Blog del Foro de Habeas Data

El presente es un comentario al proyecto de ley de habeas data que está por aprobarse en Colombia, realizado por el experto en protección de datos Nelson Romolina.

Alarma y desconcierto en Colombia por proyecto de ley de habeas data
por Nelson Remolina Angarita

Seguramente el próximo martes 29 de mayo se aprobará en la plenaria de la Cámara de Representantes el proyecto de ley Estatutaria No. 221 de 2007 Cámara- 27 de 2006 Senado (Acumulado al 05/06 Senado) “Por la cual se dictan las disposiciones generales del habeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial y de servicios y la proveniente de terceros países y se dictan otras disposiciones”.

Se trata de regular el derecho constitucional y fundamental del habeas data consistente en la facultad que tienen las personas de conocer, actualizar y rectificar la información que sobre ellas repose en archivos y bases de datos de entidades públicas y privadas (Art. 15 de la Constitución). Dice la ponencia que el texto del proyecto “es el mejor resultado jurídico y académico - en la materia – desde la expedición de la Constitución de 1991”.

(Destaco) Ni lo uno ni lo otro, sino todo lo contrario.

Si bien contiene aspectos positivos, el proyecto se destaca por los efectos negativos desconocidos por la opinión pública. Incorpora disposiciones abiertamente anticiudadanas que desmejoran la situación actual de las personas por lo siguiente:

a) Hoy es gratis ejercer ilimitadamente el derecho al habeas data. El operador (empresario) puede lucrarse comercializando los datos personales a terceros pero no está autorizado por la ley para cobrarle al titular del dato por conocer, actualizar o rectificar su información.

El proyecto limita la gratuidad, por regla general, a una vez al año y autoriza al operador para que fije la tarifa y le cobre al ciudadano por ejercer el derecho fundamental precitado (Parágrafo 2 del artículo 10). Con este tipo de disposiciones no debe sorprendernos que en futuro se cobre por ejercer el derecho de petición.

Adicionalmente, se eliminará la autorización previa del ciudadano para que el operador pueda recolectar, almacenar y circular datos personales. De esta manera, el escenario, por ejemplo, del dato financiero, será el siguiente: (1) El operador obtendrá gratuitamente y sin autorización los datos de las personas; (2) Esa información la utilizará para, entre otras, venderla o circularla a terceros a cambio de dinero y (3) El ciudadano deberá pagarle al operador para poder conocer, actualizar y rectificar la información que tiene sobre él.

Así las cosas, el operador incrementará sus arcas a costa del ciudadano de quien tomó sus datos gratuitamente y sin autorización. ¡Que tal esto!. ¿Qué pasa si la persona no tiene dinero para ejercer el derecho fundamental al habeas data?. ¿De malas?

b) Actualmente al ciudadano se le debe solicitar autorización para captar sus datos e informarle los fines para los que se utilizará. Esto lo quita el proyecto para el caso del dato financiero (segundo párrafo del parágrafo del numeral 1 del artículo 6). Vamos a tener gente desinformada (ignorante) que
no sabe quién tiene sus datos ni para qué. Con ésto será más difícil que esa persona pueda controlar lo que sucede o hacen con su información.

c) Se empeorará la situación del moroso al aumentar significativamente el término de caducidad del dato. La persona que hoy tenga mora de 1 mes por $30,000 es reportada por 2 meses. De aprobarse el proyecto, esa misma persona será reportada por 4 años.

Se trata de un término único que no tendrá en cuenta el tiempo de la mora, el monto de la obligación o si el deudor es ocasional (por olvido) o por profesión. A todos nos castigarán con la misma tabla.

d) Hoy un operador debe responder por publicar información errónea salvo que demuestre que no fue su culpa y que actuó de manera profesional y diligente para evitar dicha situación. El proyecto explícitamente libera de responsabilidad al operador por la calidad de los datos que pone a circular (Parte final del literal c) del artículo 3).

Otras cosas graves:

a) Se promueve el flujo internacional de los datos de los colombianos sin garantías ni control (Literal f del artículo 5).

Al tema más transcendental internacionalmente se le da un tratamiento muy pobre que revela el desconocimiento de las graves implicaciones para el país y los ciudadanos respecto de este aspecto. Europa, por ejemplo, dejó de enviar datos de sus ciudadanos a los Estados Unidos por ese motivo. Esto afectó los negocios a tal punto que los mismos empresarios norteamericanos
solicitaron a su gobierno solucionar dicha situación. Para el efecto fue necesario que suscribieran el acuerdo Safe Harbor sobre privacidad en el año 2000.

La figura inventada en el proyecto (que decida el operador si el tercer país o el empresario extranjero garantiza un nivel adecuado de protección) no ofrece garantías de imparcialidad al ciudadano e internacionalmente no tiene presentación. No debe perderse de vista que: (1) el operador es, ante todo,
un empresario que se lucra de la comercialización local e internacional de los datos sobre las personas y, (2) El tercero del país extranjero es un potencial cliente del operador local. Realmente es muy difícil creer que el operador nacional actuará con imparcialidad frente a una alternativa de negocio internacional. ¿Qué garantías tendrá el ciudadano?; ¿Será que los datos personales de los colombianos no tienen la importancia ni el valor que se le da a la información de los ciudadanos europeos?.

b) La autoridad de control es sectorial, carece de independencia y autónomía (Artículo 17). No veo, por ejemplo, a la Superintendencia de Industria y Comercio sancionando a la DIAN por errores en reportes de los morosos en pago de impuestos.

Además la entidad de control es sólo sectorial. En lugar de reacomodar dos superintendencias (la de Industria y Comercio y la Financiera) para que se dediquen al tema del dato financiero deberían dejar esta labor en manos de la Defensoría del Pueblo respecto de todo tipo de información. La defensoría es conocedora y promotora de este derecho. Con ésto se ganaría mucho. Es constitucional y legalmente viable.

c) El principio de finalidad se desvanece a pesar de su consagración. Internacionalmente se ha considerado fundamental consagrar este principio para evitar que el operador utilice la información para fines diferentes a los autorizados por la persona o los permitidos por la ley. El artículo 15 crea finalidades para los usuarios pero no para los operadores que son los depositarios grandes cantidades de información.

d) Se consagran multas pero sólo para los operadores de información financiera y comercial con unos criterios de graduación que pueden llegar a que en la práctica sean irrisorias. Según el artículo 19 para graduar la sanción se deben tener en cuenta factores como los siguientes: a) “La
dimensión del daño o peligro a los intereses jurídicos tutelados por la presente ley; b) “El beneficio económico que se hubiere obtenido para el infractor o para terceros, por la comisión de la infracción, o el daño que tal infracción hubiere podido causar”. Pregunta: ¿A cuánto equivale el monto de daños y perjuicios que se causan a un campesino común y corriente por haber sido reportado como moroso 10 días sin realmente serlo?; ¿Cuál es el monto de los beneficios que un operador obtuvo por publicar información errónea respecto de una persona por 10 días?. Seguramente no más de un salario mínimo.

Aparentemente el régimen de multas es alto (En España se han impuesto multas de 200,000 Euros) pero vía aplicación de los criterios de graduación puede convertirse en muy bajo o simbólico. Debería fijarse un mínimo y un máximo para las multas. Entre 500 y 1500 SMLM, por ejemplo.
En síntesis, el proyecto es lamentable en general, deja mucho que desear y no tiene elementos mínimos para afirmar que es “el mejor resultado jurídico y académico - en la materia – desde la expedición de la Constitución de 1991”. De aprobarse, los colombianos y las colombianas perderemos importantes avances y reivindicaciones que hemos ganado con el desarrollo jurisprudencial de la Corte Constitucional que, en últimas, recoge los principios y estándares fundamentales que rigen la materia internacionalmente. Particularmente deben citarse, entre otras, la resolución 45/95 de 1990 de la ONU, la directiva 95/46/CE del Parlamento Europeo y las "Directrices para la Armonización de la Protección de Datos en
la Comunidad Iberoamericana" aprobadas por la Red Iberoamericana de Protección de datos el pasado 4 de mayo en la ciudad de Cartagena.

por Nelson Remolina Angarita
Profesor y Director del GECTI
Facultad de Derecho
Universidad de los Andes