PONTIFICIA UNIVERSIDAD JAVERIANA
FACULTAD DE CIENCIAS JURÍDICAS
DEPARTAMENTO DE DERECHO PRIVADO
BOGOTÁ D.C.
2022
PROYECTO DE GRADO PARA OPTAR POR EL TÍTULO DE ABOGADO
EL TRATAMIENTO DE DATOS PERSONALES EN ÉPOCA DE PANDEMIA “COVID- 19” EN COLOMBIA Y UNA VISIÓN AL CONTEXTO GLOBAL
SANTIAGO FELIPE BARRIOS PULECIO
JUANITA MORENO BERNAL
DIRECTORA DEL PROYECTO DE GRADO: STELLA VANEGAS
RESUMEN: Este trabajo tiene como propósito dilucidar el conflicto entre: (i) la obligación por parte del Estado de propender por la salud y vida de sus ciudadanos y las potestades que de ello se derivan; y, (ii) los derechos de las personas de que les sea respetada su privacidad y que sus datos personales sean tratados conforme al régimen legal, en particular dadas las necesidades para tratar información personal, especialmente de naturaleza sensible, que surgieron a partir del Covid-19.
Para ello, se estudió la aplicación Coronapp, así como en algunos ejemplos de tratamiento de datos por parte de entes privados.
Palabras Clave: Covid-19, Coronapp, Datos Personales, Datos Sensibles y Geolocalización.
TABLA DE CONTENIDO
1. Introducción
a. Problema jurídico.
2. Primer capítulo: Los derechos de los particulares frente a la protección de los datos personales en Colombia
a. Definiciones asociadas al tratamiento de datos personales en Colombia.
b. Estudio normativo del derecho fundamental de los ciudadanos frente a la protección de datos sensibles.
c. Estudio normativo de las leyes que regulan el ejercicio de estos derechos fundamentales, en especial frente al tratamiento de datos sensibles en Colombia.
d. Estudio de los lineamientos y normas relativas al manejo de datos sensibles en el marco de la pandemia.
3. Segundo capítulo: La prevalencia del interés general sobre el particular, las potestades para tratar información por parte del Estado y las obligaciones que se derivan de ello en cabeza de las entidades privadas
a. Análisis de las potestades del Estado frente a los particulares, en especial para la recolección de datos personales.
b. Análisis de las disposiciones en cabeza de las entidades privadas que las obligan al tratamiento de datos sensibles.
4. Tercer capítulo: Análisis de la manera en que entidades públicas y privadas realizaron el tratamiento de datos personales de particulares en el transcurso de la pandemia
a. Análisis de la manera en que entidades públicas ejercieron el tratamiento de datos personales de particulares en el transcurso de la pandemia.
b. Manejo de información por parte de las entidades privadas, a raíz de las obligaciones impuestas por el Gobierno.
5. Cuarto capítulo: Estudio normativo del tratamiento de datos personales en otras legislaciones
a. Análisis bajo la legislación de la República Popular China.
b. Análisis bajo la legislación del Reino de España.
c. Análisis bajo la legislación de la República de Chile.
6. Conclusión 7. Bibliografía
INTRODUCCIÓN
La pandemia derivada del Covid-19, trajo un sin número de retos y obligó a todos los sectores de nuestra sociedad a adoptar cambios drásticos con respecto a las dinámicas que se llevaban a cabo en tiempos anteriores a que surgiera este virus. Uno de estos cambios consiste en la importancia que tomó el tratamiento de datos personales para el efectivo manejo de la pandemia.
De esta forma, el tratamiento de datos personales se transformó en el instrumento más importante para controlar la propagación del virus, principalmente en tres aspectos: (i) evaluar necesidades clave para efectos de determinar a qué área se asignan recursos; (ii) informar al gobierno y comunidad médica sobre cómo mejorar operaciones y poder adoptar decisiones de política pública;
y, (iii) evaluar el progreso de la pandemia (Pantaleón, 2020).
Ahora bien, el tratamiento de datos personales durante la pandemia no encontró un marco normativo específicamente dispuesto para ello. Por ende, siendo tan importante y urgente se debió adaptar a un régimen legal preexistente.
Lo anterior, ha derivado en un problema jurídico que emergió, y seguirá ocurriendo debido a las tensiones que se presentan entre: (i) las facultades del Estado y los deberes concomitantes que surgen para las entidades particulares que conocen, recolectan y tratan en general información personal; y, (ii) los derechos de los particulares a su privacidad, tema que será explicado a continuación.
PROBLEMA JURÍDICO
¿Cuál es el alcance de las potestades y facultades del Estado para tratar datos sensibles a partir de la pandemia derivada del COVID-19 y cuáles son los principales derechos y obligaciones para las entidades privadas y particulares?
En el marco del tratamiento de datos personales a raíz de la pandemia, se generaron tensiones entre marcos normativos relevantes a saber: (i) normas que establecen derechos en cabeza de los particulares y que regulan en específico el tratamiento de datos personales en Colombia; y (ii) normas que legitiman el actuar del Estado y entidades privadas en el marco de un estado de emergencia económica y social al amparo del cual se expidieron diversas disposiciones.
En primera medida, en Colombia existen disposiciones que, por un lado, desde el punto de vista constitucional, establecen límites y obligaciones para el tratamiento de datos personales, como los derechos al buen nombre, a la intimidad y al habeas data (artículos 15 y 20 de la Constitución Política). Por el otro lado, hay leyes (como la Ley Estatutaria 1581 de 2012) que regulan el tratamiento de datos personales, estableciendo derechos y obligaciones en cabeza de distintos entes y personas.
Sin embargo, también hay una serie de disposiciones que legitiman y obligan a la recopilación de información a causa de la pandemia derivada del Covid-19, bajo las cuales el Estado y entidades privadas han encontrado fundamento para tratar tales datos. Algunas de dichas normas son, entre otras, los artículos 1°, 2°, 44, 45, 49, 95 y 189-4 de la Constitución Política, así como la Ley Estatutaria 1751 de 2015 en sus artículos 5 y 10, las cuales serán explicadas en el Capítulo Segundo de este escrito.
Lo anteriormente expuesto resulta de especial importancia en la actualidad, debido a que el tratamiento de datos personales, en especial de datos sensibles referentes al estado de salud, se volvió parte de la cotidianidad. Sin embargo, la pandemia se propagó tan rápidamente que no hubo tiempo de prepararse para las nuevas condiciones, y la consecuencia inevitable fue la generación de diversos vacíos legales, que poco a poco han venido siendo cubiertos a través de leyes, decretos y otras normas expedidas con carácter de urgencia en el marco del reconocimiento de la
emergencia sanitaria. En tal sentido, resulta evidente que no es posible predecir el futuro, en especial frente a situaciones como éstas que son de orden global, razón por la que debemos estar conscientes que es posible que nuevas situaciones similares amplíen o generen este tipo de vacíos jurídicos. Por ende, resulta de especial importancia establecer determinados criterios que sirvan para anticiparse a este tipo de situaciones por medio de metodologías que permitan resolver casos que se puedan presentar. Como se verá más adelante, la metodología propuesta para dichos efectos es el juicio de proporcionalidad establecido por la Corte Constitucional.
PRIMER CAPÍTULO: LOS DERECHOS DE LOS PARTICULARES FRENTE A LA PROTECCIÓN DE LOS DATOS PERSONALES EN COLOMBIA
a. Definiciones asociadas al tratamiento de datos personales en Colombia
El marco legal que rige el tratamiento de datos personales en Colombia trae diversos conceptos que son de especial relevancia para efectos de poder comprender la norma. Por ende, con el fin de poner al lector en contexto y permitir una mejor comprensión de los siguientes apartes de este escrito, a continuación, expondremos las definiciones de los conceptos más importantes en materia de tratamiento de datos personales en Colombia.
(i) Dato personal
La ley 1581 de 2012 define el dato personal como “cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables” (Ley 1581 de 2012, artículo. 3, literal 2). En ese sentido, el dato personal contiene información que puede ayudar a identificar a una persona determinada. La Corte Constitucional ha definido que un dato personal se caracteriza por:
i) estar referido a aspectos exclusivos y propios de una persona natural, ii) permitir identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación. (Corte Constitucional, Sentencia C-748 de 2011)
Ahora, debe tenerse en cuenta que existen varios tipos de datos personales. De esta forma, la Corte Constitucional a través de su Sentencia T-729 de 2002 determinó que la clasificación de los datos personales responde a un criterio cualitativo en virtud de la cual, dependiendo de la posibilidad de obtener acceso a dicha información, se configuran 4 categorías: dato público, semiprivado, privado y sensible.
(ii) Dato público
Se define el dato público como todo aquel que no sea un dato semiprivado, privado o sensible. De acuerdo con la Ley 1266 de 2008 y a modo de ejemplo se establece que: Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas (Ley 1266 de 2008, art.
3, literal f). Sin embargo, se debe aclarar que independientemente de que no se requiera autorización del titular en este tipo datos, el tratamiento debe atenerse a lo dispuesto en la Ley 1581 de 2012 ya que esta norma es de obligatorio cumplimiento.
(iii) Dato semiprivado
La Ley 1266 de 2008 define el dato semiprivado como:
El dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como
el dato financiero y crediticio de actividad comercial o de servicios. (Ley 1266 de 2008, art. 3, literal g)
(iv) Dato privado
El concepto de dato privado está definido en la Ley 1266 de 2008 bajo la cual se entiende como aquel “Que por su naturaleza íntima o reservada solo es relevante para el titular” (Ley 1266 de 2008, artículo 3, literal h). Bajo ese entendimiento, el dato privado contiene información sobre la esfera íntima del titular, quien debe autorizar su tratamiento. Es por eso que, cuando se habla de un dato privado es indispensable tener en cuenta que dicha información solo puede ser obtenida y suministrada con base en una orden de autoridad judicial o administrativa en cumplimiento de sus funciones o con el consentimiento del titular (Corte Constitucional, Sentencia C-336 de 2007). Se entiende que este tipo de datos pueden corresponder a información relacionada con la vida privada del titular datos como: sus gustos; su lugar de nacimiento, o en si cualquier dato que revele información privada del titular. Es importante tener en cuenta que todos los tipos de datos, salvo los públicos, no pueden ser publicados en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a la Ley 1581 de 2012 (Corte Constitucional, Sentencia C- 748 de 2011).
(v) Dato sensible
Por último, los datos sensibles pueden ser definidos como:
aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías
de partidos políticos de oposición así como los daros relativos a la salud, a la vida sexual y los datos biométricos (Artículo 5 de la Ley 1581 de 2012)
Acorde con esta definición, los datos sensibles son aquellos que se relacionan con los aspectos más íntimos del titular. Incluso, se ha establecido que este tipo de datos puede ser fuente de discriminaciones y llegar a comprometer los derechos y libertades de las personas (Remolina, 2012). Por esta razón, su protección requiere de un tratamiento especial y por regla general está prohibido salvo en los casos estrictamente mencionados por el artículo 6 de la Ley 1581 de 2012.
La jurisprudencia ha sido clara en recalcar que ese tratamiento es especial pues:
Como se trata de casos exceptuados y que, por tanto, pueden generar altos riesgos en términos de vulneración del habeas data, la intimidad e incluso la dignidad de los titulares de los datos, los agentes que realizan en estos casos el tratamiento tienen una responsabilidad reforzada que se traduce en una exigencia mayor en términos de cumplimiento de los principios del artículo 4 y los deberes del título VI. Esa mayor carga de diligencia se deberá también traducir en materia sancionatoria administrativa y penal. (Corte Constitucional, Sentencia C-748 de 2011)
De igual forma, es relevante hacer mención al artículo 7 de la Ley 1581 de 2012 en el cual se regula el tratamiento de datos personales de niños, niñas y adolescentes. Dicha regulación determina que “queda proscrito el Tratamiento de datos personales de niños, niñas y adolescentes, salvo aquellos datos que sean de naturaleza pública” (Ley 1581 de 2012, artículo 7). Ahora, la Corte Constitucional ha establecido la forma en la que se debe interpretar la expresión "naturaleza pública”, entendiéndose como:
El tratamiento de los datos personales de los menores de 18 años, al margen de su naturaleza, pueden ser objeto de tratamiento siempre y cuando el fin que se persiga con dicho tratamiento responda al interés superior de los niños, las niñas y adolescentes y se asegure sin excepción alguna el respeto de sus derechos prevalentes. (Corte Constitucional, Sentencia C-748 de 2011)
Esta definición será de especial importancia en las siguientes páginas, teniendo en cuenta que la mayoría de los datos personales que se recolectaron con ocasión de la pandemia pueden ser considerados como datos sensibles.
(vi) Tratamiento de datos
Por su parte, el tratamiento de datos está definido en la Ley 1581 de 2012 como “Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.”. Cabe resaltar que el proceso de tratamiento de datos puede ser de carácter público o privado. Ahora, la Sentencia C-748 de 2011 de la Corte Constitucional establece que el tratamiento de datos comprende cualquier operación que se pretenda hacer con respecto a los datos ya sea con o sin ayuda de la tecnología. Esta precisión fue realizada ya que, al contrario de algunas legislaciones que asocian el tratamiento de datos con procedimientos automatizados, en Colombia el tratamiento puede ser realizado con tecnologías tradicionales como de forma manual.
(vii) Titular del dato
Al hablar del titular del dato, se hace referencia a aquella persona natural cuyos datos son objeto de tratamiento (Literal f) del artículo 3 de la Ley 1581 de 2012). A esta persona se le confieren una serie de derechos y garantías que le son exigibles a los responsables y a los encargados del tratamiento de datos con el objetivo de proteger su información frente a terceros (Remolina, 2013).
(viii) Responsable del tratamiento
Es relevante establecer la diferencia entre el responsable y el encargado del tratamiento de datos (Literal e) del artículo 3 de la Ley 1581 de 2012). Por un lado, se entiende el responsable como aquella persona que ya sea de forma directa o indirecta recolecta los datos y define las finalidades
del tratamiento, de igual forma la Corte Constitucional lo define como: “Quien debe solicitar y conservar la autorización en la que conste el consentimiento expreso del titular para el tratamiento de sus datos, así como informar con claridad la finalidad del mismo.” (Corte Constitucional, Sentencia C 748-2011)
(ix) Encargado del tratamiento
Ahora, por otro lado, el encargado del tratamiento es quien actúa en nombre del responsable para realizar una parte o la totalidad del tratamiento de datos que inicialmente le correspondería realizar al responsable, y en ese sentido deberá cumplir con los mismos estándares y normativa legal (Literal d) del artículo 3 de la Ley 1581 de 2012). Su actividad se encuentra regulada en el artículo 18 de la Ley 1581 de 2012 que impone unos deberes que debe cumplir el encargado para garantizar el debido tratamiento de los datos personales.
La siguiente tabla expone de manera general los conceptos que fueron explicados y la o las disposiciones que los definen:
CONCEPTO MARCO LEGAL
Dato personal Literal c) del artículo 3 de la Ley 1581 de 2012 Sentencia C-748 de 2011 de la Corte Constitucional Dato público Literal f) del artículo 3 de la Ley 1266 de 2008 Dato semiprivado Literal f) del artículo 3 de la Ley 1266 de 2008 Dato privado Literal h) del artículo 3 de la Ley 1266 de 2008
Sentencia C-336 de 2007 de la Corte Constitucional Dato sensible artículo 5 de la Ley 1581 de 2012
Sentencia C-748 de 2011 de la Corte Constitucional Tratamiento de datos Literal g) del artículo 3 de la Ley 1581 de 2012
Sentencia C-748 de 2011 de la Corte Constitucional Titular del dato Literal f) del artículo 3 de la Ley 1581 de 2012
Responsable del tratamiento
Literal e) del artículo 3 de la Ley 1581 de 2012 Sentencia C 748-2011 de la Corte Constitucional Encargado del
tratamiento
Literal d) del artículo 3 de la Ley 1581 de 2012
b. Estudio normativo del derecho fundamental de los ciudadanos frente a la protección de datos sensibles
Luego de revisadas las definiciones más importantes frente al tratamiento de datos personales, resulta necesario exponer de manera general los derechos emanados a partir de la Constitución Política Colombiana. Esto será relevante más adelante, cuando se analice la manera en que estos derechos pueden llegar a entrar en colisión con ciertas potestades y obligaciones del Estado.
Se debe iniciar por afirmar que todos los colombianos cuentan con una serie de derechos, libertades y garantías de carácter constitucional en materia de protección de datos. Estos se encuentran consagrados en los artículos 15 y 20 de la Constitución Política de Colombia en los cuales se hace referencia a tres derechos autónomos conocidos como el derecho a la intimidad, el derecho al buen nombre y el derecho al habeas data.
En primera medida, el artículo 15 de la Constitución Política menciona que:
Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.
En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución. (…)
Por su parte, el artículo 20 menciona que:
Se garantiza a toda persona la libertad de expresar y difundir su pensamiento y opiniones, la de informar y recibir información veraz e imparcial, y la de fundar medios masivos de comunicación.
Estos son libres y tienen responsabilidad social. Se garantiza el derecho a la rectificación en condiciones de equidad. No habrá censura
(i) Derecho a la intimidad
En primera instancia, se ha definido el derecho a la intimidad como un derecho absoluto que busca proteger a las personas contra atentados a su esfera más íntima y privada. Se habla de un derecho que se deriva de la condición del ser humano. La Corte Constitucional ha establecido que:
La intimidad sea también un derecho general, absoluto, extrapatrimonial, inalienable e imprescriptible y que se pueda hacer valer "erga omnes", tanto frente al Estado como a los particulares. En consecuencia, toda persona, por el hecho de serlo, es titular a priori de este derecho y el único legitimado para permitir la divulgación de datos concernientes a su vida privada. (Corte Constitucional, Sentencia T-414 de 1992)
Así mismo, la Corte ha reiterado las diferentes formas por las que el derecho a la intimidad puede ser vulnerado: (i) con la intromisión a la esfera más privada de la persona, donde cabe resaltar que independientemente del éxito de la intromisión, se considera vulnerado el derecho desde que una persona ingresa en el campo reservado de otra; (ii) con la divulgación de hechos privados, cuando una persona publica información que, si bien es cierta y veraz, no es susceptible de ser compartida con el público al pertenecer a la esfera íntima de otra persona y no contar con autorización del titular; y, (iii) con la presentación falsa de hechos íntimos que no corresponden con la realidad (Corte Constitucional, Sentencia C-881 de 2014).
(ii) Derecho al buen nombre
Ahora, por otro lado, nos encontramos con el derecho al buen nombre que ha sido entendido por la jurisprudencia como: “La reputación, o el concepto que de una persona tienen los demás y que se configura como derecho frente al detrimento que pueda sufrir como producto de expresiones ofensivas o injuriosas o informaciones falsas o tendenciosas.” (Corte Constitucional, Sentencia C-489 de 2002).
En ese sentido, a diferencia del derecho a la intimidad que es asociado con el concepto de lo privado, el buen nombre se asocia con el concepto de lo público. Estamos frente a un derecho que está relacionado con la percepción externa que se tiene de la persona y las actuaciones que se realizan bajo el ámbito personal. Se puede decir que el buen nombre es un concepto que se adquiere, pues se habla de un mérito que una persona tiene y que además es debidamente apreciado por la colectividad (Upegui, 2008). La finalidad de esta protección es que no se divulguen públicamente y sin fundamento hechos falsos o tergiversados sobre una persona con el ánimo de afectar su imagen en la sociedad. En ese sentido, no se puede considerar que se atenta contra el buen nombre cuando la información que se divulga es verídica, pues este derecho se lesiona cuando la información es falsa o errónea ya que afecta la concepción del individuo en la sociedad.
(iii) Derecho al habeas data
Por su parte, el derecho del habeas data abarca dos escenarios. Por un lado, establece el derecho que tienen las personas a conocer, actualizar, rectificar y eliminar información que se haya recolectado en bases de datos. Por otro lado, según la Superintendencia de Industria y Comercio (la “SIC”) incluye la obligación de que la información que sea recolectada por terceros sea recogida y tratada de forma legítima y las debidas garantías sean respetadas (SIC, 2016). En ese sentido, las personas tienen el derecho de conocer y tener acceso a los datos de los cuales son titulares, para garantizar que estos sean veraces. La jurisprudencia de la Corte Constitucional se
ha pronunciado sobre los eventos en los que se considera vulnerado el derecho al habeas data siendo estos cuando la información: (i) sea recogida de forma ilegal; (ii) sea errónea; o, (iii) verse sobre aspectos reservados de la esfera personal del individuo (Corte Constitucional, Sentencia T- 067 de 2007).
Para cumplir con este derecho, es menester que los titulares de los datos comprendan la forma en que las entidades públicas o privadas deben recolectar la información personal, dando cumplimiento a la ley. En primer lugar, debe existir el consentimiento por parte del titular salvo en aquellos casos en los que la ley expresamente ha estipulado que no se requiere de autorización, aspecto que se explicará más adelante. Una vez se cuenta con el consentimiento, o se tiene establecido cual es el deber legal que justifica y soporta el tratamiento, la información podrá ser recolectada por una persona o la entidad encargada, quienes estarán limitados a utilizar la información solo para los fines que fueron autorizados, o los que establezca la norma en la que se funda. A partir de ese momento, el titular tiene derecho de conocer, actualizar y rectificar la información recolectada con el fin de que esta sea cierta y permita cumplir con los fines propios del tratamiento.
La siguiente tabla expone un resumen de lo visto en este subcapítulo:
DERECHO A LA INTIMIDAD
DERECHO AL BUEN NOMBRE
DERECHO AL HABEAS DATA
ALCANCE
Protege a las personas contra atentados a su esfera más
íntima y privada.
Protege la reputación o el concepto que de una persona
tienen los demás.
Permite conocer, actualizar, rectificar y eliminar información recolectada y obliga a que el tratamiento de datos personales cumpla con lo
dispuesto en la norma.
c. Estudio normativo de las leyes que regulan el ejercicio de estos derechos fundamentales, en especial frente al tratamiento de datos sensibles en Colombia
Para entrar en materia, es menester comprender a cabalidad las obligaciones que tienen tanto las entidades privadas como públicas que realicen el tratamiento de datos personales. Es por esto que se procederá a dar explicación respecto de las principales obligaciones contenidas en la Ley Estatutaria 1581 de 2012, conocida como el Régimen General de Protección de Datos Personales.
En primer lugar, se entiende que la mencionada Ley tiene por objeto:
Desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma. (Artículo, 1 Ley 1581)
En ese sentido, todas las entidades públicas y privadas que accedan, y en general traten datos personales deben dar cumplimiento a las obligaciones específicas encaminadas a proteger a sus titulares.
(i) Autorización por parte del titular
Lo primero que se debe mencionar es que, por regla general, ante la recolección de datos personales se debe contar con autorización del titular. Dicha autorización es entendida como el consentimiento que entrega el titular a las personas que buscan realizar un tratamiento de su información. Ahora, la ley es clara en establecer que el consentimiento del titular debe ser previo, expreso e informado, de tal forma que el titular de la información entienda para qué y cómo se utilizará la información objeto de recolección (SIC, 2017). Así, existen diferentes formas en las
que se puede solicitar la autorización del titular; puede darse de forma escrita, de forma verbal o incluso a través de conductas inequívocas del titular que permitan comprender que existe autorización por parte suya. Lo importante es que el responsable del tratamiento deberá cumplir con el deber que establece la ley de conservar copia o evidencia de la respectiva autorización del titular.
Sin embargo, debe considerarse que en todos los casos no es necesaria la autorización del titular.
El artículo 10 de la Ley 1581 del 2012 establece que no será necesaria cuando se trate de:
a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial; b) Datos de naturaleza pública; c) Casos de urgencia médica o sanitaria; d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos
o científicos; e) Datos relacionados con el Registro Civil de las Personas. (negrillas por fuera del original)
(ii) Datos sensibles
Ahora bien, un aspecto de especial relevancia para el tratamiento de datos personales es el que hace relación con los datos sensibles. Por el tipo de información que contienen o que representan los datos sensibles, estos requieren una protección jurídica especial y diferente a la de los demás de datos personales. Es por esto que, como garantía del habeas data y el derecho a la intimidad, la Ley 1581 de 2012 establece que:
Se prohíbe el Tratamiento de datos sensibles, excepto cuando: a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización; b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización; c)El Tratamiento sea efectuado en el curso de las actividades legítimas y con
las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular; d) El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial; e) El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares. (Artículo 6 de la Ley 1581 de 2012)
Teniendo en cuenta lo dispuesto por tal artículo cabe resaltar que, por la importancia de los datos sensibles, el titular debe otorgar autorización previa y explícita con conocimiento claro sobre la finalidad y el alcance del uso que se le dará a los mismos. Es relevante hacer la precisión de que la finalidad, además de ser legítima, debe establecer con claridad el fin o fines específicos para los que se requieren y que hagan viable que se autorice su recolección. Así mismo, siempre que se solicite la autorización para tratar datos sensibles, se le debe informar al titular: (i) que este no está obligado a autorizar su tratamiento; y, (ii) cuáles de dichos datos objeto del tratamiento son sensibles. Así, por ejemplo, la política de datos personales de la aplicación Coronapp (que después será explicada), menciona qué datos son considerados como datos sensibles y le deja claro al usuario que el suministro de los mismos es facultativo y no obligatorio:
El suministro de datos sensibles (datos relativos a la salud, geolocalización y datos de menores de edad) es de carácter facultativo y no obligatorio por parte de los usuarios de CoronApp Colombia (Política de Tratamiento de Datos Personales Coronapp, 2020)
(iii) Deberes en cabeza de responsables y encargados del tratamiento de datos personales En razón a lo anteriormente mencionado, resulta necesario analizar los diversos deberes que existen frente a la protección de datos personales. La Ley de Protección de Datos Personales
establece dos tipos de deberes: (i) los que son propios de los responsables del tratamiento de datos;
y, (ii) los exigibles al encargado del tratamiento. Ahora bien, antes de analizar los deberes en específico, es necesario realizar determinadas precisiones. La mencionada Ley establece que, si una misma persona cumple el papel de responsable y encargado al mismo tiempo, esta deberá cumplir las obligaciones dispuestas para uno y para otro.
Por su parte, la Corte Constitucional, en Sentencia C-784 de 2011 estableció que se presumirá la responsabilidad solidaria entre el responsable y encargado del tratamiento de datos, cuando no se pueda identificar de forma clara la posición de uno y otro, cuando dicha determinación no exista o cuando si quiera sea difícil llegar a ella. Así, la Corte mencionó que dichos sujetos no podrían excusar sus deberes de actualización, rectificación y exclusión o supresión del dato, cuando alguna de esas situaciones se configure. La Corte llegó a tal determinación basándose en el Dictamen 1/2010 sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento» del Grupo de Trabajo Del Artículo 29 Sobre Protección De Datos1, (hoy conocido como el Data Protection Board) el cual dice lo siguiente:
Habida cuenta de estas circunstancias, cabe argumentar que la responsabilidad solidaria de todas las partes implicadas debe considerarse un medio para eliminar incertidumbres y, en consecuencia, sólo debe presumirse que existe tal responsabilidad solidaria cuando las partes implicadas no hayan establecido una asignación alternativa, clara e igualmente eficaz de las obligaciones y responsabilidades o cuando esta no emane claramente de las circunstancias de hecho. (Grupo Del Artículo 29 Sobre Protección De Datos, 2010)
Lo anterior reviste especial importancia, ya que, en el marco de la pandemia, era muy posible que existiera responsabilidad solidaria entre responsable y encargado debido a que podrían
1Grupo de Trabajo Del Artículo 29 Sobre Protección De Datos funcionó hasta el 25 de mayo de 2018 en razón a la entrada en vigencia de una nueva ley de protección de datos personales en la Unión Europea
configurarse una o más de las causales establecidas por la Corte Constitucional anteriormente nombradas. En la misma sentencia, la Corte explicó que la lista de deberes establecida en la Ley de Protección de Datos no es taxativa, sino meramente enunciativa para efectos de la protección del derecho Habeas Data al titular. Ahora bien, la lista sí resulta taxativa para efectos sancionatorios por parte de las autoridades competentes.
Finalmente, resulta importante mencionar el principio de responsabilidad demostrada, dispuesto en los artículos 26 y 27 del Decreto 1377 de 2013, hoy compilado el Decreto 1074 de 2015. Según este precepto, el responsable o encargado de tratamiento de datos debe estar en capacidad de probar que está cumpliendo efectivamente con las obligaciones que están a su cargo, a través de políticas internas efectivas. Ahora, la pertinencia y eficiencia de dichas medidas tomadas por parte de los responsables dependerá de cuatro factores en concreto: (i) la naturaleza del responsable; (ii) la naturaleza de los datos; (iii) el tipo del tratamiento de los datos; y (iv) los riesgos que el tratamiento podría generar sobre los derechos de los titulares.
A continuación, procedemos a señalar los deberes de los responsables del tratamiento de datos, establecidos en el artículo 17 de la Ley 1581 de 2012. Dichos deberes se pueden dividir en cuatro categorías: (i) respecto del titular del dato; (ii) respecto de la calidad, seguridad y confidencialidad de los datos; (iii) cuando el tratamiento se realiza a través de un encargado; y, (iv) respecto de la autoridad competente.
(i) Deberes respecto del titular
Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;
Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular; Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada; Informar a
solicitud del Titular sobre el uso dado a sus datos; Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley; Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos;
(ii) Deberes respecto de la calidad, seguridad y confidencialidad de los datos
Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento; Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada; Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento;
(iii) Deberes cuando el tratamiento se realiza a través de un encargado
Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible; Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley; Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;
Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo;
(iv) Deberes frente a la autoridad de protección de datos personales
Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares; Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
Por su parte, el artículo 18 de la misma Ley establece los deberes que están en cabeza de los encargados del tratamiento de datos personales. Estos, por su parte, pueden ser divididos en: (i) deberes respecto del titular del dato; (ii) deberes respecto de la calidad de los datos personales; (iii) deberes respecto de la seguridad y confidencialidad de los datos personales; y (iv) deberes respecto de la autoridad de protección de datos.
(i) Deberes respecto del titular del dato;
Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;
Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley; Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares;
(ii) Deberes respecto de la calidad de los datos personales;
Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley; Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo; Registrar en la base de datos las leyendas "reclamo en trámite" en la forma en que se regula en la presente ley; Insertar en la base de datos la leyenda "información en discusión judicial" una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal;
Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;
(iii) Deberes respecto de la seguridad y confidencialidad de los datos personales;
Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento; Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella;
(iv) Deberes respecto de la autoridad de protección de datos.
Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares;
Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
Ahora, el artículo 25 de la Ley 1581 de 2012 contiene una obligación adicional a partir de la cual se crea el Registro Nacional de Bases de Datos (en adelante “RNBD”). Este se define como: “El directorio público de las bases de datos sujetas a Tratamiento que operan en el país.” Por su parte, el Decreto 886 de 2014, hoy compilado en el Decreto 1074 de 2015, reglamenta el RNBD en donde se establece que los datos objeto de inscripción son aquellas bases de datos que contengan información de datos personales. En ese sentido, quienes se encuentran obligados a cumplir con el RNBD son aquellas personas jurídicas de naturaleza privada cuyos activos totales sean superiores a 100.000 UVT y personas jurídicas públicas que tengan bases de datos personales. Esta obligación de inscripción es una de las obligaciones transversales tanto para entidades públicas como privadas que le da cumplimiento al derecho al habeas data, pues los ciudadanos tienen la posibilidad de consultar en este registro la información mínima que se encuentra estipulada en el artículo 5 del Decreto 886 de 2014, para así facilitarles el ejercicio de sus derechos a conocer, actualizar, rectificar, suprimir el dato y/o revocar la autorización.
Finalmente, el último aspecto a tener en cuenta sobre la regulación relevante del tratamiento de datos es el aviso de privacidad. Como ya se mencionó anteriormente, la Ley 1581 de 2012 le establece a las partes una serie de deberes y obligaciones que deben cumplir. El aviso de privacidad se constituye en una obligación cuando no le sea posible al responsable poner a disposición del Titular las políticas de tratamiento de la información. En este caso y en desarrollo del deber de informar al titular, obliga a indicar la finalidad de la recolección, los derechos que tiene y los
mecanismos pertinentes para conocer la política del tratamiento de los datos (SIC, 2017). En aquellos casos en los que se involucren datos sensibles, el aviso de privacidad debe informarle al titular el carácter de sensible de esta información con la posibilidad de que el titular opte por brindarla o no.
La siguiente tabla contiene las principales conclusiones de lo visto en este subcapítulo:
ASUNTO CONCLUSIONES
Autorización por parte del titular
• El consentimiento debe ser previo, expreso e informado.
• Puede solicitarse de forma escrita, verbal, o a través de conductas inequívocas.
• No es necesaria la autorización en los casos establecidos por el artículo 10 de la Ley 1581 de 2012.
Datos sensibles
• Se prohíbe el tratamiento de datos sensibles excepto cuando se configuran las causales del artículo 6 de la Ley 1581 de 2012.
• El titular debe otorgar autorización previa y explicita, con conocimiento de la finalidad que se le dará a los datos sensibles.
• El titular no está obligado a otorgar el consentimiento y debe conocer de antemano que le están solicitando datos que son sensibles.
Deberes en cabeza de responsables y encargados de tratamiento de datos
personales
• Existirá responsabilidad solidaria entre el responsable y encargado del tratamiento de datos, cuando no se pueda identificar de forma clara la posición de uno y otro, cuando dicha determinación no exista o cuando si quiera sea difícil llegar a ella.
• Debe darse cumplimiento al principio de responsabilidad demostrada a través de políticas internas efectivas.
• La pertinencia y eficiencia de las medidas tomadas depende del caso en concreto, del nivel de riesgo y de los criterios establecidos en los Artículos 26 y 27 del decreto 1377 de 2013..
• El artículo 17 de la Ley 1581 de 2012 establece los deberes en cabeza de los responsables de tratamiento de datos personales.
• El artículo 18 de la Ley 1581 de 2012 establece los deberes en cabeza de los encargados de tratamiento de datos personales.
• Dichas listas de deberes sólo son taxativas para efectos sancionatorios.
d. Estudio de los lineamientos y normas relativas al manejo de datos sensibles en el marco de la pandemia
Ahora bien, este documento fue escrito en el contexto de uno de los hechos históricos más importantes de los últimos tiempos, consistente en el brote del coronavirus Covid-19. La historia que empezó en China en diciembre del 2019 se convirtió en una pandemia reconocida por la Organización Mundial de la Salud el 11 de marzo de 2020, luego de propagarse rápidamente por todo el mundo. En Colombia, el primer caso llegó el 6 de marzo de 2020 y el 12 del mismo mes, el Ministerio de Salud y Protección Social (el “MinSalud”) ya estaba expidiendo la Resolución 385 de 2020 (norma que será estudiada más adelante), mediante la cual se declaró la emergencia sanitaria a nivel nacional, que duraría más de dos años. En este contexto, debido a que la salud y vida de las personas estaba en grave riesgo, el Estado se vio en la obligación de tomar medidas urgentes para contener la pandemia y sus efectos (como decretar toques de queda, entre otros).
Como se verá más adelante, se tomaron importantes medidas que causaron variados efectos en todos los ámbitos de la vida y como consecuencia de ello, en el sistema normativo. Así, el derecho de la protección de los datos personales también se vio afectado, y tuvo que ser interpretado a la luz de las nuevas circunstancias.
Al mismo tiempo, el Estado y entidades privadas desarrollaron diversas aplicaciones diseñadas para recolectar información de salud de las personas para ayudar al Gobierno en la toma de decisiones de política pública, aplicaciones como Coronapp, Bogotá Cuidadora, Medellín me Cuida y Valle Corona, entre otras (Monsalve, 2021). Ahora, si bien las obligaciones y deberes que establece la Ley 1581 de 2012 son claros, a raíz de la pandemia se generó un alto grado de incertidumbre, ya que tanto entidades públicas como privadas tuvieron que adoptar nuevos protocolos y medidas de carácter urgente para poder mitigar y controlar la pandemia, apoyados en las ya mencionadas aplicaciones. Lo anterior no significa que al estar en el marco de una
emergencia sanitaria se puedan desconocer las obligaciones y lineamientos generales frente al tratamiento de datos personales, al contrario, deben ser respetados cabalmente.
Lo primero que debe tenerse de presente, es que la Ley 1581 de 2012 específicamente se refiere dentro de las excepciones a la obtención de autorización, al evento de una emergencia sanitaria.
Así, el numeral c del artículo 10 de esa Ley dispone que, en los casos de emergencia médica o sanitaria, no será necesaria la autorización del titular que trata el artículo 9 de la misma norma.
Ahora bien, la norma es clara al mencionar que, a pesar de configurarse dicha causal, el que trate los datos deberá cumplir con las demás disposiciones normativas que sean aplicables según sea el caso.
Frente a la excepción referida a los casos de emergencia médica o sanitaria, la Corte Constitucional ha mencionado que será aplicable
(...) sólo en los casos en que, dada la situación concreta de urgencia, no sea posible obtener la autorización del titular o resulte particularmente problemático gestionarla, dadas las circunstancias de apremio, riesgo o peligro para otros derechos fundamentales, ya sea del titular o de terceras personas (Corte Constitucional, sentencia T-143 de 2022).
Dicho pronunciamiento fue realizado en virtud del estudio de una tutela interpuesta por un grupo de personas, al estarse exigiendo para la entrada de ciudadanos a terminales aéreas el autodiagnóstico a través del aplicativo web Coronapp. Tal aplicación fue creada por el Gobierno Nacional de Colombia para ser descargada en el teléfono móvil de cualquier ciudadano, a través de ésta se podrían reportar síntomas relacionados con el Covid-19, acceder a información en tiempo real acerca del avance de la pandemia, e incluso detectar casos cercanos de personas contagiadas, a través de tecnologías de rastreo. Además, fue utilizado como requisito de entrada a distintos sitios de acceso al público (MinTic, 2020).
Ahora bien, después de haber iniciado la pandemia fueron expedidas diversas normas, regulaciones, conceptos y circulares, entre otros, que intentaron solucionar vacíos legales a partir de las nuevas situaciones que se presentaron, las cuales serán expuestas y analizadas en este subcapítulo. De manera general, las normas más relevantes que se expidieron en tiempos de pandemia, que se relacionan con lo hasta aquí analizado son:
• El Decreto 417 del 17 de marzo de 2020 del Presidente de la República mediante el cual se declaró el Estado de Emergencia Económica, Social y Ecológica en todo el territorio nacional (que posteriormente volvió a ser declarado). Dicha declaratoria sirvió de sustento para que el Presidente pudiera expedir decretos con fuerza de ley, conforme al artículo 215 de la Constitución Política.
• La Resolución 385 del 12 de marzo de 2020 del MinSalud que declaró la emergencia sanitaria en todo el territorio nacional, prorrogada en repetidas ocasiones. Esta resolución fue expedida con base en el Decreto 780 de 2016 de MinSalud, Único Reglamentario del Sector Salud, el cual señala que, en caso de emergencia sanitaria nacional, se pueden adoptar medidas de carácter urgente u otras precauciones, para limitar el brote de alguna enfermedad. De esta manera, tal resolución marcó el punto de inicio de las restricciones que fueron impuestas a lo largo de la pandemia.
• El Decreto 458 del 22 de marzo de 2020 del Ministerio de Hacienda y Crédito Público el cual dispuso en su artículo 3 que el Departamento Administrativo Nacional de Estadística (DANE) debería suministrar la información recolectada en censos, encuestas y registros administrativos a las entidades del Estado responsables de adoptar las medidas para el control y la mitigación de la pandemia, cuando estas lo solicitaran y solo para dicho fin.
Así mismo, el parágrafo 1 de tal artículo establece que tal norma es una excepción a la
reserva legal establecida en cabeza del DANE, pero que la misma se traslada a las entidades que reciban la información.
• El Decreto 457 del 22 de marzo de 2020 del Ministerio del Interior que estableció por primera vez el aislamiento preventivo obligatorio a partir del 25 de marzo de ese año, entre otras medidas. Dicha norma supuso un precedente histórico en el país y fue el comienzo de muchos retos y vacíos legales que empezaron a formarse.
• El Decreto 614 del 30 de abril de 2020 del MinTic, por medio del cual se modifica el Decreto Único Reglamentario del Sector de Tecnologías de Información y Comunicaciones, el cual estableció que Coronapp es la única aplicación móvil oficial del Gobierno Nacional, que permite conocer información acerca de la pandemia, además de realizar autodiagnósticos del estado de salud de las personas, entre otras acciones. Dicho decreto es claro en establecer que lo ahí contenido debe respetar el régimen de protección de datos personales.
• La Resolución 666 del 24 de abril de 2020, del MinSalud “por medio de la cual se adopta el protocolo general de bioseguridad para mitigar, controlar y realizar el adecuado manejo de la pandemia del Coronavirus COVID-19”, que estableció el protocolo general aplicable a todas las actividades económicas. Frente al manejo de datos, menciona de manera relevante que las empresas y entidades públicas tenían que estar enteradas del estado de salud de todos sus trabajadores, medir su temperatura e incluso reportar síntomas sospechosos en la aplicación Coronapp, entre otras medidas. Ahora bien, tal protocolo resalta que debe tratarse tal información de manera confidencial.
Dicha Resolución también había establecido como requisitos de entrada a sitios públicos la toma de temperatura, limpieza de zapatos, registro de clientes, proveedores y visitantes,
entre otros. Lo anterior supuso en su momento una obligación expresa por parte del Estado, para que particulares recaudaran y trataran información personal, muchas veces sensible, de los particulares.
• La Circular Externa 001 del 23 de marzo de 2020 de la SIC, la cual afirmó que
la ley colombiana autoriza a los operadores de telefonía y entidades privadas a suministrar al Departamento Nacional de Planeación (DNP) y demás entidades públicas los datos personales necesarios para los fines señalados en el asunto de esta circular y en las demás medidas que adopte el Gobierno Nacional con ocasión del Estado de Emergencia.
• Por su parte, se emitió la Circular Externa 008 del 18 de agosto de 2020 de la SIC la cual menciona de manera relevante que: (i) la normativa de protección de datos personales rige de manera plena en el contexto de la pandemia; (ii) no se puede recolectar información a través de medios engañosos o fraudulentos; (iii) únicamente se deben recoger los datos pertinentes y adecuados frente a la finalidad respectiva; (iv) deben informarse las finalidades del tratamiento y justificar la necesidad de recolección de la información; (v) el uso de los datos está limitado al fin respectivo; (vi) puede ser necesario un nuevo registro ante el RNBD; y, (vii) los datos sensibles gozan de una protección especial, por lo que deben ser asegurados a través de distintas medidas idóneas.
Es relevante mencionar que la mayoría de las disposiciones citadas anteriormente ya perdieron vigencia, teniendo en cuenta que la emergencia sanitaria en Colombia terminó el 20 de junio de 2022. Sin embargo, entidades como la Red Iberoamericana de Protección de Datos (RIPD) han establecido que frente al Covid-19, los responsables y los encargados del tratamiento de datos personales deben cumplir con las disposiciones jurídicas aplicables a ello. En este sentido, el documento Recomendaciones de la Red Iberoamericana de Protección de Datos para el Tratamiento de Datos Personales sobre la Salud en Tiempos de Pandemia expedido en el año 2021
estableció determinados puntos que pueden servir para este trabajo. De forma relevante, mencionó que el tratamiento de datos personales deberá estar alineado con: (i) tener certeza de que se están tratando datos personales; (ii) tener cuidado con el cumplimiento de las normas relativas a los datos sensibles; (iii) tener en cuenta quienes pueden llegar a ser responsables y encargados legítimos del tratamiento de datos de salud, como los establecimientos sanitarios y los profesionales vinculados; (iv) tener en cuenta que el tratamiento debe hacerse con el consentimiento del titular, excepto por las excepciones ya mencionadas; (v) dar cumplimiento a los demás principios generales del régimen de protección de datos, como el de finalidad, seguridad, entre otros; (vi) informar al personal responsable del tratamiento de los datos acerca del régimen aplicable, así como estipular contractualmente las condiciones para el tratamiento; (vii) dar cumplimiento a los derechos de los titulares, como el de información, revocación, entre otros; y, (viii) categorizar los datos relevantes y solamente recolectar los datos personales mínimos necesarios para lograr el fin propuesto (RIPD, 2021).
Por su parte, dicho documento también menciona que los responsables y encargados del tratamiento de datos personales deben: (i) contar con las medidas que permitan la seguridad de la información y garantizar su confidencialidad; (ii) cuando existan casos de Covid-19 en el trabajo, garantizar que la información sea exacta, completa, pertinente y actualizada, y no se individualice a ningún trabajador de forma específica, sin perjuicio de que las empresas sí pueden tratar dicha información para garantizar la salud de su personal; (iii) limitar el periodo del tratamiento teniendo en cuenta que en su mayoría son datos sensibles; (iv) notificar cualquier vulneración de información al titular y evitar la difusión pública de datos personales, sobre todo de casos confirmados o sospechosos de Covid-19, o de niñas, niños y adolescentes; y, (v) evitar que el tratamiento de la información genere discriminación o conlleve un riesgo en el titular.
La siguiente tabla resume las disposiciones que fueron expedidas en el desarrollo de la pandemia frente al tratamiento de datos personales:
DISPOSICIÓN CONTENIDO
Decreto 417 del 2020 del
Presidente de la República Declaró el Estado de Emergencia Económica, Social, y Ecológica.
Resolución 385 del 2020 del
MinSalud Declaró la emergencia sanitaria en todo el territorio nacional.
Decreto 458 del 2020 del Ministerio de Hacienda y
Crédito Público
Dispuso que el DANE debía compartir determinada información con otras entidades públicas.
Decreto 457 del 2020 del
Ministerio del Interior Estableció el aislamiento preventivo obligatorio.
Decreto 614 del 2020 del MinTic
Estableció que Coronapp es la única aplicación oficial del Gobierno Nacional para el control de la pandemia.
Resolución 666 del 2020 del MinSalud
Estableció el protocolo general de bioseguridad aplicable a todas las actividades económicas.
Circular Externa 001 del 2020 de la SIC
Expresó que se permite que operadores de telefonía y otros privados compartan información a entidades públicas para el control de la pandemia.
Circular Externa 008 del 2020 de la SIC
Estableció ciertos lineamientos para el tratamiento de datos personales en desarrollo de la contención de la pandemia.
Recomendaciones de la RIPD para el Tratamiento
de Datos Personales sobre la Salud en Tiempos de
Pandemia
Estableció ciertos lineamientos para el tratamiento de datos personales en desarrollo de la contención de la pandemia y en especial frente a deberes que deben cumplir los encargados y responsables de tratamiento de datos personales.
SEGUNDO CAPÍTULO: LA PREVALENCIA DEL INTERÉS GENERAL SOBRE EL PARTICULAR, LAS POTESTADES PARA TRATAR INFORMACIÓN POR PARTE DEL ESTADO Y LAS OBLIGACIONES QUE SE DERIVAN DE ELLO EN CABEZA DE LAS ENTIDADES PRIVADAS
Luego de haber comprendido el estudio normativo de los derechos y obligaciones previstos en el Régimen de Protección de Datos Personales en Colombia, resulta importante remitirse a un análisis
normativo de las disposiciones que legitiman el actuar del Estado frente al tratamiento de datos personales y las que obligan a particulares a tratar determinada información. Como ya se mencionó, dichas normas dejan en evidencia la tensión existente entre el interés general y el interés particular en el contexto del tratamiento de datos personales durante la pandemia causada por el Covid-19.
a. Análisis de las potestades del Estado frente a los particulares, en especial para la recolección de datos personales
Tal como se mencionó en el planteamiento del problema jurídico, hay una serie de disposiciones que legitiman la recopilación de información a causa de la pandemia, bajo las cuales el Estado y entidades privadas han encontrado fundamento para tratar dichos datos. Algunas de dichas normas son los artículos 1°, 2°, 44, 45, 49, 95 y 189-4 de la Constitución Política, así como la Ley Estatutaria 1751 de 2015 en sus artículos 5 y 10, entre otras disposiciones, como se expondrá a continuación.
(i) El deber de mantener el orden público y la prevalencia del interés general sobre el particular
En primera medida, es importante mencionar que el artículo 1° de la Constitución Política Colombiana establece la prevalencia del interés general sobre el particular:
Colombia es un Estado social de derecho, organizado en forma de República unitaria, descentralizada, con autonomía de sus entidades territoriales, democrática, participativa y pluralista, fundada en el respeto de la dignidad humana, en el trabajo y la solidaridad de las personas que la integran y en la prevalencia del interés general.
Al respecto, la Corte Constitucional ha dicho que:
En cuanto a la cláusula de prevalencia del interés general contenida en el artículo 1º de la Constitución, esta Corporación ha rechazado su invocación a priori como razón de Estado para justificar una conducta irracional, la protección injustificada de un interés oculto o la vulneración de los derechos de las personas. Coherente con dicha posición, ha afirmado que la existencia de un interés general debe verificarse en cada caso concreto. Aun así, a pesar de que efectivamente exista un interés general real que motive una determinada acción del Estado, la máxima según la cual este interés prevalece sobre el particular no es absoluta, ni susceptible de aplicación inmediata. Debe entenderse condicionada a que la invocación de tal interés esté realmente dirigida a la obtención de los objetivos constitucionales y, a la vez, mediatizada por los principios de razonabilidad y proporcionalidad, en aras de conciliarla con los intereses particulares, principalmente, con los derechos fundamentales. (Corte Constitucional Sentencia C-053 de 2001)
En tal sentido, también ha mencionado dicha corporación que:
Según la jurisprudencia, en caso de presentarse un conflicto de esta índole, el interés general en cuestión debe ser armonizado con el derecho o interés individual con el que choca, a fin de encontrar una solución que, a la luz de las particularidades del caso concreto, maximice ambos extremos de la tensión (Corte Constitucional Sentencia C-539 de 1999)
Teniendo en cuenta lo anterior, no es posible legitimar la actuación del Estado en el caso que nos ocupa basándose únicamente en la prevalencia del interés general, ya que, como menciona la Corte, hay que analizar cada caso en particular.
Siguiendo el análisis propuesto, el numeral 4 del artículo 189 de nuestra Constitución establece en cabeza del Presidente de la República el deber de conservar el orden público, concepto que ha sido definido por la Corte Constitucional como el:
Conjunto de condiciones de seguridad, tranquilidad y salubridad que permiten la prosperidad general y el goce de los derechos humanos, debe completarse con el medio ambiente sano, como
