en la construcción del concepto de dato personal en ambas regulaciones se explica por la naturaleza de las relaciones que impactan, lo que también se refleja en la delimitación del concepto de las personas que intervienen en el tratamiento del dato personal. La ley de habeas data financiero se encamina a la protección de aquella información crediticia, comercial y financiera contenida en centrales de información públicas o privadas, que recopilan, tratan y circulan esos datos con el fin de establecer el nivel de riesgo financiero de su titular6. Así, la operación que ampara esta ley es el análisis del perfil financiero de cualquier participante como tomador de servicios comerciales y/o financieros, donde la naturaleza del titular le es indiferente al mercado.
De esa forma, en el régimen de habeas data financiero quienes intervienen en la relación de tratamiento del dato personal son el titular de la información, la fuente de información, el operador de información y el usuario, donde se resalta la labor de la fuente y del operador cuyas calidades pueden confluir en un solo agente7. La fuente y el operador son las personas que reciben, conocen, administran y ponen en conocimiento de un tercero (usuario) la información suministrada por el titular8. De ese modo, las principales obligaciones en el tratamiento de los datos personales en este régimen son predicables de estos dos agentes. Siendo las obligaciones de la fuente de información más de tipo formal y de verificación de la veracidad, exactitud y actualidad de la información suministrada9. Por su parte, si bien en el operador de la información recaen obligaciones similares, se le agregan obligaciones de carácter material, como la de garantizar el acceso a la información únicamente a las personas autorizadas o habilitadas, enfocándose principalmente en el principio de seguridad y de responsabilidad10.
De otra parte, la ley de protección de datos personales se enfoca en la protección del derecho de las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido de ellas en bases de datos o archivos, siendo esta una concepción más amplia del dato personal11, y con menos especificidad que la contenida en la ley de habeas data financiero12. Consecuentemente, se entiende el dato personal como un bien personalísimo13, predicable solo de la persona natural, de forma que esta normativa se acerca al doble carácter que puede tener el dato personal, como derecho personal14 y como activo o bien comercial utilizable en una organización empresarial15. Así las cosas, la ley de datos personales se preocupa del trato que se le pueda dar a la información suministrada, recolectada y estudiada al interior de una determinada organización16, el uso que esta pueda realizar de ella y la posibilidad de transferir esa información a otros agentes que intervienen en el mercado17.
En consecuencia, la ley de protección de datos personales establece un sistema de roles distinto al propuesto en la ley de habeas data financiero, por cuanto menciona al titular del dato personal, a los responsables del tratamiento del dato personal y a los encargados del tratamiento del dato personal18. Entendiendo el tratamiento como cualquier operación que implique la recolección, almacenamiento, uso, circulación o supresión del dato personal19. Consecuentemente, la ley establece que el rol de responsable lo ocupa aquella persona que decide respecto del tratamiento, siendo el encargado el colaborador del responsable que materialmente realiza el tratamiento. De esa forma, al encontrarse el encargado en una situación de delegación, como un administrador a nombre de un tercero responsable, les son predicables a ambas partes obligaciones de carácter formal y material en desarrollo de su labor, y su responsabilidad se encuentra intrínsecamente ligada, destacándose para nuestro interés los principios de circulación restringida y de seguridad del dato personal20.
III. DESARROLLO DEL PRINCIPIO DE SEGURIDAD, ACCESO Y CIRCULACIÓN RESTRINGIDA DEL DATO PERSONAL, EIMPLICACIONES PARA UNA ORGANIZACIÓN EMPRESARIAL
En el apartado anterior se mencionó que en el tratamiento de los datos personales intervienen diversos sujetos a quienes la ley les ha impuesto una serie de obligaciones de carácter formal y material. Corresponde exponer en este acápite la participación del operador de la información (régimen de habeas data financiero) y del responsable y encargado del tratamiento de la información (régimen de habeas data personal), particularmente la descripción de los principios de seguridad, circulación restringida y de responsabilidad predicable a estos sujetos involucrados en el tratamiento de los datos personales, comerciales y financieros.
A. CONCEPTUALIZACIÓN DEL PRINCIPIO DESEGURIDAD, ACCESO Y CIRCULACIÓN RESTRINGIDA
Tanto la Ley 1266 de 2008 como la Ley 1581 de 2012 consagran principios que son comunes para realizar un adecuado tratamiento de los datos personales. En el artículo 4.º común a ambas normativas se consagra el principio de seguridad consistente en la garantía que se debe brindar al tratamiento de datos, lo que demanda adoptar las medidas necesarias para garantizar la seguridad de los registros con el fin de evitar la adulteración, pérdida, consulta o uso no autorizado o fraudulento de los datos personales21. De igual forma, en el artículo 4.º de la Ley 1581 de 2012, y de la mano del principio de seguridad, encontramos el principio de acceso y circulación restringida, el cual le da el derecho al titular de la información de decidir quiénes pueden acceder a su información, así como el derecho de que sus datos personales no se den a conocer en medios de divulgación masiva a terceros no autorizados22.
De esa forma, estos principios consagran unos parámetros de garantía de uso adecuado para la información suministrada por el titular en cabeza de los responsables y encargados del tratamiento de datos personales. El titular está legitimado para saber cuáles datos han sido suministrados, conocidos y deducidos por una determinada organización empresarial, y el uso que se hace de ellos, así como su transferencia a terceros ajenos a su organización. Estos datos se convierten en un activo intangible cuyo uso y aprovechamiento otorgan una ventaja competitiva que se transforma en ingresos para la organización empresarial que los explota23, como ocurre con la predicción de los comportamientos del consumidor para fines de marketing comercial o político24.
En ese tipo de actividades de análisis de datos se presenta una mayor ocurrencia de amenazas digitales que incluyen el acceso a información caracterizada como dato personal, y que se traducen en su uso para fines distintos a los autorizados por el titular25. Así se refleja en el conocido caso de Cambridge Analytica, en el que, según la autoridad de protección de datos colombiana, a través de la aplicación thisisyourdigitallife se pudieron haber utilizado indebidamente los datos personales de más de 50 millones de usuarios de Facebook. En la misma decisión la autoridad colombiana de protección de datos advirtió que, a través del uso de aplicaciones en la plataforma social, se pudo haber influenciado y manipulado el comportamiento de los titulares de datos personales con las llamadas noticias falsas26.
De esa forma, los principios de seguridad, acceso y circulación restringida son los mecanismos idóneos para exigir a los operadores de información, responsables y encargados del tratamiento personales27, la adopción de acciones afirmativas de prevención, protección y detección de amenazas digitales, destacando las autoridades de protección de datos que el principio de seguridad debe operar por la simple realización del tratamiento de datos28. En ese sentido, el principio de seguridad demanda la adopción de medidas que no estén condicionadas a la existencia de un daño o perjuicio para los derechos de los titulares de los datos personales –deber de prevención en el tratamiento de los datos personales–29.
Los principios de seguridad, circulación y acceso restringido constituyen la base de la exigencia de acciones positivas de carácter preventivo y reactivo a los operadores de información, responsables y encargados del tratamiento de datos ante una eventual o actual amenaza digital que afecte datos personales, comerciales y financieros30. De la misma forma, son el fundamento del régimen de responsabilidad administrativa en materia de tratamiento de datos personales, comerciales y financieros, conocido como principio de responsabilidad demostrada o principio de accountability.
