Cada día se crean productos, servicios y marcas en la web, por ello las dudas que surgen sobre la propiedad intelectual en la web son un tema de interes común que decidimos abordar en la Guía Propiedad Intelectual que tiene como objetivo brindarte un panoráma sobre el tema y abrir este espacio para el diálogo y las preguntas que vayan surgiendo.

La guía para su libre consulta.

Introducción
Derechos de autor y derechos conexos
Limitaciones y excepciones al derecho de autor
Autogestión o gestión colectiva
El libre licenciamiento de obras
Nombres de dominio, marcas y posibles ciber delitos
Sobre las patentes y la sostenibilidad del software libre
Nuevas formas de gestión
Sobre las leyes que limitan la creatividad
Dirección estratégica del derecho de autor a futuro

Espero la disfruten.

Anonymus1 ha sufrido un ataque coordinado por uno de sus mismos miembros identificado bajo el alias de Ryan. El golpe dado en momento coyuntural donde la legión ha hecho su presencia en Colombia bajo el marco de la ley Lleras o proyecto de ley 241 de 2011 nos inquieta bastante, pues estamos entrando a trabajar con la imagen única e irrepetible de una persona en su ámbito digital.

Y es que el ataque que reveló aproximadamente 653 direcciones IP, puede poner en una situación bastante incómoda a los legionarios colombianos que participaron en la protesta que tumbó los sitios de presidencia, ministerio de defensa, entre otros, realizado remotamente desde España, según el ministro Rivera.
De acuerdo a diversos pronunciamientos recientes y diversas legislaciones como la norteamericana y francesa en marco de legislaciones como la DMCA2 y HADOP3 prevemos una situación probatoria más complicada para los legionarios que las direcciones IP y es el uso de sus nombres y/o seudónimos que usualmente requieren contraseña, dentro de su red de comunicación, cosa de la cual se cuidan mucho las personas que participan en determinadas redes sociales de libre uso con servidores poco vulnerables y remotos que en concurrencia con usos no autorizados de la máquina que puedan ser alegados tendrían en aprietos a los investigadores forenses.
Todavía los organismos investigadores colombianos tienen dificultades probatorias para implementar la ley 1273 de 2009, y según algunos expertos es imposible demostrar que no se accedió abusivamente a la máquina identificada bajo la IP como “atacante”, desde otra, remotamente mediante un acceso abusivo informático. Esto suscita inquietud en varios sectores pues ante la creciente tendencia en implementar leyes que consideren internet como un servicio y no como un derecho humano acorde a las últimas consideraciones de las Naciones Unidas.

Frente a los datos de los ciudadanos que se vean comprometidos y acorde a las diversas legislaciones y que aún carecemos en Colombia pues nos encontramos Ad Portas de nuestra ley de datos integral o Ley Estatutaria número 184 de 2010 del senado, 046 de 2010 de la cámara.
Acorde a nuestra Constitución Política de 1991 consagramos el derecho a la intimidad y al buen nombre en el Art. 15, lo cual lo pone dentro de los Derechos Fundamentales de la Carta Política que pueden ser sujetos de Acción de Tutela4. La necesidad es apremiante para la aprobación de La Ley de Datos Integral5 .
Si bien existía la llamada ley de hábeas data o ley 1266 de 2008 esta solamente regulaba el dato financiero dejando de lado la administración de datos personales. Enhorabuena esta noticia para comenzar la década con el pie derecho, como debe ser.

La discusión en España se ha centrado ahora en que Google alega un derecho universal a enlazar contenido, lo cual es refutado por la AEPD (Agencia Española de Protección de Datos) como un derecho que no prima sobre los derechos fundamentales de los ciudadanos.
En la actual guerra de las industrias de contenido en contra de los consumidores de cultura me lleva a reflexionar ciertamente sobre derechos personalísimos como el honor, la reputación, la identidad y la privacidad, todas en nuestra más clara extensión de nuestra personalidad a mundos intangibles pero igualmente sujetos de derecho. Ni la muerte circunstancial de una persona en la calle quedaría en privado o tan solo en la mente de los desafortunados presentes. Sería casi inevitable acabar en un programa de televisión de realismo donde entretenemos con accidentes y tragedias de la vida real.
Este tipo de derechos que adquieren una nueva dimensión en la vida digital pues ate posibilidades como la necesidad de tener varios nombres a través de la vida en un medio como internet que no olvida y que no tiene normatividad clara en protección de datos en ciertos países.

Aseguran juristas como Jonathan Zittrain se encuentran de acuerdo con una figura de bancarrota de imagen planteada por Daniel Solove en su obra The Future Of Reputation, pues los aspectos de la reputación de la persona se han extendido a muchos ámbitos, y es claro que contemplamos la extensión de la personalidad de los ciudadanos de carne y hueso en la red como una realidad. Esto es claramente un intento de derecho al olvido actualmente muy en boga en los tribunales y doctrinantes del mundo.
La búsqueda es un pilar fundamental de Internet y la reputación es socia indispensable de esta, es una herramienta fundamental para ayudarnos a sortear los millones de bites de información que hay en la red.
Existen diferentes maneras de manejar reputaciones en red y cada una de acuerdo a la política del propietario del site. Por ejemplo, la reputación manejada en sitios como E Bay, Mercadolibre y Deremate, donde los usuarios se encargan de darle puntos o restarlos a vendedores de acuerdo a su comportamiento en la plataforma. También calificando contenido que es preferido por los usuarios es otra forma de manejar reputación online, por terceros por supuesto, en esta era donde el Crowdsourcing manda.

La problemática causada por el SEO (search Engine Optimization) a los grandes buscadores es algo que debería contar de un estudio más exhaustivo pues se ha alterado evidentemente las búsquedas dentro de servicios fundamentales al día de hoy en la red de los ciudadanos digitales latinoamericanos.
El link building o el linkbaiting han ido convirtiéndose en algunos sectores en SPAM y una conducta denominada como spamindexing donde eventualmente el buscador no tiene herramientas efectivas para hacer prevalecer sus términos de uso lo cual vulnera la reputación y relevancia en los buscadores haciéndolos irrelevantes e inservibles.

La importancia de la reputación es tal que nos indica que leer, que comprar, a quien. Cuál es el siguiente pasó a seguir y ya antes lo había dicho google, su directriz para los próximos años no es centrarse en la búsqueda sino en sugerir que debe hacer el internauta o hacia dónde dirigirse. Nos indica también, en quien confiar, por quién votar, con quien salir. Es normal hoy en día meterse a Google para averiguar sobre una persona que nos inquieta o nos gusta.
Va mas allá Solove con sus inquietudes acerca de la reputación pues plantea que la comunión de las tecnologías de la información en su interacción con diversos ámbitos de la personalidad de los seres humanos inevitablemente terminará por transformar todos estos, pues imaginemos no más una selección de jurados donde se pueda saber todo lo posible de los candidatos en tiempo real sobre su reputación y buen nombre. Debemos considerar la persona y la sensibilidad de los datos como la medida para su adecuado manejo y acorde con los principios para tratamiento adecuado de datos personales.

Las plataformas de e goverment, e legislation y demás que aún no han sido concebidas van a permitir la verdadera socialización de nuestras leyes, y a eliminar trámites innecesarios y posiblemente una democracia real y directa, a través de construcción colectiva de leyes mediante wikis donde nos evitemos el gasto fiscal de un legislativo ineficiente y corrupto.
Las redes sociales en internet nos han puesto en posición dominante frente a la singularidad de los poderosos. La sociedad hoy día tiene más herramientas y que nunca para hacer sentir su parecer. Podemos convocar a una desobediencia civil cuando queramos, a un referendo mediante la coordinación de personas especializadas para poder sacarlo adelante, sin comprar sin corromper.
Los derechos de la identidad propia, la privacidad y la reputación están siendo comprendidas por redes sociales al parecer por fin de una manera seria. He sabido de la posibilidad de realizar encriptaciones a toda actividad realizada en Facebook.

La medida se ajusta a los principios de administración de datos personales que están siendo implementados en legislaciones de todo el mundo incluyendo a Colombia, pues nos encontramos muy cerca de contar con una ley acorde a esta materia. La encriptación no cambiará mucho el uso de la red social, mas si traerá cambios significativos a la seguridad de la información pero si la implementación por defecto de los HTTPS o protocolo de hyper transferencia segura, lo cual no es más que la versión segura de la transferencia de datos por Internet a través de el protocolo http.
Este avance es muy importante para los periodistas que realizan trabajo a través de la red social Facebook y Twitter. También es de vital importancia para personas del común que realizan opiniones de temas sensibles como la política en países donde no existe la libertad de expresión, o donde se quiera implementar una censura sobre las páginas personales de Facebook.
Sería mucho más sencillo bloquear el servicio como un todo y asumir consecuencias políticas por censura en consecuencia. Pudimos observar estas conductas realizadas por regímenes autoritarios que terminaron siendo combatidos por su propio pueblo como en el caso de Egipto a comienzos de este año sin embargo, aplaudimos la inclusión de este servicio dentro de la oferta de privacidad de facebook. Sugerimos que se deban implementar los https por defecto para cada cuenta de usuario de cualquier red o administrador de datos personales.

Sin embargo como siempre en el balance del derecho a la privacidad encontramos el derecho a la información muy ligado por lo cual planteamos dos tesis una acorde para cada tipo de persona. El principio que debe primar para la persona natural debe ser la reserva y el respeto por su dignidad y su privacidad sobre datos sensibles. En cambio el enfoque debe ser diametralmente opuesto en cuanto a la privacidad comprendida dentro del funcionamiento de un Estado o el desempeño de los cargos públicos.
Mas allá de la libertad que tengan los gobiernos de guardar secretos en sus relaciones internacionales prima la necesidad de saber qué responsabilidad tienen nuestros encargados de administrar el Estado en las violaciones de derechos humanos por ejemplo. Qué razón puede primar antes que el derecho a la vida y a la dignidad humana.
Los tratadistas liberales cuestionan fuertemente las violaciones a las libertades individuales que realizan los regímenes comunistas en beneficio del Estado, mas ahora es el argumento principal para prohibir la libre circulación de la información filtrada por Wikileaks en el caso de los Estados Unidos de América.
Deben cuestionarse los Estados como proteger mejor su información clasificada, mas si el periodismo investigativo logra filtrarlos deben ser ellos quienes respondan penalmente por sus conductas puestas al descubierto.
Que diferencia a Estados Unidos de China en estos momentos en el tema de la censura por ejemplo es uno de los interrogantes.
Las inquietudes respecto a los datos y la privacidad de los ciudadanos digitales no solamente se contemplan frente a abusos de entidades públicas sino también privadas. La principal preocupación que surge es, ¿que le pueden pasar a los datos personales de los usuarios de un sitio como MySpace que, como ya sabemos está al borde de su quiebra?

Acorde a sus políticas de privacidad se contempla que:
1. No existe manifestación por parte de MySpace de borrar toda la información que los usuarios entregaron al sitio.2. Si los usuarios han otorgado permiso expreso, MySpace podrá compartir los datos con terceros.3.MySpace manifiesta que frente a la aprobación por parte del usuario puede compartir la información personal de sus usuarios si tiene una razón de negocios para ello.4.Como adición MySpace en caso dado de venta de alguna parte de su negocio o en caso de alguna adquisición o fusión, MySpace podrá transferir toda tu información personal a la parte o partes envueltas en la transacción como uno de sus activos.
Debemos tener en cuenta que la manifestación por parte del usuario debe ser expresa de acuerdo a los principios que rigen el tratamiento de datos personales. Esto no los detendría pues podrían en cierta manera incluir en las políticas de privacidad algo como “las políticas de privacidad actuales seguirán rigiendo los datos de los usuarios a menos que se haya informado sobre cambios en estas y no hayan sido debidamente objetadas por el usuario”, caso que puede realizarse perfectamente mediante un mail que podría ser ignorado por la mayoría de sus usuarios inactivos.
Esto es un perfecto ejemplo sobre que puede pasar con la información que suministramos en nuestras redes sociales y demás Online Service Providers. La arquitectura de estos sistemas mencionados anteriormente de reputaciones en red debería ser revaluada. Por ejemplo en sistemas como E Bay se reflejaría positivamente en sus ganancias anuales si se tuviera certeza de las identidades de los participantes. No sería como muchos usuarios dicen, suerte. No se trataría de un individuo que tiene varias cuentas fantasmas. Podría este re diseño de arquitecturas de red mejorar la calidad de proyectos colaborativos de la talla de Wikipedia, por mencionar tan solo un ejemplo. Deberá este nuevo sistema proteger al individuo que realiza la contribución frente a los demás y asegurar que su identidad es conocida tan solo por el site. Así mejoraremos la calidad del servicio y protegeríamos la reputación del contribuyente.
En la medida que la identidad crece como un jugador indispensable en la red, surgen inquietudes de crear figuras de bancarrota de imagen que permitan mermar el énfasis que se hace sobre ciertos aspectos asociados a nuestra identidad, que no necesariamente registran nuestra realidad actual. Por ejemplo, opiniones políticas, actividades juveniles, gustos o disgustos. Esto tiene vital importancia cuando las políticas de privacidad de sites como Facebook cambiaron en un año más de 6 veces, y conversaciones en salones privados de solo 12 participantes que en un comienzo fueron privadas, fueron luego a salir entre los resultados más relevantes de Google.El anterior es mi caso personal, por lo cual se me ocurrió intentar engañar a la maquina cambiando mi nombre de Facebook. Sin embargo, 3 meses después aun muestra lo mismo, junto con el antiguo nombre y la opinión expresada. Todo esto en un salón que debería haber sido privado, pues requería invitación para poder participar en la discusión.
La bancarrota de imagen posiblemente vaya a funcionar eliminando tanto lo bueno como lo malo, por ser muy dispendioso y subjetivo seleccionar que eliminar o que no. Pero debería ser una herramienta disponible y debidamente reglamentada por ser una manifiesta necesidad.
Miles de ciudadanos europeos han solicitado ser removidos de GoogleStreetView. “La Stasi se pondría verde de la envidia si pudiera recopilar este tipo de datos” han dicho medios alemanes, reflejando la situación en este país europeo.
Pero porque nos debería inquietar esto? Se preguntarán algunos y lamento aguar la fiesta tecnológica pero es que el street view ha fallado sistemáticamente en el pasado lo cual nos preocupa con respecto al manejo de la información personal que también en otras ocasiones excusó a la empresa del dont be evil por la pérdida de información personal de ciudadanos que tenían sus redes abiertas.
El problema es que en Alemania y en otros países se han presentado irregularidades en la recolección de información de redes WiFi no encriptadas de personas del común. Nos preocupa esta actitud de google cuando hasta ahora está entrando en algunos países de Latinoamérica.

Schmidt ex CEO de google afirmó en el pasado que “Google sabe más o menos quien eres, que te importa, quienes son tus amigos, y además cuál es tu ubicación con margen de error de un pie”, también que “la gente no está lista para la revolución tecnología que se les viene”, y además juntando estas opiniones con las anteriores de Schmidt respecto que a la absoluta privacidad en el futuro será considerada “demasiado peligrosa”.
Pues acorde a esto en un respectivo análisis de nuestra dignidad como ciudadanos de países libres considero que debemos considerar como demasiado peligrosas conductas como las cometidas por una empresa multinacional que genera billones de dólares en ganancias y que en contraposición no tienen consideración alguna por des indexar contenido no deseado de los ciudadanos digitales en claro desprecio a un derecho al olvido. Temo informales queridos lectores de esta prestigiosa revista que Google hace más o menos tres años había decidido cambiar su motto de dont be evil por Google is evil.
Como ya sabíamos todos que Google, conoce mucho acerca de nosotros, pero sabes cuánto?
El site Boing boing nos ha mostrado un link que te permitirá informarte acerca de que es lo que Google sabe acerca tuyo. Esto con contrapropuestas legislativas como las planteadas por el partido pirata suecoi donde proponen crear un ISP que proteja la privacidad de sus usuarios, y además abogue por proteger el uso de tecnologías P2P y Torrent.

El Piratpartiet acompañara el esfuerzo realizado por The Pirate Bay para combatir las políticas restrictivas con la libre cultura y los contenidos libres. Este servicio proveerá de anonimato a sus usuarios frente a la guerra declarada por la industria a sus consumidores y de paso lograr apoyo político y financiación.
Me permito destacar este esfuerzo ante la sociedad de vigilancia a la cual nos estamos entregando. Al ser el gran hermano The Pirate Bay y estar del lado de los consumidores culturales se puede evidenciar un avance en el compartir libremente contenidos. Con partidos como este y legislación creada en interacción directa en una democracia directa realmente se estará cambiando el mundo.
En mi caso personal, me inquieta ver como los baners de mi correo electrónico contienen las frases mas claves de mis comunicaciones privadas.Esto es tan sólo muchas de las inquietudes que me comentaba mi querido amigo Winston Smith7.

Autor: Sergio Augusto Ovalle

BIBLIOGRAFÍA
Daniel Solove The Future of Reputation http://docs.law.gwu.edu/facweb/dsolove/Future-of-Reputation/text/futureofreputation-ch6.pdf
www.sergioaovalle.wordpress.com

Referencias
1) http://es.wikipedia.org/wiki/Anonymous
2) http://es.wikipedia.org/wiki/Digital_Millennium_Copyright_Act
3) http://en.wikipedia.org/wiki/HADOPI_law
4) http://es.wikipedia.org/wiki/Acci%C3%B3n_de_tutela
5) http://www.habeasdata.org.co/wp-content/uploads/2010/12/Informe-Conciliaci%C3%B3n1.pdf
6) http://es.wikipedia.org/wiki/Partido_Pirata_%28Suecia%29
7) http://es.wikipedia.org/wiki/Winston_Smith

Infographic by Veracode Application Security

Es de utilidad para los consumidores y obligatorio cumplimiento para las empresas. De interés para nuestro ámbito investigativo de ciber derecho y e commerce. Obliga a proveedores en Colombia que ofrezcan productos o servicios por medios electrónicos, que informen debidamente sobre la oferta. Introduce el derecho de retracto y de revisión de pago y otorga a la SIC (Super Industria y Comercio) la facultad de bloquear el sitio ante el incumplimiento de estas nuevas obligaciones.

Introduce la necesidad de una garantía obligatoria frente al producto, que debe ser informada en el tiempo de validez, en caso de no cumplirse esto, se presumirá que la garantía es de un año. Prohíbe las clausulas abusivas en detrimento de los intereses del consumidor lo cual considero de importancia magna.

Busca agilizar los trámites en reclamaciones de protección al consumidor. En fin este año vislumbramos la agenda legislativa mas ambiciosa que este bloguero recuerde. Estudiaremos mas a fondo este nuevo Estatuto.

Norma revisada
“TEXTO CONCILIADO DEL PROYECTO DE LEY ESTATUTARIA NÚMERO 184 DE 2010 SENADO, 046 DE 2010 CÁMARA
“por la cual se dictan disposiciones generales para la protección de datos personales”
El Congreso de Colombia
DECRETA:
TÍTULO I
OBJETO, ÁMBITO DE APLICACIÓN Y DEFINICIONES
Artículo 1°. Objeto. La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma.
Artículo 2°. Ámbito de aplicación. Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada.
La presente ley aplicará al Tratamiento de datos personales efectuado en territorio colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales.
El régimen de protección de datos personales que se establece en la presente ley no será de aplicación:
a) A las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico.
Cuando estas bases de datos o archivos vayan a ser suministrados a terceros se deberá, de manera previa, informar al Titular y solicitar su autorización. En este caso los Responsables y Encargados de las bases de datos y archivos quedarán sujetos a las disposiciones contenidas en la presente ley.
b) A las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo.
c) A las bases de datos que tengan como fin y contengan información de inteligencia y contrainteligencia.
d) A las bases de datos y archivos de información periodística y otros contenidos editoriales.
e) A las bases de datos y archivos regulados por la Ley 1266 de 2008.
f) A las bases de datos y archivos regulados por la Ley 79 de 1993.
Parágrafo. Los principios sobre protección de datos serán aplicables a todas las bases de datos, incluidas las exceptuadas en el presente artículo, con los límites dispuestos en la presente ley y sin reñir con los datos que tienen características de estar amparados por la reserva legal. En el evento que la normatividad especial que regule las bases de datos exceptuadas prevea principios que tengan en consideración la naturaleza especial de datos, los mismos aplicarán de manera concurrente a los previstos en la presente ley.

Artículo 3°. Definiciones. Para los efectos de la presente ley, se entiende por:

a) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.

b) Base de datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.

c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

d) Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.

e) Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.

f) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.

g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
TÍTULO II
PRINCIPIOS RECTORES

Artículo 4°. Principios para el tratamiento de datos personales. En el desarrollo, interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los siguientes principios:

a) Principio de legalidad en materia de tratamiento de datos: el tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.

b) Principio de finalidad: el tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, la cual debe ser informada al titular.

c) Principio de libertad: el tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

d) Principio de veracidad o calidad: la información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

e) Principio de transparencia: en el tratamiento debe garantizarse el derecho del titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.

f) Principio de acceso y circulación restringida: el tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el tratamiento sólo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la presente ley.

Los datos personales, salvo la información pública, no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a la presente ley.

g) Principio de seguridad: la información sujeta a tratamiento por el responsable del tratamiento o encargado del tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

h) Principio de confidencialidad: todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.

TÍTULO III
CATEGORÍAS ESPECIALES DE DATOS

Artículo 5°. Datos sensibles. Para los propósitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

Artículo 6°. Tratamiento de datos sensibles. Se prohíbe el Tratamiento de datos sensibles, excepto cuando:

a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.

b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.

c) El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular.

d) El Tratamiento se refiera a datos que el Titular haya hecho manifiestamente públicos o sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

e) El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.

Artículo 7°. Derechos de los niños, niñas y adolescentes. En el Tratamiento se asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes.

Queda proscrito el Tratamiento de datos personales de niños, niñas y adolescentes, salvo aquellos datos que sean de naturaleza pública.

Es tarea del Estado y las entidades educativas de todo tipo proveer información y capacitar a los representantes legales y tutores sobre los eventuales riesgos a los que se enfrentan los niños, niñas y adolescentes respecto del Tratamiento indebido de sus datos personales, y proveer de conocimiento acerca del uso responsable y seguro por parte de niños, niñas y adolescentes de sus datos personales, su derecho a la privacidad y protección de su información personal y la de los demás. El Gobierno Nacional reglamentará la materia, dentro de los seis (6) meses siguientes a la promulgación de esta ley.

TÍTULO IV
DERECHOS Y CONDICIONES DE LEGALIDAD PARA EL TRATAMIENTO DE DATOS

Artículo 8°. Derechos de los titulares. El Titular de los datos personales tendrá los siguientes derechos:

a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.

b) Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la presente ley.

c) Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales.

d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen.

e) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión sólo procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución.

f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.

Artículo 9°. Autorización del titular. Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior.

Artículo 10. Casos en que no es necesaria la autorización. La autorización del Titular no será necesaria cuando se trate de:

a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.

b) Datos de naturaleza pública.

c) Casos de urgencia médica o sanitaria.

d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.

e) Datos relacionados con el Registro Civil de las Personas.

Quien acceda a los datos personales sin que medie autorización previa deberá en todo caso cumplir con las disposiciones contenidas en la presente ley.

Artículo 11. Suministro de la información. La información solicitada podrá ser suministrada por cualquier medio, incluyendo los electrónicos, según lo requiera el Titular. La información deberá ser de fácil lectura, sin barreras técnicas que impidan su acceso y deberá corresponder en un todo a aquella que repose en la base de datos.

El Gobierno Nacional establecerá la forma en la cual los Responsables del Tratamiento y Encargados del Tratamiento deberán suministrar la información del Titular, atendiendo a la naturaleza del dato personal. Esta reglamentación deberá darse a más tardar dentro del año siguiente a la promulgación de la presente ley.

Artículo 12. Deber de informar al titular. El Responsable del Tratamiento, al momento de solicitar al Titular la autorización, deberá informarle de manera clara y expresa lo siguiente:

a) El Tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo.

b) El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.

c) Los derechos que le asisten como Titular.

d) La identificación, dirección física o electrónica y teléfono del Responsable del Tratamiento.

Parágrafo. El Responsable del Tratamiento deberá conservar prueba del cumplimiento de lo previsto en el presente artículo y, cuando el Titular lo solicite, entregarle copia de esta.

Artículo 13. Personas a quienes se les puede suministrar la información. La información que reúna las condiciones establecidas en la presente ley podrá suministrarse a las siguientes personas:

a) A los Titulares, sus causahabientes o sus representantes legales.

b) A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.

c) A los terceros autorizados por el Titular o por la ley.

TÍTULO V
PROCEDIMIENTOS

Artículo 14. Consultas. Los Titulares o sus causahabientes podrán consultar la información personal del Titular que repose en cualquier base de datos, sea esta del sector público o privado. El Responsable del Tratamiento o Encargado del Tratamiento deberán suministrar a estos toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular.

La consulta se formulará por el medio habilitado por el Responsable del Tratamiento o Encargado del Tratamiento, siempre y cuando se pueda mantener prueba de esta.

La consulta será atendida en un término máximo de diez (10) días hábiles, contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

Parágrafo. Las disposiciones contenidas en leyes especiales o los reglamentos expedidos por el Gobierno Nacional podrán establecer términos inferiores, atendiendo a la naturaleza del dato personal.

Artículo 15. Reclamos. El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta ley, podrán presentar un reclamo ante el Responsable del Tratamiento o el Encargado del Tratamiento el cual será tramitado bajo las siguientes reglas:

1. El reclamo se formulará mediante solicitud dirigida al Responsable del Tratamiento o al Encargado del Tratamiento, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.

2. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
3. El término máximo para atender el reclamo será de quince (15) días hábiles, contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Artículo 16. Requisito de procedibilidad. El Titular o causahabiente sólo podrá elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante el Responsable del Tratamiento o Encargado del Tratamiento.

TÍTULO VI
DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO Y ENCARGADOS DEL TRATAMIENTO

Artículo 17. Deberes de los Responsables del Tratamiento. Los Responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.

b) Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular.

c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.

d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

e) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.

f) Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.

g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.

h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley.

i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.

j) Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley.

k) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos.

l) Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.

m) Informar a solicitud del Titular sobre el uso dado a sus datos.

n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

Artículo 18. Deberes de los Encargados del Tratamiento. Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.

b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

c) Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley.

d) Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles, contados a partir de su recibo.

e) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley.

f) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares.

g) Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en la presente ley.

h) Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.

i) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.

j) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.

k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

Parágrafo. En el evento en que concurran las calidades de Responsable del Tratamiento y Encargado del Tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos para cada uno.

TÍTULO VII
DE LOS MECANISMOS DE VIGILANCIA Y SANCIÓN

CAPÍTULO I
DE LA AUTORIDAD DE PROTECCIÓN DE DATOS

Artículo 19. Autoridad de protección de datos. La Superintendencia de Industria y Comercio, a través de una Delegatura para la Protección de Datos Personales, ejercerá la vigilancia para garantizar que en el Tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la presente ley.

Parágrafo 1°. El Gobierno Nacional en el plazo de seis (6) meses, contados a partir de la fecha de entrada en vigencia de la presente ley incorporará dentro de la estructura de la Superintendencia de Industria y Comercio un despacho de Superintendente Delegado para ejercer las funciones de Autoridad de Protección de Datos.

Parágrafo 2°. La vigilancia del tratamiento de los datos personales regulados en la Ley 1266 de 2008 se sujetará a lo previsto en dicha norma.

Artículo 20. Recursos para el ejercicio de sus funciones. La Superintendencia de Industria y Comercio contará con los siguientes recursos para ejercer las funciones que le son atribuidas por la presente ley:

a) Las multas que se impongan a los sometidos a vigilancia.

b) Los recursos que le sean destinados en el Presupuesto General de la Nación.

Artículo 21. Funciones. La Superintendencia de Industria y Comercio ejercerá las siguientes funciones:

a) Velar por el cumplimiento de la legislación en materia de protección de datos personales.

b) Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. Para el efecto, siempre que se desconozca el derecho, podrá disponer que se conceda el acceso y suministro de los datos, la rectificación, actualización o supresión de los mismos.

c) Disponer el bloqueo temporal de los datos cuando, de la solicitud y de las pruebas aportadas por el Titular, se identifique un riesgo cierto de vulneración de sus derechos fundamentales, y dicho bloqueo sea necesario para protegerlos mientras se adopta una decisión definitiva.

d) Promover y divulgar los derechos de las personas en relación con el Tratamiento de datos personales e implementara campañas pedagógicas para capacitar e informar a los ciudadanos acerca del ejercicio y garantía del derecho fundamental a la protección de datos.

e) Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley.

f) Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones.

g) Proferir las declaraciones de conformidad sobre las transferencias internacionales de datos.

h) Administrar el Registro Nacional Público de Bases de Datos y emitir las órdenes y los actos necesarios para su administración y funcionamiento.

i) Sugerir o recomendar los ajustes, correctivos o adecuaciones a la normatividad que resulten acordes con la evolución tecnológica, informática o comunicacional.

j) Requerir la colaboración de entidades internacionales o extranjeras cuando se afecten los derechos de los Titulares fuera del territorio colombiano con ocasión, entre otras, de la recolección internacional de datos personales.

k) Las demás que le sean asignadas por ley.

CAPÍTULO II

PROCEDIMIENTO Y SANCIONES

Artículo 22. Trámite. La Superintendencia de Industria y Comercio, una vez establecido el incumplimiento de las disposiciones de la presente ley por parte del Responsable del Tratamiento o el Encargado del Tratamiento, adoptará las medidas o impondrá las sanciones correspondientes.

En lo no reglado por la presente ley y los procedimientos correspondientes se seguirán las normas pertinentes del Código Contencioso Administrativo.

Artículo 23. Sanciones. La Superintendencia de Industria y Comercio podrá imponer a los Responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones:

a) Multas de carácter personal e institucional a favor de la Superintendencia de Industria y Comercio hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó.

b) Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.

c) Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio.

d) Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.

Parágrafo. Las sanciones indicadas en el presente artículo solo aplican para las personas de naturaleza privada. En el evento en el cual la Superintendencia de Industria y Comercio advierta un presunto incumplimiento de una autoridad pública a las disposiciones de la presente ley, remitirá la actuación a la Procuraduría General de la Nación para que adelante la investigación respectiva.

Artículo 24. Criterios para graduar las sanciones. Las sanciones por infracciones a las que se refieren el artículo anterior, se graduarán atendiendo los siguientes criterios, en cuanto resulten aplicables:

a) La dimensión del daño o peligro a los intereses jurídicos tutelados por la presente ley.

b) El beneficio económico obtenido por el infractor o terceros, en virtud de la comisión de la infracción.

c) La reincidencia en la comisión de la infracción.

d) La resistencia, negativa u obstrucción a la acción investigadora o de vigilancia de la Superintendencia de Industria y Comercio.

e) La renuencia o desacato a cumplir las órdenes impartidas por la Superintendencia de Industria y Comercio.

f) El reconocimiento o aceptación expresos que haga el investigado sobre la comisión de la infracción antes de la imposición de la sanción a que hubiere lugar.

CAPÍTULO III
DEL REGISTRO NACIONAL DE BASES DE DATOS

Artículo 25. Definición. El Registro Nacional de Bases de Datos es el directorio público de las bases de datos sujetas a Tratamiento que operan en el país.

El registro será administrado por la Superintendencia de Industria y Comercio y será de libre consulta para los ciudadanos.

Para realizar el registro de bases de datos, los interesados deberán aportar a la Superintendencia de Industria y Comercio las políticas de tratamiento de la información, las cuales obligarán a los responsables y encargados del mismo, y cuyo incumplimiento acarreará las sanciones correspondientes. Las políticas de Tratamiento en ningún caso podrán ser inferiores a los deberes contenidos en la presente ley.

Parágrafo. El Gobierno Nacional reglamentará, dentro del año siguiente a la promulgación de la presente ley, la información mínima que debe contener el Registro, y los términos y condiciones bajo los cuales se deben inscribir en este los Responsables del Tratamiento.

TÍTULO VIII
TRANSFERENCIA DE DATOS A TERCEROS PAÍSES

Artículo 26. Prohibición. Se prohíbe la transferencia de datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos. Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios.

Esta prohibición no regirá cuando se trate de:

a) Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia.

b) Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública.

c) Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable.

d) Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad.

e) Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular.

f) Transferencias necesarias o legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

Parágrafo 1°. En los casos no contemplados como excepción en el presente artículo, corresponderá a la Superintendencia de Industria y Comercio, proferir la declaración de conformidad relativa a la transferencia internacional de datos personales. Para el efecto, el Superintendente queda facultado para requerir información y adelantar las diligencias tendientes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de la operación.

Parágrafo 2°. Las disposiciones contenidas en el presente artículo serán aplicables para todos los datos personales, incluyendo aquellos contemplados en la Ley 1266 de 2008.

TÍTULO IX
OTRAS DISPOSICIONES

Artículo 27. Disposiciones especiales. El Gobierno Nacional regulará lo concerniente al Tratamiento sobre datos personales que requieran de disposiciones especiales. En todo caso, dicha reglamentación no podrá ser contraria a las disposiciones contenidas en la presente ley.

Artículo 28. Normas corporativas vinculantes. El Gobierno Nacional expedirá la reglamentación correspondiente sobre Normas Corporativas Vinculantes para la certificación de buenas prácticas en protección de datos personales y su transferencia a terceros países.

Artículo 29. Certificación de antecedentes judiciales. El Departamento Administrativo de Seguridad, DAS, o quien ejerza esta función, mantendrá y actualizará los registros delictivos y de identificación nacional de acuerdo con los informes y avisos que para el efecto deberán remitirle las autoridades judiciales, conforme a la Constitución Política y la ley.

Al expedir certificados judiciales por petición ciudadana, el Departamento Administrativo de Seguridad o quien ejerza esta función, se abstendrá de incluir como antecedente penal los registros delictivos del solicitante cuando este haya cumplido su pena o la misma haya prescrito.

Parágrafo 1°. Los archivos del Departamento Administrativo de Seguridad, o de quien ejerza esta función en esta materia, tendrán carácter reservado y en consecuencia solo se expedirán certificados o informes de los registros contenidos en ellos.

Parágrafo 2°. El Departamento Administrativo de Seguridad, DAS, o quien ejerza esta función, garantizará la disponibilidad de manera gratuita y permanente la información electrónica sobre el Certificado de Antecedentes Judiciales para ser consultados por el titular, interesado o por terceros a través de la página web de la entidad y los mismos gozarán de plena validez y legitimidad.

Parágrafo 3°. El certificado judicial expedido a solicitud de los peticionarios de sus propios registros, no será válido en aquellos cargos donde se requiera la carencia total de antecedentes.

En este caso, cuando las entidades de la Administración Pública requieran la presentación de los antecedentes judiciales, deberán dar cumplimiento estricto a lo señalado en el artículo 17 del Decreto 2150 de 1995 o la norma que la modifique, complemente, adicione o aclare.

Artículo 30. Bases de datos de inteligencia y contrainteligencia. Las bases de datos o archivos de las entidades que desarrollan actividades de inteligencia y contrainteligencia deberán guiarse estrictamente por los parámetros de tratamiento de datos establecidos en el Plan Nacional de Inteligencia y por la Junta de Inteligencia Conjunta, así como en las demás normas legales.

En todo caso la autorización de una orden de operaciones o misión de trabajo, no podrá ser emitida por un servidor público que ostente un nivel distinto al de directivo, comando o su equivalente.

Los documentos, información y equipos técnicos de los organismos que desarrollen labores de inteligencia o contrainteligencia estarán amparados por la reserva legal por un término máximo de 40 años y tendrán carácter de información reservada según el grado de clasificación que corresponda en cada caso.

Parágrafo. El servidor público que decida ampararse en la reserva legal para no suministrar información a un titular, deberá hacerlo motivadamente, señalando la razonabilidad y proporcionalidad de su decisión al requirente. En cualquier caso, frente a las decisiones señaladas procederán los recursos y acciones legales y constitucionales pertinentes.

No se podrá oponer la reserva legal a los requerimientos de los jueces y otras autoridades competentes.

Artículo 31. Valor probatorio y reserva de los informes de inteligencia y contrainteligencia. En ningún caso los informes de inteligencia tendrán valor probatorio dentro de los procesos judiciales, pero su contenido podrá constituir criterio orientador para el desarrollo de los actos urgentes que desarrolla la policía judicial en materia penal. En todo caso se garantizará la reserva para proteger la identidad de quienes son objeto de dichos informes, de los funcionarios de inteligencia y contrainteligencia, sus métodos y fuentes.

Artículo 32. Régimen de transición. Las personas que a la fecha de entrada en vigencia de la presente ley ejerzan alguna de las actividades acá reguladas tendrán un plazo de hasta seis (6) meses para adecuarse a las disposiciones contempladas en esta ley.

Artículo 33. Derogatorias. La presente ley deroga todas las disposiciones que le sean contrarias a excepción de aquellas contempladas en el artículo segundo.

Artículo 34. Vigencia. La presente ley rige a partir de su promulgación.

3. Decisión
Primero.-Declarar EXEQUIBLE, por su aspecto formal, el proyecto de ley Estatutaria No. 046/10 Cámara – 184/10 Senado “por la cual se dictan disposiciones generales para la protección de datos personales”, salvo los artículos 29, 30 y 31 que se declaranINEXEQUIBLES por vicios de procedimiento en su aprobación.

Segundo.-Declarar EXEQUIBLES los artículos 1, 2, 3, 4, 5, 7, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 21, 22, 24, 25, 28, 32, 33 y 34 del proyecto de ley, de conformidad con lo expuesto en la parte motiva de esta providencia.

Tercero.- Declarar EXEQUIBLE el artículo 6 del proyecto de ley objeto de revisión, excepto la expresión “el Titular haya hecho manifiestamente públicos o”, del literal d) que se declara INEXEQUIBLE.

Cuarto.- Declarar EXEQUIBLE el artículo 8 del proyecto de ley objeto de revisión, excepto la expresión “sólo”, del literal e) que se declara INEXEQUIBLE. De la misma manera, el literal e) debe entenderse en el sentido que el Titular también podrá revocar la autorización y solicitar la supresión del dato, cuando no exista un deber legal o contractual que le imponga el deber de permanecer en la referida base de datos.

Quinto.- Declarar EXEQUIBLE el artículo 19 del proyecto de ley objeto de revisión, bajo el entendido que la Delegatura de Protección de Datos Personales, en ejercicio de sus funciones deberá actuar de manera autónoma e independiente.

Sexto.- Declarar EXEQUIBLE el artículo 20 del proyecto de ley, a excepción del literal a) que se declara INEXEQUIBLE.

Séptimo.- Declarar EXEQUIBILE el artículo 23 del proyecto de ley, salvo la expresión “a favor de la Superintendencia de Industria y Comercio”, del literal a) que se declara INEXEQUIBLE.

Octavo. -Declarar EXEQUIBLE el artículo 26 del proyecto de ley, salvo la expresión “necesarias o” contenida en el literal f), que se declara INEXEQUIBLE.

Noveno.- Declarar INEXEQUIBLE el artículo 27 del proyecto de ley objeto de revisión.

3. Fundamentos de la decisión
Examinado el trámite surtido por el Proyecto de Ley Estatutaria Número 184 de 2010 Senado, 046 de 2010 Cámara, “por la cual se dictan disposiciones generales para la protección de datos personales”, la Corte constató el cumplimiento de los requisitos constitucionales (arts. 152, 153, 154, 157, 158, 159, 160, 161 de la C.P.) y legales (arts. 117, 119, 141, 144, 208 de la Ley 5ª de 1992), que se exigen de una ley de naturaleza estatutaria, en cuanto cumplió en debida forma con: a) la publicación del proyecto en la Gaceta del Congreso antes de darle curso en la comisión respectiva; b) el trámite y aprobación del proyecto de ley estatutaria en una sola legislatura; c) la aprobación por la mayoría absoluta de las comisiones y plenarias de cada Cámara; d) el acatamiento de las pautas fijadas en el artículo 160 de la Constitución Política para los debates legislativos, en lo relativo a la publicación de las ponencias, el lapso de 8 días entre primero y segundo debate y de 15 días entre la aprobación del proyecto en una cámara y el inicio del debate en la otra; e) la realización del aviso previo en distinta sesión en la que se discutiría y votaría el proyecto, tanto en las respectivas comisiones constitucionales permanentes, como en las plenarias del Senado de la República y Cámara de Representantes; d) el respeto de los principios de unidad de materia, identidad flexible y consecutividad y e) la remisión del proyecto de ley a la Corte Constitucional para su control integral de constitucionalidad antes de la sanción presidencial y su promulgación.
Sin embargo, tres normas del proyecto, los artículos 29, 30 y 31, fueron declarados inexequibles por violación del principio de consecutividad previsto en el artículo 157 de la Constitución. El artículo 29, que establecía una regulación exhaustiva sobre los datos relacionados con los antecedentes judiciales y la manera como deben plasmarse en los certificados expedidos por el Departamento Administrativo de Seguridad –DAS-, observó la Sala que fue introducido en el tercer debate por la Comisión Primera del Senado de la República, sin que ese asunto hubiera sido discutido en la Cámara de Representantes. Si bien durante el segundo debate en la Plenaria de la Cámara se mencionó el asunto de las bases de datos en materia penal y de investigación judicial, a juicio de la Corporación, ello no constituyó debate sobre la inclusión de una regulación en la materia, sino, por el contrario, sobre la decisión de exceptuarlos del ámbito de aplicación del proyecto de ley. Sólo hasta el tercer debate se planteó por primera vez la inclusión de dicha regulación, específicamente durante la audiencia pública convocada por la Comisión Primera del Senado de la República, de manera que lo regulado en el artículo 29 fue aprobado únicamente en dos debates, desconociendo la regla constitucional de los cuatros debates que exige el artículo 157.
Igualmente, los artículos 30 y 31 se declaran inexequibles por violación del principio de consecutividad. El tema en ellos regulado, esto es, el tratamiento de los datos personales para inteligencia y contrainteligencia, la Sala concluyó que no fue siquiera mencionado en los debates de la Cámara de Representantes –primer y segundo debate-, ni en el debate realizado en la Comisión Primera del Senado de la República –tercer debate-, surtiendo por tanto sólo un debate de los cuatro ordenados por los numerales 2 y 3 del artículo 157 Superior.
En relación con el contenido del proyecto de ley, la Sala encontró que en términos generales se ajusta a la Carta; sin embargo, hizo las siguientes precisiones y declaraciones puntuales de inexequibilidad:
Para comenzar, y después de reiterar que el derecho fundamental al habeas data es diferente al derecho a la intimidad, al buen nombre y a la información, la Sala concluyó que el proyecto de ley introduce un modelo híbrido de protección en el que confluyen, en primer lugar, una ley estatutaria general con reglas comunes y mínimas para el tratamiento de todo tipo de dato personal y que prevé un órgano, que debe actuar de forma autónoma e independiente, encargado de hacer cumplir la ley general, resolver controversias y fijar políticas públicas en la materia; y en segundo lugar, leyes sectoriales complementarias que establecen reglas adicionales aplicables al tratamiento de datos con características especiales y cuyo procesamiento genera tensión entre el derecho al habeas data y otros principios constitucionales, como la soberanía nacional, el orden público, la libertad de prensa, etc.
Una vez delineado el modelo de protección, la Corte procedió a examinar la constitucionalidad del articulado. En relación con el artículo 1°, la Sala concluyó que era exequible, pues refleja el contenido de las disposiciones del articulado. Respecto de la mención del artículo 20 constitucional, la Sala reconoció que el proyecto sí regula los derechos contenidos en dicho precepto, pero solamente en el punto que convergen o entran en tensión con el derecho al habeas data, es decir, la Corte precisó que el proyecto bajo revisión no pretende una regulación exhaustiva del artículo 20 de la Carta; su pretensión es la regulación del habeas data.
Por otra parte, la Sala encontró que el artículo 2 se ajusta a la Carta, ya que delimita adecuadamente el ámbito de aplicación territorial, subjetivo y material de la futura ley. No obstante, se precisó que a las excepciones previstas en esta disposición le son aplicables los principios enunciados en el artículo 4, y que además aquellas deben ser reguladas mediante otras leyes estatutarias sectoriales con estricta sujeción al principio de proporcionalidad.
La Corte también declaró exequible el artículo 3 sobre definiciones. Al respecto, recordó que éstas son construcciones del legislador que no provienen de la naturaleza ni de la ciencia, sino de su razonabilidad y amplia libertad de configuración. Precisó que en tanto construcciones legislativas, el juez constitucional, en el evento de dudas, puede emplear los criterios de interpretación constitucional para ajustar esos enunciados a las exigencias constitucionales con el fin de preservar la voluntad democrática, en observancia del principio de conservación del derecho. Por esta razón, una vez analizó la definición que el proyecto de ley hace del responsable del tratamiento, la Sala consideró que comprende a sujetos pasivos del derecho tales como la fuente y los usuarios, razón por la que cada vez que el proyecto emplea ese término debe entenderse referido a todos estos agentes. En ese orden, se explicó que los deberes, el régimen sancionatorio y los procedimientos de petición y reclamos que se regulan en el proyecto cobijan igualmente a la fuente y a los usuarios del dato. Así mismo, se precisó que el término base de datos comprende los archivos, y que si bien las definiciones de dato personal y titular solamente hacen referencia a las personas naturales, la protección del habeas data eventualmente podrá extenderse a las personas jurídicas cuando sea necesario para garantizar los derechos de las personas naturales que las conforman.

En relación con el artículo 4, que establece los principios de legalidad, finalidad, libertad, veracidad o calidad, de transparencia, de acceso y circulación restringida, de seguridad y el principio de confidencialidad en materia de tratamiento de datos, la Corporación consideró que es constitucional, pero interpretando que a los principios enunciados se integran otros principios como los de temporalidad, necesidad, incorporación e individualidad, desarrollados por la jurisprudencia constitucional.

Respecto de los artículos 5 y 6 sobre definición de datos sensibles y excepciones a la prohibición de su tratamiento, la Corte consideró que se ajustan a la Constitución, salvo la expresión “el Titular haya hecho manifiestamente públicos o”, del literal d), el cual fue declarado inexequible, por cuanto pasa por alto que el hecho de que un dato sensible se haga público no lo convierte en un dato de naturaleza pública que cualquier persona pueda someter a tratamiento.

El artículo 7, que hace referencia a los datos de los niños, niñas y adolescentes, se declaró exequible con las siguientes precisiones: la Sala indicó que el inciso segundo debe interpretarse en el sentido de que el tratamiento de los datos personales de los menores de 18 años, al margen de su naturaleza, pueden ser objeto de tratamiento, siempre y cuando no se ponga en riesgo la prevalencia de sus derechos fundamentales e inequívocamente responda a la realización del principio de su interés superior. Además, se señaló que la opinión del menor de 18 años siempre se debe tener en cuenta para el tratamiento de sus datos personales. En relación con el contenido del inciso tercero, referente al término de seis (6) meses que se le otorgó al Gobierno Nacional para que ejerza su potestad reglamentaria, se precisó que no puede entenderse como un término de caducidad para el ejercicio de dicha potestad.

Frente a los derechos de los Titulares de los datos consagrados en el artículo 8, la Corte señaló que se ajustan a la Carta, pues son una manifestación de los principios que rigen el proceso informático. Sin embargo, condicionó la constitucionalidad del literal e), referida a la revocatoria del dato, en el entendido que esa facultad no sólo procede por el mal uso que se haga de los datos, sino en virtud de la solicitud libre y voluntaria del Titular del dato, cuando no exista una obligación legal o contractual que imponga su permanencia en la base de datos. En consecuencia, declaró INEXEQUIBLE el vocablo “sólo” del literal e).

Al estudiar la constitucionalidad de los artículos 9 y 10, reiteró que todo tratamiento de datos personales debe hacerse con la autorización expresa, previa e informada por parte del Titular del dato, y la autorización sólo puede prescindirse en los casos consagrados en el artículo 10, es decir: (i) cuando la información es requerida por autoridad pública o judicial, siempre cuando se interprete que se encuentra sometida a los principios establecidos por la Ley Estatutaria; (ii) respecto de datos de naturaleza pública y relacionados con el registro civil de las personas; (iii) en los casos de urgencia médica o sanitaria. Sobre esta última hipótesis, precisó la Corte en las consideraciones de la providencia que tal excepción sólo opera en los casos en que dada la situación concreta de urgencia, no sea posible obtener la autorización del titular o resulte particularmente problemático gestionarla, dadas las circunstancias de apremio, riesgo o peligro para otros derechos fundamentales, ya sea del titular o de terceras personas; y (iv) para el tratamiento de información con fines históricos, estadísticos o científicos.

Los artículos 11 y 12, referidos a la manera como debe entregársele la información al Titular y lo que debe comunicársele en el momento que suministra el dato para su Tratamiento, también fueron declarados exequibles. Sin embargo, en las consideraciones se precisó que en todas las situaciones debe advertirse que las preguntas hechas son voluntarias. Igualmente, el artículo 13 se declaró exequible, advirtiendo que en todos los casos todas las personas que por virtud de la Ley pueden acceder a un dato se encuentran sometidas a los límites establecidos por el proyecto de ley.
En cuanto a los procedimientos de consulta, reclamos y requisitos de procedibilidad, contemplados en los artículos 14, 15 y 16, se encontraron exequibles por tratarse de mecanismos para hacer efectivas todas las garantías reconocidas al titular del dato.
Frente a los artículos 17 y 18, que enumeran los deberes de los responsables y encargados del tratamiento del dato, se precisó que: (i) el concepto de responsable comprende la fuente y al usuario, razón por la que los deberes de aquel son también exigibles a estos dos últimos sujetos; (ii) esos deberes no son taxativos sino enunciativos desde el punto de vista de lo que puede exigir el titular del dato como sujeto activo del derecho al habeas data;(iii) sin embargo, la lista sí debe entenderse como taxativa desde el punto de vista sancionatorio, es decir, la lista debe delimitar las conductas cuyo incumplimiento da lugar a las sanciones administrativas que se contemplan en el mismo proyecto de ley. En relación con los deberes del encargado del tratamiento, se indicó expresamente que a éste también le corresponde cerciorarse de que existe autorización expresa del titular para el procesamiento correspondiente y que éste se ajusta a la finalidad que le fue informada a aquél.
El artículo 19, que crea una autoridad de protección del dato bajo la forma de una nueva Delegatura de la Superintendencia de Industria y Comercio encargada de hacer cumplir la ley general, vigilar y promover la protección del dato, sancionar tratamientos ilegales,resolver controversias y fijar políticas públicas en la materia, fue declarado exequible bajo el entendido que dicho órgano debe actuar de forma autónoma e independiente. Igualmente, se señaló que el Gobierno Nacional, al momento reglamentar esa dependencia, debe asegurarse de que se conforme por personas con un conocimiento técnico y que hagan parte de carrera administrativa de la entidad.
En cuanto a los recursos previstos para esa nueva Delegatura, se declaró INEXEQUIBLE el literal a) del artículo 20 que destinaba directamente a la Superintendencia de Industria y Comercio las multas que se impusieran por el desconocimiento de los deberes enumerados en los artículos 17 y 18. A juicio de la Sala, las multas son recursos no tributarios que deben ingresar al Presupuesto General de la Nación sin una destinación específica, en los términos del artículo 359 constitucional.
En relación con el régimen sancionatorio que se consagra en los artículos 22, 23 y 24, se consideró que es desarrollo del derecho sancionador administrativo, frente al cual la jurisprudencia constitucional ha sido constante en señalar que, pese a ser una manifestación del juspunendi del Estado, los principios que lo rigen no puede ser considerados con la misma rigurosidad que en el derecho penal. En consecuencia, la Corporación concluyó que el procedimiento y las sanciones consagrados en dichos preceptos se ajustan a los principios de legalidad y tipicidad de la infracción y la sanción, razón por la cual las disposiciones fueron declaradas exequibles, salvo la expresión “a favor de la Superintendencia de Industria y Comercio” contenida en el literal a) del artículo 23, que fue declarada INEXEQUIBLEcomo consecuencia de la declaración de inexequibilidad del literal a) del artículo 20.
Igualmente, se aclaró el parágrafo del artículo 23, en el sentido de que la Superintendencia de Industria y Comercio sí podrá sancionar las entidades públicas porque su competencia sancionatoria tiene la finalidad de proteger al titular del dato personal, mientras la Procuraduría protege, en especifico, la función pública; es decir, las sanciones que pueden imponer las dos entidades tienen origen en el incumplimiento de deberes de naturaleza distinta. En consecuencia, para la Corte, la facultad sancionatoria que se regula en dicho artículo es tanto para las entidades públicas como para las privadas, como sujetos pasivos del derecho al habeas data. En consecuencia, la Superintendencia podría imponer multas, suspensión de la operación, cierre temporal y definitivo, sanciones que están relacionadas directamente con el dato, mientras la Procuraduría dirigirá su investigación hacia la conducta del funcionario público responsable que incumple sus deberes funcionales.
También se declaró la exequibilidad del artículo 25 relacionado con el Registro Nacional de Datos, pero se aclaró que es obligatoria la inscripción de todas la bases de datos públicas y privadas, con el fin de centralizar su consulta y permitir que los titulares del dato puedanconocer de forma rápida y ágil las bases de datos que hacen tratamiento de sus datos y ejercer así sus derechos ante ellas.
En relación con la transferencia internacional de datos consagrada en el artículo 26, la Corte determinó su constitucionalidad, salvo la expresión “necesarias o” contenida en el literal f), la cual se declaró inexequible por ser un concepto indeterminado y ambiguo que puede afectar el derecho al habeas data al momento de su aplicación. En relación con el literal b), se advirtió que debe interpretarse en el sentido que la facultad de autorizar la transferencia de datos de carácter médico recae no sólo en su titular sino también en sus familiares o representante legal en la hipótesis allí prevista. Respecto de los literales c), d) y e), la Corporación explicó que la transferencia sólo procederá cuando medie la autorización previa y expresa del titular de los datos.
El artículo 27 fue declarado inexequible , por cuanto la regulación del tratamiento de datos especiales, como por ejemplo, los de seguridad e inteligencia, judiciales y penales, entre otros, le compete de forma exclusiva al legislador, en otros términos, la Corte precisó que existe una reserva legal en la materia. En ese orden, la Sala consideró que el Gobierno Nacional no tiene competencia para regular el tratamiento de los datos especiales.

Finalmente, los artículos 28, 32, 33 y 34 se encontraron ajustados a la normatividad constitucional y en consecuencia, fueron declarados exequibles.

4. Salvamentos y aclaraciones de voto
La magistrada María Victoria Calle Correa y los magistrados Jorge Iván Palacio Palacio y Luis Ernesto Vargas Silva se apartaron de lo decidido por la Corte y su salvamento de voto lo argumentaron así:
Las leyes estatutarias que regulan los derechos fundamentales tienen una función de primer orden en el constitucionalismo colombiano, en tanto conforman parámetro de constitucionalidad para el control judicial de leyes posteriores que regulen la materia respectiva. En ese sentido, debe tratarse de regulaciones que, aunque no deben llegar al punto de vaciar las competencias del legislador ordinario y de los reglamentos, en todo caso deben determinar los aspectos centrales del derecho fundamental regulado. Como lo demostró en buena parte y de manera exhaustiva la ponencia original, en el caso analizado este objetivo no es cumplido en el presente caso, puesto que el proyecto de ley estatutaria dejó de regular al menos tres aspectos que están estrechamente vinculados con la garantía y protección del derecho al habeas data, a saber: (i) los deberes de fuentes y usuarios del dato personal; (ii) la existencia de una autoridad de control de la actividad de tratamiento de datos personales, con carácter independiente; y (iii) la regulación de una tipología de datos personales que sirva para otorgar niveles adecuados de vigencia del derecho al habeas data, de acuerdo con la naturaleza jurídica de la información personal objeto de tratamiento. Además, el legislador estatutario al desarrollar los conceptos constitucionales debe tener como base el texto constitucional y respetar su orientación. No puede por tanto mezclar conceptos que la Constitución expresamente distingue.

Agregaron que la jurisprudencia constitucional precedente, de forma acertada y extensa, había identificado que la interpretación adecuada del artículo 15 de la Constitución llevaba a concluir, sin discusión alguna, que el derecho al habeas data se predica de las distintas etapas de acopio, tratamiento, circulación y uso del dato personal, en los precisos términos de esa norma superior, razón por la cual es imperativo que respecto de cada uno de los agentes que participan de este proceso, el titular del dato tuviera derechos y competencias de conocimiento, actualización y rectificación de su información. El proyecto de ley estatutaria objeto de examen, a partir de una errónea e incompleta adopción del modelo europeo de protección de datos personales, omitió toda referencia a las obligaciones y sanciones predicables de fuentes y usuarios del dato personal. Esta situación genera un evidente déficit de protección del derecho al habeas data, puesto que el titular de la información personal queda carente de potestades para lograr la protección y garantía de sus derechos fundamentales frente a esos agentes. Este déficit no puede ser solucionado, como resolvió la mayoría, a partir de una analogía entre los deberes de responsables y encargados, de un lado, y fuentes y usuarios, del otro. Esto debido a que el catálogo de obligaciones que ofrece el proyecto de ley estatutaria es específico y muchos de los deberes allí previstos no pueden ser materialmente exigibles a las fuentes o a los usuarios. Esto se evidencia, por ejemplo, en la imposibilidad que el usuario del dato procesado guarde prueba del consentimiento del titular. De otro lado, menos admisible resulta extender el régimen sancionatorio a fuentes y usuarios, pues ello contradeciría la naturaleza taxativa que impone el principio de legalidad, propio del derecho sancionador.

En segundo lugar, el inadecuado “trasplante normativo” que hizo el legislador estatutario, llevó a que se fijara como autoridad de control para el tratamiento de datos personales a la Superintendencia de Industria y Comercio, entidad perteneciente a la Rama Ejecutiva del Poder Público. Además de las incontables dificultades prácticas que eso genera, la ausencia de una autoridad independiente es manifiestamente contraria al principio de imparcialidad que informa a la función pública, por la sencilla razón que buena parte del tratamiento de datos personales es efectuado por autoridades estatales, tanto a nivel nacional como territorial. Esto exigía que la autoridad colombiana de protección de datos, como sucede con sus pares en el derecho comparado, no hiciera parte del Ejecutivo.

En tercer término, la ausencia de una tipología de datos personales suficiente y detallada, genera un nuevo déficit de protección del derecho al habeas data, debido a que las posibilidades de transmisión de información personal, distinta a los datos sensibles, se torna en ilimitada e inasible de restricción alguna, lo que limita desproporcionadamente las garantías de conocimiento, actualización y rectificación del dato personal, de que trata el artículo 15 de la Constitución.

Para los magistrados Calle Correa, Palacio Palacio y Vargas Silva, la decisión adoptada por la Corte se muestra especialmente problemática. Avalar una normatividad estatutaria manifiestamente incompleta y contradictoria, como en buena hora lo planteaba la ponencia en su proyecto original, hace que esa legislación, antes que concurrir en la eficacia del derecho al habeas data, dé lugar a profundas dificultades interpretativas y, en general, a una injustificada disminución del ámbito de protección del derecho al habeas data. La exequibilidad de la norma estatutaria analizada implica, entonces, que la Corte declara la validez constitucional de una garantía deficitaria del mencionado derecho fundamental. Los datos personales de los colombianos, en tanto expresión de su individualidad como sujetos libres y autónomos, quedan altamente expuestos a toda clase de intereses, tanto nacionales como extranjeros –merced esto último de la recurrente transmisión internacional de datos- en abierta contravía con lo ordenado por el Constituyente. Una situación de este carácter resulta inadmisible, pues lo aquí decidido será base para la decisión acerca de la constitucionalidad de las normas legales y reglamentarias que se profieran en el futuro respecto al tratamiento de datos personales.

Para los magistrados disidentes no deja de ser paradójico que la legislación estatutaria y la jurisprudencia constitucional se muestren más garantistas respecto de la protección del derecho al habeas data frente a los datos personales de contenido financiero, comercial y crediticio; pero que no tengan similar consideración con un asunto mucho más trascendente como lo es el ahora objeto de control judicial: la regulación del derecho al habeas data frente a las diferentes modalidades de tratamiento de información personal.

En criterio de los mencionados Magistrada y Magistrados, la decisión adoptada por la Corte en esta oportunidad desdice de una larga y prolija actividad jurisprudencial en materia de habeas data, cuidadosamente construida por este Tribunal por más de quince años. Este precedente, que muchas voces jurídicas autorizadas consideran pionero en el ámbito latinoamericano, resulta injustificada e innecesariamente disminuido y alterado por la sentencia que ahora profiere la Corte. Estas graves y evidentes dificultades se hubieran solventado fácilmente a través de la declaratoria de inexequibilidad de la norma estatutaria. Esto con el fin que el Congreso, foro natural del debate democrático y órgano titular de la amplia potestad de configuración normativa, regulara nuevamente la materia, a fin de cumplir con los estándares constitucionales mínimos que, se insiste, no reúne la norma acusada.
Adicionalmente, los magistrados María Victoria Calle Correa, Jorge Iván Palacio Palacio y Luis Ernesto Vargas Silva aclararon el voto, en relación con las decisiones de inexequibilidad de los artículos 27, 29, 30 y 31 del proyecto de ley estatutaria, por cuanto si bien comparten la decisión adoptada en estos casos, mantienen su postura respecto de la inexequibilidad total del proyecto de ley estatutaria por las razones de orden estructural expuestas anteriormente, las cuales difieren de las que llevaron a declarar la inexequibilidad de las mencionadas normas por vicios de procedimiento en su formación.
Por su parte, el magistrado Mauricio González Cuervo salvó parcialmente el voto respecto de la decisión de inconstitucionalidad del artículo 27 del proyecto de ley estatutaria revisado, toda vez que en su concepto, esta disposición se refiere al desarrollo de la potestad reglamentaria que le confiere al ejecutivo el numeral 11 del artículo 189 de la Constitución, para la cumplida ejecución de leyes. Observó que la pretensión de regulación integral de las leyes estatutarias, no se traduce necesariamente en que el legislador deba prever todos y cada unos de los aspectos técnicos, específicos instrumentales propios de la ejecución de la ley, para lo cual está prevista precisamente la facultad reglamentaria. Indicó que el propio artículo 27 advierte que en todo caso, dicha reglamentación no podía ser contraria a las disposiciones contenidas en la presente ley. A su juicio, si en gracia de discusión, se llegara a interpretar como una facultad de regulación de aspectos no previstos en la ley estatutaria, la decisión ha debido ser de exequibilidad condicionada, de manera que se excluyera la interpretación contraria a la Constitución y no la declaración de inconstitucionalidad.

JUAN CARLOS HENAO PÉREZ
Presidente

Without Steve Jobs (February 24, 1955 – October 5, 2011) we would have:
No iProducts
No over expensive laptops

Without Dennis Ritchie (September 9, 1941 – October 12, 2011) we would have:
No Windows
No Unix
No C
No Programs
A large setback in computing
No Generic-text Languages.
We would all read in Binary..

They died in the same year and the same month but it seems only few notice the death of Dennis Ritchie compared to Steve Jobs.

SIC

Se tienen grandes expectativas de crecimiento en el sector denominado como BOP&O o de tercerización de procesos de negocio. Surgen diversas obligaciones para todos pues las organizaciones sin importar su tamaño tendrán que implementar una política de tratamiento de datos personales para todos sus respectivos procesos donde hagan este tratamiento.

Esperamos ansiosamente el proceso de reglamentación de esta ley en la cual se contemplan sanciones, mecanismos de reclamaciones y consultas las cuales deberán ser atendidas en debida forma para evitar sanciones y/o responsabilidad por manejo inadecuado de los datos de los ciudadanos Colombianos.

El artículo 15 de la Constitución Política de Colombia establece el derecho a la privacidad e intimidad “ARTICULO 15. Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar”, pero también consagra el derecho a saber quienes están manejando los datos personales propios como un derecho fundamental. Continúa el Art. 15 “De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas”.

Hay que hacer un estudio a profundidad sobre las posibilidades de negocio que surgen, de las obligaciones, como de los derechos y la manera de protegerlos y hacerlos valer. Estaré desarrollando cada una de estas variables en los próximos meses en este mismo blog.