Colombia | Así es la protección del habeas data y las sanciones por mal uso de datos personales

105

La República – Cristián Acosta

Según cifras de la Cámara Colombiana de Comercio Electrónico, en el tercer trimestre del año se realizaron 71,4 millones de transacciones por ventas en línea, lo que representó un aumento de 41,1% respecto al mismo periodo de 2020. El uso de internet para las actividades comerciales fue acelerado por la pandemia y, ante su masificación, es importante tener en cuenta cómo las empresas están manejando su información personal y tener cuidado con los datos que suministra a las bases corporativas.

Por ello, Asuntos Legales le ofrece nociones básicas sobre el habeas data y la protección de datos personales, pues las empresas pueden afrontar multas hasta por 2.000 salarios mínimos mensuales por afectar los derechos de los ciudadanos.

El habeas data es el derecho que tiene cualquier persona de actualizar y rectificar la información que haya sido recolectada en bancos de datos, por entidades públicas o privadas.

Según Lorenzo Villegas-Carrasquilla, socio de CMS Rodríguez-Azuero, el término de habeas data ha evolucionado con los años hacia una definición de protección de datos, que está regulada en la Ley 1581 de 2012. “El habeas data es un derecho fundamental que están previsto en la Constitución Política de Colombia”, dijo.

De esta manera, el titular de la información es cualquier persona natural o jurídica que tiene sus datos en una base. La fuente de la información es el vínculo que une al ciudadano con los datos personales que hay en las bases y que serán manejados con la autorización expresa del titular. El ciudadano tendrá el derecho de consultar la información, actualizarla si existe algún error y solicitar su eliminación de la base de datos si su tenencia no está sustentada en una base legal.

Limites de las empresas

Con relación a los límites que tienen las empresas y entidades sobre los datos, el titular debe dar su autorización expresa para su recolección y tendrán que contar con un consentimiento para hacer uso la información personal de un ciudadano. “Esto implica que la empresa debe decir para qué se van a utilizar esos datos, cuál es la finalidad, cómo los van a usar, quienes los utilizarán y cuáles serán los medios de tratamiento”, agregó Villegas.

Según la Superintendencia de Industria y Comercio, existen cuatro tipos de datos. El primero es de carácter público, que es de interés general como documentos públicos o sentencias judiciales o estado civil de las personas. Por otro lado están los datos semiprivados, los cuales interesan solo al titular y a un grupo determinado de personas; su recolección debe hacerse mediante una autorización y, por ejemplo, son utilizados en el ámbito financiero para conocer la vida crediticia del ciudadano.

Los datos privados, según la SIC, son aquellos que por, su naturaleza íntima o reservada, solo son de interés para el titular de la información.

“Existen también los datos sensibles que están ligados a la intimidad de la persona: constan de información sobre su salud, identidad sexual, datos biométricos u orientación política y filosófica. Si bien todos están amparados legal y constitucionalmente, esos datos tienen más protección y su tratamiento tiene más restricciones”, aseguró el experto.

Las restricciones en mención están basadas en que la información sensible no podrá ser obtenida salvo el consentimiento del titular de la información o por orden de una autoridad judicial que esté en cumplimiento de sus funciones.
También podrán ser solicitados los datos para salvaguardar la vida del ciudadano, en caso de que esté incapacitado física o jurídicamente.

Sanciones

Ahora, teniendo en cuenta las consideraciones anteriores, las empresas que hagan mal uso de los datos personales, como captar información sensible sin autorización, podrán enfrentar multas hasta de 2.000 salarios mínimos mensuales legales vigentes.

“Habrá orden de suspensión de las actividades violatorias de la ley de protección de datos, posible suspensión de actividades comerciales o, inclusive, cierre total de las operaciones”, explicó Villegas.

Las sanciones descritas anteriormente son solo de índole administrativa y serán dictadas por la Superindustria, dependiendo del caso. Existen, además, posibles penas de prisión, pero se trata de casos excepcionales en que la recolección de datos personales se haga con fines delictivos.

“Una cosa es que yo, como docente universitario, recolecte datos de mis alumnos para enviar calificaciones y termine enviando mercadeo de mi firma, pero otra es que hackee una base de datos a través de medios informáticos y la utilice para un provecho personal con ánimo delictivo”, dijo a manera de ejemplo.