Tratamiento de datos personales en el contexto laboral

Revista Nº 175 Ene.-Feb. 2013

Nelson Remolina Angarita 

Profesor asociado y director de la especialización en derecho comercial de la Facultad de Derecho de la Universidad de los Andes 

1. Introducción

Desde hace varias décadas viene consolidándose una sociedad basada en la información. Dentro de esta existen los datos personales como una categoría jurídica de especial relevancia, valor y protección, definidos como “cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables”(1). Existe mucha información catalogada como dato personal, la cual incluye la siguiente siempre y cuando se refieran a una persona específica: el nombre, domicilio, estado civil, conformación de su familia (nombre del cónyuge, hijos, etc.), historia clínica, formación académica, experiencia laboral, número telefónico, las fotos, los videos, el salario, la dirección de correo electrónico, las huellas dactilares, el comportamiento sexual, la pertenencia a grupos políticos, religiosos, sindicatos, el cumplimiento e incumplimiento de obligaciones dinerarias, los bienes, entre otros.

Los datos personales son una información constitucionalmente protegida en el artículo 15 de la Constitución de la República de Colombia de 1991. Allí no solo se prevé el derecho que tienen las personas de conocer, actualizar y rectificar cualquier información que exista sobre ellas en bases de datos o archivos de entidades públicas o privadas (habeas data), sino que también se establece que quien trata datos de terceros debe respetar los derechos y libertades establecidos en la Constitución.

Junto a la Constitución existen normas generales y sectoriales. Unas y otras exigen a las organizaciones realizar el tratamiento de dicha información observando una serie de principios. No en vano ha señalado que es “deber constitucional de administrar correctamente y de proteger los archivos y bases de datos que contengan información personal o socialmente relevante”(2).

La Ley Estatutaria 1581 del 17 de octubre del 2012(3) estableció el marco jurídico colombiano para el tratamiento de todo tipo de datos personales, salvo algunas excepciones(4). Esta ley tiene plena aplicación en el sector público y privado e incide en el ámbito laboral de manera que los empleadores en su condición de responsables del tratamiento de los datos de sus empleados deben observarla con ocasión de la recolección, almacenamiento, usos, circulación, etc.

La Constitución y la Ley 1581 del 2012 crearon derechos en cabeza de los trabajadores (titular del dato) respecto de sus datos personales e impuso obligaciones a los empleadores (responsable del tratamiento) para que con ocasión del tratamiento de esa información no se vulneren o pongan en riesgo los derechos de los primeros. Este artículo se centrará en la presentación y análisis de las principales incidencias de dicha ley(5) en ámbito laboral.

2. Contexto e iniciativas internacionales sobre la protección de los datos personales de los trabajadores

En el plano empresarial la información personal representa, por lo menos, tres cosas no excluyentes, que dependen de la actividad de cada empresa: para unas es el bien que comercializan en desarrollo de su objeto social principal, ofreciendo a terceros el suministro de la información que reposa en sus bases de datos. Para otras, se convierte en el insumo cardinal para fijar estrategias de publicidad, emprender tácticas de fidelización de los clientes, evaluar el riesgo crediticio de las personas, prestar servicios o vender bienes ajustados a la medida del “perfil virtual” de cada cliente, etc. En el mundo laboral los datos también son la fuente para realizar un proceso de selección de personas para proveer un cargo. Finalmente, los datos personales son información necesaria para cumplir obligaciones legales y que por tanto deben enviarse a las autoridades y terceros para fines de, entre otras, seguridad social, impuestos, investigaciones, judiciales, etc.

Con anterioridad a la Ley 1581 del 2012 existían normas que obligaban a los empleadores a realizar un tratamiento legítimo de los datos personales de los empleados. En este sentido, vale la pena traer a colación dos reglas contenidas en el Código Sustantivo del Trabajo (CST) que guardan relación con esa actividad. En primer lugar, está prohibido al empleador “ejecutar o autorizar cualquier acto que vulnere o restrinja los derechos de los trabajadores o que ofenda su dignidad”(6); en segundo lugar, la anterior prohibición es una norma de orden público que tiene una consecuencia contundente en la medida que “los derechos y prerrogativas que ellas conceden son irrenunciables, salvo los casos expresamente exceptuados por la ley”(7). En otras palabras, al ser la protección de datos personales un derecho fundamental consagrado en el artículo 15 de la Constitución, este debe ser respetado y garantizado, entre otras, en el marco de las relaciones laborales. El empleador no puede vulnerar o restringir dicho derecho salvo en los casos que explícitamente lo prevea la ley.

En el plano internacional el tema ha sido desarrollado desde la década de los años ochenta en donde el Consejo de Europa (C.E.) y la Organización Internacional del Trabajo (OIT) han tenido un rol protagónico(8). Especial importancia debe darse al documento sobre “Protección de los datos personales de los trabajadores”(9) de la Oficina Internacional del Trabajo que compila y sistematiza los principios sobre tratamiento de datos personales aplicados al contexto laboral y que son consistentes con la Ley 1581. Dicho texto siguió de cerca la Recomendación R (89) 2 del Comité de Ministros del Consejo de Europa sobre la protección de los datos de carácter personal utilizados con fines de empleo.

Dentro de los principios de la OIT vale la pena enunciar los siguientes que tienen plena aplicación al escenario colombiano:

  1. El tratamiento de datos personales de los trabajadores debería efectuarse de manera ecuánime y lícita y limitarse exclusivamente a asuntos directamente pertinentes a la relación de empleo del trabajador.
 

  1. En principio, los datos personales deberían utilizarse únicamente para el fin con el cual hayan sido acopiados.
 

  1. Los empleadores deberían evaluar periódicamente sus métodos de tratamiento de datos, con el objeto de: a) reducir lo más posible el tipo y el volumen de datos personales acopiados, y b) mejorar el modo de proteger la vida privada de los trabajadores
 

  1. Las personas encargadas del tratamiento de datos personales debería recibir periódicamente una formación que les permita comprender el proceso de acopio de datos y el papel que les corresponde en la aplicación de los principios.
 

  1. El tratamiento de datos personales no debería conducir a una discriminación ilícita en materia de empleo u ocupación
 

  1. Todas las personas tales como los empleadores, los representantes de los trabajadores, las agencias de colocación y los trabajadores que tengan acceso a los datos personales de los trabajadores deberían tener una obligación de confidencialidad, de acuerdo con la realización de sus tareas y el ejercicio de los principios de tratamiento de datos.
 

  1. Los empleadores deberían garantizar, mediante las salvaguardias de seguridad que permitan las circunstancias, la protección de los datos personales contra su pérdida y todo acceso, utilización, modificación o comunicación no autorizados.
 

  1. Los empleadores debería verificar periódicamente que los datos personales conservados son exactos, actualizados y completos.
 

3. La protección de datos como derecho autónomo

El derecho de la protección de datos personales no se reduce a los datos relacionados con la privacidad o intimidad de las personas. No debe confundirse el primero con el derecho a la intimidad. La protección de datos personales comprende cualquier naturaleza de información (privada, sensible, semiprivada y pública), lo cual implica que toda clase de dato personal del trabajador debe ser tratado debidamente por parte del empleador.

La autonomía de este derecho se materializó con ocasión de la proclamación en el año 2000 de la Carta de los Derechos Fundamentales de la Unión Europea(10) con la cual se dio un viraje crucial(11) al concebir la protección de datos personales (art. 8º) como un derecho fundamental, autónomo e independiente del derecho a la vida privada y familiar (art. 7º). Refiriéndose a la protección de datos en España, Dávara, citando una sentencia del Tribunal Constitucional de ese país, dice que esta “no se reduce solo a los datos íntimos de la persona ‘sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar sus derechos, sean o no fundamentales, porque su objeto no es solo la intimidad individual, que para ello está la protección que el artículo 18.1 CE otorga, sino los datos de carácter personal’ (STC 292/2000)”(12).

En Colombia la jurisprudencia ha sido la encargada de definir este aspecto. El habeas data fue primariamente concebido como una garantía del derecho a la intimidad, posteriormente se consideró como una manifestación de libre desarrollo de la personalidad y finalmente se catalogó como un derecho autónomo(13). Sobre su autonomía respecto del derecho a la intimidad y el buen nombre, la Corte ha establecido que “a partir de la Sentencia T-552/97, la jurisprudencia de la Corte deslindó como dos derechos autónomos estos dos conceptos, para concluir entonces que el artículo 15 de la Carta consagra en su texto tres derechos constitucionales diferenciados: el derecho a la intimidad, el derecho al buen nombre, y el derecho al habeas data (...). El derecho al habeas data es, entonces, un derecho claramente diferenciado del derecho a la intimidad, cuyo núcleo esencial está integrado por el derecho a la autodeterminación informativa que implica, como lo reconoce el artículo 15 de la Carta Fundamental, la facultad que tienen todas las personas de “conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas” (14).

No ha sido uniforme la jurisprudencia para denominar el tema en estudio. La Corte Constitucional mayoritariamente lo llama “derecho al habeas data”(15) como sinónimo de autodeterminación informática(16) o informativa(17), pero recientemente también lo denomina como el “derecho a la protección de datos”(18). En nuestro concepto, el derecho a la protección de datos es una denominación más acertada porque las otras expresiones obedecen a términos surgidos de un contexto histórico diferente al actual y dejan por fuera otros aspectos importantes de la protección de datos personales.

4. El tratamiento de los datos personales

El término “tratamiento” fue inicialmente incluido en el artículo 15 de la Constitución y posteriormente se incorporó en las leyes 1266 del 2008 y 1581 del 2012. Esta última lo define como “cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión”(19). En esta materia son muy importantes la forma y el fondo en cuanto a: 1) la manera como se obtienen los datos en los procesos de selección personal o durante la vinculación de la persona a la organización; 2) El uso interno y frente a terceros; 3) la circulación o envío de los datos personales así como el acceso a estos por parte de otros empleados o directivos de la empresa, y 4) la seguridad y confidencialidad de los datos personales de los empleados.

Es obligatorio que en el tratamiento de los datos del trabajador se observen una serie de principios que tienen su expresión, por una parte, en las distintas obligaciones del empleador relativas, en particular, a la calidad de los datos, la seguridad y confidencialidad de estos, la notificación a las autoridades de control y las circunstancias en las que se puede efectuar el tratamiento. De otra parte, también es imperativo que se respeten los derechos otorgados a las personas cuyos datos sean objeto de tratamiento (empleado): derecho de ser informadas acerca de dicho tratamiento, de poder acceder a los datos, de poder solicitar su rectificación o incluso de oponerse a su tratamiento en determinadas circunstancias.

Todo tratamiento de datos personales se debe efectuar de forma lícita y leal respecto del trabajador. Acá los fines no justifican los medios. Para ser lícito el tratamiento de datos personales debe basarse en el consentimiento previo, expreso e informado del trabajador. Adicionalmente, los datos personales deben ser: a) recogidos con fines determinados, explícitos y legítimos, y no ser tratados posteriormente de manera incompatible con dichos fines; b) adecuados, pertinentes y no excesivos en relación con los fines para los que se recaben y para los que se traten posteriormente; c) exactos y actualizados, y d) conservados en una forma que permita la identificación de los interesados durante un periodo no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente.

En el plano nacional el empresario debe tener presente que el marco regulatorio y legal está integrado por los siguientes instrumentos: 1) La Ley 1266 del 2008, si el empleador va a tratar datos relacionados con el cumplimiento o incumplimiento de las obligaciones dinerarias a cargo de sus empleado; 2) La jurisprudencia de la Corte Constitucional; 3) La Ley Estatutaria 1581 del 2012, y 4) Algunas normas sectoriales dependiendo de los datos que trate el empleador.

Respecto de las tres primeras existe una serie de principios que son los mandatos que el empleador debe cumplir a la hora de tratar los datos de sus empleados, los cuales resumimos en la siguiente gráfica:

No debe perderse de vista el aporte jurisprudencial que sobre la materia ha realizado la Corte Constitucional. Esta, entre otros, ha fijado los principios(20) y obligaciones(21) que se deben observar para llevar a cabo un tratamiento debido de los datos personales. También ha establecido una clasificación de los datos personales(22), la cual tiene incidencia en las pautas que se deben observar en su tratamiento y, particularmente, en los requisitos de recolección y acceso de esa información.

Finalmente, la Corte se ha referido a ciertos temas que guardan relación con el tratamiento de datos en el escenario laborar, a saber:

— Historial laboral(23);

— Bases de datos de entidades del sistema general de seguridad social(24);

— El formato único de hoja de vida para contratación con la administración pública(25);

— El habeas data y el sistema de pensiones(26) y las bases de datos que administran las entidades del sistema general de seguridad social integral(27) en donde se han detectado inconsistencias sobre datos como pago de cotizaciones, fechas de afiliación, retiro del empleado, lo cual afecta a las personas porque les impide recibir servicios de salud, la pensión, etc.

— Manipulación y exposición no autorizada de fotos personales del trabajador que están contenidas en el computador del trabajo o institucional(28);

 

 

tabla22.JPG
 

5. La Ley Estatutaria 1581 del 2012 y su impacto en contexto laboral

La importancia de esta ley consiste en establecer las reglas del tratamiento de todo tipo de dato personal (salvo algunas excepciones), tanto en el sector público como en el privado. El texto de la ley reproduce buena parte de la Ley 1266 del 2008 e incorpora los principios jurisprudenciales de la Corte Constitucional aclarando que se trata de una norma general que se aplicará a “los datos personales contenidos en cualquier soporte que los haga susceptible de tratamiento por entidades de naturaleza pública o privada”(29).

Varias gestiones cotidianas en el ámbito laboral implican el tratamiento de datos personales de los candidatos a un empleo, los trabajadores y los extrabajadores. Al margen de si esas actividades son realizadas directamente por el empleador o a través de terceros (como las agencias de empleo), cualquier actividad de recopilación, acceso, uso, almacenamiento, circulación de información sobre ellos ingresa al ámbito de aplicación de la Ley 1581 y por ende los empleadores (responsable del tratamiento) o terceros que obren en su nombre (encargado del tratamiento) del deben cumplir sus disposiciones.

La ley gira en torno a las definiciones y los principios de los artículos 3º y 4º respectivamente. Incorpora obligaciones a los empleadores y plantea retos para las empresas. Por eso, salvo muy pocas excepciones mencionadas en el artículo 2º, la ley obliga a todas las entidades públicas y privadas a revisar qué están haciendo con los datos personales contenidos en sus sistemas de información y replantear varias cosas para ajustarse a esta.

Dentro de las principales obligaciones que impone ley a los empleadores se encuentran las siguientes contenidas en los artículos 17 y 25 de la ley:

  1. Registrar sus bases de datos personales en el Registro Nacional de Bases de Datos.
 

  1. Garantizar a las personas el ejercicio del habeas data.
 

  1. Solicitar y conservar copia de la respectiva autorización otorgada por el titular, es decir, la persona natural a que se refiere la información (los clientes, empleados, etc.).
 

  1. Informar al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
 

  1. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
 

  1. Garantizar que la información que se suministre a terceros sea veraz, completa, exacta, actualizada, comprobable y comprensible.
 

  1. Actualizar la información y adoptar las demás medidas necesarias para que la información se mantenga actualizada.
 

  1. Rectificar la información cuando sea incorrecta.
 

  1. Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley.
 

  1. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos.
 

  1. Informar al encargado del tratamiento cuándo determinada información se encuentra en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
 

  1. Informar a solicitud del titular sobre el uso dado a sus datos.
 

  1. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
 

  1. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
 

La Ley 1581 del 2012 debe leerse de manera conjunta con la Sentencia C-748 del 2011, pues esta contiene precisiones sobre el texto aprobado por el Congreso de la República de Colombia.

La importancia de la sentencia radica en varios puntos: en primer lugar, por tratarse de una revisión automática e integral de todo el texto de la ley, esta será el referente permanente para la interpretación del alcance de la ley; en segundo lugar, también será el punto de referencia que debe tener presente el Gobierno Nacional para la reglamentación de la ley y, en tercer lugar, la sentencia comprende una serie de precisiones y adiciones al texto de Ley 1581 del 2012 aprobado por el Congreso. En otras palabras, la Corte modificó y precisó algunos tópicos de la ley, lo cual obliga a que hacia futuro la ley se lea y aplique de manera armónica con el texto de la sentencia en comento.

La debida recolección de los datos personales y su uso depende de la autorización que tenga el empresario por parte de los titulares de los datos. En ese orden de ideas, la autorización se convierte en la piedra angular del tema y es allí donde el empleador de manera completa, precisa y suficiente define los objetivos del tratamiento de los datos personales de sus empleados.

El alcance de la autorización(30) será determinante para establecer qué puede hacer el empleador con esa información, a quiénes puede permitirle acceso y a quiénes puede enviarle los datos personales.

La ley prevé un régimen de transición para que los empleadores se adecuen a esta en un plazo máximo de seis (6) meses a partir de su expedición. Un correcto aprovechamiento del periodo de transición hará que las empresas maximicen el uso de sus sistemas de información y no asuman riesgos de tipo penal, administrativo, constitucional, reputacional y económico debido a infracciones a la Ley General Protección de Datos Personales.

6. Sanciones

Si bien la Ley 1581 fue expedida en el año 2012, debe precisarse que las obligaciones respecto del tratamiento de los datos personales de los trabajadores surgieron desde 1991 con ocasión de lo dispuesto en el artículo 15 de la Constitución. Buena parte de estas fue reiterado y desarrollado jurisprudencialmente desde el 14 de junio de 1992 cuando se expidió la Sentencia T-414 de la Corte Constitucional(31).

Parte de lo “novedoso” de la ley es que su incumplimiento genera sanciones al empleador. En efecto, el tratamiento indebido de datos personales puede ocasionar consecuencias de tipo penal y administrativo.

Respecto de las primeras, el artículo 269F del Código Penal(32) establece el delito de “violación de datos personales”, mediante el cual se sanciona al que “sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de 48 a 96 meses y en multa de 100 a 1000 salarios mínimos legales mensuales”.

De otra parte, en el artículo 26 de la Ley 1581 de consagran las siguientes sanciones que puede imponer la Superintendencia de Industria y Comercio a los responsables del tratamiento (empleadores) y encargados del tratamiento:

  1. Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó.
 

  1. Suspensión de las actividades relacionadas con el tratamiento hasta por un término de seis (6) meses.
 

  1. Cierre temporal de las operaciones relacionadas con el tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio
 

  1. Cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.
 

El 23 de diciembre del 2011 se creó mediante el Decreto 4886 la autoridad de control de protección de datos personales. Se trata de la Delegatura para la Protección de Datos Personales (DPDP) de la Superintendencia de Industria y Comercio (SIC).

Dentro de la DPDP existe la Dirección de Investigación de Protección de Datos Personales, la cual tiene a su cargo las siguientes funciones:

  1. Vigilancia de los operadores, fuentes y usuarios de información relacionada con el cumplimiento e incumplimiento de obligaciones dinerarias;
 

  1. Supervisión del cumplimiento de las instrucciones que emita la SIC;
 

  1. Llevar a cabo las investigaciones y sancionar, si es procedente;
 

  1. Realizar auditorías para verificar el cumplimiento de las normas sobre protección de datos personales; y
 

  1. Administrar el Registro Nacional Público de Bases de Datos.
 

Antes de crearse la nueva delegatura, la SIC venía cumpliendo funciones de autoridad de protección de datos respecto del dato comercial y financiero, entendido como aquel relacionado con el cumplimiento o incumplimiento de obligaciones dinerarias. Desde 2009 hasta octubre del 2012, la SIC recibió 5.963 quejas, abrió 1.140 investigaciones e impuso 338 multas por un valor total de $ 4.308.666.050

7. Conclusiones

Los datos personales tienen un régimen jurídico especial para su protección y tratamiento tal y como sucede con otras clases de información que poseen las organizaciones (secretos empresariales, libros y papeles del comerciante).

La Ley 1581 del 2012 no solo obliga a los empleadores a revisar y replantear las prácticas sobre la recolección, almacenamiento, uso, circulación de los datos personales, sino que confiere derechos y deja en manos de los empleadores acciones legales para exigir el debido tratamiento de su información personal.

La protección de datos en el entorno laboral no debe limitarse a crear o realizar ajustes a documentos internos. Es necesario promover una verdadera cultura de protección de datos personales en pro de los trabajadores y la empresa. Resulta importante que todas las personas de una organización no solo conozcan el tema sino que los apliquen en sus labores.

El indebido tratamiento de datos personales genera pérdidas económicas, de tiempo, de credibilidad y de reputación a las organizaciones. Por eso, los empleadores deben adoptar medidas para mitigar riesgos legales sobre el tema en estudio y reivindicar el respeto de los derechos humanos de su equipo de trabajo.

* Profesor Asociado y Director de la Especialización en Derecho Comercial de la Facultad de Derecho de la Universidad de los Andes. Director del GECTI (Grupo de Estudios en internet, Comercio electrónico, Telecomunicaciones e Informática) http://gecti.uniandes.edu.co/ y del Observatorio CIRO ANGARITA BARÓN sobre la protección de datos personales en Colombia http://habeasdatacolombia.uniandes.edu.co/ . Contacto: nremolin@uniandes.edu.co.

(1) Cfr. Literal c) del artículo 3º de la Ley 1581 de 2012. Otras definiciones importantes de ese artículo que deben tenerse presente a la hora de leer este texto son: “ a) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales; b) Base de datos: Conjunto organizado de datos personales que sea objeto de Tratamiento; (…) d) Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento; e) Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos; f) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento, y g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión”.

(2) Corte Constitucional, sentencia T-227 de 2003.

(3) "por el (sic) cual se dictan disposiciones generales para la protección de datos personales".

(4) Los datos personales sobre el cumplimiento o incumplimiento de obligaciones dinerarias se rigen por la ley 1266 de 2008. Existen otras normas sectoriales sobre, por ejemplo, datos de censos de población, historias clínicas (parcialmente).

(5) A enero 8 de 2013 no se ha expedido la reglamentación sobre esta ley.

(6) Cfr. Numeral 9 del artículo 59 del Código Sustantivo del Trabajo

(7) Artículo 14 del Código Sustantivo del Trabajo

(8) Cfr. CONSEJO DE EUROPA. 1986. Recomendación R (86) 1 del Comité de Ministros a los Estados miembros relativa a la protección de los datos de carácter personal utilizados con fines de seguridad social; CONSEJO DE EUROPA. 1989. Recomendación R (89) 2 del Comité de Ministros a los Estados miembros sobre la protección de los datos de carácter personal utilizados con fines de empleo; GRUPO DE PROTECCION DE DATOS DEL ARTÍCULO 29. 2001. Recomendación 1/2001 sobre los datos de evaluación de los trabajadores. (5008/01/ES final. WP 42).

GRUPO DE PROTECCION DE DATOS DEL ARTÍCULO 29. 2001. Opinión 8/2001 sobre el tratamiento de datos personales en el contexto laboral. (WP 48).; GRUPO DE PROTECCION DE DATOS DEL ARTICULO 29. 2002. Documento de trabajo relativo a la vigilancia de las comunicaciones electrónicas en el lugar de trabajo. (5401/01/ES/Final. WP 55;

OFICINA INTERNACIONAL DEL TRABAJO. 1997. Protección de los datos personales de los trabajadores. En: Repertorio de recomendaciones prácticas de las OIT. Ginebra, Suiza: Organización Internacional del Trabajo.

(9) OFICINA INTERNACIONAL DEL TRABAJO. 1997. Protección de los datos personales de los trabajadores. En: Repertorio de recomendaciones prácticas de las OIT. Ginebra, Suiza: Organización Internacional del Trabajo.

(10) Publicada en el Diario Oficial de las Comunidades Europea. C 364 del 18 de diciembre de 2000. (2000/C 364/01)

(11) Comenta Piñar Mañas que el año 2000 se dio un giro copernicano en la Unión Europea y se abre “una nueva etapa, en la que nos encontramos, que se basa en la consideración de la protección de datos de carácter personal como un verdadero derecho fundamental autónomo e independiente del derecho a la intimidad” PIÑAR MAÑAS, José Luis 2003. El derecho a la protección de datos de carácter personal en la jurisprudencia del Tribunal de Justicia de las Comunidades Europeas. Cuadernos de Derecho Público 19-20 (Protección de datos ). Madrid, España. p 29

(12) DÁVARA RODRIGUEZ, Miguel Ángel. 2006. Guía práctica de protección de datos para Ayuntamientos. Primera ed, El consultor de los Ayuntamientos y de los Juzgados. Madrid, España: La Ley grupo Wolters Kluwer. P 22

(13) Cfr. Corte Constitucional, T-260 de 2012, C-640 de 2010, C-334 de 2010. En la sentencia C-640 de 2010 la Corte expresó que la “distinción conceptual entre el derecho a la intimidad, por una parte, y por la otra, el derecho al habeas data-también conocido en la jurisprudencia como el derecho a la autodeterminación informática-, fue reiterada en la sentencia T-307/99, (…)y en las sentencias T-527/00, T-578/01, T-729/02 y C-336/07, entre otras”

(14) Cfr. Corte Constitucional, C-640 de 2010. En esta sentencia la Corte transcribe sobre este aspecto lo establecido en la sentencia T-552 de 1997.

(15) Cfr. Corte Constitucional, T-1135 de 2008, T-1145 de 2008, T-260 de 2012

(16) Cfr. Corte Constitucional, T-307 de 1999, C-336 de 2007, T-771 de 2007, T-137 de 2008, T-260 de 2012, C-640 de 2010.

(17) Cfr. Corte Constitucional, C-334 de 2010.

(18) Esta última expresión se utiliza en la sentencia T-260 de 2012

(19) Literal g) del artículo 3 de la ley 1581 de 2012

(20) Cfr. Corte Constitucional, T-729 de 2002, T-160 de 2005, T-657 de 2005, T-718 de 2005, T-798 de 2007, T-1067 de 2007, T-137 de 2008, T-947 de 2008, T-1037 de 2008, T-361 de 2009.

(21) Cfr. Corte Constitucional, T-684 de 2006

(22) Cfr. Corte Constitucional, T-729 de 2002, C-692 de 2003, T-592 de 2003, T-216 de 2004, C-336 de 2007, T-599 de 2007, T-705 de 2007, T-1037 de 2008, C-640 de 2010.

(23) Cfr. Corte Constitucional, T-317 de 2004, T-718 de 2005

(24) Cfr. Corte Constitucional, T-828 de 2004, T-139 de 2005, T-322 de 2005, T-360 de 2005, T-698 de 2006

(25) Cfr. Corte Constitucional, c-446 de 1998

(26) Cfr. Corte Constitucional, T-321 de 2000

(27) Cfr. Corte Constitucional,T-785 de 2009

(28) Cfr. Corte Constitucional, T-405 de 2007

(29) Cfr. Art. 2º de la ley 1581 de 2012.

(30) La Corte descartó la posibilidad de aceptar como válidas la aceptación tácita y el silencio. Decidió dicha corporación que: “De todo lo anterior, puede entonces deducirse: (i) los datos personales sólo pueden ser registrados y divulgados con el consentimiento libre, previo, expreso e informado del titular. Es decir, no está permitido el consentimiento tácito del Titular del dato y sólo podrá prescindirse de él por expreso mandato legal o por orden de autoridad judicial, (ii) el consentimiento que brinde la persona debe ser definido como una indicación específica e informada, libremente emitida, de su acuerdo con el procesamiento de sus datos personales. Por ello, el silencio del Titular nunca podría inferirse como autorización del uso de su información y (iii) el principio de libertad no sólo implica el consentimiento previo a la recolección del dato, sino que dentro de éste se entiende incluida la posibilidad de retirar el consentimiento y de limitar el plazo de su validez”.

En consecuencia no está permitido el consentimiento tácito del Titular del dato. El consentimiento que brinde la persona debe ser definido como una indicación específica e informada, libremente emitida, de su acuerdo con el procesamiento de sus datos personales” (Corte Constitucional, C-748 de 2011)

(31) Magistrado Ponente: Ciro Angarita Barón

(32)Incorporado mediante la ley 1273 de 2009