Protección de Datos: ¿carga para hacer negocios?

En diciembre de 2010 el Congreso aprobó la denominada Ley de Protección de Datos Personales, que a continuación describo.

A pesar de dicha aprobación y por ser la ley de las que la Constitución denomina “estatutaria” (son, entre otras de categoría superior, aquellas que establecen derechos y deberes fundamentales de las personas), antes de que la misma hubiera sido firmada por el Presidente Santos, debía surtir un trámite de aprobación por parte de la Corte Constitucional. Finalmente y después de casi dos años, la Corte publicó la sentencia en la que declaró ajustada a la Constitución la mayoría de la ley, declaró inexequibles algunos apartes e interpretó y explicó otro muchos. La ley hoy no ha sido firmada por Presidente Santos y por ende no tiene número que la identifique.

Más allá de hacer una disquisición jurídica sobre la ley, quiero poner de presentes ciertos derechos que las personas dueñas de datos personales tienen y ciertas obligaciones que las empresas que manejan datos y bases de datos van a tener en relación con los derechos de los titulares de los datos. Lo primero que hace la ley es reconocer un hecho que en Colombia -y en general en Latino América- no había querido ser reconocido: los datos personales son de su titular, no de quien los ha recopilado. Y por perogrullesco que esto parezca, el manejo que hasta ahora se ha dado de las bases de datos hasta ahora demuestra que la realidad en el país es diferente. Han sido los dueños de las bases de datos los que han hecho lo que han querido con la información personal allí incluida, sin perjuicio del verdadero de la información: el titular. La ley establece dos categorías de datos que tienen especial protección: (i) los datos sensibles y (ii) los datos personales de los niños adolescentes. (i) Los datos sensibles son aquellos que afectan la intimidad de las personas o cuyo uso indebido puede generar discriminación (origen racial o étnico, orientación política, convicciones filosóficas o religiosas, pertenencia a sindicatos u organizaciones sociales o de derechos humanos, datos de salud, de la vida sexual y datos biométricos). Su tratamiento está, en términos generales, prohibido salvo algunas excepciones que por razón de espacio no describo. (ii) En lo que se refiere a los datos de menores de edad, se debe tener en cuenta que aunque el proyecto proscribe su tratamiento (con la excepción de aquellos que son de naturaleza pública) la Corte Constitucional precisó que tal prohibición debe interpretarse de forma tal que sí se pueda llevar a cabo pero siempre con plena protección de los derechos fundamentales del menor y con miras a la “realización del principio de su interés superior”.  Dicho lo anterior, aquí es donde quiero poner de presente la gran bondad -para algunos, en especial los defensores de los derechos de los titulares de los datos- y la gran desventaja -para otros, los defensores de la libre empresa- de la ley: quien quiera pedir, guardar y utilizar datos personales (es decir, los dueños de las bases de datos), deberá contar con el permiso del titular -aun para aquellos datos recogidos con antelación a la vigencia de la ley- para el cual al titular hay que informarle la finalidad de la recolección de los datos, mantener dicha autorización y proteger los datos personales de tal manera que no pueda ser usurpada. En tal sentido, quiero terminar subrayando unas de las obligaciones de los dueños y usuarios de bases de datos: garantizar el ejercicio de los derechos de los titulares; solicitar y conservar la autorización; Informar la finalidad de la recolección de datos; conservar la información bajo condiciones de seguridad para impedir adulteración y garantizar veracidad.