ÁMBITO DE PROTECCIÓN DE DATOS EN COLOMBIA: ¿POR CUMPLIR O POR CONVICCIÓN? POR SOL BEATRIZ CALLE D´ALEMAN.
Abstract
El proyecto de norma que se tramita en Colombia para excluir de la obligación de realizar el registro nacional de bases de datos a pequeñas empresas y personas naturales, lejos de propugnar por el cumplimiento, favorece un terreno propicio para la cibercriminalidad que cada que vez se lucra más de los datos personales de los ciudadanos. La reducción del universo de los obligados para garantizar el cumplimiento no puede ser un argumento para dejar de cumplir una obligación impuesta por una norma estatutaria.
The draft rule that is being processed in Colombia to exclude from the obligation to perform the national registry of databases to small businesses and individuals, far from advocating for compliance, favors a terrain conducive to cybercriminality that each time profit more of the personal data of citizens. The reduction of the universe of obligors to guarantee compliance can not be an argument to stop fulfilling an obligation imposed by a statutory norm.
Un nuevo proyecto de norma, proveniente de la Superintendencia de Industria y Comercio, se discute en Colombia desde finales del año 2017 en materia de Protección de Datos Personales.
Cómo se ha venido haciendo en anteriores oportunidades no extraña que nuevamente la autoridad de control amplíe el plazo para llevar a cabo el Registro Nacional de las Bases de Datos en el país, habida cuenta de que menos de la mitad de las empresas en Colombia registradas en las Cámaras de Comercio han cumplido con esta obligación proveniente de la Ley 1581 de 2012. Hasta aquí, no hay sorpresa para el sector empresarial, sólo queda la sensación de la poca importancia que tiene este requisito para el Estado cuando esta sería la tercera prórroga de cumplimiento de una obligación impuesta por una ley estatutaria que, valga la redundancia, desarrolla derechos fundamentales prescritos en el Artículo 15 de la Constitución Política Colombiana.
Lo que si resulta sorprendente es que la misma autoridad de control proponga disminuir el universo de los obligados a realizar el Registro argumentando para ello que se hace “necesario modificar el ámbito de aplicación y el plazo señalados en los artículos 2.2.2.26.1.2 y 2.2.2.26.3.1 del Decreto 1074 de 2015, con el fin de reducir el universo de vigilados que deben cumplir con la especial obligación de registrar sus bases de datos en el sistema dispuesto por la Superintendencia de Industria y Comercio y garantizar un alto grado de cumplimiento de esta obligación legal”.
Con este argumento y bajo este falso propósito, se excluyen del registro a las micro y pequeñas empresas, así como a las personas naturales.
Pero, ¿Cómo puede entender un ente de control estatal que la garantía de un alto cumplimiento en materia de protección de datos personales es justamente reducir el universo de los obligados a realizar el registro nacional de bases de datos? ¿Acaso desconoce la SIC las enormes bases de datos que se construyen hoy día por innumerables emprendimientos basados en procesos de big data y analítica de datos? Emprendimientos que están en cabeza de una sola persona o de empresas muy pequeñas en cantidad de trabajadores y capital de trabajo, pero con bases de datos y tratamientos muy amplios de los datos personales de los ciudadanos.
¿Y como no percatarse de los innumerables profesionales de todos los sectores del país que como personas naturales construyen y tratan enormes bases de datos? Curiosamente son estas pequeñas empresas y personas naturales las que más desconocen el régimen de protección de datos y quienes mayores riesgos presentan al momento de circularlos incluso en sistemas de información por fuera de Colombia sin darse cuenta siquiera de la existencia de la norma.
Para paliar un poco la decisión, el proyecto afirma categóricamente que la reducción del universo de obligados a efectuar el registro de sus bases de datos, no significa que estas empresas pequeñas y personas naturales queden por fuera del ámbito de la Ley, asunto que por lo demás no tiene que afirmarse por una norma: una ley estatutaria referida a la protección de los derechos fundamentales de los ciudadanos debe cumplirla todo sujeto que se encuentre en el territorio colombiano; lo realmente absurdo es que por vía de un acto administrativo la misma autoridad de control los exima de cumplir con una obligación que precisamente es la que permite a esa autoridad ejercer un seguimiento y la vigilancia de que no se violen los derechos de los ciudadanos en Colombia.
¿Será entonces constitucional una decisión de esta estirpe que crea unas excepciones no creadas en la norma estatutaria? ¿No viola esta decisión el principio de igualdad en el tratamiento que una autoridad pública debe hacer de sus vigilados? ¿Es constitucional que con el propósito de ampliar el cumplimiento de las normas en términos de registro, la solución estatal sea reducir el universo de los obligados al mismo?
En opinión de la suscrita no puede el Estado caer en la falsa creencia de que el cumplimiento de las normas de protección de datos constituye un asunto que se mide en porcentajes o por cantidad de registrados. El verdadero cumplimiento de estas normas debe verse reflejado en la cultura de respeto por los derechos de los ciudadanos que debe impulsar la autoridad de control con el ejercicio de sus facultades en todos los gremios y responsables de tratamiento, sin importar su tamaño o estructura.
El ámbito de aplicación de las normas de protección de datos personales, y en concreto la obligación de reportar las bases de datos que toda empresa, de la cual sea responsable una persona jurídica o natural cualquiera sea su tamaño, no puede estar basado en porcentajes de cumplimiento, sino en la profunda convicción de proteger al ciudadano que cada vez se ve más expuesto al cibercrimen por cuenta de la violación de sus datos personales. Es en esta cruda realidad en la que debe pensar la autoridad de control.
ISO - Information Security Officer - Master Ing. Cibersecurity (*)
6 añosAlgo que no me queda claro es que si empresas así como personas hacen pública su información de contacto, nombre, telwfono, email de contacto y dirección, por ejemplo a través de LinkedIn, Páginas amarillas o las mismas páginas web de negocio, que dicho sea de paso tienen como objetivo el hacerlos visibles para negocios b2c y b2c, bajo esta lógica, si una empresa construye su propia base de datos a partir de esa información pública, ¿por qué debería obtener el consentimiento de esas empresas o personas que hacen pública su información? Hace unos días lo consulté con un abogado en Medellín y me dijo... Es de las cosas que no tienen mucha lógica en esta Ley, entonces ¿qué hacer?.
Data protection specialist - Lawyer - CIPP/E - LLM Queen Mary University of London
6 añosCreo que la propuesta de eximir a ciertas personas de registrar sus bases de datos no implica que la norma no les resulte obligatoria ni los exime de respetar el derecho de hábeas data. Tanto la Constitucion como la Ley 1581 reconocen el derecho, y la segunda reafirma el deber de actuar de forma correcta respecto de datos de terceros. Esta norma no indica quiénes deben registrar sus bases de datos, tema que le delegó al Gobierno Nacional, al indicar que éste reglamentará el tema.