de jurisdicción y seguridad jurídica. Por tanto, la aparición de estos nuevos aspectos comenzó a suscitar preocupaciones sobre la aplicación de cuestiones éticas y regulatorias en la ingeniería.
Las regulaciones de la década de los años 90 del siglo pasado, ajustaron sus preceptos para una nueva era del procesamiento de datos relacionado con individuos, cuyo impacto tuvo un alcance gubernamental y comercial (Room, 2007). La intención desde la Unión Europea fue proteger la privacidad en el procesamiento de datos personales, y reglamentar un flujo libre de datos entre los países miembros. El alcance fue tal que el Consejo de Europa reconoció su carácter de derecho humano, razón por la cual la Directiva 95/46/CE (1995) del Parlamento Europeo, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos, debió ser armonizada con los derechos constitucionalmente reconocidos en cada Estado.
En tal sentido, en Europa se entendió que el dato personal era “toda información sobre una persona física identificada o identificable” (Parlamento Europeo y Consejo de Europa, 1995, artículo 1.º), que luego, por conducto del Reglamento General de Protección de Datos de 2016, se extendió a “toda información sobre una persona física identificada o identificable [y] toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador” (Parlamento Europeo y Consejo de Europa, 2016, art. 4.º). Entonces, se decantó una protección de datos personales basada en la ponderación y el equilibrio de otros derechos reconocidos.
En el contexto jurídico colombiano la protección de datos personales ha tenido una amplia influencia del derecho europeo, razón por la cual se adoptó una protección jurídica que lo entendió como un elemento básico de la información sobre las personas, el cual guarda relación con la identidad y la manifestación del ámbito de protección del derecho a conocer, actualizar y rectificar informaciones que hayan sido recogidas sobre un individuo, denominado habeas data (Upegui Mejía, 2008).
Ante la previsión del artículo 15 de la Constitución Política, los primeros avances en la materia surgieron a través de la jurisprudencia de la Corte Constitucional, que discutió la naturaleza de los datos personales, en el entendido de que
[p]or su compleja naturaleza es claro que frente al dato no puede aplicarse en todo su rigor el derecho clásico de propiedad […] En estas condiciones, los diversos sujetos son apenas titulares de algunas facultades que no les confieren necesariamente la calidad de propietarios (Corte Constitucional de Colombia. Sent. T-414 de 1992).
De acuerdo con lo anterior, si bien puede derivarse cierto derecho de propiedad sobre los datos personales, la Corte estableció que su naturaleza obedece a la de un derecho subjetivo complejo con garantía constitucional, en la medida que “los datos involucran la vida privada y familiar, en donde ni el Estado, ni terceros, pueden intervenir” (Caballero Martínez, 2019).
Conforme a lo expresado, surgieron normativas en materia de protección de datos con carácter estatutario. En primer lugar, la Ley 1266 de 2008 sobre el manejo de información financiera, crediticia, comercial y de servicios, la cual delimitó el concepto de dato personal como “cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica” (art. 3.º); en segundo lugar, la Ley 1581 de 2012 sobre disposiciones generales para la protección de datos personales, la cual delimitó el concepto de dato personal como “[c]ualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables” (art. 3.º).
La noción que planteó el legislador es trascendental porque indica que solo las personas naturales o jurídicas son susceptibles de ejercer el derecho a la protección de sus datos personales, lo que excluye cualquier continuidad de este derecho posterior a la muerte, bajo la idea de que es un derecho personalísimo.
A su vez, se establecieron reglas claras en materia del tratamiento, de manera que si bien es un concepto alejado de la propiedad tal como se entiende respecto del patrimonio, el habeas data es un derecho disponible y, por ende, las personas pueden dar su autorización explícita para que terceros responsables o encargados hagan uso de los datos personales.
En tal sentido se pronunció la Corte Constitucional al indicar que los datos personales se refieren a “aspectos exclusivos y propios de una persona natural [y] su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita” (Corte Constitucional de Colombia. Sent. C-748 2011). Así que la perspectiva del derecho colombiano encaja con los presupuestos desarrollados en el Parlamento Europeo pero, pese a los avances en derecho comunitario, la naturaleza de los datos personales varía respecto de la jurisdicción aplicable.
Por el contrario, en el derecho norteamericano los datos personales son protegidos de forma relativa bajo una idea ajustada al derecho de consumo. La Comisión Federal del Comercio es el organismo encargado de emprender acciones que protejan a los consumidores de prácticas abusivas o injustas que atenten contra su privacidad, mas no existe una regulación federal que aborde la protección de datos de forma específica, de suerte que los avances se han dado mediante reglamentaciones estatales (Chabinsky y Pittman, 2019).
En el estado de Nueva York, por ejemplo, el Departamento de Servicios Financieros ha establecido una ley estatal para proteger a los consumidores y garantizar una seguridad cibernética sobre los registros de clientes del sistema financiero, que se aplica a las compañías de seguros, los bancos y las instituciones de servicios financieros. En la normativa 23 NYCRR 500 no se hace referencia a datos personales, sino a información electrónica que es recopilada y que tiene fines comerciales, por lo que se entiende que las organizaciones cuentan con recursos de información electrónica organizados que implican procesamiento, mantenimiento, utilización, intercambio, difusión o eliminación (Section 500.01).
En el estado de Delaware, la Ley de Protección de Información Personal provee la definición de información personal como cualquier información de identificación personal sobre un usuario en diversos servicios o productos tecnológicos, en donde se denota un alto componente de publicidad corporativa (§1202C).
El Estado de California cuenta con el California Consumer Privacy Act (CCPA), el cual establece la posibilidad de recopilar información personal de los consumidores por varias categorías de fuentes (entiéndase empresas, sociedades o entidades), cuya finalidad es el tratamiento de dicha información en redes de publicidad, proveedores de servicios, análisis de datos, entidades gubernamentales, sistemas operativos y plataformas digitales. Así mismo, establece una categoría de revendedores de datos de los consumidores, por lo que es notorio que la naturaleza de la “información personal” ha adquirido un alto nivel de mercantilidad, aun más considerando que California es la mayor cuna tecnológica del mundo.
Por su parte la Comisión Federal de Comercio ha hecho énfasis en que la recopilación de modelos conductuales a partir de cookies del navegador o aplicaciones se enmarcan dentro de la publicidad conductual y, por tanto, aplica la Ley sobre Fraude y Abuso de Computadoras. Al respecto se ha pronunciado California y Delaware, pero su análisis se mantiene bajo la lupa de las leyes sobre prácticas engañosas y derecho de consumo (Chabinsky y Pittman, 2019).
Lo anterior es herencia del sistema de protección de datos anglosajón de la Mancomunidad de Naciones
