La inteligencia de fuentes abiertas (Open-Source Intelligence, OSINT) es la actividad de inteligencia que, para un propósito específico, recoge información pública.
Esa noción de entrada choca con un problema de derechos de terceros: información pública no es lo mismo que información de uso libro por cualquiera.
(más…)¿Cómo es eso de que las máquinas alucinan? Aquí le explico en un video de menos de diez minutos. Los enlaces en pantalla están dentro del texto más abajo.
Estoy a la orden por si desea una charla o un workshop (presenciales u online) de esta materia o de cualquiera de las que trato en este blog, en mis canales en YouTube o en mi libro de hermenéutica.
Es el derecho de las personas a que se respete su privacidad en la parte de la información (datos personales) que sobre ellos exista (en sus manos o en las de otros) y pueda recolectarse o hacerse circular. Consta en la Declaración Universal de Derechos Humanos de la ONU:
(más…)“Artículo 12, Declaración Universal de Derechos Humanos. Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.”
Artículo 12, Declaración Universal de Derechos Humanos, ONU
El acceso a información sensible no es permitido a autoridades sin autorización del titular, a menos que se trate del ejercicio de funciones públicas precisas y no genéricas; por otra parte, tampoco es posible entregar esa misma información con datos anónimos a autoridades, si se quisiera evitar el problema de la falta de autorización. Veamos por qué.
Esta nota es complementaria a «El acceso a información en poder del Estado no es tan simple como parece». La regla general sobre acceso a documentos públicos es esta:
«Artículo 74. Todas las personas tienen derecho a acceder a los documentos públicos salvo los casos que establezca la ley.
El secreto profesional es inviolable.»
Constitución Política de Colombia
Eso no significa que el acceso sea irrestricto, es preciso tener en cuenta el artículo 15 del mismo estatuto, entre otras normas posibles. No olvide que la interpretación constitucional se hace de forma integral, no se hace considerando solamente un artículo aislado (ver por ejemplo la Sentencia T-116/04 de la Corte Constitucional).
(más…)Superindustria ha emitido varias órdenes de tipo preventivo a FACEBOOK contenidas en la resolución 1321 del 24 de enero de 2019 y a través del Director de Investigación de Protección de Datos Personales, de la Delegatura para la Protección de Datos Personales. Esta resolución tiene recursos. Fueron motivo de estas órdenes, entre otros:
“En suma, los datos personales que recolecta Facebook en Colombia o sobre personas residentes
o domiciliadas en Colombia son compartidos globalmente con muchas empresas y clientes de
Facebook. Esto implica que los datos personales reposan y circulan a través de una infraestructura
tecnológica global ubicada y distribuida en muchos países del mundo. Facebook decide en qué
países ubican su infraestructura tecnológica y las medidas de seguridad de sus millones de
usuarios.Dada la circulación transfronteriza que realiza Facebook de la información de los colombianos, las
fallas de seguridad que suceden en otros países afectan o puede afectar la información de las
personas residentes o domiciliadas en la República de Colombia, cuyos datos son recolectados y
tratados por Facebook.” (tomado de los considerandos de la Res 1321 de 2019 SIC )
El texto de la parte resolutiva de la Res 1321 de 2019 SIC es el siguiente, según se lee en http://www.sic.gov.co/sites/default/files/files/Noticias/2019/Res-1321-de-2019.pdf:
“ARTiCULO PRIMERO: ordenar a Facebook Inc., Facebook Colombia SAS y Facebook Ireland Limited (en adelante Facebook) que procedan a realizar o implementar Io que sigue a continuación respecto del tratamiento de los datos personales de las personas naturales residentes o domiciliadas en la República de Colombia y que son usuarias de los servicios de dichas empresas (Facebook), o sobre las cuales Facebook trata, directa o indirectamente, la citada información.
1. Facebook deberá adoptar medidas nuevas, necesarias, apropiadas, útiles, eficaces y demostrables para cumplir el cien por ciento (100%) de lo que exige el principio y el deber de seguridad en la regulación colombiana, a saber.
a) Garantizar la seguridad de los datos personales, evitando Io siguiente respecto de los mismos:
(i) Acceso no autorizado o fraudulento
(ii) Uso no autorizado o fraudulento
(iii) Consulta no autorizada o fraudulenta
(iv) Adulteración no autorizada o fraudulenta
(v) Pérdida no autorizada o fraudulenta
2. Facebook deberá mejorar o robustecer las medidas de seguridad que ha implementado a la fecha de expedición de la presente resolución para cumplir el cien por ciento (100%) de lo que exige el principio y el deber de seguridad en la regulación colombiana, a saber:
a) Garantizar la seguridad de los datos personales. evitando Io siguiente respecto de los mismos:
(i) Acceso no autorizado o fraudulento
(ii) Uso no autorizado o fraudulento
(iii) Consulta no autorizada o fraudulenta
(iv) Adulteración no autorizada o fraudulenta
(v) Pérdida no autorizada o fraudulenta
3. Facebook deberá desarrollar, implementar y mantener un programa integral de seguridad de la información, que garantice la seguridad. confidencialidad e integridad de los datos personales, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. El programa deberá constar por escrito, ser sujeto a pruebas periódicas para evaluar su efectividad. y tener en cuenta, como mínimo, Io siguiente:
(i) los principios rectores establecidos en la Ley 1581 de 2012 y los deberes que de ellos se derivan;
(ii) el tamaño y la complejidad de las operaciones de Facebook;
(iii) la naturaleza y el ámbito de las actividades de Facebook;
(iv) la categoría y cantidad de titulares;
(v) la naturaleza de los datos personales;
(vi) el tipo de tratamiento de los datos personales;
(vii) el alcance, contexto o fines del tratamiento;
(viii) el uso de los datos personales por terceros, entre ellos, aliados comerciales, empresas asociadas y desarrolladores de Aplicaciones;
(ix) el uso innovador o aplicación de nuevas soluciones tecnológicas; y,
(x) los riesgos para los derechos y libertades de las personas,
4. Facebook deberá desarrollar, implementar y mantener evaluaciones de impacto en la protección datos personales (o evaluaciones de impacto en privacidad), «DPlAs’ o «PIAs» por sus nombres en inglés, que evalúen los riesgos inherentes al tratamiento de dicha información respecto del uso de la plataforma web o la Aplicación móvil complementaria de Facebook, sus productos, o cualquier otro medio a través del cual Facebook recolecte, use o comparta datos personales. Las evaluaciones deberán constar por escrito y estar disponibles en caso que las requiera esta Dirección. Las mismas, deberán tener en cuenta, como mínimo, Io siguiente:
(i) los principios rectores establecidos en la Ley 1581 de 2012 y los deberes que de ellos se derivan;
(ii) el tamaño y la complejidad de las operaciones de Facebook;
(iii) la naturaleza y el ámbito de las actividades de Facebook;
(iv) la categoría y cantidad de titulares;
(v) la naturaleza de los datos personales;
(vi) el tipo de tratamiento de los datos personales
(vii) el alcance, contexto o fines del tratamiento;
(viii) el uso de los datos personales de los usuarios por terceros, entre ellos, aliados comerciales, empresas asociadas y desarrolladores de Aplicaciones;
(ix) el uso innovador o aplicación de nuevas soluciones tecnológicas; y,
(x) los riesgos para los derechos y libertades de las personas,
5. Facebook deberá desarrollar, implementar y mantener un programa de gestión y manejo de violaciones de seguridad en datos personales, que contemple procedimientos para informar sin dilación indebida a esta Autoridad de protección de datos y a los titulares de los mismos cuando se presenten incidentes que afecten la confidencialidad, integridad y disponibilidad de los datos.
6. Facebook deberá desarrollar, implementar y mantener las medidas necesarias para impedir el acceso por parte de terceros, incluido, pero no limitado a, aliados comerciales, empresas asociadas o desarrolladores de Aplicaciones, a: (i) los datos personales de los usuarios y la de sus contactos o «amigos», sin su consentimiento, o (ji) información que no sea necesaria para el servicio o producto adquirido por los usuarios, para el funcionamiento de la Aplicación.
7. Facebook deberá modificar sus configuraciones de privacidad, de tal manera que estas le permitan a los usuarios: (i) controlar, de forma sencilla, fácil y rápida, el tipo de información que desean compartir con las Aplicaciones: (ii) conocer las Aplicaciones con las cuales se está compartiendo su información; (iii) acceder a las políticas de protección de datos (o privacidad) de las Aplicaciones y poder desactivar estas últimas para que no accedan a su información personal.
8. Facebook deberá desarrollar, implementar y mantener medidas que garanticen de manera efectiva la devolución o supresión de los datos personales, una vez finalizado el tratamiento de los mismos por parte de terceros tales como aliados comerciales, empresas asociadas o desarrolladores de aplicaciones.
9. Facebook deberá ajustar los contratos o acuerdos comerciales que suscriba con terceros, incluido, pero no limitado a, aliados comerciales, empresas asociadas o desarrolladores de Aplicaciones, para que el tratamiento de los datos personales de los usuarios cumpla con lo establecido en la Ley 1581 de 2012.
10. Facebook deberá desarrollar, implementar y mantener las acciones correctivas necesarias frente a aquellos terceros, incluido, pero no limitado a, aliados comerciales, empresas asociadas o desarrolladores de Aplicaciones, que incumplan la Ley 1581 de 2012, o las politicas de tratamiento de información personal (o políticas de privacidad) o las politicas corporativas de Facebook.
11. Facebook deberá efectuar una auditoria independiente, dentro de los cuatro (4) meses siguientes a la ejecutoria del presente acto administrativo, y cada año después de dicha fecha durante los próximos cinco (5) anos, que certifique que cuenta con las medidas técnicas, humanas, administrativas, contractuales y de cualquier otra naturaleza que sean necesarias para otorgar seguridad a los datos personales evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
ARTÍCULO SEGUNDO: Facebook Inc., Facebook Colombia SAS y Facebook Ireland Limited deberán obrar de la siguiente manera para efectos de lo que establece el artículo 26 del decreto 1377 de 2013 (incorporado en el Decreto 1074 de 2015) respecto de la demostración o evidencia ante esta Dirección del cumplimiento de las medidas. instrucciones, requerimientos u órdenes emitidas mediante esta resolución:
Facebook Inc., Facebook Colombia SAS y Facebook Ireland Limited deberán cumplir 10 ordenado en esta resolución dentro de cuatro (4) meses siguientes a la ejecutoria del presente acto administrativo. Para demostrar el cumplimiento deberán remitir, al finalizar dicho término, una certificación emitida por una entidad o empresa independiente, imparcial. profesional, especializada y autorizada que acredite que se han implementado las medidas ordenadas por esta Dirección y que las mismas están operando con suficiente efectividad para proporcionar el grado de seguridad que exige el principio y el deber de seguridad de la ley 1581 de 2012 respecto de los datos personales.
La entidad o empresa que emita el certificado será seleccionada por Facebook, pero debe ser un tercero cuya gestión esté libre de todo conflicto de interés que le reste independencia y ajena a cualquier tipo de subordinación respecto de Facebook
PARÁGRAFO: La entidad o empresa certificadora deberá ser autorizada por la autoridad competente del pais de su domicilio, sólo en el caso que la regulación del mismo exija dicha autorización para poder emitir certificaciones. Si en dicho país no se exige Io anterior. bastará con que la misma sea independiente, imparcial, profesional y especializada en temas de seguridad de la información.
ARTiCULO TERCERO: Ordenar a Facebook Colombia SAS que preste su colaboración para que Facebook Inc. y Facebook Ireland Limited cumplan las instrucciones y órdenes impartidas por esta Superintendencia en esta resolución.
ARTiCULO CUARTO: Notificar el contenido de la presente resolución a Facebook Inc. Facebook Colombia SAS y Facebook Ireland Limited, informándoles que contra el presente acto administrativo procede recurso de reposición ante el Director de Investigación de Protección de Datos Personales y de apelación ante el Superintendente Delegado para la Protección de Datos Personales, dentro de los diez (10) dias siguientes a la diligencia de notificación.”
Las jurisprudencias puestas a disposición en medios masivos no deben incluir el nombre de personas condenadas que ya purgaron su sentencia. No es posible desde luego que en la sentencia original se elimine el nombre del condenado, pero cuando queda esa sentencia a disposición del público, la situación no es la misma. El año 2014 la Corte Constitucional decidió una acción de tutela en la cual una persona, condenada por un ilícito penal y con la sentencia ya cumplida, solicitaba que las referencias a su nombre fuera retirado de la web de la Corte Suprema de Justicia, la cual se negó alegando la publicidad de las sentencias. Pero sucede que la información sobre antecedentes penales se maneja como información personal sujeta a reglas sobre circulación. La parte tutelante invocó expresamente como precedente la Sentencia SU458/12, Corte Const., de la cual cito unos apartes.
“Para la Corte, la facultad de supresión, como parte integrante del habeas data, tiene una doble faz. Funciona de manera diferente frente a los distintos momentos de la administración de información personal. En una primera faceta es posible ejercer la facultad de supresión con el objeto de hacer desaparecer por completo de la base de datos, la información personal respectiva. Caso en el cual la información debe ser suprimida completamente y será imposible mantenerla o circularla, ni siquiera de forma restringida (esta es la idea original del llamado derecho al olvido). En una segunda faceta, la facultad de supresión puede ser ejercitada con el objeto de hacer desaparecer la información que está sometida a circulación. Caso en el cual la información se suprime solo parcialmente, lo que implica todavía la posibilidad de almacenarla y de circularla, pero de forma especialmente restringida. Esta segunda modalidad de supresión es una alternativa para conciliar varios elementos normativos que concurren en el caso de la administración de información personal sobre antecedentes penales. Por un lado, la supresión total de los antecedentes penales es imposible constitucional y legalmente. Ya lo vimos al referir el caso de las inhabilidades intemporales de carácter constitucional, las especiales funciones que en materia penal cumple la administración de esta información personal, así como sus usos legítimos en materia de inteligencia, ejecución de la ley y control migratorio. En estos casos, la finalidad de la administración de esta información es constitucional y su uso, para esas específicas finalidades, está protegido además por el propio régimen del habeas data. Sin embargo, cuando la administración de la información personal relacionada con antecedentes pierde conexión con tales finalidades deja de ser necesaria para la cumplida ejecución de las mismas, y no reporta una clara utilidad constitucional; por tanto, el interés protegido en su administración pierde vigor frente al interés del titular de tal información personal. En tales casos, la circulación indiscriminada de la información, desligada de fines constitucionales precisos, con el agravante de consistir en información negativa, y con el potencial que detenta para engendrar discriminación y limitaciones no orgánicas a las libertades, habilita al sujeto concernido para que en ejercicio de su derecho al habeas data solicite la supresión relativa de la misma” (Sentencia SU458/12, Corte Const.)
Eso explica que los antecedentes penales no puedan ser dados a conocer en forma indiscriminada:
“Tanto el entonces DAS, como el actual Ministerio de Defensa-Policía Nacional, al permitir el conocimiento indiscriminado de la existencia de antecedentes penales, a partir de la actividad de administración de la base de datos, ha desconocido los principios de finalidad, necesidad, utilidad y circulación restringida. En relación con el principio de finalidad, considera la Corte que dichas actuaciones no se corresponden con alguna de las, ya anotadas, estrictas y precisas finalidades a las que debe estar sometida la administración de las bases de datos personales sobre antecedentes. Esta circunstancia genera a su vez, como se verá, un desconocimiento a los principios de utilidad, necesidad y circulación restringida. La conducta activa u omisiva de facilitar el acceso indiscriminado por parte de terceros a la información acerca de si A, B, o C tienen antecedentes penales, no encuadra en ninguna de las funciones relacionadas con el uso legítimo, legal y constitucional de esta información. Tal acceso no está orientado a determinar la existencia de inhabilidades para proteger la moralidad administrativa y el correcto ejercicio de la función pública, no sirve de manera alguna para la correcta aplicación de la normatividad penal; no cumple tampoco ningún fin preciso de inteligencia o contrainteligencia de la que dependa la seguridad nacional; no busca de manera concreta facilitar la cumplida ejecución de la ley. Por el contrario, la administración de esta información personal no sometida a ninguna de estas estrictas y precisas finalidades, tiene como efecto perverso favorecer el ejercicio inorgánico del poder informático al radicarlo en cabeza de cualquier persona con acceso a esta base de datos. Permite así que terceros empleen la información sobre antecedentes penales para cualquier finalidad legítima o no, y en todo caso, que lo hagan de una forma no orgánica y sin asidero en el ordenamiento jurídico” (Sentencia SU458/12, Corte Const.)
En la sentencia aludida al principio, que es la Sentencia T-020/14, la Corte Constitucional dio razón a la tutelante, y resolvió, entre otras cosas:
“Segundo.- ORDENAR a la Relatoría de la Sala de Casación Penal de la Corte Suprema de Justicia, que en un plazo máximo de ocho (8) días contados a partir de la notificación de esta sentencia, respecto de los soportes de la Rama Judicial, reemplace o sustituya de las versiones que se encuentra publicadas en internet de la sentencia proferida por la Sala de Casación Penal de la Corte Suprema de Justicia del 15 de noviembre de 2000, el nombre de la accionante, por una sucesión de letras o números que impidan su identificación.” (Sentencia T-020/14, Corte Const.)
En resumen:
“En este orden de ideas, si bien no puede existir ningún reparo en el hecho de que aparezca el nombre de la accionante en la sentencia ejecutoriada, pues en materia penal ello constituye un elemento que da certeza sobre la identidad o individualización del condenado, no por ello resulta constitucionalmente admisible, especialmente de acuerdo con el principio de finalidad que rige al habeas data, que la identificación semiprivada que allí consta, referente a los antecedentes penales de un sujeto que se resocializó frente a la sociedad, se utilice, por su divulgación masiva, para fines distintos a los que justifica la publicidad de los fallos judiciales.
Así las cosas, por ejemplo, si bien la colectividad tiene interés en constatar los aspectos de relevancia de un proceso penal, tales como el cumplimiento de las garantías procesales, o la correcta aplicación de la normativa que regula la materia, cuyo control ciudadano puede realizarse de manera concomitante con el adelantamiento del proceso judicial, entre otras, con miras a garantizar el derecho de información; le es indiferente para efectos de pedagogía o consulta que se publiquen de forma masiva datos que permitan identificar a la persona, pues en el fondo lo que importa es comprobar que el juzgador ejerció de manera adecuada sus funciones al momento de conocer un caso o simple-mente poder identificar el modo como lo hizo, sin que finalmente tenga trascendencia el nombre del sujeto involucrado. Para no ir más lejos la teoría del precedente judicial, como lo ha identificado la Corte, no depende del nombre de los sujetos que hacen de un proceso, sino de la regla de derecho que surge de la aplicación de las normas jurídicas (entre ellas los principios) frente a determinados supuestos fácticos.” (Sentencia T-020/14, Corte Const.)
Eso significa igualmente que un documento puede ser público pero los datos que contenga, y que sean materia de reserva, deben ocultarse. Se advierte para el caso de sentencias:
“Lo anterior, respecto de las sentencias judiciales, implica admitir que si bien por su naturaleza son un documento público, cuando las mismas incorporen un dato que debe ser protegido, como ocurre con la información sensible o con los datos semiprivados, ello conduce al establecimiento de una regla de circulación restringida, con el fin de no generar una carga desproporcionada frente al titular de dicha información, en lo que respecta a su intimidad o al desarrollo de su derecho al trabajo, a la libertad de escoger profesión u oficio y/o la libertad económica.” (Sentencia T-020/14, Corte Const.)
El derecho al olvido no existe aquí, puesto que la sentencia original debe aún mantener el nombre del condenado, lo que existe es el deber de salvaguardar el nombre de la persona que ya cumplió su condena ante la posibilidad de una circulación indiscriminada de información en tal sentido. Las autoridades, en ejercicio de sus funciones, pueden acceder al dato, pero no así todo el mundo.
“Por lo anterior, en el asunto sub-judice, encuentra la Corte que efectivamente se desconoce el citado principio, en cuanto a través del acceso generalizado a la consulta de decisiones judiciales, a partir del uso de los actuales sistemas de publicación, se permite que terceras personas puedan acceder –sin ninguna restricción– a los soportes en donde constan datos semiprivados, como lo es la información sobre los antecedentes penales de la accionante. Sobre este punto no sobra recordar que, como se dijo en la citada Sentencia SU-458 de 2012[104], la publicidad indiscriminada referente a dicho tipo de información “no cumple una finalidad legal o constitucional, no es útil ni necesaria. Por el contrario, considera la Corte que (…) facilita el ejercicio incontrolado del poder informático, constituye una barrera de facto para el acceso o la conservación del empleo y facilita prácticas de exclusión social y discriminación prohibidas por la Constitución.” Tal como fue denunciado por la accionante a través del ejercicio del presente amparo constitucional.” (Sentencia T-020/14, Corte Const.)
¿Qué es exactamente lo que pasa con el Registro Nacional de Base de Datos RNBD de la Superintendencia de Industria y Comercio, en el cual deben inscribirse personas jurídicas inscritas en Cámara de Comercio hasta el 8 de noviembre de 2016? Resumo: los inscritos en Cámara de Comercio que tengan bases de datos con información de terceros, deben inscribirse en el RNBD antes del 9 de noviembre próximo indicando qué bases de datos tienen SIN entregar la información contenida en tales bases de datos; respecto de estas deberán informar seguridad o si hay información de menores, entre otras cosas. Eso es todo en resumen.
Qué es el RNBD:
“El Registro Nacional de Bases de Datos – RNBD – es el directorio público de las bases de datos sujetas a tratamiento que operan en el país, el cual será administrado por la Superintendencia de Industria y Comercio y será de libre consulta para los ciudadanos.” (http://www.sic.gov.co/drupal/registro-nacional-de-bases-de-datos)
En la ley:
“CAPÍTULO III, Ley 1581/12.
Del Registro Nacional de Bases de Datos
Artículo 25. Definición. El Registro Nacional de Bases de Datos es el directorio público de las bases de datos sujetas a Tratamiento que operan en el país.
El registro será administrado por la Superintendencia de Industria y Comercio y será de libre consulta para los ciudadanos.
Para realizar el registro de bases de datos, los interesados deberán aportar a la Superintendencia de Industria y Comercio las políticas de tratamiento de la información, las cuales obligarán a los responsables y encargados del mismo, y cuyo incumplimiento acarreará las sanciones correspondientes. Las políticas de Tratamiento en ningún caso podrán ser inferiores a los deberes contenidos en la presente ley.
Parágrafo. El Gobierno Nacional reglamentará, dentro del año siguiente a la promulgación de la presente ley, la información mínima que debe contener el Registro, y los términos y condiciones bajo los cuales se deben inscribir en este los Responsables del Tratamiento. “
Por tanto, se refiere a bases de datos
– sujetas a tratamiento,
– que operan en el país.
Por ello una empresa en liquidación o incluso una liquidada podría tener que reportar la información, como consta en el documento de preguntas y respuestas de la SIC:
“18. ¿Las empresas que están en liquidación y las que están ya liquidadas también tienen que realizar el proceso en el Registro Nacional de Bases de Datos?
Es deber de todas las empresas registrar sus bases de datos en el RNBD. En consecuencia, si una sociedad que está en liquidación tiene bases de datos con información personal, debe registrarlas. Por su parte, si una sociedad ya se liquidó, no es sujeto de derecho y, por esta razón, no le es exigible esta obligación.” (http://www.sic.gov.co/drupal/preguntas-frecuentes-rnbd)
Desde luego, si una empresa en liquidación no tiene bases de datos, no tiene que reportar nada.
Al examinar el texto legal, se observa que la obligación no es solamente para aquellos inscritos en cámara de comercio, es general. Y que aplica, por ausencia de posibilidad de distinción en cuanto no hay alguna planteada en la ley, a instituciones públicas o privadas.
Sugiero escuchar la Entrevista en WRadio a la superintendente delegada para la Protección de Datos Personales de la SIC. Existe un manual del usuario para inscripción en el RNBD.
Obligación análoga para personas naturales se tramitará posteriormente.
El plazo vence el 8 de Noviembre de 2016.
Normatividad mínima y referencias oficiales, además del manual de usuario que acabo de señalar:
– Ley 1581 de 2012 Es una ley estatutaria “Por la cual se dictan disposiciones generales para la protección de datos personales”
– Decreto 1377 de 2013 sobre definiciones y autorización del tratamiento.
– Decreto 886 de 2014 “Por el cual se reglamenta el artículo 25 de la Ley 1581 de 2012, relativo al Registro Nacional de Bases de Datos”
– Circular Externa No. 02 del 3 de noviembre de 2015, con instrucciones en esta materia del RNBD.
Advierto que no tengo nada que ver con la Superindustria, sino que por vía académica sugiero una claridad de un tema que preocupa tanto en estos días. Por tanto, la información oficial reposa en la página web de la SIC:
– Correo oficial para aclaraciones soporteRNBD@sic.gov.co
– Preguntas y respuestas sobre RNBD http://www.sic.gov.co/drupal/preguntas-frecuentes-rnbd
Información complementaria:
Mi nota “Derecho y ciudadanía No. 4: La soberanía sobre los datos personales”
Estamos en un mundo en el cual grandes corporaciones succionan, como vampiros hacen con la sangre, la información privada de las personas. ¿De veras cree que esos servicios que aprovecha son “gratuitos”? No siempre. Usualmente usted debe permitir que la compañía recolecte información personal para tratarla y venderla a terceros, los cuales la usan para mercadeo y otros fines, así que la próxima vez asegúrese de leer las condiciones del contrato, lo que también sucede a menor escala. Tómese el trabajo de leer las condiciones para rellenar un formulario o para acceder a un servicio, porque puede resultar que para poder diligenciarlo deba renunciar a soberanía sobre datos personales. Un caso de este tipo a gran escala se está presentando en Europa, con Whatsapp y Facebook, empresas que pretenden apropiarse a la fuerza de la información personal. El caso está relatado en la nota “WhatsApp consuma su advertencia: o se aceptan sus condiciones o no se podrá seguir usando” del periódico El Mundo; en resumen, la situación es esta: el usuario de whatsapp puede verse obligado a aceptar que su información sea compartida con Facebook, o no podrá seguir usando Whatsapp. Eso es anular el consentimiento. Alemania acaba de ordenar a Facebook no solamente que deje de recolectar información de Whatsapp sino que además borre la información que ya haya recolectado, orden que es apelada por Facebook (ver “Facebook to appeal German order on WhatsApp data” en Reuters).
Hay que advertir que en Europa se ha expedido un nuevo reglamento de protección de datos (ver resumen “Guía rápida sobre las principales novedades en el Reglamento UE de Protección de Datos” en Computer World de España), vigente en un futuro cercano, lo cual –junto con lo ocurrido con Facebook- demuestra la preocupación por hacer efectivos los derechos de las personas sobre sus datos personales. Se trata del “Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) «”. Consta en este reglamento, entre otras cosas:
“(32) El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.” (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO)
Como se ve, y ya señalé, el consentimiento debe ser voluntario y no puede sujetarse la prestación del servicio a una renuncia sobre los datos personales. Así reposa en el art. 15 de la Constitución Política de Colombia:
“ARTICULO 15, C.P.. Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.
En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.
La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley.
Para efectos tributarios o judiciales y para los casos de inspección, vigilancia e intervención del Estado podrá exigirse la presentación de libros de contabilidad y demás documentos privados, en los términos que señale la ley.” (resalté)
Estos son derechos fundamentales. Todos tenemos derecho a controlar nuestros datos siempre, incluso si se autoriza su recolección.
“Los datos personales deben ser procesados sólo en la forma en que la persona afectada puede razonablemente prever o que, como se deriva de lo expuesto, conduzca a evitar una afectación objetiva en sus derechos. Sí, con el paso del tiempo, el uso de los datos personales cambia a formas que la persona no espera o permite un objeto distinto al inicialmente previsto, es necesario por parte de las autoridades competentes o del juez constitucional adoptar las medidas que correspondan para preservar la integridad del habeas data y de sus derechos relacionados.” (Sentencia T-020/14, Corte Const.)
No es solo el derecho a controlar cómo se recolectan nuestros datos, sino cómo se distribuyen.
“En lo que respecta al acceso de datos personales por internet u otro medio de divulgación o comunicación masiva, salvo la información pública, no podrá estar disponible o de ser consulta generalizada, pues su conocimiento se limita a los titulares o terceros autorizados conforme a la ley. Como se observa la única excepción se encuentra en los datos públicos, entre otras razones, porque a través de ellos se garantiza el derecho de todas las personas a la información, conforme se establece en el artículo 20 del Texto Superior, así como la posibilidad de acceder a los documentos públicos, que contengan información distinta a aquella que sea reservada o semiprivada, en los términos del artículo 74 de la Constitución.” (Sentencia T-020/14, Corte Const.)
En Colombia, consta en el numeral 1º del art. 6º del D. 1377/13 que debe informarse (cito) “…al Titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento”, opción que debe otorgarse a todo aquel que se vincule a un servicio o diligencie un formulario. Ello porque el derecho a la información personal es un derecho fundamental (art. 15 Constitución Política). Si usted ha sido objeto de un coerción similar, puede presentar queja ante la Superintendencia de Industria y Comercio. Para complementar la información sobre protección de datos personales puede consultar la página “Protección de datos personales” en la SIC.
En resumen:
“El derecho al hábeas data ha sido comprendido por la jurisprudencia constitucional como un complejo de facultades que pueden agruparse en dos contenidos definidos. El primero, refiere a que el tratamiento de los datos personales es una expresión de la libertad del sujeto de autorizar que la información sobre sí mismo sea sometida a recopilación, circulación y uso por terceros. Esto quiere decir, de acuerdo con ese precedente, que la autorización para el tratamiento de la información personal constituye una decisión propia del ejercicio de la cláusula general de libertad, por lo que está sometida a condiciones particulares. El segundo contenido surge luego que se expresa esa autorización. Una vez incorporada la información personal en el registro y base de datos, la Constitución y la ley confiere al titular del dato un grupo de derechos, facultades y garantías, que metodológicamente han sido comprendidos por la jurisprudencia como principios, que tienen como principal objetivo garantizar la eficacia de las facultades de conocimiento, actualización y rectificación del dato personal por parte del sujeto concernido, de manera tal que el tratamiento no se torne abusivo, desproporcionado o contrario a derecho. “ (Sentencia T-987/12, Corte Constitucional)
Para ilustrarse acerca de derechos a datos personales, puede mirar este video de la Superintendencia de Industria y Comercio con lenguaje sencillo: “Niños… ¡La SIC les enseña a cuidar sus datos personales!” https://www.youtube.com/watch?v=hy_dmT2oGzU
En otra ocasión traté el derecho a la propia imagen. Procede preguntarse, ¿y si un medio de comunicación publica la imagen de alguien que consiente en ser entrevistado, puede el entrevistado o entrevistada, invocar una violación al derecho a la propia imagen? Y otra cosa, ¿el paso del tiempo varía las reglas de protección?
El Artículo 15 de la Constitución Política es la norma reina en materia de derecho a la intimidad, protección de datos, entre otros. Recientemente, con ocasión de una acción de tutela por causa de unos antecedentes administrativos, el Consejo de Estado hizo un examen general de dicho artículo.
Las personas suelen perder sus cédulas con alguna frecuencia. El problema es que esas cédulas pueden utilizarse al cometer delitos, y el peor escenario es que los investigadores no verifiquen la identidad del portador de ese documento de identificación, y terminen condenando al titular de la cédula pero no al delincuente. Hace poco, la Corte Constitucional resolvió un caso de esas características.
Conozco casos de embargos de más de 70 años, que vienen a ser descubiertos por las familias cuando van a enajenar esos bienes o a disponer de ellos. El problema suele resolverse, no sin alguna dificultad, cuando el embargo es a favor de una entidad del Estado que aún existe. El problema es distinto, y más grave, cuando quien embargó fue un particular que no se puede localizar, ni tampoco a su descendencia, o cuando -quizás el peor escenario- no hay rastro del trámite del embargo en despacho judicial alguno por desaparición del juzgado que ordenó la diligencia. Las oficinas de registro de instrumentos públicos no pueden levantar un embargo sin la orden del juzgado que lo ordenó o con la prueba de la extinción de la obligación (asumiendo que ella sea individualizable). ¿Qué hacer entonces? Veamos el caso en la vida real.
Se ha publicado la ley 1383 de 2010 "por la cual se reforma la Ley 769 de 2002 – Código Nacional de Tránsito, y se dictan otras disposiciones" (DIARIO OFICIAL. AÑO CXLIV. N. 47653. 16, MARZO, 2010. PAG. 15). Aunque se anuncia como "reforma", en realidad es un nuevo código, así contenga aspectos del código anterior. Lo anterior por razones de hermenéutica, puesto que las 19 páginas de la nueva ley deben integrarse a la Ley 769 para entender qué es exactamente el código de tránsito, contenido ahora en la Ley 769 de 2002 con las modificaciones de la ley 1383.
En materia de licencias, por ejemplo, ahora se incluirá un código de barras con información de quien la porta.
La conducta de los bancos es abusiva una y otra vez en este país, tal como queda demostrado con el estudio de la jurisprudencia constitucional (ver ,entre otras, mi nota "Tutela contra la arbitrariedad bancaria por deudas antiguas"). Así quedó escrito en reciente jurisprudencia constitucional:
He sostendio que el sistema bancaria es abusivo en su operación (ver mis notas "Los bancos no pueden negarse a buscar información que deberían tener" y "Posición dominante, habeas data e instituciones financieras"). Este año, la Corte Constitucional se pronunció en relación con una violación de derechos constitucionales por el cobro de deudas muy antiguas de las cuales el banco no tenía prueba (salvo sus propios registros contables, lo cual no es suficiente según se expone más adelante). Se trata de la sentencia de tutela T-129 de 2010, la cual es importante además porque demuestra que el pago voluntario de una deuda que se cree tener no exonera al banco de demostrar la veracidad de la misma.
Muchas personas creen que basta con dirigir una denuncia a las autoridades, para que estas puedan proceder a la sanción. Y, por desgracia, lo mismo piensan muchas autoridades, quienes olvidan los mandatos constitucionales del debido proceso o los principios de los procedimientos administrativos del Código Contencioso Administrativo. Tal forma de proceder atenta contra los derechos fundamentales de las personas, tal como ha sostenido desde hace mucho tiempo la jurisprudencia constitucional.
Las autoridades suelen creer que facultad discrecional es lo mismo que facultad arbitraria, es decir, creen que decisiones discrecionales pueden adoptarse literalmente como se les de la gana, cuando lo cierto es que la facultad discrecional absoluta no existe. La norma básica es esta:
"ARTICULO 36, C.C.A. DECISIONES DISCRECIONALES. En la medida en que el contenido de una decisión, de carácter general o particular, sea discrecional, debe ser adecuada a los fines de la norma que la autoriza, y proporcional a los hechos que le sirven de causa."
Se ha expedido el Decreto 3600 de 2009 «Por el cual se reglamenta la ley 1288 de 2009, ’Por medio del cual se expiden normas para fortalecer el marco legal que permite a los organismos, que llevan a cabo actividades de inteligencia y contrainteligencia, cumplir con su misión constitucional y legal, y se dictan otras disposiciones’». Es particularmente relevante el tema de suministro de información:
La Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura (UNESCO) ha publicado el libro EC/2008/CI/PI/13 titulado "El Derecho a la Información en América Latina" (clic aquí para consultarlo).
Sobre el sentido del libro se lee en la introducción:
Un error común es creer que es lo mismo la improcedencia de una acción de tutela que la negación de la protección, siendo que son dos cosas distintas. Para ilustrar dicha diferencia, puede tenerse presente la Sentencia T-002/09 de la Corte Constitucional, en la cual se discutió un caso de hábeas data en enero de 2009. El caso es el de una ciudadana que reclamaba su inclusión en DATACREDITO por parte de un almacén, a causa de una deuda solidaria de 1994 de cuyo incumplimiento nunca fue notificada. El primer análisis tuvo que ver con la procedibilidad:
"En su jurisprudencia , la Corte Constitucional ha precisado que la acción de tutela para proteger el derecho fundamental al hábeas data, exige que se agote el requisito de procedibilidad consistente en que el actor haya hecho solicitud previa a la entidad correspondiente, para corregir, aclarar, rectificar o actualizar el dato o la información que tiene sobre él, pues así se desprende del contenido del artículo 42, numeral 6° del Decreto 2591 de 1991, que regula la procedencia de la acción de tutela contra particulares" (Sentencia T-002/09 de la Corte Constitucional)
Menciona la sentencia que
"…al momento de proferir esta sentencia, el Proyecto de Ley Estatutaria 027 de 2006 (Senado), 221 de 2007 (Cámara), ya fue objeto de control previo de constitucionalidad por esta corporación (sentencia C-1011 de octubre 16 de 2008, M. P. Jaime Córdoba Triviño), pero aún está pendiente la realización de trámites posteriores para la expedición de la consiguiente ley." (citado de la sentencia)
Posteriormente, revisando el caso, advierte:
"…que no obra prueba alguna en el expediente, que permita establecer si la señora María Antonia Choles Mejía presentó solicitud para que se actualizara el reporte sobre ella, después del pago de la deuda. Esto hace improcedente la petición de amparo, ya que no se puede omitir tal requisito según ha reiterado esta corporación, por ejemplo en la precitada sentencia T-857 de 1999" (citado de la sentencia)
Y concluye:
"Quedando claro que no se desconoce el derecho a la demandante a la actualización y modificación del reporte, para que conste la situación actual real, esto es, que en diciembre 21 de 2007 se efectúo a Muebles Jamar S.A. el pago voluntario del total de la deuda, según lo manifestado en precedencia, la Sala modificará el fallo proferido por el Juzgado 9° Civil Municipal de Barranquilla, en cuanto la decisión es declarar la improcedencia de la acción impetrada, mas no negar la protección pedida. Nótese cómo establecer la procedencia de la acción antecede al análisis de la vulneración o no de un derecho fundamental, estudio que en este caso no se puede acometer, precisamente al determinarse que no procede." (citado de la sentencia)
Se ha publicado en el Diario oficial del jueves 5 de marzo de 2009, No. 47.282, la ley 1288 de 2009 «por medio del cual se expiden normas para fortalecer el marco legal que permite a los organismos, que llevan a cabo actividades de inteligencia y contrainteligencia, cumplir con su misión constitucional y legal, y se dictan otras disposiciones». Su objeto es:
Está disponible el texto de la ley 1266 de 2008 «por el cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en la base de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones» (DIARIO OFICIAL. Aí‘O CXLIV. N. 47219. 31,DICIEMBRE, 2008. PAG. 176). Este es el texto de referencia obligada, comoquiera que es la versión publicada en el Diario Oficial.
(más…)
Se ha publicado en el Diario Oficial la ley 1273 de 2009 "por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado – denominado «de la protección de la información y de los datos»- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones" (DIARIO OFICIAL. Aí‘O CXLIV. N. 47223. 5, ENERO, 2009. PAG. 5.).
Esta ley adiciona al Código Penal un Título VII BIS denominado «De la Protección de la información y de los datos", en el cual van los tipos 269A a 269J. También crea como circunstancia de agravación punitiva "Cuando para la realización de las conductas punibles se utilicen medios informáticos, electrónicos o telemáticos" (es la adición de un numeral 17 al artículo 58 del Código Penal.
Esos delitos quedan bajo competencia de los Jueces Municipales (art. 3, L. 1273/09).
Finalmente, deroga el artículo 195 del Código Penal.
Como uno de los antecedentes, es interesante tener presente que el proyecto de ley Cámara 42 de 2007, Senado proyecto 281 de 2008, inicialmente tuvo una redacción inspirada en parte en el Convenio de Budapest (ver Gaceta donde se pulica la primera ponencia).
Dejo a disposición de todos el texto de la ley 1266 de 2008«POR LA CUAL SE DICTAN LAS DISPOSICIONES GENERALES DEL HABEAS DATA Y SE REGULA EL MANEJO DE LA INFORMACIí“N CONTENIDA EN BASES DE DATOS PERSONALES, EN ESPECIAL LA FINANCIERA, CREDITICIA, COMERCIAL, DE SERVICIOS Y LA PROVENIENTE DE TERCEROS PAíSES Y SE DICTAN OTRAS DISPOSICIONES».
Esta ley, conocida como ley de habeas data, fue examinada por la Corte Constitucional (Sent. C-1011 de 2008).
Dada la importancia de esta ley, ruego esperar un post posterior acerca de su contenido.
La Corte Consitucional ha producido la sentencia T-916/08, en la cual se señala como prueba ilegal la utilización de correos electrónicos privados cuya difusión no se autorizó, aunque existiera consentimiento para uso de la misma cuenta de correo entre esposo.
(más…)
En la Sentencia T-284/08, la Corte Constitucional se ocupó del reclamo de una usuaria de una empresa de telefonía móvil celular, con la cual existía una deuda de 1997. La usuaria había adquirido una terminal celular (equipo) en 1997, la cual devolvió al poco tiempo por problemas de servicio. En el trámite de devolución el operador celular nada dijo acerca de sanciones o asuntos pendientes, sin embargo, la usuaria se enteró años después de que le habían registrado una sanción por terminación anticipada del contrato. Entre los hechos relatados por la tutelante están los siguientes:
El año 2003, la Corte Constitucional se ocupó de un caso en que una grabación informaba a quien llamaba a una línea telefónica que la misma se encontraba suspendida por falta de pago. En esa sentencia, la Sentencia T-814/03, se lee:
Mediante comunicado de prensa No. 46, respecto de sesión de la Sala Plena celebradael día 16 de octubre de 2008, la Corte Constitucional ha anunciado que en sentencia C-1011 de 2008, cuyo texto seguramente aún no existe,
"…profirió la sentencia mediante la cual efectuó la revisión oficiosa e integral de constitucionalidad del Proyecto de ley Estatutaria No. 27/06 Senado «“ 221/07 Cámara, «por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicio y las provenientes de terceros países y se dictan otras disposiciones» (citado del comunicado)
El texto del Proyecto de Ley Estatutaria No. 27/06 Senado «“ 221/07 Cámara (Acum. 05/06 Senado) «por la cual se dictan las disposiciones generales del Hábeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones.», se encuentra dentro del comunicado.
Ahora lo que sigue es la sanción presidencial.
La ciberseguridad es un tema que, con razón, preocupa cada vez más a todos los que se interesan por la sociedad de la información. Decía la UIT en un Documento sobre el Simposio de Ciberseguridad, previo al inicio de la Asamblea Mundial de Normalización de las Telecomunicaciones de la UIT (AMNT-04):
"Dado que dependemos cada vez más de las redes electrónicas de comunicación, la seguridad es un fenómeno que reviste sin duda importancia capital. El enorme crecimiento que se ha registrado en la utilización de esta infraestructura ha hecho que organizaciones y particulares no puedan prescindir de la información almacenada y comunicada gracias a estos sistemas, lo que, a su vez, ha llevado a una mayor conciencia de la necesidad de proteger datos y recursos."
Como señal de la continuidad en la preocupación, el 8 de mayo de 2008, la misma organización publicó la nota "La ciberseguridad ocupa un lugar destacado en la agenda internacional".
La UIT ha compilado en un lugar las diferentes iniciativas que maneja sobre el tema en la página Cybersecurity.
Desde luego, la UIT no es la única que mantiene actividades de ese tipo. Por ejemplo, en la OEA actualmente existe un Comité Interamericano contra el Terrorismo CICTE, uno de cuyos programas de Protección de la Infraestructura Crítica es Seguridad Cibernética.
Aunque a la fecha no se ha expedido la ley estatutaria de Habeas Data, la cual desarrollaría lo previsto en el artículo 15 de la Constitución, sí es posible señalar lo que ha dicho la Jurisprudencia Constitucional sobre la imposibilidad legal de utilización de datos obtenidos sin autorización del titular, un tema sobre el cual alguien me consultó hace poco:
(más…)