Última actualización: 31 de octubre de 2024 - (Diario Oficial No. 52.908 - 13 de octubre de 2024)
Derechos de autor reservados - Prohibida su reproducción
Inicio
 
Imprimir

2

 

Sentencia C-748/11

PROYECTO DE LEY ESTATUTARIA DE HABEAS DATA Y PROTECCION DE DATOS PERSONALES-Objeto

CONTROL DE CONSTITUCIONALIDAD DE LOS PROYECTO DE LEY ESTATUTARIA-Características

PROYECTO DE LEY ESTATUTARIA-Requisitos generales/PROYECTO DE LEY ESTATUTARIA-Requisitos especiales

LEY ESTATUTARIA-Ley de especial jerarquía/LEY ESTATUTARIA-Materias sometidas a reserva de ley estatutaria

Las Leyes Estatutarias constituyen un tipo de leyes de especial jerarquía, que tienen como fin esencial salvaguardar la entidad de las materias que regula, que son: los derechos y deberes fundamentales, así como los procedimientos y recursos para su protección; la administración de justicia; la organización y régimen de los partidos y movimientos políticos, el estatuto de la oposición y las funciones electorales; las instituciones y mecanismos de participación ciudadana; los estados de excepción, y la igualdad electoral entre candidatos a la Presidencia de la República; materias éstas que comportan una importancia cardinal para el desarrollo de los artículos 1 y 2 de la Carta, pues su regulación especial garantiza la vigencia de principios básicos constitucionales y propende por la consecución de los fines esenciales del Estado. De modo que imprimirle rigurosidad a la aprobación de la regulación de dichas materias y, además, mayor jerarquía a las leyes que las consagren, son medios idóneos para lograr la efectividad de los derechos constitucionales, la salvaguarda de un orden justo, así como la existencia de un sistema democrático y participativo. Si bien cualquier proyecto para convertirse en ley debe cumplir con los siguientes requisitos: ser publicado oficialmente por el Congreso antes de darle curso en la comisión respectiva; surtir los correspondientes debates en las comisiones y plenarias de las Cámaras, luego de que se hayan efectuado las ponencias respectivas y respetando los quórum previstos por los artículos 145 y 146 de la Constitución; realizar los anuncios del proyecto de ley previo a la discusión y votación en cada una de las comisiones y plenarias, exigencia que también se aplica a los debates sobre los informes de las comisiones de conciliación, los cuales deberán ser publicados por lo menos un día antes de darse su discusión y aprobación; respetar los términos para los debates previstos por el artículo 160, esto es ocho días entre el primer y segundo debate en cada Cámara, y quince días entre la aprobación del proyecto en una de las Cámaras y la iniciación del debate en la otra; respetar los principios de unidad de materia, de identidad y consecutividad; haber obtenido la sanción gubernamental, que como es obvio, en el caso de las leyes estatutarias, dicha sanción se surte después de que la Corte Constitucional haya efectuado la revisión previa y oficiosa de constitucionalidad y declarado, en consecuencia, que las disposiciones del proyecto se ajustan a la Carta. Además de lo anterior, por tratarse de un proyecto de ley estatutaria, es necesario que el proyecto: (i) haya sido aprobado por mayoría absoluta y (ii) haya sido tramitado en una sola legislatura.

PROYECTO DE LEY ESTATUTARIA-Trámite en una sola legislatura se refiere únicamente al trámite en el Congreso

Conforme a reiterada jurisprudencia de esta Corte, la Constitución ordena que dentro de la legislatura el proyecto haga tránsito en el Congreso, esto es, que sea modificado y aprobado por las Cámaras en ese lapso, pero la revisión constitucional por la Corte y la sanción presidencial pueden ocurrir por fuera de la legislatura, pues si el trámite que debe ser surtido en una sola legislatura incluyese la revisión por la Corte, o las objeciones y sanción presidenciales, sería prácticamente imposible aprobar, modificar o derogar leyes estatutarias, o éstas tendrían que ser tramitadas en el Congreso con excesiva celeridad, sin una adecuada discusión democrática, e incluso con improvisación.

CONSULTA PREVIA DE COMUNIDADES INDIGENAS Y GRUPOS ETNICOS EN TRAMITE LEGISLATIVO DE LEY ESTATUTARIA-No resulta necesaria cuando regulación tiene carácter general sin que se afecte de manera directa comunidades étnicas

Si bien la Corte precisó que la consulta previa a las comunidades étnicas que puedan resultar afectadas directamente por cualquier medida legislativa, constituye un requisito de procedimiento que debe surtirse antes del trámite legislativo respectivo, siendo necesaria en el caso de decisiones que conciernen directamente a una o varias comunidades étnicas; en el caso bajo estudio, un examen del contenido del proyecto de ley permite concluir que las medidas que mediante él se pretenden adoptar no conciernen directamente a ninguna comunidad étnica asentada en el territorio nacional, de modo que la consulta previa no era un requisito previo. En efecto, el proyecto solamente establece un régimen general para la protección de datos en Colombia que comprende una legislación destinada a la sociedad en general y no define un tratamiento específico directamente destinado a comunidades étnicas, por lo que no afecta de manera directa comunidades étnicas colombianas, no siendo en consecuencia necesario realizar procesos de consulta antes de dar inicio al trámite legislativo.

CONTROL DE CONSTITUCIONALIDAD DE PROYECTO DE LEY ESTATUTARIA DE HABEAS DATA Y PROTECCION DE DATOS PERSONALES-Trámite legislativo

En términos generales el trámite legislativo del proyecto de ley estatutaria de habeas data y protección de datos personales, cumplió con los requisitos constitucionales previstos para cualquier decisión legislativa y particularmente para este tipo de leyes de especial jerarquía, pues habiendo sido presentado ante el Congreso y su texto junto con la exposición de motivos publicada oportunamente, su aprobación, que tuvo inicio en la comisión primera de la Cámara de Representantes, se efectuó dentro de una sola legislatura; se cumplieron los debates en las comisiones permanentes y plenarias de ambas cámaras legislativas; se publicaron las ponencias junto con los pliegos modificatorios y se dio cumplimiento a los anuncios previos para discusión y aprobación; a raíz de las diferencias en los textos aprobados por la Cámara de Representantes y el Senado de la República, se conformó una comisión accidental de conciliación para superar las discrepancias y su informe de conciliación fue publicado y aprobado tanto por la Cámara de Representantes como por el Senado en votación nominal con mayoría absoluta, habiéndose verificado el anuncio previo para votación y aprobación correspondiente y se cumplieron los términos que deben mediar entre los debates en comisiones y entre cámaras legislativas. No obstante no puede decirse lo mismo respecto de los artículos 29, 30 y 31 en cuanto la forma en que fueron incluidos que no atendió los mandatos de los principios de consecutividad e identidad flexible, por lo que se declaran inexequibles.

PRINCIPIO DE UNIDAD DE MATERIA EN PROYECTO DE LEY ESTATUTARIA-Caracterización/PRINCIPIO DE UNIDAD DE MATERIA EN PROYECTO DE LEY ESTATUTARIA-Vulneración constituye un vicio material

Por el principio de unidad de materia cada una de las disposiciones que conforman un ordenamiento legal deben pertenecer a su núcleo temático, el cual puede precisarse, entre otros, con lo establecido en su título. Con este principio se busca evitar que la temática regulada por una disposición sea absolutamente ajena al núcleo temático de la ley que la contiene. Así, existe violación a la unidad de materia porque lo regulado en un artículo no tenga relación alguna con el tema del cuerpo legal que lo contiene, siendo entendido por la jurisprudencia constitucional que la violación del principio de unidad de materia constituye un vicio material. Refiriéndose al alcance constitucional del principio de unidad de materia, la Corte ha señalado que con él se pretende “asegurar que las leyes tengan un contenido sistemático e integrado, referido a un solo tema, o eventualmente, a varios temas relacionados entre sí. La importancia de este principio radica en que a través de su aplicación se busca evitar que los legisladores, y también los ciudadanos, sean sorprendidos con la aprobación subrepticia de normas que nada tienen que ver con la(s) materia(s) que constituye(n) el eje temático de la ley aprobada, y que por ese mismo motivo, pudieran no haber sido objeto del necesario debate democrático al interior de las cámaras legislativas. La debida observancia de este principio contribuye a la coherencia interna de las normas y facilita su cumplimiento y aplicación al evitar, o al menos reducir, las dificultades y discusiones interpretativas que en el futuro pudieran surgir como consecuencia de la existencia de disposiciones no relacionadas con la materia principal a la que la ley se refiere”

PRINCIPIO DE UNIDAD DE MATERIA-Conexidad temática, teleológica, causal o sistemática

PRINCIPIO DE IDENTIDAD RELATIVA EN TRAMITE LEGISLATIVO-Alcance

El principio de identidad relativa surge del mandato constitucional según el cual durante el segundo debate cada cámara podrá introducir las enmiendas que considere pertinentes, siempre y cuando ellas no cambien la esencia del proyecto de ley hasta ese momento aprobado, pues, en ese caso, deberán surtir todos los debates requeridos de acuerdo al artículo 157. La Corte determinó como  núcleo conceptual del principio de identidad relativa, “la idea que a lo largo de los cuatro debates se mantenga sustancialmente el mismo proyecto, es decir, que las modificaciones que en ejercicio de los principios de pluralismo y decisión mayoritaria pueden hacerse al proyecto, no sean de tal envergadura que terminen por convertirlo en otro completamente distinto”.

PRINCIPIO DE CONSECUTIVIDAD EN TRAMITE LEGISLATIVO-Alcance/PRINCIPIOS DE IDENTIDAD RELATIVA Y CONSECUTIVIDAD EN TRAMITE LEGISLATIVO-Relación

El principio de consecutividad consagra la obligación de que todos los asuntos aprobados en una ley hayan sido debatidos por las comisiones permanentes de ambas cámaras y por sus plenarias, lo que no significa que cada una de las variaciones surgidas durante el trámite legislativo deban devolverse a primer debate para que surtan todo el proceso, sino que aquellos asuntos no tratados en lo absoluto durante las etapas previas, deban devolverse para que sean aprobados o discutidos por la comisión y/o plenaria que estudió el proyecto con anterioridad. Si ello no ocurre, entonces se entiende que esas disposiciones se encuentran viciadas de inconstitucionalidad por violación del artículo 157 de la Carta. Así pues, el principio de consecutividad no se predica de los contenidos exactos de los artículos, sino de los asuntos o temas regulados en la ley que los contienen. Usualmente el principio de identidad relativa se relaciona de manera automática, e incluso se identifica, con el principio de consecutividad, relación que no es siempre ineludible pues puede ocurrir que una disposición no haya sido aprobada en cuatro debates sin que su contenido convierta al proyecto de ley en uno totalmente distinto. Sin embargo, sí debe afirmarse que siempre que se identifique un vicio por violación del principio de identidad con la introducción de una enmienda, se traduce en la vulneración de la consecutividad pues, precisamente, dichos cambios, a pesar de ser esenciales, no fueron aprobados o siquiera discutidos con todos los debates reglamentarios. Así, no toda trasgresión de la consecutividad implica la violación de la identidad pero, en cambio, toda violación a la identidad involucra una vulneración a la consecutividad.

PRINCIPIOS DE CONSECUTIVIDAD E IDENTIDAD RELATIVA EN TRAMITE LEGISLATIVO-Desconocimiento constituye un vicio insubsanable

PRINCIPIOS DE CONSECUTIVIDAD E IDENTIDAD RELATIVA EN PROYECTO DE LEY ESTATUTARIA DE HABEAS DATA Y PROTECCION DE DATOS PERSONALES-Desconocimiento por introducción de temas que no surtieron los debates reglamentarios

PRINCIPIOS DE CONSECUTIVIDAD E IDENTIDAD RELATIVA EN PROYECTO DE LEY ESTATUTARIA DE HABEAS DATA Y PROTECCION DE DATOS PERSONALES-Desconocimiento por cuanto los artículos relacionados con los datos de antecedentes judiciales y el manejo de datos de inteligencia y contrainteligencia fueron introducidos en el tercer y cuarto debates

En relación con los artículos 29, 30 y 31 del proyecto de ley estatutaria, relacionados con los datos relativos al certificado de antecedentes judiciales y el manejo de datos de inteligencia y contrainteligencia, si bien su contenido no es ajeno a la materia del proyecto de ley y por ende no vulneran la unidad de materia, si se vulnera de una manera palmaria el principio de consecutividad, por cuanto los asuntos de que tratan las precitadas disposiciones no fueron objeto de los debates previos, pues fueron introducidos en el tercer y cuarto debates.

COMISIONES ACCIDENTALES DE CONCILIACION EN TRAMITE LEGISLATIVO-Conformación/COMISIONES ACCIDENTALES DE CONCILIACION EN TRAMITE LEGISLATIVO-Competencia

La jurisprudencia ha sido clara en establecer que el objeto de las comisiones accidentales de conciliación y de la aprobación de sus informes, se circunscribe a superar las discrepancias en el texto de una y otra cámara teniendo en cuenta que dada la naturaleza meramente accidental de las comisiones de conciliación, no pueden suplir la función legislativa asignada por la Constitución y la ley, a las comisiones constitucionales permanentes y a las plenarias de cada Cámara, pues es en éstas,  en donde debe surtirse el  proceso de deliberación y aprobación de las distintas normas jurídicas.

DERECHO AL HABEAS DATA-Origen, evolución y regulación en el ámbito del derecho internacional

DERECHO AL HABEAS DATA-Concepto/DERECHO AL HABEAS DATA-Líneas interpretativas en la jurisprudencia constitucional/DERECHO AL HABEAS DATA-Fundamental autónomo

En la jurisprudencia constitucional, el derecho al habeas data fue primero interpretado como una garantía del derecho a la intimidad, de allí que se hablara de la protección de los datos que pertenecen a la vida privada y familiar, entendida como la esfera individual impenetrable en la que cada cual puede realizar su proyecto de vida y en la que ni el Estado ni otros particulares pueden interferir. También, desde los primeros años de la nueva Carta, surgió al interior de la Corte una segunda línea interpretativa que consideraba el habeas data una manifestación del libre desarrollo de la personalidad. Según esta línea, el habeas data tiene su fundamento último “(…) en el ámbito de autodeterminación y libertad que el ordenamiento jurídico reconoce al sujeto como condición indispensable para el libre desarrollo de la personalidad y en homenaje justiciero a su dignidad. Ya a partir de 1995, surge una tercera línea interpretativa que es la que ha prevalecido desde entonces y que apunta al habeas data como un derecho autónomo, en que el núcleo del derecho al habeas data está compuesto por la autodeterminación informática y la libertad –incluida la libertad económica. Este derecho como fundamental autónomo, requiere para su efectiva protección de mecanismos que lo garanticen, los cuales no sólo deben pender de los jueces, sino de una institucionalidad administrativa que además del control y vigilancia tanto para los sujetos de derecho público como privado, aseguren la observancia efectiva de la protección de datos y, en razón de su carácter técnico, tenga la capacidad de fijar política pública en la materia, sin injerencias políticas para el cumplimiento de esas decisiones.

DERECHO AL HABEAS DATA-Contenidos mínimos

Dentro de las prerrogativas o contenidos mínimos que se desprenden del derecho al habeas data encontramos por lo menos las siguientes: (i) el derecho de las personas a conocer –acceso- la información que sobre ellas están recogidas en bases de datos, lo que conlleva el acceso a las bases de datos donde se encuentra dicha información; (ii) el derecho a incluir nuevos datos con el fin de se provea una imagen completa del titular; (iii) el derecho a actualizar la información, es decir, a poner al día el contenido de dichas bases de datos; (iv) el derecho a que la información contenida en bases de datos sea rectificada o corregida, de tal manera que concuerde con la realidad; (v) el derecho a excluir información de una base de datos, bien por que se está haciendo un uso indebido de ella, o por simple voluntad del titular –salvo las excepciones previstas en la normativa.

RESERVA DE LEY ESTATUTARIA EN MATERIAS OBJETO DE SU REGULACION-Criterios jurisprudenciales para determinarla

RESERVA DE LEY ESTATUTARIA EN MATERIA DE DERECHOS FUNDAMENTALES-Se predica sólo de los elementos estructurales esenciales/NUCLEO ESENCIAL DE UN DERECHO FUNDAMENTAL-Concepto

La Corte ha indicado que respecto de los derechos fundamentales, la reserva de ley estatuaria no se predica de la regulación de todo evento ligado a los derechos fundamentales sino solamente los elementos estructurales esenciales de los derechos fundamentales, de modo que las leyes estatutarias no deben regular en detalle cada variante o cada manifestación de dichos derechos o todos aquellos aspectos que tengan que ver con su ejercicio; y para definir los elementos estructurales esenciales, la jurisprudencia constitucional se ha valido de la teoría del núcleo esencial, según la cual, los derechos fundamentales tienen: (i) un núcleo o contenido básico que no puede ser limitado por las mayorías políticas ni desconocido en ningún caso, ni siquiera cuando un derecho fundamental colisiona con otro de la misma naturaleza o con otro principio constitucional; y (ii) un contenido adyacente objeto de regulación. De conformidad con la jurisprudencia constitucional es competencia del legislador estatutario desarrollar aspectos importantes del núcleo esencial, siendo, asuntos importantes del núcleo esencial propios de leyes estatutarias: (i) la consagración de límites, restricciones, excepciones y prohibiciones de alcance general; y (ii) los principios básicos que guían su ejercicio. Otro elemento que puede deducirse a partir de un examen de la estructura de los derechos fundamentales es la definición de las prerrogativas básicas que se desprenden del derecho para los titulares y que se convierten en obligaciones para los sujetos pasivos.

DERECHO AL HABEAS DATA-Justificación de su regulación por ley estatutaria

HABEAS DATA-Modelos de protección en derecho comparado

MODELO CENTRALIZADO DE PROTECCION DE DATOS-Características/MODELO SECTORIAL DE PROTECCION DE DATOS-Características

En el derecho comparado existen dos modelos de protección de datos ampliamente reconocidos: un modelo centralizado y un modelo sectorial. El modelo centralizado, implementado en países europeos y, con algunas modificaciones, en la propia Unión Europea, parte de una categoría general de datos personales y de la idea de que cualquier tratamiento de ellos es considerado per se potencialmente problemático, razón por la cual debe sujetarse a unos principios y garantías mínimas comunes, susceptibles de ser complementadas con regulaciones especiales -según el tipo de dato y los intereses involucrados, pero que de ninguna manera suponen una derogación de los estándares de protección generales, que son aplicables tanto al sector público como al privado. Es propio de este modelo la existencia de una entidad central, autónoma e independiente, que supervisa la instrumentación, cumplimiento normativo y ejecución de los estándares de protección generales, y que está facultada para autorizar o prohibir las transferencias de datos internacionales atendiendo a la equivalencia de la protección que ofrece el país de destino. En contraste, el modelo sectorial no parte de una categoría común de datos personales y por ello no se considera que todos estos datos deban estar sometidos a la misma regulación mínima, y por ello, bajo este modelo se adoptan regulaciones especiales y diferentes para cada tipo de dato personal, dependiendo de su relación con la intimidad –o privacidad como se denomina en el sistema anglosajón- y con la protección de intereses superiores –como la seguridad y la defensa nacional, es decir, la regulación sectorial se basa en una especie de ponderación de intereses que da lugar a reglas diferenciadas según el tipo de dato y que otorga más o menos poderes de intervención a las autoridades. En este modelo, la verificación del cumplimiento de las reglas también es asignada a autoridades sectoriales, que son dotadas de distintos poderes de vigilancia y control, según el nivel de intervención previsto por el legislador.

MODELO HIBRIDO DE PROTECCION DE DATOS-Corresponde al modelo de regulación adoptado en el caso colombiano

En el caso colombiano, el proyecto de ley que dio lugar a la Ley 1266 de 2008 y que fuera objeto de la sentencia C-1011 de 2008, buscaba convertirse en una ley de principios generales aplicable a todas las categorías de datos personales, pero pese a su pretensión de generalidad, el proyecto de ley en realidad solamente establecía estándares básicos de protección para el dato financiero y comercial destinado a calcular el nivel de riesgo crediticio de las personas. Por ello en la referida sentencia, la Corte dejó claro que la materia de lo que luego se convertiría en la Ley 1266 es solamente el dato financiero y comercial. Por lo tanto, la Ley 1266 solamente puede ser considerada una regulación sectorial del habeas data. Ahora, con el nuevo proyecto de ley se busca llenar el vacío de estándares mínimos de protección de todos los datos personales, de ahí que su título sea precisamente “Por el cual se dictan disposiciones generales para la protección de datos personales”, concluyéndose que con la introducción de esta reglamentación general y mínima aplicable en mayor o menor medida a todos los datos personales, el legislador ha dado paso a un sistema híbrido de protección en el que confluye una ley de principios generales con otras regulaciones sectoriales, que deben leerse en concordancia con la ley general, pero que introduce reglas específicas que atienden a la complejidad del tratamiento de cada tipo de dato.

PROYECTO DE LEY ESTATUTARIA DE HABEAS DATA Y PROTECCION DE DATOS PERSONALES-Ámbitos de aplicación y excepciones

ARCHIVO Y BASES DE DATOS-Conceptos

PROYECTO DE LEY ESTATUTARIA DE HABEAS DATA Y PROTECCION DE DATOS PERSONALES-Expresión “entidades” en el ámbito de aplicación comprende tanto a personas naturales como jurídicas

DATOS PERSONALES-Características

La jurisprudencia constitucional ha precisado que las características de los datos personales son las siguientes: i) estar referido a aspectos exclusivos y propios de una persona natural, ii) permitir identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.”

DERECHO AL HABEAS DATA Y PROTECCION DE DATOS-Principios del tratamiento de datos personales

El proyecto de ley estatutaria establece en materia de tratamiento de datos personales los principios de legalidad, el de finalidad, de libertad, de veracidad o calidad, de transparencia, de acceso y circulación restringida, de seguridad y el principio de confidencialidad, principios éstos que no obstan para que en el proceso de administración de bases de datos se dé aplicación a los principios rectores derivados directamente de la Constitución al igual que a aquellos derivados del núcleo temático del proyecto de ley estatutaria, los cuales pese a no encontrase numerados se entiende incorporados en razón de una lectura sistemática del proyecto de Ley Estatutaria.

DERECHO A LA AUTODETERMINACION INFORMATICA-Estándares internacionales de principios por lo rigen

DATO SENSIBLE EN LEY ESTATUTARIA DE HABEAS DATA Y PROTECCION DE DATOS PERSONALES-Definición/DATO SENSIBLE EN LEY ESTATUTARIA DE HABEAS DATA Y PROTECCION DE DATOS PERSONALES-Prohibición de su tratamiento y excepciones a la prohibición

El proyecto de ley estatutaria define como datos sensibles, “(…) los que afectan la intimidad del Titular y cuyo uso indebido puede generar su discriminación…”, definición ésta que la Sala encuentra ajustada a la jurisprudencia Constitucional y su delimitación, además de proteger el habeas data es una garantía del derecho a la intimidad, razón por la cual es compatible con la Carta Política. De la misma manera, la prohibición de su tratamiento, como regla general, no solamente es compatible con la Carta, sino que es una exigencia del derecho a la intimidad y un desarrollo del principio del habeas data de acceso y circulación restringida. No obstante la norma prevé, que en ciertas ocasiones el tratamiento de tales datos es indispensable para la adecuada prestación de servicios –como la atención médica y la educación- o para la realización de derechos ligados precisamente a la esfera íntima de las personas –como la libertad de asociación y el ejercicio de las libertades religiosas y de opinión-, excepciones éstas que responden precisamente a la necesidad del tratamiento de datos sensible en dichos escenarios, y por tratarse de casos exceptuados que pueden generar altos riesgos en términos de vulneración del habeas data, la intimidad e incluso la dignidad de los titulares de los datos, los agentes que realizan el tratamiento en estos casos, tienen una responsabilidad reforzada que se traduce en una exigencia mayor que también deberá traducirse en materia sancionatoria administrativa y penal.

INTERES SUPERIOR DEL MENOR-Prohibición del tratamiento de datos personales de niños, niñas y adolescentes

DERECHOS DE LOS TITULARES DE DATOS PERSONALES-Marco normativo internacional

DERECHO AL HABEAS DATA EN TRATAMIENTO DE DATOS PERSONALES-Principios y garantías constitucionales

DERECHO AL HABEAS DATA EN TRATAMIENTO DE DATOS PERSONALES-Eventos en que procede la revocatoria de la autorización y la supresión del dato

Si bien el habeas data confiere un grupo de facultades al individuo para que, en ejercicio de la cláusula general de libertad, pueda controlar la información que de sí mismo ha sido recopilada en una central de información, este control no sólo se predica de la autorización previa para el tratamiento del dato, sino que el individuo también es libre de decidir cuáles informaciones desea que continúen  y cuáles deben ser excluidas de una fuente de información, siempre y cuando no exista un mandato legal que le imponga tal deber o cuando exista alguna obligación contractual entre la persona y el controlador de datos, que haga necesaria la permanencia del dato. Así pues, el derecho al habeas data otorga la facultad al titular de datos personales de exigir de las administradoras de esos datos el acceso, inclusión, exclusión, corrección, adición, actualización y certificación de los datos, así como la limitación en las posibilidades de divulgación, publicación o cesión de los mismos, de conformidad con los principios que regulan el proceso de administración de datos personales. En consecuencia, el Titular podrá revocar la autorización y solicitar la supresión del dato cuando: (i) no se respeten los principios, derechos y garantías constitucionales y legales, caso en el cual, en aras de garantizar el debido proceso, la Superintendencia de Industria y Comercio deberá determinar que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias al ordenamiento y (ii) en virtud de la solicitud libre y voluntaria del Titular del dato, cuando no exista una obligación legal o contractual que imponga al Titular el deber de permanecer en la referida base de datos.

HABEAS DATA EN TRATAMIENTO DE DATOS PERSONALES-Derechos y condiciones de legalidad

DERECHO DE HABEAS DATA EN TRATAMIENTO DE DATOS PERSONALES-Requisito de consentimiento libre, previo, expreso e  informado del titular del dato/DERECHO DE HABEAS DATA EN TRATAMIENTO DE DATOS PERSONALES-Casos de excepción a la autorización o consentimiento previo para el uso del dato no vulneran la constitución

El consentimiento del titular de la información es un presupuesto para la legitimidad constitucional de los procesos de administración de datos personales, tratándose de un consentimiento calificado: ya que debe ser previo, esto es, que la autorización debe ser suministrada en una etapa anterior a la incorporación del dato; expreso, en la medida que debe ser inequívoco; e informado, toda vez que el titular no sólo debe aceptar el tratamiento del dato, sino también tiene que estar plenamente consciente de los efectos de su autorización. El proyecto desarrolla los casos en que no es necesaria la autorización, específicamente cuando: la información es requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial, los datos de naturaleza pública, los casos de urgencia médica o sanitaria, tratamiento autorizado por la Ley para fines históricos, estadísticos o científicos y datos relacionados con el registro civil de las personas, casos éstos en los que existen importantes intereses constitucionales que justifican tal limitación.

INFORMACION PUBLICA-Concepto/INFORMACION PUBLICA-Acceso sin reserva y sin que se requiera autorización para ello

FACULTAD REGLAMENTARIA-Naturaleza y alcance

Ha dicho la Corte que la potestad reglamentaria tiene fundamento en lo previsto por el artículo 189-11 C.P., e implica que Ejecutivo está revestido de la facultad para expedir decretos, resoluciones y órdenes necesarios para la cumplida ejecución de las leyes. La potestad reglamentaria, en consecuencia, tiene naturaleza “ordinaria, derivada, limitada y permanente”. Es ordinaria en razón a que es una función de la Rama Ejecutiva, sin que para su ejercicio requiera de habilitación distinta de la norma constitucional que la confiere. Tiene carácter derivado, puesto que requiere de la preexistencia de material legislativo para su ejercicio. Es limitada porque “encuentra su límite y radio de acción en la constitución y en la ley, por lo que no puede alterar o modificar el contenido y el espíritu de la ley, ni puede dirigirse a reglamentar leyes que no ejecuta la administración, así como tampoco puede reglamentar materias cuyo contenido está reservado al legislador”. Por último, “la potestad reglamentaria es permanente, habida cuenta que el Gobierno puede hacer uso de la misma tantas veces como lo considere oportuno para la cumplida ejecución de la ley de que se trate y hasta tanto ésta conserve su vigencia.”

NORMA QUE AUTORIZA AL GOBIERNO PARA REGLAMENTAR LA MANERA DE SUMINISTRAR INFORMACION AL TITULAR DEL DATO-No ofrece reparo de constitucionalidad y cumple finalidad de potestad reglamentaria

No existe reparo en cuanto a la facultad otorgada al Gobierno Nacional por cuanto se trata de un asunto eminentemente técnico, delimitado y que no versa sobre los aspectos esenciales del derecho fundamental, ni mucho menos ofrece una regulación integral del mismo. Por lo tanto, en este marco, el legislador estatutario ordena al Gobierno Nacional que, mediante su potestad reglamentaria, concrete la manera en que se entregará la información al Titular. Sobre el particular, cabe recordar que la Corte ha admitido la constitucionalidad de este tipo de disposiciones, siempre y cuando el legislador haya establecido un contenido material legislativo que sirva de base para el ejercicio de dicha potestad.

CONSULTAS Y RECLAMOS ANTE RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO DE DATOS-Legitimación/CONSULTAS Y RECLAMOS ANTE RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO DE DATOS-Procedimiento

DERECHO AL HABEAS DATA EN TRATAMIENTO DE DATOS PERSONALES-Consultas y reclamos como mecanismos para hacerlo efectivo

Los artículos 14 y 15 del proyecto de ley regulan los mecanismos de consulta y reclamo del titular del dato o sus causahabientes al responsable o encargado del tratamiento, con el fin de hacer efectivo el derecho al habeas data. Se señala que: (i) los titulares o sus causahabientes podrán consultar la información personal del titular que repose en cualquier base de datos pública o privada; (ii) los responsables y encargados del tratamiento deben suministrar al titular toda la información contenida en la base de datos bien porque se tenga un registro individual o exista alguna asociada a su identificación; (iii) el responsable y el encargado del tratamiento deben tener algún medio habilitado para que la consulta se pueda realizar, el cual debe permitir dejar prueba de ello; (iv) la consulta se debe resolver en un término máximo de 10 días hábiles a partir de la fecha de recibo de la solicitud; y (v) en el evento de no poder responderse en ese término,  se le debe informar al titular sobre las razones. De todas maneras la respuesta la debe recibir dentro de los  5 días siguientes al vencimiento del primer plazo. Esta norma hace una regulación típica del derecho de petición que consagra el artículo 23 de la Constitución, que en el caso en estudio se traduce en el derecho que tienen los titulares del habeas data o sus causahabientes para presentar ante los bancos de datos que manejen las autoridades publicas o privadas, peticiones para establecer que información o datos poseen sobre ellos y los términos para atender las consultas. El articulo 15 por su parte, regula los reclamos que puede efectuar el titular del dato o sus causahabientes al responsable o encargado del tratamiento con el fin de corregir, actualizar o suprimir la información contenida en la base de datos o cuando se considere que se ha incumplido con cualquiera de los deberes que les corresponde.

DERECHO DE PETICION-Derecho instrumental/DERECHO DE PETICION-Características de la repuesta que lo satisface/DERECHO DE PETICION EN CONSULTAS DE DATOS PERSONALES-Regulación

La jurisprudencia constitucional ha perfilado unas características que debe tener la respuesta para que se entienda satisfecho el derecho de petición, que en el caso de los responsables como de los encargados del tratamiento están obligados a observar, que se pueden resumir de la siguiente manera: (i) la respuesta debe ser de fondo, es decir, no puede evadirse el objeto de la petición, (ii) que de forma completa y clara se respondan a los interrogantes planteados por el solicitante, (iii) oportuna, asunto que obliga a respetar los términos fijados en la norma. Así, el derecho de petición que se regula en la norma objeto de análisis se convierte en un instrumento con el que cuenta el titular del dato para hacer exigible o realizable el derecho autónomo de habeas data, siendo definido el derecho de petición como un derecho instrumental a través del cual el ciudadano se acerca a la administración o a aquellos privados que en razón de la actividad que desarrollan ostentan una posición de privilegio sobre el resto de particulares, que obliga al Estado a regular mecanismos que le permitan a estos últimos tener una herramienta  que los  obligue  a responder a las inquietudes e inconformidades que se puedan  generar por razón de la actividad que éstos desplieguen, en procura de lograr la satisfacción de otros derechos fundamentales.

QUEJA ANTE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO-Requisito de procedibilidad/ACCION DE TUTELA PARA LA PROTECCION DEL DERECHO AL HABEAS DATA-Procedencia

El precepto previsto en el proyecto de ley estatutaria establece que sólo se podrá elevar queja ante la Superintendencia de Industria y Comercio como la autoridad de protección del dato, una vez se haya agotado el trámite de consulta o reclamo ante el responsable o encargado del tratamiento, lo que resulta proporcional y razonable, ya que la norma (i) no fija términos o plazos irrazonables para que los agentes del tratamiento respondan las consultas y reclamos; (ii) se regula con detalle el procedimiento a seguir, lo que le garantiza al titular del dato que para obtener la respuesta a una consulta o a un reclamo, el sujeto requerido no podrá ponerle trabas que impidan el ejercicio de su derecho, y en el evento en que así suceda, pues ello será suficiente para acudir ante la autoridad de protección del dato.

RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES-Definición

El responsable del tratamiento es aquel que define los fines y medios esenciales para el tratamiento del dato, incluidos quienes fungen como fuente y usuario y los deberes que se le adscriben responden a los principios de la administración de datos y a los derechos –intimidad y habeas data- del titular del dato personal. El responsable del tratamiento es quien debe solicitar y conservar la autorización en la que conste el consentimiento expreso del titular para el tratamiento de sus datos, así como informar con claridad la finalidad del mismo.

ENCARGADO DEL TRATAMIENTO DE DATOS PERSONALES-Definición

El encargado del tratamiento es quien realiza del tratamiento de datos personales por cuenta del responsable del tratamiento, quien, en cumplimiento de los principios de libertad y finalidad, al recibir la delegación para tratar el dato en los términos en que lo determine el responsable, debe cerciorarse de que aquel tiene la autorización para su tratamiento y que el tratamiento se realizará para las finalidades informadas y aceptadas por el titular del dato. Si bien, en razón de la posición que cada uno de estos sujetos ocupa en las etapas del proceso del tratamiento del dato, es al responsable al que le corresponde obtener y conservar la autorización del titular, ello no impide al encargado solicitar a su mandante exhibir la autorización correspondiente y verificar que se cumpla la finalidad informada y aceptada por el titular de dato.

DERECHO AL HABEAS DATA EN TRATAMIENTO DE DATOS PERSONALES-Deberes y responsabilidades de los responsables y encargados del tratamiento/DERECHO AL HABEAS DATA EN TRATAMIENTO DE DATOS PERSONALES-Responsabilidad en casos de concurrencia de calidades de responsable y encargado del tratamiento

En el proyecto de ley estatutaria el legislador enlistó en preceptos separados los deberes de los responsables y de los encargados del tratamiento, deberes que, en términos generales, buscan garantizar el pleno ejercicio del derecho al habeas data por parte de los titulares, así como los principios de la administración de datos personales. Estos deberes en cabeza del responsable y del encargado del tratamiento,  permiten garantizar, prima facie, el ámbito de protección del derecho de habeas data, por cuanto, como lo precisó esta Corporación en la sentencia C-1011 de 2008, todos los principios de administración de datos personales identificados por la jurisprudencia constitucional, son oponibles a todos los sujetos involucrados en los procesos de recolección, tratamiento y circulación de datos, independientemente de la posición que ocupen en el tratamiento del dato. Como es posible que un encargado del tratamiento resulte convirtiéndose en responsable al definir la finalidad y los elementos esenciales del medio, razón por la que sus deberes no solo serán los que señala el proyecto para su condición inicial sino para la que llegue a ostentar y en tal evento en que concurran las calidades de responsable y encargado del tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos para cada uno. En el mismo sentido, cuando esa calidad llegue a mudar por el tratamiento que uno de ellos llegue a dar al dato personal. Asimismo, pese al uso de una terminología diversa a la que emplea la Ley 1266 de 2008, lo cierto es que tanto el responsable como el encargado del tratamiento tienen responsabilidades claras, concretas y precisas frente al titular del dato, por cuanto ambos sujetos están obligados a garantizar el ejercicio pleno y efectivo del derecho al habeas data, el cual se irradia por todos los principios que rigen el tratamiento de datos, en donde el titular  dispone de todos los medios para lograr la actualización, rectificación y  supresión o cancelación de la información, según lo analizado en el acápite anterior. En estos términos, tanto el responsable como el encargado del tratamiento tienen una responsabilidad concurrente frente a la veracidad, integridad, finalidad e incorporación del dato, si se tiene en cuenta que la recolección y procesamiento de datos no es una actividad neutra que impida al encargado del tratamiento responder, incluso por la veracidad de la información sujeta a proceso, pues a éste le corresponde cerciorarse que se cumplan los requisitos para que un dato personal pueda ser objeto de tratamiento, y si no fuere posible identificar de forma clara la posición de uno y otro, tendrán que responder de forma solidaria y no podrán excusar sus deberes de actualización, rectificación y exclusión o supresión del dato.

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO-Competencias como autoridad de protección de datos personales/SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO-Potestades en materia de habeas data y protección de datos personales

PODER DE POLICIA ADMINISTRATIVA-Ejercicio por parte de la Superintendencia de Industria y Comercio

El artículo 19 del proyecto de ley estatutaria regula la autoridad de protección de datos, y designa como tal a la Superintendencia de Industria y Comercio, a través de una Delegatura para la protección de datos personales, lo que implica la creación dentro de la estructura de la superintendencia, de un despacho para un Superintendente Delegado para ejercer las funciones de Autoridad de Protección de Datos, resultando claro que la protección de los datos personales requiere no solo de una regulación que consagre los principios que rigen el tratamiento del dato, los derechos de su titular, los deberes y responsabilidades de los sujetos que intervienen en su tratamiento, sea cual sea la denominación que éstos reciban, sino de un régimen sancionatorio expreso, como de una institucionalidad que permita un control y ámbito de garantía efectivo del derecho al habeas data. Las superintendencias, pese a que están en el ámbito de la rama ejecutiva del poder público y dependen del Presidente de la República poseen un carácter independiente y autónomo por tratarse de organismos técnicos con autonomía administrativa y obligados a satisfacer en ejercicio de sus competencias los principios que, en los términos del artículo 209 de la Constitucional, rigen la función administrativa, características éstas que garantizan el cumplimiento de los estándares internacionales fijados sobre las autoridades encargadas de la protección de datos.

INGRESOS CORRIENTES DE LA NACION-Clasificación

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO-Multas que imponga constituyen ingresos no tributarios que no pueden destinarse al funcionamiento de la superintendencia/SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO-Destinar las multas que imponga para su funcionamiento contradice la prohibición de destinación de rentas específicas y el principio de unidad de caja

PRINCIPIOS DE ESPECIFICIDAD DEL GASTO Y UNIDAD DE CAJA-Vulneración

Conforme con el artículo 359 de la Constitución que consagra que “No habrá rentas de destinación específica”, principio éste que guarda estrecha relación con el principio de unidad de caja, estipulado en el Decreto 111 de 1996 (Estatuto Orgánico del Presupuesto), el cual sostiene que “Con el recaudo de todas las rentas y recursos de capital se atenderá el pago oportuno de todas las apropiaciones autorizadas en el Presupuesto General de la Nación”; es decir, que la totalidad de los ingresos públicos deben ingresar sin previa destinación a un fondo común desde donde se asignan a la financiación del gasto público, por lo que concluye la Sala que destinar al funcionamiento de la Superintendencia de Industria y Comercio, las multas generadas con ocasión del ejercicio de las funciones que le otorga el proyecto en revisión, contradice la prohibición de destinación de rentas específicas y el de unidad de caja establecido por el Estatuto Orgánico del Presupuesto Nacional.

AUTORIDAD DE PROTECCION DE DATOS PERSONALES-Estándares internacionales

AUTORIDAD DE PROTECCION DE DATOS PERSONALES EN DERECHO COMPARADO-España

AUTORIDAD DE PROTECCION DE DATOS PERSONALES EN DERECHO COMPARADO-Portugal

AUTORIDAD DE PROTECCION DE DATOS PERSONALES EN DERECHO COMPARADO-Argentina

AUTORIDAD DE PROTECCION DE DATOS PERSONALES EN DERECHO COMPARADO-Uruguay

PODER SANCIONADOR DEL ESTADO-Definición/PODER SANCIONADOR DEL ESTADO-Principios a que está sometido

El poder sancionador estatal ha sido definido como un instrumento de autoprotección, en cuanto contribuye a preservar el orden jurídico institucional mediante la asignación de competencias a la administración que la habilitan para imponer a sus propios funcionarios y a los particulares el acatamiento, inclusive por medios punitivos, de una disciplina cuya observancia contribuye a la realización de sus cometidos. Esa potestad es una manifestación del jus punendi, por lo que está sometida a los siguientes principios: (i) el principio de legalidad, que se traduce en la existencia de una ley que la regule; es decir, que corresponde sólo al legislador ordinario o extraordinario su definición. (ii) El principio de tipicidad que, si bien no es igual de riguroso al penal, sí obliga al legislador a hacer una descripción de la conducta o del comportamiento que da lugar a la aplicación de la sanción y a determinar expresamente la sanción. (iii) El debido proceso que exige entre otros, la definición de un procedimiento, así sea sumario, que garantice el debido proceso y, en especial, el derecho de defensa, lo que incluye la designación expresa de la autoridad competente para imponer la sanción. (iv) El principio de proporcionalidad que se traduce en que la sanción debe ser proporcional a la falta o infracción administrativa que se busca sancionar. (v) La independencia de la sanción penal; esto significa que la sanción se puede imponer independientemente de si el hecho que da lugar a ella también puede constituir infracción al régimen  penal.  

PRINCIPIO DE TIPICIDAD EN DERECHO ADMINISTRATIVO SANCIONADOR-No se vulnera cuando la falta o infracción está descrita de manera específica y precisa, o sea determinable

REMISION NORMATIVA Y PRINCIPIOS DE DEBIDO PROCESO Y DEFENSA EN REGIMEN SANCIONATORIO-Aplicación no resulta inconstitucional

La Sala encuentra que en el procedimiento que debe aplicarse para la imposición de las sanciones se hace un reenvío al Código Contencioso Administrativo; es decir, pese a que el legislador estatutario expresamente no consagró “el procedimiento” para la aplicación de las sanciones contempladas en el artículo 23, ese reenvió permite señalar que el inciso se ajusta al artículo 29 de la Constitución, toda vez que sí existe un procedimiento específico que debe aplicar la autoridad de protección del dato, procedimiento que satisface el derecho al debido proceso y defensa.

REGIMEN SANCIONATORIO EN LEY DE HABEAS DATA Y PROTECCION DE DATOS PERSONALES-Respeta principios de reserva de ley, Legalidad y tipicidad

SANCIONES EN LEY DE HABEAS DATA Y PROTECCION DE DATOS PERSONALES-Competencia para imponerlas y graduarlas

REGIMEN SANCIONATORIO EN LEY DE HABEAS DATA Y PROTECCION DE DATOS PERSONALES-Satisface los principios de proporcionalidad y razonabilidad

REGISTRO NACIONAL DE BASES DE DATOS-Creación/ REGISTRO NACIONAL DE BASES DE DATOS-Objeto/REGISTRO NACIONAL DE BASES DE DATOS-Administración a cargo de la Superintendencia de Industria y Comercio/REGISTRO NACIONAL DE BASES DE DATOS-Reglamentación por el Gobierno de contenido y condiciones de inscripción

TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES-Origen

TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES-Prohibición sujeta a verificación de niveles adecuados de protección de datos/SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO-Determina parámetros de garantía de protección de datos personales/TRANSFERENCIA DE DATOS PERSONALES A OTROS PAISES-Excepciones a prohibición sujetas a que medie autorización previa y expresa del titular del dato

La transferencia internacional de datos personales ha surgido como consecuencia de la globalización y los fenómenos de integración económica y social, en los que tanto las empresas como las entidades gubernamentales requieren transferir datos personales destinados a diferentes propósitos, resultando acertada la prohibición de transferencia de datos personales a países que no proporcionen niveles adecuados de protección de datos, con lo que se evita lesionar derechos de las personas como el derecho a la intimidad. Los niveles adecuados de protección se entiende satisfechos si su legislación cuenta: con unos principios que abarquen obligaciones y derechos de las partes y de los datos; y con un procedimiento de protección que involucre mecanismos y autoridades que efectivicen la protección de la información. El artículo 26 del Proyecto de Ley, crea un conjunto de excepciones a la regla que prohíbe la transferencia de datos personales a un país que no garantice un nivel de protección adecuado, que para la Corte no ofrecen reparo alguno de inconstitucionalidad, en la medida que medie autorización previa y expresa del titular de los datos, a excepción de la prevista en el literal f) del mismo artículo, que la Corte encuentra que lo allí estipulado maneja términos que pueden ser objeto de imprecisiones y que dada su naturaleza amplia y ambigua generan inconvenientes al momento de su aplicación, y teniendo en consideración que se trata de la regulación del derecho fundamental al habeas data, debe recordarse que las limitaciones impuestas a su ejercicio a través de la consagración de excepciones, han de ser precisas sin emplear conceptos que por su grado de indeterminación pueden comprometer el ejercicio o el goce de otros derechos constitucionales.

TRATAMIENTO DE DATOS PERSONALES-Concepto/TRATAMIENTO DE DATOS PERSONALES-Toca aspectos esenciales del derecho al habeas data

REGULACION DE TRATAMIENTO SOBRE DATOS PERSONALES EN LEY DE HABEAS DATA-Materia sometida a reserva de ley estatutaria/DISPOSICIONES ESPECIALES EN LEY DE HABEAS DATA-No susceptibles de reglamentación por el Gobierno

Tratamiento de datos personales es cualquier operación o conjunto de operaciones, sean o no automatizadas, que se apliquen a datos de carácter personal, en especial su recogida, conservación, utilización, revelación o supresión, y su proceso puede ser público o privado, requiriendo, en los términos de la jurisprudencia de esta Corporación, definiciones claras sobre el objeto o la actividad de las entidades administradoras de bases de datos, las regulaciones internas, los mecanismos técnicos para la recopilación, procesamiento, almacenamiento, seguridad y divulgación de los datos personales y la reglamentación sobre usuarios de los servicios de las administradoras de las bases de datos, por lo que entendido así el tratamiento sobre datos personales, es claro que su regulación es una competencia que tiene reserva del legislador, porque toca aspectos del derecho al habeas data, y de ninguna manera pueden quedar librados a que sea el Ejecutivo quien haga su ordenación. En estas condiciones, el artículo 27 del proyecto de ley estatutaria, prevé una autorización para que el Gobierno Nacional regule lo concerniente al tratamiento sobre datos personales que requieran de disposiciones especiales, autorización que resulta inadmisible toda vez que dichas regulaciones deben ser expedidas exclusivamente por el legislador y no por el Ejecutivo.

NORMAS CORPORATIVAS-Concepto/NORMAS CORPORATIVAS-Constituyen un complemento de la regulación de los Estados para protección de datos personales/NORMAS CORPORATIVAS EN PROYECTO DE LEY DE HABEAS DATA Y PROTECCION DE DATOS PERSONALES-Sujetas a reglamentación gubernamental

Las normas corporativas hacen referencia a principios de buen gobierno o regulaciones de buenas prácticas creadas directamente por las organizaciones con carácter vinculante para sus miembros, constituyéndose en códigos internacionales de conducta para la protección de datos personales en especial en su flujo. La delegación que hace la norma para que sea el Gobierno Nacional el que reglamente los contenidos mínimos que deben contener estas normas corporativas se ajusta a la Constitución, pues en desarrollo de los principios que rigen la administración de los datos personales, estos códigos de conducta para las buenas prácticas en esta materia, se convierten en un instrumento adicional para la efectiva garantía del derecho al habeas data.  

REGIMEN DE TRANSICION EN PROYECTO DE LEY DE HABEAS DATA Y PROTECCION DE DATOS PRESONALES-Previsión  no vulnera la Constitución

Referencia: expediente PE-032

Control constitucional al Proyecto de Ley Estatutaria No. 184 de 2010 Senado; 046 de 2010 Cámara, “por la cual se dictan disposiciones generales para la protección de datos personales”

Magistrado Ponente:

JORGE IGNACIO PRETELT CHALJUB

Bogotá D. C., seis (6) de octubre de dos mil once (2011)

La Sala Plena de la Corte Constitucional, conformada por los magistrados Juan Carlos Henao Pérez –quien la preside, María Victoria Calle Correa, Mauricio González Cuervo, Gabriel Eduardo Mendoza Martelo, Jorge Iván Palacio Palacio, Nilson Pinilla Pinilla, Jorge Ignacio Pretelt Chaljub, Humberto Antonio Sierra Porto y Luis Ernesto Vargas Silva, en ejercicio de sus atribuciones constitucionales y en cumplimiento de los requisitos y trámites establecidos en el Decreto 2067 de 1991, ha proferido la presente sentencia con fundamento en los siguientes,

ANTECEDENTES

Mediante oficio del 17 de enero de 2011, el Presidente del Senado de la República, Dr. Armando Benedetti Villaneda, remitió a la Corte Constitucional el texto del Proyecto de Ley Estatutaria No. 184 de 2010 Senado; 046 de 2010 Cámara, “por la cual se dictan disposiciones generales para la protección de datos personales”, con el fin de que la Corte adelante el estudio oficioso a que hace referencia el artículo 241-8 de la Constitución Política.

TEXTO DEL PROYECTO DE LEY:

TEXTO CONCILIADO DEL PROYECTO DE LEY ESTATUTARIA NÚMERO 184 DE 2010 SENADO, 046 DE 2010 CÁMARA

“por la cual se dictan disposiciones generales para la protección de datos personales”

El Congreso de Colombia

DECRETA:

TÍTULO I

OBJETO, ÁMBITO DE APLICACIÓN  Y DEFINICIONES

Artículo 1°. Objeto. La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma.

Artículo 2°. Ámbito de aplicación. Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada.

La presente ley aplicará al Tratamiento de datos personales efectuado en territorio colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales.

El régimen de protección de datos personales que se establece en la presente ley no será de aplicación:

a) A las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico.

Cuando estas bases de datos o archivos vayan a ser suministrados a terceros se deberá, de manera previa, informar al Titular y solicitar su autorización. En este caso los Responsables y Encargados de las bases de datos y archivos quedarán sujetos a las disposiciones contenidas en la presente ley.

b) A las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo.

c) A las bases de datos que tengan como fin y contengan información de inteligencia y contrainteligencia.

d) A las bases de datos y archivos de información periodística y otros contenidos editoriales.

e) A las bases de datos y archivos regulados por la Ley 1266 de 2008.

f) A las bases de datos y archivos regulados por la Ley 79 de 1993.

Parágrafo. Los principios sobre protección de datos serán aplicables a todas las bases de datos, incluidas las exceptuadas en el presente artículo, con los límites dispuestos en la presente ley y sin reñir con los datos que tienen características de estar amparados por la reserva legal. En el evento que la normatividad especial que regule las bases de datos exceptuadas prevea principios que tengan en consideración la naturaleza especial de datos, los mismos aplicarán de manera concurrente a los previstos en la presente ley.

Artículo 3°. Definiciones. Para los efectos de la presente ley, se entiende por:

a) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.

b) Base de datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.

c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

d) Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.

e) Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.

f) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.

g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

TÍTULO II

PRINCIPIOS RECTORES

Artículo 4°. Principios para el tratamiento de datos personales. En el desarrollo, interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los siguientes principios:

a) Principio de legalidad en materia de tratamiento de datos: el tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.

b) Principio de finalidad: el tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, la cual debe ser informada al titular.

c) Principio de libertad: el tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

d) Principio de veracidad o calidad: la información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

e) Principio de transparencia: en el tratamiento debe garantizarse el derecho del titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.

f) Principio de acceso y circulación restringida: el tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el tratamiento sólo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la presente ley.

Los datos personales, salvo la información pública, no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a la presente ley.

g) Principio de seguridad: la información sujeta a tratamiento por el responsable del tratamiento o encargado del tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

h) Principio de confidencialidad: todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.

TÍTULO III

CATEGORÍAS ESPECIALES DE DATOS

Artículo 5°. Datos sensibles. Para los propósitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

Artículo 6°. Tratamiento de datos sensibles. Se prohíbe el Tratamiento de datos sensibles, excepto cuando:

a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.

b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.

c) El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular.

d) El Tratamiento se refiera a datos que el Titular haya hecho manifiestamente públicos o sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

e) El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.

Artículo 7°. Derechos de los niños, niñas y adolescentes. En el Tratamiento se asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes.

Queda proscrito el Tratamiento de datos personales de niños, niñas y adolescentes, salvo aquellos datos que sean de naturaleza pública.

Es tarea del Estado y las entidades educativas de todo tipo proveer información y capacitar a los representantes legales y tutores sobre los eventuales riesgos a los que se enfrentan los niños, niñas y adolescentes respecto del Tratamiento indebido de sus datos personales, y proveer de conocimiento acerca del uso responsable y seguro por parte de niños, niñas y adolescentes de sus datos personales, su derecho a la privacidad y protección de su información personal y la de los demás. El Gobierno Nacional reglamentará la materia, dentro de los seis (6) meses siguientes a la promulgación de esta ley.

TÍTULO IV

DERECHOS Y CONDICIONES  DE LEGALIDAD PARA EL TRATAMIENTO DE DATOS

Artículo 8°. Derechos de los titulares. El Titular de los datos personales tendrá los siguientes derechos:

a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.

b) Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la presente ley.

c) Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales.

d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen.

e) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión sólo procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución.

f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.

Artículo 9°. Autorización del titular. Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior.

Artículo 10. Casos en que no es necesaria la autorización. La autorización del Titular no será necesaria cuando se trate de:

a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.

b) Datos de naturaleza pública.

c) Casos de urgencia médica o sanitaria.

d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.

e) Datos relacionados con el Registro Civil de las Personas.

Quien acceda a los datos personales sin que medie autorización previa deberá en todo caso cumplir con las disposiciones contenidas en la presente ley.

Artículo 11. Suministro de la información. La información solicitada podrá ser suministrada por cualquier medio, incluyendo los electrónicos, según lo requiera el Titular. La información deberá ser de fácil lectura, sin barreras técnicas que impidan su acceso y deberá corresponder en un todo a aquella que repose en la base de datos.

El Gobierno Nacional establecerá la forma en la cual los Responsables del Tratamiento y Encargados del Tratamiento deberán suministrar la información del Titular, atendiendo a la naturaleza del dato personal. Esta reglamentación deberá darse a más tardar dentro del año siguiente a la promulgación de la presente ley.

Artículo 12. Deber de informar al titular. El Responsable del Tratamiento, al momento de solicitar al Titular la autorización, deberá informarle de manera clara y expresa lo siguiente:

a) El Tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo.

b) El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.

c) Los derechos que le asisten como Titular.

d) La identificación, dirección física o electrónica y teléfono del Responsable del Tratamiento.

Parágrafo. El Responsable del Tratamiento deberá conservar prueba del cumplimiento de lo previsto en el presente artículo y, cuando el Titular lo solicite, entregarle copia de esta.

Artículo 13. Personas a quienes se les puede suministrar la información. La información que reúna las condiciones establecidas en la presente ley podrá suministrarse a las siguientes personas:

a) A los Titulares, sus causahabientes o sus representantes legales.

b) A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.

c) A los terceros autorizados por el Titular o por la ley.

TÍTULO V

PROCEDIMIENTOS

Artículo 14. Consultas. Los Titulares o sus causahabientes podrán consultar la información personal del Titular que repose en cualquier base de datos, sea esta del sector público o privado. El Responsable del Tratamiento o Encargado del Tratamiento deberán suministrar a estos toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular.

La consulta se formulará por el medio habilitado por el Responsable del Tratamiento o Encargado del Tratamiento, siempre y cuando se pueda mantener prueba de esta.

La consulta será atendida en un término máximo de diez (10) días hábiles, contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

Parágrafo. Las disposiciones contenidas en leyes especiales o los reglamentos expedidos por el Gobierno Nacional podrán establecer términos inferiores, atendiendo a la naturaleza del dato personal.

Artículo 15. Reclamos. El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta ley, podrán presentar un reclamo ante el Responsable del Tratamiento o el Encargado del Tratamiento el cual será tramitado bajo las siguientes reglas:

1. El reclamo se formulará mediante solicitud dirigida al Responsable del Tratamiento o al Encargado del Tratamiento, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.

2. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.

3. El término máximo para atender el reclamo será de quince (15) días hábiles, contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Artículo 16. Requisito de procedibilidad. El Titular o causahabiente sólo podrá elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante el Responsable del Tratamiento o Encargado del Tratamiento.

TÍTULO VI

DEBERES DE LOS RESPONSABLES  DEL TRATAMIENTO Y ENCARGADOS DEL TRATAMIENTO

Artículo 17. Deberes de los Responsables del Tratamiento. Los Responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.

b) Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular.

c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.

d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

e) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.

f) Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.

g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.

h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley.

i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del  Titular.

j) Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley.

k) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos.

l) Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.

m) Informar a solicitud del Titular sobre el uso dado a sus datos.

n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

Artículo 18. Deberes de los Encargados del Tratamiento. Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.

b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

c) Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley.

d) Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles, contados a partir de su recibo.

e) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley.

f) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares.

g) Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en la presente ley.

h) Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.

i) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.

j) Permitir el acceso a la información únicamente a las personas que pueden tener acceso  a ella.

k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los  Titulares.

l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

Parágrafo. En el evento en que concurran las calidades de Responsable del Tratamiento y Encargado del Tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos para cada uno.

TÍTULO VII

DE LOS MECANISMOS DE VIGILANCIA  Y SANCIÓN

CAPÍTULO I

DE LA AUTORIDAD DE PROTECCIÓN DE DATOS

Artículo 19. Autoridad de protección de datos. La Superintendencia de Industria y Comercio, a través de una Delegatura para la Protección de Datos Personales, ejercerá la vigilancia para garantizar que en el Tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la presente ley.

Parágrafo 1°. El Gobierno Nacional en el plazo de seis (6) meses, contados a partir de la fecha de entrada en vigencia de la presente ley incorporará dentro de la estructura de la Superintendencia de Industria y Comercio un despacho de Superintendente Delegado para ejercer las funciones de Autoridad de Protección de Datos.

Parágrafo 2°. La vigilancia del tratamiento de los datos personales regulados en la Ley 1266 de 2008 se sujetará a lo previsto en dicha norma.

Artículo 20. Recursos para el ejercicio de sus funciones. La Superintendencia de Industria y Comercio contará con los siguientes recursos para ejercer las funciones que le son atribuidas por la presente ley:

a) Las multas que se impongan a los sometidos a vigilancia.

b) Los recursos que le sean destinados en el Presupuesto General de la Nación.

Artículo 21. Funciones. La Superintendencia de Industria y Comercio ejercerá las siguientes funciones:

a) Velar por el cumplimiento de la legislación en materia de protección de datos personales.

b) Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. Para el efecto, siempre que se desconozca el derecho, podrá disponer que se conceda el acceso y suministro de los datos, la rectificación, actualización o supresión de los mismos.

c) Disponer el bloqueo temporal de los datos cuando, de la solicitud y de las pruebas aportadas por el Titular, se identifique un riesgo cierto de vulneración de sus derechos fundamentales, y dicho bloqueo sea necesario para protegerlos mientras se adopta una decisión definitiva.

d) Promover y divulgar los derechos de las personas en relación con el Tratamiento de datos personales e implementara campañas pedagógicas para capacitar e informar a los ciudadanos acerca del ejercicio y garantía del derecho fundamental a la protección de datos.

e) Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley.

f) Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones.

g) Proferir las declaraciones de conformidad sobre las transferencias internacionales de datos.

h) Administrar el Registro Nacional Público de Bases de Datos y emitir las órdenes y los actos necesarios para su administración y funcionamiento.

i) Sugerir o recomendar los ajustes, correctivos o adecuaciones a la normatividad que resulten acordes con la evolución tecnológica, informática o comunicacional.

j) Requerir la colaboración de entidades internacionales o extranjeras cuando se afecten los derechos de los Titulares fuera del territorio colombiano con ocasión, entre otras, de la recolección internacional de datos personales.

k) Las demás que le sean asignadas por ley.

CAPÍTULO II

PROCEDIMIENTO Y SANCIONES

Artículo 22. Trámite. La Superintendencia de Industria y Comercio, una vez establecido el incumplimiento de las disposiciones de la presente ley por parte del Responsable del Tratamiento o el Encargado del Tratamiento, adoptará las medidas o impondrá las sanciones correspondientes.

En lo no reglado por la presente ley y los procedimientos correspondientes se seguirán las normas pertinentes del Código Contencioso Administrativo.

Artículo 23. Sanciones. La Superintendencia de Industria y Comercio podrá imponer a los Responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones:

a) Multas de carácter personal e institucional a favor de la Superintendencia de Industria y Comercio hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó.

b) Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.

c) Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio.

d) Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos  sensibles.

Parágrafo. Las sanciones indicadas en el presente artículo solo aplican para las personas de naturaleza privada. En el evento en el cual la Superintendencia de Industria y Comercio advierta un presunto incumplimiento de una autoridad pública a las disposiciones de la presente ley, remitirá la actuación a la Procuraduría General de la Nación para que adelante la investigación respectiva.

Artículo 24. Criterios para graduar las sanciones. Las sanciones por infracciones a las que se refieren el artículo anterior, se graduarán atendiendo los siguientes criterios, en cuanto resulten aplicables:

a) La dimensión del daño o peligro a los intereses jurídicos tutelados por la presente ley.

b) El beneficio económico obtenido por el infractor o terceros, en virtud de la comisión de la infracción.

c) La reincidencia en la comisión de la infracción.

d) La resistencia, negativa u obstrucción a la acción investigadora o de vigilancia de la Superintendencia de Industria y Comercio.

e) La renuencia o desacato a cumplir las órdenes impartidas por la Superintendencia de Industria y Comercio.

f) El reconocimiento o aceptación expresos que haga el investigado sobre la comisión de la infracción antes de la imposición de la sanción a que hubiere lugar.

CAPÍTULO III

DEL REGISTRO NACIONAL DE BASES DE DATOS

Artículo 25. Definición. El Registro Nacional de Bases de Datos es el directorio público de las bases de datos sujetas a Tratamiento que operan en el país.

El registro será administrado por la Superintendencia de Industria y Comercio y será de libre consulta para los ciudadanos.

Para realizar el registro de bases de datos, los interesados deberán aportar a la Superintendencia de Industria y Comercio las políticas de tratamiento de la información, las cuales obligarán a los responsables y encargados del mismo, y cuyo incumplimiento acarreará las sanciones correspondientes. Las políticas de Tratamiento en ningún caso podrán ser inferiores a los deberes contenidos en la presente ley.

Parágrafo. El Gobierno Nacional reglamentará, dentro del año siguiente a la promulgación de la presente ley, la información mínima que debe contener el Registro, y los términos y condiciones bajo los cuales se deben inscribir en este los Responsables del Tratamiento.

TÍTULO VIII

TRANSFERENCIA DE DATOS  A TERCEROS PAÍSES

Artículo 26. Prohibición. Se prohíbe la transferencia de datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos. Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios.

Esta prohibición no regirá cuando se trate de:

a) Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia.

b) Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública.

c) Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable.

d) Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad.

e) Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular.

f) Transferencias necesarias o legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

Parágrafo 1°. En los casos no contemplados como excepción en el presente artículo, corresponderá a la Superintendencia de Industria y Comercio, proferir la declaración de conformidad relativa a la transferencia internacional de datos personales. Para el efecto, el Superintendente queda facultado para requerir información y adelantar las diligencias tendientes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de la operación.

Parágrafo 2°. Las disposiciones contenidas en el presente artículo serán aplicables para todos los datos personales, incluyendo aquellos contemplados en la Ley 1266 de 2008.

TÍTULO IX

OTRAS DISPOSICIONES

Artículo 27. Disposiciones especiales. El Gobierno Nacional regulará lo concerniente al Tratamiento sobre datos personales que requieran de disposiciones especiales. En todo caso, dicha reglamentación no podrá ser contraria a las disposiciones contenidas en la presente ley.

Artículo 28. Normas corporativas vinculantes. El Gobierno Nacional expedirá la reglamentación correspondiente sobre Normas Corporativas Vinculantes para la certificación de buenas prácticas en protección de datos personales y su transferencia a terceros países.

Artículo 29. Certificación de antecedentes judiciales. El Departamento Administrativo de Seguridad, DAS, o quien ejerza esta función, mantendrá y actualizará los registros delictivos y de identificación nacional de acuerdo con los informes y avisos que para el efecto deberán remitirle las autoridades judiciales, conforme a la Constitución Política y la ley.

Al expedir certificados judiciales por petición ciudadana, el Departamento Administrativo de Seguridad o quien ejerza esta función, se abstendrá de incluir como antecedente penal los registros delictivos del solicitante cuando este haya cumplido su pena o la misma haya prescrito.

Parágrafo 1°. Los archivos del Departamento Administrativo de Seguridad, o de quien ejerza esta función en esta materia, tendrán carácter reservado y en consecuencia solo se expedirán certificados o informes de los registros contenidos en ellos.

Parágrafo 2°. El Departamento Administrativo de Seguridad, DAS, o quien ejerza esta función, garantizará la disponibilidad de manera gratuita y permanente la información electrónica sobre el Certificado de Antecedentes Judiciales para ser consultados por el titular, interesado o por terceros a través de la página web de la entidad y los mismos gozarán de plena validez y legitimidad.

Parágrafo 3°. El certificado judicial expedido a solicitud de los peticionarios de sus propios registros, no será válido en aquellos cargos donde se requiera la carencia total de antecedentes.

En este caso, cuando las entidades de la Administración Pública requieran la presentación de los antecedentes judiciales, deberán dar cumplimiento estricto a lo señalado en el artículo 17 del Decreto 2150 de 1995 o la norma que la modifique, complemente, adicione o aclare.

Artículo 30. Bases de datos de inteligencia y contrainteligencia. Las bases de datos o archivos de las entidades que desarrollan actividades de inteligencia y contrainteligencia deberán guiarse estrictamente por los parámetros de tratamiento de datos establecidos en el Plan Nacional de Inteligencia y por la Junta de Inteligencia Conjunta, así como en las demás normas legales.

En todo caso la autorización de una orden de operaciones o misión de trabajo, no podrá ser emitida por un servidor público que ostente un nivel distinto al de directivo, comando o su equivalente.

Los documentos, información y equipos técnicos de los organismos que desarrollen labores de inteligencia o contrainteligencia estarán amparados por la reserva legal por un término máximo de 40 años y tendrán carácter de información reservada según el grado de clasificación que corresponda en cada caso.

Parágrafo. El servidor público que decida ampararse en la reserva legal para no suministrar información a un titular, deberá hacerlo motivadamente, señalando la razonabilidad y proporcionalidad de su decisión al requirente. En cualquier caso, frente a las decisiones señaladas procederán los recursos y acciones legales y constitucionales pertinentes.

No se podrá oponer la reserva legal a los requerimientos de los jueces y otras autoridades competentes.

Artículo 31. Valor probatorio y reserva de los informes de inteligencia y contrainteligencia. En ningún caso los informes de inteligencia tendrán valor probatorio dentro de los procesos judiciales, pero su contenido podrá constituir criterio orientador para el desarrollo de los actos urgentes que desarrolla la policía judicial en materia penal. En todo caso se garantizará la reserva para proteger la identidad de quienes son objeto de dichos informes, de los funcionarios de inteligencia y contrainteligencia, sus métodos y fuentes.

Artículo 32. Régimen de transición. Las personas que a la fecha de entrada en vigencia de la presente ley ejerzan alguna de las actividades acá reguladas tendrán un plazo de hasta seis (6) meses para adecuarse a las disposiciones contempladas en esta ley.

Artículo 33. Derogatorias. La presente ley deroga todas las disposiciones que le sean contrarias a excepción de aquellas contempladas en el artículo segundo.

Artículo 34. Vigencia. La presente ley rige a partir de su promulgación.

Senador,

Luis Fernando Velasco Chaves.

Representante a la Cámara,

Alfredo Deluque Zuleta.”

INTERVENCIONES CIUDADANAS

Dentro del proceso se presentaron intervenciones de las siguientes personas y entidades: el Ministerio de Industria, Comercio y Turismo, la Secretaría Jurídica de la Presidencia de la República, la Defensoría del Pueblo, los ciudadanos Juanita Durán Vélez, Santiago Diazgranados Mesa, Alejandro Salas Pretelt, Rolfe Hernando González Sosa y María Lorena Flórez Rojas, la Universidad de los Andes, la Fundación para la Libertad de Prensa (FLP), Computec S.A. – Datacrédito, la Asociación Colombiana de Empresas de Medicina Integral (ACEMI), la Asociación Bancaria de Colombia y Entidades Financieras de Colombia (ASOBANCARIA).

La Sala hará referencia al contenido de cada una de las intervenciones al realizar el análisis de constitucionalidad tanto formal como material de cada una de las disposiciones del proyecto de ley bajo estudio.

CONCEPTO DEL PROCURADOR

El Procurador General de la Nación solicita a la Corte declarar exequible el Proyecto de Ley Estatutaria 046 de 2010 Cámara- 184 de 2010 Senado, con las siguientes precisiones:

Respecto al proceso de formación del proyecto de ley estatutaria, manifiesta lo siguiente:

Asegura que el proyecto cumple con lo previsto en el artículo 160 de la Constitución, pues (i) entre la aprobación en primer y en segundo debate en cada una de las cámaras transcurrió un tiempo no inferior a ocho días, y (ii) entre la aprobación surtida en una cámara y el inicio del debate en la otra hubo un lapso no inferior a quince días. En particular, explica que (a) la Comisión Primera de la Cámara aprobó el proyecto el 14 de septiembre de 2010 y la plenaria emitió su aprobación el 19 de octubre de 2010; (b) la Comisión Primera del Senado aprobó el proyecto el 6 de diciembre de 2010 y de la misma forma procedió la plenaria el 15 de diciembre de 2010; (c) el proyecto fue aprobado por la Cámara de Representantes el 19 de octubre de 2010 y su debate en el Senado inició el 6 de diciembre de 2010.

De otra parte, afirma que el proyecto cumplió con lo establecido en el artículo 153 de la Carta que exige la mayoría absoluta de los miembros del Congreso para aprobar proyectos de leyes estatutarias, como también que su trámite se efectúe dentro de una sola legislatura. En el caso específico, indica que se radicó el proyecto de ley el 3 de agosto de 2010 y su trámite culminó el 16 de diciembre de 2010, lo que evidencia que su trámite se surtió dentro de la legislatura que inició el 20 de julio de ese mismo año y que culminó el 20 de junio de 2011.

Respecto al análisis jurídico y material del proyecto de ley estatutaria, expresa lo siguiente:

Considera que la decisión de limitar el recaudo y tratamiento de datos personales, así como el uso y el acceso a las bases de datos que contienen esa información, es razonable, pues su finalidad es preservar del conocimiento público los datos que pertenecen la intimidad de su titular.

Sostiene que el literal c) del artículo 5 es exequible, bajo el entendido que siempre debe mediar autorización por parte del titular.

Por otra parte, indica que las excepciones a la prohibición de circulación de datos sensibles, previstas en el artículo 6, por fundarse en el consentimiento del titular o en finalidades importantes, son razonables. Sin embargo, refiere que en el caso del ejercicio de actividades legítimas de un grupo de personas, organizado sin ánimo de lucro, como es el caso de las fundaciones, las ONG, las asociaciones, los sindicatos o cualquier otra; el hecho de pertenecer a dicho grupo no es razón para obviar la necesidad de obtener la autorización previa del titular de los datos.

Sostiene que la especial protección que se da a los datos personales de niños, niñas y adolescentes en el artículo 7 es razonable, ya que se desprende de su condición de sujetos de especial protección constitucional. No obstante, indica que la excepción prevista en este precepto respecto de los datos que son de “naturaleza pública”, puede generar dos situaciones conflictivas: en primer lugar, parte de que los niños, niñas y adolescentes no tienen capacidad plena para otorgar su consentimiento, lo que se pretende superar con la exigencia de autorización de sus padres o tutores; y en segundo lugar, no tiene en cuenta que esta población, al tener acceso sin restricciones a Internet, en especial a las redes sociales, puede publicar de manera irreflexiva sus datos personales y su intimidad. Por lo anterior, el Ministerio Público considera que la expresión “naturaleza pública”, en tanto excepción a la prohibición de tratamiento de datos sensibles de los niños, niñas y adolescentes, debe declararse inexequible.

Sobre el artículo 10 del proyecto, en el cual se encuentran establecidos los sucesos en los cuales no es necesaria la autorización del titular, específicamente en relación con el tercer evento referido a “que se trate de un caso de urgencia médica o sanitaria”, estima que es una excepción razonable, pues busca salvaguardar la vida e integridad física del titular del dato. No obstante, aclara que esta excepción sólo puede cobijar al personal médico o científico que atiende la urgencia.

Con respecto al inciso del artículo 10 que establece que “(…) quien acceda a los datos personales sin que medie autorización previa deberá en todo caso cumplir con las disposiciones contenidas en la presente ley (…)”, el Procurador considera que deja abierta la puerta a graves transgresiones, en tanto invalida la prohibición de tratar los datos personales sin consentimiento del titular, lo cual es irrazonable e inaceptable en términos constitucionales. Agrega que si un dato se obtiene sin el consentimiento previo de su titular, salvo las excepciones previstas en la ley, se está vulnerando el artículo 15 de la Constitución. La misma consecuencia puede aplicarse cuando dicho dato se hace circular. Por estas razones solicita que el precepto sea declarado inexequible.

Manifiesta que el parágrafo del artículo 14, específicamente en lo referente a que “(…) el Gobierno Nacional podrá establecer términos inferiores a los señalados en los procedimientos contemplados en la ley”, aunque en principio podría concluirse que es una medida favorable para los intereses de los titulares de los datos y, por tanto, no existiría una restricción a sus derechos, es una medida inconstitucional. Aduce que no puede pasarse por alto que la competencia para regular los mecanismos de protección de los derechos fundamentales que tienen que ver con el núcleo esencial de los mismos, corresponde exclusivamente al legislador estatutario. Por lo anterior, cualquier modificación de los mecanismos de protección, así beneficie al titular del derecho, le corresponde realizarlo al Congreso a través de una ley estatutaria.

En relación con el artículo 27, teniendo en cuenta las razones expuestas precedentemente, recuerda que la competencia para regular los mecanismos de protección de los derechos fundamentales, en la medida en que afecten el núcleo esencial de los mismos, goza de reserva de ley estatutaria. Por tanto, concluye que este precepto es inexequible.

También pone de presente que la expresión “podrá constituir criterio orientador para el desarrollo de los actos urgentes que desarrolla la policía judicial en materia penal”, contenida en el artículo 31, es exequible bajo el entendido que para llevar a cabo esas actividades se requiere orden judicial. En su criterio, si no se trata de prevenir un grave riesgo inminente, sino de investigar delitos, esto es, el desarrollo de la tarea propia de policía judicial en materia penal, siempre debe existirse una orden judicial previa.

Por último, alega que la expresión “o los reglamentos expedidos por el Gobierno Nacional” contenida en el parágrafo del artículo 14, es inexequible.

METODOLOGÍA

La revisión integral del proyecto de ley estatutaria se desarrollará de la siguiente manera. En primer lugar, y de manera previa al estudio de constitucionalidad, la Sala hará una referencia al origen histórico y el alcance del derecho fundamental al habeas data. En segundo lugar, determinará cuál fue el modelo de regulación adoptada por el legislador estatutario y sus implicaciones en el análisis de constitucionalidad de las disposiciones del Proyecto. Establecido el marco general de protección de datos en Colombia, la Corporación realizará el análisis tanto formal como material del articulado del proyecto.

CONSIDERACIONES

CONSIDERACIONES PRELIMINARES

La materia del proyecto de ley estatutaria: regulación de algunos contenidos mínimos del derecho fundamental al habeas data

El título del proyecto de ley –“Por el cual se dictan disposiciones generales para la protección de datos personales”- indica que su objetivo principal es regular de manera general las garantías del derecho fundamental a la protección de los datos personales, derecho que en la jurisprudencia constitucional ha sido con frecuencia denominado derecho al habeas data y en algunas oportunidades derecho a la autodeterminación informática o informativa[1]. Para determinar si, en efecto, el proyecto regula al menos algunos de los contenidos mínimos de este derecho, a continuación la Sala examinará su origen y alcance:

Origen del derecho al habeas data

. La protección de los datos personales surgió ligada al derecho a la intimidad, reconocido en varios instrumentos del derecho internacional de los derechos humanos.

En el plano internacional, el derecho a la intimidad fue reconocido por primera vez en 1948, en la Declaración Universal de los Derechos Humanos, cuyo artículo 12 dispone que toda persona debe ser protegida contra injerencias arbitrarias en su vida privada, familia, domicilio o correspondencia, así como de ataques contra su honra y reputación.[2] Posteriormente, en 1966, este precepto fue reproducido por el artículo 17 del Pacto Internacional de Derechos Civiles y Políticos (PIDCP), con lo cual se le dio naturaleza vinculante entre los estados partes.

En el ámbito regional, también en 1948, se reconoció el derecho a la intimidad con el artículo V de la Declaración Americana de Derechos y Deberes del Hombre. El derecho fue nuevamente introducido en el artículo 11 de la Convención Americana de Derechos Humanos de 1969, el cual en términos generales reproduce el artículo 12 de la Declaración Universal de los Derechos Humanos.

En el sistema europeo de protección, el derecho a la intimidad fue reconocido por primera vez en el artículo 8 del Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales, en 1950. Este artículo, además de proteger la vida privada y familiar, y el domicilio y la correspondencia, proscribe toda injerencia de las autoridades públicas en el ejercicio de este derecho, salvo “(…) cuanto esta injerencia esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás.”

Fue en Europa precisamente donde, con fundamento en esta última disposición y en vista de los riesgos a los que se enfrenta la intimidad en la sociedad de la información, comenzó a labrarse el camino para el reconocimiento del habeas data como un derecho fundamental autónomo. Así, en 1967, el Consejo de Europa convocó una comisión consultiva para estudiar los riesgos que las tecnologías de la información generan sobre los derechos de las personas. Como consecuencia de esta comisión, se expidió en 1968, la Resolución 509 sobre los derechos humanos y los nuevos logros científicos y técnicos, en la que se hizo un llamado a la protección de la privacidad frente a las nuevas tecnologías.

En la década de los 70, la Comisión de Ministros del Consejo de Europa adoptó la resolución relativa a “la protección de la vida privada de las personas físicas frente a los bancos de datos electrónicos en el sector privado, y la resolución sobre “la protección de la vida privada de las personas físicas frente a los bancos de datos electrónicos en el sector público, en las que recomienda a los países miembros implementar una serie de principios de protección. Posteriormente, varios países introdujeron legislaciones destinadas a establecer garantías para los datos personales; varias de estas legislaciones crearon reglas específicas con miras a proteger no solamente la intimidad, sino también otros valores como la integridad, la autonomía y la dignidad de las personas.[4]

En 1981, el Convenio 108 del Consejo de Europa sobre la protección de las personas en lo relativo al tratamiento automatizado de datos de carácter personal, brindó protección explícita a este tipo de información y fijó las pautas del modelo común de protección. El Convenio amplió el catálogo de garantías con la introducción de los principios de lealtad, exactitud, finalidad, pertinencia, utilización no abusiva, olvido, publicidad, acceso individual y seguridad, y con la prohibición de tratamiento automático de datos que revelen el origen racial de las personas, sus opiniones políticas, convicciones religiosas o de otro tipo, así como datos sobre su salud o vida sexual.[5] Además, introdujo definiciones sobre datos personales, ficheros automatizados, tratamientos automatizados y autoridades que manejan la información.[6] El Convenio 108 dio paso a una segunda generación de leyes nacionales de protección de datos que incorporaron varios de los principios reconocidos en él.

En 1983, una sentencia del Tribunal Constitucional alemán denominó por primera vez el derecho a la protección de los datos personales como derecho a la autodeterminación informativa, con fundamento en el derecho al libre desarrollo de la personalidad.[8] Para este tribunal, tal derecho comprende la facultad de decidir por sí mismo cuando y dentro de qué límites procede revelar situaciones referentes a la propia vida. Además, el tribunal señaló que la garantía del derecho requiere especiales medidas de protección, teniendo en cuenta que la interconexión de varias bases de datos puede dar lugar a la elaboración de un perfil de la personalidad que limite la libertad de decisión. Este ejemplo fue seguido por el Tribunal Constitucional español, el cual, en 1993, precisó que el artículo 18.4 de la constitución española consagra un derecho fundamental autónomo al disponer que la ley debe limitar el uso de la informática para garantizar la intimidad, el honor y el pleno ejercicio de los derechos de los ciudadanos.

Años más tarde, en el plano comunitario, mediante la Directiva 95/46/CE de 1995 sobre la protección de personas físicas respecto al tratamiento y circulación de datos personales, el Parlamento Europeo y el Consejo de Europa, si bien ligan la protección de los datos personales al derecho a la intimidad, precisan varias definiciones e introducen directrices sobre las garantías específicas que rigen la circulación de este tipo de datos, por ejemplo, en materia de principios de tratamiento y requisitos procedimentales.[10]

La configuración de la autodeterminación informativa como derecho autónomo culmina con la Carta de los Derechos Fundamentales de la Unión Europea de 1999, cuyo artículo 8 reconoce explícitamente el derecho de toda persona a “la protección de los datos de carácter personal que la conciernan” y dispone que “[e]stos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley.” Además, indica que “[t]oda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación”, y señala que la verificación del cumplimiento de estas garantías debe encargarse en cada estado a un órgano independiente.

En el seno de las Naciones Unidas también se han presentado iniciativas importantes dirigidas a reforzar la protección de los datos personales y a dotar de contenido autónomo al derecho al habeas data. Por ejemplo, mediante la Resolución 45/95 de 14 de diciembre de 1990, “Principios rectores aplicables a los ficheros computarizados de datos personales”, se reconocieron varias garantías mínimas que deben prever las legislaciones nacionales para el tratamiento de este tipo de información.

Por otra parte, el Comité de Derechos Humanos, en su Observación General 16 sobre el artículo 17 del PIDCP, si bien es cierto conecta la protección de los datos personales con el derecho a la intimidad, por vía interpretativa fija una serie de pautas importantes que deben guiar la protección de tales datos, como que “[l]a recopilación y el registro de información personal en computadoras, bancos de datos y otros dispositivos, tanto por las autoridades públicas como por las particulares o entidades privadas, deben estar reglamentados por la ley”, o que todas las personas tienen derecho a verificar “(…) si hay datos personales suyos almacenados en archivos automáticos de datos y, en caso afirmativo, de obtener información inteligible sobre cuáles son esos datos y con qué fin se han almacenado”, garantías que hacen parte de los contenidos del habeas data.[11]

A nivel del sistema regional de protección, el derecho al habeas data o a la autodeterminación informativa sigue siendo interpretado a partir del artículo 11 de la Convención Americana de Derechos Humanos sobre el derecho a la intimidad. Sin embargo, mediante la Resolución AG/RES.1395 (XXVI-O/96), la Asamblea General de la OEA solicitó al Comité Jurídico Interamericano que iniciara un estudio de los contextos jurídicos de los estados miembros en relación con dos temas: acceso a la información y a la protección de los datos personales. Este estudio condujo a que el 13 de junio de 2011, la Asamblea General aprobara una resolución sobre el acceso a información pública y la protección de datos personales. En este documento, encomendó al Comité Jurídico Interamericano que, antes del cuadragésimo segundo período ordinario de sesiones de la Asamblea General, presente un documento de principios de privacidad y protección de datos personales en la región. Además, desde hace varios años existe un anteproyecto de convención americana sobre autodeterminación informativa, que reconoce expresamente el derecho al habeas data.

En el caso colombiano, si bien el artículo 15 de la Constitución de 1991 reconoció por primera vez y explícitamente el derecho al habeas data, desde años atrás ya existía una preocupación en el Congreso y el Ejecutivo por proteger los datos personales. Entre las iniciativas en la materia, vale la pena destacar la Ley 23 de 1981 “Por la cual se dictan normas en materia de ética médica”, cuyo artículo 34 dispone que la historia clínica “[e]s un documento privado sometido a reserva que únicamente puede ser conocido por terceros previa autorización del paciente o en los casos previstos por la Ley”, y la Ley 96 de 1985, cuyo artículo 51 reconoce la naturaleza pública de los datos sobre número de identificación personal y lugar y fecha de expedición, pero otorga carácter reservado a los archivos que reposan en la Registraduría ligados a la identificación, como datos biográficos, filiación y fórmula dactiloscópica.

Finalmente, como ya se mencionó, el artículo 15 de la Constitución de 1991 reconoció explícitamente el “(…) derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas” y además dispuso que “[e]n la recolección, tratamiento y circulación de datos se respetará la libertad y demás garantías consagradas en la Constitución”. Estos preceptos leídos en conjunto con la primera parte del mismo artículo 15 –sobre el derecho a la intimidad, el artículo 16 –que reconoce el derecho al libre desarrollo de la personalidad- y el artículo 20 –sobre el derecho a la información activo y pasivo y el derecho a la rectificación- de la Carta, han dado lugar al reconocimiento de un derecho fundamental autónomo catalogado como derecho al habeas data, y en algunas oportunidades, como derecho a la autodeterminación informativa o informática.

En la jurisprudencia constitucional, el derecho al habeas data fue primero interpretado como una garantía del derecho a la intimidad, de allí que se hablara de la protección de los datos que pertenecen a la vida privada y familiar, entendida como la esfera individual impenetrable en la que cada cual puede realizar su proyecto de vida y en la que ni el Estado ni otros particulares pueden interferir.[12]

Desde los primeros años de la nueva Carta, también surgió al interior de la Corte una segunda línea interpretativa que consideraba el habeas data una manifestación del libre desarrollo de la personalidad. Según esta línea, el habeas data tiene su fundamento último “(…) en el ámbito de autodeterminación y libertad que el ordenamiento jurídico reconoce al sujeto como condición indispensable para el libre desarrollo de la personalidad y en homenaje justiciero a su dignidad”[13].

A partir de 1995, surge una tercera línea interpretativa que apunta al habeas data como un derecho autónomo y que es la que ha prevalecido desde entonces.[14] Así, según la sentencia SU-082 de 1995[15], el núcleo del derecho al habeas data está compuesto por la autodeterminación informática y la libertad –incluida la libertad económica. Además, este derecho comprende al menos las siguientes prerrogativas: “a) El derecho a conocer las informaciones que a ella se refieren; || b) El derecho a actualizar tales informaciones, es decir, a ponerlas al día, agregándoles los hechos nuevos; || c) El derecho a rectificar las informaciones que no correspondan a la verdad.”, e incluye el derecho a la caducidad del dato negativo.

En esta misma dirección, en la sentencia T-176 de 1995[16], la Corte indicó que el derecho al habeas data es violado cuando se desconoce alguna de las prerrogativas enunciadas en la sentencia SU-082 de 1995, es decir, cuando la información contenida en el archivo o base de datos es “(…) recogida de manera ilegal, sin el consentimiento del titular del dato”, es errónea o recae “(…) sobre aspectos íntimos de la vida de su titular no susceptibles de ser conocidos públicamente”.

Posteriormente, en la sentencia T-729 de 2002[17], la Corte explicó que es importante diferenciar y delimitar el habeas data respecto de otros derechos como el buen nombre y la intimidad, por lo menos por tres razones: “(…) (i) por la posibilidad de obtener su protección judicial por vía de tutela de manera independiente; (ii) por la delimitación de los contextos materiales que comprenden sus ámbitos jurídicos de protección; y (iii) por las particularidades del régimen jurídico aplicable y las diferentes reglas para resolver la eventual colisión con el derecho a la información”.[18] A continuación, la Corte definió el derecho de la siguiente forma:

“El derecho fundamental al habeas data, es aquel que otorga la facultad[19] al titular de datos personales, de exigir a las administradoras de datos personales el acceso, inclusión, exclusión, corrección, adición, actualización, y certificación de los datos, así como la limitación en la posibilidades de divulgación, publicación o cesión de los mismos, conforme a los principios[20] que informan el proceso de administración de bases de datos personales”.

Más recientemente, en la sentencia C-1011 de 2008[21], la Corte nuevamente reconoció la autonomía del derecho al habeas data y lo conceptualizó así:

“El hábeas data confiere, (…), un grupo de facultades al individuo para que, en ejercicio de la cláusula general de libertad, pueda controlar la información que de sí mismo ha sido recopilada por una central de información. En ese sentido, este derecho fundamental está dirigido a preservar los intereses del titular de la información ante el potencial abuso del poder informático”.

 En resumen, como lo muestra el anterior recuento, el reconocimiento del derecho al habeas data –identificado como un derecho fundamental autónomo tanto en el plano nacional como internacional- persigue la protección de los datos personales en un mundo globalizado en el que el poder informático es creciente. Esta protección responde a la importancia que tales datos revisten para la garantía de otros derechos como la intimidad, el buen nombre y el libre desarrollo de la personalidad. Sin embargo, el que exista una estrecha relación con tales derechos, no significa que no sea un derecho diferente, en tanto comprende una serie de garantías diferenciables y cuya protección es directamente reclamable por medio de la acción de tutela, sin prejuicio del principio de subsidiariedad que rige la procedencia de la acción.

El contenido del derecho al habeas data

De conformidad con la jurisprudencia de esta Corporación, dentro de las prerrogativas –contenidos mínimos- que se desprenden de este derecho encontramos por lo menos las siguientes: (i) el derecho de las personas a conocer –acceso- la información que sobre ellas está recogida en bases de datos, lo que conlleva el acceso a las bases de datos donde se encuentra dicha información; (ii) el derecho a incluir nuevos datos con el fin de se provea una imagen completa del titular; (iii) el derecho a actualizar la información, es decir, a poner al día el contenido de dichas bases de datos; (iv) el derecho a que la información contenida en bases de datos sea rectificada o corregida, de tal manera que concuerde con la realidad; (v) el derecho a excluir información de una base de datos, bien por que se está haciendo un uso indebido de ella, o por simple voluntad del titular –salvo las excepciones previstas en la normativa.

La ley desarrolla algunos contenidos del derecho al habeas data y por ello debía tramitarse por ley estatutaria

 El artículo 152 de la Constitución prevé una modalidad especial de leyes con un trámite más riguroso –especialmente en términos de mayorías-[22] debido al tipo de materias destinadas a regular, estas son: (i) los derechos y deberes fundamentales, y los procedimientos y recursos para su protección; (ii) la administración de justicia; (iii) la organización y régimen de los partidos y movimientos políticos, el estatuto de la oposición y las funciones electorales; (iv) las instituciones y mecanismos de participación ciudadana; (v) los estados de excepción; y (vi) la igualdad electoral entre candidatos a la Presidencia de la República.

Esta corporación ha defendido la tesis de que la reserva de ley estatutaria no debe interpretarse de manera restrictiva, en el sentido de que cualquier regulación que se ocupe de las materias contempladas por el artículo 152 constitucional requiere ser expedida por medio de dicho tipo de ley.[23]

Además, la Corte ha sostenido que el tipo de desarrollo y el grado de detalle de la regulación que la Constitución exige al legislador estatutario, dependen de la clase de materia. Así, para el caso de las funciones electorales, la Corte han defendido un especie de reserva reforzada, según la cual corresponde al legislador estatutario no solamente establecer los lineamientos básicos de tales funciones, sino desarrollarlas con un mayor detalle con una pretensión de exhaustividad y sistematización. Al respecto, esta Corporación expresó lo siguiente en la sentencia C-226 de 1994[24]:

Por consiguiente, conforme a los anteriores argumentos, concluye la Corte Constitucional que a diferencia de lo que ocurre con los derechos fundamentales, en el caso de las funciones electorales, la ley estatutaria debe regular no sólo los elementos esenciales de las mismas sino todos aquellos aspectos permanentes para el ejercicio adecuado de tales funciones por los ciudadanos, lo cual incluye asuntos que podrían en apariencia ser considerados potestades menores o aspectos puramente técnicos, pero que tienen efectos determinantes en la dinámica electoral, como la fijación de las fechas de elecciones, el establecimiento de los términos de cierre de las inscripciones de candidatos o registro de votantes, la organización de las tarjetas electorales o de los sistemas de escrutinio, etc. Por su propia naturaleza, la ley estatutaria de funciones electorales es entonces de contenido detallado. Esto no impide que de manera excepcional ciertas materias electorales puedan ser reguladas mediante leyes ordinarias. Así, hay disposiciones que corresponden a aspectos puramente operativos para facilitar la realización de una elección concreta y guardan conexidad con el tema electoral sin ser en sí mismas funciones electorales, como la autorización de una apropiación presupuestal para financiar unas elecciones determinadas. Tales materias pueden ser reguladas mediante estatutaria.” (negrilla fuera del texto)

Para la hipótesis de la administración de justicia, la Corte ha señalado que son materia de las leyes estatutarias “los elementos estructurales esenciales de la función pública de justicia”[25], los cuales han sido identificados como “los principios que informan la administración de justicia, así como los órganos encargados de ejercerla y sus competencias generales”.

En relación con los mecanismos de participación ciudadana, la Corte ha señalado que aquellas disposiciones que comprometen el núcleo esencial del derecho de participación deben ser tramitadas como estatutarias. Por consiguiente, “aquel reducto esencial que es absolutamente necesario para que tal derecho pueda ser ejercido y sea efectivamente tutelado, debe ser regulado mediante este trámite especial. En este sentido, las disposiciones que tengan el significado de introducir límites, restricciones, excepciones, prohibiciones o condicionamientos al ejercicio del derecho”[27], están sometidas a los procedimientos especiales.

Respecto de los derechos fundamentales, en concordancia con el primer criterio explicado, la Corte ha indicado que la reserva de ley estatuaria no se predica de la regulación de “todo evento ligado a los derechos fundamentales”[28] sino “solamente los elementos estructurales esenciales de los derechos fundamentales”[29], de modo que las leyes estatutarias no deben regular en detalle cada variante o cada manifestación de dichos derechos o todos aquellos aspectos que tengan que ver con su ejercicio. En este sentido, la Corte afirmó lo siguiente en la sentencia C-145 de 1994:

“(…) la competencia legislativa ordinaria está directamente habilitada por la Carta para regular derechos fundamentales y si no se presentara tal evento, la mencionada competencia ordinaria se transformaría en exceptiva, ya que directa o indirectamente gran parte de las leyes tocan algún o algunos derechos fundamentales. En materia de derechos fundamentales debe efectuarse 'una interpretación restrictiva de la reserva de ley estatutaria porque una interpretación extensiva convertiría la excepción -las leyes estatutarias basadas en mayorías cualificadas y procedimientos más rígidos- en regla, en detrimento del principio de mayoría simple que es el consagrado por la Constitución'. Esto significa que las leyes estatutarias están encargadas de regular únicamente los elementos estructurales esenciales de los derechos fundamentales y de los mecanismos para su protección, pero no tienen como objeto regular en detalle cada variante de manifestación de los mencionados derechos o todos aquellos aspectos que tengan que ver con su ejercicio, porque ello conduciría a una petrificación del ordenamiento jurídico”. (negrilla fuera del texto)

Para definir los elementos estructurales esenciales, la jurisprudencia constitucional se ha valido de la teoría del núcleo esencial. Según esta teoría, los derechos fundamentales tienen (i) un núcleo o contenido básico que no puede ser limitado por las mayorías políticas ni desconocido en ningún caso, ni siquiera cuando un derecho fundamental colisiona con otro de la misma naturaleza o con otro principio constitucional, y (ii) un contenido adyacente objeto de regulación. Las preguntas que genera esta teoría son: si el núcleo es una garantía contramayoritaria, ¿a quién compete su delimitación? y ¿cuál es el reparto de competencias entre la ley estatutaria, la ley ordinaria y el reglamento respecto del contenido adyacente?

Una respuesta que se dio en los primeros años de la Corte es que el núcleo esencial es definido por la Constitución y corresponde a la ley estatutaria desarrollar el contenido adyacente más cercano al núcleo[30]; sin embargo, en esta línea jurisprudencial no se define cuál es el contenido adyacente más cercano al núcleo.[31] Además, como ha reconocido la propia Corte, las cláusulas constitucionales sobre derechos fundamentales tienden a ser abstractas y generales, lo que hace difícil extraer de ellas un contenido mínimo de los derechos.

Una segunda respuesta que se ha expuesto en la jurisprudencia constitucional es que es competencia del legislador estatutario desarrollar aspectos importantes del núcleo esencial, con lo que parece sugerirse que tal núcleo es delineado tanto por el constituyente como por el legislador estatutario.[32] Algunos de los asuntos importantes del núcleo esencial que son propios de las leyes estatutarias y que han sido señalados por la Corte son: (i) la consagración de límites, restricciones, excepciones y prohibiciones de alcance general[33], y (ii) los principios básicos que guían su ejercicio[34]. Otro elemento que puede deducirse a partir de un examen de la estructura de los derechos fundamentales es la definición de las prerrogativas básicas que se desprenden del derecho para los titulares y que se convierten en obligaciones para los sujetos pasivos.

La segunda respuesta parece ser la más coherente con los recientes desarrollos de la jurisprudencia constitucional, en los que se evidencia la adopción de un criterio histórico de construcción de los derechos fundamentales. Según este criterio, los derechos fundamentales se amplían con el paso del tiempo y dependen de lo que en una sociedad considera fundamental en un momento histórico y a partir del concepto de dignidad humana.[35] Por tanto, el contenido de los derechos cambia y se expande, para lo cual es importante la labor de actualización del legislador estatutario y del juez constitucional.

Ahora bien, la tesis que se defiende no desvirtúa la función contramayoritaria del núcleo esencial, pues, de un lado, la labor del legislador estatutario es definir su contenido en lo no dispuesto expresamente por el constituyente, lo que significa que no puede desconocer lo establecido en el texto superior, y de otro, en tanto las leyes estatutarias tienen control previo de la Corte Constitucional, el juez constitucional cumple la función contramayoritaria de examinar que el legislador no haya excedido sus competencias en la materia.

Por otra parte, la Sala observa que en varios pronunciamientos la Corte ha sostenido que las leyes estatutarias, cuando se ocupan de los derechos fundamentales, deben pretender regularlos de manera integral, estructural y completa.[37] Para la Sala, esta afirmación debe ser interpretada en conjunto con la doctrina antes analizada sobre contenido material de la ley estatutaria, es decir, con la tesis según la cuál el legislador estatutario, junto con el constituyente, delimitan los elementos esenciales de los derechos. Por tanto, la pretensión de integralidad y exhaustividad debe limitarse a los elementos estructurales del derecho, es decir, en concordancia con lo expresado previamente, (i) a las prerrogativas básicas que se derivan del derecho y que se convierten en obligaciones para los sujetos pasivos, (ii) a los principios que guían su ejercicio –cuando haya lugar, y (iii) a las excepciones a su régimen de protección y otras limitaciones de orden general.

Por último, respecto de los procedimientos y recursos para la protección de los derechos fundamentales, es necesario hacer las siguientes precisiones:

En primer término, tales procedimientos y recursos, si bien son mencionados en el literal a) del artículo 152 superior junto a los derechos y deberes fundamentales, constituyen una materia separada, pues no son elementos de la estructura de los derechos sino una herramienta para hacerlos efectivos[39]; por tanto, pueden o no ser desarrollados en una misma ley estatutaria.

En segundo término, la jurisprudencia constitucional ha indicado que es objeto de las leyes estatutarias solamente la regulación de forma directa del ejercicio de los derechos.[40] Por tanto, es competencia del legislador estatutario únicamente el desarrollo de los procedimientos y recursos para la protección directa de los derechos.  

Ahora bien, tales herramientas pueden ser tanto de naturaleza judicial como administrativa, es decir, el literal a) hace referencia (i) tanto a acciones o recursos que permiten reclamar la satisfacción de un derecho ante un juez y que implican la existencia de un proceso, (ii) como a mecanismos administrativos tales como órganos de vigilancia y control  y procesos administrativos dirigidos a resolver controversias relacionadas con la realización de los derechos fundamentales.

En relación con los recursos judiciales, es necesario traer a colación la clasificación empleada en la sentencia C-372 de 2011[41], según la cual un derecho fundamental debe gozar de mecanismos de justiciabilidad ordinarios y otros reforzados dirigidos a la protección directa e inmediata de los derechos; de estos últimos debe ocuparse la ley estatutaria.

Conforme a estas consideraciones, la Sala observa que efectivamente, como el título y el artículo 1º lo indican, el proyecto desarrolla los contenidos mínimos o el núcleo esencial del derecho al habeas data y, en consecuencia, su aprobación debía seguir el trámite de las leyes estatutarias.

El artículo segundo define las excepciones generales a la aplicación de las disposiciones del proyecto, salvo los principios –como se desarrollará más adelante.

El título segundo consagra los principios rectores, los cuales establecen las pautas mínimas que deben seguir tanto las autoridades públicas como los particulares que se relacionan con el tratamiento de datos personales. Estos principios limitan el alcance del tratamiento y definen las pautas para que procedan las reclamaciones de acceso, inclusión, actualización, corrección y exclusión.

El título tercero establece como regla general la prohibición de tratamiento de datos sensibles, como modalidad de dato personal merecedor de especial protección, prevé excepciones puntuales a tal prohibición, y hace énfasis en la protección de los datos personales –especialmente los sensibles- de los niños, niñas y adolescentes.

El título cuarto desarrolla las facultades básicas que otorga el habeas data a los titulares de los datos personales, así como las condiciones de legalidad para el tratamiento de datos como la autorización del titular, el suministro de la información solicitada y sus implicaciones, es decir, dota de un contenido mayor las prerrogativas mínimas derivadas del derecho al habeas data.

El título quinto hace referencia a los procedimientos a seguir para las consultas y reclamos, y define el competente para resolver tales solicitudes. Este título es complementado por el título séptimo que regula, mediante tres capítulos, los mecanismos de vigilancia, control y sanción, la autoridad administrativa responsable de la protección de datos y el registro nacional de bases de datos.

El título sexto, que contiene los deberes de los responsables y encargados del tratamiento, es la contra cara de las facultades reconocidas para el titular del dato en el título cuarto; en otras palabras, este título reúne –sin ser taxativo- los deberes que el derecho impone a algunos de los sujetos pasivos. Estos deberes, además, son indispensables para la imposición de las sanciones administrativas a las que hace referencia el título séptimo, sanciones que a su vez constituyen un mecanismo adicional de protección del habeas data.

El título octavo regula la transferencia de datos a terceros países y establece algunos requisitos mínimos que deben satisfacerse con el fin de extender la protección a los datos incluso fuera de las fronteras nacionales.

Finalmente, el título noveno comprende varias materias, entre ellas, (i) la facultad del gobierno para regular lo concerniente al tratamiento de datos que requieran de disposiciones especiales; (ii) la expedición de normas corporativas vinculantes a cargo del gobierno; (iii) la certificación de antecedentes judiciales; (iv) lineamientos de las bases de datos de inteligencia y contrainteligencia; y (v) el valor probatorio y la reserva de los informes de inteligencia y contrainteligencia, todos asuntos relacionados con modalidades especiales de datos personales.

En vista de que el proyecto regula algunos de los contenidos mínimos del derecho, era necesario –como en efecto lo hizo el Congreso- tramitar la iniciativa a través del procedimiento de ley estatutaria.

El modelo de regulación que introduce el proyecto de ley: modelo de protección híbrido

En el derecho comparado existen dos modelos de protección de datos ampliamente reconocidos: un modelo centralizado y un modelo sectorial.

El primer modelo, implementado en los países europeos y, con algunas modificaciones, en la propia Unión Europea, parte de una categoría general de datos personales y de la idea de que cualquier tratamiento de ellos es considerado per se potencialmente problemático, razón por la cual debe sujetarse a unos principios y garantías mínimas comunes, susceptibles de ser complementadas con regulaciones especiales -según el tipo de dato y los intereses involucrados, pero que de ninguna manera suponen una derogación de los estándares de protección generales.[42] Además, estos estándares generales, así como los especiales, son aplicables tanto al sector público como al privado.

Así, nivel de la Unión, (i) se prevén una serie de principios generales de obligatorio cumplimiento en todos los estados y aplicables a todo dato personal -salvo las excepciones señaladas expresamente, (ii) así como garantías para los interesados, como la notificación previa frente a la recolección y tratamiento de datos personales y el derecho a acceder y a oponerse al recaudo y circulación. Tales reglas garantizan niveles adecuados de protección, lo que a su vez facilita el flujo transfronterizo de datos.

También es propio de este modelo la existencia de una entidad central, autónoma e independiente, que supervisa la instrumentación, cumplimiento normativo y ejecución de los estándares de protección generales, y que está facultada para autorizar o prohibir las transferencias de datos internacionales atendiendo a la equivalencia de la protección que ofrece el país de destino[43]. Esta entidad se especializa en la protección de datos personales, lo que le permite generar memoria y producir conocimiento que son reempleados en el diseño de políticas públicas en la materia.[44] Esto no impide la existencia de entes especializados para ámbitos que requieren una regulación complementaria.

En contraste, el modelo sectorial no parte de una categoría común de datos personales y por ello no se considera que todos estos datos deban estar sometidos a la misma regulación mínima.[45] Es por ello que bajo este modelo se adoptan regulaciones especiales y diferentes para cada tipo de dato personal, dependiendo de su relación con la intimidad –o privacidad como se denomina en el sistema anglosajón- y con la protección de intereses superiores –como la seguridad y la defensa nacional, es decir, la regulación sectorial se basa en una especie de ponderación de intereses que da lugar a reglas diferenciadas según el tipo de dato y que otorga más o menos poderes de intervención a las autoridades. La verificación del cumplimiento de las reglas también es asignada a autoridades sectoriales, las cuales son dotadas de distintos poderes de vigilancia y control, según el nivel de intervención previsto por el legislador.

Este modelo también se inspira en la idea de la autorregulación[46] de los mercados, razón por la cual el Estado solamente participa en la protección de ciertos datos en ámbitos en los que se presenta un alto riesgo de lesión de la intimidad, como la esfera financiera, la salud y los derechos de los niños.

Así, en Estados Unidos, aunque existe una ley federal de protección general de datos personales –Privacy Act de 1974[47], la regulación de los datos personales es regida principalmente por leyes sectoriales como la Electronic Communications Privacy Act (1986), que se relaciona con la protección de datos personales en comunicaciones electrónicas; la Cable Communications Policy Act (1994), que regula la protección de datos personales en archivos de televisión por cable; la Fair Credit Reporting Act -modificada de manera reiterada entre 1996 y 2001, que se refiere a los informes crediticios; la Bank Secrecy Act (1994), relativa  a los registros bancarios; la Telephone Consumer Privacy Act (1994), sobre registros telefónicos; la Drivers Privacy Protection Act (1994), relacionada con la protección de los archivos de los permisos para conducir; la Health Insurance Portability and Accountability Act (1996), que regula la transferencia de seguros médicos; y la Children's Online Privacy Protection Act (1998), sobre el control parental de los niños en sus actividades en Internet.

En el caso colombiano, el proyecto de ley que dio lugar a la Ley 1266 de 2008 buscaba convertirse en una ley de principios generales aplicable a todas las categorías de datos personales. Sin embargo, como observó esta Corporación en la sentencia C-1011 de 2008[49], pese a su pretensión de generalidad, el proyecto de ley en realidad solamente establecía estándares básicos de protección para el dato financiero y comercial destinado a calcular el nivel de riesgo crediticio de las personas. Por ello en la referida sentencia, la Corte dejó claro que la materia de lo que luego se convertiría en la Ley 1266 es solamente el dato financiero y comercial.[50] Por tanto, la Ley 1266 solamente puede ser considerada una regulación sectorial del habeas data.

Este nuevo proyecto de ley busca llenar el vacío de estándares mínimos de protección de todos los datos personales –anunciado por la Corte Constitucional en la sentencia C-1011 de 2008[51], de ahí que su título sea precisamente “Por el cual se dictan disposiciones generales para la protección de datos personales”. Esa intención también fue anunciada por el gobierno en la exposición de motivos, en la que afirmó: “(…) es necesario que el país cuente con una legislación integral y transversal que garantice la protección efectiva de los datos personales en todo el proceso de tratamiento”. Como se verá más adelante, pese a varias deficiencias que presenta el proyecto, puede concluirse que efectivamente introduce principios y reglas generales destinadas a garantizar algunos contenidos mínimos del derecho al habeas data, entendido de la forma como se expuso previamente.

En consecuencia, con la introducción de esta reglamentación general y mínima aplicable en mayor o menor medida a todos los datos personales, el legislador ha dado paso a un sistema híbrido de protección en el que confluye una ley de principios generales con otras regulaciones sectoriales, que deben leerse en concordancia con la ley general, pero que introduce reglas específicas que atienden a la complejidad del tratamiento de cada tipo de dato.

En este contexto es que debe entenderse, por ejemplo, el artículo 2, el cual establece una serie de ámbitos exceptuados de la aplicación de las disposiciones del proyecto, salvo en materia de principios. Tales ámbitos deben ser regulados de manera específica por el legislador a través de una ley sectorial en la que se introduzcan principios complementarios, así como otras reglas particulares dependiendo del tipo de dato, como ya ocurrió con los datos financieros y comerciales destinados a calcular el riesgo crediticio. Esta es la razón por la cual en el parágrafo del artículo 2 se indica expresamente “[e]n el evento que la normatividad especial que regule las bases de datos exceptuadas prevea principios que tengan en consideración la naturaleza especial de datos, los mismos aplicarán de manera concurrente a los previstos en la presente ley.”

Entendido el modelo de protección al que da lugar este nuevo proyecto de ley, leído en conjunto con la Ley 1266, pasa la Sala a estudiar la constitucionalidad del articulado.

EXÁMEN DEL PROCEDIMIENTO LEGISLATIVO

Intervenciones ciudadanas y concepto del Ministerio Público

La Secretaría Jurídica de la Presidencia manifiesta que en cumplimiento de lo dispuesto en el artículo 153 de la Constitución Política, el proyecto de ley Estatutaria objeto de revisión se aprobó dentro de una sola legislatura y por la mayoría absoluta de los miembros de una y otra cámara. Así mismo, se cumplieron los requisitos generales enunciados en el artículo 157 de la Constitución para que un proyecto pueda convertirse en Ley de la Republica.

Afirma que el Proyecto de Ley fue presentado el 3 de agosto de 2010 por los señores Ministros de Interior y de Justicia, Dr. Fabio Valencia Cossio; de Comercio, Industria y Turismo, Dr. Luis Guillermo Plata Páez y de Tecnologías de la Información y las Comunicaciones, Dr. Daniel Enrique Medina Velandia, ante la Secretaria General de la Cámara de Representantes y le correspondió en ese momento el No. 046 de 2010 de Cámara.

Este proyecto de Ley Estatutaria, con la correspondiente exposición de motivos, fue publicado el 4 de agosto en la gaceta del Congreso No. 488 de 2010, dando cumplimiento al requisito constitucional consistente en la publicación oficial del proyecto por el Congreso antes de darle curso en la Comisión respectiva (CP Art.157-1).

De conformidad con lo establecido en el numeral 2° del artículo 157 de la Constitución Política, este proyecto fue aprobado en primer debate en la correspondiente Comisión Permanente de cada cámara, inicialmente por la Comisión Primera de la Cámara el 14 de Septiembre de 2010, según consta en Acta No. 12 de la misma fecha, publicada en la Gaceta 958 de 2010. En esta oportunidad, tanto el informe de ponencia como el articulado fueron votados afirmativamente por 29 de los 35 Honorables Representantes que componen esta comisión, por lo que el articulado fue aprobado con la mayoría necesaria.

Posteriormente, fue aprobada por la Comisión Primera del Senado el 6 de diciembre de 2010, tal como consta en Acta No. 33 de esa fecha, publicada en la Gaceta 39 de 2011. En esta oportunidad, el proyecto fue votado en bloque con un total de 13 votos afirmativos de un total de 19 miembros que componen esta Comisión.

De igual manera, en cumplimiento del numeral 3 del mismo artículo. 157 de la Carta Política, el Proyecto de Ley Estatutaria fue aprobado por las plenarias de cada cámara, inicialmente en la Cámara de Representantes el 19 de octubre de 2010, como consta en Acta No. 24, publicada en la Gaceta 868 de 2010. En este debate fue aprobado el informe de ponencia con una mayoría de 89 Representantes. Se abrió una nueva votación sobre artículos varios, obteniéndose una mayoría de 104 Representantes. Ningún parlamentario votó negativamente, ni se excusó o abstuvo de votar. Finalmente, se abrió el registro para votaciones y se formuló la pregunta sobre si se quería que el proyecto se convirtiera en Ley de la Republica a lo cual respondieron afirmativamente 102 Representantes. Ninguno votó negativamente, ninguno se excusó o se abstuvo de votar.

Posteriormente, en el Senado de la Republica el 15 de diciembre de 2010, según consta en el Acta No. 34, publicada en la Gaceta No. 80 de 2011, fue aprobado el proyecto de ley, con el siguiente procedimiento. El informe de ponencia fue aprobado afirmativamente por 60 Senadores. A renglón seguido, la presidencia sometió a consideración de la plenaria el articulado en bloque del proyecto siendo aprobado por 56 senadores y votado negativamente por un senador. La omisión de la lectura del articulado, el articulado en bloque, el título y que sea ley de la Republica, el proyecto de ley número 184 de 2010 Senado, 046 de 2010 Cámara.

Así mismo, el proyecto de ley Estatutaria fue aprobado por la mayoría absoluta requerida por la Constitución en su artículo 153, este procedimiento se puede verificar en las Actas de plenaria tanto de Cámara como de Senado referenciadas así:

Dentro de la plenaria de la Cámara de Representantes el día 19 de octubre de 2010 un primer bloque de artículos fue aprobado por 97 de 166 miembros que componen la Cámara, dentro de la misma sesión, lo que restaba del articulado fue aprobado por 106 Representantes, en cuanto a la pregunta de si quieren que el proyecto sea ley fue aprobado por 113 miembros de la Cámara.

En la sesión del Senado de la Republica el proyecto de ley estatutaria se aprobó por la mayoría reglamentaria con un total de 60 votos de 102 senadores, la omisión de la lectura del articulado, el articulado en bloque, el título y que sea Ley de la Republica, fue aprobado por 56 senadores.

Concluye sosteniendo que los requisitos constitucionales para el trámite de las leyes estatutarias se cumplieron a cabalidad, dando por entendido que no se advierte vicio de forma que conlleve a la inconstitucionalidad del proyecto de ley, por la cual se dictan disposiciones generales para la protección de datos personales. Igualmente, destaca que de conformidad con el artículo 158 de la Constitución política, el proyecto cumple con el propósito de unidad  y coherencia en la materia del derecho al “habeas data”.

El Ministerio de Comercio, Industria y Turismo sostiene que la Constitución Política no impone al legislador estatutario el deber de regular de manera integral la materia sujeta a dicha reserva, pues conforme con las reglas sentadas por la Corte Constitucional en dicha materia, “si sobre una materia sujeta a ley estatutaria se dicta una regulación integral, ello sólo puede hacerse a través de una ley estatutaria, independientemente de que en esa regulación, se incorporen disposiciones que podrían haberse abordado a través de una ley ordinaria”. Igualmente, se refiere a una segunda regla en este sentido, según la cual “la regulación de elementos que pertenecen o comprometen el núcleo esencial de un derecho o materia sujeta a la ley estatutaria, únicamente puede contenerse en una ley de ese tipo, independientemente de que la regulación sea o no integral.”

ASOBANCARIA advierte que el parágrafo del artículo 2° es inconstitucional por vicios de forma, ya que viola el principio de consecutividad. Lo anterior, por cuanto al efectuar una revisión de las sucesivas transformaciones que recibió el artículo 2 del proyecto de Ley a lo largo del trámite legislativo y al realizar un recuento de la jurisprudencia constitucional relacionada con dicho principio, se encuentra que la inclusión del parágrafo 2 constituye  un artículo nuevo, dado que la integridad de su contenido no fue previamente debatido y mucho menos, aprobado en instancias anteriores. Así, por ejemplo, la previsión según la cual “Los principios sobre protección de datos serán aplicables a todas las bases de datos, incluidas las exceptuadas en el presente artículo, con los límites dispuestos en la presente ley y sin reñir con los datos que tienen características de estar amparadas por la reserva legal” no fue una constante en el Congreso; al igual que tampoco lo fue el hecho de que “En el evento que la normatividad especial  que regule las bases  de datos  exceptuadas prevea principios que tengan en consideración la naturaleza especial de datos, los mismos aplicarán de manera concurrente a los previstos en la presente ley”.  Por el contrario, en las diferentes etapas del trámite de la discusión del proyecto se abogó por la aplicación de las disposiciones especiales, como la Ley 1266 de 2008, en aquellos eventos donde fuere aplicable, con el fin de evitar traumatismos hermenéuticos y así garantizar la especificidad de las regulaciones legislativas previstas para situaciones particulares.

La ciudadana María Lorena Flórez Rojas resalta que el principio de consecutividad establecido como la obligación a que todo proyecto, para convertirse en ley, deba ser aprobado en primer debate en la correspondiente comisión permanente de cada cámara y en segundo por la plenaria tanto del Senado como de la Cámara de Representantes no puede ser violentado para introducir nuevos textos que no guardan relación alguna con el proyecto discutido. De esta manera, hace alusión a lo señalado por la Corte Constitucional en el entendido que “no basta con establecer que un determinado texto aprobado en plenaria es nuevo respecto de lo aprobado en la comisión, puesto que ello puede responder a una modificación o adición producida en los términos de las normas superiores citadas. Es necesario además, para que el cargo de inconstitucionalidad pueda prosperar, que se acredite, que tal novedad no guarda relación de conexidad con lo aprobado en el primer debate o que es contraria a lo allí decidido”.

En este sentido, afirma que en la introducción del artículo 29 del proyecto referente al antecedente judicial no se cumplió con el requisito de consecutividad, pues el tema incluido en dicho artículo no fue debatido por ambas cámaras, por lo menos en segundo debate. En suma, señala que “Dentro de la ponencia de segundo debate en Cámara (Gaceta Judicial 706 de 2010), no se evidencia la discusión referente al antecedente judicial y la eliminación de los antecedentes penales, es decir, que el tema fue incluido por el Senado sin que se surtiera el trámite legislativo completo lo que indica la inconstitucionalidad del artículo en mención. Además, según el artículo 178 de la Ley 5 de 1992, las modificaciones, adiciones o supresiones se pueden introducir en el segundo debate siempre y cuando el tema haya sido debatido en primer debate, cosa que en este caso se presentó (sic). Si se analiza la Gaceta Judicial 625 de 2010, ponencia para primer debate en Cámara, el tema no es debatido ni analizado por esta cámara (sic)”.

Por lo tanto, el texto del artículo 29 introducido por el Senado no se ajusta al principio de consecutividad ya que altera la esencia del proyecto por no guardar identidad con el tema discutido en primer debate y en comisiones, además por no guardar identidad con el tema discutido, tampoco es conexo como el tema inicial del proyecto, pues la eliminación de los antecedentes penales dentro del certificado judicial no guarda relación con el objeto de la ley que es el de desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que sobre ellas figuren en bases de datos o archivos.

Por su parte, la ciudadana Juanita Duran Vélez resalta que el Proyecto de Ley no cumple con la integralidad que exige la Constitución para leyes estatutarias, y de esta manera, vulnera el principio de ley estatutaria.

El Procurador General de la Nación sostiene que el proyecto cumple con lo previsto en el artículo 160 de la Constitución, pues (i) entre la aprobación en primer y en segundo debate en cada una de las cámaras transcurrió un tiempo no inferior a ocho días, y (ii) entre la aprobación surtida en una cámara y el inicio del debate en la otra hubo un lapso no inferior a los quince días.

En el caso particular: (i) la Comisión Primera de la Cámara aprobó el proyecto el 14 de septiembre de 2010 y la plenaria emitió su aprobación el 19 de octubre de 2010; la Comisión Primera del Senado aprobó el proyecto el 6 de diciembre de 2010 y de la misma forma procedió la plenaria el 15 de diciembre de 2010. (ii) El proyecto fue aprobado por la Cámara de Representantes el 19 de octubre de 2010 y su debate en el Senado inició el 6 de diciembre de 2010.

De otra parte, afirma que el proyecto cumplió con lo establecido en el artículo 153 de la Constitución que exige la mayoría absoluta de los miembros del Congreso para aprobar proyectos de leyes estatutarias como también que su trámite debe efectuarse dentro de una sola legislatura. En el caso específico, se radicó el proyecto de ley el 3 de agosto de 2010 y su trámite culminó el 16 de diciembre de 2010, lo que evidencia que su trámite se surtió dentro de la legislatura que inició el 20 de julio de ese mismo año y que culmina el 20 de junio de 2011.

La especialidad del trámite aprobatorio de las leyes estatutarias (artículos 152 y 153 Superiores)

Por cuanto se trata del estudio de un proyecto de ley estatutaria, es necesario que la Corte verifique el cumplimiento de los rigurosos requisitos establecidos en la Constitución para la aprobación de este tipo de leyes de especial jerarquía. Sea lo primero señalar que el particular trámite dispuesto por el artículo 153 Superior para las leyes estatutarias tiene como fin esencial salvaguardar la entidad de las materias que regula, estas son, los derechos y deberes fundamentales, así como los procedimientos y recursos para su protección; la administración de justicia; la organización y régimen de los partidos y movimientos políticos, el estatuto de la oposición y las funciones electorales; las instituciones y mecanismos de participación ciudadana; los estados de excepción, y la igualdad electoral entre candidatos a la Presidencia de la República (artículo 152).

Como se observa, se trata de materias que comportan una importancia cardinal para el desarrollo de los artículos 1 y 2 de la Carta, pues su regulación especial garantiza la vigencia de principios básicos constitucionales y propende por la consecución de los fines esenciales del Estado. De modo que imprimirle rigurosidad a la aprobación de la regulación de dichas materias y, además, mayor jerarquía a las leyes que las consagren, son medios idóneos para lograr la efectividad de los derechos constitucionales, la salvaguarda de un orden justo, así como la existencia de un sistema democrático y participativo.

Así las cosas, el constituyente decidió crear una categoría especial de leyes que, en ese orden, requieren atributos formales más estrictos para ser aprobadas que los fijados para las leyes ordinarias, así como un control constitucional previo, automático e integral, todo con el objetivo de otorgarles mayor estabilidad y especial jerarquía en virtud de la trascendencia de las materias que regula. Bajo tal entendido, la jurisprudencia constitucional, desde sus inicios, ha establecido:

“La Constitución Política de 1991 introdujo la modalidad de las leyes estatutarias para regular algunas materias respecto de las cuales quiso el Constituyente dar cabida al establecimiento de conjuntos normativos armónicos e integrales, caracterizados por una mayor estabilidad que la de las leyes ordinarias, por un nivel superior respecto de éstas, por una más exigente tramitación y por la certeza inicial y plena acerca de su constitucionalidad.

 La propia Carta ha diferenciado esta clase de leyes no solamente por los especiales asuntos de los cuales se ocupan y por su jerarquía, sino por el trámite agravado que su aprobación, modificación o derogación demandan”[52]

Cualquier proyecto para convertirse en ley (Constitución, artículos 157 y 158) debe cumplir con los siguientes requisitos:

Ser publicado oficialmente por el Congreso antes de darle curso en la comisión respectiva;

Surtir los correspondientes debates en las comisiones y plenarias de las Cámaras, luego de que se hayan efectuado las ponencias respectivas y respetando los quórum previstos por los artículos 145 y 146 de la Constitución;

Realizar los anuncios del proyecto de ley previo a la discusión y votación en cada una de las comisiones y plenarias (artículo 160 Constitución Política). Debe anotarse que el artículo 9 del Acto Legislativo 1 de 2003 (Constitución Política, artículo. 161) dispuso que esta exigencia también se aplica a los debates sobre los informes de las comisiones de conciliación, los cuales deberán ser publicados por lo menos un día antes de darse su discusión y aprobación;

Respetar los términos para los debates previstos por el artículo 160, ocho días entre el primer y segundo debate en cada Cámara, y quince días entre la aprobación del proyecto en una de las Cámaras y la iniciación del debate en la otra;

Respetar los principios de unidad de materia, de identidad y consecutividad (Constitución Política, artículos 158, 157, 160 y 16); y

Haber obtenido la sanción gubernamental. Como es obvio, en el caso de las leyes estatutarias, dicha sanción se surte después de que la Corte Constitucional haya efectuado la revisión previa y oficiosa de constitucionalidad y declarado, en consecuencia, que las disposiciones del proyecto se ajustan a la Carta[53].

Además de lo anterior, por tratarse de un proyecto de ley estatutaria (Constitución Política artículo 153), es necesario que el proyecto: (i) haya sido aprobado por mayoría absoluta y (ii) haya sido tramitado en una sola legislatura.

Al respecto, conviene aclarar que conforme a reiterada jurisprudencia de esta Corte, la Constitución ordena que dentro de la legislatura el proyecto haga tránsito en el Congreso, esto es, que sea modificado y aprobado por las Cámaras en ese lapso, pero la revisión constitucional por la Corte y la sanción presidencial pueden ocurrir por fuera de la legislatura[54]. Y es que como se explicó en la sentencia C-011 de 1994, si el trámite que debe ser surtido en una sola legislatura incluyese la revisión por la Corte, o las objeciones y sanción presidenciales, sería prácticamente imposible aprobar, modificar o derogar leyes estatutarias, o éstas tendrían que ser tramitadas en el Congreso con excesiva celeridad, sin una adecuada discusión democrática, e incluso con improvisación.

Ahora bien, dado que en la sentencia C-702 de 2010[55], la Corte Constitucional precisó que la consulta previa a las comunidades étnicas que puedan resultar afectadas directamente por cualquier medida legislativa, constituye un requisito de procedimiento que debe surtirse antes del trámite legislativo respectivo, la Sala estudiará en esta instancia si en esta ocasión debía surtirse ese proceso consultivo.

Debe señalarse que la consulta previa solamente es necesaria en el caso de decisiones que conciernen directamente a una o varias comunidades étnicas. Sobre este punto la Corte afirmó lo siguiente en la sentencia C-030 de 2008[56]:

“(…) cabe distinguir dos niveles de afectación de los pueblos indígenas y tribales: el que corresponde a las políticas y programas que de alguna manera les conciernan, evento en el que debe hacerse efectivo un derecho general de participación, y el que corresponde a las medidas administrativas o legislativas que sean susceptibles de afectarlos directamente, caso para el cual se ha previsto un deber de consulta.”

En el caso bajo estudio, un examen del contenido del proyecto de ley permite concluir que las medidas que mediante él se pretenden adoptar no conciernen directamente a ninguna comunidad étnica asentada en el territorio nacional, de modo que la consulta previa no era un requisito previo. En efecto, el proyecto solamente establece un régimen general para la protección de datos en Colombia y no define un tratamiento específico directamente destinado a comunidades étnicas, lo que impide establecer qué grupos étnicos o en qué medida se hallarían dentro del ámbito de influencia de los mandatos del proyecto.

La definición de disposiciones especiales –donde podría entrar la regulación de datos de comunidades étnicas- quedaría en manos del gobierno nacional en caso de declararse exequible el artículo 27 del proyecto. De modo que es en el momento en que se cree dicha regulación, cuando surgiría el requisito de consulta previa.

En conclusión, dado que en el presente caso el proyecto en examen no afecta de manera directa comunidades étnicas colombianas, sino que se trata de una legislación destinada a la sociedad en general, no era necesario realizar procesos de consulta antes de dar inicio al trámite legislativo.

A continuación la Corte examinará el trámite de aprobación del proyecto de ley bajo revisión en el Congreso, para así verificar si atendió los requisitos del trámite legislativo antes mencionados.

Radicación y publicación del proyecto de ley

El proyecto de ley estatutaria “por la cual se dictan disposiciones generales para la protección de datos personales”, fue presentado ante el Congreso de la República el 3 de agosto de 2010, por el entonces Ministro del Interior y de Justicia, Fabio Valencia Cossio; el Ministro de Comercio, Industria y Turismo, Luis Guillermo Plata Páez; y el Ministro de Tecnologías de la Información y las Comunicaciones, Daniel Enrique Medina Velandia. El proyecto de ley se radicó con los números 046 de 2010 Cámara, 184 de 2010 Senado.

El texto del proyecto, junto con la exposición de motivos, fue publicado en la Gaceta del Congreso No. 488 del 4 de agosto de 2010[57]. El trámite inició ante la Cámara de Representantes y, en razón a que se trata de una norma estatutaria, fue repartido a la Comisión Primera Constitucional permanente de esa célula legislativa.  

Trámite en la Cámara de Representantes

Publicación de la ponencia para primer debate

La ponencia para primer debate en la Comisión Primera de la Cámara de Representantes, en la que se solicitó aprobar la iniciativa con modificaciones, fue presentada por los Representantes Alfredo Deluque Zuleta, Óscar Fernando Bravo Realpe, Orlando Velandia Sepúlveda, Germán Varón Cotrino, Efraín Torres Monsalve. El informe de ponencia para primer debate fue publicado en la Gaceta del Congreso 625 del 9 de septiembre de 2010[58].

El pliego de modificaciones propuesto por los Representantes ponentes al texto del proyecto de ley presentado por el Gobierno[59], consistió en lo siguiente:

“PLIEGO MODIFICATORIO

Modificaciones al texto publicado en la Gaceta número 488 del 4 de agosto de 2010

1. Se elimina el parágrafo primero del artículo 2º y se unifica con el parágrafo 2º.

Existe una contradicción entre los dos parágrafos de este artículo que se puede prestar para interpretaciones equívocas. El ámbito de aplicación excluye directamente a los datos financieros que ya se encuentran regulados por la Ley 1266 de 2008. Como consecuencia de esta situación, los datos de carácter financiero se regirán bajo las disposiciones contempladas exclusivamente en la Ley 1266 de 2008.

2. Se introduce en el artículo 3º Definiciones el literal h) Autoridad de Control: Entiéndase por Autoridad de Control para los efectos de esta ley a la Superintendencia de Industria y Comercio

A lo largo del proyecto de ley se habla y se le asignan funciones a la Autoridad de Control de datos personales, y sólo hasta el artículo 19 se define esta. Para mayor comprensión de los Responsables, Encargados y Titulares de la información, se incorpora la definición en el artículo respectivo.

3. Introducir en el artículo 7°, derechos de los niños, niñas y adolescentes, que la reglamentación que hará el Gobierno Nacional de esta materia no excederá los seis meses después de sancionada la ley.

El citado artículo prohíbe el tratamiento, uso, divulgación publicación o circulación de datos personales de niños, niñas y adolescentes cuyo fin sea su comercialización, tráfico, venta o cesión a terceros. Deja en cabeza del Gobierno Nacional la reglamentación de la materia. Siendo el tema de la divulgación de datos de este segmento de la población de vital importancia se considera prudente dejar el plazo antes dicho.

4. Aclarar el alcance de la revocatoria del consentimiento en el literal e) del artículo 8º.

El literal e) establece que la revocatoria del consentimiento procederá cuando en el tratamiento no se respeten los derechos, garantías y principios legales y constitucionales. Sin embargo es importante aclarar que esta revocatoria no procede de manera inmediata y que para ser efectiva debe existir una resolución por parte de la Autoridad de Control donde se establezca que efectivamente en el tratamiento se violaron las disposiciones legales y constitucionales.

5. Se elimina el literal c) del artículo 10 y se modifica el literal a) de la siguiente manera: Cuando la información sea requerida por una autoridad pública, siempre y cuando medie una autorización legal.

El artículo 10 trae las excepciones en las cuales no es necesaria la autorización del titular para el tratamiento de datos. El literal a) enuncia los casos de autorización legal para fines históricos, estadísticos, científicos u otros, por su parte el literal c) preveía que cuando la información fuera requerida por una autoridad pública en ejercicio de sus funciones que se encontraran consagradas en la ley.

La taxatividad del literal a) no es necesaria ya que es claro por los principios constitucionales y por el desarrollo que hace de los mismos el proyecto de ley, que la excepción a la autorización previa del titular para la entrega y tratamiento de datos personales puede sólo estar autorizada por ley. Ahora bien en cuanto al literal c), el mismo no resulta claro y puede generar confusiones, lo que se pretende indicar es lo mismo del literal a), por eso se propone que se manejen en uno sólo, dejando claro además que las autoridades públicas no pueden solicitar y tratar datos personales para el ejercicio de sus funciones, sino solamente cuando una ley lo permita.

6. Incluir en el artículo 11 plazo de un año para la reglamentación para el suministro de la información.

7. Modificar el literal b) del artículo 13 en el sentido de indicar que el suministro de información de que trata el proyecto de ley sólo puede entregarse a una autoridad pública siempre y cuando medie una autorización legal.

Al igual que en el artículo 10 debe hacerse claridad que la autoridad pública por el simple hecho de serlo no puede ni tratar ni solicitar ni ser destinataria de datos personales, sólo en el evento en el que haya una disposición legal que así lo disponga.

8. Incluir un parágrafo en el artículo 23 sanciones, indicando que las mismas sólo aplican para personas privadas que incumplan las disposiciones contenidas en la presente ley, y que para las autoridades públicas la Superintendencia de Industria y Comercio una vez realizada la investigación respectiva y de encontrar violación a la ley remitirá el expediente a la Procuraduría General de la Nación para lo de su competencia.

El artículo 23 contiene las sanciones que puede imponer la Autoridad de Control a los responsables del tratamiento y manejo de los datos personales, las cuales van desde multas hasta cierre definitivo de la operación, es claro que estas,   por su naturaleza, por el procedimiento para imponerlas y por el ente que las impone, que para el presente caso   la Superintendencia de Industria y Comercio no pueden aplicar a autoridades públicas, ya que no hay competencia para ello. De tal manera, se específica esta situación y se aclara que una vez adelantada la investigación por parte de la Autoridad de Control en caso de identificar alguna falta de una autoridad pública se debe remitir el expediente a la Procuraduría General de la Nación para lo de su competencia.”

 Anuncio y aprobación en primer debate

Según comunicación suscrita por el Secretario de la Comisión Primera de la Cámara de Representantes[60], el proyecto de ley fue anunciado para su discusión y aprobación en primer debate en la sesión del 8 de septiembre de 2010, según consta en el Acta No. 11 de esa fecha, publicada en la Gaceta del Congreso No. 957 del 24 de noviembre de 2010. El anuncio se realizó en los siguientes términos:

“Por instrucciones del señor Presidente se anuncian para discusión y votación en la próxima sesión los siguientes proyectos que estarán integrando el Orden del Día:

(…)

Proyecto de ley Estatutaria número 46 de 2010 Cámara, por la cual se dictan disposiciones generales para la protección de datos personales.

Señor Presidente por instrucciones suyas se han anunciado en cumplimiento de la Constitución,  los proyectos que en la próxima sesión se discutirán y votarán.

Agradecemos a los televidentes el seguimiento a esta sesión, agradecemos a los Parlamentarios. Se levanta la sesión, se convoca para el próximo martes a las nueve de la mañana, de igual manera el miércoles a la misma hora. Por favor”.

En efecto, el proyecto de ley, con las modificaciones propuestas en el informe de ponencia, fue aprobado en primer debate en la sesión del 14 de septiembre de 2010, según consta en el Acta No. 12 de esa misma fecha, publicada en la Gaceta del Congreso No. 958 del 24 de noviembre de 2010.

En relación con el quórum y las mayorías obtenidas, el Secretario informa en la certificación arriba mencionada (folios 542 a 546 del cuaderno de pruebas No. 2), que el informe de ponencia, el articulado propuesto y el título del proyecto fueron aprobados con la mayoría absoluta requerida por el artículo 153 Superior. Narra que se dio con votación nominal, con el voto afirmativo de 31 Representantes de los 35 que conforman la Comisión. Lo anterior pudo verificarse al leer el Acta No. 12 del 14 de septiembre de 2010, en la que se plasma el desarrollo de la discusión y la votación del proyecto de ley bajo estudio, coincidiendo con lo afirmado por el Secretario General de la Comisión[62] y en la que además puede observarse que el informe con que termina la ponencia fue aprobado con 29 votos positivos, el articulado también con 29 votos a favor y el título con 30 votos afirmativos.

El texto definitivo del proyecto de ley aprobado por la Comisión Primera de la Cámara de Representantes fue publicado en la Gaceta del Congreso No. 706 del 28 de septiembre de 2010, en el que esta Sala encuentra que los miembros de dicha Comisión acogieron completamente la propuesta del informe de ponencia, sin agregar nuevas disposiciones y sin modificar las existentes.

 Publicación de la ponencia para segundo debate en la Cámara de Representantes

La ponencia positiva para segundo debate con pliego de modificaciones, fue presentada por los Representantes Alfredo Deluque Zuleta, Óscar Fernando Bravo Realpe, Orlando Velandia Sepúlveda, Germán Varón Cotrino, Efraín Torres Monsalve, Miguel Gómez Martínez y Humphrey Roa Sarmiento.  El documento fue publicado en la Gaceta del Congreso 706 del 28 de septiembre de 2010[63].

Las modificaciones propuestas son las que a continuación se citan[64]:

“PLIEGO MODIFICATORIO

MODIFICACIONES AL TEXTO  PUBLICADO EN LA GACETA NÚMERO 625 de 2010

1. Se suprime el término soporte por el de base de datos (artículo 2°)

Para brindar una mayor uniformidad en el texto se suprime el término soporte, el cual hace referencia directa al término base de datos, el cual se encuentra definido en el artículo 3° del proyecto.

2. Se aclara que los datos personales hacen referencia a las personas naturales (artículo 3°)

Es importante aclarar que el derecho contenido en el artículo 15 de la Constitución Política hace referencia a los datos de personas naturales ya que son estas las que son objeto directo de las posibles vulneraciones en el Tratamiento.

La Corte Constitucional ha señalado que las personas jurídicas tienen derecho a la protección de su información, ello lo ha precisado refiriéndose a la información sobre la morosidad o cumplimiento de obligaciones dinerarias, tema que ya quedó regulado en la Ley 1266 de 2008.

La legislación colombiana cuenta con diferentes normas que ya protegen la información de las empresas, como entre otras, las siguientes: Los secretos empresariales (Decisión Andina 486 de 2000); La información privilegiada (Código Penal y Ley 45 de 1990); los libros y papeles del comerciante (Código de Comercio). Así las cosas, conferir más protección equivaldría a dar más importancia a la información de las personas jurídicas (sobreprotección) que a la de las personas naturales.

3. Se elimina la definición de Autoridad de Control (artículo 3°)

Para aclarar los posibles inconvenientes que se puedan derivar de la concurrencia de Autoridades como consecuencia de la Ley 1266 de 2008 se suprime el concepto de Autoridad de Control y se define en el articulado que para propósitos de esta ley se debe entender como Autoridad de Protección de Datos a la Superintendencia de Industria y Comercio.

4. Se aclara que solo la información que tenga naturaleza pública podrá ser objeto de Tratamiento en el caso de las niñas, niños y adolescentes (artículo 7°)

Aunque el principio general de este artículo establece que queda proscrito el Tratamiento de datos personales de niños, niñas y adolescentes cuyo fin sea su comercialización, tráfico, venta o cesión a terceros, es importante aclarar que la información pública no es objeto de esta prohibición dada su naturaleza.

5. Se elimina el verbo suprimir del literal a) y se modifica el literal e) del artículo 8°

Es importante aclarar que el Titular no tiene la facultad de suprimir sus datos ya que el artículo 15 de la Constitución establece que estos podrán conocer, rectificar o actualizar la información. Asimismo Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión sólo procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución.

6. Se modifica el título del artículo 13 ya que es el mismo del artículo 11

Tanto el artículo 11 como el 13 tenían el mismo nombre, por consiguiente se establece que para el caso del artículo 13 el título será “Personas a quienes se les puede suministrar la información”.

7. Se modifica el nombre de Autoridad de Control por el de Autoridad de Protección de Datos (artículo 19).

La Superintendencia de Industria y Comercio no tiene la facultad de control a la que hace referencia y por consiguiente se podría interpretar que se le está asignando esta nueva facultad. Por consiguiente se aclara que la Superintendencia de Industria y Comercio será la Autoridad en Protección de Datos y no la de Control.

 Anuncio y aprobación del proyecto en segundo debate

En principio, el proyecto de ley fue anunciado el 12 de octubre de 2010 para el día siguiente, tal como consta en el Acta No. 22 de la misma fecha, publicada en la Gaceta del Congreso 925 del 18 de noviembre de 2010[65]. El anuncio se realizó así:

Dirección de la Presidencia doctor Roosvelt Rodríguez Rengifo:

Señor Secretario, leamos los proyectos de ley para mañana.

Secretario General doctor Jesús Alfonso Rodríguez C.:

Anunciar Proyectos, para mañana miércoles 13 de octubre o para la próxima Sesión en la que se debatan proyectos de ley o de acto legislativo.

Subsecretaria General doctora Flor Marina Daza Ramírez:

Proyectos para segundo debate.

(…)

Proyecto de ley Estatutaria número 046 de 2010 Cámara

Señor Presidente, han sido anunciados los proyectos de ley para el día trece de octubre de 2010, de acuerdo al Acto Legislativo 1 de julio 3 de 2003, en su artículo 8°.”

Sin embargo, en la sesión del día 13 de octubre de 2010  se inició la discusión del proyecto pero la Plenaria decidió realizar su votación en la siguiente sesión, tal como consta en el Acta No. 23 de la misma fecha, publicada en la Gaceta del Congreso 849 del 2 de noviembre de 2010, en la que se lee:

“Dirección de la Presidencia, doctor Carlos Alberto Zuluaga Díaz:

Le he pedido al señor coordinador de ponentes que vamos a empezar hoy a hacer el gran debate para que todas las bancadas y todos los partidos y todos los Representantes opinen frente al proyecto, como se necesitan 85 votos a favor, el proyecto voy a solicitar es debatir hoy el proyecto y vamos a votar el proyecto, doctor Deluque el martes, pero por favor hoy debatimos con todas las garantías, con toda la tranquilidad y el martes entramos a votar el proyecto de ley.” [66]

Ahora bien, en el acta mencionada puede observarse que el proyecto fue debidamente anunciado de nuevo, de la siguiente manera[67]:

“Se anuncian los Proyectos para la Sesión Plenaria del día 19 de octubre o para la siguiente Sesión Plenaria en la cual se debatan Proyectos de Ley o Actos Legislativos:

(...)

Proyecto de ley número 046 de 2010 Cámara

(…)

Señor Presidente han sido anunciados los proyectos de ley para la Sesión Plenaria para el día 19 de octubre para la siguiente Sesión Plenaria en la cual se debatan Proyectos Actos de Ley o Actos Legislativos de acuerdo al Acto Legislativo 01 de julio 3 de 2003 en su artículo 8°.”[68]

En efecto, el proyecto de ley fue aprobado en la plenaria de la Cámara de Representantes, en la sesión del 19 de octubre de 2010, según consta en el Acta No. 24 de la misma fecha, publicada en la Gaceta del Congreso 868 del 4 de noviembre de 2010[69].

Acerca del quórum y las mayorías obtenidas, según certificación suscrita por el Secretario General de la Cámara de Representantes[70], se cumplió con el requisito de ser aprobado por la mitad más uno de los integrantes de dicha célula legislativa, esto es, con mayoría absoluta. Afirmó el Secretario que “en la Sesión Plenaria de la H. Cámara de Representantes del día 19 de octubre de 2010, a la cual se hicieron presentes ciento cincuenta y cinco (155) Honorables Representantes, fue considerado y aprobado por mayoría absoluta de los presentes en votación nominal Informe de Ponencia para segundo debate, el título y el articulado del Proyecto de Ley”. Las votaciones se desarrollaron de la siguiente manera:

“Proposición con que termina el informe de Ponencia para Segundo Debate: por el Sí: 89 por el No: 0. Tal y como consta en la página 25 de la Gaceta del Congreso No. 868 de 2010 (Aprobado).

Los artículos 1, 3, 6, 7, 9, 12, 13, 14, 15, 16, 17, 18, 20, 22, 24 y el 29 no tienen proposiciones. Por el sí: 97 por el No: 0 (Ver página 26 y 27 de la Gaceta No. 868 de 2010).

Votación en Bloque de los siguientes artículos con y sin proposición y unos artículos nuevos: proposición para el artículo 2, proposición para el artículo 10, proposición para el artículo 19, proposición para el artículo 21, proposición para el artículo 23, proposición para el artículo 25, proposición para el artículo 26, proposición para el artículo 27, proposición para el artículo 28. Los artículos 4, 5, 8 que no tienen proposición y el 23. Por el Sí: 106 por el No: 0 (Ver páginas 28 a 32)”

El texto definitivo aprobado en la Cámara de Representantes, fue publicado en la Gaceta del Congreso No. 833 del 29 de octubre de 2010[71], donde es posible verificar que la Plenaria adoptó los cambios propuestos en el informe de ponencia –arriba reproducidos- y, además, se aprobaron las proposiciones de diferentes Representantes para eliminar o adicionar el contenido de algunos artículos, a saber:

Se incluyó la frase “así como el derecho a la información consagrado en el artículo 20 de la misma” al final del artículo 1°[72].

Se agregaron cinco literales al artículo 2°[73]:

“El régimen de protección de datos personales que se establece en la presente ley no será de aplicación:

(…)

c) A las bases de datos y archivos de información periodística y otros contenidos editoriales;

d) A las bases de datos y archivos regulados por la Ley 1266 de 2008;

e) A las bases de datos y archivos regulados por la Ley 79 de 1993;

f) A las bases de datos y archivos regulados por la Ley 594 de 2000;

g) Las bases de datos y archivos relacionados con el Registro Civil de las Personas.”

Se modificó el literal a) del artículo 10 y se agrega un literal d) a esa disposición[74]:

“La autorización del titular no será necesaria en los siguientes casos:

a) Cuando la información sea requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.

(…)

d) Cuando sea autorizado por la ley para fines históricos, estadísticos, científicos u otros.”

Se modificó el primer inciso del artículo 19 y se agregó un parágrafo[75]:

“Artículo 19. Autoridad de protección de datos. La Superintendencia de Industria y Comercio ejercerá la vigilancia para garantizar que en el tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la ley.

Parágrafo. La vigilancia, el tratamiento de los datos, personas reguladas en la Ley 1266 del 2008, se ajustará en lo previsto en dicha norma”.

Se eliminó el literal f) del artículo 21[76].

Se agrega un párrafo al artículo 25, señalando[77]:

“Para realizar el registro de base de datos, los interesados deberán aportar a la Superintendencia de Industria y Comercio, las políticas de tratamiento de la información, las cuales obligarán a los responsables y encargados del mismo y cuyo incumplimiento acarreará las sanciones correspondientes.

Las políticas de tratamiento en ningún caso podrán ser inferiores a los deberes contenidos en la presente ley.”

Se crea el  parágrafo segundo al artículo 26[78].

 Se elimina el inicial artículo 27[79].

Agrega la frase “con excepción de aquellas contempladas en el artículo 2º de la presente ley” al final del artículo 28 sobre derogatorias[80].

Se crea un nuevo artículo, que establece[81]:

“Normas corporativas vinculantes. El Gobierno Nacional expedirá la reglamentación correspondiente sobre las normas corporativas vinculantes para la certificación de buenas prácticas en protección de datos personales y su transferencia a terceros países.”

Se crea otro nuevo artículo, que dispone[82]:

“Régimen de transición. Las personas que a la fecha entrada en vigencia la presente ley ejerzan alguna de las actividades aquí reguladas, tendrán un plazo de 6 meses para adecuarse a las disposiciones contempladas en esta ley.”

Trámite en el Senado de la República

Audiencia pública

Mediante Resolución No. 04 de noviembre 18 de 2010, se convocó a audiencia pública para la discusión del proyecto de ley en estudio. Ésta se llevó a cabo el día 25 de noviembre de ese mismo año, tal como consta en la Gaceta del Congreso No. 60 del 28 de febrero de 2011[83]. Participaron en ella los ciudadanos Raúl Antonio Vargas Camargo y Andrés Eduardo Cubillos Benavides, estudiantes de Derecho de la Universidad Libre.

El primero de ellos propuso al Senado de la República incluir un artículo relacionado con el certificado de antecedentes judiciales expedido por el Departamento Administrativo de Seguridad –DAS-, en cuanto ello implica el manejo de datos sensibles, sobretodo cuanto expide certificados indicando que una persona “registra antecedentes pero no es requerido por autoridad judicial”.

El segundo interviniente planteó algunas inquietudes sobre el ámbito de aplicación y la finalidad de la ley.

 Publicación de la ponencia para primer debate

Para primer debate ante la Comisión Primera del Senado, rindieron ponencia favorable los Senadores Luis Fernando Velasco Cháves, Carlos E. Soto, Luis Carlos Avellaneda Hemel Hurtado Angulo, Jorge Eduardo Londoño y Juan Manuel Corzo. La ponencia fue publicada en la Gaceta del Congreso 1023 del 2 de diciembre de 2010[84].

Los Senadores Ponentes sugirieron las siguientes modificaciones al texto del proyecto de ley aprobado por la Cámara de Representantes (subrayas, viñetas y numeración, fuera de texto original):

“Justificación de los cambios al texto aprobado por la Cámara de Representantes

El cumplimiento de los principios antes mencionados, más los ya expuestos en la Ley 1266 de 2008 y la regulación internacional de protección de datos, permite tener un filtro para analizar algunos artículos del proyecto que a nuestra consideración deben ser estudiados y modificados en busca de un real reconocimiento de la protección de datos en Colombia.

En el artículo 2°. Ámbito de Aplicación se debe tener en cuenta justificaciones en la excepción de algunas bases de datos

1.  Se propone excluir del literal a) “y aquellos que circulan internamente, esto es, que no se suministran a otras personas jurídicas o naturales”.

Lo anterior porque no guarda congruencia el pretender generar una ley estatutaria que podría violar el principio de igualdad al excepcionar de su aplicación a una buena parte de operadores de datos, pues si se permite que mientras el dato circule internamente este no sea objeto de la ley se estaría sesgando no solo el derecho de Hábeas Data sino los conexos como acceso a la información, debido proceso y demás derechos conexos al manejo de la información. Ya que es bien sabido que para que una decisión judicial o la aplicación de una ley eximan a unos o a otros esta excepción debe responder a los conceptos constitucionales argumentativos de igualdad y razonabilidad sentido en el cual la Corte dice.

En el literal b) se propone definir la necesidad de que exista una finalidad para exceptuar del ámbito de aplicación a las bases de datos y archivos que tengan por objeto la seguridad y defensa nacional, lavado de activos y terrorismo.

Asimismo se propone eliminar de esta excepción a las bases de datos y archivos sobre investigaciones judiciales y penales ya que estas no necesariamente tienen una finalidad directa con la seguridad y defensa nacional.

El tema de la aplican de las leyes correspondientes a protección de datos personales incluidos en bases de datos que tengan relación con inteligencia o seguridad debe estar siempre sujeto a las directivas constitucionales y si el legislativo pretende regular el tema mediante ley esta no puede estar en contra de los principios constitucionales de acceso a la información y hábeas Data  “ En efecto, al menos en la actualidad, sólo este tipo de datos tiene reserva legal frente a su titular. En consecuencia, dado que la reserva de datos de inteligencia frente al titular del dato, sólo podría existir si así lo establece una ley específica, clara y compatible con la Constitución y que las disposiciones existentes amparan únicamente la reserva de datos que hacen parte de investigaciones judiciales, sólo esta información puede permanecer oculta a su titular”[85].

4.  Además del anterior cambio se adicionan dos parágrafos al literal b)

Parágrafo. El literal anterior se aplicará solo cuando los datos contenidos en estas bases de datos cumplan con las características de reserva de datos que hacen parte de investigaciones judiciales.

Parágrafo 2°. Los datos allí contenidos solo se harán públicos cuando se justifique por su naturaleza.

Lo anterior en consecuencia de que la información y datos personales contenidos en bases de datos del estado deben cumplir con los principios de la administración de datos y por ello deben ser de libre acceso por parte del Titular, mientras medie como justificación algún tipo de reserva legal.

El segundo parágrafo promueve el respeto de los datos por la naturaleza que los contiene; es decir que los datos privados deberán ser respetados y no hacerse públicos a menos que el Titular lo autorice o que el dato presente algún tipo de peligro real y justificado a la seguridad y defensa nacional, lavado de activos, terrorismo como lo contiene el literal b).

Artículo 4°. Principios para el tratamiento de datos personales.

1. Se adiciona al literal b), al principio de finalidad, el de proporcionalidad agregando en su parte final el texto No podrán realizarse tratamientos de datos personales incompatibles con la finalidad autorizada por el titular o la ley, a menos que se cuente con el consentimiento inequívoco del titular”.

2. Se adiciona al literal f) al principio de finalidad del primer párrafo el texto “De igual forma, los datos personales únicamente pueden utilizarse para los fines autorizados por el titular o la ley.”

Estos principios que se adicionan hacen parte de los estándares internacionales, aprobados, entre otros en la Resolución de Madrid de 2009 (anexo) y han sido establecidos en la Jurisprudencia de la Corte Constitucional como fundamentales para dar un tratamiento debido a los datos personales. Específicamente estos se sintetizaron y aglutinaron en la Sentencia C-1011 de 2008.

Artículo 6°. Tratamiento de datos sensibles.

1. Se modifica gramaticalmente la frase “a excepción de los siguientes eventos por “excepto cuando”.

2. Se modifica en el literal b) el término de “padres” por el de “representantes legales”.

3. Se incorpora en el literal c) la palabra “una” antes de la palabra “fundación” y adicionalmente se incorpora el termino “ONG” luego de la palabra “fundación”.

Artículo 7°. Derechos de los niños, niñas y adolescentes.

1.  Se modifica el término “padres”  por el de “representantes legales o tutores”.

2. Se suprime los términos comercialización, tráfico, venta o cesión a terceros con el objetivo de impedir que se realicen interpretaciones literales que afecten los derechos fundamentales de los niños, niñas y adolescentes.

Artículo 9°. Autorización del titular.

Se elimina la frase “se requiere la autorización previa, escrita o verbal” por “la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior” con el objetivo de establecer mecanismos dinámicos de autorización siempre y cuando exista un medio o soporte para comprobar la autorización del Titular.

Artículo 10. Casos en que no es necesaria la autorización.

1. Se modifica la frase “cuando se trate de datos recogidos de fuentes de acceso irrestricto al público” por “datos de naturaleza pública” para evitar confusiones sobre el alcance de “irrestrictos al público”.

2. Se elimina del literal d) la palabra “u otros” para evitar que por medio de interpretación se exceptúe la autorización del Titular.

3. Se traslada la excepción contemplada sobre registro civil del artículo 2° a este artículo como nuevo literal e) ya que si bien es cierto que los datos relativos al registro civil de las personas son públicos, no por esto significa que no queden sujetos a las disposiciones contenidas en esta ley.

4. En el párrafo final de este artículo se aclara que las disposiciones contenidas en esta ley son de aplicación para todos los tipos de datos que esta regula, aun cuando no sea necesaria la autorización previa del Titular, quedando: Quien acceda a los datos personales sin que medie autorización previa deberá en todo caso cumplir con las disposiciones contenidas en la presente ley.”

Artículo 12. Deber de informar.

Se incorpora la posibilidad de informar al Titular de la dirección electrónica del Responsable en el momento de solicitar su información personal, en el literal d).

Artículo 13. Personas a quienes se les puede suministrar la información.

Se modifica la redacción del literal b) para establecer un criterio de unidad de términos en relación con el artículo 10 del proyecto, así: “A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.”

Artículo 15. Reclamos.

Se elimina el requerimiento del reclamo por medio escrito y se establece la posibilidad de que el Responsable o Encargado establezca cuál es la forma más idónea de recibir los reclamos por parte de los Titulares. En este sentido es importante aclarar que este procedimiento no puede ser restrictivo para el acceso de los Titulares a interponer los correspondientes reclamos.

Artículo 17. Deberes de los responsables del tratamiento.

 Se adiciona en un literal n) el deber de los Responsables de informar a la Superintendencia de Industria y Comercio cuando existan riesgos o violaciones de la seguridad de la bases de datos por parte de terceros.

Esta medida le permite evaluar de manera objetiva a la Superintendencia de industria y Comercio los riesgos eminentes de violaciones a la seguridad y establecer procedimientos y mecanismos para informar a los Titulares de esta situación.

Artículo 18. Deberes de los encargados del tratamiento.

1. Se elimina la primera parte del el literal j) ya que este deber es una función de la Superintendencia de Industria y Comercio y no del Encargado del Tratamiento. Por consiguiente se traslada al artículo 21 del proyecto.

2. Se adiciona el literal k) con el deber de los Encargados de informar a la Superintendencia de Industria y Comercio cuando existan riesgos o violaciones de la seguridad de la bases de datos por parte de terceros. Esta medida le permite evaluar de manera objetiva a la Superintendencia de industria y Comercio los riesgos eminentes de violaciones a la seguridad y establecer procedimientos y mecanismos para informar a los Titulares de esta situación.

Artículo 19. Autoridad de protección de datos.

1. Se establece la creación de una Delegatura de Protección de Datos dentro de la Superintendencia de Industria y Comercio. Asimismo se incorpora un nuevo parágrafo en el cual se establece que el Gobierno Nacional deberá reglamentar esta materia en un plazo no superior a seis meses. Esta medida permite tener una Delegatura específica y especializada sobre el tema de protección de datos personales.

2. Asimismo se corrige en el parágrafo segundo la palabra “vigencia” por “vigilancia”.

Artículo 21. Funciones.

 Se incorpora la función de requerir la colaboración de entidades internacionales o extranjeras cuando se afecten los derechos de los Titulares fuera del territorio colombiano (literal j) con ocasión, entre otras, de la recolección internacional de datos personales que se había incluido como responsabilidad de los Encargados pero que realmente es una función exclusiva de la Superintendencia de Industria y Comercio.

Artículo 26. Transferencia de datos a terceros países.

Se elimina del parágrafo segundo la posibilidad que dos entidades (Superintendencia Financiera y Superintendencia de Industria y Comercio) tengan la competencia de determinar el nivel adecuado de protección de datos de un tercer país. Esta facultad queda exclusivamente en manos de la Superintendencia de Industria y Comercio.

Artículo 27. Disposiciones especiales.

Se crea un nuevo artículo donde se le otorga la facultad al Gobierno de reglamentar por vía de decreto lo concerniente al Tratamiento de datos personales especiales que requieran de disposiciones específicas dada la naturaleza del dato.

Esta facultad le permite al Gobierno regular de manera más expedita datos especiales que requieran de modificaciones constantes dada la dinámica en su tratamiento.

Artículo 29 (artículo nuevo)

Se adiciona un nuevo artículo luego del artículo 28 dentro del Título “OTRAS DISPOSICIONES” el cual contempla como disposición especial el manejo que debe darse específicamente con el hecho de no publicar en el registro de antecedentes la información referente a penas cumplidas y penas prescritas como antecedente judicial.

En ese orden de ideas, la iniciativa no pretende que se ordene al DAS que de sus bases de datos desaparezcan los registros de las condenas ya cumplidas, sólo que frente al manejo de tal información se haga un llamado a la cautela y que sólo para propósitos que realmente lo demanden sea revelada, pues no se puede perder de vista que uno de los fines de la pena es la reinserción social de quien fue sujeto activo de una conducta punible.

 Anuncio y aprobación en primer debate del Senado de la República

En sesión del 2 de diciembre de 2010, se anunció la discusión y aprobación del proyecto de ley, sesión contenida en el Acta No. 32 de esa fecha, publicada en la Gaceta del Congreso No. 38 del 11 de febrero de 2011.  El anunció se llevó a cabo en los siguientes términos[86]:

“Por Secretaría, se da lectura a los proyectos que por disposición de la Presidencia se someterán a discusión y votación en la próxima sesión:

2. Proyecto de ley número 184 de 2010 Senado, 46 de 2010 Cámara, por la cual se dictan disposiciones generales para la protección de datos personales”.

Al finalizar se lee:

“Siendo la 3:30 p. m., la Presidencia levanta la sesión y convoca para el lunes 6 de diciembre de 2010, a partir de las 10:00 a. m., en el salón Guillermo Valencia del Capitolio Nacional.”

Efectivamente, según certificación expedida por el Secretario de la Comisión Primera del Senado el 14 de marzo de 2011[87], el proyecto de ley fue discutido y aprobado por la Comisión Primera del Senado, con las modificaciones propuestas en el informe de ponencia, el 6 de diciembre de 2010, según consta en el Acta No. 33 de la misma fecha, publicada en la Gaceta del Congreso 39 del 11 de febrero de 2011.

En certificación adicional, suscrita en la misma fecha, el Secretario de la Comisión Primera constata que la discusión y votación se realizó “con la mayoría requerida por la Constitución y la Ley para el trámite de leyes estatutarias”, esto es, con mayoría absoluta y votación nominal, de la siguiente manera[88]:

“En la sesión del día 06 de diciembre  de 2010, Acta Número 33, se discutió y votó esta iniciativa, asistieron 17 Honorables Senadores. Al iniciar la sesión se registró quórum deliberatorio.

En relación con la proposición con la que termina el informe de ponencia:

Para esta iniciativa se radicó un informe de ponencia, el cual solicitaba dar primer debate a esta iniciativa.

Sometida a votación nominal, en la sesión del día 06 de diciembre de 2010 – Acta N° 33, la proposición con que termina el informe de ponencia, junto con la pregunta si consideran que este proyecto de ley se le debe dar el trámite de Ley Estatutaria, fue aprobado mediante votación nominal por el siguiente resultado: VOTOS POR EL SI: 13, VOTOS POR EL  NO:00.

Votación del Articulado Aprobado por la Comisión Primera

TITULO DEL PROYECTO:

Votado en el siguiente texto: “POR LA CUAL SE DICTAN DISPOSICIONES GENERALES PARA LA PROTECCIÓN DE DATOS PERSONALES”

Aprobado mediante votación Nominal que obtuvo el siguiente resultado:

VOTOS EMITIDOS: 15

VOTOS POR EL SI: 15

VOTOS POR EL NO: 0

ARTICULADO DE LA INICIATIVA:

Sometido a votación en bloque en el texto del pliego de modificaciones.

Aprobado mediante votación Nominal que obtuvo el siguiente resultado:

VOTOS EMITIDOS: 13

VOTOS POR EL SI: 13

VOTOS POR EL NO: 0”

El texto definitivo aprobado en la Comisión Primera del Senado de la República, contenido en la Gaceta del Congreso No. 39 del 11 de febrero de 2011 (folio 64 del cuaderno No. 4 – página 5 y siguientes de la Gaceta), da cuenta de que esta célula legislativa adoptó las modificaciones propuestas en el informe de ponencia, salvo las siguientes[89]:

En el artículo 2, no se definió la necesidad de que exista una finalidad para exceptuar del ámbito de aplicación a las bases de datos y archivos que tengan por objeto la seguridad y defensa nacional, lavado de activos y terrorismo.

En el artículo 2,  no se incluyó el parágrafo segundo.

Además, puede observarse que durante la discusión no se propusieron ni aprobaron otras modificaciones.

 Ponencia para segundo debate en el Senado de la República

Para segundo debate la ponencia fue presentada por los senadores Luis Fernando Velasco Cháves, Carlos E. Soto, Luis Carlos Avellaneda Hemel Hurtado Angulo, Jorge Eduardo Londoño y Juan Manuel Corzo, y fue publicada en la Gaceta del Congreso No. 1080 de 13 de diciembre de 2010[90].

El informe de ponencia propone nuevos cambios al proyecto de ley proveniente de la Comisión Primera del Senado. Así, se expone:

“Justificación de los cambios al texto aprobado por la Comisión Primera de Senado en primer debate

El cumplimiento de los principios de acceso a la información y circulación reservada que regula la protección de datos se considera pertinente hacer las siguientes modificaciones al texto en busca de un real reconocimiento de la protección de datos en Colombia.

Artículo 2°. Ámbito de aplicación.

1. Se elimina el parágrafo del literal b):

Parágrafo. el literal anterior se aplicara solo cuando los datos contenidos en estas bases de datos cumplan con las características de reserva de datos que hacen parte de investigaciones judiciales.

Lo anterior ya que de dejarse su interpretación puede causar conflicto por dejar la puerta abierta a que cualquier persona pudiera acceder a información clasificada por temas de seguridad nacional que no se encuentren sujetas a investigación judicial.

2. Se adiciona un literal d) y parágrafo nuevo al final del artículo 2:

2.1. “d) bases de datos que tengan como fin información de inteligencia y contrainteligencia.”

El nuevo literal d) se incluye dado a que si bien se sostiene en el literal c) del mismo artículo una descripción de bases de datos relacionadas con el tema de seguridad del Estado, es bien sabido que el tema de inteligencia y contrainteligencia debe tratarse con sumo cuidado ya que aunque guarda estrecha relación con la seguridad del Estado, su manejo y fines son autónomos, motivo por el cual y respetando la jurisprudencia vigente se prefiere identificar de manera clara la exclusión condicionada de este tipo de bases de datos.

2.2. Parágrafo. Los principios sobre protección de datos serán aplicables a todas las bases de datos, incluidas las exceptuadas en el presente artículo, con los límites dispuestos en la presente ley y sin reñir con los datos que tienen características de estar amparados por la reserva legal. En el evento que la normatividad especial que regule las bases de datos exceptuadas prevea principios que tengan en consideración la naturaleza especial de datos, los mismos aplicarán de manera concurrente a los previstos en la presente ley.

La inclusión del parágrafo obedece a que sin importar la finalidad que tenga la base de datos, mientras esta contenga información y datos personales se deberá respetar los principios generales que regulan el tratamiento y protección de datos; así lo ha sostenido en reiteradas ocasiones la Corte Constitucional al enunciar el desarrollo y alcance que deben tener los principios que regulan el tema de la protección de la información. Una legislación unificada y clara sobre el tema en desarrollo se hace completamente necesaria respondiendo siempre a los principios de necesidad y proporcionalidad, motivo por el cual pretender dejar bases de datos sin que les sea aplicable los principios de la administración de datos, solo debería hacerse en respuesta a un estudio particular de cada caso que sobre fundamentos verídicos y con argumentación suficiente que permita, a través del test de razonabilidad, decidir y motivar por qué no se aplicarán los principios básicos que desarrolla un derecho fundamental, basta con analizar desde la óptica de la Corte los principios de libertad, necesidad,, veracidad, integridad, finalidad. Y su importancia en el desarrollo del derecho fundamental al Hábeas Data, la protección de datos personales y la autodeterminación informática.

Artículo 5° “Datos sensibles

Se adiciona lo que se subraya:

“Para los propósitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de Derechos Humanos, o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos”.

La inclusión de las definiciones al texto para que se consideren estos como datos sensibles se hace motivados por la importancia que resguarda la información que se relaciona con posiciones políticas o trabajo en Derechos Humanos, ejemplo de lo anterior son los innumerables casos de colombianos que por pertenecer a un sindicato o ser defensores de Derechos Humanos han terminado siendo víctimas de innumerables delitos, allí radica el hecho de darle protección especial a este tipo de información.

Artículo 29.

1. Se modifica la frase “haga sus veces” por “ejerza esta función”, se adicionan las frases “o quien ejerza esta función” y “o de quien ejerza esta función” después de la palabra Departamento Administrativo de Seguridad.

2. Se adiciona un parágrafo No. 2

La adición del parágrafo busca que los antecedentes judiciales expedidos por el Departamento Administrativo de Seguridad, DAS, o la entidad que ejerza la función de expedirlo lo haga usando los medios tecnológicos necesarios para que al igual que otras entidades como la Procuraduría General de la Nación, o la Personería el interesado pueda consultar de manera gratuita y a través de la página de la entidad encargada, el registro de antecedentes judiciales donde se pueda saber si existe o no antecedentes judiciales sin que se haga necesario que se estipule en esta información el prontuario o el motivo del antecedente, esto en pos del derecho a la igualdad, el acceso a la información y el Hábeas Data.

Un tercer parágrafo nuevo al artículo 29

La expedición del certificado judicial afirmando que no tiene antecedentes penales para las personas que han cumplido su pena o les ha sido declarada prescrita, si bien es respetuosa del derecho al Hábeas Data, puede generar el error en los nominadores de las entidades públicas de dar posesión a una persona violando los artículos 122, 179 numeral 1, 197, 232, 249, 264 y 267 de la Constitución Política de Colombia.

Por lo anterior y para armonizar las dos disposiciones, se incluye el parágrafo 2º afirmando que el certificado judicial expedido a solicitud de los peticionarios de sus propios registros, no será válido en aquellos cargos donde se requiera la carencia total de antecedentes. En estos casos, deberán dar cumplimiento estricto a lo señalado en el artículo 17 del Decreto-ley 2150 de 1995:

Cuando las entidades de la Administración Pública requieran la presentación de los antecedentes judiciales o de policía, disciplinarios o profesionales acerca de un ciudadano en particular deberán, previa autorización escrita del mismo, solicitarlos directamente a la entidad correspondiente. Para este efecto, el interesado deberá cancelar los derechos pertinentes si es del caso.

El nombre de este artículo en el Título IX otras disposiciones.

Título del artículo 29

Artículo 29. Certificación de antecedentes judiciales.

Se incluyen 2 artículos nuevos, el artículo 30 y 31Artículo 30 (nuevo)

Se adiciona un artículo titulado Datos con fines de inteligencia y contrainteligencia; con el cual se busca que la captura, archivo, tratamiento, divulgación y uso de datos e información sensible y personal del titular en bases de datos relacionadas con inteligencia y contrainteligencia; sean manejados con los criterios propios de la protección de datos sensibles, determinándose responsabilidad sobre los funcionarios que estén encargados no solo del tratamiento y recopilación de la información sino de aquellos que ordenan su captura y tratamiento tales como jefes, directores y subdirectores de las unidades especiales, seccionales, divisiones y demás delegaciones que por autorización, por su naturaleza o misionalidad ejerzan estas funciones; así como quienes estén autorizados en los respectivos manuales de dichas dependencias y quienes autoricen u ordenen operaciones o misiones de trabajo desde los organismos que realizan actividades de inteligencia y contrainteligencia o que hagan parte de la Junta de Inteligencia Conjunta.

Se adiciona un artículo titulado Datos con fines de inteligencia y contrainteligencia; con el cual se busca que la captura, archivo, tratamiento, divulgación y uso de datos e información sensible y personal del titular en bases de datos relacionadas con inteligencia y contrainteligencia; sean manejados con los criterios propios de la protección de datos sensibles, determinándose responsabilidad sobre los funcionarios que estén encargados no solo del tratamiento y recopilación de la información sino de aquellos que ordenan su captura y tratamiento tales como jefes, directores y subdirectores de las unidades especiales, seccionales, divisiones y demás delegaciones que por autorización, por su naturaleza o misionalidad ejerzan estas funciones; así como quienes estén autorizados en los respectivos manuales de dichas dependencias y quienes autoricen u ordenen operaciones o misiones de trabajo desde los organismos que realizan actividades de inteligencia y contrainteligencia o que hagan parte de la Junta de Inteligencia Conjunta.

Propiciando siempre que la captura, archivo, tratamiento, divulgación y uso de datos e información sensible y personal del titular se haga atendiendo la Constitución y la ley y sin vulnerar derechos fundamentales como el Hábeas Data, el buen nombre y la honra cumpliendo estrictos lineamientos, guardando y manteniendo absoluta reserva frente a terceros y dando a conocer al titular aquella parte de la información que pueda conocer, actualizar o rectificar en virtud del artículo 15 de la Constitución siempre que con el ejercicio de este no se vulnere la reserva judicial o la ley. Evitando que estos datos puedan hacerse públicos o difundirse salvo, existencia de un antecedente penal o contravenciones y ojalá nunca antes de la etapa de juzgamiento.

Ya que en concordancia con la jurisprudencia vigente, la Corte sostiene estos mismos postulados en sinnúmero de sentencias”

 Anuncio y aprobación en cuarto debate

De acuerdo con lo comunicado por el Secretario General del Senado de la República[91], en sesión plenaria del 14 de diciembre de 2010 se anunció la discusión y aprobación del proyecto de ley, como puede leerse en el Acta No. 33 de esa fecha, publicada en la Gaceta del Congreso No. 78 del 10 de marzo de 2011. El anuncio se realizó como a continuación se cita:

“Por instrucciones de la Presidencia y, de conformidad con el Acto legislativo 01 de 2003, por Secretaría se anuncian los proyectos que se discutirán y aprobarán en la próxima sesión.

Señor Presidente, los siguientes son los proyectos para la sesión del día de mañana:

Proyectos con ponencia para Segundo Debate

(…)

Proyecto de ley número 184 de 2010 Senado, 046 de 2010 Cámara, por la cual se dictan disposiciones generales para la protección de datos personales.

(…)

Todos estos proyectos están debidamente publicados en la Gaceta del Congreso, están leídos señor Presidente los proyectos y anunciados para la próxima sesión”

Al finalizar se lee:

“Siendo las 8:30 p. m., la Presidencia levanta la sesión y convoca para el día miércoles 15 de diciembre de 2010, a las 9:00 a. m.”

En efecto, el proyecto de ley fue aprobado con votación nominal, en sesión plenaria del 15 de diciembre de 2010, contenida en el Acta No. 34 de la misma fecha, publicada en la Gaceta del Congreso No. 80 del 11 de marzo de 2011.

En relación con el quórum y las mayorías, el Secretario General del Senado de la República señaló en certificación suscrita el 24 de marzo del presente año, que [l]a votación fue de 57 votos así: 56 votos por el SI y un 1 voto por el NO[93] . En el Acta No. 34 del 15 de diciembre de 2010, se observa que el informe con que termina la ponencia fue aprobado con 60 votos a favor; y el articulado en bloque y el título fueron aprobados con 56 votos positivos y un (1) voto en contra.

El texto definitivo aprobado en el Senado de la República, fue publicado en la Gaceta del Congreso No. 1118 del 22 de diciembre de 2010. En él es posible identificar que se acogieron todas las modificaciones propuestas en el informe de ponencia para segundo debate en el Senado, y en el Acta No. 34 del 15 de diciembre de 2010 también se observa que durante la discusión del proyecto no se propusieran ni aprobaran cambios adicionales.

Conciliación del proyecto de ley

Tal como lo verificó la Sala Plena al realizar el recuento del trámite de aprobación del proyecto de ley en estudio y al evidenciar las transformaciones en el contenido del mismo durante las diferentes etapas, los textos aprobados por la Cámara de Representantes y por el Senado de la República terminaron siendo distintos, de manera que en virtud de los dispuesto por el artículo 161 Superior, fue necesario conformar una comisión accidental de conciliación en búsqueda de superar las discrepancias existentes, Comisión de la que hicieron parte el Senador Luís Fernando Velasco y el Representante a la Cámara Alfredo Deluque Zuleta.

Dichas discrepancias se encuentran en los artículos 2, 4, 5, 10, 12, 15, 17, 18, 19, 21 y 26 y con la creación de los artículos 27, 28, 29, 30, 31 y 32.  

Contenido del informe de conciliación al proyecto de ley bajo análisis y su publicación en la Gaceta del Congreso

La Comisión Accidental de Conciliación adoptó, en general, el texto aprobado por el Senado de la República, salvo los cambios hechos por esa célula legislativa al texto de los literales b) y f) del artículo 4, quedando tal como fue aprobado por la Cámara de Representantes.

Adicionalmente, se corrigieron algunos errores mecanográficos y gramaticales que se encontraron en los artículos 2 y 29.

El informe de conciliación fue publicado en las Gacetas del Congreso No. 1101 y 1102 del 15 de diciembre de 2010.

 Aprobación del informe de conciliación en la Cámara de Representantes

En sesión plenaria de la Cámara de representantes del 15 de diciembre de 2011, fue anunciada la discusión y aprobación del informe de conciliación, tal como consta en el Acta No. 42 de esa fecha, publicada en la Gaceta del Congreso No. 287 del 20 de mayo de 2011. El anuncio se realizó de la siguiente forma[95]:

“Se anuncian los siguientes proyectos para Sesión Plenaria del día 16 de diciembre del 2010, según el Acto Legislativo número 1 de julio 3 de 2003 en su artículo 8º.

Informes de conciliación:

Proyecto de Ley Estatutaria número 046 de 2010 Cámara - 184 de 2010 Senado, por la cual se dictan disposiciones generales para la protección de datos personales.

(…)

Señor Presidente, han sido anunciados los proyectos de ley para la Sesión Plenaria del día de mañana 16 de diciembre del 2010.”

Y al finalizar la sesión, se lee:

“Se le se levanta la sesión y se convoca mañana a las nueve y media de la mañana.”

El informe de conciliación fue aprobado al día siguiente, en la sesión del 16 de diciembre de 2010, tal como se verifica en el Acta No. 43 de esa fecha, contenida en la Gaceta del Congreso No. 237 del 6 de mayo de 2011.

De acuerdo con lo afirmado por el Secretario General de esa corporación en certificación expedida el 26 de mayo del presente año[96],  el informe de conciliación fue aprobado en votación nominal con la mayoría absoluta exigida constitucionalmente, con 98 votos positivos, tal como se observa en las páginas 20 y 21 de la Gaceta No. 237 de 2011:

“Secretario General, doctor Jesús Alfonso Rodríguez C.:

Proyecto de Ley 46 de 2010 Cámara, 184 de 2010 Senado, por la cual se dicta n disposiciones generales para la protección de los datos personales, señor Presidente.

Dirección de la Presidencia doctor Carlos Alberto Zuluaga Díaz:

Está leído el informe de conciliación por el señor Secretario, se abre su discusión, continúa su discusión, va a cerrarse, queda cerrado. Abra el registro.

Secretario General, doctor Jesús Alfonso Rodríguez C.:

Se abre el registro, se les recuerda que este es un proyecto de ley estatutaria y requiere mayoría absoluta para su aprobación, este informe.

Roosvelt Rodríguez               vota Sí.

Madrid Hodeg                        vota Sí.

Joaquín Camelo                     vota Sí.

Humphrey Roa                      vota Sí.

Buenaventura León               vota Sí.

Raimundo Méndez                vota Sí.

Laureano Acuña                     vota Sí.

A los que votan verbalmente, les pido el favor, con el mayor respeto, que no lo vuelvan a hacer electrónicamente, porque nos arroja un resultado equivocado.

Dirección de la Presidencia doctor Carlos Alberto Zuluaga Díaz:

Se cierra, señor Secretario.

Secretario General, doctor Jesús Alfonso Rodríguez C.:

Se cierra la votación. Por el Sí 97. Ha sido aprobado, doctor. Deja constancia de su voto positivo, sí, ha sido aprobado el informe de conciliación del Proyecto de Ley 046 de 2010 Cámara, 184 de 2010 Senado.

(…)

NOTA ACLARATORIA

Acta número 43 del 16 de diciembre de 2010

Se aclara por parte de la Secretaría General de la Cámara de Representantes que el resultado de la votación electrónica y manual adjunto, Informe de Conciliación al Proyecto de Ley Estatutaria, disposiciones generales para la protección de datos personales, es: Por el Sí 98 con el voto positivo del honorable Representante Rafael Antonio Madrid Hodeg.”

Anuncio y aprobación del informe de conciliación en el Senado de la República

El informe de conciliación fue anunciado en la sesión plenaria del senado del 15 de diciembre de 2011, como consta en el Acta No. 34 de esa misma fecha, publicada en la Gaceta del Congreso No. 80 del 11 de marzo de 2011. La aprobación del informe fue anunciada como a continuación de lee:

“Por instrucciones de la Presidencia y, de conformidad con el Acto Legislativo 01 de 2003, por Secretaría se da lectura a los proyectos que se discutirán y aprobarán en la próxima sesión.

Señor Presidente, son los proyectos para mañana,

Con informe de Conciliación

Proyecto de ley número 184 de 2010 Senado, 046 de 2010 Cámara”

En efecto, la Plenaria del Senado de la República aprobó el informe de conciliación al día siguiente, 16 de diciembre de 2010, como se observa en el Acta No. 35 de la misma fecha, contenida en la Gaceta del Congreso No. 81 del 14 de marzo de 2011[98].

Mediante comunicación fechada 24 de marzo de 2011[99], el Secretario General del Senado, certificó que el informe de conciliación se aprobó nominalmente con “61 votos por el sí”. En el Acta No. 36 del 16 de diciembre de 2010, se lee:

“La Presidencia somete a consideración de la plenaria el Informe de Conciliación al Proyecto de ley número 184 de 2010 Senado, 046 de 2010 Cámara; cierra su discusión y, de conformidad con el Acto Legislativo 01 de 2009, abre la votación e indica a la Secretaría abrir el registro electrónico para proceder a la votación nominal.

La Presidencia cierra la votación e indica a la Secretaría cerrar el registro e informar el resultado de la votación.

Por Secretaría, se informa el siguiente resultado:

Por el Sí:            61

Total:                61 votos

Constitucionalidad del trámite legislativo del proyecto de ley Estatutaria bajo estudio

Cumplimiento de los requisitos especiales para la aprobación de leyes estatutarias en el caso concreto: cumplimiento del requisito de mayoría absoluta

La aprobación del proyecto de ley durante todas las etapas se dio con el voto positivo de la mitad más uno de los miembros de cada célula legislativa, tal como lo exige el artículo 153 Superior y, además, de conformidad con lo previsto en el artículo 133 de la Carta, modificado por el artículo 5º del Acto Legislativo 1 de 2009, el voto de los miembros del Congreso será nominal y público. Veamos:

La aprobación del proyecto de ley en primer debate en la Cámara de Representantes se dio con el voto afirmativo de 31 Representantes de los 35 que conforman la Comisión[100].

La aprobación en la plenaria de la Cámara de Representantes se dio con 89 votos positivos[101].

En la Comisión Primera del Senado de la República el proyecto de ley se aprobó con el voto positivo de 13 Senadores de los 18 que conforman la Comisión[102].

En la plenaria del Senado votaron afirmativamente 56 Senadores y negativamente un (1) Senador[103].

El informe de conciliación fue aprobado por la plenaria de la Cámara de Representantes con el voto positivo de 98 Representantes[104].

La plenaria del Senado de la República aprobó el informe de conciliación con el voto afirmativo de 61 Senadores[105].

Aprobación dentro de una sola legislatura

El proyecto de ley estatutaria fue radicado en el Congreso de la República el 3 de agosto de 2010, publicándose su texto con la exposición de motivos el 4 de agosto de 2010, en la Gaceta del Congreso No. 488 de esa fecha.  El proyecto de ley fue finalmente aprobado por las plenarias de las cámaras con informe de conciliación, en sesiones del 16 de diciembre de 2010.  Así las cosas, esta Sala verifica que el proyecto de ley bajo estudio fue aprobado dentro de una sola legislatura, en este caso, dentro de la que se inició el 20 de julio de 2010 y finalizó el 20 de junio de 2011, cumpliéndose con lo dispuesto en el artículo 153 de la Carta.

Cumplimiento de los requisitos generales para la aprobación de leyes

 Publicación del proyecto de ley, antes de darle curso en la Comisión respectiva (numeral 1 del artículo 157 de la Carta)

Tal como lo demostró esta Sala al describir las etapas surtidas durante el trámite del proyecto de ley bajo examen, éste fue publicado previo a darle curso en cada una de las comisiones y cámaras. En efecto:

El proyecto de ley presentado por el Gobierno ante el Congreso de la República fue publicado el 4 de agosto de 2010 (Gaceta del Congreso No. 488 de esa fecha) y se dio inicio al primer debate en la Comisión Primera de la Cámara de Representantes, el 14 septiembre de 2010[106] .

La publicación del informe de ponencia para segundo debate en la Cámara de Representantes, se dio el 28 de septiembre de 2010 (Gaceta del Congreso No. 706 de esa fecha), y se inició la discusión del proyecto de ley en la plenaria de dicha célula legislativa, el 13 de octubre de 2010[107].

Así mismo, el informe de ponencia para primer debate en el Senado de la República, fue publicado el 2 de diciembre de 2010 (Gaceta del Congreso No. 1023 de igual fecha) y el primer debate en la Comisión Primera ocurrió el 6 de diciembre de 2010[108].

De igual forma, la publicación de la ponencia para segundo debate en el Senado de la República se realizó el 13 de diciembre de 2010 (Gaceta del Congreso No. 1080 de esa fecha), y el debate se llevó a cabo el 15 de diciembre de 2010[109].

Finalmente, el informe de la Comisión Accidental de Conciliación fue publicado el 15 de diciembre de 2010 (Gacetas del Congreso No. 1101 y 1102 de esa fecha), y el mismo fue discutido y aprobado en las plenarias de ambas cámaras el 16 de diciembre de ese mismo año[110]

 Cumplimiento de los términos para la iniciación de los debates

El primer inciso del artículo 160 Superior establece que entre el primero y el segundo debate deberá mediar un lapso no inferior a ocho días, y entre la aprobación del proyecto en una de las cámaras y la iniciación del debate en la otra, deberá transcurrir por lo menos quince días.

En el procedimiento del proyecto de ley bajo estudio observa esta Sala que se cumplió con los términos constitucionales arriba indicados. Así, entre la aprobación del proyecto de ley en la Comisión Primera de la Cámara de Representantes (14 de septiembre de 2010) y la fecha del segundo debate en esa célula legislativa (13 de octubre) transcurrieron más de ocho días. De igual forma, entre el primer debate en el Senado de la República (6 de diciembre de 2010) y el debate en su Plenaria (15 de diciembre), pasó un tiempo mayor a ocho días.

Además, entre la aprobación del proyecto de ley en la Cámara de Representantes (13 de octubre de 2010) y la iniciación del debate en el Senado de la República –Comisión Primera- (6 de diciembre), sucedieron más de 15 días.

Anuncio previo a la votación del proyecto de ley

El artículo 8 del Acto Legislativo 1 de 2003, que adicionó el último inciso del artículo 160 de la Carta, dispone que ningún proyecto de ley podrá someterse a votación en sesión diferente a aquella para la cual fue anunciado previamente y, además, el aviso deberá realizarse en sesión distinta a aquella en que se debata y vote el proyecto de ley.

Según lo establece la jurisprudencia pertinente, esta disposición busca evitar la votación sorpresiva de los proyectos de ley y actos legislativos, en aras de permitir que los congresistas se enteren de los proyectos que van a ser discutidos y votados en las sesiones siguientes[111].

Desde el punto de vista de la defensa de los valores democráticos, la jurisprudencia sostiene que el anuncio “facilita a los ciudadanos y organizaciones sociales que  tengan interés en influir en la formación de la ley y en la suerte de ésta, ejercer sus derechos de participación política (Artículo 40 C. P.) con el fin de incidir en el resultado de la votación, lo cual es importante para hacer efectivo el principio de democracia participativa (Artículos 1 y 3 C.P.)”[112]

La exigencia del anuncio previo se trata entonces de una exigencia de rango constitucional, para afianzar el principio democrático, el respeto por las minorías parlamentarias, y la publicidad y transparencia del proceso legislativo.

Así las cosas, del texto de la disposición constitucional se desprende que el anuncio debe cumplir con los siguientes requisitos[113]:

“a) El anuncio debe estar presente en la votación de todo proyecto de ley.

b) El anuncio debe darlo la presidencia de la cámara o de la comisión en una sesión distinta y previa a aquella en que debe realizarse la votación del proyecto.

c) La fecha de la votación debe ser cierta, es decir, determinada o, por lo menos, determinable.

d) Un proyecto de ley no puede votarse en una sesión distinta a aquella para la cual ha sido anunciado”.

Tal como lo evidenciaba esta providencia en apartes anteriores, en el caso concreto esta Corporación encuentra que durante todas las etapas del procedimiento del proyecto de ley, se cumplió con los requisitos mencionados para que se entienda surtido el anuncio previo. Veamos:

El proyecto de ley fue anunciado para su discusión y aprobación en primer debate en la Comisión Primera de la Cámara de Representantes, para el “próximo martes”, en la sesión del miércoles 8 de septiembre de 2010[114]. Y, en efecto, el proyecto de ley fue aprobado en primer debate el siguiente martes, 14 de septiembre de 2010.

Durante el segundo debate en la Cámara de Representantes, en principio, el proyecto de ley fue anunciado el 12 de octubre de 2010 para el día siguiente, “miércoles 13 de octubre”[116] .

Sin embargo, si bien en la sesión del día 13 de octubre de 2010  se inició la discusión del proyecto, la Plenaria decidió realizar su votación en la siguiente sesión, anunciándolo de nuevo en debida forma “para la Sesión Plenaria del día 19 de octubre”[117].

Efectivamente, el proyecto de ley fue aprobado en la sesión plenaria del 19 de octubre de 2010, según consta en el Acta No. 24 de la misma fecha, publicada en la Gaceta del Congreso 868 del 4 de noviembre de 2010.

En sesión del 2 de diciembre de 2010, se anunció la discusión y aprobación del proyecto de ley en primer debate en la Comisión Primera del Senado de la República, “para el lunes 6 de diciembre de 2010”[118].

Así ocurrió, pues el proyecto de ley fue discutido y aprobado en dicha Comisión, el 6 de diciembre de 2010, según consta en el Acta No. 33 de la misma fecha, publicada en la Gaceta del Congreso 39 del 11 de febrero de 2011.

En sesión plenaria del 14 de diciembre de 2010 se anunció la discusión y aprobación del proyecto de ley “para el día miércoles 15 de diciembre de 2010”, como puede leerse en el Acta No. 33 de esa fecha, publicada en la Gaceta del Congreso No. 78 del 10 de marzo de 2011.

En efecto, el proyecto de ley fue aprobado en sesión plenaria del 15 de diciembre de 2010, contenida en el Acta No. 34 de la misma fecha, publicada en la Gaceta del Congreso No. 80 del 11 de marzo de 2010.

El informe de conciliación fue anunciado para discusión en la plenaria de la Cámara de Representantes, el día 15 de diciembre de 2011 “para la Sesión Plenaria del día de mañana 16 de diciembre del 2010”[119].

Tal como se anunció, el informe de conciliación fue aprobado al día siguiente, en la sesión del 16 de diciembre de 2010, lo que se verifica en el Acta No. 43 de esa fecha, contenida en la Gaceta del Congreso No. 237 del 6 de mayo de 2011.

El informe de conciliación fue anunciado para el día siguiente en la sesión plenaria del senado del 15 de diciembre de 2011, como consta en el Acta No. 34 de esa misma fecha, publicada en la Gaceta del Congreso No. 80 del 11 de marzo de 2011.

En efecto, la Plenaria del Senado de la República aprobó el informe de conciliación al día siguiente, 16 de diciembre de 2010, como se observa en el Acta No. 35 de la misma fecha, contenida en la Gaceta del Congreso No. 81 del 14 de marzo de 2011.

Vulneración de los principios de consecutividad e identidad flexible en la aprobación de los artículos 29, 30 y 31

Caracterización de los principios

En relación con el principio de unidad de materia, debe aclararse que si bien la jurisprudencia constitucional ha entendido que la violación de este principio constituye un vicio material[120], lo cierto es que también ha explicado que el mismo tiene un papel decisivo en la racionalización del proceso de elaboración de la ley y surge con ocasión de la aprobación de la norma objeto de estudio a pesar de que ésta no guarde unidad de materia con el núcleo temático de la ley que la contiene[121]; por esa razón, esta Sala considera pertinente, para efectos de organización y coherencia de la sentencia, abordar desde ahora el cumplimiento de este principio.

En segundo lugar, el artículo 158 de la Carta dispone que “(t)odo proyecto de ley debe referirse a una misma materia y serán inadmisibles las disposiciones o modificaciones que no se relacionen con ella” y el artículo 169 señala que “(e)l título de las leyes deberá corresponder precisamente a su contenido”.

De la lectura de estas disposiciones, es posible definir que el principio de unidad de materia consiste en que cada una de las disposiciones que conforman un ordenamiento legal, pertenezcan a su núcleo temático, el cual puede precisarse, entre otros, con lo establecido en su título. Esto no se refiere sólo a aquellas disposiciones que sean introducidas durante su trámite de aprobación, sino que se predica de cualquiera de sus normas, incluso si estuvo presente desde que el proyecto de ley inició su trámite en el Congreso –por esto, entre otras razones, no puede entenderse como un vicio procedimental-.

Esta última característica es muy ilustrativa para diferenciarlo del principio de identidad relativa - con el que suele confundirse-, en tanto este último sólo se predica de las enmiendas que se realicen durante el trámite legislativo al proyecto inicialmente presentado ante el legislativo, prohibiendo que éstas hagan del proyecto uno totalmente distinto al concebido hasta ese momento.  

Además, el principio de unidad de materia se distingue del principio de identidad flexible, en que el primero busca evitar que la temática regulada por una disposición sea absolutamente ajena al núcleo temático de la ley que la contiene. En cambio, el principio de identidad propende por impedir que una norma creada durante el proceso legislativo, cambie sustancialmente el proyecto de ley que hasta esa etapa se tenía. Entonces, la unidad de materia proscribe las normas que no tengan relación alguna con la materia de la ley de la que hacen parte; y, por su parte, la identidad prohíbe la creación de normas o la modificación de aspectos del proyecto de ley que hagan de él uno absolutamente diferente. Por tanto, puede existir violación a la unidad de materia porque lo regulado en un artículo no tenga relación alguna con el tema del cuerpo legal que lo contiene, sin que con ello se vulnere la identidad, pues puede que la existencia o aprobación de ese artículo no se traduzca en la creación de un nuevo proyecto de ley, distinto al inicialmente concebido. Y viceversa, puede ocurrir que se presente la violación del principio de identidad por la enmienda introducida al proyecto de ley, al cambiar su esencia, sin que implique la violación de la unidad de materia en tanto lo consagrado con la enmienda se circunscribe al núcleo temático del proyecto de ley, pero haciéndolo esencialmente distinto.

En tercer lugar, conforme a reiterada jurisprudencia de esta Corporación, íntegramente explicada por la Sentencia C-400 de 2010[122], los artículos 158 y 169 de la Carta, buscan racionalizar y tecnificar el proceso legislativo, tanto en el momento de discusión de los proyectos en el Congreso, como respecto del producto final, es decir de la ley que finalmente llega a ser aprobada.

La Corte ha explicado que las anteriores exigencias constitucionales obedecen a la necesidad de hacer efectivo el principio de seguridad jurídica, que impone “darle un eje central a los diferentes debates que la iniciativa suscita en el órgano legislativo”[124], y porque luego de expedida la ley, su cumplimiento reclama un mínimo de coherencia interna, que permita a los destinatarios de las normas identificarse como tales y conocer las obligaciones que de ella se derivan.

En efecto, refiriéndose al alcance constitucional del principio de unidad de materia, la Corte ha señalado que con él se pretende “asegurar que las leyes tengan un contenido sistemático e integrado, referido a un solo tema, o eventualmente, a varios temas relacionados entre sí. La importancia de este principio radica en que a través de su aplicación se busca evitar que los legisladores, y también los ciudadanos, sean sorprendidos con la aprobación subrepticia de normas que nada tienen que ver con la(s) materia(s) que constituye(n) el eje temático de la ley aprobada, y que por ese mismo motivo, pudieran no haber sido objeto del necesario debate democrático al interior de las cámaras legislativas. La debida observancia de este principio contribuye a la coherencia interna de las normas y facilita su cumplimiento y aplicación al evitar, o al menos reducir, las dificultades y discusiones interpretativas que en el futuro pudieran surgir como consecuencia de la existencia de disposiciones no relacionadas con la materia principal a la que la ley se refiere”[126].

Adicionalmente, la jurisprudencia ha precisado que el principio de unidad de materia se respeta cuando existe conexidad temática, teleológica, causal o sistemática entre la norma acusada y la ley que la contiene. [127]

Ahora bien, ha estimado que por respeto a la libertad de configuración del legislador, el estudio de la existencia de la conexidad en los aspectos mencionados no debe ser excesivamente rígido[128]. En el mismo orden de ideas, la Corte ha considerado que la unidad de materia no significa simplicidad temática, por lo que una ley bien puede referirse a varios asuntos, siempre y cuando entre los mismos exista una relación de conexidad objetiva y razonable[129]. Así pues, la Corte ha rescatado el carácter flexible del control de constitucionalidad que debe ejercerse cuando se trata de verificar el cumplimiento del principio de unidad de materia.

Respecto del principio de identidad relativa, en primer lugar, debe indicarse que este principio se deriva del análisis sistemático del segundo inciso del artículo 160 Superior con los numeral 2 y 3 del artículo 157. Así, surge del mandato constitucional según el cual durante el segundo debate cada cámara podrá introducir las enmiendas que considere pertinentes (artículo 160[131]), siempre y cuando ellas no cambien la esencia del proyecto de ley hasta ese momento aprobado, pues, en ese caso, deberán surtir todos los debates requeridos de acuerdo al artículo 157.

Para mayor ilustración, es preciso recordar que, en contraste con el actual carácter flexible del principio de identidad, en la Constitución Política de 1886, se consagraba un principio de identidad de carácter absoluto, de acuerdo con el cual los proyectos de ley presentados al Congreso no podían ser modificados por el legislador durante su trámite y, entonces, debían ser aprobados idénticos a como fueron radicados en su origen.

El constituyente consideró necesario, en virtud del principio democrático, deliberativo y pluralista, transversal a la Carta de 1991 y rotundamente aplicable a la actividad parlamentaria, que dicho principio se relativizara en función de la posibilidad de enmienda de los proyectos para mejor proveer el contenido, efectividad y racionalización de la legislación y, por supuesto, de la actividad legislativa. Pero, claro está, cumpliéndose los cuatro debates cuando éstos se entiendan esenciales para el proyecto, en garantía de la iniciativa legislativa. De manera que en esos eventos, las modificaciones, adiciones o supresiones deben ser trasladadas a la respectiva comisión constitucional permanente para que agote el trámite ordinario de aprobación desde el primer debate (artículo 179 de la Ley Orgánica de Reglamento del Congreso)[133].

En sentencia C-141 de 2010[134], la Corte determinó como  núcleo conceptual del principio de identidad relativa, “la idea que a lo largo de los cuatro debates se mantenga sustancialmente el mismo proyecto, es decir, que las modificaciones que en ejercicio de los principios de pluralismo y decisión mayoritaria pueden hacerse al proyecto, no sean de tal envergadura que terminen por convertirlo en otro completamente distinto”.

Señaló, además, que esta regla básica debe estudiarse en relación con cada caso en particular, de acuerdo con sus características concretas, pero partiendo de que la regla general es el respeto por el principio democrático (artículo 133 Superior).

Por otra parte, es preciso referir que cuando se explica el principio de identidad relativa, usualmente se relaciona de manera automática, e incluso se identifica, con el principio de consecutividad, que consiste en la obligación de que todo asunto incluido en el proyecto de ley sea discutido durante los cuatro debates. Ahora bien, esa relación no es siempre ineludible pues puede ocurrir que una disposición no haya sido aprobada en cuatro debates sin que su contenido convierta al proyecto de ley en uno totalmente distinto. Sin embargo, sí debe afirmarse que siempre que se identifique un vicio por violación del principio de identidad con la introducción de una enmienda, se traduce en la vulneración de la consecutividad pues, precisamente, dichos cambios, a pesar de ser esenciales, no fueron aprobados o siquiera discutidos con todos los debates reglamentarios. Así que, no toda trasgresión de la consecutividad implica la violación de la identidad pero, en cambio, toda violación a la identidad involucra una vulneración a la consecutividad.

Finalmente, sobre el principio de consecutividad, en primer lugar, como se ha venido explicando, el principio es derivado del artículo 157 Superior, el cual consagra la obligación de que todos los asuntos aprobados en una ley hayan sido debatidos por las comisiones permanentes de ambas cámaras y por sus plenarias. Esto no significa que cada una de las variaciones surgidas durante el trámite legislativo deban devolverse a primer debate para que surtan todo el proceso, sino que aquellos asuntos no tratados en lo absoluto durante las etapas previas, deban devolverse para que sean aprobados o discutidos por la comisión y/o plenaria que estudió el proyecto con anterioridad. Si ello no ocurre, entonces se entiende que esas disposiciones se encuentran viciadas de inconstitucionalidad por violación del artículo 157 de la Carta. De manera que el principio de consecutividad no se predica de los contenidos exactos de los artículos, sino de los asuntos o temas regulados en la ley que los contienen.

Así las cosas, para establecer si determinado asunto fue discutido desde el principio del procedimiento legislativo, será necesario estudiar en cada caso concreto si, ya sea en la exposición de motivos, en el informe de ponencia para primer debate o en el acta que consigna la discusión y aprobación en esa etapa, se encuentran referencias, discusiones  o propuestas que se ocupen del mismo, esto es, sin tener que comprobar que cada disposición haya sido propuesta a redactada desde el inicio, tal cual como se aprobó finalmente.  

En segundo lugar, bajo este entendido y haciendo referencia a la jurisprudencia constitucional relacionada con este principio, la sentencia C-141 de 2010 explicó:

“Por otra parte, respecto del principio de consecutividad resulta enunciativa la sentencia C-539 de 2008, en la cual, citando a la sentencia C-208 de 2005, se expresa  “en desarrollo del principio de consecutividad se impone tanto a las comisiones como a las plenarias de las Cámaras la obligación de examinar y debatir la totalidad de los temas que han sido propuestos, razón por la cual les resulta prohibido renunciar a dicho deber o declinar su competencia para diferirla a otra célula legislativa con el objetivo de postergar el debate de un determinado asunto”[135]. Al respecto, ha señalado la Corte, que '…En efecto, la totalidad del articulado propuesto en la ponencia presentada debe ser discutido, debatido y aprobado o improbado por la comisión constitucional permanente o por la plenaria, según sea el caso. En cuanto a las proposiciones modificatorias o aditivas que se planteen en el curso del debate, así como las supresiones, deben igualmente ser objeto de discusión, debate y votación, salvo que el autor de la propuesta decida retirarla antes de ser sometida a votación o ser objeto de modificaciones, conforme a lo dispuesto en el artículo 111 de la Ley 5ª de 1992. Es preciso que se adopte una decisión y no se eluda la misma respecto de un tema, so pena de que se propicie un vacío en el trámite legislativo que vulnere el principio de consecutividad.'”.

De manera que el principio de consecutividad  debe entenderse como (i) la obligación de que tanto las comisiones como las plenarias deben estudiar y debatir todos los temas que ante ellas hayan sido propuestos durante el trámite legislativo; (ii) que no se posponga para una etapa posterior el debate de un determinado asunto planteado en comisión o en plenaria; y (iii) que la totalidad del articulado propuesto para primer o segundo debate, al igual que las proposiciones que lo modifiquen o adicionen, deben discutirse, debatirse, aprobarse o improbarse al interior de la instancia legislativa en la que son sometidas a consideración.”

También así lo entendió la Corte en Sentencia C-277 de 2011[137], al declarar exequible el parágrafo del artículo 8 de la Ley 1340 de 2009, que había sido demandado por supuesta vulneración de los principios de identidad flexible y consecutividad, en cuanto durante el cuarto debate se dispuso que además de la Superintendencia de Industria y Comercio, establecida como autoridad única en materia de protección de la competencia, la Aeronáutica Civil conservará sus facultades de protección de la competencia en su sector. Dijo la Corte en esa oportunidad que tal como se observa en la descripción hecha al trámite de la ley, durante los cuatro debates y, especialmente, durante las discusiones dadas en la Cámara de Representantes, se debatió la necesidad, pertinencia, conveniencia y constitucionalidad de centralizar la vigilancia, control e inspección de la libre competencia en cabeza de un solo ente, en este caso, de la Superintendencia de Industria y Comercio, con posiciones a favor y en contra de esa medida. Concluyó entonces que si bien con anterioridad al cuarto debate no se habló específicamente de la Aeronáutica Civil como autoridad en materia de competencia, la inclusión de la norma acusada responde a las discusiones surgidas durante el trámite sobre la centralización o no de esas facultades en materia de vigilancia, inspección y control de la libre competencia económica.

Enmiendas introducidas durante el trámite del proyecto de ley bajo estudio y su concordancia con los principios explicados.

De la descripción realizada por esta Sala sobre la evolución del proyecto de ley durante su trámite en el Congreso, es posible identificar que los cambios de contenido[138] introducidos al proyecto inicial que quedaron consignados en el proyecto definitivo, fueron los que se señalarán a continuación. Como metodología, esta providencia analizará frente a cada uno de ellos, si en su aprobación se respetaron los principios de unidad de materia, de identidad relativa y de consecutividad. Veamos:

Adición de la frase “así como el derecho a la información consagrado en el artículo 20 de la misma” al final del artículo 1° “Objeto”, durante el segundo debate.

Podría pensarse que la inclusión del artículo 20 Superior como parte del objeto de protección del proyecto de ley vulnera el principio de unidad de materia en cuanto esa disposición constitucional se refiere al derecho a la información, y lo que busca proteger el proyecto de ley es el derecho a la intimidad a través de la salvaguarda del uso y acceso de sus datos. Sin embargo, tal como se explicará más adelante, el derecho que se está protegiendo con la expedición de este proyecto de ley estatutaria es el derecho autónomo a la protección de datos, que se relaciona y tiene lugares comunes tanto con el derecho a la intimidad como con el derecho a la veracidad y acceso a la información, los cuales se encuentran consagrados en el artículo 20 constitucional. Si bien no desarrolla completamente este derecho, las normas sí regulan asuntos relativos a la información cuando ésta se refiere a datos personales. De manera que no se vulnera la unidad de materia.

Tampoco la identidad flexible pues no se varió lo regulado hasta ese momento haciendo del proyecto uno distinto, y tampoco el principio de consecutividad dado que si bien se agregó durante el segundo debate, no se trata de la regulación de un tema o asunto que no haya sido discutido con anterioridad, pues desde un principio se incluyeron y debatieron asuntos relacionados con el derecho a la información.

Por ejemplo, el proyecto de ley presentado por el gobierno prescribía el principio de veracidad o calidad: “La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error” (literal d) del artículo 4)[139]. Además, en la ponencia para primer debate en la Cámara de Representantes, se señalaba sobre el derecho al habeas data: “Este derecho tiene naturaleza autónoma y notas características que lo diferencian de otras garantías con las que, empero, está en permanente relación, como los derechos a la intimidad y a la información

En relación con el artículo 2°, adición de los literales e), f) y g); adición de la frase “así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo” en el literal b); adición del literal c) y el parágrafo.

En el segundo debate se adicionaron los literales d), e) y f) y durante el cuarto debate se agregó el literal c). Los literales hacen referencia a los tipos de datos a los que no le son aplicables las disposiciones del proyecto de ley –salvo las que establecen los principios-. Al inicio del proceso legislativo, sólo se exceptuaba el tratamiento de datos realizado por una persona natural en un ámbito exclusivamente personal o doméstico y aquel que tuviera por objeto la seguridad y defensa nacional.

Sin embargo, el legislador, durante el segundo y el cuarto debate, consideró que debía exceptuarse el tratamiento de otros datos consignados en los literales mencionados: c) a las bases de datos que tengan como fin y contengan información de inteligencia y contrainteligencia; d) a las bases de datos y archivos de información periodística y otros contenidos editoriales; e) a las bases de datos y archivos regulados por la Ley 1266 de 2008 (financieros) ; f) a las bases de datos y archivos regulados por la Ley 79 de 1993 (censo de población y vivienda).

La creación de estas excepciones no rompe con ninguno de los principios arriba explicados. Por el contrario, se trata de una legítima manifestación del principio democrático y de la libertad de configuración normativa del legislador. Éstas se circunscriben al ámbito temático del proyecto de ley en cuanto excepciones para su alcance, respetando la unidad de materia. Con su introducción no se convirtió al proyecto de ley en uno distinto, al tratarse de normas accesorias y no principales para los demás artículos hasta ese momento aprobados, atendiendo el mandato del principio de identidad flexible. Y, finalmente, no se contravino el principio de consecutividad pues si bien la literalidad de las excepciones fue formulada durante el segundo y el cuarto debate, el asunto de exceptuar algunos datos del ámbito de aplicación, fue abordado desde que el proyecto de ley fue radicado en el Congreso (Gaceta del Congreso No. 488 de 2010). Recuérdese que este principio se refiere a la aprobación de todos los asuntos o temas en cuatro debates, no al contenido textual de cada una de las disposiciones.

La anterior conclusión y la argumentación de la que se deriva, son válidas para encontrar que la inclusión de la frase “así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo” en el literal b), tampoco vulneró los principios estudiados.

Además, en el cuarto debate se agregó el parágrafo del artículo, que, en esencia se sigue refiriendo al ámbito de aplicación de la ley, específicamente frente a las excepciones, previendo para su eventual regulación un estándar mínimo. Así que de acuerdo con los anteriores parámetros, también la inclusión de este parágrafo resulta respetar los principios de unidad de materia, identidad y consecutividad: no es un tema ajeno al núcleo temático del proyecto, es realmente una norma accesoria a la regulación ya prescrita, y desde que se presentó el proyecto de ley se pretendió fijar su alcance o ámbito de aplicación.

Inclusión de nuevos datos sensibles en el artículo 5 durante el cuarto debate: “organizaciones sociales, de Derechos Humanos, o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición”.

El proyecto de ley presentado al Congreso preveía como datos sensibles aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, así como los datos relativos a la salud, a la vida sexual y los datos biométricos. En cuarto debate el legislador decidió ampliar la definición, lo que en nada afecta la unidad de materia, no se aparta de la esencia del proyecto y, si bien estas específicas categorías fueron incluidas en esa etapa, el asunto de los datos sensibles fue abordado desde el principio del trámite, quedando dentro del marco de libertad de configuración la ampliación de lo que debía entenderse como dato sensible.

Sobre el artículo 7,  durante el primer debate, se estableció un término de 6 meses para que el Gobierno reglamente el tratamiento de datos personales de niños, niñas y adolescentes. Y en el segundo debate se aclaró que sólo la información que tenga naturaleza pública podrá ser objeto de Tratamiento en el caso de las niñas, niños y adolescentes (artículo 7°)

Frente a la primera de las enmiendas, debe precisarse que sólo procede analizar el respeto por el principio de unidad de materia, en cuanto fue aprobado en cuatro debates (consecutividad), de manera que así su contenido variara la esencia del proyecto (identidad), habría surtido todas las etapas exigidas constitucionalmente.

En este orden de ideas, esta Sala encuentra que la fijación de un término para que el gobierno reglamente los datos de los niños, no se aparta del núcleo temático del proyecto. Al contrario, la orden de reglamentación es una cláusula común a los ordenamientos legales, cuando el legislador prevé que éstos requieren de un desarrollo en su aplicación por parte del ejecutivo. Además, de todas maneras su ausencia no impide el ejercicio de una facultad que es propia del Presidente de la República, según el artículo 189 de la Carta.

En relación con la inclusión de una excepción para la regla general de prohibición del tratamiento de datos personales de los niños, cuando la información sea pública, se tiene que dicha excepción hace parte del régimen de protección de datos, en este punto, pertenecientes a niños, niñas y adolescentes, circunscribiéndose al núcleo temático del proyecto de ley. Se trata además de una norma que accede a lo ya dispuesto en el artículo 7 sobre los datos de los menores de 18 años, creando una excepción a la prohibición, sin cambiar el proyecto por uno distinto. Y, finalmente, en la medida que el tema de la salvaguardia especial de los datos de los niños como sujetos de especial protección constitucional, fue previsto y abordado desde que se inició el trámite del proyecto de ley, esta enmienda respetó el principio de consecutividad.

Frente a esta última cuestión, se anticipa que el mismo análisis será empleado para las demás normas que ordenan la reglamentación de ciertos asuntos, haciendo la salvedad que ello no refleja la posición de la Sala frente a la constitucionalidad material de dichas disposiciones, específicamente, sobre la constitucionalidad del otorgamiento de facultades reglamentarias en determinados asuntos.  

Adición de la segunda parte del literal e) del artículo 8, durante el primer debate, que señala las condiciones para que sea procedente la revocatoria de la autorización del titular: “La revocatoria y/o supresión solo procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución”.

Tal como se explicó en el numeral anterior, dado que esta inclusión se presentó en el primer debate, es la unidad de materia lo único que debe estudiarse ahora. Tampoco esta enmienda se encuentra ajena al tema del proyecto que es la protección de los datos personales y, de hecho, desarrolla lo establecido en ese literal e) sobre la posibilidad de revocatoria de la autorización de suministrar los datos, señalando las condiciones para su procedencia.

Durante el primer debate, en el artículo 11 se establece el plazo de un año para la reglamentación del Gobierno sobre la forma en la cual los Responsables y Encargados del Tratamiento deberán suministrar la información del Titular.

Frente a esta enmienda vale la misma argumentación en cuanto a la no pertinencia de referirse a los principios de identidad y consecutividad, así como a la no violación de la unidad de materia por tratarse de la orden al gobierno de reglamentar el asunto dentro de un término específico, facultad consagrada en el artículo 189 Superior.

Con el tercer debate, se incluye la dirección electrónica como  información obligatoria que el Responsable del Tratamiento deberá suministrar al titular, en el artículo 12.

La inclusión de esta obligación para los responsables de los datos, es un claro ejemplo de una norma accesoria al proyecto de ley que en cuanto ser un requisito adicional para una de las prerrogativas dispuestas hasta ese momento. No sale del núcleo temático, ni cambia el proyecto por otro, y tampoco desconoce la consecutividad pues el asunto de las obligaciones de los responsables del tratamiento de los datos, se trató desde el inicio del trámite con el proyecto de ley radicado en el Congreso (Página 5 de la Gaceta del Congreso No. 488 de 2010)[141].

Durante el tercer debate, se adiciona el literal n) en el artículo 17, y el literal k) en el artículo 18, que señalan el deber de los Responsables y Encargados de informar a la Superintendencia de Industria y Comercio cuando existan riesgos o violaciones de la seguridad de la bases de datos por parte de terceros.

La introducción de estos literales y, con ellos, del deber de los responsables y encargados de los datos de informar a la SIC sobre los riesgos o violaciones a la seguridad de los datos, no se aleja del núcleo temático del proyecto –por el contrario, lo llena de efectividad-, ni varía la substancia de lo hasta ese momento aprobado. Y el hecho de haberse aprobado durante el tercer debate no desconoce el principio de consecutividad, al encontrarse por esta Sala que el asunto de los deberes de estos sujetos se reguló desde los inicios del trámite legislativo[142], por lo que la inclusión de esta obligación sólo representa el desarrollo del principio democrático dentro de la actividad parlamentaria.

En el segundo debate, en el artículo 19, se creó el segundo parágrafo; en el tercer debate, se establece la creación de una Delegatura de Protección de Datos dentro de la Superintendencia de Industria y Comercio. Así mismo se incorporó el primer parágrafo.

El primer parágrafo, señala un término de seis meses para que se reglamenten las funciones de la Superintendencia de Industria y Comercio. El segundo parágrafo, establece que la vigilancia del tratamiento de los datos personales regulados en la Ley 1266 de 2008 –financieros- se sujetará a lo previsto en dicha norma. Sobre estas inclusiones, esta Sala encuentra que no existe violación a los principios bajo análisis, sino que meramente desarrollan y fijan el alcance de las normas ya aprobadas.

En cuanto a la creación de la delegatura de protección de datos durante el tercer debate, debe afirmarse que se circunscribe a la materia y objeto del proyecto –se trata de la entidad que vigila la protección de los datos-; no se está variando la esencia del proyecto pues simplemente se especifica cómo la Superintendencia de Industria y Comercio, en su función de vigilancia de la protección de datos, va a ejercerla orgánicamente; y, finalmente, se respetó la consecutividad en cuanto el establecimiento y caracterización de la autoridad encargada de la protección de los datos se dio desde el principio del trámite legislativo y, durante la natural evolución de las discusiones, se fue fijando más claramente la forma en que debía actuar dicha autoridad.

 En segundo debate, se agregó un párrafo al artículo 25, señalando :

“Para realizar el registro de base de datos, los interesados deberán aportar a la Superintendencia de Industria y Comercio, las políticas de tratamiento de la información, las cuales obligarán a los responsables y encargados del mismo y cuyo incumplimiento acarreará las sanciones correspondientes.

Las políticas de tratamiento en ningún caso podrán ser inferiores a los deberes contenidos en la presente ley.”

Como se observa, se trata de una disposición accesoria a lo ya dispuesto en el artículo 25 sobre el registro de las bases de datos así como al proyecto de ley en general que, por ello, no puede considerarse ajena al núcleo temático, ni dársele el alcance de variar la esencia del proyecto. Tampoco vulnera la consecutividad en tanto el tema de la regulación del registro de base de datos se incluyó desde que se radicó el proyecto en el Congreso (Gaceta del Congreso No. 488 de 2010).  

 En el segundo debate se agrega el segundo parágrafo del artículo 26: “Las disposiciones contenidas en el presente artículo serán aplicables para todos los datos personales, incluyendo aquellos contemplados en la Ley 1266 de 2008.”

Con este parágrafo simplemente se fija el ámbito de aplicación de lo regulado sobre la transferencia de datos a terceros países, precisando que la misma es aplicable a los datos financieros. De modo que se circunscribe a la materia del proyecto, guarda identidad con lo aprobado hasta el segundo debate y al ser accesorio al tema de la transferencia internacional de datos, ya discutido y aprobado en primer debate, cumplió con el requisito de consecutividad en su aprobación.

En el tercer debate se adicionó el artículo 27 “El Gobierno Nacional regulará lo concerniente al Tratamiento sobre datos personales que requieran de disposiciones especiales. En todo caso, dicha reglamentación no podrá ser contraria a las disposiciones contenidas en la presente ley.”

Sobre la orden de reglamentación ya se explicaba que se trata de una cláusula común a los ordenamientos legales, y que es en sí misma accesoria a lo allí establecido. Por tanto, con su inclusión no se menoscabaron los principios bajo examen. Se circunscribe al núcleo temático del proyecto, esto es, a la protección de datos personales, señalando la necesidad de que el gobierno, atendiendo los mandatos del proyecto de ley, establezca disposiciones especiales para los datos que así lo requieran. Así fue concebido por los senadores ponentes: “Esta facultad le permite al Gobierno regular de manera más expedita datos especiales que requieran de modificaciones constantes dada la dinámica en su tratamiento”[143].

En cuanto al respeto por el principio de identidad flexible, se observa que con ordenarle al gobierno que regule la protección de datos que deban preverse en normas especiales, no cambió la esencia del proyecto de ley, sobretodo porque el mismo artículo establece que esa regulación del gobierno debe siempre atenerse a lo por él dispuesto. Y, tampoco desconoce la consecutividad pues no se trata de un asunto nuevo, alejado de lo que se venía discutiendo y aprobando durante el trámite y, además, es propio de la legislación que no en pocas ocasiones deja en manos del ejecutivo el desarrollo de las normas o la tarea de crear reglas de mayor especificidad para darle aplicación a la norma general implantada por el legislador.

Al respecto, recuérdese que ya se aclaraba que esta afirmación no está anticipando el análisis material de constitucionalidad sobre el otorgamiento de esta facultad al ejecutivo en este caso en particular. Únicamente se está afirmando que frente a  los principios de identidad flexible y consecutividad, no encuentra esta Sala que la cláusula bajo examen esté creando un régimen distinto al hasta entonces aprobado, ni se trata de un asunto nuevo que requiriera ser aprobado en los debates previos.

 Durante el segundo debate se creó el artículo 28 sobre reglamentación de las normas corporativas vinculantes.

Las normas corporativas vinculantes, como se estudiará más adelante al analizar el contenido  material de la disposición, son aquellas conocidas también como principios de buen gobierno o códigos de buenas prácticas empresariales, creadas por instituciones privadas a partir de su mayor conocimiento en el sector donde actúan, señalando las reglas mínimas para lograr mayor calidad en su funcionamiento. Varios documentos que serán referenciados por esta providencia dan cuenta de la importancia de estas reglas para la protección de los datos personales, de manera que no puede tomarse como un tema ajeno a la materia del proyecto de ley.

En relación con los principios de identidad y consecutividad, vale la misma argumentación del numeral anterior, al tratarse de una norma accesoria que únicamente busca el desarrollo reglamentario de las disposiciones sobre las reglas de buen gobierno en el manejo de los datos personales.

 Durante el tercer debate se creó el artículo 29 relacionado con los datos relativos al certificado de antecedentes judiciales.

La inclusión de esta disposición no vulnera la unidad de materia. El manejo de los datos por parte del Departamento Administrativo de Seguridad –DAS- para efectos de la expedición de los certificados judiciales, así como el acceso a ellos, no es un tema ajeno a la materia del proyecto de ley. Se trata al fin y al cabo de la protección de datos personales, en este caso, en un sector específico y para efectos particulares. Lo anterior puede comprobarse, además, con lo establecido en el título: “por la cual se dictan disposiciones generales para la protección de datos personales”. Igualmente, al leer el objeto del proyecto: “desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política, así como el derecho a la información consagrado en el artículo 20 de la misma.”

Se observa entonces que la materia de la ley es la protección general de los datos personales como derecho fundamental, sin establecer una destinación exclusiva a tipos de datos específicos, que prescinda ineludiblemente de los datos relacionados con los antecedentes judiciales.  

Tampoco contraviene el principio de identidad flexible, pues al incluir este artículo no se cambia el proyecto por otro, lo allí consagrado no tiene una incidencia tal para la esencia del proyecto de ley hasta ese momento aprobado. Sí es un tema no regulado con anterioridad –aunque no ajeno- pero puede entenderse accesorio en cuanto no varía la sustancia del proyecto de ley. En efecto, con la inclusión de la regulación específica de los datos a que tiene acceso el DAS, no se cambió ninguna de las disposiciones aprobadas con anterioridad, ni se suplió el sentido de lo prescrito hasta entonces. Si bien durante el segundo debate en Cámara se decidió excepcionar del ámbito de aplicación de la ley, las bases de datos en materia penal e investigación judicial, con incluir una regulación al respecto no se reemplazó el proyecto aprobado en Cámara por uno esencialmente distinto.  

No obstante, esta Sala encuentra que existe una palmaria violación al principio de consecutividad en cuanto el asunto en él tratado no fue siquiera mencionado en los debates previos. No se surtieron ni el primer y ni el segundo debate, necesarios para aprobar un asunto que no había sido tratado previamente. No es que el asunto de los datos de antecedentes judiciales sea ajeno al núcleo temático del proyecto de ley, pero sí es un asunto que no fue tratado en lo absoluto en los debates de la Cámara de Representantes.

Lo anterior fue verificado por la Sala al leer las gacetas que comprenden el trámite legislativo del proyecto de ley, sobretodo, aquellas que contienen sus discusiones en las diferentes células legislativas[144]. Así las cosas, pudo establecer que el tema se trató por primera vez en la audiencia pública celebrada antes de darse inicio a la discusión del proyecto en la Comisión Primera del Senado de la República. Fue el ciudadano Raúl Antonio Vargas Camargo, interviniente en dicha audiencia, quien propuso la inclusión de una disposición que se ocupara de los datos sobre antecedentes judiciales y su manejo en los certificados expedidos por el DAS, señalando: “por qué no admitir que la información contenida en el certificado judicial, 'registra antecedentes, pero no es requerido por autoridad judicial', expedido por el Departamento Administrativo de Seguridad (DAS) a muchos colombianos a los que la sanción penal impuesta ha sido cumplida o ha prescrito, constituye un dato necesariamente sensible.”

Además, el informe de ponencia para primer debate en el Senado, da cuenta de que se trata de un asunto nuevo cuando justifica su inclusión en el proyecto de ley así: “En ese orden de ideas, la iniciativa no pretende que se ordene al DAS que de sus bases de datos desaparezcan los registros de las condenas ya cumplidas, sólo que frente al manejo de tal información se haga un llamado a la cautela y que sólo para propósitos que realmente lo demanden sea revelada, pues no se puede perder de vista que uno de los fines de la pena es la reinserción social de quien fue sujeto activo de una conducta punible.”[146]

Justamente así lo consignó el informe de conciliación[147] al explicar las razones para incluir esta regulación dentro del proyecto de ley, a saber: “Lo anterior [[lo regulado en el artículo 29] se recogió de propuestas hechas por ciudadanos en la audiencia pública realizada el 25 de noviembre con el objetivo de discutir públicamente el proyecto de ley radicado en la Comisión Primera del Senado”.  Lo que comprueba –además de la lectura de lo ocurrido en las sesiones de la Cámara de Representantes- que fue en este momento cuando por primera vez se mencionó y discutió el asunto de la información que aparece publicada en los registros de antecedentes judiciales emitidos por el Departamento Administrativo de Seguridad (DAS), para que quienes hayan cumplido una pena o ésta les haya prescrito, esta información no se haga pública en el antecedente judicial que solicita el titular.

Ahora bien, debe precisarse que este análisis no contradice lo señalado por la Sala en relación con la violación del principio de identidad relativa cuando afirmó que ya existía una excepción en el ámbito de aplicación sobre los datos de seguridad y defensa nacional, donde se ubican los relacionados con antecedentes judiciales. Ello no significa que entonces con anterioridad –desde el inicio del trámite legislativo- sí se había discutido el asunto. Por el contrario se había discutido y aprobado como excepción, en cambio, en el tercer debate se incluyó una regulación específica sobre el sector, lo que no había sido siquiera propuesto previamente. Es decir, lo que se había discutido, establecido y aprobado era que los sectores específicos debían regularse en un cuerpo normativo distinto al del proyecto de ley, no el asunto de la inclusión de una regulación especial sobre los datos relacionados con el certificado de antecedentes judiciales, siendo entonces un asunto nuevo que debió surtir los cuatro debates reglamentarios. Y es el incumplimiento de ese mandato lo que se deriva en la vulneración del principio de consecutividad.

En efecto, si bien durante el segundo debate en la Cámara de Representantes, se propuso exceptuar del ámbito de aplicación de la ley, expresamente en el literal b) del artículo 2, las bases de datos en materia penal e investigación judicial, lo que justamente ello comprueba es que nunca se debatió incluir una regulación especial sobre antecedentes judiciales. En efecto, lo que aprobó la Cámara fue NO regularlo. Así que, en realidad, de ningún modo hubo debate al respecto. Y, de hecho, durante el debate  en que se aprobó esa excepción, ni siquiera se debatió si se excepcionaba o no, simplemente se propuso la nueva excepción y se votó afirmativamente.

Veámoslo en el acta No. 24 del 19 de octubre de 2010, publicada en la Gaceta del Congreso No. 868 de 2010:

Hay otra proposición para el artículo 2º, que le agrega 5 literales (C, D, E, F y G) y a los literales A y B les agregan igual que al último inciso del artículo 2º lo siguiente, se va a leer lo que se le agrega.

El régimen de protección de datos personales que se establece en la presente ley no será de aplicación, y trae el listado de excepciones.

No sólo se agrega, se cambia, entonces vamos a leerlo todo.

“Los principios y disposiciones contenidos en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos, o que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada.

La presente ley aplicará al tratamiento de datos personales efectuado en territorio colombiano, cuando el responsable del tratamiento o encargado de tratamiento no establecido en territorio nacional, le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales.

El régimen de protección de datos personales que se establece en la presente ley no tendrá aplicación:

(…)

b. A las bases de datos y archivos que tenga por objeto la seguridad y defensa nacional, lavado de archivos, terrorismo y las bases de datos en materia penal e investigación judicial.”

Firman: Carlos Correa, Miguel Gómez, Alfredo Deluque y otras firmas ilegibles.

Esa es para el artículo 2º.

Luego la votación de las proposiciones se dio de la siguiente manera:

Señor Presidente, los artículos leídos con y sin proposiciones y los artículos nuevos leídos se podrían someter en bloque, y se sometería en una votación separada, la propuesta del doctor Pablo Salamanca, que es una proposición aditiva al artículo 11, y vamos a votar los artículos que no tienen proposición a esta altura del trámite, que son el 4°, 5°, 8°, 23, más todas las proposiciones leídas a todos los artículos leídos, señor Presidente, y quedaría pendiente por votar una proposición del doctor Pablo Salamanca.

Puede usted abrir la discusión y votación de este cuerpo de artículos leídos, con los nuevos, las proposiciones y los que no tienen proposición.

Dirección de la sesión por la Presidencia (doctor Carlos Alberto Zuluaga):

En consideración las proposiciones leídas por el señor Secretario, fruto de los artículos nuevos, artículos que no tienen proposición y totalmente avalados por la ponencia, se abre la discusión, continúa la discusión, va a cerrarse, queda cerrada. Abramos el registro.

La Secretaría General informa (doctor Jesús Alfonso Rodríguez):

Nadie pidió la palabra, se abre el registro.

Dirección de la sesión por la Presidencia (doctor Carlos Alberto Zuluaga):

Se cierra el registro.

La Secretaría General informa (doctor Jesús Alfonso Rodríguez):

Está cerrado el registro.

Por el sí: 106.

Por el no: 0.

Han sido aprobados los artículos sin proposición que estaban pendientes, los artículos nuevos y los artículos con sus respectivas proposiciones que fueron leídas por la Secretaría.

De la lectura del acta, surge una clara conclusión: el asunto de las bases de datos en materia penal e investigación judicial se mencionó y aprobó de manera general e incluso determinando que las mismas se encontraban exceptuadas del ámbito de aplicación de la ley, esto es, se incluyó dentro del debate para no regularlo en el proyecto. Así las cosas, con una mención general de un asunto no puede entenderse cumplido el principio de consecutividad, o que sí existió debate sobre la regulación específica del mismo, en la medida que se vaciaría la razón de ser de la consagración de dicho principio constitucional, el cual busca la garantía de una actividad legislativa regida por el principio democrático que depende, entre otras prerrogativas, de la publicidad, que no solo opera para el conocimiento de los ciudadanos, sino también para que los mismos congresistas, desde que inicia el trámite, puedan prever qué se va a aprobar en cuarto debate, es decir, qué regulación va a convertirse en ley de la república.

Para la Cámara de Representantes había algo claro, el tema no sería regulado en el proyecto en trámite, y por tanto nunca se debatió su regulación, es por ello que se incluyo como ámbito exceptuado de  la  ley. En consecuencia, no se puede admitir como propio del trámite legislativo  que el  cuarto debate se  hiciera una  regulación específica y absoluta sobre todas las aristas del manejo de los datos relacionados con el certificado de antecedentes judiciales, y no solo eso, también de cómo deben expedirse dichos certificados, cómo debe consignarse esa  información, la gratuidad de los mismos, en fin,  la regulación sectorial del tratamiento de estos datos, los derechos de los titulares, los deberes del encargado, los medios de acceso, etc.  

La Sala en este punto debe ser estricta, pues entender que en un proyecto de ley estatutaria, por sus condiciones, con lo propuesto y aprobado en segundo debate en Cámara, se aseguró el respeto por el principio de consecutividad, es vaciar su contenido y desconocer de paso el principio democrático, particularmente en su dimensión de deber de publicidad de todo el proceso legislativo, según el cual, los legisladores, en todas las etapas del trámite, deben tener la posibilidad de conocer qué es lo que se está regulando o, mejor, qué se va a regular cuando el proyecto de ley sea finalmente aprobado en cuarto debate.

En cuanto al conocimiento real de lo debatido, téngase en cuenta lo establecido por la jurisprudencia constitucional sobre el significado del término “debate”, descrito íntegramente por la sentencia C-473 de 2004[148]. En esa providencia, la Corte acudió al sentido que esa palabra tiene en el idioma castellano para ilustrar su alcance, pero también señaló que “la interpretación correcta de los términos "discusión y debate" es la que se ajusta a las definiciones legales establecidas por el Reglamento del Congreso y no la del sentido natural y obvio de dichas expresiones según su uso general.”   

Así por ejemplo, ha reconocido que es inherente al debate parlamentario “la exposición de ideas, criterios y conceptos diversos y hasta contrarios y la confrontación seria y respetuosa entre ellos; el examen de las distintas posibilidades y la consideración colectiva, razonada y fundada, acerca de las repercusiones que habrá de tener la decisión puesta en tela de juicio,[150] pero también ha aceptado que existe “debate” aun cuando no haya controversia.

En ese mismo sentido, al revisar el trámite seguido en la adopción de un acto legislativo, la Corte señaló en la sentencia C-222 de 1997 que “tratándose de la adopción de decisiones que habrán de afectar a toda la población, en el caso de las leyes y con mayor razón en el de las reformas constitucionales, que comprometen nada menos que la estructura básica del orden jurídico en su integridad, el debate exige deliberación, previa a la votación e indispensable para llegar a ella, lo que justamente se halla implícito en la distinción entre los quórum, deliberatorio y decisorio, plasmada en el artículo 145 de la Carta.” [152]

La Sala entiende que en este caso, el principio de consecutividad se rompe pese a que la cuestión que se introdujo tenga alguna relación con el tema objeto del proyecto. La razón, en Cámara de Representantes no se debatió el tema que después fue regulado por el Senado, porque para ellos esa cuestión  no sería objeto de regulación, en consecuencia, nunca fue objeto de debate. Cosa distinta hubiese acontecido si en las deliberaciones la Cámara se hubiera abordado la forma cómo esas bases tratarían los datos y finalmente acordaran que ese asunto quedase exceptuado del ámbito de aplicación.

En hilo de lo expuesto, la Sala Plena declarará la inexequibilidad del artículo 29 del proyecto de ley, por violación de los artículos 157 y 160 de la Carta, por cuanto surtió sólo dos debates de los cuatro ordenados por la Constitución.

Debe precisarse que estos vicios no pueden entenderse saneados cuando la plenaria de la Cámara de Representantes aprobó el informe de conciliación con la inclusión de esta disposición, en tanto el requisito constitucional consiste es en que para la aprobación de cada tema deben darse los debates tanto de las comisiones permanentes como de las plenarias. Además, en cuanto la jurisprudencia[153] ha sido clara en establecer que el objeto de las comisiones accidentales de conciliación y de la aprobación de sus informes, se circunscribe a superar las discrepancias en el texto de una y otra cámara teniendo en cuenta que dada la naturaleza meramente accidental de las comisiones de conciliación, no pueden suplir la función legislativa asignada por la Constitución y la ley, a las comisiones constitucionales permanentes y a las plenarias de cada Cámara, pues es en éstas,  en donde debe surtirse el  proceso de deliberación y aprobación de las distintas normas jurídicas.

En este orden de ideas, lo imperativo era remitir a la Comisión Primera de la Cámara de Representantes el contenido de este nuevo artículo para que tanto ella como la plenaria de la Cámara, lo debatieran y aprobaran (artículo 179 de la Ley Orgánica de Reglamento del Congreso).

Debe precisarse además, que la violación del principio de consecutividad es en sí misma insubsanable por cuanto se configura cuando se han omitido alguno o algunos de los debates reglamentarios –porque una enmienda suplió la esencia del proyecto de ley y/o porque el asunto no fue debatido con anterioridad[154]. Así que si se devolviera a la autoridad que dejó de discutir el asunto con anterioridad, ello se traduciría  necesariamente en volver a realizar el trámite legislativo con los cuatro debates exigidos por el artículo 157 de la Carta. Y es justamente esto último lo que produce la imposibilidad de sanear un vicio de forma según lo explicado por la jurisprudencia[155], la cual ha señalado que ningún vicio formal podrá sanearse si ello implica la realización de un nuevo trámite legislativo.

 Durante el cuarto debate se incluyeron los artículos 30 y 31, relacionados con el manejo de datos de inteligencia y contrainteligencia.

Igual argumentación se aplica a la inclusión en cuarto debate de los artículos 30 y 31 del proyecto de ley. Así, el contenido de estas disposiciones no es ajeno a la materia del proyecto de ley que  las comprende, pues se trata de la regulación de la protección de datos, ahora, en un sector especial que es el de inteligencia y contrainteligencia.

De igual manera, incluir una regulación especial sobre datos de inteligencia y contrainteligencia, no tiene incidencia en la esencia del proyecto hasta ahora aprobado por la Cámara de Representantes y por la Comisión Primera del Senado. No contradice ninguna de las disposiciones hasta ese momento adoptadas. Si bien en un principio se decidió regular la protección de datos de manera general, no puede ser esa inicial intención el parámetro de control para determinar si se violó el principio de identidad, sino, como lo explicaba anteriormente esta providencia, el punto a establecer es si con la inclusión de una enmienda durante el trámite legislativo se varió la esencia de lo que hasta entonces se había aprobado, lo que no ocurrió en esta ocasión.

No obstante, tal como ocurrió con el artículo 29, sí se desconoció el principio de consecutividad en tanto fue en el cuarto debate en la Plenaria del Senado de la República, cuando por primera vez se trató este asunto de la inclusión de una regulación especial para los datos de inteligencia y contrainteligencia.

Así puede verificarse al leer las gacetas que contienen el trámite y, sobretodo, la Gaceta No. 1080 del 13 de diciembre de 2010 (folios 42 del cuaderno de pruebas No. 4), donde se publicó el informe de ponencia para segundo debate en el Senado, en el que se afirmó que para mayor protección del derecho fundamental de habeas data, era necesario incluir una regulación especial de protección de datos en este sector y que “se adiciona un artículo con el cual se busca que la captura, archivo, tratamiento, divulgación y uso de datos e información sensible y personal del titular en bases de datos relacionadas con inteligencia y contrainteligencia, sean manejados con los criterios propios de la protección de datos sensibles, determinándose responsabilidad sobre los funcionarios que estén encargados no solo del tratamiento y recopilación de la información sino de aquellos que ordenan su captura y tratamiento tales como jefes, directores y subdirectores de las unidades especiales, seccionales, divisiones y demás delegaciones que por autorización, por su naturaleza o misionalidad ejerzan estas funciones; así como quienes estén autorizados en los respectivos manuales de dichas dependencias y quienes autoricen u ordenen operaciones o misiones de trabajo desde los organismos que realizan actividades de inteligencia y contrainteligencia o que hagan parte de la Junta de Inteligencia Conjunta.”

Resulta ser entonces un asunto nuevo frente a lo que en aquel momento fue discutido y aprobado. Además, no es posible identificar con nada de lo dispuesto en el proyecto de la Cámara, pues si bien se había discutido y aprobado el tema de la seguridad y defensa nacional, ésta se había concebido y establecido como un sector exceptuado, y lo que hizo la Plenaria del Senado fue incluirlo dentro del ámbito de aplicación del proyecto, una regulación sobre ese mismo sector, específicamente sobre inteligencia y contrainteligencia, asunto que, bajo esa perspectiva, no había sido tratado en lo absoluto ni por la Cámara de Representantes ni por la Comisión Primera del Senado, transgrediéndose el principio de consecutividad.

De manera que, por vulneración de los principios de identidad flexible y de consecutividad, consagrados en los artículos 157 y 160 de la Carta, la Sala Plena declarará inexequibles los artículos 30 y 31 del proyecto de ley estatutaria bajo revisión.

 Durante el segundo debate se creó el artículo 32 que establece el régimen de transición.

Generalmente, los cuerpos normativos que crean nuevas reglas sobre determinados asuntos, establecen un régimen de transición para que a quienes les sean aplicables, adopten las medidas necesarias para adaptarse a los cambios. De manera que no podría concebirse esta enmienda como ajena al tema del proyecto, ni modificatoria de su esencia, ni creadora de un tema nuevo no tratado con anterioridad. Es, como ya hemos dicho, el reflejo la dinámica de la actividad parlamentaria dentro de los límites constitucionales y legales, que, en esta ocasión, dio como resultado la inclusión de la necesidad de  prever de un plazo de hasta seis (6) meses para que las personas que a la fecha de entrada en vigencia del proyecto de ley ejerzan alguna de las actividades en ella reguladas,  se adecuen a las disposiciones contempladas, lo que se circunscribe dentro de la regulación del tema de la protección de datos personales.

 Durante el segundo debate se adiciona la frase “a excepción de aquellas contempladas en el artículo segundo” en el artículo 33 sobre derogatorias.

Por tratarse de la creación de una excepción a la regla general ya establecida sobre la derogatoria de todas las normas que le sean contrarias al proyecto de ley, debe entenderse como una disposición accesoria que, por ello, no transgrede ninguno de los principios en mención, sobretodo porque refleja lo ya estatuido en el artículo 2° del proyecto sobre el tratamiento de datos excluido del ámbito de aplicación, siendo necesaria esta enmienda por técnica y coherencia legislativa.   

Conclusión sobre la constitucionalidad del trámite legislativo del proyecto de ley bajo revisión.

En hilo de lo expuesto, se tiene que, en general, la aprobación del proyecto de ley cumplió con los requisitos constitucionales previstos para cualquier decisión legislativa y, particularmente, para este tipo de leyes de especial jerarquía. Ahora bien, no puede decirse lo mismo sobre la aprobación de sus artículos 29, 30 y 31, en cuanto la forma en que fueron incluidos no atendió los mandatos del principio de consecutividad –art. 157 y 160 C.P., razón por la cual, esta Sala los declarará inexequibles.

EXAMEN DEL ARTÍCULO 1: OBJETO DEL PROYECTO DE LEY

Texto de la disposición

“Artículo 1°. Objeto. La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma.”

Intervenciones ciudadanas y concepto del Ministerio Público

La Defensoría del Pueblo solicita que la frase final del artículo 1º -“así como el derecho a la información consagrado en el artículo 20 de la misma”- sea declarada inexequible, pues considera que la pretensión del legislador de desarrollar el contenido del derecho a la información por medio del proyecto bajo estudio es “antitécnica y asistemática”, pues (i) el derecho a la información es autónomo y diferente al derecho al habeas data; (ii) en caso de aceptarse que el derecho a la información pudiera ser regulado en una ley sobre habeas data, dicha incorporación se justificaría solo en la medida en que el primer derecho se desarrollara de manera amplia y conveniente, lo que no ocurre en el presente caso; y (iii) no puede pasarse por alto que una cosa es el “derecho a la información” como derecho fundamental, y otra diferente “la información” como bien susceptible de apropiación y transacción comercial por parte de poderosos agentes del mercado. En resumen, señala que una revisión del texto del proyecto permite concluir que el legislador no se ocupó en absoluto de “desarrollar” el derecho a la información. Por tanto, al no existir una relación con el tema central del proyecto, asegura que la expresión referida vulnera el principio de unidad de materia.

Por otra parte, aduce que aunque el articulo 1 recoge los parámetros normativos que establece la Carta Política sobre el derecho del habeas data, en especial las garantías de “conocer, actualizar, y rectificar” la información, no incorpora importantes garantías, como (i) la disociación de datos personales, en virtud de la cual una persona puede solicitar que el tratamiento de información de la que es titular se lleve a cabo mediante procedimientos que garanticen la reserva de su identidad, y (ii) la supresión de datos,  es decir, el “derecho al olvido” o la caducidad del dato, garantía de conformidad con la cual ninguna información tiene vocación de perennidad, razón por la cual, una vez cumplida su finalidad o transcurrido el término previsto para su uso o verificada la ilegalidad del tratamiento o el desconocimiento de la finalidad, el titular puede solicitar su supresión. Por estas razones, la Defensoría solicita que se precise que el artículo 1º no tiene pretensiones taxativas.

La ciudadana Juanita Durán Vélez solicita la exequibilidad condicionada del artículo 1°, bajo el entendido que el ámbito del proyecto se circunscribe a datos de interés comercial, no íntimos ni privados que se encuentren circulando de manera transitoria.

El Ministerio Público no se pronunció al respecto.

Exequibilidad del artículo 1°: no debe hacerse una lectura taxativa de las garantías que enuncia

El artículo 1° señala que el proyecto de ley tiene tres propósitos: desarrollar (i) “(…) el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos”, (ii) “(…) los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política”, y (iii) “(…) el derecho a la información consagrado en el artículo 20 de la misma [la Constitución]”.

En relación con el primer objetivo, la Sala encuentra que es plenamente compatible con el título del proyecto y su contenido, pues se trata del desarrollo del derecho fundamental al habeas data.

No obstante, la Sala precisa, como bien lo indica la Defensoría del Pueblo, que las garantías del habeas data enunciadas en este artículo no son las únicas que comprende el derecho. Ciertamente, del derecho al habeas data se desprenden no solamente las facultades de conocer, actualizar y rectificar las actuaciones que se hayan recogido sobre el titular, sino también otras como autorizar el tratamiento, incluir nuevos datos, o excluirlos o suprimirlos de una base de datos o archivo. Por tanto, si bien la disposición se ajusta a la Carta, no debe entenderse como una lista taxativa de las garantías adscritas al derecho.

Sobre el segundo y tercer objetivos, la Corte encuentra que son demasiado amplios si se comparan, por una parte, con el título del proyecto y el contenido del articulado y, por otra, con las garantías comprendidas en los artículos 15 y 20 superiores.

En efecto, el artículo 15 de la Carta reconoce tres derechos: (i) el derecho a la intimidad, (ii) el derecho al buen nombre y (iii) el derecho al habeas data.[156] La Sala observa que si bien el derecho al habeas data está estrechamente ligado con los derechos a la intimidad y al buen nombre, todos los anteriores son derechos con contenidos autónomos y diferentes. En este caso, la Sala encuentra que el proyecto solamente pretende desarrollar el habeas data y no los otros derechos, por lo que si bien la disposición no desconoce la Carta por ser amplia en este respecto, debe entenderse que solamente desarrolla indirectamente los derechos a la intimidad y al buen nombre, es decir, no puede considerarse una regulación comprensiva y sistemática de tales derechos.

Lo mismo ocurre con la mención del artículo 20 superior sobre el derecho a la información. Ciertamente, el derecho a la información, tanto en su dimensión activa y pasiva, es decir, el derecho a expresar y difundir información -incluidas las propias opiniones- y el derecho a recibir información veraz e imparcial, converge en algunos aspectos con el derecho al habeas data, en tanto, por ejemplo, (i) el derecho a la información puede recaer sobre datos personales y, (ii) en su faceta activa comprende el derecho a la rectificación que puede versar sobre datos personales. Sin embargo, el derecho a la información comprende todo tipo de datos, no solamente el dato personal, de ahí que deba concluirse que los dos derechos comprenden ámbitos de protección diferentes y que el proyecto de ley sujeto a revisión no desarrolla comprensivamente el derecho a la información.

En este punto también debe tenerse en cuenta que si bien el artículo 2 exceptúa de la aplicación de algunas de las disposiciones del proyecto a las bases de datos de contenido periodístico y editorial, como se desarrollará más adelante, tales bases deben sujetarse como mínimo a los principios previstos en el artículo 4, lo que significa que el derecho a la información sí es regulado en algunos aspectos por el proyecto.

En resumen, a juicio de la Sala, el proyecto de ley no pretende una regulación exhaustiva del derecho a la información; la regulación se limita al punto en que convergen o entran en tensión los derechos al habeas data y a la información. Bajo este entendimiento, pese a la amplitud del precepto, éste se ajusta al texto constitucional.

EXAMEN DEL ARTÍCULO 2: ÁMBITO DE APLICACIÓN

Texto de la disposición

“Artículo 2°. Ámbito de aplicación. Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada.

La presente ley aplicará al Tratamiento de datos personales efectuado en territorio colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales.

El régimen de protección de datos personales que se establece en la presente ley no será de aplicación:

a) A las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico.

Cuando estas bases de datos o archivos vayan a ser suministrados a terceros se deberá, de manera previa, informar al Titular y solicitar su autorización. En este caso los Responsables y Encargados de las bases de datos y archivos quedarán sujetos a las disposiciones contenidas en la presente ley.

b) A las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo.

c) A las bases de datos que tengan como fin y contengan información de inteligencia y contrainteligencia.

d) A las bases de datos y archivos de información periodística y otros contenidos editoriales.

e) A las bases de datos y archivos regulados por la Ley 1266 de 2008.

f) A las bases de datos y archivos regulados por la Ley 79 de 1993.

Parágrafo. Los principios sobre protección de datos serán aplicables a todas las bases de datos, incluidas las exceptuadas en el presente artículo, con los límites dispuestos en la presente ley y sin reñir con los datos que tienen características de estar amparados por la reserva legal. En el evento que la normatividad especial que regule las bases de datos exceptuadas prevea principios que tengan en consideración la naturaleza especial de datos, los mismos aplicarán de manera concurrente a los previstos en la presente ley.”

Intervenciones ciudadanas y concepto del Ministerio Público

La Defensoría del Pueblo solicita que se declare la exequibilidad condicionada del artículo 2°, bajo el entendido que el tratamiento de datos que se realiza en el marco de las actividades a que se refieren los literales b), c) y f) debe someterse a los principios de protección previstos en el proyecto, y que para verificar su apego a los mismos, la reserva de los datos no debe ser oponible al titular.

La Secretaría Jurídica de la Presidencia de la República solicita la inexequibilidad del parágrafo del artículo 2°, por las siguientes razones:

Asegura que una interpretación rigurosa de parágrafo podría dejar sin efectos las excepciones. Por ejemplo, en el caso de las bases de datos de inteligencia o contrainteligencia, sería complejo aplicar el principio de transparencia, pues podría llevar a que el titular del dato pudiera tener acceso a la información recaudada, en perjuicio de otros derechos y libertades. Por lo anterior, sostiene que se requiere hacer una diferenciación entre dos clases de excepciones que se encuentran dentro del proyecto: (i) la excepción relativa a información que nace del ejercicio de derechos personalísimos constitucionales, y (ii) la excepción referente a bases de datos reservadas o secretas; esta distinción pone de presente que las excepciones dependerán de la naturaleza de los datos, pues si esto no se tuviese en cuenta, se llegaría a atentar contra mecanismos de protección y defensa de la seguridad nacional.

Por otro lado, indica que se debe cuestionar si la incorporación del parágrafo atiende a la voluntad del legislador, ya que analizando el tramite, en un principio se tenían solo establecidas excepciones absolutas y luego, con la presentación de la ponencia para debate en la plenaria del Senado, se adicionó este parágrafo, lo que cambió todo el contexto de las excepciones.

Agrega que la aplicación de los principios del habeas data a los archivos o bases de datos que no circulan, ni salen de la esfera de la persona, arruinaría la autonomía, libertad personal, intimidad y el derecho a la reserva documentaria.

Finalmente, en lo que respecta a los archivos para la seguridad y los de naturaleza reservada, sostiene que la aplicación de los principios generales del habeas data configuraría un peligro y un daño constitucional, además de restarles toda eficacia.

ACEMI solicita la exequibilidad condicionada del artículo 2° en el sentido de que “se excluya del ámbito de su aplicación las bases de datos de afiliación del Sistema General de Seguridad Social en Salud y en general, del Sistema de la Protección Social”. Expone las siguientes razones:

Sostiene que los individuos deben suministrar datos personales al Sistema General de Seguridad Social en Salud para poder afiliarse, ya sea al régimen contributivo o al régimen subsidiado, así como para acceder a la prestación efectiva de los servicios de salud. Recuerda, con sustento en el numeral 1º del artículo 15 de la Ley 100 de 1993 y el inciso 2 del artículo 25 del Decreto 806 de 1998, que la afiliación al Sistema es obligatoria, por lo que “el conocimiento y divulgación de esta información a [por] las entidades del sector salud y de pensiones, a diferencia de cualquier tipo de información que reposa en otras bases de datos, no es potestativa.” Conforme a esto, considera que los datos requeridos por el Sistema para la afiliación no pueden ocultarse, en tanto la afiliación es una obligación legal, expresa, razonable y justificada, por lo que no debe hablarse del derecho a dar y conocer esa información, “sino de la obligación que tiene toda persona de darla con la finalidad legítima de acceder a la garantía de derechos fundamentales de mayor importancia”.

Otra particularidad por la que considera que las bases de datos de las administradoras del Sistema de Seguridad Social en Salud son especiales, es porque la negativa a suministrar los datos, el reporte defectuoso o la imposibilidad de acceder a los datos obstruyen la prestación del servicio de salud en general. Por ejemplo, el no registro de novedades limita el ejercicio de derechos dentro del sistema. Además, el no suministro de información veraz y oportuna afecta la destinación de recursos para la prestación del servicio; es por ello que los administradores deben reportar mensualmente al Ministerio de la Protección Social la información sobre el estado de afiliación de las personas para efectos de garantizar la adecuada destinación de los recursos, mediante el control de la doble afiliación y las situaciones de evasión y elusión.

Finalmente, sostiene que “(…) de no declararse la exequibilidad condicionada del (…) se crearían mecanismos de peticiones, consultas y reclamos más dispendiosos en el tiempo que en últimas abren las puertas para demorar 'injustificadamente' la efectividad de los derechos de los titulares de datos personales, en perjuicio de derechos de mayor preponderancia como el derecho a la seguridad social.”

ASOBANCARIA solicita, en primer lugar, la exequibilidad condicionada del literal a), en el entendido que el régimen de protección de datos no se aplica a aquellos que circulan internamente, esto es, que no se suministran a terceros.

Sostiene que dada la redacción final del literal a), quien reciba un dato tendrá que asumir las obligaciones y cargas contenidas en el articulado para el tratamiento de la información. Aunque la Corte Constitucional ha reconocido que el derecho al hábeas data puede admitir restricciones siempre que sean adecuadas para la protección de otros derechos o bienes constitucionales como el derecho a la información, posibilitar que se impongan estás cargas de protección a información que no está sujeta a flujo, esto es, que no ha sido o no tiene vocación de ser suministrada a terceros, constituye un trato desproporcionado que rompe el equilibrio pretendido por la propia jurisprudencia entre los derechos de los titulares, de las fuentes de información, de los operadores de las bases de datos y de los usuarios.  

Con respecto al aparte del literal a) que establece “[c]uando estas bases de datos o archivos vayan a ser suministrados a terceros se deberá, de manera previa, informar al titular y solicitar su autorización”, precisa que la redacción conduce a una disposición violatoria de los estándares constitucionales relacionados con el flujo de la información. En su criterio, esta redacción establece una restricción desproporcionada, ya que no distingue los tipos de datos que de acuerdo con la jurisprudencia no requieren autorización para su circulación, es decir, la norma no diferencia entre datos públicos, privados, semiprivados y reservados, ni entre información personal e impersonal. De modo que, a menos que la Corte determine que la norma es constitucional en el entendido que no se aplica a datos de carácter público, ni a los establecidos en el numeral 1.4 del artículo 6 de la Ley 1266 de 2008, considera que debe ser declarada inexequible.

En segundo lugar, en relación con el parágrafo, manifiesta que la aplicación de los principios establecidos en el proyecto a las excepciones configura una carga excesiva que podría desconocer derechos y principios constitucionales como el derecho a la información, la libertad de prensa y/o el derecho a acceder a documentos públicos.

Agrega que el parágrafo no respeta la especificidad de la regulación de la Ley 1266 de 2008, cuando establece: “[e]n el evento que la normatividad especial que regule las bases de datos exceptuadas prevea principios que tengan en consideración la naturaleza especial de datos, los mismos aplicarán de manera concurrente a los previstos en la presente ley”. De modo que –a juicio de ASOBANCARIA- el proyecto desconoce que el legislador estatutario “contempló el diseño de dispositivos normativos dirigidos a asegurar la especificidad y la naturaleza del campo donde se aplicarían las disposiciones correspondientes a los diferentes escenarios donde es posible reivindicar el respeto del derecho al habeas data, como ocurrió con la Ley 1266 de 2008, diseñada específicamente para establecer disposiciones generales del hábeas data para ser aplicadas en el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países”. Concluye que desconocer esta especificidad, al exigir la aplicación de principios generales de manera “concurrente”, configura un vicio de fondo.

El profesor Nelson Remolina de la Universidad de los Andes solicita, en primer lugar, declarar exequible el inciso primero, bajo el entendido que el proyecto no sólo es aplicable al tratamiento de datos personales contenidos en bases de datos, sino también en archivos de entidades públicas y privadas. En su sentir, es importante que la Corte Constitucional se pronuncie sobre este punto no sólo porque el artículo 15 menciona explícitamente los archivos sino porque no toda base de datos es un archivo ni viceversa. Se trata de figuras diferentes que en algunos casos pueden coincidir, pero no necesariamente. Agrega que en todo caso frente a las dos figuras, y no sólo respecto de las bases de datos, es procedente el ejercicio del derecho fundamental al habeas data.

En segundo lugar, solicita declarar exequibles los literales a), b), c), d) y f), bajo el entendido que los tratamientos exceptuados, así como las normas previas y posteriores a la expedición de la ley estatutaria general, deben respetar y garantizar los elementos del núcleo esencial del derecho al habeas data.

En tercer lugar, solicita declarar exequible el parágrafo junto con el artículo 27, (i) bajo el entendido que las leyes y actos administrativos especiales sobre datos personales emitidos antes de que se profiera la nueva ley deben ajustarse, revisarse y actualizarse de manera que sean consistentes con los principios y reglas generales contenidos en el proyecto y con la jurisprudencia de la Corte Constitucional; y (ii) bajo el entendido que las leyes y actos administrativos especiales sobre datos personales emitidos con posterioridad a que se profiera la nueva ley, deben respetar e incorporar los principios y reglas generales contenidos en el proyecto y la jurisprudencia constitucional.

La ciudadana Juanita Durán Vélez solicita la inexequibilidad del parágrafo o, en su defecto, su exequibilidad condicionada, en el entendido que los principios solo se aplican concurrentemente ante un vacío en la regulación especial adoptada por el legislador estatutario.

El ciudadano Santiago Diazgranados Mesa solicita la exequibilidad condicionada del literal a), para que se entienda que incluye los datos personales que “circulan internamente, esto es, que no se suministran a otras personas jurídicas o naturales”.

Exequibilidad del inciso primero: condiciones que definen el ámbito de aplicación de la ley

El inciso primero del artículo 2 establece tres condiciones para la aplicación de la ley: (i) la existencia de datos personales (ii) registrados en una base de datos que los haga susceptibles de tratamiento (iii) por entidades públicas o privadas.

En relación con la primera condición, la Sala estima que se ajusta a la Carta, teniendo en cuenta, en primer lugar, que el objeto del derecho al habeas data es la protección de los datos personales y, en segundo lugar, que efectivamente el proyecto contiene regulaciones generales dirigidas a la protección de todo tipo de dato personal. Por tanto, esta condición guarda relación con la unidad temática del proyecto.

En relación con la segunda condición, uno de los intervinientes solicita que sea declarada exequible siempre y cuando se entienda que comprende los archivos en virtud del texto del artículo 15 superior, según el cual el habeas data comprende el “(…) derecho [de las personas] a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.” En criterio del interviniente, los archivos son espacios diferentes a las bases de datos, pero tienen en común que pueden contener datos personales susceptibles de ser tratados de alguna manera.[157]

Para la Sala, la preocupación del ciudadano es muy importante, pues ciertamente los archivos contienen datos personales susceptibles de ser tratados y, por tanto, que requieren medidas de protección; sin embargo, la Sala observa que los archivos sí hacen parte del ámbito de aplicación de la ley, por las siguientes razones:

El artículo 3 del proyecto define las base de datos de una manera muy amplia como el “[c]onjunto organizado de datos personales que sea objeto de Tratamiento”. El tratamiento, por su parte, es definido como “[c]cualquier operación o conjunto de operaciones sobre datos personales, tales como recolección, almacenamiento, uso, circulación o supresión”.

El proyecto no contiene una definición de archivo; sin embargo, éste es definido por la Real Academia de la Lengua como el “[c]onjunto ordenado de documentos que una persona, una sociedad, una institución, etc., producen en el ejercicio de sus funciones o actividades” o como el [l]ugar donde se custodian uno o varios archivos.Los archivos también son definidos por la Ley 594 de 2000 “por medio de la cual se dicta la Ley General de Archivos y se dictan otras disposiciones”, como el “[c]onjunto de documentos, sea cual fuere su fecha, forma y soporte material, acumulados en un proceso natural por una persona o entidad pública o privada, en el transcurso de su gestión, conservados respetando aquel orden para servir como testimonio e información a la persona o institución que los produce y a los ciudadanos, o como fuentes de la historia (…)” (artículo 3). Finalmente, los archivos también han sido conceptualizados por esta Corporación así:“(…) un conjunto orgánico de documentos, unidos por un vínculo originario o de procedencia, que sirven para recuperar con agilidad y en tiempo oportuno toda la información almacenada por una oficina o institución en el curso de su actividad.”.

De acuerdo con estas definiciones, los archivos –para efectos exclusivamente del proyecto-, en tanto son (i) depósitos ordenados de datos, incluidos datos personales, y (ii) suponen, como mínimo, que los datos han sido recolectados, almacenados y, eventualmente, usados –modalidades de tratamiento, son una especie de base de datos que contiene datos personales susceptibles de ser tratados y, en consecuencia, serán cobijados por la ley una vez entre en vigencia.

Esta parece además haber sido la intención del legislador estatutario, toda vez que varios artículos del proyecto se refieren a los archivos (i) como sinónimos de bases de datos o modalidades del mismo género al que pertenecen las bases de datos, y (ii) como ámbitos a los que son aplicables las regulaciones del proyecto. Por ejemplo, el literal a) del inciso tercero del artículo 2 dispone que uno de los casos exceptuados de la aplicación de algunas regulaciones de la ley son “(…) las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico.” En tanto –como se verá más adelante- las hipótesis del artículo 3 no están exceptuadas de la aplicación de los principios, los archivos mantenidos en un ámbito exclusivamente personal o doméstico son cobijados por lo menos por el artículo 4 del proyecto. Lo mismo se puede concluir de los archivos “(…) que tengan por finalidad la seguridad y defensa nacional” y de los archivos “(…) de información periodística y otros contenidos editoriales”, previstos en los literal b) y d), respectivamente, del inciso tercero del artículo 3, es decir, a tales archivos se aplican los principios del artículo 4.

Vale la pena mencionar que si bien la definición de base de datos que trae el proyecto puede diferir del uso común del término, no por ello es inconstitucional, pues el legislador goza de discrecionalidad para hacer clasificaciones y fijar definiciones, como ocurrió en este caso.

En este orden de ideas, teniendo en cuenta que el concepto de bases de datos es suficientemente amplio para cobijar los archivos, la Sala concluye que la segunda condición es exequible.

Por último, respecto de la tercera condición –posibilidad de tratamiento de los datos por entidades públicas o privadas, para la Sala surge la duda de si el empleo del término entidades supone una restricción inconstitucional, pues podría limitar el ámbito de aplicación a datos personales susceptibles de ser tratados solamente por personas jurídicas, lo que excluiría los casos de tratamiento por personas naturales.

Sin embargo, la Sala observa que el término entidad tienen varias acepciones, una de la cuales incluye a las personas naturales. En efecto, según el Diccionario de la Real Academia de la Lengua, una entidad puede ser una “[c]olectividad considerada como unidad. Especialmente, cualquier corporación, compañía, institución, etc., tomada como persona jurídica”, pero también puede ser un “[e]nte o ser”; esta segunda definición –más amplia- cobija a las personas naturales.

Así, en atención a los principios de interpretación conforme a la Constitución y de conservación del derecho, la Sala concluye que debe entenderse –sin necesidad de condicionar la exequibilidad del precepto- que la interpretación del inciso que se ajusta a la Carta es aquella según el cual el término entidades comprende tanto las personas naturales como jurídicas. De modo que así entendida la condición, la Sala también concluye que es compatible con la Carta, pues cobija las hipótesis necesarias para que el proyecto cumpla su finalidad de brindar protección a los datos personales.

Para terminar, resalta la Sala la importancia de esta disposición, en tanto reconoce que el tratamiento de datos personales también puede ser efectuado por personas privadas; de hecho, en el mundo globalizado, el sector privado lleva a cabo una parte muy considerable del tratamiento de datos, lo que lo dota de un poder informático a gran escala y lo convierte en un potencial vulnerador del derecho al habeas data. De ahí que uno de los grandes retos de la protección de los datos personales es la creación de mecanismos para hacer responsables a los particulares por el tratamiento inadecuado y abusivo de datos personales.

Exequibilidad del inciso segundo: ámbito de aplicación territorial y subjetivo

El inciso segundo indica que la ley se aplicará al tratamiento de datos personales (i) efectuado en el territorio colombiano o (ii) que tiene lugar fuera del territorio, pero es llevado a cabo por un responsable o encargado del tratamiento al que le es aplicable la legislación colombiana en virtud de normas y tratados internacionales.

Para la Sala, esta disposición se ajusta a la Carta, pues amplía el ámbito de protección a algunos tratamientos de datos personales que ocurren fuera del territorio nacional, en virtud del factor subjetivo. En un mundo globalizado en el que el flujo transfronterizo de datos es constante, la aplicación extraterritorial de los estándares de protección es indispensable para garantizar la protección adecuada de los datos personales de los residentes en Colombia, pues muchos de los tratamientos, en virtud de las nuevas tecnologías, ocurren precisamente fuera de las fronteras. Por tanto, para la Sala se trata de una medida imperiosa para garantizar el derecho al habeas data. Esta disposición debe además leerse en conjunto con los artículos sobre transferencia de datos a terceros países, de los cuales se ocupará la Sala más adelante.

Exequibilidad del inciso tercero y del parágrafo: casos exceptuados

Interpretación de los preceptos

El inciso tercero señala que el régimen de protección del proyecto de ley “no será de aplicación” a los siguientes ámbitos: a) bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico; b) bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control de lavado de activos y financiamiento del terrorismo; c) bases de datos que tengan como fin y contengan información de inteligencia y contrainteligencia; d) bases de datos y archivos de información periodística y otros contenidos editoriales; e) bases de datos y archivos regulados por la Ley 1266 de 2008 –datos financieros y comerciales para calcular riesgo crediticio; y f) bases de datos y archivos regulados por la Ley 79 de 1993 –información estadística.

Además, el parágrafo precisa que los principios de protección contenidos en el proyecto “(…) serán aplicables a todas las bases de datos, incluidas las exceptuadas en el presente artículo, con los límites dispuestos en la presente ley y sin reñir con los datos que tienen características de estar amparados  por la reserva legal.” También dispone que los principios que se establezcan en la normativa que regule los datos exceptuados, se deberán aplicar de manera concurrente con los estipulados en el proyecto.

Una lectura conjunta del inciso tercero y del parágrafo permite concluir que el primero prevé una serie de casos exceptuados de las reglas del proyecto de ley, debido a que requieren reglas especiales, como las que se introdujeron en la Ley 1266 para datos personales financieros y comerciales destinados a calcular el riesgo crediticio. Estas hipótesis requieren una regulación especial, por cuanto son ámbitos en los que existe una fuerte tensión entre el derecho al habeas data y otros principios constitucionales (como el derecho a la información, la seguridad nacional y el orden público), tensión que para ser resuelta requiere reglas especiales y complementarias. Sin embargo, de conformidad con la primera parte del parágrafo, estas hipótesis no están exceptuadas de los principios, como garantías mínimas de protección del habeas data. En otras palabras, las hipótesis enunciadas en el inciso tercero son casos exceptuados –no excluidos- de la aplicación de las disposiciones de la ley, en virtud del tipo de intereses involucrados en cada uno y que ameritan una regulación especial y complementaria, salvo respecto de las disposiciones que tienen que ver con los principios. Varias razones soportan esta interpretación:

En primer lugar, como se indicó en el informe de ponencia para segundo debate en Senado, este parágrafo se introdujo con el fin de precisar que el artículo 2 no introduce un régimen de exclusión sino de excepción para ámbitos que requieren regulaciones especiales, pero a los que le son aplicables los principios generales contenidos en el proyecto de ley. Al respecto, se indicó:

“La inclusión del parágrafo obedece a que sin importar la finalidad que tenga la base de datos, mientras esta contenga información y datos personales se deberá respetar los principios generales que regulan el tratamiento y protección de datos; así lo ha sostenido en reiteradas ocasiones la Corte Constitucional al enunciar el desarrollo y alcance que deben tener los principios que regulan el tema de la protección de la información. Una legislación unificada y clara sobre el tema en desarrollo se hace completamente necesaria respondiendo siempre a los principios de necesidad y proporcionalidad, motivo por el cual pretender dejar bases de datos sin que les sea aplicable los principios de la administración de datos, solo debería hacerse en respuesta a un estudio particular de cada caso que sobre fundamentos verídicos y con argumentación suficiente que permita, a través del test de razonabilidad, decidir y motivar por qué no se aplicarán los principios básicos que desarrolla un derecho fundamental, basta con analizar desde la óptica de la Corte los principios de libertad, necesidad, veracidad, integridad, finalidad. Y su importancia en el desarrollo del derecho fundamental al Hábeas Data, la protección de datos personales y la autodeterminación informática.”

En segundo lugar, desde el punto de vista teleológico, estos preceptos deben interpretarse dentro del propósito del proyecto de ley: introducir en el ordenamiento una serie de principios básicos aplicables al tratamiento de todos los datos personales, independientemente de su clasificación, lo que es incompatible con la existencia de regímenes excluidos.

En tercer lugar, y como se analizará más adelante, las garantías previstas en el articulo 4 son principios que ya habían sido recogidos por la jurisprudencia constitucional como garantías derivadas del derecho fundamental al habeas data y, por tanto, incluso en ausencia de una ley que lo disponga, son de aplicación obligatoria al tratamiento de todo tipo de dato personal.

En consecuencia, una interpretación del inciso tercero del artículo 2 consonante con la Constitución y el contenido y finalidad del proyecto de ley es que aquél no prevé regímenes excluidos de la aplicación de la ley sino exceptuados de algunas de sus disposiciones en virtud de los intereses que se hallan en tensión. Esos casos exceptuados deben ser regulados por leyes estatutarias especiales y complementarias, las cuales deberán sujetarse a las exigencias del principio de proporcionalidad.

En este orden de ideas, las leyes especiales que se ocupen de los ámbitos exceptuados deberán (i) perseguir una finalidad constitucional, (ii) prever medios idóneos para lograr tal objetivo, y (iii) establecer una regulación que en aras de la finalidad perseguida, no sacrifique de manera irrazonable otros derechos constitucionales, particularmente el derecho al habeas data. Además, de conformidad con los principios que se examinarán más adelante, el cumplimiento de las garantías y la limitación del habeas data dentro de los límites de la proporcionalidad debe ser vigilada y controlada por un órgano independiente, bien sea común o sectorial.

Antes de terminar, tal como se hizo en la sentencia C-1011 de 2008[159], la Sala se permite recordar que aunque en principio es constitucional la consagración de algunas excepciones a la aplicación de algunas disposiciones de la ley, ello no significa que aquellos ámbitos, así como todos los demás en los que se lleva a cabo tratamiento de datos personales, estén excluidos de las garantías básicas del derecho al habeas data, así como de las garantías de otros derechos fundamentales que en cada caso puedan resultar lesionados con el tratamiento de datos personales.

Las excepciones efectivamente son previstas por la ley, como lo exige la Constitución, y deben ser interpretadas de manera restrictiva

El Comité de Derechos Humanos, en su Observación General 16 sobre el artículo 17 del PIDCP –sobre el derecho a la intimidad, indicó que“(…) no puede producirse injerencia alguna, salvo en los casos previstos por la ley. La injerencia autorizada por los Estados sólo puede tener lugar en virtud de la ley, que a su vez debe conformarse a las disposiciones, propósitos y objetivos del Pacto” (negrilla fuera del texto)[161]. De esta afirmación se sigue, como ha también indicado esta Corporación, que, en principio, las excepciones a la aplicación de las garantías de los derechos fundamentales, en este caso del derecho al habeas data, deben estar previstas en la ley, como efectivamente lo hace el proyecto bajo examen. Ciertamente, a juicio de esta Corporación, en tanto tales excepciones son una fuerte limitación de los derechos, es un asunto que corresponde regular al legislador estatutario.[162] Además, las excepciones que se introduzcan, aunque estén contenidas en una ley, deben sujetarse a las exigencias del principio de proporcionalidad.

El Comité de Derechos Humanos también ha indicado que  “[i]ncluso con respecto a las injerencias que sean conformes al Pacto, en la legislación pertinente se deben especificar con detalle las circunstancias precisas en que podrán autorizarse esas injerencias.”. De ahí la necesidad de que las excepciones previstas en este artículo sean desarrolladas por el legislador estatutario en otras leyes, en las que precise las condiciones en las que debe aplicarse el régimen excepcional.

Finalmente, el Comité asegura que “[e]l cumplimiento del artículo 17 exige que la integridad y el carácter confidencial de la correspondencia estén protegidos de jure y de facto. La correspondencia debe ser entregada al destinatario sin ser interceptada ni abierta o leída de otro modo. Debe prohibirse la vigilancia, por medios electrónicos o de otra índole, la intervención de las comunicaciones telefónicas, telegráficas o de otro tipo, así como la intervención y grabación de conversaciones. Los registros en el domicilio de una persona deben limitarse a la búsqueda de pruebas necesarias y no debe permitirse que constituyan un hostigamiento.” Es decir, las excepciones previstas en este artículo deben, en todo caso, cumplir con las anteriores prohibiciones.

Constitucionalidad del literal a): la excepción “las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico”.

El literal a) ofrece tres contenidos normativos: (i) señala que uno de los casos exceptuados de la reglas del proyecto es el de “las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico”. (ii) A continuación, indica que “cuando estas bases de datos vayan a ser suministradas a terceros se deberá, de manera previa, informar al Titular y solicitar su autorización.” Por último, (iii) precisa que en este último caso, es decir, cuando los datos son suministrados a un tercero, el respetivo responsable o encargado de las bases de datos y archivos quedará sujeto a las disposiciones de la ley.

En relación con el primer contenido normativo, uno de los intervinientes asegura que la excepción debe cobijar todo dato que circula internamente, es decir, no solamente a nivel personal y doméstico, sino también, por ejemplo, a nivel de una empresa, y entiende que lo que delimita la circulación interna es el tratamiento del dato sin la intención de suministrarlo a terceros. La Sala, por el contrario, encuentra que la regla, tal cual está redactada en el proyecto, es compatible con la Constitución y que la Corte no puede extender el ámbito de la excepción a hipótesis que no fueron previstas por el legislador, por las razones que a continuación se exponen:

El primer contenido normativo del literal a) tiene tres elementos: (i) hace referencia a datos personales, (ii) contenidos en bases de datos (iii) “mantenidos en un ámbito exclusivamente personal o doméstico”. El último elemento, que es el cuestionado por el interviniente, se refiere al ámbito de la intimidad de las personas naturales; ciertamente, los ámbitos personal y doméstico son las esferas con las que tradicionalmente ha estado ligado el derecho a la intimidad, el cual, en tanto se relaciona con la posibilidad de autodeterminación como un elemento de la dignidad humana, no puede predicarse de las personas jurídicas. Por tanto, esta excepción busca resolver la tensión entre el derecho a la intimidad y el derecho al habeas data.

Así, en tanto los datos mantenidos en estas esferas (i) no están destinados a la circulación ni a la divulgación, y (ii) su tratamiento tampoco puede dar lugar a consecuencias adversas para el titular, tiene sentido que su tratamiento esté exceptuado de algunas disposiciones del proyecto. Por ejemplo, no sería razonable que la protección de los datos personales mantenidos en estos ámbitos (por ejemplo, un directorio telefónico doméstico) estuviera a cargo de la Superintendencia de Industria y Comercio o que quien trata los datos estuviera sometido al régimen sancionatorio que prevé el proyecto.

Ahora bien, no puede entenderse que el primer contenido normativo del literal a) se extienda al tratamiento de cualquier dato cuando circule internamente, como pretende ASOBANCARIA. En primer lugar, si bien es cierto una de las razones por las cuales la excepción del literal a) es razonable es porque los datos “mantenidos en un ámbito exclusivamente personal o doméstico” no están destinados a circular, de ahí no se sigue que todo dato que no circula o circula internamente deba ser exceptuado, pues para que opere la excepción, por voluntad del legislador, se requiere además que los datos sean mantenidos por una persona natural en su esfera íntima. Ciertamente, se trata de dos hipótesis diferentes, razón por la cual, por ejemplo, en el texto de la Ley 1266, si bien fueron tratadas conjuntamente, fueron unidas por la conjunción “y”, lo que significa que son dos ideas distintas.[164]

En segundo lugar, no hay razones para concluir que, en el contexto de una regulación general y mínima del habeas data[165], el tratamiento de datos que circulan internamente merezca las mismas consecuencias jurídicas del tratamiento de datos “mantenidos en un ámbito exclusivamente personal o doméstico”; en otras palabras, no hay argumentos constitucionales que lleven a concluir que las dos hipótesis deben recibir el mismo trato legal. El que los datos no circulen o circulen internamente, no asegura que su tratamiento no pueda tener consecuencias adversas para su titular. Piénsese por ejemplo en las hojas de vida de los empleados de una empresa mantenidas en el ámbito interno; si bien no van a ser divulgadas a terceros, su tratamiento y circulación interna sí puede traer consecuencias negativas para el titular del dato (por ejemplo, en términos sancionatorios o de ascensos), razón por la cual deben estar sujetas a las reglas generales que consagra el proyecto de ley.

En este orden de ideas, siempre y cuando se cumplan las condiciones mencionadas previamente y se entienda que, en todo caso, esta hipótesis sí se encuentra sujeta a los principios del artículo 4, para la Sala la excepción prevista en la primera regla del literal a) se ajusta a la Carta.

En relación con el segundo contenido normativo, este es que “cuando estas bases de datos vayan a ser suministradas a terceros se deberá, de manera previa, informar al Titular y solicitar su autorización”, la Sala encuentra que no solamente es compatible con la Constitución, sino que es desarrollo del principio de libertad -cuyo contenido será examinado más adelante, con mayor razón si se tiene en cuenta que al salir de la esfera personal o doméstica, la circulación de los datos pueden empezar a crear riesgos sobre los derechos de los titulares.

Por último, la Sala estima que el tercer contenido normativo según el cual “[e]n este caso los Responsables y Encargados de las bases de datos y los archivos quedarán sujetos a las disposiciones contenidas en la presente ley”, no solo es compatible con la Carta, sino que es una manifestación del principio de responsabilidad. La Sala observa que cuando los datos que eran mantenidos en la esfera personal o doméstica son puestos en circulación externa, se crea un riesgo para el titular, lo que justifica que el encargado y responsable del tratamiento deban someterse a las reglas de responsabilidad que prevé el proyecto, con la finalidad de evitar posibles abusos. La Sala entonces declarará exequible también esta parte del literal a).

Constitucionalidad del literal b): la excepción “las bases de datos o archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo”

Como se indicó en la sentencia C-251 de 2002[166], “[u]na de las finalidades básicas de las autoridades colombianas es la defensa de la integridad nacional y la preservación del orden público y de la convivencia pacífica, no sólo porque así lo establece expresamente el artículo 2º de la Carta, sino además porque esos elementos son condiciones materiales para que las personas puedan gozar de sus derechos y libertades”.

Las labores de defensa y seguridad, a diferencia de las de inteligencia y contrainteligencia –como se verá más adelante- tienen lugar con ocasión de la existencia de amenazas actuales y graves contra el orden público y la soberanía, y solamente pueden ser ejecutadas por la Fuerza Pública.[167] Amenazas de tal magnitud justifican el tratamiento de datos personales para los propósitos de defensa y seguridad nacional; es más, esta Corporación ha indicado que el tratamiento de datos personales para esos propósitos  “(…) es un elemento importante para el logro de sus fines constitucionales de mantenimiento del orden constitucional y de las condiciones necesarias para el ejercicio adecuado de los derechos y libertades previstos en la Carta”[168], es decir, se trata de una herramienta importante de la que disponen las autoridades para cumplir sus funciones de defensa.

Sin embargo, como lo ha indicado esta Corporación, la defensa del orden público y de la integridad de la soberanía no pueden servir de excusa para desconocer las garantías básicas del estado social de derecho e implementar un estado totalitario en el que las personas se conviertan en objetos al servicio del Estado.[169] Por ello, toda labor de seguridad y defensa nacional debe ser compatible con la dignidad y los derechos fundamentales de las personas que puedan resultar afectadas. En este orden de ideas, la Sala reitera que el tratamiento de datos personales con estas finalidades debe sujetarse de manera estricta a las exigencias del principio de proporcionalidad.

Consideraciones similares deben realizarse para las excepciones de “prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo”, pues tanto el lavado de activos como el terrorismo son amenazas importantes contra la seguridad y el orden público.

Por ejemplo, en la sentencia C-537 de 2008[170], la Corte reconoció que el delito de terrorismo conlleva una grave afectación “(…) de derechos y libertades de primer orden, lo que impone la obligatoriedad para el Estado de establecer medidas suficientes y eficaces, tanto en el ámbito internacional como del derecho interno, para prevenir, combatir y sancionar esas conductas.” Dada la gravedad del delito, la Corte agregó que “(…) las decisiones que adopte el legislador dirigidas a implementar medidas para la prevención, represión y sanción del terrorismo son prima facie armónicas con el Estatuto Superior.[171] La Sala también observa que la adopción de medidas para combatir efectivamente el terrorismo es una obligación internacional del Estado colombiano derivada de instrumentos tales como el Convenio Internacional para la Represión de los Atentados Terroristas Cometidos con Bombas, el Convenio Internacional para la Represión de la Financiación del Terrorismo y la Convención Interamericana contra el Terrorismo, todos ratificados por Colombia y sus leyes aprobatorias declaradas exequibles por esta Corporación.

En materia de lavado de activos, la Corte ha señalado que el establecimiento de medidas para prevenir y sancionar esta conducta es un aspecto inseparable del éxito de las medidas para la represión del crimen organizado. Además, ha reconocido que dada la sofisticación de las redes dedicadas a este delito y su naturaleza transfronteriza, se requieren medidas especiales y el uso de la tecnología.[172]

En este orden de ideas, dada la entidad de la amenaza que para el orden constitucional representan las conductas delictivas de terrorismo y lavado de activos, la Corte considera razonable que el tratamiento de datos para su prevención, detección, monitoreo y control sea exceptuado de la aplicación del proyecto bajo revisión, salvo en materia de principios.[173]

Constitucionalidad del literal c): la excepción “las bases de datos que tengan como fin y contengan información de inteligencia y contrainteligencia”

En informe de ponencia para segundo debate en el Senado[174], se propuso la inclusión del literal c), por las siguientes razones:

“El nuevo literal d) se incluye dado a que si bien se sostiene en el literal c) del mismo artículo una descripción de bases de datos relacionadas con el tema de seguridad del Estado, es bien sabido que el tema de inteligencia y contrainteligencia debe tratarse con sumo cuidado ya que aunque guarda estrecha relación con la seguridad del Estado, su manejo y fines son autónomos, motivo por el cual y respetando la jurisprudencia vigente se prefiere identificar de manera clara la exclusión condicionada de este tipo de bases de datos.”

La jurisprudencia constitucional ha indicado que la inteligencia y contrainteligencia, pese a que se relacionan con la seguridad nacional y la defensa, son conceptos distintos que ameritan una regulación especial y diferente.

Como se señaló en la sentencia C-592 de 1997[175], el término inteligencia es definido por la Real Academia de la Lengua Española como una“[o]rganización secreta en un Estado para dirigir y organizar el espionaje”. Esta actividad, por tanto, está reservada para los organismos del Estado y no se puede delegar por razones de seguridad nacional.

Más recientemente, en la sentencia C-913 de 2010[176], la Corte recordó que los términos inteligencia y contrainteligencia tienen la siguiente definición:

“(…) el Diccionario de la Real Academia de la Lengua Española menciona dentro de las distintas acepciones del término inteligencia, el 'trato y correspondencia secreta de dos o más personas o naciones entre sí', y más adelante sugiere el concepto de servicio de inteligencia, el cual es definido como una 'organización secreta de un Estado para dirigir y organizar el espionaje'. De otro lado, en lo que respecta a la contrainteligencia, se remite al concepto de contraespionaje, que se define como un 'servicio de defensa de un país contra el espionaje de potencias extranjeras'.”

Luego, a partir de estas definiciones y de un sondeo de definiciones adoptadas en otras legislaciones, la Corte concluyó que estas labores tienen las siguientes características:

“De los anteriores conceptos pueden destacarse, entre otros, los siguientes elementos comunes acerca de las labores de inteligencia y contrainteligencia: i) se trata de actividades de acopio, recopilación, clasificación y circulación de información relevante para el logro de objetivos relacionados con la seguridad del Estado y de sus ciudadanos; ii) el propósito de esas actividades y el de la información a que se ha hecho referencia es prevenir, controlar y neutralizar situaciones que pongan en peligro tales intereses legítimos, así como hacer posible la toma de decisiones estratégicas que permitan la defensa y/o avance de los mismos; iii) es inherente a estas actividades el elemento de la reserva o secreto de la información recaudada y de las decisiones que en ella se sustentan, dado que la libre circulación y el público conocimiento de las mismas podría ocasionar el fracaso de esas operaciones y de los objetivos perseguidos; iv) dado que se trata de detectar y prevenir posibles hechos ilícitos y/o actuaciones criminales, la información de inteligencia y contrainteligencia es normalmente recaudada y circulada sin el conocimiento, ni menos aún el consentimiento de las personas concernidas.”

A esto cabe agregar que (i) la inteligencia tiene una función preventiva, lo que significa que, en principio, los datos personales que son tratados con este propósito no pueden servir para la privación de la libertad de las personas. Además, (ii) este tipo de labores solamente se puede realizar para prevenir atentados contra bienes jurídicos de alta importancia –como el orden público y la soberanía nacional, de manera que no puede emplearse como herramienta de prevención de crímenes menores y de incidencia netamente individual. (iii) Por último, las actividades de inteligencia y contrainteligencia pueden realizarse hasta la comisión o tentativa de comisión de un hecho punible; en este punto, es obligación de los entes de inteligencia poner el asunto en conocimiento de las autoridades judiciales y de policía, para que, en el marco de un proceso penal, con respeto del principio de presunción de inocencia y previo recaudo de la evidencia según los parámetros legales y constitucionales, adopten las medidas del caso.

Por tanto, la inteligencia y la contrainteligencia deben ser vistas como herramientas al servicio del Estado social de derecho y no como fines en sí mismos, lo que explica que deban sujetarse de manera estricta a las exigencias del principio de proporcionalidad. Entendidas de esta manera, excepcionar de la aplicación de las disposiciones del proyecto al tratamiento de datos que tiene lugar con ocasión de actividades de inteligencia y contrainteligencia no resulta inconstitucional, pues se trata de labores importantes para mantener el orden público y la integridad de las fronteras nacionales.[177]

Ahora bien, en virtud de la jurisprudencia constitucional y los estándares internacionales de protección de derechos humanos, los cuales además se desprenden de las exigencias del principio de proporcionalidad que debe guiar cualquier limitación de un derecho fundamental, la regulación especial que se introduzca en materia de inteligencia y contrainteligencia deberá ceñirse a las siguientes pautas:[178] (i) el tratamiento de datos personales para estas labores debe estar justificada en una amenaza seria, real e inminente contra la seguridad nacional y el orden público; (ii) los datos objeto de tratamiento para estos fines no pueden ser revelados sino hasta que se dé inicio al proceso penal[179] y, en todo caso, no pueden tener valor probatorio en su interior. La revelación de esta información sin una debida justificación acarrea responsabilidad penal.[180] (iii) No se pueden deducir consecuencias adversas para el titular del dato de los informes de inteligencia y contrainteligencia, por ejemplo en materia de acceso a ciertos cargos públicos, a menos que previamente se informe al titular la información que ha sido recaudadas y se le brinde oportunidad de controvertir las conclusiones de los respetivos informes.

Estas mayores exigencias que existen en comparación con, por ejemplo, las limitaciones a las que se ve expuesto el habeas data en un proceso judicial, se explican en que (i) a diferencia de lo que ocurre en los procesos judiciales, en materia de inteligencia y contrainteligencia no existen mecanismos procesales para asegurar los derechos del titular ni tampoco existe una función de verificación por una autoridad jurisdiccional que, además de ser imparcial e independiente, tenga como uno de sus funciones velar por la garantía de los derechos fundamentales de las partes; y (ii) cuando se realizan labores de inteligencia y contrainteligencia, los titulares de los datos no llegan a conocer que están siendo vigilados sino hasta el momento que, por ejemplo, se pretende adjudicar una consecuencia adversa a la información recaudada, de hecho en muchos eventos el titular del dato nunca se entera de que su información fue objeto de tratamiento por organismos de inteligencia y contrainteligencia.[181]

Constitucionalidad del literal d): la excepción de “datos y archivos de información periodística y otros contenidos editoriales”

Esta restricción es necesaria en la medida en que a través de ella se está asegurando el respeto a la libertad de prensa. La jurisprudencia ha sido enfática en señalar que el “ámbito de protección de la libertad de expresión en sentido genérico consagrada en el artículo 20 Superior, es la libertad de prensa, que se refiere no solo a los medios impresos sino a todos los medios masivos de comunicación.”.

La jurisprudencia constitucional ha otorgado una protección reforzada a la libertad de expresión, en virtud del importante papel que esta garantía desempeña en una democracia participativa. Ha dicho la Corte que aquella, a semejanza de los demás derechos, no es absoluta, es decir, puede eventualmente estar sujeta a limitaciones, adoptadas legalmente para preservar otros derechos, valores e intereses constitucionalmente protegidos con los cuales puede llegar a entrar en conflicto. Sin embargo, “el carácter privilegiado de la libertad de expresión tiene como efecto directo la generación de una serie de presunciones constitucionales – la presunción de cobertura de toda expresión por el ámbito de protección constitucional, la sospecha de inconstitucionalidad de toda limitación de la libertad de expresión, la presunción de primacía de la libertad de expresión sobre otros derechos, valores o intereses constitucionales con los cuales pueda llegar a entrar en conflicto y la presunción de que los controles al contenido de las expresiones constituyen censura.”

Por otro lado, por mandato expreso del artículo 13-2 de la Convención Americana de Derechos Humanos, el ejercicio del derecho a la libertad de expresión “no puede estar sujeto a previa censura sino a responsabilidades ulteriores”. Esta misma Convención señala que la única excepción a esta regla es la establecida en el numeral 4 del mismo artículo, que se refiere al sometimiento de espectáculos públicos a clasificaciones “con el exclusivo objeto de regular el acceso a ellos para la protección moral de la infancia y la adolescencia”. De esta forma, en Colombia son inadmisibles todas las formas de limitación previa a la expresión, salvo por la posibilidad de establecer normas legales que regulen el acceso de menores de 18 años a espectáculos públicos.

En virtud de tal postulado, en la Sentencia T-391 de 2007[182], se dijo que la prohibición de la censura, también consagrada en el artículo 20 Superior, es absoluta y, por tanto, se encuentra prohibido “el control previo de lo que se va a expresar y el veto de ciertos contenidos expresivos antes de que la información, opinión, idea, pensamiento o imagen sea difundida, impidiendo tanto al individuo, cuya expresión ha sido censurada, como a la totalidad de la sociedad potencialmente receptora del mensaje censurado ejercer su derecho a la libertad de expresión. La prohibición constitucional e internacional de la censura es absoluta. Dice el artículo 20 Superior, en términos tajantes, que “No habrá censura.”-, y no deja margen de regulación al legislador ni admite interpretaciones que reduzcan su alcance. La prohibición de la censura se establece en el artículo 20 de la Carta de manera perentoria, sin matices, sin excepciones y sin confiar al legislador la regulación de la materia.”

En concordancia, el literal d) del artículo 2 pretende evitar que las bases de datos y archivos de carácter periodísticos se vean sometidos a los mismos límites que la información general, lo que podría traducirse en una limitación desproporcionada de la libertad de prensa, e incluso en censura -piénsese por ejemplo en la posibilidad de la obligación de revelar las fuentes. No obstante, debe esta Sala reiterar que en razón de la especial consideración que el constituyente otorgó a la libertad de expresión, las posibles colisiones con el derecho al habeas data deben ser resueltas por una regulación especial.

Debe también aclararse que las bases de datos a las que se refiere el literal d) del artículo 2, son aquellas de contenido eminentemente periodístico, y no aquellas que están en poder del medio de comunicaciones en virtud de otras actividades, como aquellas encaminadas a fines comerciales o publicitarios. Así, las bases de datos con la información de los suscriptores de un periódico sí estarán sujetas a la regulación de la futura ley estatutaria.

Constitucionalidad del literal e): la excepción de ”datos y archivos regulados por la Ley 1266 de 2008”

La Ley 1266 de 2008 es la ley estatutaria de protección de datos personales comerciales y financieros para el cálculo de riesgo crediticio, como fue definido en la sentencia C-1011 de 2008. Estos datos requieren una regulación especial –como la adoptada en la Ley 1266 y declarada exequible por esta Corporación, debido a que en este ámbito se presenta una tensión entre el habeas data y el desarrollo de la actividad financiera y bursátil, actividad de interés público en virtud del impacto que puede tener sobre todo el sistema económico y, por esta vía, sobre la garantía de derechos fundamentales y el mantenimiento del orden público. En vista de la necesidad de regular el tratamiento de estos datos de manera especial, debían ser exceptuados de la aplicación del proyecto bajo estudio. Por tanto, la Sala declarará exequible el literal e), de conformidad con lo expuesto en la sentencia C-1011 de 2008. Sin embargo, la Sala advierte que, según el parágrafo del artículo 2, los principios que prevé el proyecto bajo estudio deben aplicarse de manera complementaria con los establecidos en la Ley 1266.

Constitucionalidad del literal f): la excepción de “datos y archivos regulados por la Ley 79 de 1993”

La Ley 79 de 1993 “Por la cual se regula la realización de los Censos de Población y Vivienda en todo el territorio nacional” establece reglas especiales para el tratamiento de datos estadísticos; en estas reglas se prevé que los datos personales suministrados para fines estadísticos son reservados y no pueden ser empleados por otras autoridades públicas para fines diferentes. Para la Sala, esta excepción también es compatible con la Carta, pues para garantizar la exactitud de los censos y datos estadísticos, es indispensable la reserva. Si entidades como el DANE pudieran revelar la información personal de quienes participan en los procesos, podrían alterar los datos, lo que conduciría a afectar la exactitud de los análisis. La exactitud de la información estadística –recuerda la Sala- es fundamental para el diseño de políticas públicas y programas sociales.

Otros ámbitos que requieren regulaciones especiales, aunque no constituyan ámbitos exceptuados

Ahora bien, en ejercicio de su libertad de configuración y atendiendo a las características especiales de cierto tipo de datos personales, el legislador puede también establecer reglas especiales para otro tipo de datos, pero que en ningún caso se entenderán como excepciones, salvo que la futura ley estatutaria sea modificada para incluir nuevas excepciones.

Un ejemplo de otros ámbitos que requieren regulaciones especiales se halla en la sección B de la Resolución 45/95 de 14 de diciembre de 1990, de la Asamblea General de las Naciones Unidas (documento E/CN.4/1990/72.20 de febrero de 1990) sobre “Directrices para la regulación de los archivos de datos personales informatizados”. Este documento, después de señalar una serie de principios mínimos que deben guiar el tratamiento de datos personales en todos los países y que también son aplicables a las organizaciones internacionales gubernamentales, dispone que:

“(…) puede preverse específicamente una excepción a estos principios cuando la finalidad del archivo sea la protección de los derechos humanos y las libertades fundamentales de la persona afectada, o la ayuda humanitaria. Debe preverse una excepción similar en la legislación nacional para las organizaciones internacionales gubernamentales cuyo acuerdo organizativo no impida la puesta en práctica de la referida legislación nacional, así como para las organizaciones internacionales no gubernamentales a las que sea aplicable esta ley.”

El legislador podría entonces, en virtud de esta disposición, establecer un régimen de protección especial para los datos administrados por organizaciones no gubernamentales de defensa de derechos humanos.

Lo mismo puede ocurrir en el caso de los datos de salud –teniendo en cuenta que una parte importante de ellos son sensibles y las historias clínicas son reservadas, el tratamiento de datos para fines de construcción de memoria y garantía del derecho colectivo a la verdad, o de los datos sensibles que son tratados en las redes sociales.

EXAMEN DEL ARTÍCULO 3: DEFINICIONES

Texto de la disposición

Artículo 3°. Definiciones. Para los efectos de la presente ley, se entiende por:

a) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.

b) Base de datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.

c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

d) Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.

e) Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.

f) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.

g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.”

Intervenciones ciudadanas y concepto del Ministerio Público

La Defensoría del Pueblo solicita declarar exequible el artículo 3°; sin embargo, sostiene que a nivel de definiciones, el proyecto en estudio es aún más limitado que la Ley Estatutaria 1266 de 2008. Por ejemplo, explica que la Ley 1266 trae definiciones de conceptos tales como “fuente de información”, “usuario”, “dato público”, “dato semiprivado”, y “dato privado”, las cuales están ausentes del proyecto actual. Agrega que si bien el hecho de que no exista congruencia entre una ley de carácter sectorial y una de carácter general que pretenden regular el mismo derecho, no es en sí mismo un vicio de constitucionalidad, sí puede conducir a situaciones de contradicción que dejan en evidencia la falta de adecuada técnica legislativa en una materia compleja y delicada. Para ilustrar lo anterior, asegura que existen disposiciones de la ley sectorial que pueden resultar más beneficiosas que las de la ley general y a cuya aplicación podría aspirar legítimamente el titular de los datos, pese a que su caso no se enmarque dentro del tratamiento de datos financieros o crediticios. Expresa que también puede suceder lo contrario, esto es que en un caso que involucra esta clase de datos, se busque la aplicación de las normas generales del proyecto de ley. En consecuencia, afirma la Defensoría, serán los jueces los encargados de fijar los límites y alcances de los respectivos ámbitos de aplicación, en la medida en que se vayan resolviendo los casos, aunque éste no es en realidad el escenario adecuado, pues tales precisiones deberían hacerse en sede legislativa.

El profesor Nelson Remolina de la Universidad de los Andes solicita declarar la exequibilidad condicionada del literal e) del artículo 3, pues se interroga sobre si la definición allí contenida versa sobre la persona que hace las veces de fuente u operador en los términos de la Ley 1266 de 2008. Considera entonces que la definición del literal e) es confusa e incompleta porque genera vacíos legales sobre el sujeto que según la ley debe cumplir una serie de obligaciones. Además, en su sentir, pareciera que en el nuevo proyecto la fuente y el operador de la Ley 1266 de 2008 se fusionan en la figura del responsable del tratamiento. Ante esta falta de certeza, cree necesario que la Corte precise el alcance de dichas definiciones, pues los conceptos son importantes para establecer los derechos y responsabilidades de los diferentes sujetos involucrados en el tratamiento de los datos personales.

El ciudadano Santiago Diazgranados Mesa expresa en relación con la exigencia de consentimiento “previo, expreso e informado” del literal a), que constituye un requisito excesivo y contrario a la Constitución. Considera que, en cada caso, debe ponderarse la salvaguarda del derecho a la intimidad con el amparo a la prensa libre, a la libertad de opinión y a la libre circulación de ideas, con el fin de evitar la censura previa y propender por el libre flujo del pensamiento y el fortalecimiento de un Estado respetuoso del libre desarrollo de la personalidad. Explica que el requerimiento del consentimiento expreso, sin importar el tipo de dato personal, implica una exigencia irrazonable que conlleva la vulneración del derecho a la información y a la libertad de expresión. Indica que la Corte Constitucional ha contemplado el requisito de la manifestación del consentimiento expreso para unas circunstancias particulares en las que los datos personales son de carácter sensible o reservado; así, menciona a manera de ejemplo, el dato personal crediticio, la información relacionada con la orientación sexual, los hábitos del individuo y el credo religioso o político. Con fundamento en estas consideraciones, señala que la definición del principio de libertad (artículo 4 literal C) y la calificación del consentimiento del titular del dato personal (artículo 3 literal a) contenidos en el proyecto de Ley objeto de revisión, deben ser declarados parcialmente inconstitucionales, con el objetivo de no limitar otras libertades de manera injustificada o irrazonable.

El ciudadano Alejandro Salas Pretelt solicita la inconstitucionalidad del término “expreso” del literal a). En su sentir, constituye una exigencia injustificada. Expone que la jurisprudencia constitucional ha reconocido que la gestión de ciertos datos personales no debe necesariamente estar sujeta a consentimiento expreso, pues basta el consentimiento tácito. Afirma que frente a datos sensibles o reservados se requiere el consentimiento expreso, pero que ante otro tipo de datos, el consentimiento puede ser tácito. Concluye que el proyecto de ley, al calificar como expreso el consentimiento para cualquier disposición de los datos personales, va en contra de los artículos 15 y 20 de la Constitución.  

De forma similar, el ciudadano Rolfe Hernando González Sosa solicita la inconstitucionalidad parcial del literal a), específicamente de la palabra “expreso”, en la medida que es una exigencia excesiva. Sostiene que, de conformidad con la jurisprudencia constitucional, la interpretación del proyecto debe ser compatible con el ejercicio del derecho a la libertad de expresión y de información. Aduce que exigir el consentimiento “expreso” por parte del titular del dato personal o para cualquier especie de tratamiento no es proporcionado, por cuanto el flujo de información a que puede estar sometido cualquier dato personal es tan dinámico y se encuentra en tantas facetas de la vida diaria, “que haría realmente imposible este flujo de información si cada vez que se requiera el consentimiento expreso como si cualquier dato personal fuera un dato sensible, vulnerando de manera grave el derecho a la libertad de expresión y de información”.

Afirma que en la sentencia C-1011 de 2008, la Corte determinó que el consentimiento expreso es necesario solamente frente a datos de carácter crediticio, de lo cual deduce que para otros tipos de datos, el consentimiento tácito es válido dentro del principio de libertad. Además, destaca que en dicha sentencia se estableció que era competencia del juez determinar en cada caso “el contenido de la autorización que el usuario de los sistemas informáticos obtiene del titular del dato, con miras a establecer su alcance, considerando, además del interés general que demanda la utilización del documento, especialmente, las condiciones en que dicha autorización fue otorgada, como quiera que si al aquiescencia del otorgante estuvo condicionada por el acceso al servicio o a la operación de crédito”. En este sentido, sostiene que el propio juez es quien debe entrar a analizar si conforme a la información requerida, es necesario o no el consentimiento expreso del titular.

Precisiones generales sobre la constitucionalidad del artículo

Las definiciones de los vocablos “técnicos” que se emplean para regular el objetivo del proyecto de ley, son elementos indispensables para la protección del habeas data, en tanto permiten una correcta y apropiada interpretación de la ley y contribuyen a determinar las responsabilidades de los involucrados en el tratamiento de datos personales. Ahora bien, al igual que se señaló en la sentencia C-1011 de 2008[183], la fijación de tales definiciones hace parte de la libre configuración del legislador, de modo que en este punto el Congreso goza de un importante margen de discreción. Sin embargo, es necesario hacer algunas precisiones sobre la terminología por la que optó el legislador y examinar si ella se ajusta a la Constitución.

Lo primero que advierte la Sala, al igual que lo hicieron algunas intervenciones, es que a diferencia de lo que ocurrió en la Ley 1266, el legislador recurrió en esta oportunidad a conceptos propios del modelo europeo para referirse a las personas vinculadas al tratamiento del dato personal. Para algunos intervinientes este hecho no sólo es un problema de técnica legislativa (en la medida en que conduce a la coexistencia de dos modelos normativos que tienen por objeto hacer una regulación completa de una materia tan importante como el habeas data, pero con una terminología diversa), sino un problema constitucional, porque esa diferencia en los vocablos conlleva la dilución de la responsabilidad de quienes participan en el tratamiento del dato.  

La Corte encuentra que, efectivamente, en el proyecto bajo revisión, el legislador dejó de lado conceptos como el de fuente, operador y usuario, y no definió las subcategorías de dato personal, definiciones que sí fueron incluidas en la Ley 1266. No obstante, lo cierto es que, en principio, esa diferencia en los conceptos no es suficiente para que se declare la inexequibilidad del precepto, por cuanto el legislador en su libertad de configuración puede elegir cambiar la terminología que empleó en la Ley 1266.

Para determinar si ese cambio en la terminología constituye realmente un vicio de constitucionalidad, corresponde a la Sala hacer un análisis de cada uno de las definiciones que trae el proyecto y su incidencia en el régimen de responsabilidad de los agentes que participan en el tratamiento del dato, en contraste con las exigencias constitucionales en materia de garantía del derecho al habeas data.

Constitucionalidad del literal a): definición de “autorización”

El literal a) hace alusión a la autorización y la define como el consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales. Sobre estas características de la autorización nos referiremos al analizar los principios rectores, aparte en el que estudiaremos a profundidad el tema relativo al consentimiento y sus características para el tratamiento del dato. En consecuencia, basta por ahora señalar que el consentimiento es un aspecto medular del derecho al habeas data y que pese a las múltiples intervenciones que solicitan la inexequibilidad del vocablo “expreso”, la definición será declarada ajustada a la Constitución, por las razones que serán expuestas en los considerandos 2.8.4.1 y 2.11.3 de esta providencia.

Constitucionalidad del literal b): definición de “base de datos”

El literal b) define las bases de datos como un “(…) conjunto organizado de datos personales que sea objeto de tratamiento”. Pese a que esta definición es bastante amplia y parece coincidir más con la de banco de datos empleada en la Ley 1266, en tanto el legislador goza de libertad de configuración en la materia, puede adoptar definiciones diferentes dependiendo de la regulación.

Ahora bien, la definición se ajusta a la Carta, pues cobija todo espacio donde se haga alguna forma de tratamiento del dato, desde su simple recolección, lo que permite extender la protección del habeas data a todo tipo de hipótesis. En concordancia, la Sala recuerda, como se indicó en la consideración 2.4.3.2., que el concepto de base de datos cobija los archivos, entendidos como depósitos ordenados de datos, lo que significa que los archivos están sujetos a las garantías previstas en el proyecto de ley.

Constitucionalidad del literal c): definición de “datos personales”

El literal c) del artículo 3 define los datos personales como “[c]ualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables”. Esta definición, aunque es amplia, concuerda en términos generales con la línea jurisprudencial que esta Corte ha desarrollado en la materia, así como con la definición adoptada en la Ley 1266 sobre el dato personal financiero. Adicionalmente, la fijación de una definición de dato personal es un ejercicio legítimo de la libertad de configuración de la que goza el legislador, cuyos límites en este caso no han sido desconocidos.

En efecto, la jurisprudencia constitucional ha precisado que las características de los datos personales –en oposición a los impersonales[184]- son las siguientes: “i) estar referido a aspectos exclusivos y propios de una persona natural, ii) permitir identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su  captación, administración y divulgación.”

Por su parte, la Ley 1266, con el aval de esta Corporación, aunque en un contexto diferente, definió los datos personales de forma similar: “Dato personal: es cualquier pieza de información vinculada a una o varias personas natural o jurídica. (…)” (literal e del artículo 3).

Los datos personales, a su vez, suelen ser clasificados en los siguientes grupos despendiendo de su mayor o menor grado de aceptabilidad de divulgación: datos públicos, semiprivados y privados o sensibles.[186]

Se pregunta la Sala si la omisión de estas clasificaciones en el literal c) constituye un vicio de constitucionalidad. Para la Sala la respuesta es negativa, ya que estas definiciones no son un ingrediente indispensable para la aplicación de las garantías de la ley y, en todo caso, la ausencia de definiciones puede ser llenada acudiendo a la jurisprudencia constitucional y a otros preceptos legales.

En primer lugar, la clasificación de los datos personales en públicos, semiprivados y privados o sensibles, es solamente una posible forma de categorizar los datos, pero no la única; otras clasificaciones podrían ser producto de criterios diferentes al grado de aceptabilidad de la divulgación del dato. El legislador, por tanto, tiene libertad para elegir o no elegir una categorización.

Ahora bien, es cierto que el propio legislador estatutario adoptó algunas de estas clasificaciones, como la de datos sensibles, cuyo tratamiento se prohíbe con algunas excepciones en el artículo 6 del proyecto. Para poder dar sentido a este precepto, a juicio de la Sala, basta con acudir a las definiciones elaboradas por la jurisprudencia constitucional o a las definiciones de otros preceptos legales, como la Ley 1266, cuyo artículo 3 dispone:

“f) Dato público. Es el dato calificado como tal según los mandatos de la ley o de la Constitución Política y todos aquellos que no sean semiprivados o privados, de conformidad con la presente ley. Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas;

g) Dato semiprivado. Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de la presente ley.

h) Dato privado. Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.”

En este orden de ideas, dado que la clasificación de los datos personales no es un elemento indispensable  de la regulación y, dicho vacío en todo caso puede ser remediado acudiendo a la jurisprudencia constitucional y a otras definiciones legales, especialmente al artículo 3 de la Ley 1266, en virtud del principio de conservación del derecho, el literal c) será declarado exequible en este respecto.

Por otra parte, llama la atención de la Sala que la definición del literal c) se restrinja a los datos de las personas naturales. Por tanto, la definición pareciera reñir, en principio, con algunos pronunciamientos de esta Corporación en los que se ha admitido que las personas jurídicas también pueden ser titulares del derecho al habeas data, como la sentencia T-462 de 1997[187] y C-1011 de 2008.

Sin embargo, en sentir de la Sala, no se trata de una restricción que desconozca la doctrina constitucional sobre la protección del habeas data en cabeza de las personas jurídicas, ni el principio de igualdad. Ciertamente, la garantía del habeas data a las personas jurídicas no es una protección autónoma a dichos entes, sino una protección que surge en virtud de las personas naturales que las conforman. Por tanto, a juicio de la Sala, es legítima la referencia a las personas naturales, lo que no obsta para que, eventualmente, la protección se extienda a las personas jurídicas cuando se afecten los derechos de las personas que la conforman.

Constitucionalidad de los literales d) y e): definiciones de encargado y responsable de tratamiento del dato

  En los literales d) y e) del artículo 3, se hace expresa mención al encargado y al responsable del dato, respectivamente. La Sala observa que la diferenciación de estos dos sujetos era determinante, por cuanto de ello depende el ámbito de sus deberes, enumerados en el título VI del proyecto, de modo que dichas definiciones están ligadas al principio de legalidad en materia sancionatoria y son una garantía para el titular del dato respecto de quién es obligado a cumplir diferentes prerrogativas que se desprenden del habeas data.

Sin embargo, se debe señalar desde ahora, al igual que se indicó en la sentencia C-1011 de 2008, que todos los principios de la administración de datos personales identificados en este proyecto -los cuales serán estudiados en otro acápite- son oponibles a todos los sujetos involucrados en el tratamiento del dato, entiéndase en la recolección, circulación, uso, almacenamiento, supresión, etc., sin importar la denominación que los sujetos adquieran, es decir, llámense fuente, responsable del tratamiento, operador, encargado del tratamiento o usuario, entre otros. Hechas estas aclaraciones, pasa la Sala a examinar la constitucinalidad de las definiciones.

 El proyecto define al encargado del tratamiento como la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realiza el tratamiento de datos personales por cuenta del responsable del tratamiento. Por otro lado, el responsable del tratamiento es definido como la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decide sobre la base de datos y/o el tratamiento de los datos[189].

Estas definiciones parecen inspirarse en el derecho comunitario europeo, especialmente en la Directiva 95/46/CE y en el Dictamen 1/2010 del Grupo Consultivo sobre Protección de Datos[190], a las que vale la pena remitirnos por razones meramente ilustrativas y con el fin de acercarnos al correcto entendimiento de uno y otro concepto, labor que a veces se torna difícil por el avance de las tecnologías de la información y otros retos que impone la globalización.

El Dictamen 1/2010 señala que lo que permite identificar al responsable de otros agentes que participan en el proceso, es que él es el que determina los fines y los medios esenciales del tratamiento de los datos. También indica en relación con los medios, que se hablará de responsable cuando el sujeto realice un control o determine elementos esenciales de los medios, tales como el tiempo que los datos deben permanecer almacenados, la forma cómo se hará su uso o se pondrán en circulación, el acceso a los mismos, etc. Por su parte, precisa que el encargado es quien realiza el tratamiento por cuenta del responsable, es decir, por delegación y, por tanto, es natural y jurídicamente distinto del responsable.[192].

Los criterios de (i) definición de los fines y medios del tratamiento del dato personal y (ii) existencia de delegación, también resultan útiles en nuestro caso para establecer la diferencia entre responsable y encargado. Ciertamente, el concepto “decidir sobre el tratamiento” empleado por el literal e) parece coincidir con la posibilidad de definir –jurídica y materialmente- los fines y medios del tratamiento. Usualmente, como reconocen varias legislaciones, el responsable es el propietario de la base de datos[193]; sin embargo, con el fin de no limitar la exigibilidad de las obligaciones que se desprenden del habeas data, la Sala observa que la definición del proyecto de ley es amplia y no se restringe a dicha hipótesis. Así, el concepto de responsable puede cobijar tanto a la fuente[194] como al usuario[195], en los casos en los que dichos agentes tengan la posibilidad de decidir sobre las finalidades del tratamiento y los medios empleados para el efecto, por ejemplo, para ponerlo en circulación o usarlo de alguna manera.

De otro lado, el criterio de delegación coincide con el término “por cuenta de” utilizado por el literal e), lo que da a entender una relación de subordinación del encargado al responsable, sin que ello implique que se exima de su responsabilidad frente al titular del dato.

Así, por ejemplo, será responsable del dato el hospital que crea la historia clínica de su paciente, la universidad o las instituciones educativas en relación con los datos de sus alumnos, pues estos determinan la finalidad (en razón de su objeto que, puede estar  señalado  en una ley o por el giro normal de la actividad que se desarrolla) para la recolección de los datos, así como la forma en que los datos serán procesados, almacenados, circulados, etc.

Ahora bien, vale la pena advertir que el encargado del tratamiento no puede ser el mismo responsable, pues se requiere que existan dos personas identificables e independientes, natural y jurídicamente, entre las cuales una –el responsable- le señala a la otra –el encargado- como quiere el procesamiento de unos determinados datos. En este orden, el encargado recibe unas instrucciones sobre la forma como los datos serán administrados. Volvamos al ejemplo de la historia clínica, en el que la institución de salud contrata con una compañía el procesamiento de las historias para que con un programa especial que puede determinar el responsable o la empresa contratada, le organice la información contenida en ellas, siguiendo las indicaciones que establece el hospital. En este caso, el encargado del tratamiento de los datos es la persona jurídica que se contrata para el procesamiento de las hojas de vida.      

También es necesario precisar, como lo señala la directiva en cita, que no basta con que una ley o un contrato señalen expresamente que una determinada persona o grupo de personas son responsables del tratamiento, por cuanto en cada caso corresponderá analizar el contexto de las actuaciones de los agentes concernidos en el tratamiento del dato para establecer su verdadera posición y, en este orden, sus obligaciones y régimen de responsabilidad.[196] En ese orden de ideas, corresponderá a   la autoridad competente de asegurar la vigilancia, control y garantía del dato personal, examinar la posición que ocupa cada agente en el tratamiento del dato, en especial, porque como lo señala la misma definición de responsable y de encargado del tratamiento, éstos pueden estar constituidos por una pluralidad de sujetos que pueden tener distintos grados de responsabilidad.

Finalmente, como ejemplifica la Directiva referida –ejemplos que la Sala considera también son aplicables a nuestro caso, el responsable del tratamiento puede surgir: (i) cuando en el cumplimiento de una determinada función, se impone la recolección de datos, por ejemplo, en el caso de la seguridad social; la directiva en comento denomina esta situación competencia legal explícita; (ii) cuando en el ámbito propio de la actividad se produce el tratamiento, se trata del caso de los empleadores frente a sus trabajadores, lo que se denomina competencia jurídica implícita; y (iii) cuando sin existir las competencias anteriores, se tiene la capacidad de determinación, hecho que se denomina capacidad de influencia de hecho.

 Establecida la diferencia entre responsable y encargado, la Sala observa, en primer lugar, que las definiciones de los literales d) y e) representan ejercicio legítimo de la libertad de configuración del legislador estatutario justificada en la forma cómo se desarrolla el tratamiento del dato, y en segunda lugar, que la clasificación tiene además utilidad desde el punto de vista constitucional, esta es, definir el régimen de responsabilidades y obligaciones de quienes participan en el tratamiento del dato personal.

En efecto, de acuerdo con las definiciones acogidas por el proyecto de ley, los responsables del tratamiento tienen mayores compromisos y deberes frente al titular del dato, pues son los llamados a garantizar en primer lugar el derecho fundamental al habeas data, así como las condiciones de seguridad para impedir cualquier tratamiento ilícito del dato. La calidad de responsable igualmente impone un haz de responsabilidades, específicamente en lo que se refiere a la seguridad y a la confidencialidad de los datos sujetos a tratamiento.

En la sentencia C-1011 de 2008[198], se señaló que en la administración de datos personales es posible identificar varias etapas, cuya diferenciación permite adscribir determinados niveles de responsabilidad a los sujetos que participan de él. Así, por ejemplo, sobre la calidad de la información, el encargado del tratamiento tendrá deberes de diligencia y cuidado en la medida en que como lo consagra el proyecto de ley, está obligado a realizar de forma oportuna, la actualización, rectificación o supresión del dato, según el caso, literal c) del artículo 18.

En esa línea, lo importante para una verdadera garantía del derecho al habeas data, es que se pueda establecer de manera clara la responsabilidad de cada sujeto o agente en el evento en que el titular del dato decida ejercer sus derechos. Cuando dicha determinación no exista o resulte difícil llegar a ella, las autoridades correspondientes habrán de presumir la responsabilidad solidaria de todos, aspecto éste sobre el que guarda silencio el proyecto de ley y que la Corte debe afirmar como una forma de hacer efectiva la protección a la que se refiere el artículo 15 de la Carta[199].

Las anteriores aclaraciones, le permiten a la Sala declarar la exequibilidad de los literales d) y e) del artículo 3.

Constitucionalidad del literal f): definición de “titular”

El proyecto establece que el titular es la persona natural cuyos datos personales sean objeto de tratamiento. A juicio de la Sala, esta definición se ajusta a la Carta y no desconoce la jurisprudencia de esta corporación[200] en la que se ha indicado que las personas jurídicas también son titulares del derecho al habeas data, pues como se explicó en la consideración 2.5.6.3, la protección que se brinda a las personas jurídicas en este respecto es en virtud de las personas naturales que la conforman. Por tanto, eventualmente, la protección del habeas data se podrá extender a las personas jurídicas cuando se afecten los derechos de las personas naturales que la conforman.

Constitucionalidad del literal g): definición de “tratamiento”

El tratamiento es definido como cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. Este vocablo, al igual que los dos analizados en precedencia, es de uso en el ámbito europeo y se encuentra tanto en la  Directiva 95/46 del Parlamento Europeo como en los Estándares dictados en la reciente conferencia que se dio en Madrid (España), en la que se definió tratamiento como “cualquier operación o conjunto de operaciones, sean o no automatizadas, que se apliquen a datos de carácter personal, en especial su recogida, conservación, utilización, revelación o supresión[201]

El vocablo tratamiento para los efectos del proyecto en análisis es de suma importancia por cuanto su contenido y desarrollo se refiere precisamente a lo que debe entenderse por el “tratamiento del dato personal”. En ese orden, cuando el proyecto se refiere al tratamiento, hace alusión a cualquier operación que se pretenda hacer con el dato personal, con o sin ayuda de la informática, pues a diferencia de algunas legislaciones[202], la definición que aquí se analiza no se circunscribe únicamente a procedimientos automatizados. Es por ello que los principios, derechos, deberes y sanciones que contempla la normativa en revisión incluyen, entre otros, la recolección, la conservación, la utilización y otras formas de procesamiento de datos con o sin ayuda de la informática. En consecuencia, no es válido argumentar que la ley de protección de datos personales cobija exclusivamente el tratamiento de datos que emplean las nuevas tecnologías de la información, dejando por fuera las bases de datos manuales, lo que resultaría ilógico, puesto que precisamente lo que se pretende con este proyecto es que todas las operaciones o conjunto de operaciones con los datos personales quede regulada por las disposiciones del proyecto de ley en mención, con las salvedades que serán analizadas en otro apartado de esta providencia. En este orden de ideas, esta definición no genera problema alguno de constitucionalidad y por tanto será declarada exequible.   

EXAMEN DEL ARTÍCULO 4: PRINCIPIOS

Texto de la disposición

“Artículo 4°. Principios para el tratamiento de datos personales. En el desarrollo, interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los siguientes principios:

a) Principio de legalidad en materia de tratamiento de datos: el tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.

b) Principio de finalidad: el tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, la cual debe ser informada al titular.

c) Principio de libertad: el tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

d) Principio de veracidad o calidad: la información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

e) Principio de transparencia: en el tratamiento debe garantizarse el derecho del titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.

f) Principio de acceso y circulación restringida: el tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el tratamiento sólo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la presente ley.

Los datos personales, salvo la información pública, no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a la presente ley.

g) Principio de seguridad: la información sujeta a tratamiento por el responsable del tratamiento o encargado del tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

h) Principio de confidencialidad: todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.”

Intervenciones ciudadanas y concepto del Ministerio Público

La Secretaría Jurídica de la Presidencia de la República manifiesta que como consecuencia de la interdependencia entre los principios plasmados, los de “temporalidad” e “interpretación integral de derechos constitucionales”, igualmente estarían llamados a integrar la nueva ley estatutaria. Sostiene que los dos principios referidos no solamente deben regir para el tratamiento de datos comerciales, financieros y crediticios sino también para aquellos datos personales que incluso son dignos de mayor reserva. Entre dos leyes estatutarias, la presente y la Ley 1266 de 2008 no puede generarse una disparidad de tanta trascendencia. Por lo anterior, considera necesario que la Corte realice una interpretación integradora.

La Defensoría del Pueblo manifiesta que no encuentra objeciones que formular a las definiciones de los principios que consagra este artículo, pues considera que en general se trata de conceptos coherentes con las normas y criterios que han presidido el ámbito de protección de los datos de carácter personal.

Sin embargo, advierte que la Ley Estatutaria 1266 de 2008 consagra adicionalmente a los principios ya reseñados, los de temporalidad de la información y de interpretación integral de los derechos constitucionales, los cuales, en atención a lo expresado frente al parágrafo del artículo 2 del proyecto, deberían entenderse como aplicables de manera concurrente con lo normado en éste.

ASOBANCARIA afirma con respecto al literal g) del artículo 4 del Proyecto de Ley la expresión “que sean necesarias” genera dos interrogantes: ¿Quién determina que las medidas para asegurar la protección del dato, en un evento determinado, fueron las necesarias para garantizar la seguridad de los registros? y ¿Con base en qué criterios se puede determinar esto? La norma no ofrece respuesta a estos interrogantes. Esa ambigüedad en la regulación es la que permite advertir que una determinación abierta expone los Responsable a los criterios de una autoridad administrativa.

La Universidad de los Andes solicita declarar la exequibilidad condicionada del literal b) del artículo 4°, entendiendo que de conformidad con el artículo 15 de la Constitución el principio de finalidad también debe observarse en el tratamiento, uso y circulación de los datos personales, lo cual implica que no podrán realizarse tratamientos de datos personales incompatibles con la finalidad autorizada por el titular o la ley, a menos que se cuente con el consentimiento inequívoco del titular.

También solicita declarar exequible el inciso segundo del literal f) del artículo 4 del proyecto, que establece: “Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a la presente ley”, siempre y cuando se entienda que la información pública que figure en Internet sobre una persona debe ceñirse a los siguientes parámetros: (i) se debe evitar el posible acceso a los datos personales del titular o de terceros que sean privados, semiprivados, reservados o secretos que pueden estar junto con los datos públicos. Esto implica publicar en Internet únicamente la información que estrictamente sea pública y (ii) se debe eliminar cualquier posibilidad de acceso indiscriminado, mediante la digitación del número de identificación a los datos personales del ciudadano.

La ciudadana Juanita Durán Vélez solicita la inexequibilidad del artículo 4°, por no respetar las exigencias de integralidad. Específicamente, refiere que el proyecto (i) excluye contenidos normativos esenciales del artículo 15 de la Constitución, por ejemplo, la inviolabilidad de la correspondencia y demás formas de comunicación privada, las exigencias para interceptaciones o registro de comunicaciones privadas, y especialmente el derecho a la intimidad, teniendo en cuenta que se trata de una Ley Estatutaria que incluye reglas sobre datos personales o íntimos. Agrega que ésta (ii) omite la regulación del habeas data aditivo, (iii) carece de una tipología de los datos que permita hacer un tratamiento adecuado y garantista para cada uno de ellos, (iv) excluye principios que hacen parte del componente estructural del derecho al habeas data, (v) se abstiene de establecer directamente las reglas sobre datos personales en varios aspectos y las delega en el Gobierno Nacional, (vi) no contiene la regulación sobre la caducidad del dato negativo y la permanencia del dato general.

Los ciudadano Santiago Diazgranados Mesa, Alejandro Pretelt Salas y Rolfe Hernando González Sosa, solicitan la exequibilidad condicionada del literal c) del artículo 4, específicamente el término “expreso”, con fundamento en las mismas consideraciones señaladas para atacar la constitucionalidad del artículo 3 del presente proyecto de ley.

Consideraciones generales sobre el artículo 4

El desarrollo tecnológico ha redimensionado la relación del hombre con su entorno. Ahora “la recolección, el almacenamiento de información que antes sólo podía formar parte de la vida íntima de cada ser humano- o bien, era conocido por un mínimo sector-, ha ido variando paulatinamente su entorno y estructura. Esto es, los datos personales de toda persona se han convertido en una práctica habitual de control y almacenamiento por parte de los sectores tanto públicos como privados”[203]. Esto ha implicado el reconocimiento de nuevos derechos con particularidades propias que “intentan dar respuesta a las nuevas necesidades históricas, mientras que en otras supone la redefinición de viejos derechos”

Como se explicó en precedencia, en principio, el derecho al habeas data fue considerado como una manifestación del derecho a la intimidad. Sin embargo, esta garantía estaba marcada por un matiz individualista destinada a proteger un espacio privado sin posibilidades de injerencias ajenas o del Estado, y por tanto, las limitaciones propias del derecho a la intimidad no son suficientes para responder a las necesidades del flujo de la información moderna. Por el contrario,  se está ante el nacimiento de un nuevo derecho, el de habeas data, en el que la privacidad “no implica sencillamente la falta de información sobre nosotros por parte de los demás, sino más bien el control que tenemos sobre las informaciones que nos conciernen[205]

Esta reciente garantía requiere entonces del reentendimiento de instrumentos de tutela jurídica y de ciertos principios que respondan a las necesidades del control del manejo de datos. En efecto, se enfrentan dos intereses, por un lado, la especial necesidad de disponibilidad de información mediante la conformación de bases de datos personales, por otro, el requerimiento de proteger los derechos fundamentales de los posibles riesgos del proceso de administración de datos. En consecuencia, se torna indispensable someter este proceso a ciertos principios jurídicos, con el fin de garantizar la armonía entre las relaciones jurídicas.

Para la Corte, el tratamiento de datos, si bien es imprescindible para el normal desarrollo de múltiples ámbitos de la vida social, puede lesionar derechos fundamentales. En consecuencia, tanto en la jurisprudencia como en el ámbito internacional se han fijado una serie de principios para la administración de datos personales, que como mandatos de optimización, tiendan a facilitar la labor de ponderación entre las prerrogativas constitucionales en tensión.

Sobre la naturaleza de los principios en la Sentencia C-228 de 2011[206] se dijo que los principios "en la terminología de Robert Alexy se trata de un mandato de optimización que ordena que se realice algo en la mayor medida de lo posible de acuerdo con las posibilidades jurídicas y fácticas, pero cuando colisiona con otros principios como el de salvaguarda de los sistemas de protección social o la sostenibilidad financiera, dicho conflicto tiene que ser ponderado en el caso concreto para determinar si se justifica  o no de manera razonable la limitación"

Estos principios, buscan impedir el uso abusivo y arbitrario de la facultad informática. Así mismo, deben ser interpretados en concordancia con el segundo inciso del artículo 15 de la Carta, que establece que "(e)n la recolección, tratamiento y circulación de los datos se respetarán la libertad y demás garantías consagradas en la Constitución".

Es decir, el artículo 4 de la Ley Estatutaria  define el contexto axiológico dentro del cual debe moverse, el proceso informático. Según este marco general, existen unos parámetros generales que deben ser respetados para poder afirmar que el proceso de acopio, uso y difusión de datos personales sea constitucionalmente legítimo.

Desde el año 1994, la Corte Constitucional ha ido desarrollando una serie de principios que debe informar el proceso de administración, entre los que encontramos, los principios de libertad, necesidad, veracidad, integridad, incorporación, finalidad, utilidad, circulación restringida, caducidad e individualidad, y que fueron sistematizados en la Sentencia T-729 de 2002.[207]

En la sentencia T-022 de 1993, se estableció por primera vez el principio de libertad. En dicha oportunidad, la Corte resolvió el caso de la circulación de datos personales de contenido crediticio sin el consentimiento del titular de los datos. Es así como la Corte, bajo la necesidad de "favorecer una plena autodeterminación de la persona" y ante la "omisión de obtener la autorización expresa y escrita del titular para la circulación  de sus datos económicos personales", resolvió conceder la tutela de los derechos a la intimidad y al debido proceso y ordenó a la central de información financiera el bloqueo de los datos personales del actor.

Desde allí, se ha dicho entonces que los datos personales sólo pueden ser registrados y divulgados con el consentimiento[208] libre, previo y expreso del titular. La Corporación ha relacionado el principio de libertad, con la prohibición del manejo de la información adquirida de manera ilícita, de tal forma que se encuentra prohibida la obtención y divulgación de los mismos, sin la previa autorización del titular o en ausencia de mandato legal o judicial. Así, en la sentencia SU-082 de 1995, afirmó: "los datos conseguidos, por ejemplo, por medios ilícitos no pueden hacer parte de los bancos de datos y tampoco pueden circular." En el mismo sentido, en la Sentencia T-176 de 1995, se consideró como una de las hipótesis de la vulneración del derecho al habeas data el de la recolección de la información "de manera ilegal, sin el consentimiento del titular de dato."

En relación con el principio de necesidad, los datos personales registrados deben ser los estrictamente necesarios para el cumplimiento de las finalidades perseguidas con la base de datos de que se trate, de tal forma que se encuentra prohibido el registro y divulgación de datos que no guarden estrecha relación con el objetivo de la base de datos. Sobre el particular, la Sentencia T-307 de 1999, afirmó: "la información solicitada por el banco de datos, debe ser la estrictamente necesaria y útil, para alcanzar la finalidad constitucional perseguida. Por ello, los datos sólo pueden permanecer consignados en el archivo mientras se alcanzan los objetivos perseguidos. Una vez esto ocurra, deben desaparecer".

Al abrigo de este principio, la Corte en sentencia SU-082 de 1995 consideró prohibida la inclusión de información que vulnere el derecho a la intimidad del titular. En estos mismos términos, ya en la sentencia T-176 de 1995, la Corte dejó sentado como una de la hipótesis de transgresión del derecho al habeas data, que la información recaiga "sobre aspectos íntimos de la vida de su titular no susceptibles de ser conocidos públicamente".

Para estructurar el principio de finalidad, la Corte ha perfilado la llamada teoría de los ámbitos, de tal forma que se admite que el suministro de datos personales se realiza en un contexto más o menos delimitado. En consecuencia, "la referida información se destinará a realizar los fines exclusivos para los cuales fue entregada por el titular, en relación con el objeto de la base de datos y con el contexto en el cual estos son suministrados".[209] Así, en sentencia T-552 de 1997, la Corte consideró como derivación del derecho a la autodeterminación informativa, la facultad de poder exigir "el adecuado manejo de la información que el individuo decide exhibir a los otros". Por lo tanto, según este principio "tanto el acopio, el procesamiento y la divulgación de los datos personales, debe obedecer a una finalidad[210]constitucionalmente legítima, definida de manera clara, suficiente y previa; de tal forma que queda prohibida la recopilación de datos sin la clara especificación acerca de la finalidad de los mismos, así como el uso o divulgación de datos para una finalidad diferente a la inicialmente prevista."  

Como una consecuencia de esta última directriz, se encuentra el principio de utilidad. En virtud de éste, la ausencia de la misma se traduce en un abuso del derecho. En este sentido, en la sentencia T-119 de 1995, la Corte consideró que la sola autorización de funcionamiento de las entidades administradoras de datos, no constituía garantía de la legitimidad de sus conductas.". En consecuencia, tanto el acopio, el procesamiento y la divulgación de los datos personales, "debe cumplir una función determinada, como expresión del ejercicio legítimo del derecho a la administración de los mismos; por ello, está prohibida la divulgación de datos que, al carecer de  función, no obedezca a una utilidad clara o determinable."

Según el principio de veracidad[212], los datos personales deben obedecer a situaciones reales, deben ser ciertos, de tal forma que se encuentra prohibida la administración de datos falsos o erróneos.

En la sentencia SU-082 de 1995, esta Corporación fijó el principio de integridad en el manejo de los datos. Bajo su amparo, se prohibió que el manejo de los datos fuese incompleto, en razón a que esta situación puede distorsionar la veracidad de la información.  En dicha oportunidad, la Corte decidió tutelar los derechos de un usuario del sistema financiero que había sido afectado con una información incompleta. Por lo tanto, se ordenó a la entidad administradora de datos, completar la información acerca del comportamiento comercial del actor. En consecuencia, en virtud de aquél principio "la información que se registre o se divulgue a partir del suministro de datos personales debe ser completa, de tal forma que se encuentra prohibido el registro y divulgación de datos parciales, incompletos o fraccionados. Con todo, salvo casos excepcionales, la integridad no significa que una única base de datos pueda compilar datos que, sin valerse de otras bases de datos, permitan realizar un perfil completo de las personas."[213]

Del principio de circulación restringida, se exige que "la divulgación y circulación de la información está sometida a los límites específicos determinados por el objeto de la base de datos, por la autorización del titular y por el principio de finalidad, de tal forma que queda prohibida la divulgación indiscriminada de los datos personales".

En la sentencia T-307 de 1999 la Corte determinó el alcance del principio de la incorporación. Allí, se estudió el caso de una actora que después de intentar infructuosamente durante varios años su inclusión al régimen subsidiado de salud mediante el sistema SISBEN, nunca pudo disfrutar de los beneficios en razón del mal manejo de la información. Por ello, a partir de la existencia del llamado habeas data aditivo, se dijo cuando de la inclusión de datos personales en determinadas bases, deriven situaciones ventajosas para el titular, la entidad administradora de datos estará en la obligación de incorporarlos, si el titular reúne los requisitos que el orden jurídico exija para tales efectos, de tal forma que queda prohibido negar la incorporación injustificada a la base de datos.

Según el principio de caducidad, la información desfavorable al titular "debe ser retirada[214] de las bases de datos siguiendo criterios de razonabilidad y oportunidad, de tal forma que queda prohibida la conservación indefinida de los datos después que han desaparecido las causas que justificaron su acopio y administración."

Finalmente, la jurisprudencia ha desarrollado el principio de individualidad según el cual queda prohibida la conducta dirigida a facilitar cruce de datos a partir de la acumulación de informaciones provenientes de diferentes bases de datos[215]

Los estándares internacionales en materia de principios que rigen el derecho a la autodeterminación informática

El sistema de protección Europeo fue el primero, en el año de 1981, en instar a los miembros de la Comunidad a adoptar en sus legislaciones internas unos principios mínimos de protección, ante el surgimiento de grandes bases de información que podían poner en riego los derechos de los ciudadanos. El artículo 5 del Convenio No. 108 del 28 de agosto establece que los datos deben regirse al amparo de las siguientes directrices:

"ser obtenidos legalmente y tratados de la misma forma,

ser registrados para finalidades específicas y lícitas, por lo que no podrán ser utilizados con distintos fines,

ser adecuados, pertinentes y acordes con las finalidades para las cuales fueron previstas,

ser exactos y puestos al día,

ser conservados de tal forma que permita la identificación de las personas que fueron concernidas durante un periodo de tiempo que no exceda del necesario para el cual fue registrado."

Éste último literal, guarda relación con lo que podría llamarse el principio de temporalidad, entendido éste como aquél que ordena que el dato no podrá ser utilizado más allá del tiempo para el que fue previsto, y por lo tanto, la consecuencia natural de ello, es su exclusión de la base de datos dentro de la cual fue registrado, con el fin de evitar que la información allí consignada pueda ser usada para fines distintos, como aquellos con propósitos ilícitos o fraudulentos o de carácter comercial.

En los años noventa fueron adoptados dos instrumentos internacionales relacionados con el manejo de los datos. El primero, la Resolución 45/95 del 14 de diciembre de 1990 de la Organización de las Naciones Unidas, y el segundo, la Directiva 95/46/CE del Parlamento Europeo y del Consejo de la Unión.

La Resolución 45/95 de la ONU, "principios rectores sobre la reglamentación de ficheros computarizados de datos personales" desarrolla los siguientes:

Principio de la licitud y lealtad. Está dirigido concretamente a que la información de las personas no sea recolectada en forma ilícita ni utilizarse para fines contrarios a los propósitos y principios de la Carta de las Naciones Unidas.

Principio de exactitud. Pretende que las personas encargadas del tratamiento deben verificar la exactitud y certeza de los datos, procurando la actualización periódica de los mismos.

Principio de finalidad: La finalidad para la cual es utilizada la información contenida en ficheros, debe ser específica y clara. Igualmente, debe comunicársele al titular de la información sobre su utilización, para que pueda asegurarse que:

"Todos los datos personales reunidos y registrados siguen siendo pertinentes a la finalidad perseguida"

Ninguno de esos datos personales es utilizado o revelado sin el consentimiento de la persona interesada, con un propósito incompatible con el que se haya especificado.

El periodo de conservación de los datos personales no excede del necesario para alcanzar la necesidad con que se han registrado."

Principio de acceso a la persona interesada. Permite al usuario, una vez identificado, conocer si la información que se relaciona con su información personal está siendo utilizada y a obtener las correcciones necesarias cuando la información es inexacta y a que se le informe si los datos han sido transmitidos a terceros. En este sentido, el propio mandato señala una posibilidad para que en cada ordenamiento se cree una herramienta jurídica que le permita al usuario ejercer un recurso. Señala expresamente la Resolución:

"Debería preverse una vía de recurso, en su caso, ante la autoridad encargada del control de conformidad con el principio 8 infra. En caso de rectificación, el costo debería rectificarlo el responsable del fichero [quien trata la información]. Es conveniente que las disposiciones de este principio s e apliquen a todas las personas, cualquiera que sea su nacionalidad o su residencia"

Principio de no discriminación. Prohíbe el registro de datos que puedan generar en la persona algún tipo de discriminación, en particular sobre el origen racial o étnico, color, vida sexual, opiniones políticas, convicciones religiosas, filosóficas o de otro tipo, o sobre la participación en una asociación o la afiliación a un sindicato.

Facultad de establecer excepciones: Permite establecer excepciones respecto de los principios 1 a 4, cuando se trate de: i) proteger la seguridad nacional, ii) el orden público, iii) la salud o la moral pública y iv)"en particular, los derechos y libertades de los demás, especialmente de personas perseguidas (cláusula humanitaria), a reserva de que estas excepciones se hayan previsto expresamente por la ley o por una reglamentación equivalente, adoptada de conformidad con el sistema jurídico nacional, en que se definan expresamente  los límites y se establezcan las garantías apropiadas".

Principio de seguridad: Se deberán adoptar medidas necesarias para proteger los ficheros contra riesgos naturales, como la pérdida accidental o la destrucción por siniestro, y contra los riesgos humanos, como el acceso sin autorización, la utilización encubierta de datos o la contaminación por virus informático.

Principio relativo a los controles y sanciones: "Cada legislación debería designar a la autoridad que, de conformidad con el sistema jurídico interno, se encarga de controlar el respeto de los principios anteriormente enunciados". Conforme este postulado, la autoridad debe ofrecer garantía de imparcialidad, independencia respecto de organismos o personas responsables del procesamiento de datos y su aplicación. Igualmente, señala que debería preverse sanciones penales o de otro tipo, cuando se violen las disposiciones de cada legislación.

Principio sobre el flujo de datos a través de las fronteras. El flujo de información entre dos países o más, puede darse siempre y cuando sus legislaciones sean comparables respecto de la garantía de protección de la vida privada, para que la información pueda correr libremente como en el país de origen. Finalmente dispone que "cuando no haya garantías comparables, no se podrán obtener limitaciones injustificadas a dicha circulación, y solo en la medida que así lo exija la protección de la vida privada".

Por su parte, la  Directiva 95/46/CE, sistematiza las directrices del manejo de los datos y reconoce que tales disposiciones se encuentran encaminadas a "la protección de las libertades y de los derechos fundamentales a las personas físicas y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de datos personales" (artículo 1). El instrumento divide los principios en dos categorías: (i) los relativos a la calidad del dato y (ii) los concernientes a la legitimidad en el manejo de la información.

En relación con los primeros dispone (artículo 6) que los datos personales sean: "(i) Tratados de manera leal y lícita, (ii) Recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines; no se considerará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando los Estados miembros establezcan las garantías oportunas, (iii) Adecuados,  pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente, (iv) Exactos y, cuando sea necesario, actualizados; deberán tomarse las medidas razonables para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados, (v) Conservados en una forma que permita la identificación de los interesados durante un periodo no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente. Los Estados miembros establecerán las garantías apropiadas para los datos personales archivados por un periodo más largo al mencionado, con fines históricos, estadísticos o científicos."

En cuanto a los segundos, la Directiva establece que el manejo de los datos sólo puede realizarse con el consentimiento inequívoco del titular y cuando es necesario : (i) "para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales.", (ii)"para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento", (iii) "para proteger el interés vital del interesado",(iv) para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos" y (v) para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 de la presente directiva".

Del literal b) al f) se presentan una serie de eventos en que es efectivo y sí pueden tratarse los datos personales, sin autorización del titular. No obstante, dicha libertad para usar datos por parte de quien los trata siempre va a tener un componente que la limite, esto es "el interés vital del interesado". El interés vital del interesado puede asociarse con la no afectación de su esfera de intimidad o que la información tratada ponga en riesgo su integridad física o mental. En todo caso, la protección del individuo prima sobre cualquier otro derecho que se genere a partir del tratamiento de datos, es decir, podría decirse que las medidas adoptadas por la Directiva 95 de la Unión Europea, responde a una filosofía garantista de los derechos individuales de sus conciudadanos.

Finalmente, el Convenio establece la prohibición de crear un perfil con base en el cruce de datos. Esto se traduce en la proscripción que las personas sean sometidas a efectos jurídicos adversos, a través de la evaluación de su personalidad, mediante un tratamiento automatizado de datos destinados a evaluar determinados aspectos de su personalidad, es lo que normalmente se denomina un "perfil del individuo", con base en el cruce de  datos almacenados en bases de información. El artículo 15 de la directiva prevé esta situación en la siguiente forma:

"Artículo 15

Los Estados miembros reconocerán a las personas el derecho a la no verse sometidas a una decisión con efectos jurídicos sobre ellas o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, como su rendimiento laboral, crédito, fiabilidad, conducta, etc."

Finalmente, en el ámbito interamericano, la Organización de los Estados Americanos, OEA, encargó al Comité Jurídico Interamericano elaborar varios informes sobre el acceso y protección de la información y los datos personales.  En noviembre de 2010, se expide el "Proyecto de principios y recomendaciones preliminares sobre la protección de datos". El trabajo realizado por el Comité Jurídico Interamericano señaló que existen dos sistemas de protección de bases de datos "el europeo es hoy el sistema más estricto de regulaciones estatales, con una legislación que rige la recolección de datos personales por el gobierno y las entidades privadas. El sistema de Estados Unidos sigue un criterio bifurcado, que permite que los sectores económicos regulen los datos personales recabados por el Estado. Por último, varios países de América Latina han elaborado mecanismos de protección de datos basados en el concepto de habeas data, que permite a las personas acceder a sus propios datos personales y otorga el derecho".

Ahora bien, teniendo como referente los documentos expedidos tanto a nivel de la Unión Europea como los generados en el entorno regional por algunos países en el continente americano, la OEA, diseñó un catálogo de 15 directrices, los cuales definió como "la base de la legislación sobre protección de datos en todo el mundo y que podrían servir de base para un instrumento internacional o una legislación modelo sobre protección de datos".

Los principios son: el principio de legitimidad y justicia -la legitimidad está relacionada a la licitud en el procesamiento de datos y la justicia, con base en la Resolución de Madrid[216], se refiere a que es injusto que al procesar los datos personales se dé lugar a discriminación contra la persona. El principio de propósito específico, de limitación y necesidad[217], el de transparencia[218], el de rendición de cuentas[219]. El principio de condiciones para el procesamiento de datos, que a su vez contiene las reglas para que se considere válido el procesamiento de datos, esto es que exista "a) consentimiento, b) interés legítimo del controlador, c) las obligaciones contractuales, d) una autoridad legal y e) circunstancias excepcionales, como cuando la información es necesaria para atenuar o evitar un perjuicio irremediable.".

El proyecto también señala como principios el de la revelación de información a los procesadores de datos, en virtud del cual el controlador puede usar tales sistemas si :a) asegure el nivel de protección y b) que el nivel de protección sea establecido por una relación contractual, el principio sobre las transferencias internacionales de datos,[220]el relativo al derecho a la persona al acceso a la información[221], el derecho de la persona para corregir y suprimir sus datos personales[222], el principio de garantía a objetar el procesamiento de datos personales[223], el derecho de corrección y supresión de datos personales[224], el principio sobre medidas de seguridad para proteger los datos personales[225] el de confidencialidad[226], el principio de control, cumplimiento y responsabilidad en el manejo de datos por parte del operador o principio de autoridad independiente que garantice la aplicación de la normatividad.

Se observa entonces que los distintos sistemas de protección de los derechos, tanto el universal, como los regionales instan a los Estados a establecer dentro de sus ordenamientos unos principios mínimos que han de regir el manejo de la información de datos, y por tanto, la interpretación de las directrices debe hacerse de conformidad con estos estándares de protección.

Los principios establecidos en el proyecto que se revisa y el análisis de su constitucionalidad

 Alcance del control

El artículo 4 del proyecto establece, los principios de legalidad en materia de tratamiento de datos, el de finalidad, de libertad, de veracidad o calidad, de transparencia, de acceso y circulación restringida, de seguridad y el principio de confidencialidad.

En primer lugar, cabe señalar que el proyecto acoge una clasificación especial de principios que no incluye la totalidad de los principios predicables de la administración de datos y que han sido desarrollados tanto por la jurisprudencia de esta Corporación, como por las normas internacionales sobre la materia. Sin embargo, tal y como se consideró en la Sentencia C-1011 de 2008, al estudiar la constitucionalidad de los principios predicables a la administración de datos del sistema financiero y crediticio, las previsiones que integran el artículo 4 deben interpretarse de forma tal que resulten compatibles con la Carta Política. En consecuencia, si la Corte -intérprete autorizado de la Constitución-, ha definido a través de los principios de administración de datos personales el contenido y alcance del derecho fundamental al hábeas data, las normas estatutarias deberán interpretarse en armonía con el plexo de garantías y prerrogativas que integran ese derecho. Además, también serán analizados a la luz de los estándares internacionales sobre la materia.

Por otra parte, debe entenderse que la enunciación de estos principios no puede entenderse como la negación de otros que integren o lleguen a integrar el contenido del derecho fundamental al habeas data.

Análisis de la constitucionalidad de los preceptos

 Principio de legalidad en materia de tratamiento de datos: La Ley Estatutaria señala que el Tratamiento es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.

El principio encierra el principal objetivo de la regulación estatutaria: someter el tratamiento de datos a lo establecido en las normas, fijar límites frente a los responsables y encargados del tratamiento y garantizar los derechos de los titulares de los mismos. En estos términos, tal y como se explicó anteriormente, a partir del principio de libertad, la jurisprudencia constitucional señaló que el dato debía ser adquirido, tratado y manejado de manera lícita. Además, responde al llamado principio de licitud y lealtad al que se refieren los estándares internacionales sobre la materia.

 Principio de finalidad: En virtud de tal principio, el tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, la cual debe ser informada al titular.

La definición establecida por el legislador estatutario responde a uno de los criterios establecidos por la Corporación para el manejo de las bases de datos. Sin embargo, debe hacerse algunas precisiones.

Por una parte, los datos personales deben ser procesados con un propósito específico y  explícito. En ese sentido, la finalidad no sólo debe ser legítima sino que la referida información se destinará a realizar los fines exclusivos para los cuales fue entregada por el titular. Por ello, se deberá informar al Titular del dato de manera clara, suficiente y previa acerca de la finalidad de la información suministrada y por tanto,  no podrá recopilarse datos sin la clara especificación acerca de la finalidad de los mismos. Cualquier utilización diversa, deberá ser autorizada en forma expresa por el Titular.

Esta precisión es relevante en la medida que permite un control por parte del titular del dato, en tanto le es posible verificar si está siendo usado para la finalidad por él autorizada. Es una herramienta útil para evitar arbitrariedades en el manejo de la información por parte de quien trata el dato.

Así mismo, los datos personales deben ser procesados sólo en la forma que la persona afectada puede razonablemente prever. Si, con el tiempo, el uso de los datos personales cambia a formas que la persona razonablemente no espera, debe obtenerse el consentimiento previo del titular.

Por otro lado, de acuerdo la jurisprudencia constitucional y los estándares internacionales relacionados previamente, se observa que el principio de finalidad implica también: (i) un ámbito temporal, es decir que el periodo de conservación de los datos personales no exceda del necesario para alcanzar la necesidad con que se han registrado y (ii) un ámbito material, que exige que los datos recaudados sean los estrictamente necesarios para las finalidades perseguidas.

En razón de lo anterior, el literal b) debe ser entendido en dos aspectos.

Primero, bajo el principio de necesidad se entiende que los datos deberán ser conservados en una forma que permita la identificación de los interesados durante un periodo no superior al necesario para los fines para los que fueron recogidos. Es decir, el periodo de conservación de los datos personales no debe exceder del necesario para alcanzar la necesidad con que se han registrado.

En la Sentencia C-1011 de 2008[228], la Corporación reiteró la importancia de la existencia de unos criterios razonables sobre la permanencia de datos personales en fuentes de información. Además, sostuvo que este periodo se encuentra en una estrecha relación con la finalidad que pretende cumplir. Así, a partir del estudio de la jurisprudencia, construyó una doctrina constitucional comprehensiva sobre la caducidad del dato negativo en materia financiera y concluyó que dentro de las prerrogativas mismas del derecho al habeas data, se encuentra esta garantía, como una consecuencia del derecho al olvido. Sobre el particular observó la providencia:

"De acuerdo con lo señalado en el artículo 15 Superior, la Corte identifica como facultades que conforman el contenido del derecho al hábeas data, las de (i) conocer la información personal contenida en las bases de datos, (ii) solicitar la actualización de dicha información a través de la inclusión de nuevos datos y (iii) requerir la rectificación de la información no ajustada a la realidad.  Junto con las prerrogativas expuestas, la Corte, habida cuenta los precedentes jurisprudenciales anteriores que señalaban la necesidad de establecer un límite al reporte financiero negativo, estableció un nuevo componente del derecho al hábeas data, la de la caducidad del dato negativo."

(...)

La Corte reitera que los procesos de administración de datos personales de contenido crediticio cumplen un propósito específico: ofrecer a las entidades que ejercen actividades de intermediación financiera y, en general, a los sujetos que concurren al mercado, información relacionada con el grado de cumplimiento de las obligaciones suscritas por el sujeto concernido, en tanto herramienta importante para adoptar decisiones sobre la suscripción de contratos comerciales y de crédito con clientes potenciales.  Esta actividad es compatible con los postulados superiores, pues cumple con propósitos legítimos desde la perspectiva constitucional, como son la estabilidad financiera, la confianza en el sistema de crédito y la protección del ahorro público administrado por los establecimientos bancarios y de crédito.  

Es precisamente la comprobación acerca de la finalidad específica que tienen los operadores de información financiera y crediticia la que, a su vez, permite determinar los límites al ejercicio de las actividades de acopio, tratamiento y divulgación de datos." (Resaltado fuera del texto)

Segundo, los datos personales registrados deben ser los estrictamente necesarios para el cumplimiento de las finalidades perseguidas con la base de datos de que se trate, de tal forma que se encuentra prohibido el registro y divulgación de datos que no guarden estrecha relación con el objetivo de la base de datos. En consecuencia, debe hacerse todo lo razonablemente posible para limitar el procesamiento de datos personales al mínimo necesario. Es decir, los datos deberán ser: (i) adecuados, (ii) pertinentes y (iii) acordes con las finalidades para las cuales fueron previstos.

 Principio de libertad: El tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

Este principio, pilar fundamental de la administración de datos, permite al ciudadano elegir voluntariamente si su información personal puede ser utilizada o no en bases de datos. También impide que la información ya registrada de un usuario, la cual ha sido obtenida con su consentimiento, pueda pasar a otro organismo que la utilice con fines distintos para los que fue autorizado inicialmente.

El literal c) del Proyecto de Ley Estatutaria no sólo desarrolla el objeto fundamental de la protección del habeas data, sino que se encuentra en íntima relación con otros derechos fundamentales como el de intimidad y el libre desarrollo de la personalidad. En efecto, el ser humano goza de la garantía de determinar qué datos quiere sean conocidos y tiene el derecho a determinar lo que podría denominarse su "imagen informática".

Por su parte, la Asamblea General de Naciones Unidas, en Resolución 45/95 del 14 de diciembre de 1990, considero el consentimiento como el elemento esencial en el manejo de administración de los datos. Por su parte, la Directiva 95/46/CE[229] del Parlamento Europeo y del Consejo Europeo se refiere específicamente al consentimiento y lo define como "toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan." En consecuencia, dicho instrumento señala que los Estados miembros dispondrán que el tratamiento de datos personales sólo puede efectuarse si el interesado ha dado su consentimiento de forma inequívoca.

Fue en virtud del principio de libertad que la Corte Constitucional empezó a desarrollar los contenidos mínimos del derecho fundamental del habeas data. Así, en la sentencia T-414 de 1992[230] se estableció que en el Estado Constitucional, los procesos de administración de datos personales sólo eran legítimos a partir de la vigencia de la libertad del individuo, que involucraba necesariamente la potestad para permitir y controlar el acceso a su información personal. La providencia señaló:

"la posibilidad de acumular informaciones en cantidad ilimitada, de confrontarlas y agregarlas entre sí, de hacerle un seguimiento en una memoria indefectible, de objetivizarlas y transmitirlas como mercancía en forma de cintas, rollos o discos magnéticos, por ejemplo, permite un nuevo poder de dominio social sobre el individuo, el denominado poder informático. || Como necesario contrapeso, este nuevo poder ha engendrado la libertad informática. Consiste ella en la facultad de disponer de la información, de preservar la propia identidad informática, es decir, de permitir, controlar o rectificar los datos concernientes a la personalidad del titular de los mismos y que, como tales, lo identifican e individualizan ante los demás.  Es, como se ve, una nueva dimensión social de la libertad individual diversa, y por razón de las circunstancias que explican su aparición, de otras clásicas manifestaciones de la libertad.".  

De la misma forma, en la Sentencia T-176 de 1995[231] la Corporación dijo que la falta de consentimiento se traduce en una vulneración de los derechos al habeas data: "para que exista una vulneración del derecho al habeas data, debe desconocerse alguno de los tres aspectos enunciados. Es decir, la información contenida en el archivo debe haber sido recogida de manera ilegal, sin el consentimiento del titular del dato (i), ser errónea (ii) o recaer sobre aspectos íntimos de la vida de su titular no susceptibles de ser conocidos públicamente (iii). Por el contrario, el suministro de datos veraces, cuya circulación haya sido previamente autorizada por su titular, no resulta, en principio, lesiva de un derecho fundamental."

En igual sentido, en la Sentencia SU-082 de 1995[232], la Corte basó toda la ratio decidendi, en el concepto de autodeterminación informática, cuyo elemento esencial recaía en el consentimiento. Sobre la particular la Corte se preguntó: "¿Cuál es el núcleo esencial del habeas data? A juicio de la Corte, está integrado por el derecho a la autodeterminación informática y por la libertad, en general, y en especial económica. La autodeterminación informática es la facultad de la persona a la cual se refieren los datos, para autorizar su conservación, uso y circulación, de conformidad con las regulaciones legales." Esa posición ha sido reiterada, entre muchas otras, en las Sentencias T-580 de 1995, T-448 de 2004, T-526 de 2004, T-657 de 2005, T-T-684 de 2006, C-1011 de 2008, T-017 de 2011.

En materia de manejo de información personal, el consentimiento exigido es además, calificado, por cuanto debe ser previo, expreso e informado. Sobre el particular, en la Sentencia C-1011 de 2008 se sostuvo que tales características concretan la libertad del individuo frente al poder informático:

La libertad en la administración de datos personales significa que el sujeto concernido mantenga, en todo momento, las facultades de conocimiento, actualización y rectificación de la información personal contenida en las bases de datos.  Si ello es así, es evidente que la libertad del individuo ante el poder informático se concreta, entre otros aspectos, en la posibilidad de controlar la información personal que sobre sí reposa en las bases de datos, competencia que está supeditada a que exprese su consentimiento para la incorporación de la información en el banco de datos o archivo correspondiente. Este ejercicio de la libertad en los procesos informáticos, a juicio de la Corte, se concreta en la exigencia de autorización previa, expresa y suficiente por parte del titular de la información, requisito predicable de los actos de administración de datos personales de contenido comercial y crediticio. La eliminación del consentimiento del titular, adicionalmente, genera una desnaturalización del dato financiero, comercial y crediticio, que viola el derecho fundamental al hábeas data, en tanto restringe injustificadamente la autodeterminación del sujeto respecto de su información personal. Para la Constitución, la libertad del sujeto concernido significa que la administración de datos personales no pueda realizarse a sus espaldas, sino que debe tratarse de un proceso transparente, en que en todo momento y lugar pueda conocer en dónde está su información personal, para qué propósitos ha sido recolectada y qué mecanismos tiene a su disposición para su actualización y rectificación.  La eliminación de la autorización previa, expresa y suficiente para la incorporación del dato en los archivos y bancos de datos administrados por los operadores permite, en últimas, la ejecución de actos ocultos de acopio, tratamiento y divulgación de información, operaciones del todo incompatibles con los derechos y garantías propios del hábeas data.  (Resaltado fuera del texto)

En relación con el carácter previo, la autorización debe ser suministrada, en una etapa anterior a la incorporación del dato. Así por ejemplo, en la Sentencia T-022 de 1993[233], se dijo que la veracidad del dato no implica que el Responsable del Tratamiento no tenga el deber de obtener una autorización anterior. En igual sentido, la Sentencia T-592 de 2003[234] dijo que el derecho al habeas data resulta afectado cuando los administradores de la información recogen y divulgan hábitos de pago sin el consentimiento de su titular. La Corte expresó que el consentimiento previo del titular de la información sobre el registro de sus datos económicos "en los procesos informáticos, aunado a la necesidad de que aquel cuente con oportunidades reales para ejercer sus facultades de rectificación y actualización durante las diversas etapas de dicho proceso, resultan esenciales para salvaguardar su derecho a la autodeterminación informática."

En relación con el carácter expreso, la autorización debe ser inequívoca, razón por la cual, al contrario de lo sostenido por algunos intervinientes, no es posible aceptarse la existencia, dentro del ordenamiento jurídico colombiano, de un consentimiento tácito. Lo anterior, por varias razones:

En primer lugar, la jurisprudencia constitucional ha exigido tal condición y ha dicho que el consentimiento debe ser explicito y concreto a la finalidad específica de la base de datos.

En estos términos, en la Sentencia T-580 de 1995[235], al estudiar el envío de información a la Asociación Bancaria de Colombia, sin que existiera autorización previa  y expresa para ello, se concedió el amparo al considerar que se comprometió el derecho "a la autodeterminación informática o habeas data, dado que no existe autorización previa y expresa del titular del dato para hacerlo público". En el mismo sentido, esta Corporación en la sentencia de unificación SU-089 de 1995 tuteló entre otras razones porque no se pidió autorización expresa para reportar los datos. Sobre el particular la Sentencia T-580 de 1995 dijo: "Es requisito esencial para pasar legítimamente información crediticia a un banco de datos, el consentimiento expreso del titular. No existe disposición alguna que obligue a las entidades financieras a trasladar referencias comerciales o crediticias a centrales privadas de información, al margen de la autorización previa y expresa del titular del dato." En igual sentido, la Sentencia T-657 de 2005[236], donde se analizó el reporte negativo realizado por una inmobiliaria, se reiteró que la divulgación del dato deber ser "fruto de una autorización expresa y específica proveniente del titular."

Así mismo, en la sentencia T-729 de 2002[237], esta Corporación concedió la tutela, al sostener que el ente accionado no ajustó su actuar al principio de libertad, ya que procedió a publicar los datos del actor en la base en la Internet, sin su consentimiento. En dicha oportunidad se ordenó a la entidad accionada hacer cesar la conducta vulneratoria del derecho, "de tal forma que en adelante se abstenga de publicar, con posibilidad de acceso indiscriminado y sin el consentimiento previo y libre, información personal".

 

Es de resaltar la Sentencia T-592 de 2003[238], en la que se indicó que el consentimiento expreso se traducía también en la prohibición de otorgarse autorizaciones abiertas y no especificas. En este sentido, la Corporación consideró que no obstante haberse otorgado autorizaciones para reportar la información crediticia, las mismas eran "abiertas y accesorias a las operaciones de crédito" por lo que no denotaban un real consentimiento de los otorgantes "en cuanto no estuvieron acompañadas de la información oportuna sobre su utilización, aparejada del alcance del reporte, ni de su contenido y tampoco del nombre y ubicación de la encargada de administrar la información."

 

En segundo lugar, de una interpretación armónica de todo el articulado se deduce que el legislador estatutario tuvo una intención inequívoca que el consentimiento siempre fuese expreso. Así, desde el artículo 3 se dice que éste debe ser "previo, expreso e informado". Esto mismo se repite en el artículo 4. Posteriormente, el artículo 8 ordinal b), garantiza al Titular el derecho de solicitar prueba de la autorización, y señala que ésta sólo puede considerarse exceptuada en los casos consagrados en el artículo 10. El artículo 9 ordena que la autorización sea "obtenida por cualquier medio que pueda ser objeto de consulta posterior"

Por otro lado, el artículo 10 señala, en forma taxativa, los casos en que no se requiere autorización, y no hace referencia alguna a la existencia de un consentimiento tácito, lo cual necesitaría expresa autorización legal.

En relación con el carácter informado, el titular no sólo debe aceptar el Tratamiento del dato, sino también tiene que estar plenamente consciente de los efectos de su autorización. En este mismo sentido, en la Sentencia T-592 de 2003[239], la Corte señaló que la autorización debe ser cualificada y debía contener una explicación de los efectos de la misma. Además, a pesar de que se presente la autorización, el Responsable y Encargado del Tratamiento debe actuar de buena fe. Sobre el particular se dijo:

"Por tanto, así el usuario de servicios financieros predisponga –como de ordinario acontece- que terceros sean informados sobre su situación patrimonial y hábitos de pago, el receptor de la autorización está en el deber de informarle cómo, ante quien, desde cuándo y por cuánto tiempo su autorización será utilizada, porque una aquiescencia genérica no subsume el total contenido de la autodeterminación informática, prevista en la Carta Política para que a los asociados les sea respetada su facultad de intervenir activamente y sin restricciones, durante las diversas etapas del proceso informático.

En consecuencia el acreedor abusa de la previa autorización, impelida por él y así mismo otorgada por su deudor, cuando, fundado en aquella, divulga datos específicos sin enterar a su titular debidamente, así crea contar para el efecto con la aquiescencia sin límites del afectado, porque el postulado de la buena fe obliga a las partes a atemperar los desequilibrios contractuales, en todas las etapas de la negociación, en los términos del artículo 95 constitucional."

De todo lo anterior, puede entonces deducirse: (i) los datos personales sólo pueden ser registrados y divulgados con el consentimiento libre, previo, expreso e informado del titular. Es decir, no está permitido el consentimiento tácito del Titular del dato y sólo podrá prescindirse de él por expreso mandato legal o por orden de autoridad judicial, (ii) el consentimiento que brinde la persona debe ser definido como una indicación específica e informada, libremente emitida, de su acuerdo con el procesamiento de sus datos personales. Por ello, el silencio del Titular nunca podría inferirse como autorización del uso de su información y (iii) el principio de libertad no sólo implica el consentimiento previo a la recolección del dato, sino que dentro de éste se entiende incluida la posibilidad de retirar el consentimiento y de limitar el plazo de su validez.

 Principio de veracidad o calidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

La ley recoge dos de los principios desarrollados por la jurisprudencia: (i) el de veracidad y (ii) el principio de integridad de los datos. Según el primero, los datos personales deben obedecer a situaciones reales, actualizadas y comprobables. Bajo el segundo, se prohíbe que el manejo de los datos sea incompleto y pueda inducir a error.

 Principio de transparencia: El literal e) consagra que en el tratamiento debe garantizarse el derecho del titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.

No existe reparo de constitucionalidad sobre este principio, y por el contrario, establece el derecho del titular de acceder, en cualquier momento a la información que sobre él reposa en una base de datos. Sin embargo, debe precisarse que la información que debe ofrecerse al Titular de los datos debe ser cualificada y por tanto cuando procese datos personales, el Responsable o Encargado del Tratamiento  de datos debe ofrecer, como mínimo, la siguiente información a la persona afectada: (i) información sobre la identidad del controlador de datos, (ii) el propósito del procesamiento de los datos personales, (iii) a quien se podrán revelar los datos, (iv) cómo la persona afectada puede ejercer cualquier derecho que le otorgue la legislación sobre protección de datos, y (v) toda otra información necesaria para el justo procesamiento de los datos

De otra parte, debe entenderse que no sólo existe un derecho del Titular del dato de acceder a su información, sino que esta garantía implica que cuando de la inclusión de datos personales en determinadas bases, deriven situaciones ventajosas para el titular, la entidad administradora de datos estará en la obligación de incorporarlos, si el titular reúne los requisitos que el orden jurídico exige para tales efectos, de tal forma que queda prohibido negar la incorporación injustificada a la base de datos.

 Principio de acceso y circulación restringida: En razón de esta directriz, el Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, éste sólo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la presente ley. Además, se prohíbe que los datos personales, salvo información pública, se encuentren disponibles en Internet, a menos que se ofrezca un control técnico para asegurar el conocimiento restringido.

En relación con el primer inciso, deben hacerse las siguientes precisiones. Como se explicó anteriormente, esta Ley Estatutaria, al establecer las condiciones mínimas en el manejo de la información, no agota la regulación en materia de habeas data, y por tanto, el Tratamiento estará también sujeto a la normatividad que se expida posteriormente.

En cuanto al segundo inciso, la norma debe entenderse que también se encuentra prohibida toda conducta tendiente al cruce de datos entre las diferentes bases de información, excepto cuando exista una autorización legal expresa, es decir, lo que la jurisprudencia ha denominado el principio de individualidad del dato. Como consecuencia de lo anterior, queda prohibido generar efectos jurídicos adversos frente a los Titulares, con base, únicamente en la información contenida en una base de datos.

De otra parte, y en relación con ese segundo inciso, uno de los interviniente solicita a esta Corporación, declarar su constitucionalidad bajo los siguientes condicionamientos: (i) se debe evitar que los datos privados, semiprivados, reservados o secretos puedan estar junto con los datos públicos, y por tanto, los primeros no pueden ser objeto de publicación en línea, a menos que se ofrezcan  todos los requerimientos técnicos y (ii) se debe eliminar cualquier posibilidad de acceso indiscriminado, mediante la digitación del número de identificación a los datos personales del ciudadano.

Considera la Sala que tales condicionamientos no son necesarios, por cuanto la misma norma elimina estas posibilidades. En efecto: (i) prohíbe que los datos no públicos sean publicados en Internet y (ii) sólo podrían ser publicados si se ofrecen todas las garantías. De lo anterior se infiere que si el sistema permite el acceso con la simple digitación de la cédula, no es un sistema que cumpla con los requerimientos del inciso segundo del literal f) del artículo 4.

Sin embargo, debe reiterarse que el manejo de información no pública debe hacerse bajo todas las medidas de seguridad necesarias para garantizar que terceros no autorizados puedan acceder a ella. De lo contrario, tanto el Responsable como el Encargado del Tratamiento serán los responsables de los perjuicios causados al Titular.

De otra parte, cabe señalar que aún cuando se trate de información pública, su divulgación  y circulación está sometida a los límites específicos determinados por el objeto y finalidad de la base de datos.

 Principio de seguridad: Al amparo de este principio, la información sujeta a tratamiento por el responsable o encargado, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

De este principio se deriva entonces la responsabilidad que recae en el administrador del dato. El afianzamiento del principio de responsabilidad ha sido una de las preocupaciones actuales de la comunidad internacional, en razón del efecto "diluvio de datos"[240], a través del cual día a día la masa de datos personales existente, objeto de tratamiento y de ulterior transferencias, no cesa de aumentar. Los avances tecnológicos han producido un crecimiento de los sistemas de información, ya no se encuentran sólo sencillas bases de datos, sino que surgen nuevos fenómenos como las redes sociales, el comercio a través de la red, la prestación de servicios, entre muchos otros. Ello también aumenta los riegos de filtración de datos, que hacen necesarias la adopción de medidas eficaces para su conservación. Por otro lado, el mal manejo de la información puede tener graves efectos negativos, no sólo en términos económicos, sino también en los ámbitos personales y de buen nombre.

En estos términos, el Responsable o Encargado del Tratamiento debe tomar las medidas acordes con el sistema de información correspondiente. Así, por ejemplo, en materia de redes sociales, empieza a presentarse una preocupación de establecer medidas de protección reforzadas, en razón al manejo de datos reservados. En el año 2009, el Grupo de Trabajo Sobre Protección de Datos de la Unión Europea señaló que en los  Servicios de Redes Sociales" o "SRS debe protegerse la información del perfil en el usuario mediante el establecimiento de "parámetros por defecto respetuosos de la intimidad y gratuitos que limiten el acceso a los contactos elegidos".[241]

Existe entonces un deber tanto de los Responsables como los Encargados de establecer controles de seguridad, de acuerdo con el tipo de base de datos que se trate, que permita garantizar los estándares de protección consagrados en esta Ley Estatutaria.

 Principio de confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.

Esta norma no ofrece ningún reparo, y por el contrario, busca que los operadores de los datos sigan guardando el secreto de ciertos datos, aún cuando haya finalizado la relación con la fuente de información.

Otros principios que se entienden incluidos en el proyecto

Principios derivados directamente de la Constitución

Además de las obligaciones de