Notas sobre la sentencia de constitucionalidad de la Ley de Hábeas Data: la agenda pendiente

Revista Nº 24 Jul.-Sep. 2009

porAndrés Felipe Umaña Chaux y Nicolás Urdinola Martínez 

1. El contexto de la sentencia

La expedición de la Ley 1266 de 2008, comúnmente conocida como Ley de hábeas data —la Ley— generó en Colombia una gran expectativa. La manipulación masiva de la información personal por parte de los más variados actores es hoy en día una realidad innegable. Las empresas crean perfiles de sus clientes, con o sin su autorización; las entidades prestadoras de salud sistematizan la información de sus pacientes, generando inmensas bases de datos con historias clínicas de sus pacientes; las empresas se están valiendo de tecnología de punta para monitorear el comportamiento de sus empleados; el Estado está unificando la información de los ciudadanos; donde se mire se encuentra un proyecto tecnológico que involucra, de alguna manera, la recolección o manipulación de la información personal de los ciudadanos.

Esta manipulación masiva de la información personal ha generado, en palabras de la Corte Constitucional de Colombia —la Corte—, un verdadero poder informático(1) en cabeza de quienes administran las bases de datos. No cabe duda que estas bases traen muchos beneficios, tanto a las empresas, como también a los ciudadanos cuyos datos han sido capturados. Sin embargo, el riesgo para la privacidad de las personas es igualmente significativo. Es por esto que, como contrapeso a ese poder informático, se han opuesto distintos derechos, dentro de los que están el derecho a la intimidad, el derecho al buen nombre, el derecho a la información, y el que es materia de este trabajo, el derecho al hábeas data, el principal de ellos en tal contexto.

Ahora bien, estando clara la existencia de un poder informático y de un derecho de hábeas data que pretende proteger a los individuos de semejante poder, y entendida la circunstancia de que debe conservarse un balance entre los mismos, dicho balance tardó en desarrollarse normativamente en Colombia, tal y como ha venido ocurriendo en muchos países.

No obstante, jurisprudencialmente el derecho de hábeas data tuvo un extenso tratamiento en los últimos años, particularmente a instancia de la Corte, en múltiples sentencias asociadas a las más variadas circunstancias. Si bien todos estos pronunciamientos fueron —y aún son— de la mayor importancia, se consideraba necesario: (i) la sistematización de los mismos en un conjunto de normas que desarrollaran tales temas críticos; (ii) La regulación de muchos otros aspectos no tocados por la Corte Constitucional. Se esperaba entonces que la muy anticipada Ley de hábeas data introdujera este balance, un balance reclamado por más de 18 años de repetidas —y fallidas— iniciativas legislativas.

Tan importante como la ley es la sentencia que analiza la constitucionalidad de la misma —Sent. C-1011/2008(2)—, proferida en virtud de la revisión automática que hace la Corte, por tratarse de una ley estatutaria o regulatoria de derechos fundamentales. Así la Corte, como se discutirá a lo largo de este artículo, sentó las bases de lo que será el desarrollo del derecho al hábeas data en Colombia durante los próximos años.

2. La definición del alcance sectorial de la Ley

La primera gran controversia a la que se enfrentó la Corte fue la definición del ámbito de aplicación de la ley. Existe una aparente contradicción entre el artículo 1.º, que al definir el objeto de la norma, establece que este es desarrollar el derecho al hábeas data, “particularmente en relación con la información financiera y crediticia, comercial, de servicios y la proveniente de terceros países”; y el artículo 2.º, que al definir su ámbito de aplicación establece que la ley se aplicará a “todos los datos de información personal registrados en un banco de datos, sean estos administrados por entidades de naturaleza pública o privada”.

Así, mientras el artículo 1.º parece restringir la aplicación de las normas de la Ley a la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países(3), el artículo 2.º aparentemente extiende la aplicación de la Ley a todos los datos personales que reposen en un banco de datos, independientemente del tipo de información de que se trate.

A esto se suma que los artículos incluidos en el título IV, se refieren de manera exclusiva a la información financiera y crediticia, comercial, de servicios y proveniente de terceros países, mientras que los demás títulos no tienen una limitación expresa respecto de ningún tipo especial de información. Finalmente, algunos artículos de la ley, como el artículo 13 y el 15, que no están incluidos en el título IV, solo parecen tener sentido en el contexto de la información relacionada con el cálculo del riesgo crediticio.

¿Cuál es, entonces, el ámbito de aplicación de la ley? ¿Se aplica a todo tipo de información personal, en todo contexto, o solamente a los datos personales que tengan el carácter de “información financiera, crediticia, comercial, de servicios y la proveniente de terceros países”? La Corte resuelve el problema acudiendo a criterios sistemáticos, teleológicos e históricos concluyendo que la ley es una norma de carácter sectorial, cuyo objeto es únicamente regular un tipo particular de dato personal, a saber, aquel destinado al cálculo del riesgo crediticio de su titular.

Aún cuando resultan valiosas las precisiones que hace la Corte, la Sentencia C-1011 arroja algunas dudas sobre puntos importantes para la definición del ámbito de aplicación de la ley. En primer lugar, la Corte parece obviar que la definición que utiliza en distintos apartes fundamentales del texto de su decisión no es la misma que presenta la ley. El literal j) del artículo 3.º define la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países como “aquella referida al nacimiento, ejecución y extinción de obligaciones dinerarias, independientemente de la naturaleza del contrato que les dé origen”. Esta definición utiliza un criterio objetivo: la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países es aquella cuyo objeto puede asociarse al nacimiento, ejecución y extinción de obligaciones dinerarias.

La Corte, por el contrario, utiliza una un criterio teleológico: “En ese sentido, el ámbito de protección del derecho fundamental al hábeas data previsto en el Proyecto de Ley, se restringe a la administración de datos de índole comercial o financiera, destinada al cálculo del riesgo crediticio. Considerar lo contrario, esto es, aplicar la normatividad objeto de examen a los distintos escenarios de administración de datos personales, llevaría a equívocos, perplejidades e, incluso, violaciones de los derechos constitucionales”. Y en otro aparte llega a definir lo que ella misma denomina hábeas data financiero como “el derecho que tiene todo individuo a conocer, actualizar y rectificar su información personal comercial, crediticia y financiera, contenida en centrales de información públicas o privadas, que tienen como función recopilar, tratar y circular esos datos con el fin de determinar el nivel de riesgo financiero de su titular”. La información regulada por la Ley, según la Corte, es aquella que se pretende utilizar para calcular el riesgo financiero —o crediticio— de una persona.

Estas dos definiciones, como resulta evidente, no son co-extensivas. Cierta información, como por ejemplo aquella que explica el nacimiento de un contrato generador de alguna obligación dineraria, está “referida al nacimiento, ejecución y extinción de obligaciones dinerarias”, y sin embargo puede no ser recopilada con el propósito de calcular el riesgo crediticio del deudor de dicha obligación. Y cierta información, como por ejemplo el número de cédula de ciudadanía de un individuo(4), no está “referida” a obligaciones dinerarias y sin embargo puede ser recopilada con el fin de que crear una base de datos para calcular en el futuro el riesgo crediticio del titular de dicho dato personal.

La Corte no aborda expresamente esta dicotomía. Simplemente, parece preferir la expresión que ella misma utiliza para definir el ámbito de aplicación de la ley. Mientras que la expresión “destinada al cálculo del riesgo crediticio” es utilizada al menos 30 veces a lo largo de la sentencia cuando se refiere a la información regulada por la ley, la expresión “información financiera, crediticia, comercial, de servicios y la proveniente de terceros países” es utilizada con este mismo propósito en tan solo cinco ocasiones. Si bien puede tratarse de una mera economía de palabras, la explicación más probable es que la Corte quiere dejar muy en claro el ámbito de la ley, recurriendo a una expresión que considera más precisa, pero que paradójicamente no es usada en ninguno de los artículos de la norma.

Más allá de este punto, quedan pendientes las consecuencias de limitar el ámbito de aplicación de la ley a la información destinada al cálculo del riesgo crediticio. ¿Qué pasa entonces con los artículos que tienen un alcance general? ¿Se aplican de manera directa a otros contextos, o se aplican por analogía? El asunto no es de poca monta. Son muchos los razonamientos y conclusiones que la Corte hace en esta decisión, que llenan vacíos jurídicos importantes, pero que a primera vista solo se aplicarían al hábeas data financiero. Los siguientes son solo algunos ejemplos:

(i) El artículo 5.º de la ley, que consagra excepciones al principio de circulación restringida de la información personal, se aplicaría únicamente a la información contenida en las bases de datos destinadas al cálculo del riesgo crediticio. ¿Se aplicarían igualmente a otras bases de datos que contengan todo tipo de datos personales? O, por ser excepciones, ¿serían de aplicación restringida?

(ii) El título III establece los deberes de las fuentes, los operadores y los usuarios. Esta información tan solo se aplicaría para las fuentes, operadores y usuarios de datos personales destinados al cálculo del riesgo crediticio. Para los demás, no habrían deberes específicos y tan solo aplicarían aquellos que se desprendan de manera directa de los principios sentados por la Corte para la administración de los datos personales.

(ii)(sic) El título V de la ley establece los procedimientos para que los titulares de la información puedan hacer solicitudes y reclamos a los operadores de los bancos de datos. ¿Se restringen entonces estos procedimientos a los operadores de bancos de datos que almacenen información destinada al cálculo del riesgo crediticio?

(iv) Las superintendencias Financiera y de Industria y Comercio tienen la función de vigilar el cumplimiento de los preceptos de la ley. ¿Están estas entidades únicamente legitimadas para vigilar el cumplimiento de estos preceptos en relación con el hábeas data financiero? ¿Significa ello que para los demás derechos no existe una autoridad que ejerza control y vigilancia? Nótese la redacción del artículo 17 de la Ley: “ART. 17.—Función de vigilancia. La Superintendencia de Industria y Comercio ejercerá la función de vigilancia de los operadores, las fuentes y los usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, en cuanto serefiere a la actividad de administración de datos personales que se regula en la presente ley. En los casos en que la fuente, usuario u operador de información sea una entidad vigilada por la Superintendencia Financiera de Colombia, esta ejercerá la vigilancia e impondrá las sanciones correspondientes, de conformidad con las facultades que le son propias, según lo establecido en el Estatuto Orgánico del Sistema Financiero y las demás normas pertinentes y las establecidas en la presente ley”.

(v) El artículo 18 establece las sanciones por el incumplimiento de la ley. ¿Se aplican estas normas con exclusividad a las violaciones relacionadas con datos personales destinados al cálculo del riesgo crediticio de las personas?

Como se puede apreciar, el empleo por vía de analogía de los recursos de la ley plantea serios problemas, al menos para los puntos (i), (iv) y (v), que parecerían ser de aplicación restringida. La Corte desafortunadamente no desarrolla con profundidad ninguno de estos puntos en la Sentencia C-1011. Solo nos da una luz sobre este tema: al hablar de la posibilidad de que los aspectos no regulados por la ley hayan quedado sin protección alguna, la Corte confirma la vigencia de todos los precedentes constitucionales sentados hasta ahora: “Finalmente, la Corte debe advertir que lo anterior no significa, como lo consideran algunos de los intervinientes, que los demás ámbitos de ejercicio del derecho fundamental al hábeas data queden, en virtud de la promulgación de la ley estatutaria, excluidos de protección jurídica. En contrario, la Sala considera imprescindible expresar de antemano, como lo hará a propósito del análisis de constitucionalidad del artículo 2.º del Proyecto de Ley, que las distintas modalidades de administración de datos personales, como es el caso de la recopilación, tratamiento y circulación de datos en materia de seguridad social, asuntos tributarios, la realizada por las instituciones de inteligencia y seguridad del Estado, el registro mercantil, las bases de datos de naturaleza tributaria, etc., continúan cobijadas por las garantías contenidas en el artículo 15 de la Constitución y desarrolladas por la jurisprudencia de la Corte, en ejercicio de las competencias previstas en el artículo 241 C.P.”.

Pero importantes interrogantes subsisten para el sector empresarial. ¿Debe una fuente de información, que no maneja datos personales financieros, certificar semestralmente al operador la veracidad de la información suministrada. en los términos del numeral 6.º del artículo 8.º de la ley? ¿Qué procedimiento debe seguir para resolver las quejas y reclamos de los titulares? La Corte solo hace una tímida referencia, que no zanja la problemática, y que, por lo tanto, la deja pendiente para desarrollos futuros: “Inclusive, la Sala advierte que las mismas normas de la ley estatutaria, en cuanto prevén los principios de administración de datos personales, al igual que los derechos y deberes de titulares, fuentes y usuarios; pueden servir de parámetro para la evaluación de la legitimidad de otras modalidades de tratamiento de información personal, en tanto dichos preceptos resulten pertinentes y aplicables”.

Finalmente, debe destacarse que la Corte declara la inexequibilidad de un aparte de la definición de la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países. El literal j) del artículo 3.º, como se mencionó, definía esta información como aquella “referida al nacimiento, ejecución y extinción de obligaciones dinerarias, independientemente de la naturaleza del contrato que les dé origen, así como la información relativa a las demás actividades propias del sector financiero o sobre el manejo financiero o los estados financieros del titular”. Para la Corte, la expresión “así como la información relativa a las demás actividades propias del sector financiero o sobre el manejo financiero” es vaga e imprecisa, lo que atenta contra el principio de finalidad de administración de datos personales. Adicionalmente, la inclusión de “los estados financieros del titular” como parte de la definición atenta contra el artículo 15 de la Constitución Política de Colombia, que establece que “(p)ara efectos tributarios o judiciales y para los casos de inspección, vigilancia e intervención del Estado podrá exigirse la presentación de libros de contabilidad y demás documentos privados, en los términos que señale la ley”.

Esta declaratoria deja dos importantes lecciones prácticas. Por una parte, la regulación de la finalidad para la cual se recolectará, usará o transferirá un dato personal debe ser expresa y concreta, no solo a nivel normativo sino en el ejercicio de actividades comerciales. La imprecisión en la definición de dicha finalidad podría eventualmente generar la invalidez del consentimiento del titular o de la legitimidad de la administración de ciertos datos personales. Por otra, la regulación de los estados financieros de las personas debe pasar de un examen estricto de constitucionalidad, con base en el artículo 15 de la Carta Política colombiana. Las excepciones consagradas en este artículo para que el Estado pueda tener acceso a dicha información privada son de aplicación restrictiva, y manifestaciones genéricas como la incluida en el artículo revisado, se consideran una violación directa del propio artículo.

3. El alcance del principio de libertad

Uno de los principios fundamentales en la administración de datos personales, tanto en Colombia como en el derecho comparado, es el que la Corte denomina como el principio de libertad. Tal como se señala en la Sentencia T-729 de 2002, según este principio “los datos personales solo pueden ser registrados y divulgados con el consentimiento libre, previo y expreso del titular, de tal forma que se encuentra prohibida la obtención y divulgación de los mismos de manera ilícita —ya sea sin la previa autorización del titular o en ausencia de mandato legal o judicial—. En este sentido por ejemplo, se encuentra prohibida su enajenación o cesión por cualquier tipo contractual”.

No es difícil adivinar que este principio se ha prestado a innumerables discusiones, pues impone el más alto estándar de cuidado para la administración de datos personales. Toda recolección, uso o transferencia de un dato personal requiere, salvo que medie una autorización legal o judicial, del consentimiento del titular de la información. Y no se trata de cualquier tipo de consentimiento, sino de un consentimiento cualificado, en la medida en que tiene que ser libre, expreso y previo. ¿Qué se entiende por consentimiento libre, expreso y previo? ¿Cómo se aplica en el contexto, por ejemplo, de los contratos de adhesión? ¿Qué excepciones tiene? ¿Pueden estas excepciones solo ser determinadas por una ley estatutaria?

En el caso concreto de la ley, surgieron importantes inquietudes:

(i) Pese a la relevancia del principio de libertad, de manera sorpresiva, el artículo 4.º de la ley, que enumera los principios para la administración de datos personales, no lo incluye en forma expresa. ¿Cuál es el alcance de esta omisión? ¿Se trató de un acto deliberado del legislador por medio de la cual se pretendía establecer que el principio de libertad no era un principio de carácter general? ¿O se trataba simplemente de hacer ver que los casos en los que el consentimiento era requerido estaban regulados en otros artículos de la ley?

(ii) El artículo 5.º, que establece los casos particulares en los que puede circular la información personal, no regula de manera expresa el consentimiento en algunas situaciones, y en otras, releva expresamente de la necesidad de obtenerlo. El literal c), por ejemplo, permite a los operadores entregar la información personal “a cualquier autoridad judicial, previa orden judicial”. El literal d) hace lo propio para las “entidades públicas del poder ejecutivo, cuando el conocimiento de dicha información corresponda directamente al cumplimiento de alguna de sus funciones” y el literal e) para “los órganos de control y demás dependencias de investigación disciplinaria, fiscal, o administrativa, cuando la información sea necesaria para el desarrollo de una investigación en curso”. Finalmente, el literal f), tal vez el más polémico, permite entregar dicha información “a otros operadores de datos, cuando se cuente con autorización del titular, o cuando sin ser necesaria la autorización del titular el banco de datos de destino tenga la misma finalidad o una finalidad que comprenda la que tiene el operador que entrega los datos”.

(iii) El artículo 6.º, que enumera los derechos de los titulares de la información personal, no menciona en ninguno de sus artículos el derecho a que cualquier acceso, uso o circulación de un dato personal requiera el consentimiento libre, previo y expreso del titular. Hábil o descuidadamente, según como se mire, el legislador solo incluyó referencias indirectas en el artículo 6.º. Así, uno de los derechos del titular frente al operador es el “Solicitar prueba de la certificación de la existencia de la autorización expedida por la fuente o por el usuario”. De la fuente, el titular puede “Solicitar prueba de la autorización, cuando dicha autorización sea requerida conforme lo previsto en la presente ley”. Respecto del usuario “3.2 Solicitar prueba de la autorización, cuando ella sea requerida conforme lo previsto en la presente ley”. Se añaden expresiones generales que habilitan también al titular para “Ejercer el derecho fundamental al hábeas data en los términos de la presente ley” y “Ejercer los derechos fundamentales al hábeas data y de petición”.

(iv) El mismo artículo 6.º consagra expresamente una excepción al principio de libertad en el inciso segundo del parágrafo: “La administración de datos semiprivados y privados requiere el consentimiento previo y expreso del titular de los datos, salvo en el caso del dato financiero, crediticio, comercial, de servicios y el proveniente de terceros países el cual no requiere autorización del titular. En todo caso, la administración de datos semiprivados y privados se sujeta al cumplimiento de los principios de la administración de datos personales y a las demás disposiciones de la presente ley”.

Así pues, a primera vista parecería que la Ley tenía como uno de sus objetivos incorporar algunas restricciones a la aplicación del principio de libertad sentado por la Corte. ¿Qué interpretación se da a estos preceptos? La Corte es enfática en “defender” el principio de libertad de este aparente intento de limitación. En principio, recuerda que tiempo atrás había sentado el precedente de que el consentimiento del titular hace parte del núcleo esencial del derecho al hábeas data. Regresando sobre lo expresado en la Sentencia SU-082 de 1995 se encuentra que: “Al respecto, en la Sentencia SU-082 de 1995, la cual hizo un análisis extenso de las condiciones exigidas para la admisibilidad constitucional de los procesos de administración de datos personales de contenido comercial y crediticio, puso de presente que la libertad del individuo, identificada bajo el concepto de autodeterminación informática, dependía del cumplimiento del requisito de consentimiento. Incluso, en esta decisión el Pleno de la Corte consideró que la autorización del titular hacía parte del núcleo esencial del derecho al hábeas data”.

En el análisis del artículo 5.º la Corte no encuentra mayor reparo para los literales a), b), c) y e) de la norma. Considerando necesario tan solo hacer algunas precisiones en torno al literal d), que regula la circulación de la información personal entregada a las entidades públicas. Establece que esta transmisión exige el cumplimiento de dos grandes requisitos: (i) Que exista un vínculo necesario entre la divulgación del dato personal y el cumplimiento de la función pública; y (ii) Que la entidad pública cumpla con los deberes propios de los usuarios de la información personal.

Finalmente, la Corte se detiene en el literal f). Es aquí cuando aprovecha para recalcar su doctrina sobre el principio de libertad. Expresa la Corte que este numeral debe interpretarse en su adecuado contexto. Se trata de un artículo cuyo sujeto pasivo no es cualquier persona, sino que se refiere únicamente a los operadores de bancos de datos. Es decir, solamente esos operadores pueden entregar la información a las personas indicadas en el artículo 5.º, incluyendo el literal f). ¿Qué importancia tiene esto? Que los supuestos contemplados en el artículo 5.º implican, a juicio de la Corte, que la entrega de los datos personales al operador se ha hecho respetando la totalidad de los principios de administración de datos personales, incluyendo, desde luego, el principio de libertad. Señala la Corte que: “(e)l literal f) del artículo 5.º del proyecto de ley establece una serie de eventos en los que la información suministrada a los operadores, que haga parte del banco de datos que administra, puede ser entregada o puesta a disposición de terceros, sin que medie el consentimiento del titular. Esto significa que el relevo de la autorización se predica de la transmisión del dato del operador al tercero, posibilidad que en ningún caso significa que el deber de contar con el consentimiento del titular para el envío de información personal al operador, resulte exigible sin excepción alguna”. Así, la fuente de la información personal debe pedir en cualquier caso autorización del titular para la recolección del dato. Debe pedir igualmente autorización para su transferencia al operador. Es solamente la transferencia del operador al tercero la que se rige por el artículo 5.º, respetándose en todo caso los demás principios de administración de datos personales para realizar dicha circulación de la información personal.

Estas apreciaciones permiten comprender mejor la interpretación que debe hacerse del artículo 5.º. En la sentencia, empero, se pierde la oportunidad para solucionar muchas de las dudas que se han venido presentando en torno al principio de libertad. No desarrolla la Corte, por ejemplo, las características que debe tener el consentimiento del titular. En un aparte de la sentencia parece añadirse una característica adicional a las que había señalado en la Sentencia T-729 de 2002. Conviene reiterar que en esta sentencia la Corte determinó que el consentimiento debía ser libre, expreso y previo. En la Sentencia C-1011 la Corte señala: “Similares consideraciones fueron tenidas por la Corte en fallos posteriores, en los que no solo se reiteró que el consentimiento de la titular de la información es un presupuesto para la legitimidad constitucional de los procesos de administración de datos personales destinados al cálculo del riesgo financiero, sino que también se cualificó esa autorización, exigiéndose que esta fuera previa, explícita y concreta”. Parecería entonces que el consentimiento tiene que ser libre, previo, expreso y concreto. Pero, ¿Qué se entiende por consentimiento “libre”? ¿Cabría el consentimiento otorgado en un contrato de adhesión? ¿Significa que la autorización debe resaltarse de alguna manera en dichos contratos, o que debe pedirse el consentimiento por separado en los mismos? ¿Qué alcance tiene que el consentimiento sea “previo”? ¿Significa que no está permitida la convalidación de actuaciones relacionadas con el tratamiento de datos personales hechas sin el consentimiento del titular? ¿Qué significa que sea explícito? ¿Significa que la conducta del titular de la información nunca puede servir para demostrar que la fuente obtuvo el consentimiento y que está usando los datos personales legítimamente? ¿Qué significa que sea “concreto”? ¿Implica que cada uno de los usos que se le va a dar al dato personal debe estar expresamente enumerado en la autorización? ¿Significa esto que autorizaciones como, por ejemplo, “para el cumplimiento de las relaciones contractuales existentes entre las partes” carecerían de la concreción suficiente? Sin duda estos desarrollos son más propios de una ley o de otro tipo de norma. Sin embargo, toda vez que la ley no cubre estos interrogantes, y que seguramente pasará un buen tiempo antes de que una nueva ley estatutaria lo haga, hubiera sido oportuno que la Corte le dedicará algunas líneas a este importante asunto.

Otro punto crítico que la Sentencia C-1011 apenas menciona, pero sin desarrollarlo, es el de las excepciones o restricciones al principio de libertad. En efecto, la Corte simplemente se limita a reiterar las excepciones que había manifestado en anteriores fallos: “Ello en tanto el principio de libertad no tiene carácter absoluto y, en algunos escenarios, como sucede para el caso de la recopilación de datos por parte de entidades públicas con fines de investigación y sanción penal —es el caso analizado en la Sentencia T-310/03. En esta oportunidad la Corte puso de presente que los registros de órdenes de captura son verdaderas bases de datos, respecto de los cuales eran predicables las garantías propias del derecho al hábeas data, en especial los principios de la administración de datos personales que han sido estudiados en esta sentencia. Sin embargo, esta aplicación resultaba restringida para el caso de la obligación de consentimiento del titular en la incorporación del dato personal. Sobre este tópico, el fallo señaló: “De otra parte, observa la Sala que el principio de libertad no es aplicable, toda vez que el mencionado registro se debe efectuar de manera obligatoria cuando una autoridad judicial expide la orden de captura, información que puede y debe ser divulgada a solicitud de autoridad competente, luego para su registro y divulgación no media el consentimiento libre, previo y expreso de la persona sobre la cual recae la orden de captura”— y tributaria —al respecto se pronunció la Sentencia C-981 de 2005. En este caso la Sala concluyó que la circulación entre bases de datos de distintas entidades recaudadores de impuestos no requería la autorización del titular, amén que la circulación de datos en este caso respondía a una finalidad relacionada con la protección del patrimonio público y además, el mismo artículo 15 C.P. permitía el acceso a los documentos privados para efectos tributarios—, entre otros, resulta permitido establecer excepciones a la necesidad de contar con el consentimiento del titular, en razón a que esa limitación es imprescindible para lograr el cumplimiento de fines estatales, como son el aseguramiento del orden justo o la preservación del patrimonio público”.

No cabe duda de que el principio de libertad es fundamental para la protección de los datos personales. Sin embargo, también lo es que este no se puede convertir en un obstáculo para el desarrollo de ciertas relaciones jurídicas. El cumplimiento de las funciones estatales es una de ellas, como bien lo reconoce la Corte, pero no es la única. La Directiva 95/46/EC de la Unión Europea, por ejemplo, que es ampliamente señalada como el estándar más alto de protección de datos personales en el mundo, contiene importantes matices para este principio. El artículo 7.º de dicha directiva establece que el tratamiento de personales no requerirá el consentimiento inequívoco del titular, y se podrá por tanto “tratar” dichos datos si: “b) es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o c) es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o d) es necesario para proteger el interés vital del interesado, o e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1.º de la presente directiva”. La Corte bien hubiera podido mencionar algunas de estas excepciones, así fuera a título de obiter dicta, con el fin de eliminar tantos interrogantes que se han venido presentando en el tráfico mercantil durante los últimos años.

4. El desarrollo del principio de caducidad

La caducidad del dato financiero negativo ha sido uno de los temas más polémicos y más desarrollados por la Corte, razón por la cual haremos una breve referencia al mismo, para después pasar a un punto nuevo que consideramos importante y que se esbozó tanto en la ley como en la Sentencia C-1011.

Desde la Sentencia SU-082 de 1995 la Corte había trazado los principales parámetros sobre la permanencia de los datos financieros negativos en las bases de los operadores de bancos de datos destinados al cálculo del riesgo crediticio. La ley, trató de desarrollar esos parámetros en el artículo 13: “La información de carácter positivo permanecerá de manera indefinida en los bancos de datos de los operadores de información. Los datos cuyo contenido haga referencia al tiempo de mora, tipo de cobro, estado de la cartera, y en general, aquellos datos referentes a una situación de incumplimiento de obligaciones, se regirán por un término máximo de permanencia, vencido el cual deberá ser retirada de los bancos de datos por el operador, de forma que los usuarios no puedan acceder o consultar dicha información. El término de permanencia de esta información será de cuatro (4) años contados a partir de la fecha en que sean pagadas las cuotas vencidas o sea pagada la obligación vencida”.

La Corte decide entonces condicionar la exequibilidad del término de permanencia de la información negativa a dos supuestos: “En consecuencia, la Sala declarará la constitucionalidad del artículo 13 del proyecto de ley, en el entendido que la caducidad del dato financiero en caso de mora inferior a dos años, no podrá exceder el doble de la mora, y que el término de permanencia de cuatro años también se contará a partir del momento en que se extinga la obligación por cualquier modo”.

En cuanto a la información positiva, la Corte la sujeta al principio de temporalidad que consagra la ley en el literal d) del artículo 4.º: “Principio de temporalidad de la información. La información del titular no podrá ser suministrada a usuarios o terceros cuando deje de servir para la finalidad del banco de datos”. La Corte realiza en este punto una precisión cuyos alcances todavía están por definirse: Empero, la compatibilidad general entre la permanencia de la información financiera positiva y los postulados constitucionales no debe comprenderse de manera absoluta, sino que debe necesariamente acompasarse con los demás componentes del derecho al hábeas data y con la necesidad de evitar el ejercicio indiscriminado y abusivo del poder informático de que son titulares las fuentes y operadores. Así, en los términos de los principios de finalidad y temporalidad de la información, previstos por el legislador estatutario, el mantenimiento indefinido del dato financiero positivo solo estará justificado mientras subsistan las causas que dieron lugar al acopio, tratamiento y divulgación de la información personal… En consecuencia, cuando esta finalidad no resulte posible o relevante; por ejemplo, en caso que el titular de la información fallece o ha sido declarado judicialmente interdicto para la celebración de actos y negocios jurídicos, el acopio, tratamiento y circulación de la información positiva son contrarios a la Carta Política, pues dejan de cumplir con un objetivo que busque hacer efectivos bienes constitucionalmente valiosos”.

En el texto de la decisión de constitucionalidad se empieza a desarrollar tímidamente, al respecto de este aparte, una doctrina de lo que en otros países se conoce como data retention. Por la fuerte influencia de la problemática del dato financiero, en Colombia se ha generado una cierta presunción de que el único problema que se presenta con la conservación de información personal en bases de datos está asociado con el dato financiero negativo. Se asume que no hay interés en que la información positiva, o más importante aún, que no lo hay en la eliminación de la información “neutra” de las bases de datos financieras. Y por un ejercicio de analogía, se entiende que tampoco hay problema alguno asociado a la información personal distinta de la información financiera. Nada más alejado de la realidad. El término de conservación de la información personal en bases de datos comerciales, aún cuando su inclusión inicial haya sido autorizada por el titular del dato, es una preocupación internacionalmente reconocida. Como bien lo señala la Corte, el interés del titular de la información en que se conserve su información personal al interior de una base de datos está delimitado por el principio de finalidad. Cuando dicha información ya no cumple el propósito para el que fue incluida en la base de datos, debe ser eliminada de la misma.

Así como la Corte desarrolló principios y estableció unos términos para la conservación de los datos personales financieros negativos, debería desarrollar principios y establecer unos términos para la conservación de la información positiva o la información neutra en una base de datos cualquiera. Un punto más sobre el que, también, esperamos se establezcan lineamientos jurisprudenciales o legales en el futuro.

5. La transferencia internacional de datos personales

De los tópicos frente a los cuales existía mayor expectativa, el tratamiento que la Corte le daría a las disposiciones sobre transferencia de datos personales desde y hacia otros países era de particular interés, sobre todo teniendo en cuenta la vaguedad con que se hizo alusión al mismo en el texto de la ley y las exigencias internacionales que en esta materia existen. Tristemente, de nuevo, la Corte no dio respuesta a la mayoría de los interrogantes que surgen del articulado de la ley y que requerirán, al menos, de una reglamentación que permita entender el alcance de la norma.

A este respecto, el primer análisis que realiza la Corte se concentra en el literal f) del artículo 5.º que establece una situación particular para los casos en que el receptor de la información sea un banco de datos extranjero: “[S]i el receptor de la información fuere un Banco de Datos extranjero, la entrega sin autorización del titular solo podrá realizarse dejando constancia escrita de la entrega de la información y previa verificación por parte del operador de que las leyes del país respectivo o el receptor otorgan garantías suficientes para la protección de los derechos del titular”.

De primera mano, surge la pregunta sobre si para los casos en que el receptor es un banco de datos extranjero no se requerirá dar cumplimiento a los requisitos establecidos por la ley y por la Corte, sobre todo en relación con el principio de libertad, pues pareciera desprenderse de la redacción del literal, que es admisible realizar la transferencia de los datos personales sin la autorización del titular, cumpliendo con las dos condiciones señaladas. Sin embargo, coherentemente con lo explicado atrás, la Corte fue contundente en afirmar que no se puede entender la mencionada disposición como una excepción al cumplimiento del principio de libertad, pues la autonomía informativa del titular del dato se salvaguarda a través de la autorización que presta ante la fuente. Así mismo, dispuso que el principio de libertad debe satisfacerse desde el origen y frente a la fuente, determinándose previamente las condiciones, y finalidad que tendrá la información. “[e]l titular debe expresar unívocamente su voluntad en el sentido de determinar si autoriza la inclusión de datos de contenido comercial y financiero, su uso para una finalidad específica y suficientemente identificable y si permite que los operadores puedan poner a disposición dichos datos a otros operadores, nacionales o extranjeros, en las condiciones previstas por el legislador estatutario”.

En segundo término, la Corte analizó la constitucionalidad de dejar en manos del operador la verificación de que las leyes del país receptor otorgaran garantías suficientes para la protección de los derechos del titular. La Corte dispuso sobre este punto que debía hacerse una interpretación armónica con la totalidad del texto de la Ley, sin aislar el contenido del literal. Entendió el alto tribunal que quien debía establecer el cumplimiento de los estándares mínimos por parte de otras legislaciones eran las superintendencias encargadas de la inspección y vigilancia, y que el papel de los operadores sería de corroboración de las condiciones fijadas por dichas autoridades: “(s)i el legislador estatutario ha señalado que las superintendencias de Industria y Comercio y Financiera, de acuerdo con las competencias previstas en el ordenamiento, tienen la competencia para señalar el modo particular y específico en que deberán cumplirse las disposiciones de la normatividad estatutaria; entonces estas entidades deberán determinar los parámetros que deberá tener en cuenta el operador nacional para la verificación de que la legislación aplicable al banco de datos de destino ofrece garantías suficientes para la protección de los derechos del titular. En ese sentido, las citadas superintendencias deberán analizar el cumplimiento de los estándares de garantía de derechos predicables del titular del dato personal, en la legislación del banco de datos extranjero de destino. Así, dichas entidades podrán, inclusive, identificar expresamente los ordenamientos legales extranjeros respecto de los cuales, luego de un análisis suficiente, pueda predicarse dicho grado de protección suficiente de los derechos del sujeto concernido. De manera correlativa, el ejercicio del acto de verificación a cargo del operador nacional al que refiere el literal f) del artículo 5.º del proyecto de ley, estará supeditado a que las entidades que ejercen la función de vigilancia hayan realizado el análisis de cumplimiento de estándares de protección de derechos antes aludido”. No quedo con ello claro si la transferencia a otros países debe necesariamente esperar el pronunciamiento de las superintendencias. Esta es una importante duda respecto de la cual no tendremos respuesta en el corto plazo. No parece, no obstante, que deba detenerse la transferencia internacional de datos personales en espera de estos pronunciamientos de las superintendencias, mientras la dicha transferencia respete en todo momento los principios de administración de datos personales sentados por la Corte.

Finalmente, y aunque de manera escueta, al analizar la constitucionalidad del artículo 14, la Corte hace una breve referencia a los requisitos que se deben tener en cuenta para la importación de los datos desde otras jurisdicciones. El artículo 14 dispone: “ART. 14.—Contenido de la información. El Gobierno Nacional establecerá la forma en la cual los Bancos de Datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, deberán presentar la información de los titulares de la información. Para tal efecto, deberá señalar un formato que permita identificar, entre otros aspectos, el nombre completo del deudor, la condición en que actúa, esto es, como deudor principal, deudor solidario, avalista o fiador, el monto de la obligación o cuota vencida, el tiempo de mora y la fecha del pago, si es del caso”—resaltado fuera de texto—.

Frente al reproche que el Ministerio Público hizo hecho en relación con la inconstitucionalidad de la expresión “la proveniente de terceros países” por la ausencia de una regulación específica sobre los requisitos para la inclusión de la información proveniente de terceros países, la Corte dispuso: “[a]unque la norma estatutaria no prevé una regulación específica, referida a la administración de datos personales provenientes del exterior, ello no puede entenderse como una ausencia de condiciones, límites y requisitos a esa actividad, como lo considera el Ministerio Público. En cambio, las previsiones contenidas en la Constitución y en la norma estatutaria establecen obligaciones suficientemente definidas a las fuentes, operadores y usuarios, que son del todo aplicables a este escenario concreto de administración de datos personales provenientes de terceros países”.

Para la Corte, la ley dispone mecanismos suficientes que garantizan que los flujos de datos personales, provenientes de otros países, resultarán ajustados a los requisitos establecidos en el ordenamiento colombiano: “Debe insistirse en que a pesar que la información tenga origen extranjero, los procesos de administración de datos personales se llevarán a cabo en el país y estarán subordinados a las condiciones, requisitos y sanciones previstos en la Constitución y en la normatividad estatutaria. Por lo tanto, no es viable argumentar que se esté ante un déficit de protección del derecho, sino que, antes bien, la legislación ofrece variados instrumentos dirigidos a que (i) los agentes que intervienen en el proceso de administración de datos personales tengan obligaciones definidas en relación con la obtención de la autorización, el uso y tratamiento adecuado de la información personal y, en general, el respeto a los principios que guían la administración del dato; y (ii) se establezcan instrumentos expeditos para que el sujeto concernido pueda ejercer las facultades constitucionales de conocimiento, actualización y rectificación de la información personal”.

No se resuelven algunos aspectos importantes. ¿Estamos frente a un evento de aplicación extraterritorial de la ley colombiana, al disponer que la transferencia internacional de datos personales y su conservación en otros países debe respetar los principios del ordenamiento jurídico colombiano en materia de protección de datos personales? medidas deben tomar los operadores para garantizar que los datos personales de ciudadanos colombianos almacenados en terceros países cumplirán con la normatividad colombiana? El legislador seguramente deberá intervenir pronto para dar solución a estos interrogantes, que son fundamentales para actividades comerciales como los servicios de tercerización del manejo de datos, tales como data centers, call centers, servicios de procesamiento de datos, y demás cobijados por la denominación de contratos de outsourcing.

6. Otros aspectos para ser desarrollados en el futuro

6.1. Protección de datos personales de las personas jurídicas

Una de las innovaciones principales pero menos comentadas, y a nuestro juicio más problemáticas, que trae la ley está en la definición del concepto de dato personal. Reza el literal e) del artículo 3.º: “Dato personal. Es cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica. Los datos impersonales no se sujetan al régimen de protección de datos de la presente ley. Cuando en la presente ley se haga referencia a un dato, se presume que se trata de uso personal. Los datos personales pueden ser públicos, semiprivados o privados”.

La ley entra a esclarecer un punto en el que la Corte había oscilado durante los últimos años: ¿son las personas jurídicas titulares de datos personales?. Así, en apartes de distintos pronunciamientos, que probablemente deberían ser en todo caso calificados como obiter dicta, la Corte había establecido que las personas jurídicas podían ser titulares del derecho de hábeas data. Por ejemplo, en la Sentencia SU-1193 de 2000 se lee: “La naturaleza propia de las mismas personas jurídicas, la función específica que cumplen y los contenidos de los derechos constitucionales conducen necesariamente a que no todos los que se enuncian o se derivan de la Carta en favor de la persona humana les resulten aplicables. Pero, de los que sí lo son y deben ser garantizados escrupulosamente por el sistema jurídico en cuanto de una u otra forma se reflejan en las personas naturales que integran la población, la Corte Constitucional ha destacado derechos fundamentales como el debido proceso… la inviolabilidad de los documentos y papeles privados, el acceso a la administración de justicia, el derecho a la información, el hábeas data y el derecho al buen nombre, entre otros. En conexidad con ese reconocimiento, ha de señalar la Corte que las personas jurídicas tienen todas, sin excepción, los enunciados derechos y que están cobijadas por las garantías constitucionales que aseguran su ejercicio”.

No obstante en la multicitada Sentencia T-729 de 2002, que la misma Corte en la Sentencia C-1011 reconoce como la expresión más completa de su doctrina en materia de hábeas data, se deja expresa constancia de que la definición de datos personales está asociada a una persona natural: “Acogiendo posiciones doctrinales en la materia, desde la Sentencia T-414 de 1992, la Corte ha señalado como características del dato personal las siguientes: i) estar referido a aspectos exclusivos y propios de una persona natural…”.

Esta consideración no era extraña, ya que seguía la tendencia internacional de entender que el régimen de protección de datos personales se refería exclusivamente a las personas naturales. La Directiva 95/46/EC de la Unión Europea ya referida, por ejemplo, limita su ámbito de aplicación a las personas físicas. El artículo 1.º establece que los “Estados miembros garantizarán, con arreglo a las disposiciones de la presente directiva, la protección de las libertades y de los derechos fundamentales de las personas físicas,…”, y la definición de dato personal es limitada consecuentemente: ““datos personales”: toda información sobre una persona física identificada o identificable —el “interesado”—; se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente...”.

La Corte, sin embargo, al reflexionar sobre la constitucionalidad de esta definición, no encuentra objeción a que la ley no siga este precedente: “Aunque el precedente citado ha contemplado que la información de esta condición es propia de las personas naturales, en criterio de la Sala nada se opone a que la categoría se extienda a las personas jurídicas. Ello debido a que, en consonancia con lo señalado a propósito del análisis de constitucionalidad del literal a) del artículo objeto de examen, la aplicación del derecho al hábeas data financiero y, en general, de los principios de administración de datos personales, se predica a favor de todo sujeto jurídico que esté en capacidad de producir información susceptible de ser objeto de los actos de recolección, tratamiento y circulación a que refiere el artículo 15 Código Penal. En consecuencia, es compatible con la Carta Política que dentro de la definición de dato personal, se incluya el producido por las personas jurídicas, pues estas son titulares del derecho al hábeas data”.

Sin duda podría argüirse que la limitación establecida por la Sentencia T-729 de 2002 era solo de obiter dicta, y por tanto que la nueva decisión no se trata de un verdadero cambio de jurisprudencia de la Corte, sobretodo porque los hechos de la Sentencia T-729 de 2002 no hacer referencia específica al caso de los datos personales de las personas jurídicas.

Pero, más allá de esta discusión, que podría considerarse superada, es de lamentar que la Corte no haya dado lineamientos claros sobre cómo se aplican los principios de administración de datos personales para las personas jurídicas. ¿Se aplican los mismos parámetros fijados para las personas naturales? No parece tener mucho sentido esta conclusión. A diferencia de las personas naturales, las personas jurídicas son constructos del ordenamiento jurídico, cuya utilidad está asociada directamente a la publicidad de la información relacionada con ellos. No por otra razón establece Código de Comercio Colombiano un registro mercantil, en el que las sociedades comerciales deben inscribir sus principales actos y en el que constan, para libre acceso del público, los datos que identifican o que están asociados a dicha persona. Regulación similar tienen las entidades sin ánimo de lucro en el Código Civil, en el Decreto 2150 de 1995 y en las demás normas concordantes. ¿Por qué someter entonces los datos de las personas jurídicas a un régimen de protección tan estricto como el existente para los datos personales? ¿No podría obtenerse un mejor resultado si los datos de las personas jurídicas se trataran con fundamento en regímenes desarrollados funcionalmente para ellas? ¿Qué impacto tendrán estas disposiciones en el tráfico mercantil? No sorprende que sea necesario esperar desarrollos futuros para obtener lineamientos más claros sobre esta materia.

6.2. La responsabilidad de los operadores de información

La Corte Constitucional declaró la constitucionalidad condicionada del literal c) del artículo 3.º de la ley, que define a los operadores de información. El aparte objeto de la declaratoria establece que: “Salvo que el operador sea la misma fuente de la información, este no tiene relación comercial o de servicio con el titular y por ende no es responsable por la calidad de los datos que le sean suministrados por la fuente”. La Corte consideró que este aparte debía entenderse como constitucional, pero solo “en el entendido que el operador es responsable a partir de la recepción del dato suministrado por la fuente, por el incumplimiento de los deberes de diligencia y cuidado en relación con la calidad de la información personal, consagrados en esta Ley Estatutaria”. Sobre qué debe entenderse por estos deberes de diligencia y cuidado es algo que queda como parte del temario pendiente a la que hemos hecho referencia en este artículo.

6.3. La duplicidad de las autoridades de vigilancia

El alto tribunal constitucional defiende la dualidad de autoridades establecida en el artículo 17 de la ley, argumentando el carácter especial y autónomo de cada una de las agencias gubernamentales delegadas y las funciones particulares en cabeza de cada una de ellas. En este sentido, se anota: “Ningún reparo constitucional ofrece el hecho de que la potestad de vigilancia y control, en materia de hábeas data, se radique en los organismos técnicos que cumplen esa misma función en relación con la actividad nuclear que desarrollan las instituciones y agentes controlados. Por el contrario, en razón del principio de especialidad, tal opción ofrece mayores garantías de efectividad. Además, la asignación de las facultades de regulación, control y vigilancia a las superintendencias de Industria y Comercio y Financiera, en atención a la actividad que desarrolla la persona o ente vigilado, resulta ser una consecuencia natural del carácter apenas sectorial del proyecto, referido al dato financiero, crediticio, comercial y de servicios”.

A nuestro juicio, la atribución de la potestad de vigilancia y control en dos autoridades distintas, cuya actuación depende de la naturaleza de los sujetos pasivos controlados, puede originar más inconvenientes que beneficios al sistema, pues no solo se está yendo en contravía de la política regulatoria actual(5) y de la tendencia mundial de unificación de competencias en una sola autoridad especializada, sino que se corre el riesgo de que se produzcan marcos regulatorios paralelos y contradictorios, decisiones contrapuestas sobre temas análogos y procesos concomitantes que versen sobre unos mismo hechos pero que contemplen sujetos pasivos sometidos a ambas autoridades. ¿Cuál sería la autoridad competente cuando una persona jurídica del sector comercial que actúa como fuente, le transfiera información errada a una entidad crediticia que actúa en calidad de operador? ¿Se deberá iniciar un procedimiento ante la Superintendencia de Industria y Comercio en contra de la fuente y otro ante la Superintendencia Financiera en contra de la operadora? Mucho habrá de corresponderle definir a las autoridades señaladas en el ejercicio de sus novísimas competencias, y especialmente, al lidiar con la dualidad dispuesta en la norma.

En su fallo, la Corte pudo hacer el papel de orientadora; si bien era su función entrar a resolver falencias de la ley, y su análisis debía ceñirse al ámbito constitucional, haber enfatizado en la necesidad de que las decisiones de ambas entidades fueran armónicas hubiese reportado un mayor beneficio a la insistencia hecha, por la misma Corte, al respecto de la autonomía e independencia de cada una de las entidades.

* * *

Con estos breves comentarios el debate queda abierto en un área cuya sensibilidad jurídica apenas se empieza a experimentar en diversos escenarios económicos y sociales. La importancia estratégica de la discusión jurídica es, tanto para Colombia como para las distintas naciones que comparten estas inquietudes, motivo de sostenido interés para personas e instituciones. Sirvan estas líneas de invitación a completar la agenda pendiente.

(1) Véase, por ejemplo, la Sentencia T-729 de 2002 de la Corte Constitucional de Colombia.

(2) Versión oficial disponible en: www.corteconstitucional.gov.co/relatoria/2008/C-1011-08.rtf. Última consulta julio 13 de 2009.

(3) A simple vista la ley parece referirse a cuatro tipos distintos de información. Sin embargo, en realidad se trata de un solo tipo de información, pues el literal j) del artículo 3.º trae una sola definición para toda esta enumeración.

(4) N del E.: La “cédula de ciudadanía” es el documento de identidad individual expedido por el Estado de manera universal y obligatoria a los nacionales de la República de Colombia. Este documento incluye un número que es único para cada ciudadano.

(5) El Congreso de Colombia recientemente aprobó el proyecto de ley de Protección a la Competencia —L. 1340/2009—, mediante el cual se centralizan todas las funciones de protección de la competencia, que se encontraban dispersas, en una única autoridad, la Superintendencia de Industria y Comercio.