Apuntes sobre habeas data en Colombia

1 Concepto de habeas data

Es el derecho de las personas a que se respete su privacidad en la parte de la información (datos personales) que sobre ellos exista (en sus manos o en las de otros) y pueda recolectarse o hacerse circular. Consta en la Declaración Universal de Derechos Humanos de la ONU:

“Artículo 12, Declaración Universal de Derechos Humanos. Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.”

Artículo 12, Declaración Universal de Derechos Humanos, ONU

Esta norma se refleja en el artículo 15 de la Constitución Política de 2015, clave en esta materia y al cual nos referiremos varias veces:

“Artículo 15. Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.

En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.

La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley.

Para efectos tributarios o judiciales y para los casos de inspección, vigilancia e intervención del Estado podrá exigirse la presentación de libros de contabilidad y demás documentos privados, en los términos que señale la ley.”

Es un derecho internacionalmente reconocido. Ver por ejemplo el caso Europeo.

2             Qué es un dato personal

“Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables” (letra c), artículo 3, L. 1581/12)

Legalmente, el dueño de los datos es el titular, quien los maneja es el encargado del tratamiento, el que decide este es el responsable del tratamiento. El titular es quien brinda la autorización sobre sus datos.

Hay unos datos personales de especial cuidado: los datos sensibles. Estos no se pueden tratar salvo ciertas circunstancias.

3 No se puede compartir o usar información ajena sin permiso

Un ejemplo de protección de datos en Europa. Los datos privados no se pueden compartir o usar sin autorización expresa. Por ejemplo, en España recientemente una empresa fue llamada al orden por crear un grupo de WhatsApp sin autorización de todos los titulares (meter a una persona en un grupo de WhatsApp es compartir su número de teléfono).

4 Las normas básicas (hay otras, como la ley 2300 de 2023, pero mencionemos solo estas)

Son:

  1. El artículo 15 de la Constitución Política
  2. Ley Estatutaria 1266 de 2008
  3. Ley 1581 de 2012
  4. Decreto 1377 de 2013

Las leyes estatutarias son normas de rango superior a las leyes normales.

“La Ley Estatutaria 1581 de 2012 regula el derecho fundamental al habeas data. Por su parte, la Ley 1266 de 2008, también estatutaria, estableció las pautas de ese derecho frente a los datos de naturaleza comercial, financiera y crediticia esto es, el denominado hábeas data financiero.” (Sentencia C-458/20, Corte Const.)

5 Principios del tratamiento de datos personales

Hay una consagración expresa de principios en el artículo 4 de la ley 1581 de 2012, lo que no significa no tener en cuenta otros principios de derechos humanos como el principio pro homine.

Según el art. 4º de la Ley 1581 de 2012 se aplicarán, de manera armónica e integral, los siguientes principios:

  1. Principio de legalidad en materia de Tratamiento de datos (debe hacerse conforme la ley)
    1. Principio de finalidad (la finalidad del tratamiento debe ser legítima)
    1. Principio de libertad (el consentimiento debe ser realmente libre e informado)
    1. Principio de veracidad o calidad (los datos no pueden contener errores)
    1. Principio de transparencia (el titular de los datos debe poder conocer sus datos y lo que se hace con ellos)
    1. Principio de acceso y circulación restringida (no se pueden poner a disposición de todo el mundo)
    1. Principio de seguridad (los datos deben mantenerse indemnes)
    1. Principio de confidencialidad (debe garantizarse la reserva de los datos no públicos)

Los principios en el tratamiento de datos tienen diferentes consecuencias. Veamos una a continuación, entre muchas posibles.

6             No pueden usarse datos equivocados o de forma que induzcan a error

Los datos que se empleen siempre deben ser verdaderos, de lo contrario no pueden usarse para ningún efecto.

“Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.” (final letra d, artículo 4, Ley 1581 de 2012)

Eso significa que ningún informe oficial o privado puede usar datos que no correspondan a la realidad, so pena de violar el principio de veracidad o calidad de la Ley 1581 de 2012.

Sigamos con otros puntos del habeas data.

7             Personas Jurídicas Y Habeas Data

El habeas data no solamente es un derecho fundamental de las personas naturales, también lo es de las personas jurídicas.

“Las personas jurídicas también son titulares del derecho fundamental al hábeas data, a la intimidad y al buen nombre, toda vez que: (i) la norma Superior hace referencia a todas las personas, sin diferenciar entre personas jurídicas y naturales y (ii) en el último párrafo de la norma previamente citada, se hace una referencia expresa a libros de contabilidad, lo cual es aplicable a las personas jurídicas. Lo anterior ha sido reconocido en diferentes oportunidades por la Corte Constitucional. Un ejemplo de ello es la sentencia T-462 de 1997, en la que señaló que las personas jurídicas son titulares del derecho fundamental al buen nombre y, por consiguiente, al hábeas data y a la intimidad” (Sentencia T-238/18, Corte Const.)

8             Vigilancia y control en materia de habeas data

Es función de la Superintendencia de Industria y Comercio SIC.

¿Y si es una autoridad pública la que incurriría en una posible infracción al derecho de protección de datos personales? Según la Ley 1581 de 2012 la competencia de investigación y sanción es la Procuraduría General de la Nación (parágrafo, artículo 23, Ley 1581 de 2012)

9             El consentimiento no puede ser forzado

¿Se han fijado cuántas instituciones obligan a firmar consentimientos sobre datos personales para proporcionar un servicio o para incluso permitir trabajar? Resulta que eso es violatorio del principio de libertad:

“Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento;” (letra c), artículo 4, Ley 1581 de 2012)

El principio de libertad es de orden constitucional. Se lee en el inciso segundo del artículo 15 de la Constitución Política:

“En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.”

Escribió la Corte Constitucional:

“La condición necesaria para la eficacia de la libertad en los procesos de administración de datos personales, en los términos del artículo 15 Superior, es el consentimiento del titular de la información en la incorporación del dato.  En efecto, la existencia de la autorización expresa, libre y suficiente del sujeto concernido es un presupuesto para el ejercicio del control del dato personal, puesto que la vigencia de la libertad en la gestión de la información implica que el individuo conozca las finalidades del tratamiento del dato, las personas que podrán tener acceso al mismo y, en general, las condiciones en que se efectuarán las actividades de acopio, recopilación y circulación del mismo.” (Sentencia T-1017/08)

Por ello, el Decreto 1377 de 2013 estableció:

“Ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles.” (inciso final, artículo 6º, Decreto 1377 de 2013)

En el mismo orden de ideas, el silencio no se puede interpretar como una respuesta afirmativa:

“En ningún caso el silencio podrá asimilarse a una conducta inequívoca.” (final del art. 7º del mismo decreto)

10             No se pueden recolectar datos de modo injustificado

Los datos que se recojan deben ser los estrictamente necesarios y siempre con autorización previa:

“En desarrollo de los principios de finalidad y libertad, la recolección de datos deberá limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente. Salvo en los casos expresamente previstos en la ley, no se podrán recolectar datos personales sin autorización del Titular” (art. 4º, D. 1377/13)

Esta es otra violación muy común del derecho al habeas data: recolectar datos para venderlos a otros. Eso carece de toda justificación.

11             La circulación de los datos es restringida en cualquier caso

Lo explica así la SIC:

“El principio de circulación restringida consiste en que a menos que la información sea pública, los datos personales no podrán ser accesibles por Internet o por otros medios de divulgación o comunicación masiva, salvo que dicho acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o a los usuarios autorizados para ello.” (https://www.sic.gov.co/manejo-de-informacion-personal)

Es uno de los principios del Tratamiento de datos personales (están en el art. 4º, Ley 1581/12)

12             La información biométrica

¿Qué es eso de la biometría? Leamos que señala una de las empresas más conocidas de antivirus y medidas de seguridad digitales:

“La biometría son las medidas biológicas, o características físicas, que se pueden utilizar para identificar a las personas. Si bien la clasificación de huellas dactilares, el reconocimiento facial y los exámenes de retina son todas formas de tecnología biométrica, también son las opciones más conocidas.” (https://latam.kaspersky.com/resource-center/definitions/biometrics)

Resulta que es información del más alto nivel de privacidad (información sensible).

“Artículo 5°, Ley 1581/12. Datos sensibles. Para los propósitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.”

13             Colisión con otros derechos

El derecho a la protección de la información propia (habeas data) puede chocar con otros derechos, como el derecho a la información o al acceso a documentos en poder de autoridades. En todos los casos, los derechos deben interpretarse de modo integral sabiendo que la enunciación de derechos también se analizan con los deberes involucrados.

“Artículo 94, Constitución Política. La enunciación de los derechos y garantías contenidos en la Constitución y en los convenios internacionales vigentes, no debe entenderse como negación de otros que, siendo inherentes a la persona humana, no figuren expresamente en ellos.”

Y consta un poco después:

“Artículo 95, Constitución Política. (…)

Son deberes de la persona y del ciudadano:

1. Respetar los derechos ajenos y no abusar de los propios;

(…)”

Nadie puede invocar derechos como si nadie más los tuviera.

14            Casos de colisión de habeas data con otros derechos

14.1      El derecho a la información y el habeas data

Hay quienes creen que pueden acceder a los documentos en poder del estado de manera irrestricta. No es así. Se lee en el artículo pertinente de la Constitución:

“Inciso 1, Artículo 74. Todas las personas tienen derecho a acceder a los documentos públicos salvo los casos que establezca la ley.” (resaltado fuera de texto)

Consta en otra parte de la misma Constitución:

“Inciso 2, Artículo 15. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.”

Dice por ejemplo de la información semiprivada la Corte Constitucional:

“La información semiprivada tiene tres características relevantes para el presente caso: (i) su divulgación debe estar conforme con el principio de finalidad que rige el derecho fundamental al hábeas data; (ii) los particulares que no son titulares de tal información solo pueden acceder a ella a través de una orden judicial o administrativa de la autoridad competente en el ejercicio de sus funciones; y (iii) no se rige por las reglas del artículo 74 Superior sobre la reserva de información pública.” (resaltado fuera de texto, Sentencia T-238/18, Corte Const.)

14.2      Secreto empresarial, secreto profesional y de propiedad intelectual

El artículo 74 de la Constitución no da derecho a obtener información reservada de terceros solo por el hecho de estar en entidades públicas. El secreto empresarial, el secreto profesional y la propiedad intelectual siempre están protegidas. Se lee en el segundo inciso del artículo 74 constitucional que

“El secreto profesional es inviolable.”

La protección del secreto empresarial consta en normas como la Decisión 489 de la Comunidad Andina, además del artículo 15 Constitucional, entre otras normas como el artículo 24 de la Ley 1437 de 2011, modificada por la Ley 1755 de 2015 (Código de Procedimiento Administrativo y de lo Contencioso Administrativo).

15             El principio de interpretación pro homine

En caso de dudas, no se interpreta la legislación de habeas data en favor de terceros sino del titular. Ello por el principio pro homine.

“El principio de interpretación <pro homine>, impone aquella interpretación de las normas jurídicas que sea más favorable al hombre y sus derechos, esto es, la prevalencia de aquella interpretación que propenda por el respeto de la dignidad humana y consecuentemente por la protección, garantía y promoción de los derechos humanos y de los derechos fundamentales consagrados a nivel constitucional” (Sentencia C-438/13, Corte Const.)

16             Cartilla de la SIC

La Superintendencia de Industria y Comercio tiene una cartilla sobre habeas data.

Lectura complementario de un caso:

Análisis de un caso:

Esta entrada fue publicada en Derechos constitucionales, Derechos de los consumidores, Derechos humanos, Habeas data. Guarda el enlace permanente.