Derechos de autor reservados - Prohibida su reproducción
|
|
FICHA DE ANÁLISIS No. 267
IDENTIFICACIÓN DE LA SENTENCIA
| Tribunal de origen | Corte Constitucional | Identificación de la sentencia | C-1011/08 | Ponente | JAIME CÓRDOBA TRIVIÑO |
| Tipo de acción o recurso | Control de Constitucionalidad (previo) | Tipo de decisión | Exequible; Exequibilidad condicionada; Inexequible | ||
| Norma demanda | Proyecto de Ley Estatutaria No. 27/06 Senado – 221/07 Cámara (Acum. 05/06 Senado) “por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones.” | ||||
| Hechos relevantes | No aplica | ||||
| Clase de interpretación | Interpretación de la Constitución | Norma aplicable | Constitución Política, artículo 15; Ley estatutaria 1266 de 2008 | ||
| Precedentes a Considerar | T-729-02 | Decisiones posteriores a considerar | No aplica | ||
| Tema | Habeas Data. Principios | ||||
| Subtema | No aplica | ||||
¿Cuales son los principios que rigen la administración de datos personales?
Los principios para la administración de datos personales, todos ellos destinados a crear fórmulas armónicas de regulación que permitan la satisfacción equitativa de los derechos de los titulares, fuentes de información, operadores de bases de datos y usuarios, son:
1. Principio de libertad: de acuerdo con este principio las actividades de registro y divulgación de los datos personales sólo pueden ejercerse con el consentimiento libre, previo y expreso del titular de esa información, esto es, el sujeto concernido. Así, esos datos no podrán ser obtenidos o divulgados sin esa previa autorización, o en ausencia de mandato legal o judicial que releve de ese consentimiento.
2. Principio de necesidad: implica que la información personal concernida debe ser aquella estrictamente necesaria para el cumplimiento de los fines de la base de datos. Esta previsión trae como consecuencia que se encuentre prohibido el registro y divulgación de datos que no guarden una relación estrecha con el objetivo de la base de datos. Adicionalmente y de manera lógica, el principio de necesidad también contrae la obligación que cada base de datos identifique de manera clara, expresa y suficiente, cuál es el propósito de la recolección y tratamiento de la información personal.
3. Principio de veracidad: los datos personales deben corresponder a situaciones reales, lo que impone la prohibición de recopilar, procesar y circular información falsa, errónea o equívoca.
4. Principio de integridad: impone la obligación a las fuentes de información y a los operadores de suministrar y recopilar datos personales completos, de tal forma que está prohibido el registro y divulgación de información parcial, incompleta o fraccionada. El alcance de este principio, salvo casos excepcionales, no debe entenderse de modo tal que faculte la constitución de sistemas de información que, a través de una única base de datos pueda compilar datos que, sin valerse de otras bases de datos, permitan realizar un perfil completo de las personas.
5. Principio de finalidad: las actividades de acopio, procesamiento y divulgación de la información personal deben obedecer a un fin constitucionalmente legítimo y que, a su vez, debe ser definido de forma clara, suficiente y previa. Esto implica que quede prohibida (i) la recopilación de información personal sin que se establezca el objetivo de su incorporación a la base de datos; y (ii) la recolección, procesamiento y divulgación de información personal para un propósito diferente al inicialmente previsto y autorizado por el titular del dato.
6. Principio de utilidad: las actividades de acopio, procesamiento e información de datos personales deben cumplir una función determinada, acorde con el ejercicio legítimo de la administración de los mismos. En consecuencia, queda proscrita la divulgación de datos que, al carecer de función, no obedezca a una utilidad clara y suficientemente determinable.
7. Principio de circulación restringida: implica que las actividades de recolección, procesamiento y divulgación de información personal estén sometidas a los límites específicos determinados por el objeto de la base de datos, por la autorización del titular y por el principio de finalidad. Por lo tanto, queda prohibida la divulgación indiscriminada de datos personales.
8. Principio de incorporación: en los casos en que la recolección de información personal en bases de datos signifique situaciones ventajosas para su titular, el operador de la base estará obligado a incorporarlos, si el titular reúne los requisitos que el orden jurídico exija para tales efectos. Por ende, está prohibida la negativa injustificada a la incorporación de datos personales de dicho carácter.
9. Principio de caducidad estipula que la información desfavorable del titular debe ser retirada de las bases de datos, de forma definitiva, con base en criterios de razonabilidad y oportunidad. En consecuencia, se prohíbe la conservación indefinida de datos personales, después que hayan desaparecido las causas que justificaron su acopio y administración.
10. Principio de individualidad: los operadores deben mantener separadas las bases de datos que se encuentren bajo su administración, de manera que está prohibida la conducta que tenga por objeto facilitar el cruce de datos a partir de la acumulación de informaciones provenientes de diferentes bases de datos.
Principios para la administración de datos personales
“(…) La jurisprudencia ha contemplado, igualmente, que la protección efectiva de los derechos fundamentales interferidos en las actividades de recolección, procesamiento y circulación de datos personales, en especial el hábeas data, la intimidad y la información, depende la formulación de un grupo de principios para la administración de datos personales, todos ellos destinados a crear fórmulas armónicas de regulación que permitan la satisfacción equitativa de los derechos de los titulares, fuentes de información, operadores de bases de datos y usuarios. Estas prerrogativas alcanzan concreción a partir de la vigencia de los principios de libertad, necesidad, veracidad, integridad, incorporación, finalidad, utilidad, circulación restringida, caducidad e individualidad.
De acuerdo con el principio de libertad, las actividades de registro y divulgación de los datos personales sólo pueden ejercerse con el consentimiento libre, previo y expreso del titular de esa información, esto es, el sujeto concernido. Así, esos datos no podrán ser obtenidos o divulgados sin esa previa autorización, o en ausencia de mandato legal o judicial que releve de ese consentimiento.
El principio de necesidad implica que la información personal concernida debe ser aquella estrictamente necesaria para el cumplimiento de los fines de la base de datos. Esta previsión trae como consecuencia que se encuentre prohibido el registro y divulgación de datos que no guarden una relación estrecha con el objetivo de la base de datos. Adicionalmente y de manera lógica, el principio de necesidad también contrae la obligación que cada base de datos identifique de manera clara, expresa y suficiente, cuál es el propósito de la recolección y tratamiento de la información personal.
Según el principio de veracidad, los datos personales deben corresponder a situaciones reales, lo que impone la prohibición de recopilar, procesar y circular información falsa, errónea o equívoca.
El principio de integridad impone la obligación a las fuentes de información y a los operadores de suministrar y recopilar datos personales completos, de tal forma que está prohibido el registro y divulgación de información parcial, incompleta o fraccionada. El alcance de este principio, salvo casos excepcionales, no debe entenderse de modo tal que faculte la constitución de sistemas de información que, a través de una única base de datos pueda compilar datos que, sin valerse de otras bases de datos, permitan realizar un perfil completo de las personas.
De acuerdo con el principio de finalidad, las actividades de acopio, procesamiento y divulgación de la información personal deben obedecer a un fin constitucionalmente legítimo y que, a su vez, debe ser definido de forma clara, suficiente y previa. Esto implica que quede prohibida (i) la recopilación de información personal sin que se establezca el objetivo de su incorporación a la base de datos; y (ii) la recolección, procesamiento y divulgación de información personal para un propósito diferente al inicialmente previsto y autorizado por el titular del dato.
De conformidad con el principio de utilidad, las actividades de acopio, procesamiento e información de datos personales deben cumplir una función determinada, acorde con el ejercicio legítimo de la administración de los mismos. En consecuencia, queda proscrita la divulgación de datos que, al carecer de función, no obedezca a una utilidad clara y suficientemente determinable.
El principio de circulación restringida implica que las actividades de recolección, procesamiento y divulgación de información personal estén sometidas a los límites específicos determinados por el objeto de la base de datos, por la autorización del titular y por el principio de finalidad. Por lo tanto, queda prohibida la divulgación indiscriminada de datos personales.
Según el principio de incorporación, en los casos en que la recolección de información personal en bases de datos signifique situaciones ventajosas para su titular, el operador de la base estará obligado a incorporarlos, si el titular reúne los requisitos que el orden jurídico exija para tales efectos. Por ende, está prohibida la negativa injustificada a la incorporación de datos personales de dicho carácter.
El principio de caducidad estipula que la información desfavorable del titular debe ser retirada de las bases de datos, de forma definitiva, con base en criterios de razonabilidad y oportunidad. En consecuencia, se prohíbe la conservación indefinida de datos personales, después que hayan desaparecido las causas que justificaron su acopio y administración.
De acuerdo con el principio de individualidad, los operadores deben mantener separadas las bases de datos que se encuentren bajo su administración, de manera que está prohibida la conducta que tenga por objeto facilitar el cruce de datos a partir de la acumulación de informaciones provenientes de diferentes bases de datos.
Finalmente, la misma doctrina ha planteado que la fijación de estos principios no es incompatible con la posibilidad que se prediquen, a partir de normas constitucionales y legales, otros deberes a los titulares, fuentes, administradores y usuarios de la información personal, como es el caso de una obligación de diligencia y seguridad en el manejo de los datos personales y la obligación de indemnizar por los perjuicios causados en razón de las actuaciones u omisiones que violen los requisitos para la información personal antes enunciados. (…)”
Primero. Declarar EXEQUIBLE, por su aspecto formal, el Proyecto de Ley Estatutaria No. 27/06 Senado – 221/07 Cámara (Acum. 05/06 Senado) “por la cual se dictan las disposiciones generales del Hábeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones.”.
Segundo.- Declarar EXEQUIBLES los artículos 1o, 2o, 4o, 7o, 8o, 9o, 10, 11, 12, 15, 16, 18, 19, 20, 21 y 22 del Proyecto de Ley Estatutaria objeto de revisión.
Tercero.- Declarar EXEQUIBLE el artículo 3o del Proyecto de Ley objeto de revisión, en el entendido que respecto a lo previsto en el literal c) de este artículo, el operador es responsable a partir de la recepción del dato suministrado por la fuente, por el incumplimiento de los deberes de diligencia y cuidado en relación con la calidad de la información personal, consagrados en esta Ley Estatutaria. Esta declaratoria de exequibilidad operará salvo la expresión “así como la información relativa a las demás actividades propias del sector financiero o sobre el manejo financiero o los estados financieros del titular”, contenida en el literal j) del artículo 3o del Proyecto de Ley Estatutaria, que se declara INEXEQUIBLE.
Cuarto.- Declarar EXEQUIBLE el artículo 5o del Proyecto de Ley objeto de revisión, en el entendido que respecto a lo previsto en el literal d) de este artículo, las entidades públicas del poder ejecutivo, cuando acceden al dato personal, quedan sometidas a los deberes y responsabilidades previstos por la Ley Estatutaria para los usuarios de la información.
Quinto.- Declarar EXEQUIBLE el artículo 6o del Proyecto de Ley objeto de revisión, en el entendido que respecto a lo previsto en el numeral 2.1. de este artículo, la fuente tiene la obligación de informar a los titulares los datos que suministra al operador, para los fines previstos en el inciso 2o del artículo 12 de la Ley Estatutaria.
Sexto.- Declarar EXEQUIBLE el artículo 13 del Proyecto de Ley objeto de revisión, en el entendido que la caducidad del dato financiero en caso de mora inferior a dos años, no podrá exceder el doble de la mora, y que el término de permanencia de cuatro años también se contará a partir del momento en que se extinga la obligación por cualquier modo.
Séptimo.- Declarar EXEQUIBLE el artículo 14 del Proyecto de Ley, en el entendido que las expresiones “reporte negativo” y “reporte positivo” de los literales a. y b. hacen referencia exclusivamente al cumplimiento o incumplimiento de la obligación, y que el reporte deberá contener la información histórica, integral, objetiva y veraz del comportamiento crediticio del titular.
Octavo.- Declarar EXEQUIBLE el artículo 17 del Proyecto de Ley objeto de revisión, en el entendido que las Superintendencias, en todo caso, deben actuar con independencia y autonomía en su función de vigilancia.
Noveno.- ENVIAR copia auténtica de esta sentencia a los Presidentes del Senado de la República y de la Cámara de Representantes para su conocimiento, y con el fin de que remitan al Presidente de la República el texto del proyecto de ley, para los efectos del correspondiente trámite constitucional.
SALVAMENTO O ACLARACIÓN DE VOTO.
Ninguno.
Ninguno.
"Normograma - Colpensiones - Administradora Colombiana de Pensiones"
ISSN [2256-1633 (En linea)]
Última actualización: 31 de diciembre de 2020
Fecha de Diario Oficial: Diciembre 13 de 2020 (No. 51527)
Las notas de vigencia, concordancias, notas del editor, forma de presentación y disposición de la compilación están protegidas por las normas sobre derecho de autor. En relación con estos valores jurídicos agregados, se encuentra prohibido por la normativa vigente su aprovechamiento en publicaciones similares y con fines comerciales, incluidas -pero no únicamente- la copia, adaptación, transformación, reproducción, utilización y divulgación masiva, así como todo otro uso prohibido expresamente por la normativa sobre derechos de autor, que sea contrario a la normativa sobre promoción de la competencia o que requiera autorización expresa y escrita de los autores y/o de los titulares de los derechos de autor. En caso de duda o solicitud de autorización puede comunicarse al teléfono 617-0729 en Bogotá, extensión 101. El ingreso a la página supone la aceptación sobre las normas de uso de la información aquí contenida.