Unidad 2 / Escenario 4

Lectura fundamental

Bases de datos

Contenido

1 Bases de datos

2 Habeas data financiero y comercial

3 Habeas data general

Palabras clave: bases de datos, datos privados, datos semiprivados, datos sensibles.
1. Bases de datos
En Colombia se han establecido legalmente cuatro tipos de datos personales que contienen las bases
de datos. En el artículo 3 de la Ley 1266 se establecieron los siguientes tipos de datos personales:
público, privado y semiprivado. Por otro lado, con la Ley 1581, se incluyó en el ordenamiento jurídico
el dato sensible. Estas definiciones han sido modificadas a través de otras normas de manera parcial,
por lo que en los decretos reglamentarios se han ajustado varias de ellas.

La forma como se recopila la información y se tratan las bases de datos de cada uno de estos tipos de
información es diferente. Su responsabilidad como administradores de bases de datos es poder identificar
qué tipo de información recopilan o administran, con el fin de cumplir con la reglamentación vigente
sobre la materia.

Es necesario recordar que la fuente de información puede suministrar el dato personal, únicamente
si cuenta con la autorización previa legal o contractual del titular, al operador de la información y
siempre debe responder por la calidad de los datos que entrega. Así mismo es necesario resaltar que
no solo las personas naturales, sino también las personas jurídicas son titulares del derecho al habeas
data. No obstante, la Ley 1581 de 2012 se concentró básicamente en el derecho de las personas
naturales y aceptó mediante la Sentencia C-748 de 2011 que las personas jurídicas en ocasiones
también pueden ver vulnerado su derecho de protección de datos; en todo caso, detrás de ellas
siempre figuran personas naturales como sus representantes o socios.

Sin importar el tipo de dato que contenga la base de datos administrada, es evidente que siempre hay
una responsabilidad derivada del manejo de los datos y esa responsabilidad trae unas consecuencias
que obviamente pueden implicar el resarcimiento de los daños causados. Al respecto la Corte nos ha
indicado que:

“Sin embargo, debe reiterarse que el manejo de información no pública debe hacerse bajo todas las
medidas de seguridad necesarias para garantizar que terceros no autorizados puedan acceder a ella. De
lo contrario, tanto el Responsable como el Encargado del Tratamiento serán los responsables de los
perjuicios causados al Titular” (Sentencia C-748, 2011).

Es necesario entender la diferencia entre cada una de estas bases de datos, como se explica a
continuación:

POLITÉCNICO
POLITÉCNICO GRANCOLOMBIANO
GRANCOLOMBIANO 2
 1.1. Datos públicos

Los datos públicos, como su nombre lo indica, están disponibles para el público en general y es
información a la cual todos podemos tener acceso, es decir que no es necesaria la autorización
previa del titular para su recaudo. Sin perjuicio de lo anterior, es claro que este tipo de datos, a
pesar de ser públicos, debe atender al principio de finalidad y necesidad, que rigen la base de datos
correspondiente.

La definición legal más reciente de este tipo de datos es la contenida en el numeral 2 del artículo 3 del
Decreto 1377 de 2013:

“Dato público: es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos,
entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de
comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre
otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales
debidamente ejecutoriadas que no estén sometidas a reserva” (Decreto 1377 de 2013, artículo 3).

Los datos públicos permiten el acceso a un público abierto e indeterminado, sobre la información que
contienen. Por este motivo las bases de datos que contienen información pública están abiertas y a
disposición de todas las personas. En consecuencia, aparte de los contenidos en el precitado numeral
2, otros ejemplos de información pública son los siguientes:

(i) Las escrituras públicas (de ahí su nombre), debido a que cualquier persona puede ir a una notaría
a solicitar una copia de cualquier escritura en Colombia y el notario está en obligación de entregarla.
En consecuencia, las bases de datos donde se radican o inscriben las escrituras públicas también son
públicas, tales como las de las oficinas de Registro de Instrumentos Públicos de la Superintendencia
de Notariado y Registro1, las Cámaras de Comercio en todo el país o las oficinas de Registro Civil de
las Personas, que están en todas las notarías del país.

(ii) La información pública que reposa en las oficinas de Tránsito y Transporte de Colombia. Cualquier
persona puede solicitar un Certificado de Tradición y Libertad de cualquier vehículo automotor en
Colombia en la oficina en donde estén radicados los documentos, y dicha entidad está en la obligación
de entregar la copia de los documentos solicitados a cualquier particular.

1 Certificado de Tradición: es un documento público que contiene los actos jurídicos relacionados con un inmueble, escritos en orden cronológico
y consecutivo, que señalan el titular o titulares del dominio de la propiedad, expedido(s) por la Superintendencia de Notariado y Registro
(Superintendencia de Notariado y Registro, 2013).

POLITÉCNICO
POLITÉCNICO GRANCOLOMBIANO
GRANCOLOMBIANO 3
(iii) Las sentencias judiciales que no estén protegidas por reserva legal son documentos públicos,
de esta manera, cualquier persona puede solicitar copia de una sentencia a un juez quien está en
obligación de entregar la copia de la sentencia.

(iv) Las bases de datos de antecedentes y registros personales basadas en la cédula de ciudadanía
en Colombia son públicas. De esta manera, cualquiera de ustedes puede verificar los antecedentes
judiciales, disciplinarios, de control fiscal y de deudas con el Estado de cualquier ciudadano en
Colombia, solo con saber su cédula de ciudadanía.

1.2. Datos privados y semiprivados

Respecto a los datos personales, existen algunos que tienen ciertas restricciones para su recaudo
y tratamiento. Dentro de estos, hay dos muy importantes: los privados y los semiprivados. Las
definiciones para estos tipos de datos se tratan a continuación:

1.2.1. Datos privados

Los datos privados están definidos en la Ley 1266 de 2008 de la siguiente manera:

“Dato privado. Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular”.

En un principio, estos datos solo interesan al titular y la injerencia sobre los mismos por parte de
terceros está bastante restringida ya que esta información hace parte de la esfera más íntima de todas
las personas.

Con respecto a su protección y divulgación, la Corte Constitucional ha indicado que “los datos
privados deberán ser respetados y no hacerse públicos a menos que el Titular lo autorice o que el dato
presente algún tipo de peligro real y justificado a la seguridad y defensa nacional, lavado de activos,
terrorismo (…)” (Sentencia C-748, 2011).

Podemos observar que este tipo de bases de datos es particularmente protegido por la legislación
colombiana vigente con miras a salvaguardar la información de las posibilidades de publicidad.

POLITÉCNICO
POLITÉCNICO GRANCOLOMBIANO
GRANCOLOMBIANO 4
 1.2.2. Datos semiprivados

Los datos semiprivados también están definidos en la Ley 1266 de 2008:

“Dato semiprivado. Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo
conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas
o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a
que se refiere el Título IV de la presente ley”.

Como ejemplo de bases de datos semiprivadas en Colombia tenemos las de las entidades financieras
y establecimientos de comercio que prestan servicios recurrentes (periódicos) a los ciudadanos, en
consecuencia, se desprende la obligación contractual de pagar una contraprestación económica, que
generalmente es mensual. El resultado de no pagar es que la empresa puede generar un reporte de
incumplimiento que afecta negativamente el perfil crediticio de la persona reportada. Obviamente, el
manejo correcto y el pago cumplido de las obligaciones contraídas con este tipo de empresas produce
un reporte no negativo, que implica un proceder correcto en la vida crediticia de la persona.

La característica principal de este tipo de información es que no solo puede ser accedida por terceros,
sino que debe dársele acceso a ciertos terceros (como las entidades crediticias o las comerciales que
deben analizar el comportamiento crediticio de la persona para determinar a quien prestan dinero o
servicios).

1.3. Datos sensibles

Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede
generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación
política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de
derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos
y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los
datos biométricos (Decreto 1377 de 2013, artículo 3).

En el mismo decreto (por el cual se reglamenta parcialmente la Ley 1581 de 2012), el artículo 6 indica:

“El Tratamiento de los datos sensibles a que se refiere el artículo 5 de la Ley 1581 de 2012 está
prohibido, a excepción de los casos expresamente señalados en el artículo 6 de la citada ley.

POLITÉCNICO
POLITÉCNICO GRANCOLOMBIANO
GRANCOLOMBIANO 5
 En el Tratamiento de datos personales sensibles, cuando dicho Tratamiento sea posible conforme a lo
establecido en el artículo 6 de la Ley 1581 de 2012, deberán cumplirse las siguientes obligaciones:

1. Informar al titular que por tratarse de datos sensibles no está obligado a autorizar su
Tratamiento.

2. Informar al titular de forma explícita y previa, además de los requisitos generales de la

autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que
serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento, así como obtener su
consentimiento expreso.

Ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles”.

Es importante aclarar que el listado del tipo de datos que se consideran sensibles en el Decreto 1377
y en la Ley 1581 no es taxativo, sino meramente descriptivo. Eso implica que, en términos prácticos,
datos sensibles son todos aquellos datos que afectan la intimidad del titular y cuyo mal uso puede
derivar en discriminación contra el titular de dicha información. Ejemplos adicionales a los de la
precitada norma son la información genética, los historiales de búsqueda en internet, las preferencias
de compras y cualquier otra información que mal usada pueda derivar en una discriminación de la
persona.

2. Habeas data financiero y comercial

Estas bases de datos son protegidas por la Ley 1266, ya que esta ley se creó específicamente para
regular el manejo de este tipo de datos.

Las bases de datos de entidades financieras, comerciales o de riesgo mantienen información tanto
positiva como negativa con respecto al cumplimiento de las obligaciones de los ciudadanos. Cuando
solo hay reportes positivos, no hay inconveniente, porque la capacidad de crédito de la persona
está disponible. Pero cuando existen reportes negativos, la capacidad de crédito puede afectar el
desarrollo de su vida y eventualmente la de su familia o quienes dependan económicamente de ella.
En consecuencia, el reporte negativo de los datos no puede ser eterno y tiene un término después del
cual debe borrarse.

Al respecto, la Corte Constitucional, en Sentencia SU-082 de 1995, estableció criterios para determinar
la permanencia del reporte negativo por morosidad crediticia, con los siguientes razonamientos:

POLITÉCNICO
POLITÉCNICO GRANCOLOMBIANO
GRANCOLOMBIANO 6
 “Límite temporal de la información: la caducidad de los datos. Corresponde al legislador, al reglamentar
el habeas data, determinar el límite temporal y las demás condiciones de las informaciones. (…) Pero,
mientras no lo haya fijado, hay que considerar que es razonable el término que evite el abuso del
poder informático y preserve las sanas prácticas crediticias, defendiendo así el interés general. En este
orden de ideas, sería irrazonable la conservación, el uso y la divulgación informática del dato, si no se
tuviera en cuenta la ocurrencia de todos los siguientes hechos: a) Un pago voluntario de la obligación;
b) Transcurso de un término de dos (2) años, que se considera razonable, término contado a partir
del pago voluntario. El término de dos (2) años se explica porque el deudor, al fin y al cabo, pagó
voluntariamente, y se le reconoce su cumplimiento, aunque haya sido tardío. Expresamente se exceptúa
el caso en que la mora haya sido inferior a un (1) año, caso en el cual, el término de caducidad será igual
al doble de la misma mora; y, c) Que durante el término indicado en el literal anterior, no se hayan
reportado nuevos incumplimientos del mismo deudor, en relación con otras obligaciones. Si el pago se
ha producido en un proceso ejecutivo, es razonable que el dato, a pesar de ser público, tenga un término
de caducidad, que podría ser el de cinco (5) años, que es el mismo fijado para la prescripción de la pena,
cuando se trata de delitos que no tienen señalada pena privativa de la libertad, en el Código Penal.
Pues, si las penas públicas tienen todas un límite personal, y aun el quebrado, en el derecho privado,
puede ser objeto de rehabilitación, no se ve por qué no vaya a tener límite temporal el dato financiero
negativo. (…) Sin embargo, cuando el pago se ha producido una vez presentada la demanda, con la sola
notificación del mandamiento de pago, el término de caducidad será solamente de dos (2) años, es
decir, se seguirá la regla general del pago voluntario. Igualmente debe advertirse que si el demandado
en proceso ejecutivo invoca excepciones, y éstas prosperan, y la obligación se extingue porque así lo
decide la sentencia, el dato que posea el banco de datos al respecto, debe desaparecer. Naturalmente
se exceptúa el caso en que la excepción que prospere sea la de prescripción, pues si la obligación se ha
extinguido por prescripción, no ha habido pago, y, además, el dato es público”.

Con las bases de datos que contienen información semiprivada, es necesaria y obligatoria la aplicación
de la Ley 1266, ya que fue creada específicamente para regular esta materia.

3. Habeas data general

Al ser un derecho fundamental, la forma como hacemos exigibles nuestros derechos vulnerados por
una posible violación del habeas data es muy sencilla. La Corte Constitucional indica que:

POLITÉCNICO
POLITÉCNICO GRANCOLOMBIANO
GRANCOLOMBIANO 7
 “Dentro de las prerrogativas o contenidos mínimos que se desprenden del derecho al habeas data
encontramos por lo menos las siguientes: (i) el derecho de las personas a conocer –acceso- la
información que sobre ellas están recogidas en bases de datos, lo que conlleva el acceso a las bases de
datos donde se encuentra dicha información; (ii) el derecho a incluir nuevos datos con el fin de (que)
se provea una imagen completa del titular; (iii) el derecho a actualizar la información, es decir, a poner
al día el contenido de dichas bases de datos; (iv) el derecho a que la información contenida en bases de
datos sea rectificada o corregida, de tal manera que concuerde con la realidad; (v) el derecho a excluir
información de una base de datos, bien porque se está haciendo un uso indebido de ella, o por simple
voluntad del titular –salvo las excepciones previstas en la normativa” (Sentencia C-748, 2011).

Como podemos apreciar, es claro que las actividades descritas se desprenden del derecho de habeas
data y para hacerlo valer, en principio, es necesario agotar la solicitud mediante un derecho de
petición dirigido al administrador de la base de datos en la cual se encuentra nuestra información. En
caso de que la solicitud no sea atendida, se puede solicitar la intervención de un juez de la República
mediante la presentación de una Acción de Tutela. Este procedimiento aplica tanto para las bases
de datos que contienen información financiera y comercial, como para aquellas en las cuales hay
información general recaudada de las personas.

POLITÉCNICO
POLITÉCNICO GRANCOLOMBIANO
GRANCOLOMBIANO 8
Referencias
Decreto 1377 de 2013. Por el cual se reglamenta parcialmente la Ley 1581 de 2012, 27 de junio de 2013.

Ley 1266 de 2008. Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo
de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de
servicios y la proveniente de terceros países y se dictan otras disposiciones, 31 de diciembre de 2008.

Ley 1581 de 2012. Por la cual se dictan disposiciones generales para la protección de datos personales, 17
de octubre de 2012.

Sentencia SU-082 (1995). Corte Constitucional, Sentencia de Unificación SU-082 de 1 de marzo

de 1995. M.P. Jorge Arango Mejía.

Sentencia T-729 (2002). Corte Constitucional, Sentencia de Tutela T-029 de 5 de septiembre de

2002. M.P. Carlos Bernal Pulido.

Sentencia C-748 (2011). Corte Constitucional, Sentencia de Constitucionalidad de 6 de octubre de

2011. M.P. Jorge Pretelt

Sentencia T-020 (2012). Corte Constitucional, Sentencia de Tutela T-020 de 27 de enero de 2014.
M.P. Nilson Pinilla Pinilla.

Superintendencia de Notariado y Registro (2013). Procedimiento expedición de certificados de tradición

en Centro Especializado de Pagos (CEP) y Centro de Atención Distrital Especializado (CADE) del Proceso
Administración Financiera. Recuperado de: https://www.supernotariado.gov.co/portalsnr/images/
archivosupernotariado/sig2013/gestiofinanciera/cepycade/procedicepycade.pdf

POLITÉCNICO
POLITÉCNICO GRANCOLOMBIANO
GRANCOLOMBIANO 9
 INFORMACIÓN TÉCNICA

Módulo: Regulación en seguridad

Unidad 2: Habeas data y Bases de datos
Escenario 4: Bases de datos

Autor: Camilo Salamanca

Asesor Pedagógico: Edwin Alcides Mojica

Diseñador Gráfico: Carlos Montoya
Asistente: Maria Avilan

Este material pertenece al Politécnico Grancolombiano. Por

ende, es de uso exclusivo de las Instituciones adscritas a la Red
Ilumno. Prohibida su reproducción total o parcial.

POLITÉCNICO
POLITÉCNICO GRANCOLOMBIANO
GRANCOLOMBIANO 10