El consentimiento como registro en el uso de datos personales en Colombia

Texto completo

(1)

(2)

(3)

(4) El consentimiento como requisito en el uso de datos personales en Colombia. María José Castaño Dávila. Director: Lorenzo Villegas Carrasquilla. Universidad de los Andes Facultad de Derecho Investigación Dirigida Junio de 2011.

(5) Índice. Tema. Página. Introducción___________________________________________________________1 Concepto de datos personales……………………………………...…….........................2 Riesgos por uso indebido de los datos………………………………………….............. 3 Protección de datos personales………………………………………….……………….4 Lineamiento histórico internacional……………………………………...…...................5 El Hábeas Data en Colombia………………………………………………....................7. Capitulo uno: El consentimiento y su relación con la clasificación de los datos personales e información. 1. El consentimiento…………………………………………………..………………..11 1.1. Las formas de consentimiento……………..…………..…………………………..14 1.1.1 El consentimiento expreso………………………………..………………..…… 14 1.1.2 El consentimiento tácito……………………………………………………...…..14 1.1.3 El consentimiento presunto………………………………………………………14 2. Clasificación de los datos personales_____________________________________ 2.1 Dato personal……………………………………………………….........................14 2.1.1. Dato público……………………………………………………………………..15 2.1.2. Dato semiprivado…………………………………………………......................15 2.1.3. Dato privado………………………………………………………………..……16 2.4. Sensibles y no sensibles…………………………………………...……………….16 3. La clasificación de la información. 17. 3.1. Información pública…………………………………………………………..........18 3.2.Información privada………………………………………………………………..18 3.3.Información semiprivada…………………………………………………...............18 3.4Reservada…………………………………………………………………………...18. Capitulo dos: El desarrollo del consentimiento en el contexto jurídico colombiano 4.1.1.Los principios desarrollados por la jurisprudencia………………………………21 a) El principio de utilidad…………………………………………………………22.

(6) b) titularidad del dato………………………………………………………..........22 c) El derecho de accesos…………………………………………………………..22 d) La relevancia y finalidad del dato………………………………………………22 e) El derecho al olvido o caducidad del dato………………………………...........22 f) La exactitud y veracidad de la información……………………………….........22 g) No discriminación y datos sensibles……………………………………………22 h) De las prácticas indebidas o no legítimas………………………………………22 i) La autorización…………………………………………………………………22. 4.2. Los principios establecidos por la ley estatutaria 1266 de 2008 a) Principio de veracidad o calidad de los registros o datos………………….......23 b) Principio de finalidad…………………………………………………………...23 c) Principio de circulación restringida…………………………………………….24 d) Principio de temporalidad de la información……………………………….......24 e) Principio de interpretación integral de derechos constitucionales…………..….24 f) Principio de seguridad……………………………………………………….…24 g) Principio de confidencialidad…………………………………………………..24. 4.3.Consideraciones jurisprudenciales sobre el principio de autorización y los tipos de consentimiento……………………………………………………………………26 5. El Proyecto de ley 046 de 2010 Cámara- 184 de 2010 Senado “Por la cual se dictan disposiciones generales para la protección de datos personales”…..…….29 5.1. La limitación del consentimiento expreso ……………………………………….29 6. Conclusión …………………………………………………………………………31.

(7) 1. Introducción El desarrollo tecnológico de las últimas décadas y el valor que la economía le está otorgando al conocimiento, han hecho que la información sea considerada cada vez más como un elemento esencial de poder. Por esta razón, los datos personales son considerados elementos necesarios para el desarrollo de cualquier sociedad, pues se han convertido en materia prima para los negocios y las industrias. Como el uso de los datos personales puede llegar a vincular algunos derechos, su debida protección se ha convertido en un asunto de gran relevancia en las agendas legislativas de la mayoría de países en América Latina1. Resulta difícil dudar que las nuevas tecnologías y los tráficos de información bien utilizados sean una herramienta que fomenten el comercio justo, la cultura y el desarrollo social, pero también, su uso inapropiado se ha convertido en un peligro para las libertades y los derechos de las personas. Por ello, durante los últimos años, los países se han visto obligados a crear leyes protectoras que buscan garantizarle a los individuos el control sobre sus datos personales, tanto en su uso como en su finalidad, intentando así reglamentar la materia sobre protección de datos, de tal manera, que los derechos fundamentales no se perjudiquen por el manejo indebido y arbitrario de la información.. En el presente trabajo se analizaran las formas de consentimiento como requisito en la protección de datos en Colombia, con el fin de mostrar que la validez de las diferentes figuras. En primer lugar, se hará una explicación general con su lineamiento histórico de lo que son los datos personales, el habeas data y la protección de datos. Una vez se entiendan estos conceptos, se entrará a analizar las formas de consentimiento, la clasificación de los datos y de la información, para mostrar como gracias a estas clasificaciones se establecen un esquema que responde al nivel de protección requerido para cada dato. Seguidamente, revisaremos tres contextos colombianos donde han desarrollado el tema del consentimiento para poder mostrar la validez de las formas de estos en Colombia. Por último, se explicará. 1. Véase Perú Ley 26031 de 1994), México (Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (2002), Chile (Ley N°19.628 de 1999), Argentina (Ley Nº25.326 de 2000)..

(8) 2 que el Proyecto de Ley 1266 de 2008, que está para aprobación de la Corte Constitucional, es inadecuado para regular la protección de datos. Un dato personal hace referencia a cualquier información que se refiera a una persona2.En otras palabras, los datos personales son aquellos que hacen referencia a cualquier tipo de información que aluda algún aspecto de un individuo. Estos pueden ser datos de carácter laboral, sobre la orientación sexual, información financiera, información médica, información académica, información patrimonial, datos biográficos, datos familiares, información ideológica, entre muchos otros. Para que podamos hablar de datos personales, la información debe ser relativa a una persona y que gracias a dicha información se pueda identificar de forma directa o que pueda ser identificable a través ella al sujeto. Es importante destacar que es diferente cuando nos referimos a información, pues ella está conformada por un conjunto de datos que fueron objeto de un tratamiento3.. Es indudable el hecho de que el progreso científico y tecnológico ha traído consigo una facilidad enorme de reunir, almacenar y transmitir todo tipo de información4. Actualmente existe una capacidad virtualmente ilimitada de almacenamiento de datos en las computadoras y los sistemas informáticos, así como la posibilidad de sistematizar y establecer correlaciones entre dicha información, de recuperarla y difundirla ampliamente con facilidad y sin control5. La facilidad de los diferentes tipos de tratamientos de la información permite que, tanto poderes públicos como poderes privados, accedan a conocer información personal que podría llegar a afectar varios derechos. Autores como Pablo Lucas Murillo de la Cueva han indicado que el peligro potencial y real al que se enfrentan las personas es no sólo el volumen de información, sino también la posibilidad de obtener 2. Nelson Remolina-Angarita, ¿Tiene Colombia un nivel adecuado de protección de datos personales a la luz del estándar europeo?, 16 International Law, Revista Colombiana de Derecho Internacional, 489-524 (2010).”Un dato personal es cualquier información que se refiera a una persona. A título enunciativo, estos datos pueden hacer referencia a los siguientes aspectos de un ser humano: familia, transacciones financieras, salud, solvencia económica, creencias religiosas, procesos y condenas criminales, origen racial y étnico, profesión, títulos y grados académicos, comportamiento sexual, hobbies, salarios, ideas políticas, etc.” 3 DEL PESO NAVARRO, Emilio. La protección de Datos y la Privacidad en Internet, en informática y derecho N33. Internet y comercio electrónico. UNED. Centro Regional de Extremadura. Paraguay, 2000; pág. 64. 4 LUCAS MURILLO DE LA CUEVA, Pablo: “La construcción a la autodeterminación informática” en Revista de estudios Políticos N104 abril-junio de 1999, pág. 37 5 EGUIGUREN PRAELI, José Francisco. La liberta de expresión e información y el derecho a la intimidad personales: Su desarrollo actual y sus conflictos. Autodeterminación informática y protección de datos personales. Palestra Editores. Lima 2004. Pág. 143..

(9) 3 nuevos elementos informáticos que afecten a los individuos (mediante el tratamiento de estos datos). Explica, que esos procedimientos permiten lograr el conocimiento de aspectos de la vida personal de los sujetos que son calificables como íntimos, además de que existe el riesgo de que a partir de esa información se elaboren perfiles de las personalidades de cada sujeto, en función de los cuales las entidades toman decisiones sobre los derechos y las expectativas de las personas6. Por ello, la protección de datos se origina, entre muchas otras razones, debido a la arbitrariedad con la que se pueden tomar algunas decisiones basadas en datos registrados en sistemas manuales y automatizados de tratamiento de la información. Ello constituye una amenaza que incluso constriñe a las personas a no ejercer sus derechos por el temor a que esas actuaciones queden registradas en un sistema de datos personales y, por ende, que estos datos sean susceptibles de ser conocidos y utilizados en su contra por las autoridades públicas, por los poderes privados o por otros terceros que estén en posición de etiquetar socialmente a las personas7. El doctor Nelson Remolina explicó que la peligrosidad del uso inadecuado de las tecnologías para algunos derechos humanos se pone de manifiesto a través de las siguientes circunstancias: (1)La publicación de datos que por naturaleza pertenecen a la esfera íntima de la persona o que pueden ser tomados como elementos de prácticas discriminatorias; (2) la publicación de información errónea, inexacta, incompleta, desactualizada, parcializada, etc.; (3) la potencialidad de la informática para recopilar y almacenar masivamente datos de cualquier naturaleza sobre personas y la facilidad de acceder a esa información; (4) la manipulación y/o “cruce” de los datos almacenados que permiten crear perfiles virtuales de las personas (conocer sus pautas de comportamiento, sus tendencias políticas, religiosas, sexuales, entre otras) que pueden ser valoradas bien o mal, para las diversas actividades públicas o privada; (5) el riesgo que la información sea conocida o manipulada por grupos ilegales para diferentes fines (terrorismo, chantajes, saboteos, discriminaciones, etc) y (6) la utilización de la información para fines no permitidos por la ley o no autorizados por el titular del dato8. Los casos anteriormente mencionados son las circunstancias en las que es 6. Esto puede ir desde el préstamo de un crédito, hasta una oferta laboral. ARRIETA Raúl y REUSSER Carlos. Chile y la protección de datos personales ¿Están en crisis nuestros derechos fundamentales? Centro de estudios de derecho informático de la Universidad de Chile. Documento disponible en página web: www.expansiva.cl/media/publicaciones/libros/pdf/7.pdf 8 REMOLINA ANGARITA, Nelson. Centrales de información, habeas data y protección de datos personales. Derecho de Internet & Telecomunicaciones. Legis Editores. Primera Edición 2008.(Pág.385) 7.

(10) 4 posible que se dé un uso inadecuado a los datos e informaciones personales, lo que conlleva la posible violación de los derechos de los sujetos. Por su parte, la Corte Constitucional en la Sentencia T-552 de 1997, ha establecido que para que exista una vulneración del derecho al habeas data, la información contenida en el archivo debe (i) haber sido recogida de manera ilegal, sin el consentimiento del titular del dato, o (ii) ser errónea, o (iii) recaer sobre aspectos íntimos de la vida de su titular no susceptibles a ser conocidos públicamente9. Esta afirmación muestra que la Corte considera que no obtener el consentimiento del titular implica que por la forma en que ésta fue recolectada es ilegal. Otro elemento importante que se desprende de la cita es que, a pesar de la necesidad del consentimiento, la Corte no especifica qué forma de consentimiento puede ser válida pero, en cambio, sí especifica que para que la información constituya una vulneración, debe ser de carácter íntimo. El término protección de datos hace referencia al “conjunto de normas y principios que regulan el tratamiento de datos personales en todas sus etapas (recolección, almacenamiento, circulación, publicación y transferencia nacional e internacional)”10. Es importante resaltar, como lo hace el Doctor Nelson Remolina, que la protección de datos personales es un “fenómeno que prácticamente está latente en todos los países del mundo” y que su circulación trasfronteriza es muy relevante para el comercio electrónico y diversas actividades que necesitan de información para su desarrollo11. Esto muestra la necesidad internacional de usar datos personales para el desarrollo de diversas actividades, necesidad que cada vez es más evidente gracias al mundo informático que se nutre día a día de nuestra información. Una definición que es útil para el texto es la de Ana Garrina, quien afirmó: “Entendemos por protección de datos personales el estatuto jurídico destinado a definir las condiciones sobre las cuales terceros podrán hacer uso de datos que conciernen a una persona. Ello principalmente porque un mal uso de dichos datos puede afectar su entorno personal, social o profesional desde las esferas más públicas de su persona y hasta los límites de su intimidad” 12. Lo que resaltamos es que la protección de datos no persigue. 9. Corte Constitucional T-552 de 1997, 30 de octubre. M.P. Vladimiro Naranjo Mesa Expediente T-137.224 REMOLINA ANGARITA, Nelson. Centrales de información, habeas data y protección de datos personales. Derecho de Internet & Telecomunicaciones. Legis Editores. Primera Edición 2008.(Pág.387) 11 Ibídem.(Pág.387) 12 GARRINGA, Ana. Tratamiento de datos personales y derechos fundamentales. Dykinson, Madrid, 2004. Pág. 29-30. 10.

(11) 5 retirar del conocimiento público la información de una persona, sino que busca dotarla de los medios necesarios para controlar quién, cómo, dónde y con qué motivo conoce cualquier información acerca de ella, independientemente de si ésta es calificable como íntima o no, pública o secreta. La protección de datos esta encaminada a proteger a las personas para que sus datos personales no se conviertan en un enemigo injustamente, por ello el fin de la protección es imponer deberes y obligaciones en cabeza de los terceros regulando así el uso de los datos y garantizándole a los titulares de la información que con el uso de ésta no se van a violentar sus derechos.. El estudio y la adopción de las primeras legislaciones de protección de datos inicialmente se dieron en Europa desde 196713. Las primeras aproximaciones a este derecho vinieron del reconocimiento del derecho a la intimidad personal y familiar que, a lo largo de la segunda mitad de siglo XX, terminó encerrando un reconocimiento implícito de lo que después se llamaría el “derecho fundamental de la protección de datos”14. Así, el artículo 8 del Convenio para la protección de los Derechos Humanos y Libertades Fundamentales, firmado en Roma el 14 de noviembre de 1950, reconoció por primera vez el derecho de la persona al respeto de su vida privada y familiar, de su domicilio y correspondencia. Igualmente, estos derechos se reconocieron de manera explicita en los artículos 17 y 19 del Pacto de Derechos Civiles y Políticos firmado en Nueva York, adoptado por la Asamblea General de las Naciones Unidas mediante la Resolución 2200A (XXI), de 16 de diciembre de 1966, y que entró en vigor el 23 de marzo de 1976.. Gracias al desarrollo de nuevas tecnologías, el Consejo de Europa en el año 1967 llevó a cabo la Comisión para el estudio de las tecnologías de la información y su incidencia en los derechos de las personas (en especial el derecho de la intimidad). Como resultado, se produjo la “Resolución 509” de la Asamblea del Consejo de Europa sobre Derechos Humanos y los Nuevos Logros Científicos y Técnicos, la cual es considerada como el. 13. PUENTES ESCOBAR, Agustín. Breve descripción de la evolución histórica y del marco normativo internacional del derecho fundamental a la protección de datos. Protección de datos de carácter personal en Iberoamérica (II Encuentro Iberoamericano de Protección de Datos, La Antigua –Guatemala, 2-6 de junio 2003) Valencia, España. 2005. Pág.39 14 El artículo 12 de la Declaración de Derechos del Hombre reconocía como derecho el no ser objeto de injerencias arbitrarias en su vida privada y el artículo 16 de la Declaración reconocía el derecho a no ser molestado a causa de propias opiniones, como parte del derecho fundamental de la libre expresión..

(12) 6 origen de la protección de datos15. Los primeros desarrollos legislativos se dieron a principios de los años setenta, cuando el Consejo de Europa adoptó las Resoluciones 22/73 y 29/74, las cuales planteaban la necesidad de proteger la esfera de la vida privada respecto a los bancos de datos electrónicos de los sectores privados y públicos. A su vez, en los años noventa se aprobó la Resolución 45/95 de la Asamblea General de la Naciones Unidas, que desarrolla los principios rectores para la reglamentación de ficheros computarizados de datos personales. Dicha Resolución se convierte en un texto relevante, pues supone la adopción y la aprobación del primer texto en materia de protección de datos a nivel mundial16. En el ámbito de la Unión Europea, aparece la Directiva 95/46/CE17, la cual regula la materia en toda su extensión y su adopción implica la homogenización de las normas de protección de datos para todos los Estados Miembros18. Partiendo de los instrumentos mencionados, llegó un periodo de transposición que trajo la iniciación de una nueva etapa en el marco internacional, pues llevaba consigo el establecimiento de un régimen uniforme de la protección de datos a nivel europeo. La “uniformización” tuvo como resultado la limitación en la transferencia internacional de datos de carácter personal, ya que al apoderarse de determinados estándares de protección se limitó la capacidad de acceso a los estados no miembros de la Unión.. Estos instrumentos europeos tenían por objeto el establecimiento de una regulación básica de protección de datos que garantizara su debida defensa y el libre flujo de la información entre los Estados participantes19. Lo primero que se debe mencionar es que estas disposiciones han tratado de proteger a la persona en sí y no al dato como tal. Las disposiciones internacionales buscaban incorporar principios con aras de proteger la dignidad humana, la intimidad y los datos personales en el contexto de la sociedad de 15. La protección de datos personales en México: una propuesta para deliberar. Instituto Federal de Acceso a la Información Pública. Julio de 2008 Disponible en: www.ieaip.org.mx/biblioteca_virtual/datos_personales/5.pdf 16 PUENTES ESCOBAR, Agustín. Breve descripción de la evolución histórica y del marco normativo internacional del derecho fundamental a la protección de datos. Protección de datos de carácter personal en Iberoamérica (II Encuentro Iberoamericano de Protección de Datos, La Antigua –Guatemala, 2-6 de junio 2003) Valencia, España. 2005. Pág.43 17 Es relevante resaltar que este texto de protección de datos de carácter personal tiene como fundamento, no la protección de un derecho fundamental, sino la adopción de un marco comunitario que garantizarle la libre circulación, pues que los diferentes niveles de protección de los derechos y las libertades de las personas puede crear diferencias que obstaculicen actividades económicas, falseara la competencia, etc. ( Exposición de motivos 7 y 8 de la Directiva 95/46/CE) 18 PUENTES ESCOBAR, Agustín. Breve descripción de la evolución histórica y del marco normativo internacional del derecho fundamental a la protección de datos. Protección de datos de carácter personal en Iberoamérica (II Encuentro Iberoamericano de Protección de Datos, La Antigua –Guatemala, 2-6 de junio 2003) Valencia, España. 2005. Pág.43 19 Ibídem Pág. 51.

(13) 7 información20. Dentro de sus diferencias se destaca que éstos tienen no sólo grados de aplicación diferente sino diversos grados de obligatoriedad. Gracias a estas diversas disposiciones, varias legislaciones se han inspirado en los mencionados marcos para el desarrollo de principios, deberes, derechos y obligaciones en el ámbito de la protección de datos, con el fin de garantizarles a sus ciudadanos que sus datos personales sean tratados adecuadamente y que de esta forma no se les vulneren sus derechos fundamentales. Esto ha permitido que los titulares de los datos le exijan tanto al Estado como a los particulares quien, cómo y para qué se usan sus datos personales. Se deben destacar los principios de proporcionalidad, tratamiento leal y lícito, finalidad y exactitud, desarrollados internacionalmente por los instrumentos internacionales, pues en ellos se inspiró nuestra Corte Constitucional para el desarrollo de la protección de datos nacional. En nuestro país, el derecho del habeas data está contenido en el artículo 15 de nuestra Constitución Política de 1991 cuando dicta que: Todas las personas (…) tienen de igual manera el derecho a conocer, actualizar u rectificar las informaciones que se hayan recogido sobre ellas en bases de datos y en archivos de entidades públicas y privadas (…) En la recolección, tratamiento y circulación de datos respetarán la libertad y las demás garantías consagradas en la Constitución”. Debemos enfatizar que el artículo mencionado en su primer inciso hace alusión al derecho de la intimidad personal, familiar, y al buen nombre. Por otro lado, la segunda parte hace referencia al derecho al habeas data, que así no lo nombre explícitamente, se considera integrado al mismo. La Corte Constitucional en su Sentencia T-310 de 2003, ha explicado que el habeas data es un derecho fundamental en sí mismo y es una forma de garantizar la protección de otros derechos fundamentales21. El derecho del habeas data se consideraba ligado a la intimidad, buen nombre y otros derechos, pero se desarrolló de tal forma que se diferenció claramente de los mismos. También es considerado como una acción en virtud de la cual el juez dicta, a petición del accionante, una orden para actualizar, rectificar o destruir datos e informaciones que se. 20. Hace referencia a aquella sociedad en que las tecnologías fácilmente permiten la creación, distribución y manipulación de la información, y que estas tecnologías juegan un papel importante en las actividades sociales, culturales y económicas. Véase: Internet, La necesaria protección del menor en la Red. Disponible en: http://orlandosuarez.net/2011/03/ 21 REMOLINA ANGARITA, Nelson. Protección de datos de carácter personal en Iberoamérica (II Encuentro Iberoamericano de Protección de Datos, La Antigua - Guatemala 2-6 de junio de 2003. Director, José Luis Piñar Mañas; coordinadores, Álvaro Canales Gil, Ma. José Blanco Antón, Mercedes Ortuño Sierra. Valencia, España.2005. Pág.165.

(14) 8 encuentren en registros, archivos o bancos de datos públicos o privados y que afecten sus derechos22. Este tipo de definiciones se quedan cortas frente a la magnitud de este derecho, pues como se mencionó, el habeas data tiene dos caras: por una parte es el derecho de conocer, actualizar y rectificar información y por otro lado es una acción eficaz frente al poder informático de bancos de datos públicos y privados. Posteriormente de la Constitución del 91, se hizo evidente la necesidad de regular la protección de datos y con ella el habeas data, y fue gracias a la Corte Constitucional que se determinó el alcance y los estándares de protección de este derecho. La Sentencia T-444 de 1992 explicó que con este derecho se busca proteger la intimidad de las personas ante la creciente utilización de información personal por parte de la administración pública, de entidades financieras, educativas, profesionales u otras organizaciones privadas. Señala también que la importancia del habeas data es que los sujetos no pierdan el control sobre la propia información, así como sobre su uso. Hablan de un derecho que establece una doble línea de salvaguarda de los particulares “(…) por una parte, incorpora obligaciones exigibles a entidades públicas y privadas que recopilan y tratan información, tales como de regirse por principios de lealtad, legitimidad con relación a la finalidad para lo que se recolectarán los datos. Y por otra parte, consiste en el derecho que tiene toda persona a exigir del Estado el respeto a derechos como el de la intimidad personal y familiar y a su buen nombre”23. Aquí podemos ver como la Corte Constitucional muestra la doble cara que mencionábamos, pues habla del habeas data como acción cuando afirma que hay “obligaciones exigibles” en cabeza de terceros, y de otro lado habla de los derechos del titular. Otro elemento destacable de este extracto es cómo la Corte se ha inspirado en las disposiciones internacionales para esgrimir sus lineamientos, desde su razonamiento frente a la razón de ser de la protección de datos hasta los principios que menciona en ésta. Después de casi 20 años de vigencia de la Constitución del 91, el Congreso de la República finalmente reguló el habeas data a través de la Ley Estatutaria 1266 del 31 de diciembre de 2008, “Por la cual se dicta disposiciones generales del habeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia 22. CAMARGO, Pedro Pablo. El hábeas data, derecho a la intimidad. Contenido y alcance del hábeas data. Leyer. Pág.56 Corte Constitucional Sentencia No. T-444 de 1992 del 7 de julio de 1992 Magistrado Ponente: Alejandro Martínez Caballero. Expediente Nº T-1.109. 23.

(15) 9 comercial de servicios y la proveniente de países y se dictan otras disposiciones”. Esta ley fue revisada por la Sentencia C-1011 de 200824, que criticó el hecho de que ésta se haya limitado a regular el dato financiero25, crediticio, comercial y de servicios26. Por esta razón, a pesar de ser una Ley Estatutaria, es considerada de aplicación sectorial, porque no regula el derecho de habeas data para todo tipo de información personal. Como se reconocen las limitaciones de la Ley, la Corte señaló que los demás datos diferentes al financiero, crediticio, comercial y de servicios se verían cobijados por las otras garantías constitucionales tales como la tutela y el derecho de petición27. Ahora bien, una vez explicado el contexto general de la protección de datos y del habeas data, se puede empezar a analizar el tema de este trabajo: El consentimiento como requisito en el uso de datos personales en Colombia. Dentro de los lineamientos jurídicos del tratamiento de datos, se ha establecido un requisito necesario para el uso de los datos: el principio de autorización o consentimiento, que implica que el titular del dato manifieste que consiente que un tercero use alguno de sus datos personales. La Corte Constitucional en su Sentencia T- 307 de 1999, ha establecido que como principio de fundamental de la circulación de datos personales está “la obligación de los bancos de datos de obtener previamente la autorización del titular del mismo para que ellos sean incluido en el banco de datos; pues de lo contrario, deben ser borrados inmediatamente”. Por ello, se considera lícita únicamente la recolección de datos que obtuvo la autorización de la persona28.. El principio de autorización es la base fundamental de la protección de datos. Este requisito, que fue establecido por la Corte Constitucional, es la única manera de asegurarle a la persona su derecho al habeas data, pues sólo solicitando el consentimiento tendrá la persona conocimiento de que sus datos están siendo objeto de 24. Corte Constitucional C-1011 de 2008. Expediente PE-029, revisión de constitucionalidad del Proyecto de Ley Estatutaria No. 27/06 Senado – 221/07 Cámara (Acum. 05/06 Senado M.P: Jaime Córdoba Triviño. 25 la Corte aclaró que el proyecto de ley “constituye una regulación parcial del derecho fundamental al hábeas data, concentrada en las reglas para la administración de datos personales de carácter financiero destinados al cálculo del riesgo crediticio”, con exclusión de otras modalidades de administración de datos personales 26 Véase Oficio 09037876 del 12 de junio de 2009 de la Superintendencia de Industria y Comercio. 27 Además de estos medios también es posible i) Consulta ante el operador, la fuente o el usuario ii) Reclamos ante el operador, la fuente o el usuario. iii) Quejas ante las superintendencias (Superintendencia de industria y Comercio y Superintendencia Financiera). 28 REMOLINA ANGARITA, Nelson Data protection: Panorama nacional e internacional. Pág. 146.

(16) 10 tratamiento y podrá así ejercer el derecho de rectificarlos y actualizarlos. Pero como el principio de autorización no es absoluto29, es relevante mostrar las diversas formas en que el consentimiento otorgarse, pues de esto dependerá que exista un equilibrio entre este requisito y los derechos que se pueden ver vulnerados por su aplicación. Este trabajo tiene dos objetivos. El primero es demostrar que las diversas formas de otorgar el consentimiento para el uso de los datos son válidas en Colombia. El segundo es responder a la pregunta de si mediante las diferentes formas de consentimiento se pueden establecer diferentes niveles de protección según la naturaleza de los datos personales. La explicación del trabajo está dividida en dos partes. En el primer capítulo se analizará en qué consiste la autorización o consentimiento y en qué consisten las diversas formas en que éste se puede otorgar. Después de ilustrar lo anterior, se entrará a observar cómo la jurisprudencia ha clasificado los datos y los tipos de información, pues como se verá en las consideraciones de la Corte Constitucional, de esta clasificación se desprende cuál es el nivel de protección que debe otorgársele a determinados datos y, según su clasificación, dependerá el tipo de consentimiento que requiere cada tipo de dato. En el capitulo dos, se analizará cómo se ha tratado el tema del consentimiento en Colombia, por lo que se revisarán tres contextos en los que se ha desarrollado este requisito: (i) Los principios elaborados por la jurisprudencia de la Corte Constitucional (ii) los principios que se encuentran en la Ley Estatutaria 1266 de 2008 y, finalmente, (iii) las formas de consentimiento que han sido avaladas por la Corte Constitucional en materia de protección de datos. Gracias a la observación de estos tres escenarios, podremos afirmar que dentro del marco legal y jurisprudencial colombiano el consentimiento en materia de datos puede otorgarse de diferentes formas según el carácter del dato personal.. La primera parte busca mostrar cómo las clasificaciones del consentimiento de los datos y de la información han permitido elaborar un esquema en el cual, según de la naturaleza del dato, debe adquirir un nivel determinado de protección. El nivel de protección se podrá establecer dependiendo de las formas de consentimiento. La segunda parte pretende mostrar 29. REMOLINA ANGARITA, Nelson. Centrales de información, habeas data y protección de datos personales. Derecho de Internet & Telecomunicaciones. Legis Editores. Primera Edición 2008. Pág.396.

(17) 11 que gracias a los desarrollos de la Corte Constitucional y de la Ley, en Colombia se ha establecido una exigencia proporcional entre la categoría del dato y el nivel de protección que responde a uno de los diferentes tipos de consentimiento según las características del dato. Por lo que, debido a la clasificación de los datos y de la información, las diversas formas de otorgar el consentimiento son válidas, pues buscan que haya un relación proporcional entre la necesidad de otorgar consentimiento y el tipo de dato.. Por último, y en un segundo plano, analizaremos cómo limitarse a exigir una forma de consentimiento puede llegar a ser una problemática. Esto lo veremos en el texto del Proyecto de Ley 046 de 2010 Cámara- 184 de 2010 Senado “Por la cual se dictan disposiciones generales para la protección de datos personales”, el cual se encuentra actualmente en la Corte Constitucional. Este texto, pretende exigir que para todas las categorías de los datos personales sea necesario otorgar el consentimiento expreso, supuesto que conllevaría a negar los avances desarrollados por la Corte Constitucional frente a la proporcionalidad que debe tener este requisito.. Capitulo uno El consentimiento y su relación con la clasificación de los datos personales e información. 1. El consentimiento. El primer tema que vamos a analizar para desarrollo de este trabajo es el de la autorización o consentimiento del titular del dato, el cual debe ser otorgado a un tercero para que éste pueda usar el dato personal. Este principio implica que el ciudadano es el único que puede decidir si sus datos personales se dan a conocer a institución o a una empresa, o si se publican. Él puede decidir qué datos quiere comunicar, cuándo, cómo y bajo qué condiciones los proporciona a terceros que pretendan usarlos30.. 30. Legislación de protección de datos y comercio electrónico. Economía del Comercio Electrónico (G9). Universidad de Zaragoza. Recuperado el 31 de mayo. Disponible en: http://ciberconta.unizar.es/leccion/proteccion/pd_parte01.htm.

(18) 12 Cuando se habla de consentimiento,. tiene dos connotaciones diferentes: la primera. definición hace referencia al “acuerdo de concurso de voluntades individuales de que intervienen en la celebración de la convenciones (y de actos unipersonales complejos), (…) que no solamente denota la pluralidad de las manifestaciones individuales de la voluntad de los agentes, sino también la concurrencia y unificación de ellas en un solo querer”31. La segunda definición de consentimiento,. hace referencia a adherir unilateralmente y. voluntariamente a algo32, para lo que el artículo 1502 del Código Civil dice que “para que una persona obligue a otra por un acto o declaración de voluntad es necesario que: (…) consienta en dicho acto o declaración de voluntad y su consentimiento no adolezca de vicio”. Para nuestro texto, el segundo concepto es el relevante pues en el tema de protección de datos, cuando hacemos referencia a consentimiento efectivamente se trata de “adherir unilateralmente y voluntariamente a algo”.. Ahora bien, es relevante tratar el tema de la manifestación o declaración de voluntad encaminada a producir efectos jurídicos, pues contiene dos elementos esenciales. El primero es una voluntad real por parte del titular y el segundo es la manifestación o declaración de esa voluntad. Esa manifestación o declaración puede llevarse a cabo de diferentes formas según su mejor conveniencia: “la expresión puede ser escrita o oral, o pueden emplearse signos, realizar hechos que, de acuerdo con la ley o con los usos comunes, traduzcan clara e inequívocamente su voluntad (…)33”. En este texto siempre hablamos de consentimiento y principio de autorización como sinónimos, entendiéndose que el consentimiento hace referencia a la autorización en el tema de datos.. La Corte Constitucional en la Sentencia T-592 de 2003, manifestó que la autorización se encuentra asociada a la posibilidad que deben tener los titulares de la información, para que puedan en cualquier momento rectificar o actualizar los datos que sobre ellos reposen: “El consentimiento del titular de la información sobre el registro de sus datos (…) en los. 31. OSPINA FERNANDEZ, Guillermo y OSPINA ACOSTA, Eduardo. El consentimiento, distinciones y conceptos. Teoría General del contrato y el negocio jurídico. Séptima edición. Editorial Temis S.A. Bogotá, Colombia 2005. Pág.143 32 Ibídem. Pág.144 33 OSPINA FERNANDEZ, Guillermo y OSPINA ACOSTA, Eduardo. La voluntad y su declaración. Teoría General del contrato y el negocio jurídico. Séptima edición. Editorial Temis S.A. Bogotá, Colombia 2005. Pág.99.

(19) 13 procesos informáticos, debe estar aunado a la necesidad de que aquel cuente con oportunidades reales para ejercer sus facultades de rectificación y actualización durante las diversas etapas de dicho proceso, ya que resultan esenciales para salvaguardar su derecho a la autodeterminación informática”. Como podemos ver, la Corte señala que una de las razones de que los administradores informáticos deban obtener una autorización de los titulares del dato es para permitir las solicitudes de rectificación y actualización, pues sólo así los titulares podrían conseguir la inmediata corrección o retiro de la información en caso de que no sea veraz, exacta o no corresponda a la realidad.34 Lo relevante de estas citas, es resaltar que las solicitudes de actualización y rectificación probablemente no se darían sin la autorización, pues sin ésta es probable que una persona no conozca que sus datos están siendo objeto de tratamiento, y por ello no podría hacer nada en caso de que el contenido de los datos fuera errado, desactualizado o inexacto.. El consentimiento no es irrevocable y debe poder ser retirado si las circunstancias que motivaron su emisión cambiaron, o si sencillamente, el titular del derecho así lo decide. Es por esta razón, que el titular puede emitir una nueva declaración de voluntad que retire su autorización, sin que éste pueda ser sancionado35. A pesar de lo anterior, cabe mencionar que cuando la autorización hace parte de un contrato de adhesión, no es posible hablar de un consentimiento libre, pues generalmente se trata de una parte que le impone a la otra ciertas condiciones36. Por ello, si se habla de consentimiento libre, debería garantizarse que de verdad haya la opción de suscribir o no su autorización37. Esto es un punto que muestra una de las coyunturas de este principio, pues suele suceder que por la naturaleza reservada o privada del dato, el titular que no quiere dar esta autorización, y por no aceptar las condiciones de entregar determinados datos, se ve afectado pues le niegan el servicio. Para ejemplificar esto, es el formulario que se debe llenar para con el fin de acceder a una oferta laboral, y dentro del formulario hay una o varias casillas que solicitan información sobre temas que se consideren reservados (como su orientación sexual, embarazada, SIDA,. 34. Corte Constitucional, Sentencia T-774 de 2007 del 25 de septiembre. Magistrado Ponente: Nilson Pinilla Pinilla. Expediente T-1630732 35 Canal Jurídico. La protección de datos. El consentimiento. Recuperado el 31 de mayo de 2011. Disponible en: http://www.regmurcia.com/servlet/s.Sl?sit=c,98,m,3488&r=ReP-27059-DETALLE_REPORTAJESPADRE 36 REMOLINA ANGARITA, Nelson Data protection: Panorama nacional e internacional. Pág.146 37 Ibídem.

(20) 14 entre muchos ejemplos). Si el titular se niega a responder alguna de estas preguntas podría conllevar a que esa persona deje de ser un candidato apto para ese puesto.. 1.1. Formas de consentimiento Existen, como se señaló antes, varios tipos de consentimiento38: 1.1.1 El consentimiento expreso: es aquel que se manifiesta mediante un acto positivo o declarativo de voluntad. Puede ser de forma oral o escrita. Para probar que se ha emitido, en el primer caso, deberá utilizarse uno de los medios de prueba admitidos por el Derecho.. 1.1.2 El consentimiento tácito: Es aquel que se produce cuando ha sido posible manifestar un acto de voluntad contrario a éste, y pudiendo realizarlo, no se impone. Es decir, cuando el acto contrario no se lleva a cabo, el silencio se presume como un acto de aceptación.. 1.1.3 El consentimiento presunto: Es aquel que no se deduce ni de la declaración ni de un acto de silencio positivo, sino de un comportamiento o conducta que implica aceptación de un determinado compromiso u obligación. 2. La clasificación de los datos personales. La clasificación de los tipos de datos fue expuesta por la Corte Constitucional en la Sentencia C-1011 de 2008, de la cual se transcribe algunos apartes a continuación: 2.1. Dato personal. “Es cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica. Los datos impersonales no se sujetan al régimen de protección de datos de la presente ley. Cuando en la presente ley se haga referencia a un dato, se presume que se trata de uso personal. Los datos personales pueden ser públicos, semiprivados o privados;” 38. PESO NAVARRO, Emilio del. Nuevo Reglamento de protección de datos de carácter personal. Obtención del consentimiento del afectado. Díaz de Santos, 2008- Madrid. Pág.69.

(21) 15 2.1.1. Dato público. “Es el dato calificado como tal según los mandatos de la ley o de la Constitución Política y todos aquellos que no sean semiprivados o privados, de conformidad con la presente ley. Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas;”. La Corte Constitucional en su Sentencia C-1011 de 2008, que hizo el control de constitucionalidad de la Ley Estatutaria 1266 de 2008, refuta el argumento demandado por los intervinientes y el Ministerio Público, que a juicio de estos este extracto establece “una presunción de dato público, en la medida en que confiere esa calidad a la información personal que no encuadre dentro de las categorías de dato semiprivado o privado”. Pues según éstos, atentaría contra el derecho a la intimidad, dado que permitiría una adscripción arbitraria de la información personal a la condición de dato público y, en consecuencia, de libre acceso. La previsión del legislador estatutario de considerar como datos públicos “todos aquellos que no sean semiprivados o privados” es inane “en la medida en que la misma norma se encarga de establecer qué datos pertenecen a esas categorías y, a su vez, las definiciones propuestas delimitan suficientemente el espectro material en el que son aplicables. Por ende, no es posible concluir que la citada expresión (…) permita la adscripción indiscriminada de datos personales a la condición de públicos, puesto que las definiciones de datos semiprivados y privados son igualmente amplias, de modo tal que no resulta viable sostener una interpretación que permita que un dato personal vinculado al contenido y alcance del derecho a la intimidad resulte incorporado al concepto de dato público, pues es indudable que por sus características particulares se ubicaría bien en la categoría de dato semiprivado o de dato privado”39. 2.1.2 Dato semiprivado. “Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de la presente ley.” 39. Corte Constitucional Sentencia C-1011 de 2008. Expediente PE-029, revisión de constitucionalidad del Proyecto de Ley Estatutaria No. 27/06 Senado – 221/07 Cámara Acum. 05/06 Senado M.P: Jaime Córdoba Triviño..

(22) 16. 2.1.3. Dato privado. “Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular”.. El acceso a los datos privados constituye una violación al derecho a la intimidad, pues está amparado por el artículo 15 de la Constitución. Por eso, sólo el Juez con fundamento en la ley puede disponer del acceso a esa información cuando existe una investigación penal en curso.40 2.4. Datos sensibles y no sensibles. Existen otras dos grandes clasificaciones de datos: los sensibles41 y los no sensibles. Los primeros hacen referencia a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, el estado de salud física y psíquica y la vida sexual. Los segundos son aquellos datos vinculados a asuntos económicos y comerciales; que, además, se distinguen entre los relativos a personas naturales y a personas jurídicas42. La Corte Constitucional señala que la llamada “información sensible” pertenece al núcleo esencial del derecho de la intimidad, entendido como “esfera o espacio de vida privada no susceptible de la interferencia arbitraria de las demás personas, que al ser considerado un elemento esencial del ser, se concreta en el derecho a poder actuar libremente en la mencionada esfera o núcleo, en ejercicio de la libertad personal y familiar, sin más limitaciones que los derechos de los demás y el ordenamiento jurídico”43. Como la información sensible se refiere a cuestiones íntimamente ligadas al núcleo de la personalidad y de la dignidad humana, son las que deben tener mayor protección. Las posibles agresiones a la libertad, a la intimidad, las posibilidades de ser discriminado o cualquier otra, contra el ejercicio de los derechos fundamentales de las 40. CAMARGO, Pedro Pablo. El hábeas data, derecho a la intimidad. Contenido y alcance del hábeas data. Leyer. Pág. 86 Véase Corte Constitucional, sentencia T-309 de 1999, Magistrado Ponente: Eduardo Cifuentes Muñoz. 42 ORTIZ, Claudio. La protección de datos personales y la información comercial Revista en Foco. Instituto de Políticas Públicas. Recuperado el 28 de febrero de 2010. Disponible en http://www.expansiva.cl/media/en_foco/documentos/15042009150031.pdf 43 Corte Constitucional, Sentencia T-517 de 1998 del 21 de septiembre. Magistrado Ponente: Alejandro Martínez Caballero Expediente T-166764 y la Sentencia C-640 de 2010 del 18 de agosto de 2010 M.P.: Mauricio González Cuervo Expediente D-7999 41.

(23) 17 personas, se podrían ver agravadas cuando los datos tratados pertenecen a la categoría de los denominados “sensibles”.. 3. La clasificación de la información. En la. Sentencia C-1011 de 2008, que es la que estudia la exequibilidad de la Ley. Estatutaria,. determina otra clasificación de la información, agrupándola en cuatro. categorías: pública, privada, semiprivada y reservada. Esta es según la Sentencia, una “división de los datos personales con base en un carácter cualitativo y según el mayor o menor grado en que pueden ser divulgados”44. Por su parte, la información pública puede ser obtenida sin reserva alguna, pues por esto no necesita autorización por parte del titular. La información privada “es aquella que se encuentra en el ámbito propio del sujeto concernido y, por ende, sólo puede accederse por orden de autoridad judicial competente y en ejercicio de sus funciones”45, razón por la cual es evidente la necesidad de la autorización del titular. La información semiprivada también necesita de algún grado de limitación para su acceso, ya sea para la incorporación a bases de datos o para su divulgación. La información reservada está relacionada con la protección de los derechos a la dignidad humana, la intimidad y la libertad, como los datos sobre la orientación sexual de las personas, credo ideológico, información genética, hábitos, etc. Aquellos datos considerados información reservada son considerados por la jurisprudencia como información sensible y por esto no son susceptibles de acceso por parte de terceros, salvo ciertas excepciones46. La Corte Constitucional ha establecido que dependiendo de si la información es pública, privada, semiprivada o reservada, pertenece a un nivel determinado de protección. Los 44. Corte Constitucional Sentencia C-1011 de 2008. Expediente PE-029, revisión de constitucionalidad del Proyecto de Ley Estatutaria No. 27/06 Senado – 221/07 Cámara Acum. 05/06 Senado. Magistrado Ponente: Jaime Córdoba Triviño. 45 La Corte Constitucional en la Sentencia C-1011 de 2008 indica que “Entre dicha información se encuentran los libros de los comerciantes, los documentos privados, las historias clínicas, los datos obtenidos en razón a la inspección de domicilio o luego de la práctica de pruebas en procesos penales sujetas a reserva, entre otros”. Frente a la información reservada, esta misma sentencia ha indicado que 46 La Corte Constitucional en la Sentencia C-1011 de 2008 ha dicho que la información reservada “ Es aquella que sólo interesa al titular en razón a que está estrechamente relacionada con la protección de sus derechos a la dignidad humana, la intimidad y la libertad; como es el caso de los datos sobre la preferencia sexual de las personas, su credo ideológico o político, su información genética, sus hábitos, etc. Estos datos, que han sido agrupados por la jurisprudencia bajo la categoría de información sensible, no son susceptibles de acceso por parte de terceros, salvo que se trate en una situación excepcional, en la que el dato reservado constituya un elemento probatorio pertinente y conducente dentro de una investigación penal y que, a su vez, esté directamente relacionado con el objeto de la investigación”.

(24) 18 datos personales siempre son información, sólo que es información que se encuentra vinculada a aspectos exclusivos, propios de una persona y que la permite identificar47.. La naturaleza eminentemente distinta de la información hace necesario generar modelos regulatorios para cada categoría48, por lo que se han establecido los diversos niveles de protección. Es por esta razón que resulta desproporcional solicitar más protección a ciertos datos que no lo necesitan, pues esto sería una trasgresión innecesaria a otros derechos como la libertad de expresión o el derecho a la información. Por ejemplo, los datos públicos por su naturaleza no necesita el consentimiento del titular. En cambio, los datos personales reservados o privados requieren siempre la obtención de autorización más estricta, es decir se debe otorgar el consentimiento expreso. La información semiprivada o la no sensible, solicitaría un nivel de protección pero más bajo, como por ejemplo podría ser el tácito.. Ahora bien, para entender cómo funciona el consentimiento tácito de datos, daremos un ejemplo de una práctica común en España. Una empresa pública envía una carta a sus usuarios con el objeto de ofrecerles nuevos productos y servicios de otras empresas del grupo, indicándoles el detalle de los servicios y empresas que los prestan y dice que sólo en los casos en que el cliente buscara la contratación de alguno de los productos ofrecidos le pasarían información sobre ellos. En la carta se especifica que es necesario su consentimiento, para que, en caso de estar interesado en obtenerlos, se suministraran sus datos a dichas empresas, es decir, siempre con su previo consentimiento. Y dice que si no se contrata el nuevo producto o servicio, en ningún caso los datos serían cedidos a dichas empresas. En esa misma carta se ofrece a los clientes la posibilidad de ejercer el derecho de oposición a través de un teléfono gratuito y mediante una página web.49. En este caso, el consentimiento se considera tácito pues, pudiendo manifestar un acto de voluntad contrario,. 47. Ibídem Corte Suprema de Justicia. Protección de datos personales. División de Investigación, Legislación y Publicación Centro Internacional de Estudios Judiciales. Alonso y Testanova. Asunción, Paraguay 2010. Disponible en : http://www.pj.gov.py/ebook/sitios/Libros/PROTECCION%20DE%20DATOS%20PERSONALES.pdf 49 De acuerdo con la LOPD, el consentimiento tácito para realizar un nuevo tratamiento de datos de carácter personal puede ser válido, siempre que no se traten datos especialmente protegidos. Agencia de Protección de Datos de la Comunidad de Madrid. Disponible en la página web: http://www.madrid.org/cs/Satellite?c=PAPD_Generico_FA&cid=1253282476324&language=es&pageid=125230839489 9&pagename=PortalAPDCM%2FPAPD_Generico_FA%2FPAPD_fichaResolucion&vest=1252308394899 48.

(25) 19 si no se cumple, el silencio se presume como un acto de aceptación50. Una razón importante para. avalar el consentimiento tácito consiste en que muchas de las actividades que. realizamos en medios electrónicos y „off-line„(como se le llama a la actividad no realizada en medios electrónicos) viene acompañada de la entrega y divulgación de información personal, por ejemplo nombre, dirección de correo electrónico, domicilio, y otros datos que pueden entrar en la categoría de semiprivados51. Generalmente esta información es la contribución que deben dar los usuarios a cambio del acceso y uso de estos medios. Esto se debe a que las empresas ofrecen un servicio “gratis” que es indispensable para muchos usuarios, pero que en realidad se nutren de sus datos para diversos fines, entre los cuales esta transferir esos datos a otras bases de datos. Dado que el uso de medios electrónicos es indispensable para todo lo que hacemos a diario, tanto profesionalmente como en el ámbito particular, preferimos la utilización de esos servicios a cambio de suministrar a esa compañía o compañías los datos sobre nuestros gustos musicales, preferencias literarias o cualquier otro dato que no sea privado o reservado y que sea de su interés. Por ejemplo, en estos casos se podría usar el consentimiento tácito, imponiéndole a los servidores dos elementos: el primero, informando el fin para el cual van a usar sus datos y segundo, la obligación de crear sistemas que faciliten la oposición de los usuarios a que sus datos sean usados para los fines informados. El consentimiento tácito, por su naturaleza, necesita contener ciertas garantías. La primera garantía es que el usuario reciba la información para la cual van a ser usados sus datos y, como consecuencia, el responsable de esa base de datos pueda recabar su consentimiento (tácito)52. La segunda es la garantía de que las negativas aportadas por el usuario sean recibidas y procesadas por ese responsable. Otro elemento de suma relevancia es que en el consentimiento en los negocios jurídicos que haya sido obtenido de forma tácita, implicaría que a la entidad que ha solicitado el consentimiento del afectado, tenga la prueba de que lo ha obtenido en cada caso concreto.. 50. Frente a esta forma del consentimiento, la Agencia de Protección de Datos de la Comunidad de Madrid señala que la Ley Orgánica 15/1999, sólo establece la necesidad de consentimiento expreso y por escrito en el artículo 7 que regula los datos especialmente protegidos, es decir aquellos datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias, o bien aquellos que hagan referencia al origen racial, a la salud y a la vida sexual. 51 Ley federal de protección de datos. Disponible en web: http://www.protecciondedatospersonales.org.mx/ley.html 52 SERRERA COBOS, Pedro. Regulación del consentimiento tácito. Revista Dintel Disponible en: www.revistaays.com/DocsNum12/Proteccion/Pedro.pd.

(26) 20 En Colombia, ejemplos del consentimiento tácito es lo que vivimos diariamente en el internet pues esta forma de consentimiento posibilita una “agilización sustancial de lo que representa el funcionamiento de servicios que conllevan una cesión de datos de carácter personal (…)53. Todas las páginas que usamos diariamente guardan información sobre nuestros datos personales, sobre todo en temas comerciales. Un ejemplo concreto es una empresa que nació en Chicago, y se ha expandido por todo el mundo hasta llegar a Colombia, llamada “Groupon”54 . Ésta se ha posicionado en el mercado por ofrecer todo tipo de descuentos en cualquier cantidad de productos y servicios. Cuando un usuario accede a la página de internet de esta empresa, porque está interesado en adquirir algún descuento, debe crear una cuenta en la que le exigen varios de sus datos personales, y después de tener este perfil, el usuario puede acceder a comprar el producto o servicio en el que estaba interesado. Como el usuario lleno estos campos con su información, se considera que dio consentimiento tácito para que usen su correo electrónico o su dirección para que. Groupon le envié al usuario todo tipo de información sobre las nuevas. promociones.. Como esta compañía funcionan muchas otras que prestan servicios. comerciales, las cuales dependen del consentimiento tácito del usuario para enviarle todo tipo de publicidad y promociones. En cambio el consentimiento presunto es más flexible pues, al “presumir” puede dejar de lado las garantías. Un ejemplo es el suministro de algún formulario que algunos individuos hayan llenado con sus datos personales. En este caso, si bien no se consiente expresamente el almacenamiento de los mismos, se logran conocer las circunstancias relativas al tratamiento de sus datos.. Capitulo dos. El desarrollo del consentimiento en el contexto jurídico colombiano 53 MIRAVET Sergio y BACHES Sergio, “La cesión de datos de carácter personal: análisis de la legislación vigente y su aplicación a algunos supuestos prácticos”, pág. 426, texto que se encuentra citado en el artículo de Ana Isabel Berrocal Lanzarot, nombrado “El consentimiento para la cesión de datos de carácter personal en la Ley Orgánica 15/1999” que se encuentra en la Revista de Derecho Informático. Disponible en: http://www.alfa-redi.org/rdiarticulo.shtml?x=1039#_ftn24 54 Véase www.groupon.com.co.

(27) 21. La relación que existe entre el consentimiento y la protección de datos en Colombia, es que el primero es un requisito para que se ejerza adecuadamente el segundo. En otras palabras, para que podamos hablar de una debida protección en los datos personales, tiene que haber consentimiento por parte del titular del dato, pues ésta es la única forma que tiene una persona para saber que sus datos van a ser objeto de tratamiento.. Ahora vamos a observar cómo se ha abordado el asunto del consentimiento o autorización en Colombia en tres escenarios diferentes: el primer escenario son. los principios. jurisprudenciales desarrollados por la Corte Constitucional, el segundo son los principios establecidos por la ley estatutaria y el tercero es jurisprudencia de la Corte Constitucional, que ha establecido cómo aplican los tipos de consentimiento según las categorías de los datos. Revisados estos tres escenarios, podremos concluir no sólo que el consentimiento es considerado un elemento necesario para la protección de datos en Colombia, sino que se han avalado diferentes formas de consentimiento según la necesidad de su protección. 4.1. Los principios desarrollados por la jurisprudencia. Estos primeros principios son importantes no sólo por el tema del consentimiento sino también porque en materia de protección de datos, fue a través de su lectura que se desarrollaron las obligaciones y los deberes en cabeza de los terceros que pretendían el uso de la información. Los primeros lineamientos de los principios, antes de la Ley Estatutaria, fueron desarrollados por la jurisprudencia de la Corte Constitucional, los cuales guardan una relación intrínseca con los principios internacionales rectores adoptados por la ONU mediante la Resolución 45/95 del 14 de diciembre de 1990 relativos a las garantías mínimas que debían preverse en las legislaciones nacionales55. Para mostrar que dentro de éstos encontraremos el desarrollo del consentimiento, mencionaremos brevemente los principales desarrollos jurisprudenciales recogidos en varios estudios del doctor Nelson Remolina.56. 55. REMOLINA ANGARITA, Nelson. Data Protection: panorama nacional e internacional. Internet, Comercio Electrónico Telecomunicaciones & informática. Primera edición 2002. Universidad de los Andes, Legis Editores S.A. 56 REMOLINA ANGARITA, Nelson. Protección de datos de carácter personal en Iberoamérica (II Encuentro Iberoamericano de Protección de Datos, La Antigua - Guatemala 2-6 de junio de 2003. Director, José Luis Piñar Mañas; coordinadores, Álvaro Canales Gil, Ma. José Blanco Antón, Mercedes Ortuño Sierra. Valencia, España.2005. (Pág. 195-a.

(28) 22 (a)El principio de utilidad se orienta a restringir la posibilidad de mantener información sin una función amparable. El de la (b) titularidad del dato, la Corte en sentencia T-414 del 16 de junio de 1992 ha señalado que es la persona, y no el administrador de datos, el titular del dato personal. (c) El derecho de acceso, que es el derecho no sólo de conocer y rectificar, sino que además actualizar las informaciones que se hayan recogido en bancos de datos y en archivos de entidades privadas. (d) La Relevancia y finalidad del dato, que según ha dicho la Corte, todo dato se debe recolectar para una finalidad constitucionalmente legítima. (e) El derecho al olvido o caducidad del dato, es algo a lo que la Corte le ha reconocido validez, al principio de caducidad o de temporalidad de la información negativa, que implica que siguiendo criterios de razonabilidad y oportunidad, la información negativa debe ser retirada. (f) La exactitud y veracidad de la información implica que los datos deben obedecer a situaciones reales y que deben ser ciertos, por lo que está prohibida la administración de datos falsos o erróneos. (g) No discriminación y datos sensibles es considerado un complemento del principio de licitud del dato, que implica que todo dato debe haberse recolectado para una finalidad constitucionalmente legítima. (h) De las prácticas indebidas o no legítimas que hace referencia a las operaciones o conductas en el tratamiento de datos personales que se consideran indebidas o ilegitimas. (i) La autorización frente a la circulación de datos personales, es necesario que el administrador del banco de datos obtenga previamente la autorización del titular para utilizarlos. Si no cuenta con esto, los datos se deben borrar. Estos principios que desarrolló la Corte Constitucional fueron la herramienta jurídica principal para que los ciudadanos pudieran protegerse por el abuso de los datos. Debido a la falta de regulación, han sido considerados como la ley regulatoria del los datos personales. A través de su lectura podemos observar que establecen tanto deberes y obligaciones para los terceros que pretendan el uso de datos en todos los pasos del tratamientos, desde su recolección hasta el uso de éstos para determinados fines. Encontramos en el punto (i) el principio de autorización, el cual fue tratado por varias. 174) y del mismo autor -Centrales de información, habeas data y protección de datos personales. Derecho de Internet & Telecomunicaciones. Legis Editores. Primera Edición 2008.