El consentimiento en el derecho a la protección de datos

(1)

Laura Daniela Gallego Fernandez

200821853

El consentimiento en el Derecho a la Protección de Datos

Investigación Dirigida

Palabras: 9494

Universidad de los Andes

2015

(2)

Contenido

1. Introducción

2. Desarrollo Histórico

3. El consentimiento y sus requisitos

4. Principio relevante: Finalidad

5. Vision Europea

6. Riesgos

7. Posibles cambios y recomendaciones

(3)

Introducción

En los últimos años se ha producido un inmenso desarrollo en el mundo de la tecnología de

la información, en ámbitos privados y públicos. Es por lo anterior que se ha venido evidenciando la

globalización expresada en los modernos sistemas de información y comunicación que han permitido

mejorar el funcionamiento de los mercados. No obstante, con este desarrollo de las tecnologías de la

información se han venido presentando un incremento en temas de riesgo e incertidumbre para la

sociedad. Ahora bien, hay distintos derechos fundamentales que pueden verse amenazados o

vulne-rados por un uso inadecuado de la información, la facilidad del acceso a los datos personales nos ha

llevado a un peligro latente el cual nace cuando, la tecnología de la información entra en conflicto

con derechos como el de la intimidad y protección de datos personales. Ante la inexistencia de

me-canismos ordinarios de protección de los derechos relacionados con la libertad informática, y la

au-sencia de una ley estatutaria que regule con amplitud esta materia se ha venido dando un cambio

nacional ya que se han incorporado durante las últimas décadas jurisprudencia y normas

constitucio-nales para proteger los derechos fundamentales de los ciudadanos colombianos. El enfoque normativo

vigente para la protección de datos implica un conjunto de derechos otorgados a sus titulares, por lo

tanto, el consentimiento legitima casi cualquier tipo de recolección, uso o divulgación de datos

per-sonales. Sin embargo, debido al exceso de entidades recolectando y utilizando datos personales, la

gente no puede auto gestionar o encargarse directamente de su privacidad de manera apropiada. Por

lo tanto, se vuelve imposible que cada persona administre su privacidad de forma separada con cada

entidad.

En este orden de ideas, la autorización es entendida como el consentimiento del titular de los datos,

siendo este un elemento esencial en la protección de datos, ya que, es un deber legal cumplir con

dicho requisito para que puedan ser susceptibles de tratamiento los datos personales1. Así las cosas, “El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular.

Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento2_{”. Por lo tanto, en el espacio “online”} _es

mucho más difícil tener en cuenta el cumplimiento de dichos requisitos del consentimiento

informado. Teniendo en cuenta lo anterior, el consentimiento ha jugado un rol en la concepción de la

protección de datos y la privacidad de gran relevancia. A partir de lo anterior, un hecho problemático

es la divergencia en la legislación y en la aplicación de la normativa de protección de datos personales

1

Articulo 3 de la ley 1581 de 2012

(4)

puesto que, los elementos que constituyen el consentimiento llevan a una posibilidad de vulneración

y por ende en la práctica se genera una posición débil de los datos de los titulares de la información.

Ahora bien, este artículo académico se centrará en estudiar las diferentes normas que

contie-nen el consentimiento en el tratamiento de datos online en Colombia, se analizarácómo se concretan

los requisitos del consentimiento en el mundo online, pues la ley estatutaria es muy amplia y puede

crear varios interrogantes. Adicionalmente, se discutirá si es el consentimiento es una herramienta

útil para la protección de los derechos de los usuarios, o por el contrario debe complementarse con

otras herramientas. Pues la forma en que están siendo tratados los datos personales online nos indica

que hay un error en el manejo de estos. Ya que, el procedimiento para la recolección de datos por la

web es tan amplio que ninguna titular de sus datos puede mantener una relación responsable con estos

y conocer con certeza la realidad de lo que está ocurriendo con su información y en esta situación

radica el peligro de que puedan ser vulnerados los derechos fundamentales de las personas. Para ello

haremos en primer lugar un desarrollo histórico de la protección de datos luego analizaremos las

problemáticas en el consentimiento y su uso electrónico y finalmente haremos unas conclusiones.

Desarrollo histórico

El enorme desarrollo del acceso a la información en los últimos años ha estado rodeado de

transacciones de datos continuas, entre entidades nacionales e internacionales por ello en las últimas

décadas ha surgido un interés, no solo en el ámbito internacional sino también en el nacional por

incorporar regulaciones de protección de datos personales, con el objetivo de proteger la intimidad

frente a los abusos que en el tratamiento de datos personales se puedan realizar. Actualmente hay una

discusión latente con base a la existencia de los derechos que deben garantizar la protección de datos

personales dentro de una sociedad predominada por el acceso a la información. Esta información

incluye todo tipo de datos, médicos, raciales, políticos, religiosos o de carácter personal.

El concepto de protección de datos, llego desde que la informática3_{se dio a conocer, pues se tiende}

a sentir que habitamos una sociedad que se encuentra vigilada, ya que, la impersonalidad y la

eficien-cia del computador invaden la privacidad. Ahora bien, los datos personales pueden en muchas

oca-siones contar con “información sensible4”esto implica información personalísima referida a cuestio-nes relacionadas a la intimidad, hábitos sexuales, participación política, religiosa y sindical entre otras

3

Troncoso Reigada. ANTONIO. LA PROTECCION DE DATOS PERSONALES EN BUSCA DEL EQUILIBRIO. Triant o blanch tratados. Valencia 2006.

4_{Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su}

discriminación, tales como que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que

(5)

cosas. Lo anterior puede ser evidenciado por fenómenos como el Big Data quees un concepto que

hace referencia a la acumulación masiva de datos y a los procedimientos usados para identificar

pa-trones recurrentes dentro de esos datos.5

Hoy en día los datos están altamente ligados con todas nuestras actividades, pues estos son utilizados

a diario para resolver problemas mejorar el bienestar y generar prosperidad económica sin embargo,

la recogida, almacenamiento y análisis de datos está en una etapa ascendente y aparentemente sin

límites, impulsado por el aumento de procesamientos, y el creciente número de tecnologías de

sen-sores integrados en dispositivos de todo tipo. Más de 500 millones de fotos se suben y comparten

todos los días, junto con más de 200 horas de vídeo cada minuto. Pero el volumen de información

que las personas crean ellos mismos entre las llamadas de voz, correos electrónicos, textos para cargar

fotos, vídeo y música es abrumadora. Los avances tecnológicos han hecho bajar el costo de crear,

capturar, gestionar y almacenar información para un sexto de lo que era en 2005. Y desde el año

2005, la inversión empresarial en el hardware, el software, el talento, y los servicios se ha

incremen-tado hasta en un 50 por ciento, a $ 4 billones de dolares.6

La historia nos ha llevado a evidenciar la necesidad constante de proteger efectivamente los derechos

fundamentales. El derecho fundamental a la protección de datos nació y cogió fuerza como resultado

de las regulaciones que se han creado de este derecho las cuales han ido ganando terreno en los

distintos estados. Así mismo, la adopción de instrumentos internacionales con un valor normativo

vinculante que han surgido en los últimos años. Es posible verificar que la producción de normas que

configuraron el derecho a la protección de datos como un derecho fundamental naciócon una

inten-ción clara de regular el derecho y garantizar un marco de libre flujo de la informainten-ción entre los

sig-natarios de las leyes.

En la actualidad, la tecnología va de la mano del derecho, y por este motivo, surgieron las primeras

normas de protección de los datos personales. Geográficamente los países que cuentan con normas

específicas de protección de datos y con autoridades de garantizar su aplicación es heterogénea. El

lugar donde se ha alcanzado un mayor nivel de protección es Europa7. Sin embargo Estados Unidos ha logrado un nivel adecuado de protección a la privacidad. Dentro de los últimos cambios a nivel

mundial en relación con este tema el Tribunal de Justicia de la Union Europea ha dado un paso más

para proteger la privacidad de los usuarios y consumidores europeos con la anulación del conocido Safe Harbor o puerto seguro, que autorizaba a las compañías no europeas la transferencia de datos

garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.

5_{http://www.eldiario.es/turing/Big-data_0_161334397.html}

6_{Troncoso Reigada. ANTONIO. LA PROTECCION DE DATOS PERSONALES EN BUSCA DEL EQUILIBRIO. Triant o blanch}

tratados. Valencia 2006.

7_{Troncoso Reigada. ANTONIO. LA PROTECCION DE DATOS PERSONALES EN BUSCA DEL EQUILIBRIO. Triant o blanch}

(6)

personales a un tercer país cuando garantizasen un nivel de protección adecuado y se respetase las

disposiciones legales de los Estados miembros aunque la en la práctica no se pudiese comprobarse el

nivel de protección. La legislación sobre el Safe Harbor en aplicación se remonta a 1998, cuando los

los Estados Unidos y la Union Europea acordaron un marco de "puerto seguro" que permitía a las

empresas firmantes de Estados Unidos, la transferencia de datos a través del Atlántico, siempre y

cuando cumpliesen con una serie de principios de privacidad.

Además, en los últimos años se han producido avances significativos en legislación e

institucionali-zación en materia de protección de datos en Latinoamérica. Hace varias décadas se ha observado una

necesidad de proteger los datos personales de una forma que proporcione agilidad y efectividad para

su tratamiento sin vulnerar los derechos fundamentales de las personas con base al tratamiento

reali-zado. El derecho fundamental a la protección de datos busca garantizar a los ciudadanos el poder de

control sobre sus datos personales, sobre su uso y destino, con el objetivo de impedir su tráfico ilícito

y lesivo para la dignidad y derecho del afectado. Este derecho posee una facultad particular, pues este

derecho presupone a su titular un manojo de facultades consistentes en diversos poderes jurídicos por

medio de los cuales se puede imponer a terceros deberes jurídicos, lo que le asegura a los ciudadanos

un control sobre sus datos personales. La disposición y control sobre los datos personales, constituyen

parte del contenido del derecho fundamental a la protección de datos, se pueden ver concretados

jurídicamente en la facultad de consentir la obtención y el acceso a los datos personales, su posterior

almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un

particular. El derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos

personales, requiere como complementos indispensables , por un lado, la facultad de saber en todo

momento quien dispone de esos datos personales y a que uso los está sometiendo, y, por otro lado,

el poder oponerse a esa posesión o usos. La legislación creada como garantía para la protección del

derecho fundamental a la protección de datos personales pues por medio de esta regulación se

pretende diversos objetivos, de información, inspección y sanción para prevenir las violaciones de

los derechos fundamentales. Teniendo en cuenta que con el surgimiento de esta normatividad los

estados pretenden garantizar un derecho fundamental es claro que el estado cuenta con unas

funcio-nes y potestades por las que tiene que velar.

El desarrollo de la informática en los países europeos exigía una normativa que facilitara a el

inter-cambio de datos por esto el Consejo de Europa trabajo a través de un conjunto de resoluciones para

proteger los derechos frente a la amenaza de la informática. En 1969 se aprobóla resolución 509 de

la Asamblea del consejo, sobre “los derechos humanos y los nuevos logros científicos y técnico”todo

esto entorno a la protección de la vida privada de las personas físicas frente a los bancos de datos

electrónicos en el sector público, estas resoluciones ya vislumbraban principios que se encuentran

(7)

los datos y derecho de acceso y cancelación. Estos textos al igual que el convenio 108 del Consejo

de Europa constituyen los primeros textos a nivel internacional que contienen directrices dirigidas a

los estados, lo que influyó decisivamente en las legislaciones y logro iniciar la armonización de los textos legales europeos sobre protección de datos. En el ámbito de la Union Europea hay que recalcar

la Directiva 95/46/CE8 del parlamento Europeo y del consejo, de octubre de 1995, concerniente a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y la libre

circulación de estos datos. Con anterioridad a dicha Directiva muchos países europeos habían ido

progresivamente aprobando leyes de protección de datos teniendo en cuenta lo fijado en el Convenio

108 del Consejo de Europa.

En Colombia hasta el año 2002 no había ganado tanto terreno en el marco normativo el tema de la

protección de la información de las personas frente a los eventuales excesos por parte de los

admi-nistradores de bases de datos, teniendo en cuenta su importancia y efectos a nivel nacional e

interna-cional. Por lo tanto, el primer tema desarrollado en relación a la protección de este derecho fueron los

alcances del Habeas Data por medio de los desarrollos jurisprudenciales, como la sentencia T-729 de

2002, Tanto la consagración constitucional del derecho al habeas data, como sus desarrollos juris-prudenciales, encuentran justificación histórica en el surgimiento del denominado poder informático

y la posibilidad del manejo indiscriminado de los llamados datos personales. Durante la vigencia de

la actual Constitución, el habeas data pasóde ser una garantía con alcances muy limitados, a conver-tirse en un derecho de amplio espectro. Es así como bajo el derecho general de libertad (artículo 16)

y la cláusula específica de libertad en el manejo de los datos (artículo 15 primer inciso), la

jurispru-dencia ha reconocido la existencia-validez del llamado derecho a la autodeterminación informática9. En este sentido, el derecho a la autodeterminación informática y derecho al habeas data, son nociones jurídicas equivalentes[5] que comparten un mismo referente. En la actualidad y a partir de los enun-ciados normativos del artículo 15 de la Constitución, la Corte Constitucional ha afirmado la

existen-cia-validez de tres derechos fundamentales constitucionales autónomos: el derecho a la intimidad, el

derecho al buen nombre y el derecho al habeas data[6]_.[7]_{. El camino de la delimitación empezó}_{en el}

año de 1994, con la sentencia T-229 de 1994, en la cual la Corte establecióuna clara diferencia entre

el derecho a la intimidad y el derecho al buen nombre. Más adelante, en el año de 1997, con la

sen-tencia T-557 de 1997 la Corte precisó las diferencias entre el derecho a la intimidad y el habeas data[8], después de que la relación entre ambos se había manejado como de género a especie desde el año de 1992. Para la Sala, la diferenciación y delimitación de los derechos consagrados en el artículo

15 de la Constitución, cobra especial importancia por tres razones: (i) por la posibilidad de obtener

8

Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995 relativa a la protecció n de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulació n de estos datos.

9_S

(8)

su protección judicial por vía de tutela de manera independiente; (ii) por la delimitación de los

con-textos materiales que comprenden sus ámbitos jurídicos de protección; y (iii) por las particularidades

del régimen jurídico aplicable y las diferentes reglas para resolver la eventual colisión con el derecho

a la información. Luego de ver estas primeras discusiones jurisprudenciales que fueron agrandando

los límites de protección de los derechos llego la Ley 1266 de 2008 por la cual se dictan las

disposi-ciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos

personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros

países y se dictan otras disposiciones. Dicha ley no permite tener claridad respecto del

consenti-miento ni de la autorización la información no es muy pertinente ni detallada.

En el 2012 se aprobóla Ley Estatutaria 1581 de 2012, por la cual se dictan disposiciones generales

para la protección de datos personales. La labor de esta ley no es solo garantizar la protección de la

información personal, lo que se encarga de plantear es la exigencia de un tratamiento adecuado de los

datos de los titulares de la información para evitar que se vulneren sus derechos y libertades. La

vinculación de esta nueva norma involucra una transformación cultural ya que obliga a todo tipo de

organizaciones a inspeccionar las políticas y los procesos respecto de los datos personales existentes

en las bases de datos y archivos. La nueva reglamentación contiene normas obligatorias para poder

efectuar debidamente la recolección el almacenamiento, el uso y la circulación de la información

sobre los titulares de la información. El tratamiento inadecuado de los datos personales conlleva a

poner en riesgo los derechos humanos de los titulares y los sistemas informáticos de las empresas y

organizaciones.

El tratamiento de los datos personales tiene consecuencias desde distintas posiciones regulatoria

como el Derecho Constitucional, Penal, Civil, Comercial, Administrativo y Laboral esto teniendo en

cuenta que el proceso de recolección de datos se da de una forma transversal lo que implica que esta

actividad estépresente en muchos momentos. La necesidad inminente de la implementación de una

normatividad que ayude a regular los riesgos que trae la globalización, el desarrollo y el abuso del

acceso a internet llega con el objetivo de que en Colombia se le dé el tratamiento debido y ético a

los datos personales por parte de quienes hacen continuo uso de esta información. Porque como

con-secuencia la nueva reglamentación tiene como propósito realizar una gestión preventiva y

sanciona-dora por medio de la Autoridad de Protección de Datos.

El consentimiento y sus requisitos:

Teniendo en cuenta la importancia que tiene el consentimiento del afectado o interesado en relación

(9)

para poder encontrar los requisitos que ha creado la ley para obtener el consentimiento del titular de

los datos en casos particulares. En el artículo 3 de la Ley 1581 de 2012 donde están las definiciones,

la ley expone que la autorización es entendida como el “Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales;10_”_{para poder entender lo que la}

ley requiere para el proceso de autorización analizaremos que significa cada termino que da paso a la

autorización del titular de los datos teniendo en cuenta los especificado por La Corte en la Sentencia

C 748 de 2011 en la cual se expone que el consentimiento “debe ser previo, esto es, que la

autoriza-ción debe ser suministrada en una etapa anterior a la incorporaautoriza-ción del dato; expreso, en la medida que debe ser inequívoco; e informado, toda vez que el titular no sólo debe aceptar el tratamiento del dato, sino también tiene que estar plenamente consciente de los efectos de su autorización.11” Ahora bien el procedimiento no termina acá ya que según lo enunciado por artículo 12 de la misma ley determina un procedimiento específico para la utilización de los datos donde “El Responsable del

Tratamiento, al momento de solicitar al Titular la autorización, deberáinformarle de manera clara y expresa lo siguiente: a) El Tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo; b) El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles12 o sobre los datos de las niñas, niños y adolescentes; c) Los de-rechos que le asisten como Titular; d) La identificación, dirección física o electrónica y teléfono del Responsable del Tratamiento. Como consecuencia del proceso que conlleva la autorización del titular de los datos el responsable del tratamiento de estos deberámantener una prueba del cumplimiento de

lo previsto en los dos artículos mencionados anteriormente para poder dar cumplimiento a lo

reque-rido por la ley para poder hacer uso de manera licita sobre los datos personales.

Al respecto, la Ley 1581 de 2012 señala que los datos personales no podrán ser obtenidos o

divulga-dos sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento;”.

El principio de libertad que se erige como una garantía en la administración de datos es considerado un pilar fundamental de la administración de datos, ya que permite al ciudadano elegir

voluntaria-mente si su información personal puede ser utilizada o no en bases de datos. En consecuencia, somete

la divulgación de la información a su consentimiento y libertad. En este mismo sentido, dicho

prin-cipio impide que la información ya registrada de un usuario, la cual ha sido obtenida con su

consen-timiento, pueda pasar a otro organismo que la utilice con fines distintos para los que fue autorizado

inicialmente. Asílas cosas, fue a partir de este principio que la Corte empezóa desarrollar los

10_{Ley 1581 de 2012} 11_{sentencia C 748 de 2011} 12_{Sentencia C640 de 2010}

(10)

lados básico del derecho fundamental al habeas data en la medida en que los procesos de

administra-ción y divulgaadministra-ción de datos sólo son legítimos a partir de la potestad del individuo para permitir y

controlar la información cuyo contenido pertenece a su órbita personal.

Según la sentencia T 058 de 2013 el consentimiento es el punto determinante para conocer si hay

vulneración o no de los derechos fundamentales como el habeas data. Ahora bien, en materia de

autorización, el consentimiento otorgado al encargado del tratamiento o responsable del tratamiento

debe ser previo, expreso e informado y, por el contrario, la publicidad indiscriminada de la

informa-ción sobre datos personales sin el cumplimiento de los requisitos antes descritos configura una

fina-lidad ilegal y/o inconstitucional que facilita la vulneración de derechos fundamentales.

En este orden de ideas, cabe destacar que el consentimiento del titular de la información sobre el

registro de sus datos se encuentra ligado a la necesidad de que aquel cuente con oportunidades reales

para ejercer sus facultades de rectificación y actualización durante las diversas etapas de dicho

pro-ceso, que resultan vitales para salvaguardar los derechos a la intimidad y al buen nombre. Por lo tanto,

compete a los jueces, en cada caso, analizar el contenido de la autodeterminación y el principio de

libertad asícomo el cumplimiento de los requisitos dispuestos en la ley y la jurisprudencia, a fin de

no incurrir en alguna violación de derechos fundamentales. Dichos requisitos se pueden sintetizar en:

(i) obtener el consentimiento del titular de la información, (ii) tal consentimiento deber ser calificado,

es decir, expreso, informado y previo, (iii) el tratamiento de la información se debe realizar para las

finalidades informadas y aceptadas por el titular del dato, (iv) el responsable del tratamiento le

co-rresponde obtener y conservar la autorización del titular13.

Los requisitos que determina la ley colombiana para que el titular consienta y/o autorice el uso de los

datos personales contienen varios dificultades en la práctica ya que en el sector real se pasa

diaria-mente por encima de los requisitos exigidos pues no se requiere de una manera formal a los titulares

de los datos para que estos autoricen el uso de sus datos en determinadas situaciones como por

ejemplo en las filmaciones de seguridad de los edificios o cuando se requiere la huella digital para

acceder a estos. Teniendo en cuenta esto, se observa que los requisitos predeterminados por la ley

dificultan en la realidad el cumplimiento de esta pues en la cotidianidad del día a día se incumple de

manera sistemática los requerimientos legales hacendoso cuestionar sobre la validez o efectividad de

su existencia. Pues los derechos plasmados en un documento legal en un principio no son suficientes

ya que se necesita que las leyes se conviertan eficaces y no simbólicas. Para lograr que las normas

sean eficaces existen varias medidas posibles, entre estas, están los procesos sancionatorios por el

incumplimiento de la ley además es imprescindible el conocimiento de los titulares de sus derechos

para que estos puedan conocer el alcance de las facultades que estos tienen para poder determinar los

(11)

limites frente a quienes tratan los datos. La ley 1581 en su artículo 8 menciona los derechos de los

titulares de los datos que son: “a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado; b) Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la presente ley; c)

Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales; d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen; e) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constituciona-les y legaconstituciona-les. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución; f) Acceder en forma gratuita a sus datos perso-nales que hayan sido objeto de Tratamiento. Tener derechos como los que son otorgados por este artículo conlleva a unas obligaciones personales y es que los titulares de los datos deben de manera

responsable convertirse en ciudadanos activos legalmente hablando, las garantías que nacen con la

ley permiten que en el momento que haya un incumplimiento normativo pueda imponerse una

san-ción sobre quien vulnere los derechos. Sin embargo, la única forma de lograr que sean efectivas las

garantías y los derechos es que quien es titular de los datos personales ejerza su garantía frente a la

ley que lo protege volviéndose más productivo frente a las normas.

Teniendo en cuenta lo anterior, El titular de la información tiene derecho a revocar la autorización

y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y

garantías constitucionales y legales. Como fue expuesto anteriormente, en el articulo 8 de la ley 1581

de 2012 se reglamentan los derechos de los titulares y en el punto (e) se especifica la facultad que

contienen los titulares de los datos sobre sus datos personales al delimitar que pueden“ e) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los prin-cipios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución” Por otro lado, el decreto 1377 se encarga de regular la posibilidad que tienen los titulares de realizar la

revocatoria por medio del “Artículo 9°. Revocatoria de la autorización y/o supresión del dato. Los Titulares podrán en todo momento solicitar al responsable o encargado la supresión de sus datos personales y/o revocar la autorización otorgada para el Tratamiento de los mismos, mediante la

(12)

presentación de un reclamo, de acuerdo con lo establecido en el artículo 15 de la Ley 1581 de 2012.”

En principio siempre es un requisito legal obtener la autorización previa del Titular para el

trata-miento de datos personales.

La autorización no será necesaria cuando la Información requerida por una entidad pública o

admi-nistrativa en ejercicio de sus funciones legales o por orden judicial, cuando el tratamiento sea sobre

datos de naturaleza pública, en los casos de urgencia médica o sanitaria, cuando el tratamiento esté

autorizado por la ley para fines históricos, estadísticos o científicos, cuando sean datos relacionados

con el Registro Civil de las Personas. La entidad facultada a nivel nacional para realizar todo tipo de

vigilancia e inspección frente a los procedimientos de los datos personales es la Superintendencia de

industria y Comercio. A solicitud de esta, los Responsables deberán proveer una descripción de los

procedimientos usados para la recolección, almacenamiento, uso, circulación y supresión de

infor-mación, como también la descripción de las finalidades para las cuales la información es recolectada

y una explicación sobre la necesidad de recolectar los datos en cada caso. El uso extensivo de las

tecnologías de la información y las telecomunicaciones ha permitido que en muchas ocasiones, los

datos personales sean tratados para fines distintos para los que originalmente fueron recolectados,

rebasando la esfera de privacidad de las personas y lesionando en ocasiones, otros derechos y

liber-tades. Se vulneran cuando se usan para fines distintos, cuando no se actualizan, cuando no se toman

medidas para garantizar seguridad, cuando se entregan a terceros sin autorización.

La superintendencia según el articulo 19 de la ley 1581 “impartirálas instrucciones relacionadas con

as medidas de seguridad en el Tratamiento de datos personales.”por lo cual, Se entiende que un país

ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la

Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser

inferiores a los que la presente ley exige a sus destinatarios. No obstante, es posible la transferencia

internacional de datos a países que no proporcionen niveles adecuados de protección de datos y en

los casos no exceptuados, solo cuando la Superintendencia de Industria y Comercio, profiera la

DE-CLARACIÓN DE CONFORMIDAD14 relativa a la transferencia internacional de datos personales. Para el efecto, el Superintendente estáfacultado para requerir información y adelantar las diligencias

tendientes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de la operación.

Principio Relevante: Finalidad

Cuando se hace mención al principio de finalidad, se hace referencia a el que hace “la exigencia de

someter la recopilación y divulgación de datos, a la realización de una finalidad constitucionalmente

14_{Superintendencia de industria y comercio.}

(13)

legítima15”; delimita que en el momento en que son requeridos los datos los fines deben estar,

deter-minados, explicitos y legitimos, con el objetivo de que posteriormente los datos no sean tratados para

finalidades diferentes de las inicialmente establecida. En congruencia con este principio los fines

deberán estar previamente determinados, esto implica que con anterioridad a la solicitud de los datos

debe encontrarse de manera precisa establecido el objetivo final para el cual su determinación deberá

ser lo más detallada posible todo esto con el objeto de evitar utilizaciones incompatibles con el fin

descrito, siendo este un fin licito. como consecuencia de lo anterior surge una obligación por parte

de quienes son responsables de ejercer el tratamiento de los datos, ya que el tratamiento los vincula

de manera jurídica en una relación con los titulares de los datos, obligando a quienes hacen uso de

la información a respetar los limites previstos por las finalidades previamente determinadas.

Ahora bien, si hay “ publicidad indiscriminada de la información sin el consentimiento de su titular, es decir que habrá una clara violación del principio de libertad, ya que no se cumple la finalidad legal o constitucional.16” La Corte ha mencionado que que si hay publicidad indiscriminada de la información facilita el ejercicio incontrolado del poder informático, lo cual constituye una barrera

para el ejercicio pleno de los derechos fundamentales y facilita prácticas de exclusión social y

discri-minación prohibidas por la Constitución. Por lo cual, el tratamiento de datos debe estar vinculado a

las finalidades determinadas, específicas y legítimas que justifican el tratamiento de los datos, siendo

asíque los datos únicamente podrían ser tratados en el ámbito de las mencionadas finalidades.

En este orden de ideas, hay una problemática relativa a la autorización de los datos y la efectiva

protección ya que electrónicamente hay millones de transacciones que permiten a los responsables

de los datos hacer uso de la información de los titulares, sin embargo, no hay certeza acerca de las

verdaderas finalidades para las que están siendo usados los datos personales. Para que los datos sean

tratados de manera proporcional “los datos de carácter personal sólo se podrán recoger para su

trata-miento, asícomo someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos

en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan

obtenido17”. Como consecuencia las finalidades deberán estar delimitadas previamente y son la jus-tificación del tratamiento de los datos. “los datos de carácter personal objeto de tratamiento no podrán

usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos”.

La garantía de la vida privada de la persona y de su reputación poseen hoy una dimensión positiva

que excede el ámbito propio del derecho fundamental a la intimidad y que se traduce en un derecho

15

Sentencia C 640 de 2010

16_{Sentencia C 748 de 2011.}

(14)

de control sobre los datos relativos a la propia persona. La libertad en relación a los datos personales

es el derecho legítimo a controlar el uso de los datos personales el cual comprende la oposición por

parte del ciudadano a que sean utilizados para fines distintos a los que fueron legitimados en el

mo-mento de la obtención de los datos. Esto implica que los titulares de los datos cuentan con facultades

para rectificar sus datos tratados.

La generalidad e indeterminación de los textos que son usados para la autorización de las empresa

que solicitan suscribir en un formato el consentimiento, no permiten establecer con qué finalidades

específicas ni en quécontexto sería usada su datos o imagenes.”Ahora bien, Como aspecto de fondo

y en directa relación con el anterior punto, la finalidad para la que son utilizados los datos o imagen

no son en ocaciones las comentadas previamente a la autorización he ahí la problemática de las

transacciones electrónicas pues esto nos lleva una problemática latente en la actualidad ya que no hay

veracidad ni noción real sobre, hasta que punto van a ser utilizados los datos personales sin

corres-ponder a la finalidad acordada. En lo que concierne a la protección de datos este principio es un

elemento fundamental que permite la garantía constitucional para proteger el derecho a la intimidad

entre otros. Pues, si no ha existido una autorización para un uso especifico de los datos este no podrá

ser realizado como consecuencia de esto es necesidad de los titulares conocer los usos para los que

serán utilizados los datos de la información que se encuentran en poder de los responsables del

tra-tamiento.

Visión Europea: Grupo de trabajo del articulo 29

El artículo 6 de la LOPD18_{regula el importante principio de consentimiento que constituye uno de}

los pilares básicos de la normativa de protección de datos. El consentimiento permite así al afectado

ejercer el control sobre sus datos de carácter personal, ya que es el propio interesado quien otorga su

consentimiento para que se pueda realizar el tratamiento de los citados datos. Cuando se menciona

en la norma que el consentimiento debe ser inequívoco, no se especifica que deba presentarse de

forma determinada, ni el momento de prestarlo, lo que plantea algunos problemas interpretativos. El

precepto legal requiere que el consentimiento sea inequívoco lo que significa según el Diccionario de

la Real Academia Española “que no admite duda en contrario” y, por contraposición, a equivoco, lo

18

(15)

que no puede entenderse o interpretarse en varios sentidos, o que no puede dar ocasión a juicios

varios.

Teniendo en cuenta lo expuesto anteriormente, está claro que el tratamiento de los datos personales

cobra cada día mayor relevancia dentro de las relaciones que tienen lugar en las sociedades modernas

tanto en el entorno online como offline, y no hay duda que el "Consentimiento" constituye un

meca-nismo de control idóneo, que concede al titular de los datos la potestad de decidir sobre el tratamiento

de sus datos personales.

No obstante, en el ámbito de la legislación Europea, también existen distintas consideraciones o

interpretaciones sobre la aplicación del "Consentimiento", verificadas tanto en el marco regulatorio de los Estados miembros, como en los análisis reflejados en los Informes y Resoluciones emitidas

por las correspondientes Autoridades de Control. Según una de las opiniones del grupo de trabajo del

artículo 29 el consentimiento puede darse de modos diferentes, cuando sea técnicamente posible y

eficaz y de acuerdo con los requisitos pertinentes del consentimiento valido.

Ahora bien, a fin de armonizar estas divergencias, Las Autoridades Europeas de Protección de

Da-tos (Grupo de Trabajo del Artículo 29, o GT29) aprobaron el Dictamen 15/2011, sobre la definición

del Consentimiento. Lo que lograron mediante este criterio fue unificar y clarificar el significado de

ciertos requisitos que suelen acompañar al Consentimiento y determinan su validez, por ejemplo: (i)

que sea informado, (ii) libremente otorgado, (ii) específico, (iv) inequívoco19. Se emitieron una serie de reflexiones sobre la aplicación de las disposiciones que regulan este Principio, tanto en la Directiva

95/46/CE, sobre protección de datos personales, como en la Directiva 2002/58/CE, sobre privacidad

y comunicaciones electrónicas. Estos cambios con base a las nuevas necesidades y a los posibles

escenarios para que haya efectividad en el marco regulatorio. De este modo, se podrá proporcionar

seguridad jurídica frente a las dificultades presentadas por las nuevas formas de tratamiento de datos

personales, fomentadas por las interacciones con el mundo online y con un entorno tecnológico cada

vez más complejo.

En este sentido, se valoran una serie de supuestos y escenarios que conllevan el tratamiento de datos

personales, con el objetivo de fijar los aspectos que determinan la validez del consentimiento

otor-gado. Entre los diferentes escenarios cabe destacar los siguientes: en primer lugar, la activación

de servicios online. En tales contextos, la simple inactividad del sujeto resulta insuficiente para

de-terminar una manifestación de voluntad inequívoca, siendo necesaria la ejecución de acciones

con-cretas para acreditar que el consentimiento fue válidamente otorgado. Lo mismo ocurre en

Inter-net, donde la capacidad que caracteriza las "Políticas de Privacidad", hacen cada vez más difícil que

los usuarios, puedan ser conscientes del alcance de sus derechos y obtener información comprensible

(16)

y detallada, sobre el tratamiento de sus datos personales. Lo anterior a generado un problema, ya que

la normativa europea a creado una cantidad de requisitos para proteger los derechos sin embargo estos

en la practica son complicados de cumplir de manera satisfactoria en la práctica.

En este sentido, se advierte que la utilización de mecanismos que por defecto (by default) otorguen

el consentimiento para un tratamiento determinado (por ejemplo, mediante casillas pre-marcadas), y

que requieran una posterior modificación para que el usuario pueda manifestar su negación al

trata-miento previsto, no constituyen, per se, una forma que permita acreditar un consentitrata-miento

inequí-voco. Al respecto, y en relación a la activación de servicios de geolocalización en dispositivos móvi-les inteligentes, el reciente Dictamen 13/2011,ya establecía que "de forma predeterminada, los

ser-vicios de localización deben estar apagados y que la activación de estos serser-vicios requiere de un

consentimiento informado y especifico a los diferentes fines para que los datos sean captados o

al-macenados20".

Otro de los escenarios se da cuando los usuarios normales no son conscientes del rastreo a que se

somete su comportamiento en línea, los objetivos del rastreo. No siempre saben cómo utilizar la

con-figuración del buscador para rechazar cookies, aunque esto se incluya en las políticas de privacidad.

Es una falacia considerar que, de forma general, la ausencia de reacción del usuario (el que no haya

configurado el buscador para rechazar cookies21 supone una indicación clara y sin equívocos de sus deseos. Como señala el Dictamen 1/2008 del Grupo de Trabajo del artículo 29 antes mencionado, «

La responsabilidad de su tratamiento no puede reducirse a la responsabilidad que incumbe al usuario

de tomar o no precauciones en la configuración de su navegador». Actualmente, de los cuatro

busca-dores principales, solo uno bloquea por defecto los cookies de terceros desde el momento en que se

instala el buscador. Los otros tres buscadores están configurados por defecto para aceptar todos los

cookies.

Las aplicaciones pueden recoger grandes cantidades de datos a partir de los dispositivos (por ejemplo,

datos almacenados por el usuario en su dispositivo o datos de distintos sensores como la ubicación)

y procesarlos para proporcionar servicios nuevos e innovadores al usuario final. Sin embargo, esas

mismas fuentes de datos pueden ser objeto de un tratamiento adicional, normalmente para generar

ingresos, de forma desconocida o no deseada por el usuario final. Los desarrolladores de aplicaciones

que desconozcan las normas de protección de datos pueden crear riesgos significativos para la vida

privada y la reputación de los usuarios de dispositivos inteligentes. Los principales riesgos para la

20_{LOPD, Dictamen 02/2013 sobre las aplicaciones de los dispositivos inteligentes. 2013.}

21_{COOKIES: Una}_cookie_(o_{galleta informática}_{) es una pequeña información enviada por un sitio web y almacenada}

(17)

protección de datos de los usuarios finales son la falta de transparencia y conocimiento de los tipos

de tratamiento que las aplicaciones pueden realizar, combinada con la falta de consentimiento

signi-ficativo del usuario final antes de que se produzca el tratamiento de datos. Las insuficientes medidas

de seguridad, la clara tendencia hacia la maximización de los datos y la elasticidad de los fines para

los que se recogen datos personales también contribuyen a los riesgos relacionados con la protección

de datos que se dan en el actual entorno de las aplicaciones.

En definitiva, el análisis de los escenarios indicados, no hace sino reflejar la postura que el Grupo de

Trabajo 29 ha venido manifestando en relación a los requisitos de validez, que deben ser considerados

al momento de obtener el consentimiento inequívoco, para la ejecución de actividades que se derivan

de la incursión de los titulares de los datos, en las redes de la información.

Uno de los puntos críticos de este análisis es revisar lo que incorporo el Decreto 1377 de 2013,

par-ticularmente los artículos que mencionan el consentimiento o la autorización.Teniendo en cuenta lo

anterior queremos estudiar si en realidad este decreto si incorporo adecuadamente el principio de

consentimiento inequívoco, reemplazando así el concepto de consentimiento expreso que trae la ley

1581 de 2012. Ahora bien el Decreto 1377 en su artìculo 5 expresa que “el Responsable del

Trata-miento deberá adoptar procediTrata-mientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento.”Ademas, en su articulo 7 se especifica el modo en que debe realizarse la autorización “ Para efectos de dar cumplimiento a lo dispuesto en el artículo 9° de la

Ley 1581 de 2012, los Responsables del Tratamiento de datos personales establecerán mecanismos para obtener la autorización de los titulares o de quien se encuentre legitimado de conformidad con lo establecido en el artículo 20 del presente decreto, que garanticen su consulta. Estos mecanismos podrán ser predeterminados a través de medios técnicos que faciliten al Titular su manifestación

automatizada. Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (i) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir

de forma razonable que otorgó la autorización”22. En ningún caso el silencio podrá asimilarse a una conducta inequívoca. Por lo tanto en este punto surge una problemática enorme, ya que se imponen

una variedad de requisito para entender que un titular de datos esta efectuando una autorización para

que sea entendida como inequívoca sin embargo, hay situaciones cotidianas del día a día que los

titulares de los datos realizamos pero no hay certeza de que por medio de estas se este efectuando la

(18)

aprobación de un consentimiento inequívoco tales situaciones podría ser cuando un usuario de

inter-net oprime “acepto”, en una aplicación o cuando estamos siendo gravados por videos de seguridad

de los edificios. Llevando a cuestionarios sobre la verdadera eficacia del consentimiento y si en

reali-dad los procedimientos online logran cumplir con todos los requisitos en la practica o son solo unos

requerimientos legales sin aplicación real.

Riesgos analizados por el grupo de trabajo del articulo 29

Por otro lado, analizaremos lo planteado por los dictámenes del grupo de trabajo del articulo 29 sobre

la protección de datos de la union europea donde se ha venido discutiendo sobre los desarrolladores de aplicaciones. Ahora bien, Si estos desconocen las normas de protección de datos pueden crear

riesgos significativos para la vida privada y la reputación de los usuarios de dispositivos inteligentes.

Los principales riesgos para la protección de datos de los usuarios finales de las aplicaciones son la

falta de transparencia y conocimiento de los tipos de tratamiento sobre los datos personales de los

usuarios que las aplicaciones pueden realizar, combinada con la falta de consentimiento significativo

del usuario final antes de que se produzca el tratamiento de datos. Como consecuencia de lo anterior,

la falta de medidas de seguridad adecuadas, la fuerte tendencia hacia la maximizacacion de los datos

y la elasticidad de los fines para los que se recogen datos personales también contribuyen a los riesgos

relacionados con la protección de datos que se dan en el actual entorno de las aplicaciones.

Por lo anterior los desarrollos tecnológicos actuales exigen también una consideración detallada del

consentimiento. En la práctica, el artículo 723 de la Directiva 95/46/CE no siempre se aplica adecua-damente, especialmente en el contexto de internet, donde el consentimiento implícito no siempre lleva

a un consentimiento inequívoco como lo requiere el artículo 7, letra a) de la Directiva. Dar a los

usuarios una mayor capacidad de decisión previa, antes de que sus datos personales sean tratados por

otros, requiere, no obstante, un consentimiento explícito y como consecuencia una aceptación de la

opción propuesta. El tratamiento de los datos es con base en su totalidad a dicho consentimiento24 Bajo el supuesto de que existe una conciencia sobre la problemática del consentimiento que es llevado

en la practica El Grupo de Trabajo del artículo 29 reconoce los problemas pra_{́cticos que acarrea el}

lograr obtener adecuadamente el consentimiento, especialmente si este es necesario cada vez que se

23_{El Grupo de Trabajo del arti}_{́culo 29 reconoce la labor realizada por asociaciones como The Future of Privacy para fomentar el uso}

de iconos a efectos informativos.

24_{El Grupo de Trabajo del arti}_{́culo 29 reconoce la labor realizada por asociaciones como The Future of Privacy para fomentar el uso}

(19)

lee un cookie para enviar publicidad a medida. Para prevenir este problema, en línea con el

conside-rando 25 de la Directiva sobre privacidad en las comunicaciones electrónicas puede entenderse que

la aceptación de un cookie por la persona interesada es va_{́lida no solo para el envío del cookie sino}

también para la ulterior recogida de datos derivados de dicho cookie. En otras palabras, el

consenti-miento obtenido para instalar el cookie y utilizar la información para enviar publicidad a la medida

abarcaría ulteriores «lecturas» del cookie que se producen cada vez que el usuario visita el sitio web

asociado al proveedor de la red de publicidad que instaló inicialmente el cookie. Sin embargo,

te-niendo en cuenta que i) esta práctica implicari_{́a que las personas aceptan ser controladas (una vez y}

para siempre), y que ii) las personas podrían sencillamente (olvidar) que, por ejemplo, hace un año,

aceptaron ser controladas, el Grupo de Trabajo estima que deben aplicarse algunas garantías.

consi-dero luego de analizar uno de los riesgos latentes frente a protección de datos, es que no hay un

verdadero conocimiento inequívoco a la hora de dar la autorización por parte de los titulares de los

datos. Ademas que dicha autorización implica un riesgo muy alto que la información puede ser

con-trolada sin limitación de tiempo y creo que ahí radica una de las problemáticas mas grandes ya que si

el tener acceso a la información tiene una finalidad definida no deberían quienes realizan el

trata-miento de los datos no tener control ilimitado sobre la información de datos contenida.

Posibles cambios y recomendaciones

Luego de hacer un análisis detallado de los requisitos del consentimiento y un estudio del desarrollo

en el tiempo, observamos que este requisito debe ser calificado de "inequívoco", especificando que

la obtención del mismo no sólo conlleva una manifestación de voluntad explícita, sino también la

ejecución de acciones concretas, que vienen a confirmar o a acreditar dicha voluntad. Esta

clarifica-ción debe enfatizar los siguientes aspectos para que exista un mejor resultado de protecclarifica-ción sobre la

información entregada. En primera lugar el consentimiento inequívoco requiere la implantación de

mecanismos que permitan acreditar, sin lugar a dudas, el consentimiento otorgado por el interesado; y

el consentimiento inequívoco no puede obtenerse a partir de mecanismos que otorgan el

consenti-miento, de forma predeterminada para un tratamiento concreto (casillas pre-marcadas) ya que esto de

alguna manera se ha encargado de poner en duda el la validez del consentimiento.

En segundo lugar, se deberá mejorar el marco regulatorio del derecho fundamental de la protección

de datos, considerando los siguientes aspectos: (i) obligación de incluir cláusulas que establezcan,

expresamente, el Derecho de los interesados a revocar el consentimiento otorgado, (ii) reforzar la

(20)

personales, y que no cubre tratamientos posteriores con finalidades distintas a las inicialmente

con-sentidas y, (iii) de cara a obtener su consentimiento, la información facilitada al interesado deberá

estar siempre disponible, en un leguaje accesible y de fácil comprensión. Lo anterior con el

propó-sito de optimizar la obtención del consentimiento inequívoco de titulares que carecen de capacidad

jurídica, como sería el caso de menores de edad.

En tercer lugar, Una de las recomendaciones mas importantes a tener en cuenta, es la limitación a

el alcance del consentimiento en el tiempo. El consentimiento para lograr un nivel de control

ade-cuado no debe ser «para siempre»sino solo para un período de tiempo limitado, por ejemplo un

año. Pasado ese plazo, los proveedores de la red de publicidad necesitari_{́an obtener otra vez el}

con-sentimiento del titular para poder lograr una garantía mas efectiva de los derechos de los titulares.

Finalmente, La limitación de la finalidad va unida al principio de minimización de datos. Para evitar

el tratamiento de datos innecesario y potencialmente ilícito, los desarrolladores de aplicaciones deben

considerar atentamente los datos que son estrictamente necesarios para realizar la función deseada.

La información y la supervisión por el usuario son aspectos fundamentales para garantizar el respeto

de los principios de la minimización de datos y la limitación de la finalidad. De acuerdo con el artículo

17 de la Directiva sobre protección de datos, los responsables y los encargados del tratamiento deben

adoptar las medidas técnicas y organizativas necesarias para garantizar la protección de los datos

personales que traten. Como consecuencia de ello, quienes realicen tratamientos de datos deben

adop-tar medidas, cada uno de ellos según su papel y sus responsabilidades. Gran parte de los tipos de datos

disponibles en un dispositivo móvil inteligente son de carácter personal.. El objetivo del

cumpli-miento de las obligaciones en materia de seguridad es doble: permitir a los usuarios controlar sus

datos con más rigor y aumentar el grado de confianza en las entidades que realmente procesan datos

de los usuarios. El carácter fragmentario del ecosistema de las aplicaciones, la amplia gama de

posi-bilidades técnicas de acceso a los datos conservados o generados en dispositivos móviles y la falta de

concienciación jurídica entre los desarrolladores crean una serie de riesgos graves para la protección

de los datos de los usuarios de aplicaciones.

Conclusion:

Finalmente, Luego de realizar un análisis del desarrollo del consentimiento los requisitos que lo

com-ponen y su implementación en distintos ordenamientos jurídicos considero que aunque es un

reque-rimiento indispensable para lograr el tratamiento de los datos. En primer lugar, deben realizarse varios

(21)

transparente de los datos de los titulares como consecuencia del análisis de una variedad de riesgos

existentes como la falta de transparencia y de sensibilización de los usuarios de aplicaciones hasta

medidas de seguridad insuficientes, mecanismos de consentimiento inválidos, una tendencia a

maxi-mizar los datos y la elasticidad de los fines del tratamiento el abuso del uso para finalidades distintas

entre otros. Todo lo anterior como consecuencia del solapamiento de las responsabilidades en la

pro-tección de datos entre las diferentes partes que participan en el desarrollo, la distribución y la

capaci-dad técnica de las aplicaciones. Ahora bien, es necesario que hayan una variecapaci-dad de cambios que

generan responsabilidad en varias partes del problema no solamente en los que realizan el tratamiento

de los datos sino también de los titulares de estos ya que debe existir un ejercicio del derecho para

que haya cumplimiento de las garantías. Es importante en este punto resaltar que gran parte de las

recomendaciones son para las desarrolladores de las aplicaciones La mayoría de las conclusiones y

recomendaciones se dirigen a los desarrolladores de aplicaciones (ellos son los que mayor control

tienen sobre la forma precisa en que se realiza el tratamiento o en que se presenta la información

dentro de la aplicación), pero, para alcanzar el máximo nivel de protección de la intimidad y

protec-ción de datos, deben colaborar con otras partes del ecosistema de las aplicaciones, como los

fabrican-tes de sistemas operativos y dispositivos. Es importante que se haga un ejercicio transparente de los

datos y que para que se de una autorización mas correcta deberán realizarse procedimientos mas

claros y recurrentes para poder garantizar los derechos. finalmente uno de los problemas frente a la

legislación existente es poder reconocer si una norma verdaderamente esta siendo simbólica o

verda-deramente eficaz y que medidas se deben tomar para poder la llevar a que su funcionamiento sea

realmente eficaz. El problema con el consentimiento radica ahí, ya que en principio hay unos

requi-sitos como que debe ser inequívoco, sin embargo, en materia online o de aplicaciones, no es tan fácil

de cumplir con todo el proceso que requiere una autorización para que valida ya que en contextos

como en internet, donde el consentimiento implícito no siempre lleva a un consentimiento inequi_́voco

nos acarrea un posible riesgo frente al derecho en discusión. En este orden de ideas abrir una

proble-mática frente lo que plantean las normas y el cumplimiento en la practica de los titulares de los datos

y de quienes realizan el tratamiento de estos. Ahora bien a esta problemática se le suma la

incon-gruencia en las normas, ya que en una mencionan que el consentimiento debe ser inequívoco y en

otras no, impidiendo que haya claridad sobre el cumplimiento normativo. Luego de realizar el análisis

el planteamiento mas importante es la creación de normas o herramientas que permitan a los titulares

estar mas involucrados con el control de sus datos por un lado y por otro, deben ponerse limites frente

al uso de la información o la existencia de un periodo limite del uso de los datos personales el cual se

podrá renovar por medio de un autorización complementaria a la primera. Todo lo anterior como

mecanismos de protección y garantías para los titulares de los datos y poder lograr el manejo de la

(22)

Bibliografia:

• Puccinelli, Oscar, El habeas data en Indoiberoamerica, primera edición, Bogotá , Editorial

Temis, 1999.

• Troncoso Reigada, Antonio, la protección de datos personales, en busca del equilibrio,

Va-lencia, Editorial Lo Blanch, 2006.

• Piñar Mañas, JoséLuis, Protección de Datos de Carácter Personal en Iberoamerica ,

cua-dernos de derecho publico 2003.

• Remolina Angarita, Nelson, Tratamiento de datos personales aproximación internacional y

comentarios a la Ley 1581 de 2012.Legis, Bogotá. 2013

• Travieso, Juan Antonio, Regimen Juridico de los datos personales, Abeledoperrot.Buenos

Aires 2014.

• Llacer Matacas, Maria Rosa, Proteccion de Datos Personales en la Sociedad de la

informa-ción y la vigilancia. La ley.Madrid 2011.

• Serrano Perez, Maria Mercedes, El Derecho Fundamental a la protección de datos. Derecho

español y comparado., Madrid, Editorial civitas y Agencia de la protección de Datos de la

Comunidad de Madrid, 2003

SENTENCIAS:

Sentencia C 748 de 2011. Sentencia C 640 de 2010 sentencia T 058 de 2013 Sentencia T-058 de 2013

DECRETOS:

Decreto1377de 2013

LEYES: