Cómo entonces debe responder por la
información objeto de intercambio un sujeto con una doble identidad en el mercado de datos?
Para no desviar el hilo de la argumentación, antes de resolver esta cuestión, se va continuar
con el camino planteado en la introducción de este texto. A continuación, la descripción y
taxonomía del objeto predilecto del mercado de la información: el dato.
b) Las clases de datos

Todo el cúmulo de datos del que hacen uso las empresas puede clasificarse de varias formas:
según cómo fue recolectada la información, conforme la industria a la que se va a destinar el
dato15, teniendo en cuenta la relación entre el recolector/corredor y el consumidor16, etc. En
lo que sigue solo se va a estudiar el primer criterio, puesto que este fue el seleccionado por
la Ley 1266 de 2008; no obstante, huelga hacer un comentario a este respecto en líneas
posteriores, junto con la cuestión que se dejó pendiente bajo el subtítulo precedente.
A la pregunta, cómo se clasifican los datos según la forma de obtenerlos, Spiekermann, Sarah
(2016, p.84) responde de la siguiente manera. Hay tres tipos de datos, los voluntarios, los
que surgen de la observación y los inferidos.
Los datos voluntarios son aquellos que son creados y explícitamente compartidos por los
consumidores; en este grupo, entran todas las fotos y publicaciones que los usuarios fijan en
sus redes sociales.
En contraste, los datos que surgen de la observación no son emitidos explícitamente por los
consumidores, se configuran a través de un análisis que realizan los corredores respecto de
las actuaciones de los consumidores. Son parte de esta categoría todas las actividades que
involucran el uso del behavioral data17.
El último tipo de datos, los inferidos, se erigen a través de ejercicios de analítica predictiva.
Una vez recolectados suficientes datos voluntarios y observados, es posible para las empresas

15 En este sentido, un dato puede ser financiero, de contacto, socio-demográfico, contractual, de ubicación geográfica (GPS), de
comportamiento, técnico, de comunicación, relacionado con las relaciones personales, etc. Puede encontrarse esta información en
el siguiente link, que dirige hacia un documento oficial de la CMA, la autoridad en mercado y competencia en Reino Unido:
[https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/435817/The_commercial
_use_of_consumer_data.pdf] Consultado el 13 de mayo de 2018.
16 Sobre este criterio de clasificación, es prudente revisar el texto The evolution of online-user data, publicado por el Boston

Consulting Group.
17 Dentro del arsenal tecnológico del que disponen las plataformas, hay aplicaciones que identifican y archivan cada vez que el

consumidor mueve el cursor en la pantalla. Los clicks del usuario y las búsquedas que realiza a través de los browsers de las páginas
web queda en el registro de datos de los recolectores y corredores.

36
 37

rotular a los consumidores y hacer un estimado de predicciones sobre sus futuras acciones.
Es aquí donde entran los ejercicios relacionados con la calificación crediticia.
Habiendo visto los dos elementos, los tipos de agentes y las clases de datos, que hacen posible
la circulación masiva de la información, se hace presente el inmenso panorama que se postra
ante quien quiera estudiar estas materias: las relaciones entre agentes pueden desarrollarse
de múltiples formas y con infinitos objetivos.
Lo siguiente, será ilustrar al lector de cómo funciona el mercado de datos en movimiento,
mediante un modelo de explotación del dato que está operando en la actualidad.

2. Exposición dinámica del mercado de datos

A lo largo del primer acápite de este ensayo, se estudió una concepción estática del mercado
de datos, describiendo sus sujetos y objetos; en esta segunda parte, la tarea será poner esas
figuras en el tablero, para así comprehender un ejercicio poco ortodoxo de calificación
crediticia que ha estado cobrando importancia en la actualidad.
Sin llegar a profundizar mucho, la calificación crediticia es una operación que va de la mano
con la actividad financiera. Los bancos, para asegurar el pago del saldo insoluto que tienen a
favor de sus clientes, se sirven de entidades cuya labor es investigar el historial crediticio de
quien solicita un préstamo. En el registro otorgado por la institución calificadora se enlistan
las deudas, préstamos y otros tipos de datos que conciernen al banco para tomar la decisión
de desembolsar o no el crédito.
Así descrita la operación, no hay problema alguno. De hecho, robustecer la confianza del
sistema financiero puede tener consecuencias positivas en el crecimiento de la economía. No
obstante, la infiltración sistemática del germen virtual en la vida cotidiana, ha permitido que
las calificadoras de riesgo se hagan con datos cada vez más privados y los involucren en sus
algoritmos de perfilamiento del consumidor18.
En Colombia, por ejemplo, la empresa Biocredit está a la vanguardia de la recolección no
tradicional de información. Dentro de su modelo de calificación, un paso previo a la

18Christl postula como ejemplo de este fenómeno a la empresa Cignifi, cuya página web no escatima en
señalar lo siguiente: “Manage credit default risk or augment your mobile wallet applications with credit
scores based on mobile device usage” [https://cignifi.com/telcomarketing/] Consultado el 13 de mayo
de 2018.

37
 38

expedición del historial crediticio es la solicitud de una fotografía al consumidor19. De aquí

surge una cuestión: ¿es acorde a la normativa el uso de un dato biométrico20 para llevar a
cabo actividades de calificación crediticia?
Antes de aventurar una respuesta, es prudente tomar en consideración los elementos descritos
en el primer aparte de este ensayo, de modo que se ponga de presente qué tipo de agentes e
información se involucran en la práctica de calificación sometida a consideración.
En esa medida, resulta evidente que estamos en presencia de un corredor (Biocredit), un
consumidor (digamos, Beatriz), un comprador (digamos Banco Virgilio S.A.) y múltiples
recolectores (todos las redes sociales en que Beatriz se encuentre suscrita).
Beatriz quiere pagar a su amado un viaje al monte Parnaso, para lo que necesita pedir un
préstamo. Se dirige entonces a las oficinas de Biocredit, quiénes le informan, hasta cierto
punto, de sus métodos de calificación. Satisfecha por lo simple del trámite, Beatriz se toma
una fotografía y la adjunta a algunos otros datos, luego envía esa información a Biocredit.
Una vez Biocredit recibe la fotografía, emplea sofisticados instrumentos de reconocimiento
facial, que lo guían a través del perfil de Facebook de Beatriz, donde puede encontrar sus
gustos, sus amigos y su dirección de correo electrónico. Ocurre que con esa cuenta de Gmail,
Biocredit ahora tiene la posibilidad de consultar las búsquedas de Beatriz en Google. Así
sucesivamente, conducto por conducto, todo API 21 que contenga el mínimo dato sobre
Beatriz puede influir en el avatar construido por Biocredit.
En el escenario más feliz, Beatriz es un sujeto prototipo A22: clase media, paga impuestos,
no está reportada, va de fiesta un viernes al mes, es soltera, le da like a las fotos de perritos y
tiene una que otra búsqueda pornográfica; nada que le impida ir al cielo. Este perfilamiento
le alcanza para satisfacer las necesidades del banco, puede recibir el préstamo e invita a su
amado en una odisea hacia el Parnaso23.
Ahora, el escenario triste, y el porqué de este escrito: el Banco Virgilio S.A. niega a Beatriz
el crédito, ya no puede reunirse con su amado. Por más llamadas, correos y salas de espera

19 El siguiente es un artículo de la revista Cromos, que constata la afirmación: [https://cromos.elespectador.com/estilo-de-

vida/solicitar-un-credito-con-una-selfie-ahora-es-posible-24974] Consultado el 13 de mayo de 2018.
20 Este tipo de dato, es aquel que se sirve de registros digitales, tales como la huella dactilar o el reconocimiento facial para deducir

información. El reconocimiento facial está definido por la United States Government Accountability Office (2015) de esta forma:
“Facial recognition technology is one of several biometric technologies, which identify individuals by measuring and analyzing their
physiological or behavioral characteristics” (p.3).
21 Los API son nodos de información por medio de los cuales varias páginas web integran sus bases de datos.
22 El nombre es arbitrario, sirve para el ejemplo, al igual que la descripción que sigue.

23 Véase, La divina comedia, de Dante Alighieri.

38
 39

que intenta, Beatriz solo consigue una respuesta de Biocredit: “no garantizamos la
adjudicación del crédito”. Una injusticia a todas luces, Beatriz no sabe a ciencia cierta qué
fue lo que hizo que le negaran el crédito.
El ejemplo no es baladí, cambiando un par de variables, puede uno reconocer al vecino a
quién se le niega un crédito hipotecario o al tío que no puede levantar su local comercial;
ambos, sin tener ni idea de por qué no son aptos para recibir la financiación del banco24.
Respecto de los tipos de información involucrados en la situación descrita, lo primero que
hay que decir es que los corredores suelen ser reacios a describir sus estrategias de
perfilamiento; tema que merece consideraciones de orden normativo. Lo segundo, es que en
el caso se ven inmiscuidos los tres tipos de datos planteados líneas arriba: voluntarios,
observados e inferidos, cada uno con un problema distinto.
Los datos voluntarios presentes en la situación descrita son aquellos suministrados por
Beatriz en cada una de sus redes sociales. A pesar de que estos deberían ser los menos
problemáticos, caben las siguientes preguntas: ¿para qué subió Beatriz esa información a la
red?, ¿importa que se esté usando para la asignación de un crédito?, ¿Beatriz debió autorizar
el uso de esos datos? No sobra recordar que, en el ejemplo, Beatriz accedió a entregar una
fotografía, no ha que se realizara una investigación exhaustiva sobre su yo virtual.
Por otro lado, los datos observados no son menos problemáticos, los API consultados por
Biocredit (las cosas que Beatriz buscó en Google y las fotos a las que le dio like), ¿qué tanto
valen en el algoritmo de perfilamiento empleado por el corredor? Está información no fue
voluntariamente suministrada por Beatriz.
Ahora, los datos inferidos: “Beatriz pagará o no pagará”, ¿qué tan perjudiciales pueden llegar
a ser estos juicios a priori en la vida de un consumidor?, ¿hay lugar a impugnar la calificación
que se le asigna al perfil?
Sin lugar a dudas, casos como este plantean varias incógnitas respecto de la scored society
hacia a la que progresivamente se dirige la sociedad. Es necesaria una regulación preparada
para evitar que se permitan este tipo de situaciones.
A continuación, se hablará de la ley 1266 de 2008, la llamada a establecer las directrices que
deben seguir los corredores, compradores, recolectores y consumidores a la hora de participar

24 Sobre esta situación, Christl (2017) señala lo siguiente: “Inaccurate assessments may spread from one system to another. It is
often difficult, if not impossible, to object to such negative assessments that exclude or deny, especially because of how hard it is to
object to mechanisms or decisions that someone does not know about at all” (p.32).

39
 40

en el mercado de datos, para concluir si el modelo regulatorio propuesto por esta es idóneo o
no, de cara a la inminente propagación de prácticas de calificación crediticia como la
expuesta.
3. Sobre la idoneidad de la ley 1266 de 2008

Al son del título que se le dio al presente escrito, hay dos comentarios que se desprenden de
todo lo aquí dicho. Lo primero es hacer la venia al modelo regulatorio, por cuanto resuelve
la cuestión postergada referente a la doble identidad de los sujetos al momento del
intercambio del dato. Lo segundo, es reprobar el trato que le da la Ley 1266 de 2008 al criterio
de clasificación del dato escogido por ella, en tanto este trato impide resolver el caso
propuesto como exposición dinámica del mercado de datos.

a) La venia

Siguiendo el orden planteado por el texto, la primera cuestión dejada en el camino fue la de
la responsabilidad que los sujetos 25 tienen respecto de la información. En este punto, el
artículo tercero de la Ley 1266 de 2008 acierta en establecer una solución para el problema
atinente a la doble identidad de los agentes en el mercado de datos; corredor-recolector o
comprador-recolector.
Tratándose del escenario corredor-recolector:
“Si la fuente [recolector] entrega la información directamente a los usuarios y no, a través de
un operador [corredor], aquella tendrá la doble condición de fuente y operador [corredor-
recolector] y asumirá los deberes y responsabilidades de ambos”26.
Acerca del escenario comprador-recolector:
“En el caso en que el usuario [comprador] a su vez entregue la información directamente a
un operador [corredor], aquella tendrá la doble condición de usuario y fuente [comprador-
recolector], y asumirá los deberes y responsabilidades de ambos”27.

25 El vocabulario presente en la ley es bastante acertado; sin embargo, en aras de preservar la continuidad
del ensayo, se van a utilizar las categorías planteadas. La ley define a los sujetos como: titular de la
información (consumidor), fuente de información (recolector), operador de información (corredor) y
usuario (comprador).
26 Ordinal b del artículo tercero.
27 Ordinal d del artículo tercero.

40
 41

Es importante resaltar esta cláusula de doble-identidad planteada por la ley, si se tiene en

cuenta que cada agente del mercado guarda una responsabilidad distinta respecto de la
información.
De este modo, los corredores, deben seguir los deberes que les impone el artículo séptimo de
la norma, referidos a la circulación de datos de los consumidores. Por otro lado, las
obligaciones de los recolectores están destinadas más que todo a la conservación y veracidad
de los datos28. Mientras que, para concluir, las obligaciones de los usuarios versan sobre el
uso particular que le dé cada uno a la información29.
La venia, es entonces un premio a la Ley 1266 de 2008 por blindar la seguridad de los datos
del consumidor. Que, en una operación económica puede quedar desprotegido en un
momento dado, como consecuencia de la doble identidad de un agente. Lo que precisamente
impide la norma al momento de extender los deberes y obligaciones de los sujetos del
mercado.
b) La bofetada

Como se anticipaba en líneas precedentes, la Ley 1266 de 2008 no se detiene a examinar el

catálogo de criterios para clasificar los datos que se encuentran en la literatura; se limita a
escoger el criterio aquí estudiado, lo cual es perjudicial. La evidencia de esta acusación, se
encuentra en el artículo tercero de la norma, que se encarga de definir qué es un dato personal,
uno público, uno semiprivado y uno privado30.
Este criterio, a todas luces, no es suficiente para abarcar la realidad del mercado de datos
actual. El reflejo de esto son todas las preguntas que quedaron inconclusas en el segundo
acápite de este ensayo. Si el mismo caso fuera abordado mediante un ejercicio abigarrado de
todos los criterios posibles para la clasificación de los datos, este texto estaría en la capacidad
de abordar esos interrogantes.
La norma no tiene pies para sostenerse ante operaciones de calificación crediticia que
involucren un dato biométrico ni un dato personal, debido a que se encerró en un solo criterio
de clasificación del dato. De lo que se sigue un vacío enorme en la protección de los derechos
del consumidor.

28 Artículo octavo.
29 Artículo noveno.
30 Incisos e, f, g, h.

41
 42

En suma, fue voluntad de la propia Ley excluir de su ámbito de aplicación los datos
reservados, ¡que son los que más van a ser utilizados de ahora en más para las actividades de
perfilamiento crediticio! Así lo confirma la sentencia que realizó el control automático de
constitucionalidad de la norma bajo estudio:
“y por último, la información reservada, que es, aquella que sólo interesa al titular en razón
a que está estrechamente relacionada con la protección de sus derechos a la dignidad humana,
la intimidad y la libertad; como es el caso de los datos sobre la preferencia sexual de las
personas, su credo ideológico o político, su información genética, sus hábitos, etc. Estos
datos, que han sido agrupados por la jurisprudencia bajo la categoría de información sensible,
no son susceptibles de acceso por parte de terceros, salvo que se trate en una situación
excepcional, en la que el dato reservado constituya un elemento probatorio pertinente y
conducente dentro de una investigación penal y que, a su vez, esté directamente relacionado
con el objeto de la investigación” (Sentencia C- 1011 del 16 de octubre de 2008).
La propia Ley 1266 de 2008 condena al exilio al dato reservado en su artículo segundo:
“Igualmente, quedan excluidos de la aplicación de la presente ley aquellos datos mantenidos
en un ámbito exclusivamente personal o doméstico y aquellos que circulan internamente,
esto es, que no se suministran a otras personas jurídicas o naturales”.
Véase entonces como, la falta de técnica legislativa presente en el modelo regulatorio
planteado para darle contenido al derecho de Habeas Data Financiero es tal, que el ejemplo
propuesto en el presente texto queda al margen de las prerrogativas de la Ley 1266 de 2008.
Primero, porque no hay remedios en la norma para las operaciones que incluyen datos
biométricos; segundo, porque el caso propuesto involucra datos reservados. Es por esto que
la norma a pesar de la venia, merece una bofetada.
Conclusiones

Tras haber estudiado la relación entre el mercado de datos y la actividad financiera a través
de dos definiciones, una estática y una dinámica, es prudente concluir lo siguiente:
Primero, que el vínculo entre una calificación crediticia y los derechos del consumidor es
supremamente estrecho. Pese a que el caso aquí propuesto es netamente académico, en un
escenario de crédito hipotecario, o de alimentos, sería imposible no dimensionar la gravedad
del asunto.

42
 43

Segundo, que el mercado de datos se edifica a través de una estructura complejísima, que
permite múltiples tipos de interacción entre sujetos. Lo que prima facie dificulta garantizar
los derechos de los consumidores. Afortunadamente, el legislador fue efectivo y resolvió este
inconveniente con la cláusula de doble identidad presente en la Ley 1266 de 2008.
Finalmente, es necesario reiterar que la Ley 1266 de 2008 no cumple el cometido a la hora
de regular los tipos de datos. Bien sea un anacronismo, puesto que estas prácticas de
calificación poco ortodoxas parecen estar germinando hasta ahora; o bien sea falta de
diligencia, puesto que el legislador no echo mano de los demás criterios de clasificación del
dato, lo cierto es que el derecho de Habeas Data Financiero necesita verse robustecido frente
a ola de innovación que viene con el auge de la era digital. Ya lo anunciaba la sentencia C-
1011 de 2008: “El inusitado auge de la administración automatizada de datos personales
ofrece retos de primer orden para la vigencia de los derechos fundamentales en el Estado
Social y Democrático de Derecho”.

Referencias

Alighieri, Dante, La Divina Comedia, Editorial Cumbre, 1978.

Bria, Francesca, Research on identity ecosystem, NESTA, 2015, [https://dcentproject.eu/wp-
content/uploads/2015/10/research_on_digital_identity_ecosystems.pdf] Consultado el 13 de
mayo de 2018.
Busby, Ed, The evolution of online-user data, Boston Consulting Group, 2012,
[https://www.bcg.com/publications/2012/marketing-technology-evolution-of-online-user-
data.aspx] Consultado el 13 de mayo de 2018.
Christl, Wolfie, Corporate surveillance in everyday life, Cracked Labs, 2017,
[http://crackedlabs.org/dl/CrackedLabs_Christl_CorporateSurveillance.pdf] Consultado el
13 de mayo de 2018.
Cignifi, sitio web, [https://cignifi.com/telcomarketing/] Consultado el 13 de mayo de 2018.
Competition & Markets Authority, The commercial use of consumer data, UK government,
2015,
[https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_d
ata/file/435817/The_commercial_use_of_consumer_data.pdf] Consultado el 13 de mayo de
2018.

43
 44

Corte Constitucional, Sentencia C- 1011 del 16 de octubre de 2008.

Dias, Tatiana y Natusch, Igor, Te están stalkeando para darte un valor, Chupadatos,
[https://chupadados.codingrights.org/es/te-estan-stalkeando/] Consultado el 13 de mayo de
2018.
Diccionario virtual de la Real academia de la lengua española.
Ley 1266 de 2008, Por la cual se dictan las disposiciones generales del hábeas data y se regula
el manejo de la información contenida en bases de datos personales, en especial la financiera,
crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras
disposiciones.
Neustar, sitio web, [https://www.risk.neustar/fraud-prevention] Consultado el 13 de mayo de
2018.
O’Reilly, Lara, This investment bank presentation is a crash course on everything you need
to know about digital media in 2016, Bussines Insider,2016,
[http://www.businessinsider.com/luma-partners-state-of-digital-media-2016-presentation-
2016-5] Consultado el 13 de mayo de 2018.
Redacción Cromos, Solicitar un crédito con una selfie ahora es posible, Revista Virtual
Cromos, 2017, [https://cromos.elespectador.com/estilo-de-vida/solicitar-un-credito-con-
una-selfie-ahora-es-posible-24974] Consultado el 13 de mayo de 2018.
Schneider, Bruce, Data and Goliath, W.W. Norton & Company, 2015.
Spiekermann, Sarah, Networks of Control, Cracked Labs, 2015,
[http://crackedlabs.org/dl/Christl_Spiekermann_Networks_Of_Control.pdf] Consultado el
13 de mayo de 2018.
United States Government Accountability Office, face recognition technology, Homeland
Security and Justice, 2017, [https://www.gao.gov/assets/690/683549.pdf] Consultado el 13
de mayo de 2018.

44
 45

5. Consideraciones sobre la protección de información privada y

datos personales en los servicios Cloud Computing. Ivonne
Natalia Flórez Corredor
Universidad Sergio Arboleda

Nataliaflorez9@hotmail.com

Resumen
El tratamiento de datos, demanda de las empresas responsables la consecución de
mecanismos tecnológicos que faciliten estas operaciones para el logro de sus objetivos. En
este escenario opciones como el almacenamiento en cloud en servidores localizados
alrededor del mundo permiten atender las necesidades de estas empresas. Aquí, es imperativo
que el Derecho vigile estas operaciones y atienda las necesidades referentes a la garantía de
derechos de los particulares especialmente en cuanto tiene que ver con protección del derecho
hábeas data.
Palabras Clave
Cloud Computing, servidores, datacenters, datos personales, jurisdicción.

Abstract
Nowadays, the data treatment requires for those companies who are responsible, the need
to pursue different technical mechanisms in order to accomplish their goals. In this scenario,
all the benefits incorporated on the cloud computing services by using servers aroud the
world, give the chance to attend all those needs. Here, is mandatory to establish a regulation
to monitor this operations and a regulation that attends all the challenges that the protection
of the personal information faces due the storage and treatment operations by using cloud
computing services.

Key Words
Cloud Computing, server, datacenters, personal data, jurisdiction

45
 46

Introducción
Con las novedades introducidas gracias a las nuevas formas de almacenamiento y
administración de información en lo que se ha denominado el cloud computing, entendido
como una nueva forma de prestación de servicios de almacenamiento de información a través
de internet, mediante datacenters, localizados en países distintos al del usuario de a pie,
diversos retos regulatorios y de interpretación a nivel jurídico han surgido también como
consecuencia de la necesidad de dilucidar los múltiples problemas que representa en sí mismo
el hecho de establecer relaciones contractuales en las más de las veces sin interacción física
de las partes, con la existencia de diversas jurisdicciones aplicables – considerando solo la
de la ubicación de los servidores – posibles actuaciones criminales, resolución de conflictos
en materia de responsabilidad civil y especialmente el tema de protección de datos
personales e información privada.

Esta nueva forma de almacenamiento de información, sin duda ha representado para las
empresas un ahorro importante de recursos por cuanto mediante la utilización de este
servicio, es posible reducir las inversiones en equipos, infraestructura e incluso en los mismos
desarrollos de software, revolucionando así la forma de su consumo e inevitablemente
planteando un reto importante para el Derecho y la regulación.

Resulta interesante a la luz de las nuevas regulaciones referentes al tema de protección de

datos, ponderar los derechos que les asisten a los intervinientes en el servicio para así
establecer los límites dentro de los cuales las personas, empresas prestadoras, jueces, y
autoridades gubernamentales, pueden actuar en búsqueda de solucionar conflictos surgidos
entre las partes , prevenir delitos o incluso investigar la comisión de estos accediendo a la
información que en muchos casos puede ser privada y confidencial y que se encuentra allí
almacenada. Y es que, desde las consideraciones mismas del Convenio sobre
Ciberdelincuencia de Budapest en el mes de Noviembre del año 200131, en las que se puso
de presente la necesidad de crear una política criminal común destinada a la prevención de

31 Preámbulo. Convenio Sobre la Ciberdelincuencia. Budapest. 23 de Noviembre de 2001. Recuperado de

https://www.oas.org/juridico/english/cyb_pry_convenio.pdf.

46
 47

la criminalidad en el ciberespacio, se reconoció también la necesidad de crear ambientes

seguros por cuanto la globalización y el crecimiento acelerado de las tecnologías de la
información no pueden dar lugar a espacios de comisión de delitos que afecten diversas
esferas del ser humano - entre ellas su intimidad personal y familiar garantizada mediante el
derecho a la protección de su información privada -, y que dejen a la autoridad sin marcos de
acción, bajo el pretexto de defender derechos de libre empresa, libertad de expresión, o temas
de trascendencia de jurisdicción.

El presente trabajo, se enfocará en establecer si existe la posibilidad de que el

almacenamiento de información mediante el servicio en la nube utilizando internet, esté
ofreciendo un espacio para que se cometan posibles vulneraciones del derecho a la privacidad
de la información de los particulares por las empresas contratistas y contratantes de estos
servicios y la forma de prevención y reacción ante el fenómeno.

INFORMACIÓN PRIVADA Y DATOS PERSONALES EN SERVICIOS CLOUD

Vale la pena dar inicio al presente ensayo, definiendo lo que se entiende por computación en
la nube, y es así como, el Reglamento de la Ley Federal de Protección de Datos Personales
en Posesión de los Particulares, expedido por el Gobierno Mexicano en el año 2011, en su
artículo 52 indica que por computación en la nube deberá entenderse el “modelo de provisión
externa de servicios de cómputo bajo demanda, que implica el suministro de infraestructura,
plataforma o software que se distribuyen de modo flexible, mediante procesos de
virtualización en recursos compartidos dinámicamente”; bajo este entendido, se trata
entonces de un servicio mediante el cual un usuario contrata la provisión de recursos
tecnológicos basados en la plataforma internet y que a través de datacenters permiten el
almacenamiento de información o de programas de cómputo destinados a la atención de estas
necesidades.

Actualmente, hacemos parte de la llamada sociedad de la información que ha favorecido el

desarrollo de nuevas tecnologías para facilitar el almacenamiento y transmisión de todo tipo
de datos, incluso datos personales, estos servicios de almacenamiento revisten la mayor

47
 48

importancia, pues facilitan el intercambio y almacenamiento de información, ya sea a través

de correos electrónicos, imágenes y gran cantidad de archivos que, de no existir este tipo de
almacenaje, demandarían máquinas con mayor capacidad en sus discos duros a la vez que
implicarían riesgos de daño y pérdida en mayor medida que los ya existentes en servicios
cloud.

El doctor Gonzalo Moreno Gómez32 explica que esta particular forma de almacenamiento de
información ofrece diversas posibilidades al usuario dentro de las que se encuentran la nube
pública, que permite el acceso de recursos de cómputo compartidos a través de internet
mediante cualquier navegador común, la nube privada que ata el servicio a una organización
o empresa siendo entonces éste de su uso exclusivo, y la nube híbrida que provee sus servicios
mediante la interacción de nubes públicas y privadas lo que garantiza el intercambio de datos
controlado entre ellas y satisface así grandes necesidades de información a las diversas
empresas que lo requieran.

Estos servicios pueden prestarse dentro de algunas de las siguientes categorías: Software
como Servicio, que permite al usuario acceder a sitios web y hacer uso de los programas y
software que requiera sin necesidad de realizar la descarga en su equipo; Plataforma como
Servicio, es otra de la modalidades que permite desarrollar directamente en la web
aplicaciones y software con múltiples accesos y finalmente, Infraestructura como Servicio,
en la que se permite una migración total de la operación completa de servidores, redes,
equipos y demás hacia la virtualización.

Dado entonces que se trata de un servicio de gran valía para las personas y empresas, los
proveedores han buscado también ofrecer un ambiente de seguridad que atienda las
necesidades de confidencialidad, integridad y disponibilidad de la información que
almacenan llegando a conceptos como el de privacidad por diseño, que involucra el análisis
de aspectos como privacidad y protección de datos en todas las fases de diseño y salida a

32Moreno Gómez, Gonzalo (2013) Jurisdicción aplicable en materia de datos personales en los contratos de cloud
computing: Análisis Bajo la Legislación Colombiana. Revista de Derecho, Comunicaciones y Nuevas Tecnologías.
Universidad de los Andes. Bogotá.

48
 49

producción de sus productos y servicios y adecuándose a estándares internacionales de

protección que hacen más atractivo el acceso a sus servicios33.

Indudablemente todos estos estándares internacionales, mecanismos de autorregulación de

las empresas, adopción de legislaciones protectoras del usuario y generación de contratos que
si bien puede ser predispuestos, contienen obligaciones y derechos claros para las partes, han
sido pilares fundamentales para que servicios como el almacenaje de información en cloud
tengan tanta acogida y se hayan masificado de la forma como los conocemos actualmente sin
dejar de lado que, pese a estos esfuerzos, grandes retos le esperan a la ciencia jurídica para
llegar a un nivel de protección total y atender debidamente la premisa consagrada en el
reciente Reglamento General de Protección de Datos emitido por la Unión Europea, en donde
en se expone en su considerando primero, la premisa fundamental que “La protección de las
personas físicas en relación con el tratamiento de datos personales es un derecho
fundamental”. (negrilla fuera de texto)34.

Este acelerado desarrollo de las nuevas tecnologías trae consigo importantes preocupaciones
regulatorias , como se ha manifestado en el seno de la Asamblea de las Naciones Unidas y
así se expone en las consideraciones de la resolución 68/167 del 18 de Diciembre de 2013
sobre el Derecho a la Privacidad en la Era Digital35 al indicar que: “Observando que el
rápido ritmo del desarrollo tecnológico permite a las personas de todo el mundo utilizar las
nuevas tecnologías de la información y las comunicaciones y, al mismo tiempo, incrementa
la capacidad de los gobiernos, las empresas y las personas de llevar a cabo actividades de
vigilancia, interceptación y recopilación de datos, lo que podría constituir una violación o
una transgresión de los derechos humanos, en particular del derecho a la privacidad,

33 Respecto de la protección de datos y seguridad en sus servicios en cloud, Microsoft explica este tema en su informe
(2014) Protecting Data and Privacy in the Cloud. Recuperado de:
tps://webcache.googleusercontent.com/search?q=cache:HwU7jh52TNMJ:https://download.microsoft.com/downl
oad/2/0/a/20a1529e-65cb-4266-8651-1b57b0e42daa/protecting-data-and-privacy-in-the-
cloud.pdf+&cd=1&hl=es-419&ct=clnk&gl=co
34 Reglamento UE 2016/679 Parlamento Europeo y Del Consejo, de 27 de Abril de 2016 relativo a la protección de

las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por
el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Recuperado de : https://eur-
lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32016R0679
35 ONU. Asamblea General. 2013. El derecho a la Privacidad en la Era Digital. Sexagésimo Octavo Periodo de sesiones.

Recuperado de http://www.un.org/es/comun/docs/?symbol=A/RES/68/167.

49
 50

establecido en el artículo 12 de la Declaración Universal de Derechos Humanos y el artículo

17 del Pacto Internacional de Derechos Civiles y Políticos, y que, por lo tanto, esta cuestión
suscita cada vez más preocupación”. (Negrilla fuera del texto).

Atendiendo estas premisas y basados en el reconocimiento constitucional de derechos

fundamentales como la intimidad personal, el legislador colombiano a través de la Ley 1581
de 201236 y su Decreto Reglamentario 1074 de 2015 introdujo en nuestra legislación los
principios regulatorios para la protección de datos personales dentro de los cuales llama la
atención la introducción del principio de responsabilidad demostrada (accountability), según
el cual las entidades que recogen y hacen tratamiento de datos personales son responsables
del cumplimiento efectivo de las medidas que adopten para garantizar la prevalencia de los
principios generales que rigen el tratamiento de datos dentro de los que se encuentran la
confidencialidad, transparencia, seguridad, entre otros37. Esto, a mi juicio es un gran avance
para Colombia en temas de legislación de datos personales pues nos pone sin duda en el
contexto mundial garantista y centrado en el respeto de la dignidad y los derechos humanos,
atendiendo el llamado que hace el Reglamento de la Unión Europea.
Ha de reconocerse también que legislaciones como la mexicana, a través de la Ley Federal
ya mencionada de alto corte garantista, incluye a mi juicio un interesante concepto protector
de la privacidad al mencionar en su artículo primero que, el objeto de la ley entre otros es
garantizar la privacidad y el denominado derecho a la autodeterminación informativa de las
personas, que gira en torno a las necesidad de contar con un consentimiento informado,
finalidades de tratamiento de los datos claramente definidas y accesibles para el titular en un
lenguaje adecuado, proporcionalidad en el recaudo y tratamiento de la información por parte
de los responsables y encargados, así como también el diseño efectivo de mecanismos de
atención a los denominados derechos ARCO ( Acceso, Rectificación, Consulta y Oposición).
En punto de las transferencias y trasmisiones de datos personales, que sería lo que en la
práctica ocurre con las operaciones de almacenamiento en cloud, la legislación colombiana
ha sido muy clara en introducir los conceptos de transferencia y trasmisión de datos, que
puede ser nacional o internacional, así como también en establecer claramente y en cabeza

36 Diario Oficial N. 48.587 del 18 de Octubre de 2012

37Ley 1581 de 2012 Diario Oficial N. 48.587 del 18 de Octubre de 2012 Art. 4

50
 51

de los responsables y encargados de la información todas las obligaciones atinentes a

garantizar los derechos otorgados a los titulares de la información, así como también, recalcar
su deber de adelantar todas las medidas contractuales, de seguridad física y lógica a que haya
lugar para blindar la información objeto del contrato de posibles ataques o hackeos al estar
expuesta en red e incluso estableciendo responsabilidades en el manejo, destrucción,
devolución, atención de quejas y reclamos y demás en cabeza de los encargados vía
contractual.
Por otro lado, es nuestra legislación 38 la que, prohíbe la transmisión o transferencia
internacional de datos personales a países que no cuenten con un nivel adecuado de
protección, salvo ciertas excepciones o procedimientos administrativos de autorización por
parte del ente regulador, prohibición que a mi juicio, ratifica una vez más el criterio garantista
de nuestra ley que implica para las empresas que realizan tratamiento de datos, adoptar todas
las medidas tecnológicas, jurídicas, operativas y técnicas que redunden en beneficio del
usuario máxime cuando éste ha autorizado el tratamiento de datos por un tercero encargado,
mediante utilización de servicios cloud y por fuera de su lugar de residencia.
Es aquí, donde a mi juicio se presenta uno de los mayores retos de la ciencia jurídica y que
estriba en determinar la jurisdicción aplicable a estas operaciones de transferencia o
transmisión cuando el proveedor del servicio alojará la información en datacenters ubicados
físicamente en un lugar distinto incluso al de su domicilio principal, situación que sustrae de
aplicación legal y por ende del conocimiento de la autoridad de control posibles violaciones
a la normativa de protección de datos.
En este sentido, vale la pena mencionar, que el legislador colombiano se encuentra haciendo
actualmente importantes esfuerzos por solventar la situación de jurisdicción aplicable en
temas de protección de datos, por lo que resulta de vital importancia mencionar en este escrito
el reciente proyecto de ley para modificar nuestra actual ley estatutaria de protección de datos
que hizo curso en la comisión Primera del Senado de la República en la pasada legislatura,
en cuyo objeto se resalta la finalidad de “Proteger a las personas respecto del indebido
tratamiento de sus datos personales por parte de Responsables o encargados que no residan

38 Ley 1581 de 2012 Diario Oficial N. 48.587 del 18 de Octubre de 2012 Art.26

51
 52

ni estén domiciliados en el territorio de la República de Colombia 39 ”, con el ánimo de

permitirle a las autoridades colombianas adelantar investigaciones y gestiones tendientes a
garantizar la protección de datos personales y salir en defensa del derecho del hábeas data de
sus connacionales.
Para lograrlo, el proyecto de ley propone darle alcance a nuestra regulación de protección de
datos cuando el tratamiento de los mismos se realiza por responsables o encargados que no
tengan residencia o domicilio en Colombia pero que a través de internet realizan actividades
de tratamiento de datos, incluyendo su almacenaje. Un principio importante que vale la pena
rescatar es que de ser aprobado este proyecto se incluye a mi juicio uno de los principios
pilares para la garantía de la protección de datos en escenarios cloud cual es el de la
protección de datos desde el diseño y por defecto.

El concepto de privacidad por diseño y más exactamente privacidad inteligente, lo explica la

Dra. Ana Brian Nougreres40 al indicar que: “El término Smart Privacy que puede traducirse
como privacidad inteligente, hace referencia a un concepto que abarca un amplio espectro
de medidas de protección de datos, comprensivo de todo lo necesario para asegurar que los
datos personales que están en manos de las autoridades públicas y privadas, son
administrados de forma adecuada”. Esta definición nos permite concluir que, los
responsables y encargados de tratamiento de datos, llamados a cumplir estrictamente con los
postulados legales proteccionistas del ciudadano, deberán implementar mecanismos eficaces
de su cumplimiento, auditables, medibles iniciando por la garantía de la seguridad cuando
los datos circulan por la red, lo que a mi juicio permite cumplir con los postulados de que
tratan las legislaciones a nivel mundial al abogar por un tratamiento de datos leal y lícito,

39 Numeral 2 Articulo 1 Proyecto de Ley Estatutaria No. 89 de 2017 Senado, Por medio del cual se modifica la Ley
estatutaria 1581 de 2012” rescatado de
http://www.imprenta.gov.co/gacetap/gaceta.mostrar_documento?p_tipo=83&p_numero=89&p_consec=49365

40Nougreres Brian, Ana (2012). LA PROTECCION INTELIGENTE DE LOS DATOS PERSONALES: PRIVACY BY DESIGN.
(PbD). Revista Internacional de Protección de datos personales. Universidad de los Andes. Facultad de Derecho-
Bogotá Colombia. No. 1 Julio – Diciembre de 2012. Recuperado de https://habeasdatacolombia.uniandes.edu.co/wp-
content/uploads/ok6_-Ana-Brian-Nougreres_FINAL.pdf

52
 53

haciendo hincapié en que, tal como ha sido manifestado por la ONU, “las empresas
comerciales tienen la responsabilidad de respetar los derechos humanos”.41

En efecto, considero que garantizando desde el inicio de la creación de soluciones

empresariales para el tratamiento de datos en cloud, una construcción de la mismas basada
en medidas de prevención de fuga, tratamiento proporcional, autorregulación de la empresa
prestadora del servicio, capacitación y sensibilización al personal, es el camino para lograr
un balance adecuado entre esa libertad de empresa, que permite a las prestadoras de este
servicio ser competitivas y poner a disposición del mercado diversas soluciones, con las
necesidades de otras empresas que deben hacer tratamiento de datos personales y que,
compelidas por las regulaciones deben hacerlo de la manera más proteccionista posible, pues
en medio de esta balanza de intereses y derechos se encuentra ni más ni menos que la
dignidad de la persona, que como titular de la información y de sus datos, le asiste todo el
derecho para que los mismos sean tratados de manera proporcional y con los más altos
estándares de protección, medidas de salvaguarda, procedimientos de destrucción y garantía
de derecho al olvido.

Y es que no debe dejarse de lado que, con la irrupción de nuevas tecnologías y nuevas formas
de generar ingresos por parte de empresas que, aprovechándose de las ventajas que representa
estar inmersos en una sociedad donde la información es el activo más importante, hacen uso
desmedido de los datos personales proporcionados por las personas para generar valor y
cumplir con sus objetivos en algunas ocasiones con desmedro de los derechos de los
particulares y es allí donde debe confluir regulación legal, autorregulación de la empresa
prestadora, intervención de autoridades de control, capacitación al ciudadano, y convenios
internacionales a través de redes de apoyo que redunden siempre en beneficio de la persona
y la protección del activo más importante que posee, que no es otro que sus propios datos,
ligado indefectiblemente a su dignidad.

41ONU. Asamblea General. Consejo de Derechos Humanos, El Derecho a la Privacidad en la era digital. Vigésimo
octavo periodo de sesiones. A.HRC.28/L.27. Recuperado de
http://ap.ohchr.org/documents/S/HRC/d_res_dec/A_HRC_28_L27.pdf

53
 54

En el proyecto de ley de reforma que se ha venido analizando, trae su autor en el informe de

ponencia para segundo debate42 un propósito que creo vale la pena relatar y que estriba en la
necesidad de que se faculte expresamente a la autoridad colombiana de protección de datos
“para que pueda realizar cualquier gestión contra Responsables o Encargados ubicados en
otros países que desde los mismos desconocen los derechos o realizan tratamientos
indebidos de los datos personales de colombianas y colombianos o de extranjeros
domiciliados o ubicados en nuestro País”. (negrilla fuera del texto).

En este punto, vale la pena destacar que si bien nuestra legislación actual ha introducido
conceptos claves en la protección de datos y ha establecido para las empresas responsables
de tratamiento grandes responsabilidades para garantizar un uso justo y adecuado de los
mismos, resulta innegable la necesidad de que el legislador colombiano dé un paso más y
tenga presente que en un mundo cada vez más globalizado, el tratamiento de datos de
colombianos y sus posibles vulneraciones se están dando en espacios de almacenamiento
cloud donde es necesaria la intervención estatal , pues considero no toda la regulación de la
relación debe dejarse a los acuerdos de voluntades entre las partes contratistas y contratantes
del servicio, pues de por medio está el fundamento de estos negocios que estriba, entre otros,
en la información personal de los particulares.

Po otro lado, y pese a que es innegable la importancia y la necesidad de otorgar herramientas

eficaces a nuestra autoridad de control, es mi opinión que, en la realidad, y para lograr el
propósito trazado, han de requerirse mayores esfuerzos a efectos de materializar los “brazos
y dientes” que el legislador quiere otorgarle. Y en este sentido considero, que debe hacerse
un esfuerzo a nivel internacional para lograr armonizar las legislaciones y similares
necesidades que tienen los países en torno a brindar garantías a sus ciudadanos
correlativamente con la necesidad que también se presenta de brindar garantías a las empresas
prestadoras de servicios de almacenamiento y tratamiento de información cloud para que
puedan ejercer su objeto social como garantía del derecho a la libre empresa.

42Proyecto de Ley Estatutaria No. 89 de 2017 Senado, Por medio del cual se modifica la Ley estatutaria 1581 de 2012”
Recuperado de
http://www.imprenta.gov.co/gacetap/gaceta.mostrar_documento?p_tipo=83&p_numero=89&p_consec=49365

54
 55

Este esfuerzo al que hago referencia considero debe involucrar a las autoridades de control
en los países y que puedan agruparse en torno a instancias internacionales creadas
exclusivamente para abordar los temas de protección de datos personales y que se creen para
el efecto, dentro de un ambiente colaborativo, participativo, decisorio y de intervención en el
que se ponderen los intereses involucrados y claramente se otorgue el nivel de protección al
ser humano ante posibles violaciones a su derecho a la privacidad de la información causado
por empresas multinacionales o incluso particulares y por qué no autoridades
gubernamentales. Mi propuesta es que, todas los esfuerzos regulatorios que se han hecho
desde la Unión europea, y Latinoamérica con el aporte importante de Países como México,
Perú, Argentina, Colombia entre otros, se condense en organismos internacionales dotados
de toda autoridad administrativa, y porque no judicial y que confluyan allí todas las
investigaciones criminales, comerciales civiles etc., de posibles hechos violatorios al
derecho fundamental al habeas data de cualquier ciudadano y donde tengan cabida principios
fundamentales como el derecho al debido proceso para que los posibles responsables tengan
allí también oportunidad de ser oídos esto porque, si bien es cierto es necesario poner freno
al apetito de información y uso algunas veces indebido de la misma por parte de empresas
que, aprovechando las bondades de la tecnología y del internet quieran indebidamente usar
los datos que recolectan, no es menos cierto que, una injerencia directa de las autoridades
gubernamentales en políticas internas de estas empresas podría a mi juicio derivar en
situaciones de conflicto incluso diplomático, porque, como se ha explicado, el tema de la
ubicación de la empresa prestadora, del datacenter, de la empresa contratante, y de la persona
titular de la información en las más de las veces difiere. Por ello es necesario lograr un
consenso internacional de principios generales básicos a adoptarse por los países que reglen
la actuación de sus connacionales y que las posibles violaciones al derecho de habeas data se
ventilen ante autoridades de corte internacional, dado el asunto de las jurisdicciones, se creen
precedentes y se impongan sanciones ejemplarizantes.

Para finalizar me perece importante recalcar la necesidad de respeto de los derechos

humanos, especialmente el de la privacidad en el ámbito empresarial. Si bien es cierto las
empresas a todo nivel tienen sus expectativas comerciales y de negocio claramente definidas,
no es menos cierto que, mediante la utilización de datos personales a gran escala y con una

55
 56

organización definida y estructurada y con apoyo de la internet y almacenaje allí a gran

escala, se permite la optimización de recursos empresariales hacia la consecución de
objetivos comerciales a menor coste lo cual en manera alguna debe significar un
aprovechamiento desmedido de los datos personales que utiliza que perjudique a sus titulares.

Conclusiones

Con la irrupción de nuevas tecnologías de tratamiento de datos y almacenamiento de

información se han generado nuevas relaciones jurídicas que plantean diversas situaciones
en las que debe necesariamente existir una interacción de normas encaminadas a orientar la
eventual resolución de conflictos y a regular la relación jurídica que surge, teniendo en cuenta
los actores, limites espaciales, temporales e incluso las mismas máquinas que hacen parte del
proceso de almacenamiento e intercambio de información mediante el uso de plataformas de
internet.

Es necesario proceder con ejercicios de ponderación de derechos en cuanto tiene que ver con
la libre empresa por el ofrecimiento de servicios de tratamiento de datos versus los derechos
que le asisten a los titulares de la información privada que es utilizada por operadores de
tratamiento de ésta para diversos objetivos enmarados las más de las veces en operaciones
de índole comercial e incluso el interés general al que puede abogar los estados por asuntos
de seguridad nacional ante la posible comisión de delitos, siempre salvaguardando los
derechos de la persona humana a la llamada autodeterminación de su información y
protección de la misma, como recalco en escenarios de equidad y prevalencia del interés
general.

El ciberespacio no puede derivar en una realidad sin regulación, sin posibilidad de actuación
de las autoridades, las empresas privadas no pueden escudarse en la extraterritorialidad de
sus servidores para omitir cumplimiento de regulaciones locales o incluso internacionales
sobre protección de datos.

56
 57

Dado el crecimiento de la tecnología y los medios de acceso a la información (internet de las

cosas, big data, almacenamiento el cloud), los esfuerzos de los Estados han de enfocarse
hacia el establecimiento de una cooperación transfronteriza efectiva que permita la adopción
de sanciones a empresas infractoras y la reparación de daños eventualmente causados a las
personas por uso indebido de su información privada y confidencial.

La legislación colombiana debe propender por generar marcos de acción que permitan
generar acciones de cooperación internacional pues el tratamiento de datos personales a gran
escala se está dando en escenarios de internet donde la definición de temas de jurisdicción es
clave para la resolución de conflictos.

Referencias

 Moreno Gómez, Gonzalo (2013) Jurisdicción aplicable en materia de datos

personales en los contratos de cloud computing: Análisis Bajo la Legislación
Colombiana. Revista de Derecho, Comunicaciones y Nuevas Tecnologías.
Universidad de los Andes. Bogotá.
 Nougreres Brian, Ana (2012). LA PROTECCION INTELIGENTE DE LOS DATOS
PERSONALES: PRIVACY BY DESIGN. (PbD). Revista Internacional de
Protección de datos personales. Universidad de los Andes. Facultad de Derecho-
Bogotá Colombia. No. 1 Julio – Diciembre de 2012.
 Informe (2014) Protecting Data and Privacy in the Cloud. Microsoft Corporation.
 ONU. Asamblea General. 2013. El derecho a la Privacidad en la Era Digital.
Sexagésimo Octavo Periodo de sesiones.
 ONU. Asamblea General. Consejo de Derechos Humanos, El Derecho a la Privacidad
en la era digital. Vigésimo octavo periodo de sesiones. A.HRC.28/L.27.
 Convenio Sobre la Ciberdelincuencia. Budapest. 23 de Noviembre de 2001
 Legislación Colombiana: Ley Estatutaria 1581 de 2012 Diario Oficial N. 48.587 del
18 de Octubre de 2012.
 Proyecto de Ley Estatutaria No. 89 de 2017 Senado, Por medio del cual se modifica
la Ley estatutaria 1581 de 2012”
 Reglamento UE 2016/679 Parlamento Europeo y Del Consejo, de 27 de Abril de 2016
relativo a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE.
 Ley Federal de Protección de Datos en Posesión de los Particulares. Nueva Ley
Publicada en el Diario oficial de la Federación del 5 de Julio de 2010. Nueva Ley
DOF 05-07-2010.

57
 58

6. Efecto mariposa, habeas data y enfoque sistémico:

inquietudes sobre los retos actuales del tratamiento de los
datos personales en la legislación colombiana, ante
instituciones como el contrato de mandato y la interpretación
constitucional por principios, y teniendo de presente el nuevo
Reglamento Europeo (RGPD). Camilo García Sarmiento y
Claudia María Josefina García de Jeanjean
Universidad Católica de Colombia

Resumen

Este artículo busca presentar inquietudes sobre los retos ante la llegada del nuevo Reglamento
Europeo de Protección de Datos Personales (RGPD), y la necesidad de adoptar dicha
normativa bajo un enfoque sistémico, planteando como hipótesis que puede incorporarse
parte de su contenido sin necesidad de reformar las Leyes 1266 de 2008 y 1581 de 2012,
mediante la reglamentación del Art. 27 del último estatuto, y aplicando instituciones jurídicas
ya existentes como el mandato civil y la interpretación constitucional por principios.

Palabras Clave: teoría del caos, efecto mariposa, habeas data, Reglamento General de
Protección de Datos (RGPD), Ley 1266 de 2008, Ley 1581 de 2012, tratamiento de datos
personales, contrato de mandato civil, interpretación constitucional por principios

Abstract

This article pretends to suggest concerns about new challenges on the issue of personal data
protection, according to the entry into force in Europe of the new General Data Protection
Regulation (GDPR), and the need of adopt this regulation in Colombia under a systemic
approach. Raising as hypothesis that it is possible to incorporate a substantial part of its
content in our country without overhauling Act 1266 of 2008 and Act 1582 of 2012, through
a regulatory decree of Article 27, Act 1582 of 2012, and applying also preexistent institutions
like the civil mandate and the constitutional interpretation by principles.

58
 59

Key words: chaos theory, butterfly theory, habeas data, General Data Protection Regulation,
Act 1266 of 2008, Act 1582 of 2012, personal data protection, mandate contract,
constitutional interpretation by principles.

Introducción

Este artículo busca presentar inquietudes sobre los retos ante la llegada del nuevo
Reglamento Europeo de Protección de Datos Personales (RGPD), y la necesidad de adoptar
dicha normativa bajo un enfoque sistémico, planteando como hipótesis que puede
incorporarse parte de su contenido sin necesidad de reformar las Leyes 1266 de 2008 y 1581
de 2012, mediante la reglamentación del Art. 27 del último estatuto, y aplicando instituciones
jurídicas como el mandato civil y la interpretación constitucional por principios.

1. Efecto mariposa: una forma de ver el caos y el Derecho

Hacia 1950, Edward Norton Lorenz, estudiando mediante computadores las

soluciones de un modelo matemático simplificado para capturar el comportamiento de la
convección atmosférica, descubrió que alteraciones mínimas en las variables iniciales (un
levísimo redondeo en tres cifras decimales) conducían a resultados ampliamente divergentes.
A esa sensible dependencia de las condiciones iniciales se le conoció después como “efecto
mariposa”.

En un sistema inestable, o dinámico caótico, cualquier pequeña perturbación o

discrepancia en las condiciones iniciales conducirá a situaciones donde cada sistema
evoluciona de formas notoriamente diferentes, haciendo imposible la predicción a largo
plazo. Según Lorenz, si partimos de dos escenarios climáticos globales casi idénticos, uno
con una mariposa aleteando y el otro sin ella, a largo plazo, el mundo con la mariposa y el
mundo sin la mariposa serán muy diferentes, pudiéndose producir en uno un tornado y en
otro no suceder. Aludiendo un proverbio chino: “el leve aleteo de las alas de una mariposa
se puede sentir al otro lado del mundo”, cambios ínfimos pueden generar efectos
catastróficos (Higgs, 2015).

59
 60

La teoría del caos, desarrollo posterior de las ideas de Lorenz, permite explicar el
comportamiento caótico de los sistemas inestables y complejos, como el tiempo
meteorológico, la bolsa de valores, el sistema solar, las placas tectónicas, los fluidos en
régimen turbulento y el crecimiento demográfico, pero también puede explicar la dinámica
de los ordenamientos o “sistemas” jurídicos (Grün, 1999, 2001).

Si bien a primera vista, Derecho y caos aparentan ser dos conceptos, absoluta e
irreconciliablemente opuestos, entendiendo al primero como un sistema (constituido por sub
sistemas) con función de mecanismo de control social e incluso, de control indirecto de
nuestros sistemas ecológicos – el Derecho, al servir como parámetro de regulación de la
conducta humana, tiene influencia directa en el entorno material – cada vez más y más
complejos por el aumento de las interrelaciones a nivel comunitario, local, nacional e
internacional (derivados de las fuerzas tecnológicas y económicas de la globalización),
vislumbramos que entre más complejo se convierte un sistema, se vuelve más difícil – si no
imposible – su conducción consciente, como lo demuestran los efectos imprevistos
(incremento del riesgo o tendencia a falibilidad) de las decisiones de los legisladores y demás
creadores del Derecho – entre quienes destacamos no solo a los jueces, sino a sus
destinatarios finales, contrapartes contractuales y grupos de interés – encontrando sistemas
que en vez del orden (neguentropía), tienden hacia el caos, al desequilibrio dinámico
(entropía). Por eso Grün postula que el orden planificado es una trampa de la razón. Y al ser
más difícil pensar sobre un paradigma lineal – determinista, en términos de relaciones causa
y efecto, cuanto más complejo se vuelva el sistema, será menos factible regulársele con
esquemas lineales (órdenes).

Debemos aprender a manejarnos a través del caos, entendido no como lo contrario

del orden (cosmos), sino como la apariencia de desorden que presentan situaciones de muy
alta complejidad, típicas de ordenamientos complejos y sistemas dinámicos – las sociedades
y economías postmodernas – que siempre se hallan al borde del caos, y se regeneran a través
de él.

60
 61

El caos (entropía) nos ofrece un orden oculto, y viceversa, el orden (producto de la

planificación) puede convertirse en caos. Noción atractiva para el Derecho en nuestros
tiempos, y particularmente para el área de estudio (tratamiento de datos personales), cuando,
como reitera Grün, que la sociedad entra de tiempo en tiempo en un estado caótico (no de
anarquía, sino de “ultra sensibilidad”), preludio del cambio, del derrumbe – y constante
transformación – de los sistemas tradicionales de valores, de los cuales las normas jurídicas
son una expresión.

Los sistemas jurídicos inspirados en el common law, por oposición a los de tradición
francesa con preeminencia del derecho legislado – normas estáticas, rígidas –, a pesar de
incluir regulación positiva, están basados primordialmente en decisiones de los jueces
considerando, y construyendo precedentes, a partir de hechos únicos, específicos, por lo cual
son inherentemente flexibles y adaptables al cambio con el tiempo y las circunstancias, lo
cual explica la adopción cada vez mayor de este tipo de instituciones en los sistemas de
derecho europeo continental. Además, a medida que las relaciones individuales y colectivas
se vuelven más dinámicas y complejas (llegando a un esquema trasnacional), y las
organizaciones, inicialmente piramidales, se achatan para convertirse en redes, la manera en
que se produce la toma de decisiones cambia, de un orden vertical (instrucciones) a un orden
horizontal, en que todos negocian, en eventual igualdad de condiciones (Grün, 2000).

Ello brinda un escenario propicio para un creciente protagonismo de los individuos y

organizaciones (entidades, empresas) en cuanto al desarrollo de sistemas normativos, de
especial interés para la regulación jurídica del tratamiento de datos personales, tal como la
incesante evolución legal (notable ejemplo, el nuevo Reglamento Europeo de Datos
Personales) lo demuestra para el asunto que ocupa nuestro interés.

61
 62

2. Las Leyes 1266 de 2008 y 1581 de 2012 ante la llegada del nuevo Reglamento Europeo

Reconociendo la visión de avanzada de la Corte Constitucional al sentar los alcances

del derecho fundamental al habeas data, y del legislador Colombiano al diseñar el marco
legal vigente; comparamos el texto de nuestras Leyes Estatutarias 1266 de 2008 y 1581 de
2012 con los parámetros (mucho más exigentes) del Reglamento Europeo 2016 / 679 (con
entrada completa en vigor el 25 de mayo de 2018), y se advierte la necesidad de obligar a los
responsables y encargados del tratamiento de datos “hacia el usuario y no hacia el negocio”,
brindando al titular del habeas data cada vez mayor control y poder sobre su propia
información personal, a través de mayores exigencias para quienes gestionan los datos en
entornos digitales: consentimiento expreso (no tácito) del titular para la gestión de datos, y
deber de brindarle información completa – y más rigurosa – sobre el tratamiento de su propia
información personal; garantía al fácil acceso del titular a la información de su interés;
derechos a portabilidad de los datos, a la supresión (olvido) y a oponerse al uso de datos
personales, particularmente en el establecimiento de perfiles, etc.

Sobre la fundamentalidad y contenido esencial del derecho al habeas data, nuestra

Corte Constitucional (2017, febrero 17, Sentencia T – 101) ha establecido que, además de su
estrecha relación con otras garantías constitucionales (derechos de petición y a la
información, la honra, intimidad, reputación, libre desarrollo de la personalidad y buen
nombre, entre otras) éste es un derecho fundamental autónomo, con un contenido específico,
el poder de control que el titular de la información recopilada sobre él en bases de datos y
archivos de terceros puede ejercer sobre quién (y cómo) administra la información que le
concierne; y por ende, de exigirle a las administradoras de dichos datos el acceso, inclusión,
exclusión, corrección, adición, actualización y certificación de los datos, así como la
limitación en las posibilidades de divulgación, publicación y cesión de los mismos, según los
principios ahora contenidos en el régimen de protección de las Leyes Estatutarias 1266 de
2008 y 1581 de 2012.

62
 63

Estas nociones son coincidentes con el constitucionalismo anglosajón,

iberoamericano y europeo, lo cual resulta de gran importancia para la hipótesis sugerida, la
posibilidad de implementar gran parte de los adelantos del Reglamento Europeo de
Protección de Datos Personales (y los Estándares de Protección de Datos Personales para los
Estados Iberoamericanos, 2017) sin necesidad de reformar las Leyes Estatutarias 1266 y
1581, pues muchos de sus contenidos pueden ser adaptados al contexto nacional en ejercicio
del poder reglamentario del Art. 27 de la Ley 1581 de 2012, y acudiendo a instituciones
jurídicas preexistentes (como el contrato de mandato civil), pudiendo invocarse sobre la
afinidad interpretativa que claramente tienen con los principios rectores del Arts. 4º de las
Leyes 1266 y 1581, respectivamente, a partir de la delimitación que sobre el núcleo esencial
del habeas data ha hecho la Corte Constitucional como guardián de la integridad y
supremacía de la Constitución (Art. 241 C.P.).

De lo cual, advirtiendo el dinamismo del problema en el contexto digital y su carácter

caótico que nos obliga a asumir un enfoque sistémico, derivan dos importantes consecuencias
para la promoción de las buenas prácticas en el tratamiento de los datos personales, tanto
desde la concientización pública y la promoción de políticas transparentes y actualizadas,
como desde la Superintendencia de Industria y Comercio como ente de vigilancia y control,
así como la actividad propia de los jueces ordinarios y de tutela (a traducirse en la
reglamentación de la normativa ya existente; la proposición eventual de nuevos desarrollos
legislativos, y el desarrollo de una doctrina uniforme para la solución de casos concretos).

La primera, es dilucidar si, más allá de la regulación sobre el ejercicio de un derecho

fundamental (que por esa sola razón, es un derecho subjetivo), sea posible postular la
configuración de una relación contractual entre el titular del habeas data y el encargado y/o
responsable del tratamiento (Ley 1581), y la fuente, usuario u operador de información (Ley
1266), con ocasión de la recolección y tratamiento de dicha información.

Al respecto, estas dos Leyes Estatutarias son enfáticas en consagrar un completo

régimen de derechos para los titulares de la información, así como de deberes frente a quienes
realizan y deciden sobre el tratamiento de los datos personales, incluyendo su interés por

63
 64

exigir parámetros inequívocos en cuanto al consentimiento del titular del habeas data, frente
a la recolección y tratamiento de la información, lo que inevitablemente nos sugiere una
relación contractual, y la necesidad de definir, si los administradores de datos estarían o no
legitimados para exigir el cumplimiento de obligaciones por parte de los titulares, o incluso
aún, podrían aspirar a ser titulares de derechos reales sobre todo o parte de la información
por el simple hecho de recopilar y administrar este insumo (tal como, de facto, y en forma
abusiva tiende a darse, situación que ha ameritado nacional e internacionalmente una estricta
regulación).

Para resolver este problema, la figura contractual más a la mano es el contrato de

mandato, civil y mercantil (Arts. 2142 a 2199 C.C., y 1262 a 1286 C. de Co.). Al tenor del
Art. 2142 C.C., el mandato es un contrato en que una persona (comitente o mandante) confía
la gestión de uno o más negocios a otra (apoderado, procurador o mandatario), que se hace
cargo de ellos por cuenta y riesgo de la primera. Para el Art. 1262 C. de Co., el mandato
comercial es un contrato por el cual una parte se obliga a celebrar o ejecutar uno o más actos
de comercio por cuenta de otra (situación que por fortuna no puede aplicarse aquí, ya que el
tratamiento de los datos personales no puede entenderse como un acto de comercio – salvo
que medie autorización inequívoca del titular para su comercialización – y ofrece bajo el
amparo del Art. 1279 C. de Co., la posibilidad de convenir la irrevocabilidad, abriendo una
inaceptable ventana al abuso).

Si trasponemos los elementos esenciales del mandato civil al tratamiento de datos

personales, encontramos que a falta de una absoluta identidad, sí existen importantes
coincidencias: a) la necesidad, salvo las excepciones del Art. 10 de la Ley 1581, de obtener
la autorización previa e informada del titular, por cualquier medio que pueda ser objeto de
consulta posterior, cuya solicitud deberá cumplir con unos parámetros mínimos para precaver
un vicio en el consentimiento (Arts. 9º y 12, Ley 1581), haciendo notar que dicho
requerimiento tiene parámetros particulares para el habeas data financiero (Art. 6º, Ley 1266
de 2008); b) la evidente similitud entre la noción de “administración” inherente al
tratamiento de datos personales y la de “gestión” a que hace referencia el Art. 2142 C.C.

64
 65

Si fuere conveniente acudir al mandato civil para salvaguardar el derecho

fundamental, su regulación en el Código Civil ofrece interesantes posibilidades (y desafíos),
al definir y ejercer la reglamentación sobre Normas Corporativas Vinculantes (NCV) al
amparo del Art. 27 de la Ley 1581 de 2012: la posibilidad de estipular una remuneración
cuando el mandato es oneroso (Art. 2143 C.C.); la consensualidad del mandato (que admite
la aquiescencia y perfeccionamiento tácitos, Arts. 2149 y 2150 C.C.); la responsabilidad del
mandatario (hasta de la culpa leve por regla general, y más estricta sobre el mandatario
remunerado, Art. 2155 Ibid.); límites y facultades del mandatario (Arts. 2157 y 2158), con la
posibilidad de delegar (Arts. 2161 a 2164) y la existencia eventual de la cláusula de libre
administración (Art. 2159); interpretación de facultades en ausencia del mandante (Art.
2174); deber de lealtad del mandatario (Art. 2175); responsabilidad del mandatario por
extralimitación en el mandato (Art. 2180); rendición de cuentas (Art. 2181); obligaciones del
mandante (Art. 2184) y las causales de terminación del mandato (Art. 2189 C.C.), dentro de
las cuales destaca la revocación del mandante (Núm. 3º, Art. 2189), justificada por la Corte
Suprema de Justicia, Sala de Casación Civil, al explicar que este tipo de contratos, por ser
intuitu personae se basa fundamentalmente en la confianza que el mandante dispensa al
mandatario (1970, noviembre 17; y 2014, septiembre 9), pero reconociendo la posibilidad
del abuso del derecho (1955, julio 6, y 2010, septiembre 16).

La posibilidad de invocar las normas sobre el contrato del mandato por analogía (Art.
8º, Ley 153 de 1887) para suplir eventuales vacíos normativos de las Leyes 1266 y 1581, es
viable dada la notable similitud o semejanza entre la administración de datos y el contrato de
mandato que, como se indicó, supone una actividad de gestión.

Así las cosas, los derechos de los titulares (Art. 8º, Ley 1581) y los correlativos
deberes de los responsables y encargados del tratamiento (Arts. 17 y 18 Ibíd.), se pueden
entender como inherentes al objeto de un mandato cualificado, cual es, se insiste, el
tratamiento de los datos personales de los titulares, recopilados bien sea por mandato legal o
por acuerdo de voluntades (convención, contrato, negocio jurídico) entre las partes, siendo
esto último el caso más usual en la práctica (y que por supuesto, requiere mayor atención), si
se entiende la autorización previa e informada del titular (Art. 9º, Ley 1581) como una

65
 66

expresión válida, inequívoca de consentimiento libre de vicios, con causa y objeto lícitos (y
además, con carácter de solemnidad ad probationem), tal como es el propósito verdadero del
Art. 9º.
Más similitudes: dentro de los derechos de los titulares (Art. 8º, Ley 1581), destella
la facultad de revocar la autorización y/o solicitar la supresión del dato cuando en el
tratamiento no se respeten los principios, derechos y garantías constitucionales y legales,
previa determinación por parte de la Superintendencia de Industria y Comercio de que,
precisamente, en el tratamiento el responsable o encargado haya incurrido en conductas
contrarias a dicha ley y a la Constitución. Esta disposición bien puede entenderse como una
limitación a la facultad de revocación unilateral del mandato civil (Núm. 3º, Art. 2189 C.C.),
dentro de unos límites constitucional y legalmente razonables (esto es, el orden público y los
derechos de terceros interesados, o cotitulares, en el recaudo y tratamiento de la información),
que en todo caso, impide que los encargados y responsables, de manera por demás atrevida
pretendan imponer la irrevocabilidad del mandato mercantil (Art. 1279 C. de Co.) al
momento de solicitar la autorización (como se ha visto en el pasado, en otras jurisdicciones).
Ni hablar también sobre la distinción entre responsables y encargados del tratamiento de
datos, la cual resulta afín a la figura de la delegación ínsita al mandato civil (Arts. 2161 a
2164 C.C.).

En nuestra opinión, tal vez la mayor importancia derivada de explorar la posibilidad

de utilizar normas del mandato para suplir vacíos normativos de las Leyes 1266 y 1581,
radica en la determinación del grado e imputación de responsabilidad de los encargados y
responsables del tratamiento de datos ante la jurisdicción civil. Nótese que la Ley 1581 dedica
un título completo a los mecanismos de vigilancia y sanción, pero el tratamiento coercitivo
y sancionatorio del tema (incluyendo la viabilidad de disponer el bloqueo temporal de datos,
como alternativa a una típica medida cautelar innominada en proceso judicial) se realiza
básicamente en sede administrativa, y no contempla la posibilidad, para el afectado, de
reclamar perjuicios (materiales o morales), consecuentes a la respectiva infracción. En este
contexto, la posibilidad de exigir y discutir judicialmente el resarcimiento del daño
antijurídico por el tratamiento irresponsable de los datos, se contrae: a) a la eventual orden,
a ser impartida de oficio por el juez de tutela cuando el afectado no disponga de otro medio

66
 67

judicial, y la violación del derecho constitucional sea manifiesta y consecuencia de una

acción clara e indiscutiblemente arbitraria, de ordenar en abstracto (in genere) la
indemnización – exclusivamente – del daño emergente causado, cuya liquidación se hará
ante la jurisdicción de lo contencioso administrativo o ante el juez competente (en el caso de
particulares), por trámite incidental, dentro de los seis meses siguientes (Art. 25, Decreto
2591 de 1991); y b) la discusión judicial en proceso declarativo (en la cual sí es posible exigir
lucro cesante y daño moral subjetivo), la cual para el caso de los particulares, tiene que
tramitarse ante la jurisdicción civil.

En este punto, la discusión sobre el origen de la responsabilidad (contractual o

extracontractual) adquiere relevancia fundamental, máxime cuando de vieja data se tiene
sentado que la imputación a título de responsabilidad contractual o extracontractual, es
mutuamente excluyente (y exige la formulación de pretensiones declarativas principales y
subsidiarias en su libelo; Art. 88, Núm. 2, Ley 1564 de 2012). Lo cual también puede tener
efectos en cuanto a la competencia territorial del juez civil, ya que la ley procesal permite la
concurrencia de fueros, entre el domicilio del demandado (regla básica del Núm. 1º, Art. 28
C.G.P.), y el lugar de cumplimiento de cualquiera de las obligaciones (Núm. 3º, Art. 28 Ibíd.),
o el lugar donde sucedió el hecho (Núm. 6º, Art. 28), dependiendo si nos encontramos frente
a procesos originados en un negocio jurídico o en responsabilidad extracontractual. Por lo
cual la eventual asimilación o no del tratamiento de datos al contrato de mandato, no es un
tema precisamente pacífico, más aún cuando la responsabilidad del mandatario gravita entre
la culpa leve en el cumplimiento – a título gratuito – de su encargo (regla general del Art.
2155 C.C.), y dos extremos claros cuya definición puede llegar a ser confusa, a saber: a) una
responsabilidad “menos estricta” si el mandatario ha manifestado repugnancia al encargo y
se ha visto en cierto modo forzado a aceptarlo, cediendo a las instancias del mandante
(¿podría entenderse así, cuando existe una obligación legal, por ejemplo, la del Núm. 2º del
Art. 51 de la Ley 675 de 2001, cuyo cumplimiento – más adelante se verá – en la práctica
cotidiana no es precisamente muy del agrado de los titulares, responsables y encargados del
tratamiento?), y b) un grado superior (dentro de la culpa leve, sin distinción clara en cuanto
a su delimitación eventual como culpa levísima) sobre el mandatario remunerado (aquí nos
preguntamos: si bien no es lo usual que un titular de información personal “remunere” al

67
 68

encargado o responsable con ocasión del tratamiento, ¿acaso los beneficios que
implícitamente reportarán estos últimos no constituye una manera difusa de remuneración?).

Adicional a lo anterior, recuérdese que la acción jurisdiccional declarativa para

obtener el resarcimiento de perjuicios (a título de responsabilidad contractual o
extracontractual), exige por regla general (salvo cuando se solicite la práctica de medidas
cautelares – Art. 590 C.G.P. – o se adelante el trámite incidental a que se refiere el Decreto
2591 de 1991) el agotamiento de la conciliación extrajudicial en Derecho como requisito de
procedibilidad, al ser el asunto susceptible de conciliación (por versar sobre derechos de
contenido patrimonial y susceptibles a su vez de transacción, renuncia o desistimiento, Arts.
19 y 35, Ley 640 de 2001), trámite que debe entenderse como diferente de la consulta o
reclamo ante el responsable o encargado del tratamiento a que hace referencia el Art. 16 de
la Ley 1581, si se opta por el reclamo directo.

Se resalta la importancia de lo expuesto, pues en el tratamiento de datos personales

en un mundo globalizado e interconectado, es más que evidente la tensión entre el titular del
dato personal y el empresario que recolecta, custodia y administra esa información, quien usa
comercialmente dichos contenidos para su beneficio de manera abusiva e invasiva, como si
el cliente “fuera” el producto (en concreto, su perfil personal). Para lo cual no basta el
escándalo reciente de Facebook y Cambridge Analytica, sino recordar el uso indebido por
los nazis de las bases de datos censales para identificar y finalmente exterminar a millones
de personas – y la estrategia que utilizó el gobierno estadounidense en 1942 para reubicar
forzadamente a personas de descendencia japonesa después del ataque a Pearl Harbor –
(Remolina, 2013, 11 a 14), o el caso de Henrietta Lacks, quien en 1951 fue donadora sin su
consentimiento de células de su tumor cancerígeno, que originó una línea de cultivo celular
inmortal (HeLa) cuya producción masiva permitió la cura para la poliomielitis entre otros
logros científicos (Skloot, 2010).

Vemos en este orden, que un tema potencialmente conflictivo es la necesidad de que

el consentimiento sea “inequívoco”, delimitando con mayor precisión, cuando es requerida
la autorización expresa o “explícita” (tal como exige como regla general el Art. 6º de la Ley

68
 69

1581 para datos sensibles), o “mediante una clara acción afirmativa” (esto es, autorización
implícita), como cuando el interesado continua navegando por el sitio web y acepta que se
utilicen cookies para monitorear su navegación, situaciones que terminan cayendo en el
desequilibrio negocial (aun rechazando la implicación contractual que tiene en el mandato su
fuente legítima), pues en la práctica las condiciones prefijadas por el generador de contenidos
digitales se imponen al interesado en acceder a los contenidos, productos o servicios, y
terminan vulnerado el contenido del derecho del titular del habeas data, quien se somete a
un contrato de adhesión, en el cual muchas veces no queda claro su derecho a la revocación
(Núm. 3º, Art. 2189 C.C.), ni las condiciones para el ejercicio material y efectivo de esa
eventual prerrogativa a su favor.

Otro tema, es la gratuidad u onerosidad del ejercicio de los derechos por el titular de
la información. Ya el Reglamento Europeo contempla una regla general de gratuidad,
excepto cuando se formulen solicitudes manifiestamente infundadas o excesivas,
especialmente por repetitivas, situación que se encuadra en los lindes de abuso del derecho,
y dentro de las previsiones que para la administración del mandato, había sentado el Art.
2184 C.C., recordando en el discurso de este documento, lo ya expuesto sobre los grados de
responsabilidad a que se refiere el Art. 2155 C.C., bajo el postulado general de ejecución
contractual de buena fe.

Una tercera inquietud, como ya se vio, emerge en cuanto a la responsabilidad civil

derivada del tratamiento de los datos personales. Más allá de la litigiosidad inherente al
amparo mediante acción de tutela, y a las decisiones tomadas por la Superintendencia de
Industria y Comercio en virtud del régimen legal sancionatorio (destacándose la Resolución
12809, 2018, febrero 23, sobre protección de datos biométricos en el entorno laboral), es
clara la posibilidad de exigir judicialmente el resarcimiento de perjuicios por el tratamiento
irresponsable de la información – para lo cual, curiosamente, la aplicación de un régimen de
responsabilidad contractual es más garantista, y más fácil de aplicar para los intereses de los
titulares de datos – y nuevos retos en cuanto a reconocer lo que desde ya se ha anunciado con
Cambridge Analytica: que debe existir una corresponsabilidad que involucre al titular de la
información, el primer responsable por el cuidado de sus propios datos, y quien puede con

69
 70

su comportamiento, conducir incluso a una exoneración total o parcial de la responsabilidad

(Grimalt, 1999).

En este orden de ideas, tenemos que si bien es cierto que asimilar la administración
de datos personales al contrato de mandato no se ajusta del todo (pues la regulación expresa
de las Leyes 1266 y 1581 constituye un régimen especial, con carácter de norma imperativa
y de orden público en todos sus artículos), también es necesario reconocer que la normativa
nacional se está quedando corta en temas que surgen con ocasión de las problemáticas
prácticas en la dinámica del tratamiento, especialmente en entornos alejados de aquellos
campos más conocidos para el público en general, tales como las redes sociales y las centrales
de riesgo.

Por ejemplo: el Núm. 2º del Art. 51 de la Ley 675 de 2001 (por medio de la cual se
expide el régimen de propiedad horizontal) obliga al administrador, dentro de sus funciones
legales, a llevar directamente o bajo su dependencia y responsabilidad, el registro de
propietarios y residentes de la copropiedad. Por otra parte, el Art. 128 del Código Nacional
de Policía (Ley 1801 de 2016) consagra la obligación de llevar un registro de los ejemplares
caninos potencialmente peligrosos ante las Alcaldías, en el cual debe constar necesariamente
el nombre del ejemplar canino, la identificación y lugar de ubicación de su propietario, y el
lugar habitual de residencia del animal, con la especificación de si está destinado a convivir
con los seres humanos o si será destinado a la guarda, protección u otra tarea específica, entre
otra información. El Art. 129 siguiente, estatuye que en los conjuntos cerrados,
urbanizaciones y edificios con régimen de propiedad horizontal, podrá prohibirse la
permanencia de ejemplares caninos potencialmente peligrosos, a solicitud de cualquiera de
los copropietarios o residentes y por decisión calificada de tres cuartas partes de las
asambleas o juntas directivas de la copropiedad. El Art. 129 del mismo Código prohíbe omitir
la recogida de los excrementos de los animales, por parte de sus tenedores o propietarios, o
dejarlos abandonados después de recogidos, cuando ello ocurra en el espacio público o en
áreas comunes (Núm. 1º), o trasladar un canino de raza potencialmente peligrosa en el
espacio público, lugares abiertos al público, transporte público o en las zonas comunes, sin
bozal, trailla o demás implementos establecidos por las normas vigentes. Lo cual implica que

70
 71

la identificación y censo de las mascotas (y por supuesto, de los ejemplares caninos

potencialmente peligrosos) es un asunto de interés para las propiedades horizontales, que
conlleva forzosamente a la necesidad de llevar un registro de los propietarios y residentes
(entre ellos, menores de edad), con el fin de dar aplicación real y práctica a las normas
anteriores.

Esta simple situación (llevar un registro de propietarios y residentes de una

copropiedad por el simple hecho de regular la tenencia responsable de sus mascotas), exige
de los administradores (precisamente, como mandatarios de la Asamblea General) el
cumplimiento de la totalidad de deberes impuestos por la Ley 1581 de 2012, y conduce a
amargas discusiones sobre qué datos tienen un carácter semiprivado, privado o incluso
sensible (¿acaso la tenencia de un animal potencialmente peligroso no puede llegar a ser una
fuente inmediata de discriminación entre la comunidad del mismo conjunto?). Ni qué decir
sobre otro tipo de información de interés para la misma copropiedad, y cuya determinación
o recolección requiere en la práctica de un difícil consenso: la actualización de información
sobre los titulares de derechos reales de dominio de cada unidad privada (a recaudar
cotidianamente mediante la exigencia del certificado de libertad y tradición del inmueble al
celebrarse la Asamblea Ordinaria de Copropietarios) o de vehículos estacionados en las zonas
privadas o comunes (lo que implica exigir fotocopia de la tarjeta de propiedad del bien): el
suministro de copias de los contratos de arrendamiento a la administración del Conjunto
(requerimiento que genera oposición cotidiana por parte de los arrendadores y
administradores inmobiliarios, quienes a su vez, en virtud de su labor profesional, terminan
manejando datos privados de sus arrendatarios); y por supuesto, la recolección, tratamiento
y difusión de información sobre deudores morosos, la cual ha generado una línea
jurisprudencial según la cual la recuperación de la cartera rebasa el interés particular del
residente que incumple, pues es un asunto que interesa, e incluso afecta, e manera especial,
a todo el conjunto residencial, por lo cual no es factible deducir vulneración del derecho a la
intimidad (C. Constitucional, 1999, octubre 11, Sentencia T – 752), sin perjuicio de que, el
tratamiento y divulgación de la información sobre el estado de cartera (datos semiprivados)
llegue a generar problemas prácticos en cuanto a su manejo (relevantes para la Ley 1581,
como la empezado a descubrir la misma Superintendencia de Industria y Comercio con

71
 72

ocasión de expedientes sancionatorios promovidos muchas veces por copropietarios

quejosos).

Otra manifestación del ejemplo anterior: la determinación sobre si una persona

natural es residente o no en un conjunto residencial (información cuyo carácter, bien sea,
dato privado, semiprivado o público, ofrece un amplio margen de discusión en el seno del
Consejo de Administración o la Asamblea General de Copropietarios al momento de definir
los manuales respectivos), lejos de ser inocua, tiene connotaciones trascendentales en la
resolución de casos en los cuales establecer la notoriedad y duración de la convivencia de
una pareja (y sobre todo, sus extremos temporales) marca la diferencia para efectos de decidir
sobre la conformación de una sociedad patrimonial de hecho entre compañeros permanentes,
o una pensión de sobrevivientes (bien sea, tratándose de convivencia singular o simultánea
del afiliado o pensionado fallecido con una o múltiples consortes). En este tipo de procesos,
es muy usual encontrar el aporte como pruebas documentales de certificaciones del
administrador de la propiedad horizontal para acreditar la convivencia, lo cual ofrece el
marco para la discusión sobre la legalidad y validez de esta prueba si el tratamiento de esta
información (por su naturaleza, datos personales) fue recogida de acuerdo con los marcos
constitucionales y legales pertinentes. Advirtiéndose que la obtención de datos personales sin
contar con la autorización del titular, es una situación que perfectamente puede conllevar a
la nulidad de pleno derecho del medio probatorio (Art. 29, Constitución Política; Art. 164
C.G.P.) y definir – a modo inesperado de “efecto mariposa” tal como se arrancó en el acápite
introductorio – la suerte de un litigio de este tipo.

Todo lo expuesto, simplemente para enfatizar que la protección de datos personales

es un asunto que toca todos los aspectos cotidianos de nuestra vida, y no solo los tal vez más
visibles para el público cuales son, como ya se dijo, las redes sociales y las centrales de
riesgo, y que no han sido, precisamente, de mayor interés al estudiar regulaciones novedosas
como el nuevo Reglamento Europeo (el cual, no debe olvidarse, aplica también a plenitud en
ámbitos tan humildes como el tratamiento de datos personales por parte de condominios).

72
 73

La segunda consecuencia que desde antes advertimos, es la posibilidad de reforzar

los alcances de la normatividad actualmente vigente en nuestro país, acudiendo, no tanto a
una reforma legislativa, sino a la sinergia admisible entre los principios y reglas establecidos
por el nuevo Reglamento Europeo, y los principios y reglas que ya han sido decantados por
nuestra Corte Constitucional con fundamento en el Art. 15 Superior, y compilados por las
Leyes Estatutarias 1266 de 2008 y 1581 de 2012.

En cuanto a la interpretación de derechos y garantías constitucionales mediante

principios (labor desarrollada por la Corte Constitucional al delimitar los alcances del
derecho al habeas data, y luego por el legislador al proferir las Leyes Estatutarias en cita
bajo una concepción principialística), recordemos que éstos son normas de aplicación
inmediata tanto por el legislador como por el juez ordinario e incluso constitucional, al
consagrar prescripciones jurídicas generales que: a) suponen una delimitación política y
axiológica reconocida para garantizar al amparo del derecho subjetivo, y b) delimitan el
ámbito de discrecionalidad legal y judicial, al restringir, a pesar de su carácter general e
inevitable textura abierta, el espacio de interpretación (C. Constitucional, 1992, junio 5;
Sentencia T – 406; y 2016, febrero 10; Sentencia C – 054).

Así las cosas, los tradicionales derechos ARCO (acceso, rectificación, cancelación y
oposición) desarrollados con la Directiva 95 / 46 / CE, han sido reforzados y complementados
con el nuevo Reglamento Europeo, por ejemplo, reconociendo el derecho a obtener una copia
de los datos personales objeto de tratamiento; efectuando solicitudes de limitación de
tratamiento que antes no eran procedentes, o garantizando la portabilidad de los datos, como
formas avanzadas del derecho de acceso.

Aplicando estas directrices foráneas al contexto colombiano, y volviendo al ejemplo

del tratamiento (y se insiste, administración) de los datos personales en el contexto de la
propiedad horizontal, es inevitable la discusión entre el copropietario o residente
individualmente considerado (titular de la información), de una parte, y por la otra, de la
propiedad horizontal, entendida ésta como persona jurídica conformada por los propietarios
de los bienes de dominio particular (Art. 32, Ley 675 de 2001), y los demás copropietarios

73
 74

que, en Asamblea General, han tomado, mediante votación cualificada del 70 % de los
coeficientes de copropiedad (Art. 46, Núm. 5º), las decisiones sobre obligaciones y derechos
de los miembros de la comunidad (a consignar, específicamente, en el Reglamento de
Propiedad Horizontal, Arts. 5º, 59 y 60, Ley 675), teniendo en cuenta aspectos de convivencia
pacífica, respeto a la dignidad humana, acatamiento de la ley, y respeto de los derechos
legales y constitucionales ajenos (entre ellos, los de igualdad, libre desarrollo de la
personalidad, habeas data y la intimidad), dentro de los postulados de la buena fe y
prohibición del abuso de los derechos (Arts. 1º, 2º, 13, 15, 16, 83, y 95, Núm. 2º, Constitución
Política). Situación que obliga a la copropiedad, como entidad obligada legalmente a la
recolección y demás operaciones de tratamiento de datos personales, a adoptar un manual
interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley
1581 (y en especial, para la atención de consultas y reclamos), políticas y procedimientos
que deben desarrollarse y aceptarse por la Asamblea General, teniendo de presente los
principios rectores estatuidos por el Art. 4º de la Ley 1581. Con lo cual surgen problemáticas
de difícil solución para la comunidad, así como para el encargado y responsable – quien por
lo general, será la misma persona jurídica – del tratamiento (¿cuáles datos recaudar? ¿Cómo
utilizarlos? ¿con qué finalidad?), que además, para llegar a ser jurídicamente exigibles frente
a los propios asociados (esto es, empleando medidas sancionatorias ante la negativa de
copropietarios o residentes a darles cumplimiento) deben ser aprobadas por la Asamblea y,
lo más importante, formar parte integral del reglamento de copropiedad (lo cual implica una
reforma estatutaria y la consecuente inscripción de la misma en todos los folios de matrícula
inmobiliaria de los condóminos: situación que resulta bastante onerosa y ha motivado en la
práctica la adopción de manuales de convivencia que muchísimas veces conviven en forma
paralela con el respectivo reglamento). De ahí que la aplicación de estos principios rectores
(acudiendo de ser el caso, no solo a la doctrina constitucional colombiana, sino incluso a
referentes foráneos dentro de los cuales destaca, precisamente, el nuevo Reglamento
Europeo), de manera principialística, es una necesidad insalvable para lograr consensos
razonables y justos, esto es, respetuosos de los derechos constitucionales de los titulares de
la información.

74
 75

Estas nuevas directrices, tal como lo insinúa el precitado ejemplo, pueden ser
desarrolladas reglamentaria o jurisprudencialmente, al reconocer que la estructura de estos
derechos (que se fundamenta en principios rectores establecidos por las Leyes 1266 de 2008
y 1581 de 2012), forman parte del núcleo esencial del derecho fundamental al habeas data,
cuyo contenido puede ser invocado directamente a partir de la jurisprudencia de la Corte
Constitucional (tomando, a prudente criterio del intérprete, parámetros como los del nuevo
RGPD), sin necesidad de modificaciones legislativas que, por supuesto, serían convenientes.

Conclusiones

A pesar de no ser este un análisis exhaustivo, creemos que puede adaptarse al

ordenamiento jurídico colombiano, parte sustancial del nuevo Reglamento Europeo de
Protección de Datos Personales, sin necesidad de reformar las Leyes 1266 de 2008 y 1581
de 2012, mediante la reglamentación del Art. 27 del último estatuto, y aplicando (en
contextos tan inusuales como puede ser la administración de la propiedad horizontal)
instituciones jurídicas existentes como el mandato civil y la interpretación constitucional por
principios.

Las arriba indicadas son solo algunas de las posibilidades, sabiendo que la normativa
existente, sobre un tema tan dinámico y complejo (en el cual, por ejemplo, la promoción del
uso responsable de los datos personales puede conducir, como “efecto mariposa”, incluso al
desestimulo de su tratamiento), requiere de un enfoque sistémico, para soluciones flexibles,
basadas en la aplicación de principios rectores a partir de la solución de casos concretos.

75
 76

Referencias

Colombia (1873, mayo 26). Código Civil.

Colombia (1991, julio 20). Constitución Política de Colombia. Bogotá, Colombia:

Gaceta Constitucional Nº 116.

Congreso de la República (2001, enero 5). Ley 640, por la cual se modifican normas
relativas a la conciliación y se dictan otras disposiciones. Bogotá, Colombia: Diario Oficial
Nº 44303 (2001, enero 24).

Congreso de la República (2001, agosto 3). Ley 675, por medio de la cual se expide
el régimen de propiedad horizontal. Bogotá, Colombia: Diario Oficial Nº 44509 (2001,
agosto 4).

Congreso de la República (2008, diciembre 31). Ley Estatutaria 1266, por la cual se
dictan las disposiciones generales del hábeas data y se regula el manejo de la información
contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de
servicios y la proveniente de terceros países y se dictan otras disposiciones. Bogotá,
Colombia: Diario Oficial Nº 47219.

Congreso de la República (2012, julio 12). Ley 1564, por medio de la cual se expide
el Código General del Proceso y se dictan otras disposiciones. Bogotá, Colombia: Diario
Oficial Nº 48489.

Congreso de la República (2012, octubre 17). Ley Estatutaria 1581, por medio de la
cual se dictan disposiciones generales para la protección de datos personales. Bogotá,
Colombia: Diario Oficial Nº 48587 (2012, octubre 18).

Congreso de la República (2016, julio 29). Ley 1801, por la cual se expide el Código
Nacional de Policía. Bogotá, Colombia: Diario Oficial Nº 49949.

76
 77

Corte Constitucional (1992, junio 5). Sentencia T – 406 [M.P.: Angarita, C.].

Corte Constitucional (1999, octubre 11). Sentencia T – 752 [M.P.: Martínez, A.].

Corte Constitucional (2016, febrero 10). Sentencia C – 054 [M.P.: Vargas, L.].

Corte Constitucional (2017, febrero 17). Sentencia T – 101 [M.P.: Rojas, A.].

Corte Suprema de Justicia, Sala de Casación Civil (1955, julio 6). Sentencia [M.P.:
Barrera, M].

Corte Suprema de Justicia, Sala de Casación Civil (1970, noviembre 17). Sentencia
[M.P.: Esguerra, J].

Corte Suprema de Justicia, Sala de Casación Civil (2010, septiembre 16). Sentencia
[M.P.: Valencia, C.].

Corte Suprema de Justicia, Sala de Casación Civil (2014, septiembre 9). Sentencia
SC12122 [M.P.: Vall del Rutten, J.].

Departamento Administrativo de la Presidencia de la República (1991, noviembre

19). Decreto 2591, por la cual se reglamenta la acción de tutela consagrada en el artículo 86
de la Constitución Política. Bogotá, Colombia: Diario Oficial Nº 40165.

Grimalt, P. (1999). La responsabilidad civil en el tratamiento automatizado de datos

personales. Buenos Aires, Argentina: Comares.

Grün, E. (1999). Derecho y caos. Sobre la actual y futura evolución del derecho.
Revista Telemática de Filosofía del Derecho, (3), 2000.

77
 78

Grün, E. (2000). Los nuevos sistemas jurídicos del mundo globalizado. Revista
Telemática de Filosofía del Derecho, (4), 2001.

Grün, E. (2000). El derecho en el mundo globalizado del siglo XXI desde una
perspectiva sistémico – cibernética. Revista Telemática de Filosofía del Derecho, (4), 2001.

Higgs, J. (2015). Historia alternativa del siglo XX: más extraño de lo que cabe
imaginar. Buenos Aires, Argentina. Taurus.

Ministerio de Comercio, Industria y Turismo. Superintendencia de Industria y

Comercio, Dirección de Investigación de Protección de Datos Personales (2018, febrero 23).
Resolución 12809 (Rad. 16 – 314334), por la cual se imparten órdenes administrativas.

Parlamento Europeo y Consejo de la Unión Europea (2016, abril 27). Reglamento

(UE) 2016 / 679, relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga
la Directiva 95 / 46 / CE (Reglamento general de protección de datos).

Presidencia de la República (1971, marzo 27). Decreto 410, por el cual se expide el
Código de Comercio. Bogotá, Colombia: Diario Oficial Nº 33339 (1971, junio 16).

Remolina, N. (2013). Tratamiento de datos personales: aproximación internacional

y comentarios a la Ley 1581 de 2012. Bogotá, Colombia: Legis.

Skloot, R. (2012). La vida inmortal de Henrietta Lacks. Madrid, España: Booket.

78
 79

7. Conclusiones y temas emergentes sobre la protección de

datos personales. Omar Cabrales Salazar y Gina Paola
Agudelo Bastilla

Después de leer los 47 ensayos presentados al concurso, mostramos en este capítulo final
algunos de los puntos reiterativos que desde la perspectiva de los estudiantes universitarios
se convierten en temas emergentes de sumo interés para la protección de datos personales.

Fueron objetivos del concurso: fomentar las buenas prácticas para la protección de datos
personales con el propósito generar conciencia al respecto de la importancia de resguardar y
protegerlos, y así mismo, reivindicar el papel de la SIC en este sentido, a través de la
percepción que tienen los estudiantes universitarios sobre el tema. También nos propusimos
sensibilizar a los jóvenes sobre el impacto que tiene en la vida cotidiana de las personas darle
un tratamiento indebido de sus datos personales, concientizar a los estudiantes sobre la
importancia de su adecuado tratamiento y del respeto a la privacidad en el contexto actual de
apertura y desarrollo tecnológico. Así mismo, evidenciar los riesgos que trae el ciber espacio
y las redes sociales en el manejo de los datos personales y dar pautas para su buen manejo y
aseguramiento y sobre todo; conocer desde la perspectiva de los estudiantes universitarios,
cuáles son sus recomendaciones para que el sector empresarial y las instituciones educativas
generen políticas transparentes y actualizadas sobre la protección de datos personales.

Comenzamos entonces este capítulo final con algunas tendencias que se dan entre la juventud
colombiana, derivadas del uso generalizado de aparatos electrónicos y telefónos inteligentes,
como los chats a través de la aplicación Wassap. Fue un tema recurrente en varios de los
ensayos la procupación de los jóvenes porque en este tipo de chats se están presentando
tendencias como el Sexting, que hace referencia al envío de mensajes de contenido sexual o
erótico a través de sus teléfonos celulares, que en los últimos meses ha comenzado a aludir
también al envío de material pornográfico, como fotos y videos, inclusive de ellos mismos.
Se pudo ver que los trabajos recibidos tratan con preocupación esta tendencia, pues pueden
terminar divulgando fotos íntimas de sus amigos o conocidos y de las personas en general

79
 80

que luego son divulgadas en la red, violando el derecho de las personas a la intimidad o dando
la pauta para cobrar extorsiones y otro tipo de delitos. En tal sentido, se evidencia que dentro
de la misma población universitaria no se tiene conciencia de la amenaza que representan las
redes sociales y del peligro de compartir abiertamente información personal en ellas.

Otro tema importante que se encontró, hace referencia al aprovechamiento indebido por parte
de las empresas de los datos personales que se recolectan, a veces sin la autorización del
ciudadano, para su usufructo o para compartirlos o venderlos a otras entidades con el fin de
generar más ingresos económicos. Esto genera molestias en el usuario por la llegada masiva
de correos electrónicos, mensajes de texto o anuncios a sus redes sociales con información
publicitaria que el usuario no ha autorizado. En este sentido, se pudo notar que hay poca
infomación o engaño hacia los ciudadanos sobre las dobles intenciones en la captación de
sus datos personales, pues algunos consideran que no es de mayor importancia resguardarlos
y por esa razón, los entregan sin preocupación.

De otra parte, el almacenamiento de información, fotos y videos mediante el servicio en la

nube, se ha convertido en otro tema de estudio y reflexión como espacio para que se cometan
posibles vulneraciones del derecho a la privacidad de la información de los particulares por
parte de las empresas contratistas y contratantes, y la forma de prevención y reacción ante el
fenómeno. Es poco el conocimiento que se tiene en Colombia sobre los parámetros de
seguridad de este tipo de almacenamiento y los usuarios contratan estos servicios sin saber
a ciencia cierta dónde y quién tiene sus datos. En esta línea se econtraron algunos postulados
en los ensayos sobre cómo lograr un balance entre el avance tecnológico y la privacidad y la
protección de datos de las personas. Las recomendaciones en general sobre este tema se
centraron en prevenir al usuario sobre el tipo de empresas que le ofrecen estos servicios y
consultar previamente sobre su seriedad y trayectoria.

Otro tema recurrente fue el riesgo que se genera por la circulación internacional de
información en masa. Es sabido que los grupos corporativos requieren que la información
almacenada en sus bases de datos circule a nivel global sin trabas regulatorias para el
desarrollo de su gestión. Debido a esto, la transferencia internacional de datos personales es

80
 81

una actividad cada vez más recurrente en el contexto actual de globalización, apertura y
desarrollo tecnológico en el que nos encontramos. Desde esta perspectiva, los datos
personales van y vienen indistintamente de un país a otro a través de la red sin mayor control,
regulación y seguridad, en la medidia en que la penetración de internet se hace más intensa,
generando riesgos para los dueños, pues su accesibilidad se torna más acequible para hackers
y delincuentes, debido a que se hace más difícil aplicar la regulación normativa de una
autoriad nacional o local. En este sentido, se recomienda que las empresas apliquen políticas
serias en el cuidado de los datos a través de controles y regulaciones internas en colaboración
con el Estado. A su vez, este debe entrar a regular con la debida proporcionalidad el acceso
y el almacenamiento de datos en servidores públicos y privados que luego podrán pasar a
organizaciones multinacionales, sin ningún control. Además, se debe incentivar en las
organizaciones la adopción de mecanismos de autorregulación y la utilización de buenas
prácticas en cuanto al tratamiento de datos personales por medio de una colaboración
conjunta, e integral con el usuario y el Estado.

Así mismo, como la autoridad de control debe velar y ejercer sus funciones sancionatorias,
es también recomendable que se lleven a cabo reconocimientos a aquellas organizaciones
empresariales que han desarrollado por su propia iniciativa ciertos mecanismos de
autorregulación y que han adoptado en su gestión de tratamiento de los datos personales
buenas prácticas de seguridad y control. Se hace necesario entonces, seguir incentivando la
participaciòn de Colombia en los organismos multilaterales de cooperación, como el Consejo
Europeo sobre Cooperación en Contra del Ciberdelito y el Consejo Europeo sobre la
Protección de Individuos con respecto al Procesamiento de Datos Personales en un Mundo
de Grandes Datos, entre otros, pues los flujos internacionales de datos personales deben estar
acompañados de un importante soporte del Estado en cuanto tiene que ver con alianzas de
cooperación con otros Estados que ya hayan logrado altos estàndares de protección y
mantener esas alianzas con el fin de tener plena garantía de que los datos de los colombianos
están siendo legítimamente tratados en países con altos niveles de protección y salvaguarda
de la información.

81
 82

Otro tema importante fue la preocupación por el seguiento del debido proceso y la aplicación
rigurosa del ordenamiento jurídico colombiano, específicamente en el ejercicio del Derecho
al Hábeas Data. El Estado y las empresas encargadas de acopiar la información financiera de
los deudores morosos y que tratan datos personales, deben tener suficiente capacidad para
otorgar al ciudadano la plena garantía de los derechos derivados de hábeas data, como lo son
actualizar y rectificar la información finaciera, así como pedir que sea eliminada o corregida
de las bases de datos de la Cifin, Data Crédito y otroas entidades. Se debe tener presente que
en una sociedad altamente interconectada, la información personal se convierte en un activo
muy imporante para la toma de decisiones personales y empresariales, por esto, el derecho al
olvido y demás derechos conexos deben tener plena garantía para su ejercicio.

A pesar de las mútiples campañas que se realizan a nivel nacional, aún las redes sociales
representan una amenaza para los datos personales de los ciudadanos. No se tiene aún
conciencia del peligro que representa compartir información privada y financiera en
Facebook, tinder, instragram, etc., o fotos de los documentos de indentidad, pasaportes y
tarjetas de crédito en chats de wassap o mensajes de texto, que pueden pasar a manos de los
delicuentes por la pérdida o robo de los telefónos, o el hackeo de las claves de acceso. El día
de hoy los ciberdelicuentes son de carácter global, pues operan desde cualquier lugar del
mundo y las 24 horas del día a la espera de un descuido de los usuarios.

Otro tema tratado en algunos de los ensayos fue el impacto de la llegada de tecnologías
emergentes y su relación con la protección de datos personales. Hablamos del Big Data y el
Internet de las cosas. En relación al primero, los recientes acontecimientos de uso indebido
de grandes datos analizados a gran escala, por parte de Cambridge Analytica (CA), compañía
privada que mezcla la minería de datos y el análisis de datos con la comunicación estratégica,
con el fin de generar influencia en el proceso electoral norteamericano a través de la Red
Social facebook, queda el sinsabor de que el manejo equivocado que se le dé a la información
privada puede representar un gran riesgo para las personas que ven afectada su intimidad
personal, puesto que se anteponen los intereses económicos de las empresas.

82
 83

Por su parte, el Internet es una tecnología que habilita a los dispositivos electrónicos de los
hogares, oficinas, locales y automoviles, para captar información del entorno de los usuarios
y plantear soluciones y en otras ocasiones para ‘facilitar’ la vida de las personas en las
ciudades agetreadas por el tráfico o con poco tiempo disponible. Por ejemplo, el refrigerador
que puede leer los códigos de barras de los alimentos en su interior y con la ayda de una
cámara y conexión a internet, reportarle al usuario, al tendero o al supermercado la
insuficiencia de algunos productos, para que automáticamete sean despachados al hogar del
usuario. Así mismo, el computador con cámara o el televisor inteligente con sensores,
microfonos y cámaras, que pueden encenderse desde terminales remotas, acceder al interior
de la vivienda y grabar o trasmitir videos e imágenes de carácter privado que violan
abiertamente el derecho a la privacidad y pueden ser utilizados también por los delicuentes
para extorsionar a sus víctimas u otra clase de delitos. Esta tecnología implica un riesgo
implícito pues se está dando acceso a los espacios privados desde internet que podrían ser
vulnerados por ciberdelincuentes para obtener datos personales de los usuarios.

De otro lado, tenemos el papel de la inteligencia artificial abierta y flexible, que es un tipo de
inteligencia que tiene la capacidad de aprender por sí misma, mejorarse y realizar tareas no
especializadas. Con estos desarrollos tecnológicos se corre el riesgo de que aprenda
indirectamente a obtener utilidad o valor mediante el tratamiento de datos personales en
contextos específicos, pues puede aprender a vulnerar bases de datos y hackear claves de
acceso y otro tipo de tratamientos no autorizados, que se convierten en un riesgo para los
usuarios y sus datos personales.

Otro caso riesgoso en el manejo de los datos personales se puede presentar cuando el derecho
a la protección de la información privada deba ceder ante ciertas necesidades particulares
como el bien común o la seguridad nacional. Por esto, es primordial revisar y hacer
seguimiento a las decisiones que adopten las Altas Cortes en los Estados Unidos, pues van
a determinar el rumbo a seguir respecto de casos en los que grandes gigantes tecnológicos
como Google, Microsoft, Amazon, Apple, etc, que manejan grandes cantidades de
información y son depositarios de millones de datos personales de los ciudadanos, se

83
 84

puendan ver obligados a atender peticiones de revelación de información de sus clientes por
solicitud expresa de las autoridades gubernamentales en el marco de investigaciones
judiciales o de amenzas contra la seguridad nacional.

Finalmente, en relación a las amenazas que se evidencian por el avance de la tecnología y las
redes sociales, se recomienda incluir en los programas educativos, desde la primera infancia,
una formación rigurosa en cuanto al cuidado que deben tener los jóvenes con su información
personal, así como la reglamentacón vigente en relación a sus deberes y derechos. Los
currículos no sólo deben incluir las competencias para el manejo de la tecnología, que de
hecho la mayoría de los estudiantes nativos digitales lo aprenden por sí solos, sino los riesgos
y la comprensión de su alcance a la hora de compartir sin mayores precauciones su
información personal.

84