2.12.1. Texto de la disposición
“Artículo 10. Casos en que no es necesaria la autorización. La autorización del Titular no será necesaria cuando se trate de:
a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
b) Datos de naturaleza pública.
c) Casos de urgencia médica o sanitaria.
d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
e) Datos relacionados con el Registro Civil de las Personas.
Quien acceda a los datos personales sin que medie autorización previa deberá en todo caso cumplir con las disposiciones contenidas en la presente ley.”
2.12.2. Intervenciones ciudadanas y concepto del Ministerio Público
2.12.2.1. La Secretaría Jurídica de la Presidencia de la República solicita la exequibilidad condicionada del artículo 10, en el entendido de que esta disposición es constitucional siempre y cuando se realice una interpretación armónica del mismo con los principios de la ley y de la constitución.
Asegura que el literal c) del artículo 10 es constitucional, siempre y cuando se entienda que este evento debe obedecer a la existencia de circunstancias apremiantes de urgencia médica, bien para el titular o para terceros que amerite que el tratamiento se realice sin autorización. Lo mismo podría decirse de una emergencia sanitaria. Sin embargo, estas excepciones deben interpretarse con carácter restrictivo, sólo ante circunstancias verdaderamente apremiantes.
Afirma que el último inciso del artículo 10, es constitucional pero advierte que su interpretación debe hacerse con carácter restrictivo y en concordancia con los principios de la ley objeto de estudio, y que han sido avalados por la Corte Constitucional.
Por último, en relación con el literal c) del artículo 10, que es importante que cualquier ley que otorgue una autorización de esta índole debe ser respetuosa de los principios señalados en el proyecto de ley objeto de estudio y que han sido reiterados por la Corte Constitucional en ocasiones anteriores. Refiere que la regla general es que debe mediar una autorización y la excepción es que no se cuente con la misma cuando existan intereses constitucionales superiores, en especial, aquéllos que dentro de un Estado Social de Derecho importan a todo el conglomerado social.
2.12.2.2. La Defensoría del Pueblo solicita la exequibilidad condicionada del literal c) del artículo 10. Expuso que en los casos de urgencia médica o sanitaria, la situación puede hacer particularmente onerosa la satisfacción de la condición de la autorización.
Sin embargo, dado que en estos casos pueden verse involucrados datos de carácter “sensible”, como son precisamente los referidos a la salud, esta excepción debería ser leída no como una autorización irrestricta para prescindir del consentimiento, sino como una alternativa extrema a la que se llega cuando no ha sido posible lograr el consentimiento del titular o la premura de la situación lo impide.
Por lo anterior, la Defensoría considera que la constitucionalidad de esta excepción debe condicionarse a que se entienda que ella opera sólo en los casos en que dada la situación concreta de urgencia, no sea posible obtener la autorización del titular o resulte particularmente problemático gestionarla, dadas las circunstancias de apremio, riesgo o peligro para otros derechos fundamentales, ya sea del titular o de terceras personas.
De otro lado, solicita la declaratoria de inexequibilidad del último inciso del artículo 10; pues es contraria a los derechos y garantías inherentes al derecho fundamental a la protección de datos personales. De hecho, semejante laxitud equivale a dejar sin efecto concreto, no sólo las garantías constitucionales previstas en el artículo 15 de la Carta sino las previstas en la propia ley.
En otras palabras, la Defensoría consideró que de nada sirve consagrar como derecho y principio del tratamiento de datos, la autorización o el consentimiento del titular, si la ley no prevé una consecuencia adversa para quien lleva a cabo el tratamiento sin contar previamente con dicha autorización o sin estar facultado por la ley para realizarlo. En consecuencia, solicitó la declaratoria de inexequibilidad del último inciso del artículo 10 del proyecto.
2.12.2.3. El Ministerio Público no se pronuncio sobre la constitucionalidad de la disposición.
2.12.3. Consideraciones de la Corte
El artículo 10 desarrolla los casos en que no es necesaria su autorización, específicamente cuando: la información es requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial, los datos de naturaleza pública, los casos de urgencia médica o sanitaria, tratamiento autorizado por la Ley para fines históricos, estadísticos o científicos y datos relacionados con el registro civil de las personas.
El consentimiento del titular de la información es un presupuesto para la legitimidad constitucional de los procesos de administración de datos personales. En concordancia con los expuesto frente al “principio de libertad”, en el manejo de los datos no podrá existir una autorización tácita.
En relación con la posibilidad de excepcionar el consentimiento, en estos casos existen importantes intereses constitucionales que justifican tal limitación.
Por su parte, tanto en el ordenamiento internacional como en el derecho comparado, se disponen causales que eximen la necesidad de la autorización. Así, en la Resolución 45/95 del 14 de diciembre de 1990 de las Naciones Unidas, se consagran restricciones relacionadas con la “seguridad nacional, orden público, salud pública o la moralidad; así como para proteger los derechos y libertades de otros, especialmente las personas que estén siendo perseguidas, siempre que tales excepciones estén especificadas de forma explícita en una ley o norma equivalente, promulgada de acuerdo con el sistema jurídico interno, que expresamente establezca sus límites y prevea las salvaguardas adecuadas”
La Directiva 95/46/CE[266] del Parlamento Europeo y del Consejo Europeo, del 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, también señala que es necesario el consentimiento salvo “que la información sea necesaria para la ejecución de un contrato en el que el interesado sea parte, o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o cuando sea necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o sea necesario para proteger el interés vital del interesado, o necesario para el cumplimiento de una misión de interés público, o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección.”
El artículo 10 del Proyecto de Ley bajo estudio señala las situaciones en las que no es necesaria la autorización, las cuales responden a la naturaleza misma del dato y al tipo de funciones que cumplen. Sin embargo, deben hacerse las siguientes precisiones:
En primer término, se señala que se prescindirá de la autorización cuando la información sea “requerida por una autoridad pública o administrativa en ejercicio de sus funciones legales o por orden judicial”. Sin embargo, considera la Sala que deben hacerse las mismas observaciones que las contenidas en la Sentencia C-1011 de 2008, al hacer el estudio del Proyecto de Ley Estatutaria de los datos financieros.
En relación, con las autoridades públicas o administrativas, señaló la Corporación que tal facultad “no puede convertirse en un escenario proclive al abuso del poder informático, esta vez en cabeza de los funcionarios del Estado. Así, el hecho que el legislador estatutario haya determinado que el dato personal puede ser requerido por toda entidad pública, bajo el condicionamiento que la petición se sustente en la conexidad directa con alguna de sus funciones, de acompasarse con la garantía irrestricta del derecho al hábeas data del titular de la información. En efecto, amén de la infinidad de posibilidades en que bajo este expediente puede accederse al dato personal, la aplicación del precepto bajo análisis debe subordinarse a que la entidad administrativa receptora cumpla con las obligaciones de protección y garantía que se derivan del citado derecho fundamental, en especial la vigencia de los principios de finalidad, utilidad y circulación restringida.
Para la Corte, esto se logra a través de dos condiciones: (i) el carácter calificado del vínculo entre la divulgación del dato y el cumplimiento de las funciones de la entidad del poder Ejecutivo; y (ii) la adscripción a dichas entidades de los deberes y obligaciones que la normatividad estatutaria predica de los usuarios de la información, habida consideración que ese grupo de condiciones permite la protección adecuada del derecho.
En relación con el primero señaló la Corporación que “la modalidad de divulgación del dato personal prevista en el precepto analizado devendrá legítima, cuando la motivación de la solicitud de información esté basada en una clara y específica competencia funcional de la entidad.” Respecto a la segunda condición, la Corte estimó que una vez la entidad administrativa accede al dato personal adopta la posición jurídica de usuario dentro del proceso de administración de datos personales, lo que de forma lógica le impone el deber de garantizar los derechos fundamentales del titular de la información, previstos en la Constitución Política y en consecuencia deberán: “(i) guardar reserva de la información que les sea suministrada por los operadores y utilizarla únicamente para los fines que justificaron la entrega, esto es, aquellos relacionados con la competencia funcional específica que motivó la solicitud de suministro del dato personal; (ii) informar a los titulares del dato el uso que le esté dando al mismo; (iii) conservar con las debidas seguridades la información recibida para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento; y (iv) cumplir con las instrucciones que imparta la autoridad de control, en relación con el cumplimiento de la legislación estatutaria.”
En relación con la orden judicial, dijo la Corporación que “si bien no existe una autorización expresa del titular que circunscriba la circulación del dato, la posibilidad de acceso resulta justificada en la legitimidad que tienen en el Estado Constitucional de Derecho las actuaciones judiciales, ámbitos de ejercicio de la función pública sometidos a reglas y controles, sustentados en la eficacia del derecho al debido proceso y rodeado de las garantías anejas a éste, en especial, los derechos de contradicción y defensa. Así, reconociéndose la importancia de esta actividad en el régimen democrático, entendida como pilar fundamental para la consecución de los fines estatales de asegurar la convivencia pacífica y la vigencia de un orden justo y advirtiéndose, del mismo modo, que el acto de divulgación en este caso responde a una finalidad constitucionalmente legítima, el precepto examinado es exequible.”
En lo que se relaciona con los datos públicos y el registro civil de las personas, su naturaleza hace que no estén sujetos al principio de autorización. La información pública es aquella que puede ser obtenida sin reserva alguna, entre ella los documentos públicos, habida cuenta el mandato previsto en el artículo 74 de la Constitución Política. Esta información puede ser adquirida por cualquier persona, sin necesidad de autorización alguna para ello.
Frente a los casos de urgencia médica y sanitaria, en aras de la efectividad del derecho a la libertad en el manejo de datos, la norma debe entenderse que opera sólo en los casos en que dada la situación concreta de urgencia, no sea posible obtener la autorización del titular o resulte particularmente problemático gestionarla, dadas las circunstancias de apremio, riesgo o peligro para otros derechos fundamentales, ya sea del titular o de terceras personas.
En relación con el tratamiento para fines históricos, estadísticos o científicos, la norma no ofrece reparo de constitucionalidad en razón a que delega a la Ley la manera como estos datos deben ser protegidos, además, debe interpretarse en concordancia con el literal e) del artículo 6 que señala que en estos casos “deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares”.
Finalmente, cabe señalar que la Defensoría del Pueblo solicita la inexequibilidad del último párrafo del artículo 10 por cuanto se traduciría en una autorización general para el acceso a los datos personales, sin consentimiento del titular. Sin embargo, una lectura de la norma permite interpretar que lo que busca el legislador estatutario es que en los casos taxativos permitidos por el artículo 10, en los que no es necesario el consentimiento del Titular, el uso del dato también debe sujetarse a todos los principios y limitaciones consagrados en la Ley. Por el contrario, jamás podría interpretarse como una autorización abierta para que se accedan a datos personales sin consentimiento de su titular.
2.13. EXAMEN DEL ARTÍCULO 11: SUMINISTRO DE INFORMACIÓN.
2.13.1. Texto de la disposición
“Artículo 11. Suministro de la información. La información solicitada podrá ser suministrada por cualquier medio, incluyendo los electrónicos, según lo requiera el Titular. La información deberá ser de fácil lectura, sin barreras técnicas que impidan su acceso y deberá corresponder en un todo a aquella que repose en la base de datos.
El Gobierno Nacional establecerá la forma en la cual los Responsables del Tratamiento y Encargados del Tratamiento deberán suministrar la información del Titular, atendiendo a la naturaleza del dato personal. Esta reglamentación deberá darse a más tardar dentro del año siguiente a la promulgación de la presente ley.”
2.13.2. Intervenciones ciudadanas y concepto del Ministerio Público
No se presentaron intervenciones al respecto. Por otro lado, el Ministerio Público no se refirió a la constitucionalidad de la disposición.
2.13.3. Constitucionalidad del artículo 11: suministro de información
El artículo 11 regula lo relativo a los mecanismos de entrega de la información suministrada al Titular, los cuales deberán ser reglamentados por el Gobierno Nacional. La norma ordena que ésta deberá ser de fácil lectura, sin barreras técnicas y deberá tener toda la información que se encuentra relacionada en la base de datos.
La constitucionalidad de esta primera parte de la disposición no plantea mayores inconvenientes, habida cuenta que desarrolla uno de los derechos de los Titulares: el acceso a su información.
Por otra parte, no existe reparo en cuanto a la facultad otorgada al Gobierno Nacional por cuanto se trata de un asunto eminentemente técnico, delimitado y que no versa sobre los aspectos esenciales del derecho fundamental, ni mucho menos ofrece una regulación integral del mismo. Por lo tanto, en este marco, el legislador estatutario ordena al Gobierno Nacional que, mediante su potestad reglamentaria, concrete la manera en que se entregará la información al Titular. Sobre el particular, cabe recordar que la Corte ha admitido la constitucionalidad de este tipo de disposiciones, siempre y cuando el legislador haya establecido un contenido material legislativo que sirva de base para el ejercicio de dicha potestad. Frente al punto ha dicho la jurisprudencia:
“Es posible que la rama legislativa con la utilización de un lenguaje amplio reconozca a la autoridad administrativa competente un margen suficiente para el desarrollo específico de algunos de los supuestos definidos en la ley con el propósito de concretar la aplicación de ciertos preceptos legales a circunstancias diversas y cambiantes. Eso es propio de un Estado regulador. Sin embargo, en esos eventos la acción de la administración y el cumplimiento de las políticas públicas que animan la ley y las regulaciones administrativas que las materializan dependen de que las disposiciones legales establezcan criterios inteligibles, claros y orientadores dentro de los cuales ha de actuar la administración de tal forma que se preserven los principios básicos de un estado social y democrático de derecho.”[267]
De igual manera debe entenderse que la expresión “Esta reglamentación deberá darse a más tardar dentro del año siguiente a la promulgación de la presente ley”, no debe entenderse como un término de caducidad de facultad reglamentaria, pues al contrario, la jurisprudencia constitucional ha señalado que no es posible establecer limitaciones a la misma, la cual se ejerce en forma permanente y en virtud de expreso mandato constitucional.
En efecto, ha dicho la Corte que la potestad reglamentaria tiene fundamento en lo previsto por el artículo 189-11 C.P., e implica que el Ejecutivo está revestido de la facultad para expedir decretos, resoluciones y órdenes necesarios para la cumplida ejecución de las leyes. La potestad reglamentaria, en consecuencia, tiene naturaleza “ordinaria, derivada, limitada y permanente”.[268] Es ordinaria en razón a que es una función de la Rama Ejecutiva, sin que para su ejercicio requiera de habilitación distinta de la norma constitucional que la confiere. Tiene carácter derivado, puesto que requiere de la preexistencia de material legislativo para su ejercicio.[269] Del mismo modo es limitada porque “encuentra su límite y radio de acción en la constitución y en la ley; es por ello que no puede alterar o modificar el contenido y el espíritu de la ley, ni puede dirigirse a reglamentar leyes que no ejecuta la administración, así como tampoco puede reglamentar materias cuyo contenido está reservado al legislador”.[270]. Por último, “la potestad reglamentaria es permanente, habida cuenta que el Gobierno puede hacer uso de la misma tantas veces como lo considere oportuno para la cumplida ejecución de la ley de que se trate y hasta tanto ésta conserve su vigencia.” [271]
2.14. EXAMEN DEL ARTÍCULO 12: DEBER DE INFORMAR AL TITULAR.
2.14.1. Texto de la disposición
“Artículo 12. Deber de informar al titular. El Responsable del Tratamiento, al momento de solicitar al Titular la autorización, deberá informarle de manera clara y expresa lo siguiente:
a) El Tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo.
b) El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.
c) Los derechos que le asisten como Titular.
d) La identificación, dirección física o electrónica y teléfono del Responsable del Tratamiento.
Parágrafo. El Responsable del Tratamiento deberá conservar prueba del cumplimiento de lo previsto en el presente artículo y, cuando el Titular lo solicite, entregarle copia de esta.”
2.14.2. Intervenciones ciudadanas y concepto del Ministerio Público
2.14.2.1. La Defensoría del Pueblo solicita la inexequibilidad del aparte del literal b) del artículo 12 que preceptúa: “cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes” por las siguientes razones:
Expone que una concepción congruente con los principios de libertad, autorización y finalidad del tratamiento de datos, conduce necesariamente a la afirmación de que las respuestas a las preguntas que le sean formuladas al titular, debe ser facultativa o potestativa, independientemente de que se trate de datos sensibles o datos que no lo sean. Limitar dicha potestad a los datos sensibles implica forzar las respuestas en los demás casos, con lo cual, quedan por completo desvirtuadas las garantías inherentes a la protección de datos, como la autodeterminación informática, la intimidad y la libertad.
Por otra parte, afirma, incluir preguntas sobre datos sensibles para luego ser tratados, vulnera claramente la prohibición de su tratamiento.
Adicional a lo anterior, la Defensoría destacó que el tratamiento de datos de infantes y adolescentes, salvo en lo referente a los datos de naturaleza pública, debe entenderse proscrito por el ordenamiento superior, según las previsiones relativas a la prevalencia de sus derechos y la garantía del interés superior de que son titulares, prohibición que es recogida en el artículo 7 del proyecto. En este sentido, no cabría ni siquiera la posibilidad de formular tales preguntas ni a sus padres ni a sus tutores, ni menos aún a los propios niños, niñas y adolescentes.
2.14.2.2. El Ministerio Público no presentó consideraciones particulares frente a la norma
2.14.3. Consideraciones de la Corte
El artículo 12 dispone las características de la información que deberá ser suministrada por el Responsable del Tratamiento. La disposición es constitucional, pero el literal b) debe condicionarse por las siguientes razones.
La norma señala a los Titulares deberá informárseles “el carácter facultativo a las preguntas que le sean hechas, cuando éstas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes”.
En una primera lectura podría entenderse que la norma está autorizando el Tratamiento de datos sensibles y de niñas, niños y adolescentes, a pesar de encontrarse prohibida. Sin embargo, existe una forma de interpretar la disposición de una manera que se avenga a los postulados constitucionales.
En primer lugar, el carácter facultativo, en razón del principio de libertad, es predicable de todas las preguntas. Sin embargo, cuando se trate de una de las situaciones en que excepcionalmente se permite el Tratamiento de un dato sensible o de una niña, niño o adolescente, el Responsable del Tratamiento deberá informar las limitaciones y derechos que le son predicables de este tipo de dato.
2.15. EXAMEN DEL ARTÍCULO 13: PERSONAS A QUIENES SE LES PUEDE SUMINISTRAR LA INFORMACIÓN.
2.15.1. Texto de la disposición
Artículo 13. Personas a quienes se les puede suministrar la información. La información que reúna las condiciones establecidas en la presente ley podrá suministrarse a las siguientes personas:
a) A los Titulares, sus causahabientes o sus representantes legales.
b) A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.
c) A los terceros autorizados por el Titular o por la ley.”
2.15.2. Intervenciones ciudadanas y concepto del Ministerio Público
No se presentaron intervenciones al respecto. Por otro lado, el Ministerio Público no se refirió a la constitucionalidad de la disposición.
2.15.3. Constitucionalidad del artículo 13
La norma establece que la información podrá suministrarse a las siguientes personas: (i) a los Titulares, sus causahabientes o sus representantes legales, (ii) a las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial y (iii) a los terceros autorizados por el Titular o por la Ley.
En cuanto al primero de los casos, esta posibilidad, en criterio de la Corte, es constitucional, en tanto el artículo 15 C.P. confiere a los sujetos concernidos la facultad de conocer la información que sobre ellos se haya incorporado en un sistema automatizado de información, y dentro de los mismos se encuentran sus representantes y aquellos que los sucedan en razón de causa de muerte.
Frente al segundo escenario permitido por el legislador, esto es la entrega de información a las entidades públicas y en virtud de una orden judicial, se harán las mismas observaciones que al estudiar el artículo 10, sobre los casos exceptuados de autorización. Por lo tanto, el ordinal b) debe entenderse que la entidad administrativa receptora cumpla con las obligaciones de protección y garantía que se derivan del citado derecho fundamental, en especial la vigencia de los principios de finalidad, utilidad y circulación restringida. Por lo tanto, debe encontrarse demostrado (i) el carácter calificado del vínculo entre la divulgación del dato y el cumplimiento de las funciones de la entidad del poder Ejecutivo; y (ii) la adscripción a dichas entidades de los deberes y obligaciones que la normatividad estatutaria predica de los usuarios de la información.
Finalmente, en cuanto al ordinal c) que establece la posibilidad de la entrega de la información a “los terceros autorizados por el Titular o por la ley”, la Corte también reiterará lo señalado en la Sentencia C-1011 de 2008. Para el Tribunal, esas autorizaciones podrían “prestarse a equívocos, en el entendido que establecería una cláusula genérica, con base en la cual una ley posterior pudiera permitir la divulgación de información personal a otras personas, sin consideración de las garantías propias del derecho fundamental al hábeas data y de la vigencia de los principios de administración de datos personales. Al respecto, la extensión irrestricta de las posibilidades de divulgación de la información contradiría el principio de circulación restringida, comprendido por el legislador estatutario como la imposición de restricciones a la divulgación de datos en razón de su naturaleza, de la finalidad del banco de datos y de la vigencia de los citados principios.”
En consecuencia, esa prerrogativa dada al legislador debe entenderse en el entendido que se encuentra supeditada a la vigencia de las prerrogativas que se derivan del derecho al hábeas data y, en especial, a los principios de administración de datos personales.
2.16. EXAMEN DEL TITULO V. PROCEDIMIENTOS. ARTÍCULOS 14, 15 Y 16: CONSULTAS, RECLAMOS Y REQUISITO DE PROCEDIBILIDAD.
2.16.1. Texto de las disposiciones
Articulo 14. Consultas. Los titulares o causahabientes podrán consultar la información personal del Titular que repose en cualquier base de datos, sea esta del sector público o privado. El responsable del Tratamiento o Encargado del Tratamiento deberán suministrar a estos toda la información contenida en el registro individual que esté vinculada con la identificación del Titular.
La consulta se formulara por el medio habilitado por el Responsable del Tratamiento o Encargado del Tratamiento, siempre y cuando se pueda mantener prueba de esta.
La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho termino, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer termino.
Parágrafo. Las disposiciones contenidas en leyes especiales o los reglamentos expedidos por el Gobierno Nacional podrán establecer términos inferiores, atendiendo a la naturaleza del dato personal.
Articulo 15. Reclamos. El titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta ley, podrán presentar un reclamo ante el Responsable del Tratamiento o el Encargado del Tratamiento el cual será tramitado bajo las siguientes reglas:
1. el reclamo se formulará mediante solicitud dirigida al Responsable del tajamiento a al Encargado del Tratamiento, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.
2. una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga” reclamo en tramite” y el motivo del mismo, en un termino no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
3. el termino máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo, cuando no fuere posible atender el reclamo dentro de dicho termino, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer termino.
Articulo 16. Requisito de procedibilidad. El titular o causahabiente sólo podrá elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el tramite de consulta o reclamo ante el Responsable del Tratamiento o Encargado del Tratamiento.”
2.16.2. Intervenciones ciudadanas y concepto del Ministerio Público
2.16.2.1. La Secretaría Jurídica de la Presidencia manifiesta, respecto a los artículos 14 y 15 que resulta necesario y conveniente fijar términos y procedimientos para atender las consultas y reclamos presentados por los titulares de la información, asunto que fue tratado por la Corte Constitucional cuando analizó la exequibilidad del proyecto de ley que dio origen a la Ley 1266 de 2008. Frente al artículo 16 señala que la Superintendencia debe actuar de oficio o a petición de parte, para exigir del responsable o del encargado del tratamiento el cumplimiento de la legislación en materia de protección de datos, así como para adoptar las medidas administrativas correspondientes.
Por lo anterior, es útil establecer un procedimiento para hacer más expedita la resolución de la consulta o reclamo presentada por el titular o causahabiente ante quien tiene el deber de recolectar, almacenar, usar, circular o suprimir sus datos personales, sin que ello releve a la autoridad de control de actuar a través de los mecanismos legales otorgados para velar por el respeto por los derechos del titular.
2.16.2.2. La Defensoría del pueblo, solicita la exequibilidad condicionada del artículo 15, por cuanto se deben incorporar otras garantías como la supresión de la información o la disociación de datos, cuando el dato haya cumplido la finalidad de su tratamiento o se trate de datos sensibles que imponen la reserva de identidad del titular. En consecuencia, a partir del artículo 93 de la Carta en concordancia con el inciso 2 del artículo 15, la no enunciación expresa de otras garantías propias del derecho fundamental a la protección de los datos, no puede entenderse como su negación. Por lo anterior, la Defensoría solicita a la Corte Constitucional hacer una interpretación amplia de los derechos a que da lugar el trámite de reclamos del artículo 15, de manera que se entienda que las garantías derivadas del derecho a la protección de los datos incluyen, además de la rectificación y la actualización, la supresión y la disociación de la información.
2.16.2.3. El Ministerio Público guardó silencio.
2.16.3. La consulta ante los agentes que participan del tratamiento de los datos es un mecanismo necesario para hacer efectivo el derecho al habeas data
El articulo 14 del proyecto de ley regula el mecanismo de la consulta al señalar: (i) que los titulares o sus causahabientes podrán consultar la información personal del titular que repose en cualquier base de datos pública o privada, (ii) responsables y encargados del tratamiento deben suministrar al titular toda la información contenida en la base de datos bien porque se tenga un registro individual o exista alguna asociada a su identificación, (iii) el responsable y el encargado del tratamiento deben tener algún medio habilitado para que la consulta se pueda realizar, el cual debe permitir dejar prueba de ello, (iv) la consulta se debe resolver en un término máximo de 10 días hábiles a partir de la fecha de recibo de la solicitud y (v) en el evento de no poder responderse en ese término, se le debe informar al titular sobre las razones. De todas maneras la respuesta la debe recibir dentro de los 5 días siguientes al vencimiento del primer plazo.
Por su parte, el parágrafo señala que leyes especiales o los reglamentos expedidos por el Gobierno podrán establecer términos inferiores, atendiendo la naturaleza del dato.
La Sala encuentra que este artículo guarda cierta similitud con el articulo 16, numeral I de la Ley 1266 de 2008, encontrado ajustado a la Constitución en la sentencia C-1011 de 2008.
Esta norma hace una regulación típica del derecho de petición que consagra el artículo 23 de la Constitución tanto en el inciso primero como en el segundo, por cuanto el primero señala que todas las personas tienen derecho a presentar peticiones respetuosas ante las autoridades por motivos de interés general o particular, hecho que en el caso en estudio se traduce en el derecho que tienen los titulares del habeas data o sus causahabientes para presentar ante los bancos de datos que manejen las autoridades publicas, peticiones para establecer qué información o datos poseen sobre ellos.
En el segundo inciso del mencionado artículo 23 señala que el legislador podrá reglamentar su ejercicio ante organizaciones privadas para garantizar los derechos fundamentales. Es precisamente esta regulación la que hace el artículo 14, al estipular que los responsables y/o encargados del tratamiento de datos, en este caso los privados, deben atender en los precisos términos las consultas que eleven ante ellos los titulares del derecho al habeas data, como una forma de hacer exigibles el derecho consagrado en el literal a) del articulo 8 del proyecto en revisión, específicamente el de conocer.
En este orden de ideas, el derecho de petición que se regula en la norma objeto de análisis se convierte en un instrumento con el que cuenta el titular del dato para hacer exigible o realizable el derecho autónomo de habeas data. Es por ello que la jurisprudencia constitucional ha definido el derecho de petición como un derecho instrumental a través del cual el ciudadano se acerca a la administración o a aquellos privados que en razón de la actividad que desarrollan ostentan una posición de privilegio sobre el resto de particulares, que obliga al Estado a regular mecanismos que le permitan a estos últimos tener una herramienta que los obligue a responder a las inquietudes e inconformidades que se puedan generar por razón de la actividad que éstos desplieguen, en procura de lograr la satisfacción de otros derechos fundamentales.
En ese sentido, el legislador estatutario al regular de forma general la protección del dato personal, estaba facultado para señalar los términos en que los responsables y encargados del tratamiento del dato, públicos y privados, deben responder las consultas o peticiones que les eleve el titular del dato o sus causahabientes, con el fin de hacer exigibles entre otros, el derecho a conocer qué datos personales tiene un determinado bancos de datos y la forma como éstos son manejados. Compatible con esto, los artículos 17, literal k) y 18 literal f) del proyecto, establecen como uno de los deberes del responsable y encargado del tratamiento del dato, el de adoptar un manual interno de políticas y procedimiento especialmente para la atención de las consultas y reclamos por parte de los titulares. Igualmente, como una forma de lograr un mayor conocimiento por parte del titular de las bases de datos que operan en el país y cuáles pueden estar tratando su información, el proyecto crea el registro nacional de bancos de datos, artículo 25, el cual será objeto de análisis posteriormente.
En consecuencia, el precepto revisado resulta ajustado a la Constitución. No obstante, la Sala debe advertir que la jurisprudencia constitucional[272] ha perfilado unas características que debe tener la respuesta para que se entienda satisfecho el derecho de petición. En ese orden, tanto los responsables como los encargados del tratamiento están obligados a observar esos parámetros que en términos generales se pueden resumir de la siguiente manera: (i) la respuesta debe ser de fondo, es decir, no puede evadirse el objeto de la petición, (ii) que de forma completa y clara se respondan a los interrogantes planteados por el solicitante, (iii) oportuna, asunto que obliga a respetar los términos fijados en la norma acusada.
En relación con el parágrafo, basta señalar que en él se confirma que atendiendo la naturaleza del dato, el legislador tiene claro que se expedirán regulaciones sectoriales, las cuales podrán establecer lapsos más cortos para que los encargados y responsables del tratamiento den respuesta a las solicitudes que pueda presentar el titular del dato, reducción de términos que en nada afecta el ordenamiento constitucional, por cuanto es claro que lo que está fijando la ley en revisión es el máximo que puede tomarse uno de los agentes del tratamiento del dato para responder a los titulares o causahabientes.
Respecto a la posibilidad de que el Gobierno Nacional expida reglamentos según la naturaleza del dato personal y en ellos se reduzcan los términos para responder, es necesario remitirnos al análisis que hará la Sala del artículo 27 del proyecto relacionado con las disposiciones especiales, en el que se concluye que en relación con el tratamiento de datos según su naturaleza o especialidad existe una reserva legal, que impide al Gobierno Nacional hacer reglamentaciones por fuera de su facultad reglamentaria constitucional.
2.16.4. El reclamo: otro mecanismo para hacer efectivos, entre otros, la rectificación, actualización, corrección, oposición y supresión
El articulo 15 regula los reclamos que puede efectuar el titular del dato o sus causahabientes al responsable o encargado del tratamiento con el fin de corregir, actualizar o suprimir la información contenida en la base de datos o cuando se considere que se ha incumplido con cualquiera de los deberes reseñados en los artículos 17 y 18 del proyecto en análisis.
Igualmente fija las reglas que se deben observar para tal efecto, las cuales se pueden resumir así: (i) solicitud que pese a que no se enuncia, parece ser escrita por cuanto señala que debe contener la identificación y dirección del solicitante, la descripción de los hechos que originan el reclamo, y los soportes documentales que se quieren hacer valer, (ii) si la solicitud no es completa, se debe requerir al solicitante dentro de los cinco días de recibida la solicitud para que subsane las falencias. Si transcurridos dos meses del requerimiento no se presentan los requerimientos exigidos se entiende que se ha desistido de la reclamación.
En el evento de la falta de competencia de quien recibe la solicitud, debe enviarla al competente en el término máximo de dos días.
En cuanto al trámite, se consagra que: i) una vez se recibe el reclamo debe incluirse la expresión “reclamo en trámite” y el motivo del mismo en el registro que se tenga, anotación que se debe mantener hasta que el mismo se resuelva, ii) se fija un término máximo de quince días hábiles contados a partir del día siguiente de la fecha de solicitud para atender el reclamo, prorrogable hasta por ocho más, cuando no fuere posible atender la solicitud en el plazo inicial, previa información motivada de tal hecho al interesado.
Este articulo regula un procedimiento similar al que contempla el articulo 16, II, numerales 1,2 y 3 de la Ley 1266 de 2008, hallado exequible por la Corte en la sentencia C-1011 de 2008.
Sobre este mecanismo de reclamos que se consagra ante los responsables y encargados del dato, se puede advertir que los términos que se dieron para que el obligado conteste los requerimientos hechos son los mismos que se consagran para el derecho de petición en el Código Contencioso Administrativo, razón por la que se pueden transpolar los comentarios que se dejaron consignados sobre el carácter instrumental del derecho de petición, en aras de permitir al titular del dato ejercer las facultades que se derivan del habeas data.
En esa línea, a diferencia de la intervención de la Defensoría del Pueblo, la Sala considera que el mecanismo del reclamo le permitirá al titular del dato o a sus causahabientes solicitar al encargado o responsable del tratamiento, el cumplimiento de todos los principios que rigen a los administradores de datos y los derechos del titular del dato, razón por la que no considera necesario condicionar el precepto en revisión en el sentido en que lo solicita esa entidad, por cuanto si bien la norma sólo se refiere a la actualización, corrección o supresión, no significa que no se puedan solicitar otras dimensiones de este derecho si a ello hay lugar.
Por tanto, ningún problema de constitucionalidad se observa en este precepto, razón por la cual será declarado exequible, por cuanto este mecanismo se considera expedito para la atención de los requerimientos del titular del dato y su oportuna respuesta.
2.16.5 Constitucionalidad del requisito de procedibilidad del articulo 16
Este precepto establece que sólo se podrá elevar queja ante la Superintendencia de Industria y Comercio como la autoridad de protección del dato, una vez se haya agotado el trámite de consulta o reclamo ante el responsable o encargado del tratamiento.
Lo dispuesto en este artículo no riñe con la Constitución, por el contrario permite al titular del dato agotar las instancias correspondientes de una forma lógica, dado que no tiene sentido acudir al órgano de protección del dato para que active sus facultades de vigilancia, control y sanción, por señalar solo algunas, en relación con el responsable o encargado del dato, cuando éste ni siquiera conoce las pretensiones del titular y no ha tenido la oportunidad de decidir si le asiste o no razón, porque no ha hecho uso de los mecanismos para consulta y reclamo que debe implementar todo responsable y encargado del tratamiento, según los artículos 17 y 18, literales k) y f), respectivamente.
Adicionalmente, porque la mayoría de deberes que el legislador le fijó a cada uno de estos sujetos se fundamenta en el hecho de que el titular del dato acuda ante ellos para la efectiva protección de sus derechos. En ese orden de ideas, se encuentra proporcional y razonable la salvedad que hace la norma en estudio, puesto que (i) no fija términos o plazos irrazonables para que los agentes del tratamiento respondan las consultas y reclamos, (ii) se regula con detalle el procedimiento a seguir, lo que le garantiza al titular del dato que para obtener la respuesta a una consulta o a un reclamo, el sujeto requerido no podrá ponerle trabas que impidan el ejercicio de su derecho, y en el evento en que así suceda, pues ello será suficiente para acudir ante la autoridad de protección del dato.
Lo expuesto aquí sin perjuicio de acudir a la acción de tutela como mecanismo judicial de protección del derecho fundamental al habeas data.
Por lo expuesto, se declarará exequible el artículo 16 en revisión.
2.17. EXAMEN DE LOS ARTÍCULOS 17 Y 18: DEBERES DE LOS RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO DEL DATO PERSONAL.
2.17.1. Texto de las disposiciones
“Artículo 17. Deberes de los Responsables del Tratamiento. Los Responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
b) Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular.
c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
e) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
f) Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.
h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley.
i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
j) Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley.
k) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos.
l) Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
m) Informar a solicitud del Titular sobre el uso dado a sus datos.
n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
Artículo 18. Deberes de los Encargados del Tratamiento. Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
c) Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley.
d) Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles, contados a partir de su recibo.
e) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley.
f) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares.
g) Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en la presente ley.
h) Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
i) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
j) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
Parágrafo. En el evento en que concurran las calidades de Responsable del Tratamiento y Encargado del Tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos para cada uno.”
2.17.2. Intervenciones ciudadanas y concepto del Ministerio Público
2.17.2.1. La Defensoría, respecto del artículo 17 del proyecto, señala que no incluyó ninguna obligación expresa en cabeza del encargado del tratamiento para exigir al responsable certificación sobre la autorización del titular. De conformidad con la jurisprudencia constitucional el encargado del tratamiento tiene, además de los deberes fijados en el proyecto de ley, el de exigir al responsable copia o evidencia de la autorización expresa e informada del titular de los datos objeto de tratamiento. Por último, advierte que resulta de la mayor trascendencia determinar los deberes en uno u otro caso, con miras a delimitar la esfera de responsabilidad de cada uno de ellos con respecto a los titulares y que debe ser establecida, en función del grado de control sobre el dato y la relación que existe entre cada uno de ellos y el titular.
2.17.2.2. ASOBANCARIA solicita la exequibilidad condicionada del literal n) del artículo 17 y del k) del articulo 18, por cuanto se puede desconocer el artículo 33 Superior. Por tanto, si se obliga a los encargados y responsables del tratamiento a declarar contra ellos mismos o contra sus familiares, ello se constituye en el desconocimiento de una garantía fundamental.
2.17.2.3. La Universidad de los Andes solicita la exequibilidad condicionada de los literales a), b), d), m) y o) del artículo 17, bajo el entendido de que en virtud del artículo 15 de la Constitución, las obligaciones incorporadas en dichos literales también deben cumplirlas los usuarios de los datos personales y precisa que para que el tratamiento sea consistente con las exigencias mínimas de la Constitución es necesario que los usuarios cumplan una serie de obligaciones de manera que su acción u omisión no comprometa, vulnere, lesione o ponga en riesgo los derechos y libertades de los titulares de los datos personales. Por esta razón, es necesario que la Corte precise que los usuarios deben cumplir las obligaciones de los literales a), b), d), m) y o) del articulo 17 del proyecto.
Agrega que dicha precisión debe realizarse por razones de igualdad, pues el artículo 9 de la ley 1266 de 2008 impuso a los usuarios deberes como sujetos del tratamiento de datos personales, contenido que fue declarado exequible por la Corte. En este orden de ideas, de no entenderse que el Proyecto de Ley también involucra a los usuarios, se estaría generando una situación de desigualdad violatoria del artículo 13 de la Constitución entre los usuarios de los datos personales comerciales y financieros regidos por la Ley 1266 de 2008, y los usuarios de los otros tipos de datos personales que se regirán por la nueva ley. Esta discriminación no es justificable constitucionalmente, ni existen en los antecedentes del proyecto ninguna razón cierta o valida para explicar el silencio del legislador respecto de los deberes de los usuarios
2.17.2.4. La Secretaría Jurídica de la Presidencia manifiesta respecto al artículo 17, que en éste no se incluye ninguna obligación expresa en cabeza del encargado para exigir al responsable del tratamiento certificación sobre la autorización del titular. No obstante, resulta conveniente interpretar de acuerdo con la jurisprudencia constitucional, que el encargado del tratamiento tiene, además de los deberes fijados en el proyecto de ley, el de exigir al responsable copia o evidencia de la autorización expresa e informada del titular de los datos objeto de tratamiento.
Estima que del principio de libertad establecido en el literal c) del artículo 4, tanto el responsable como el encargado del tratamiento deben garantizar que la información de los titulares que es objeto de tratamiento sea obtenida, administrada, almacenada y puesta en circulación con el consentimiento expreso del titular, razón por la cual es deber del encargado exigir al responsable copia o evidencia de la autorización previa y del responsable de suministrársela, como medio para reforzar y garantizar efectivamente los derechos de los titulares.
Por último, advierte que resulta de la mayor trascendencia determinar los deberes en uno u otro caso, con miras a delimitar la esfera de responsabilidad de cada uno de ellos con respecto a los titulares y que debiendo ser establecida en función del grado de control sobre el dato y la relación que existe entre cada uno de ellos y el titular.
2.17.2.5. La ciudadana Juanita Durán Vélez solicita la inexequibilidad del artículo 17 aduciendo que los artículos 17 y 18 establecen regímenes de responsabilidad diferenciados para cada uno de los agentes, lo cual obliga a los titulares de los datos, en muchos casos, a tener que usar la intermediación del responsable del dato para ejercer sus derechos frente al encargado. Afirma que un contexto de responsabilidad difuminada como el que produce el esquema del Proyecto de Ley Estatutaria, impide el ejercicio de “las facultades de conocimiento, actualización y rectificación de la información personal contenida en las bases de datos” que son componentes estructurales del derecho al habeas data.
2.17.2.6. El Ministerio Público no se pronuncio sobre estos preceptos.
2.17.3. Constitucionalidad de los artículos 17 y 18
En el título VI, “DE LOS DEBERES DE LOS RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO DEL DATO”, el legislador enlistó en preceptos separados los deberes de los responsables y de los encargados del tratamiento. Los deberes enumerados, en términos generales, buscan garantizar el pleno ejercicio del derecho al habeas data por parte de los titulares, como los principios de la administración de datos personales analizados en otro capítulo de esta providencia. Estos deberes hacen referencia, según el sujeto concernido, a lo siguiente:
En relación con el responsable del tratamiento, es decir, aquel que define los fines y medios esenciales para el tratamiento del dato, incluidos quienes fungen como fuente y usuario, se establecen deberes que responden a los principios de la administración de datos y a los derechos –intimidad y habeas data- del titular del dato personal.
Específicamente se dispone que son deberes de esta parte de la relación:
(i) Solicitar y conservar la autorización para el tratamiento del dato –en los términos descritos previamente, lo que se ajusta plenamente al principio de libertad y consentimiento expreso del titular del dato.
(ii) Informar al titular la finalidad de esa autorización y actuar en consecuencia; por tanto, el responsable no puede conducirse por fuera de los lineamientos de la autorización, lo que significa que, por ejemplo, no puede suministrar al encargado del tratamiento más datos que los que fueron objeto de autorización, ni puede someterlos a un tratamiento con finalidades diferentes a las informadas. En este orden de ideas, los deberes establecidos en los literales a), b) y h) son desarrollo del principio de finalidad.
(iii) Adoptar las medidas para garantizar la seguridad del dato, a efectos de que no se pierda, no se adultere, no se utilice o acceda por fuera de la autorización, lo cual es desarrollado en el literal d) en concordancia con el principio de seguridad en la transferencia del dato. Por tanto, el responsable está obligado a exigir y controlar las condiciones de seguridad que está empleando el encargado del tratamiento -literal a), como informar oportunamente a la autoridad encargada de la protección del dato sobre violaciones a los códigos de seguridad y la existencia de riesgos en la administración de la información de los titulares- literal n); siendo estos deberes, sin lugar a dudas, también desarrollo del principio de seguridad jurídica.
(iv) Actualizar el dato, hecho que lo obliga a informar oportunamente al encargado del tratamiento para hacer la actualización -literal f), deber que corresponde al principio de veracidad y calidad, como al derecho del titular del dato a actualizar toda información que sobre él se tenga en las bases de datos públicas o privadas.
(v) Rectificar e informar de forma oportuna al encargado del tratamiento sobre ese particular -literal g), para efectos de actualización.
(vi) Tramitar las consultas y reclamos, hecho que lo obliga a dar a conocer al encargado esas eventualidades para que éste incluya la información correspondiente en la base de datos, con anotaciones que permitan identificar fácilmente el estado de la información, es decir, para que siempre se encuentre actualizada -literales j) y l), e igualmente adoptar reglamentos claros para que el titular del dato pueda hacer exigible sus derechos a consultar y reclamar -literal k).
(vii) Informar el uso del dato al titular cuando este lo requiera -literal m), en virtud de los principios de finalidad y libertad.
(viii) Cumplir todas las instrucciones y requerimientos de la Superintendencia de Industria y Comercio.
Por su parte, el artículo 18 señala que los encargados del tratamiento del dato, al igual que los responsables, están obligados a garantizar el derecho al habeas data al titular. En consecuencia, tienen deberes de: (i) actualizar, rectificar y suprimir los datos cuando a ello haya lugar y en los tiempos indicados para el efecto, literales c) y d). Por tanto, como una forma de cumplir con estos deberes, se le impone (ii) la obligación de incluir en la información que suministre, leyendas tales como “información en discusión judicial” cuando la autoridad judicial lo notifique sobre el particular, o “reclamo en trámite”, tal como lo indica el artículo 15, numeral 2 del proyecto en revisión, literales g) y h), (iii) no circular información que por orden de la autoridad de control este bloqueada mientras se adopta la decisión definitiva; (iv) tramitar los reclamos y consultas. Para el efecto, debe adoptar un manual que no solo le permita el adecuado cumplimiento de la ley sino responder en forma eficaz y eficiente a los reclamos y a las consultas que se le efectúen en los términos indicados en el título IV de la ley; (v) al igual que los responsables, informar cualquier violación a los códigos de seguridad y administración de la información y (vi) cumplir las instrucciones y requerimientos del órgano de vigilancia y control del dato personal.
Estos deberes en cabeza del responsable y del encargado del tratamiento, permiten garantizar, prima facie, el ámbito de protección del derecho de habeas data, por cuanto, como lo precisó esta Corporación en la sentencia C-1011 de 2008, todos “los principios de administración de datos personales identificados por la jurisprudencia constitucional, son oponibles a todos los sujetos involucrados en los procesos de recolección, tratamiento y circulación de datos” (negrillas y subraya fuera de texto) ,se agrega ahora, independientemente de la posición que ocupen en el tratamiento del dato.
En consecuencia, tal como se señaló en el acápite de definiciones, es posible que un encargado del tratamiento resulte convirtiéndose en responsable al definir la finalidad y los elementos esenciales del medio, razón por la que sus deberes no solo serán los que señala el proyecto para su condición inicial sino para la que llegue a ostentar. En ese sentido, se ajusta al texto constitucional el parágrafo del artículo 18 cuando expresamente establece que en el evento en que concurran las calidades de responsable y encargado del tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos para cada uno. En el mismo sentido, cuando esa calidad llegue a mudar por el tratamiento que uno de ellos llegue a dar al dato personal.
Igualmente, es necesario insistir en que pese a la dificultad que pueda causar el uso de una terminología diversa a la que emplea la Ley 1266 de 2008, lo cierto es que tanto el responsable como el encargado del tratamiento tienen responsabilidades claras, concretas y precisas frente al titular del dato, por cuanto ambos sujetos, en los términos de los preceptos en análisis, están obligados a garantizar el ejercicio pleno y efectivo del derecho al habeas data, el cual se irradia por todos los principios que rigen el tratamiento de datos, en donde el titular dispone de todos los medios para lograr la actualización, rectificación y supresión o cancelación de la información, según lo analizado en el acápite anterior.
En ese orden de ideas, es necesario reiterar como lo hizo la Sala en la sentencia C-1011 de 2008, que tanto el responsable como el encargado del tratamiento tienen una responsabilidad concurrente frente a la veracidad, integridad, finalidad e incorporación del dato, si se tiene en cuenta que la recolección y procesamiento de datos no es una actividad neutra que impida al encargado del tratamiento responder, incluso por la veracidad de la información sujeta a proceso, pues a éste le corresponde cerciorarse que se cumplan los requisitos para que un dato personal pueda ser objeto de tratamiento.
En consecuencia, la Sala advierte que si no se puede identificar de forma clara la posición de uno y otro, tendrán que responder de forma solidaria y no podrán excusar sus deberes de actualización, rectificación y exclusión o supresión del dato.
En ese sentido, se debe entender que cuando los literales a) de los artículos 17 y 18 imponen como deberes tanto del responsable como del encargado del tratamiento, garantizar al titular en todo tiempo, el pleno y efectivo derecho de habeas data, ello incluye que se cumplan los principios para la administración de datos y los derechos de los titulares.
Así, por ejemplo, si bien es cierto que el artículo 17 señala que el responsable del tratamiento es quien debe solicitar y conservar la autorización en la que conste el consentimiento expreso del titular para el tratamiento de sus datos, así como informar con claridad la finalidad del mismo, también lo es que, en cumplimiento de los principios de libertad y finalidad, el encargado del tratamiento al recibir la delegación para tratar el dato en los términos en que lo determine el responsable, debe cerciorarse de que aquel tiene la autorización para su tratamiento y que el tratamiento se realizará para las finalidades informadas y aceptadas por el titular del dato. Esto significa que en razón de la posición que cada uno de estos sujetos ocupa en las etapas del proceso del tratamiento del dato, es al responsable al que le corresponde obtener y conservar la autorización del titular, asunto que no impide al encargado solicitar a su mandante exhibir la autorización correspondiente y verificar que se cumpla la finalidad informada y aceptada por el titular de dato.
En consecuencia, pese a que el artículo 18 no enlista este deber por parte del encargo del tratamiento, ha de entenderse que en virtud del literal a) omnicomprensivo de todos las potestades que se derivan del derecho al habeas data, el encargado del tratamiento también ha de responder por la existencia de la autorización para tratar el dato como por asegurar la finalidad del mismo, pues para poder desarrollar el objeto de su actividad, debe cerciorarse que el titular extendió el consentimiento para el efecto. Lo anterior no significa que el encargado deba ser quien recabe la autorización. Su deber en relación con ésta consiste en verificar su existencia y alcance.
Lo anterior significa que corresponderá a la autoridad de protección de datos como a las autoridades judiciales en el ámbito de su competencia, garantizar al titular del dato o sus causahabientes, la protección que exige el ejercicio de su derecho al habeas data, el cual no puede quedar sujeto a limitaciones basadas en la exclusión de la responsabilidad frente a los deberes que cada sujeto involucrado en el tratamiento del dato pueda argumentar, con fundamento en la ley. Es cierto que el legislador estatutario hizo un esfuerzo por describir los deberes que le asiste a uno y otro sujeto que participan en el tratamiento del dato, pero ello no significa que el titular del derecho no pueda exigir otros que puedan resultar para la plena garantía del mismo en concordancia con los principios que regulan la administración de datos. En otras palabras, los deberes enunciados en los artículos bajo estudio, respecto del titular del derecho al habeas data, no son taxativos sino enunciativos, lo que significa que responsables y encargados tendrán otros deberes derivados del derecho al habeas data, que corresponderán a las prerrogativas que otorga el derecho, en tanto sujetos pasivos de dicha garantía constitucional.
No obstante, la lista de deberes enunciados en estos artículos, desde el punto de vista sancionatorio y en virtud del principio de legalidad, sí operan como una lista taxativa, es decir, los encargados y responsables no pueden ser sancionados por incumplimiento de deberes que no se hallen en las disposiciones bajo estudio, por lo menos en lo que respecta a las sanciones administrativas previstas por el mismo proyecto de ley.
Por las anteriores, la Corte declarará la exequibilidad de los artículos 17 y 18 del proyecto de ley.
2.18. EXAMEN DEL ARTÍCULO 19: AUTORIDAD DE PROTECCION DE DATOS.
2.18.1. Texto de la disposición
Articulo 19. Autoridad de Protección de Datos. La Superintendencia de Industria y Comercio, a través de una Delegatura para la Protección de Datos personales, ejercerá la vigilancia para garantizar que en el Tratamiento de datos personales se respeten los Principios, derechos, garantías y procedimientos previstos en la presente ley.
Parágrafo 1. El gobierno Nacional en el plazo de seis (6) meses contados a partir de la fecha de entrada en vigencia de la presente ley incorporará dentro de la estructura de la Superintendencia de Industria y Comercio un despacho de Superintendente Delegado para ejercer las funciones de Autoridad de protección de datos.
Parágrafo 2. La vigilancia del tratamiento de los datos personales regulados en la Ley 1266 de 2008 se sujetará a lo previsto en dicha norma.
2.18.2. Intervenciones ciudadanas y concepto del Ministerio Público
2.18.2.1. La Secretaria Jurídica de la Presidencia asegura que el artículo 19 tiene 3 puntos que se deben considerar de manera separada para realizar el estudio de constitucionalidad, así:
En primer lugar, la Superintendencia de Industria y Comercio como máxima autoridad de vigilancia y control para el tratamiento y protección de Datos Personales. Sobre el particular, se refirió a la sentencia C-1011 de 2008, en la cual la Corte efectuó un detallado estudio del tema y describió condiciones de autonomía e independencia de esta superintendencia, y la importancia que tiene que se le asigne a dicho ente la potestad de regular y sancionar el manejo y administración de datos.
Afirma además que el hecho que esta superintendencia, sin importar que dependa del poder ejecutivo, tenga carácter autónomo, desarrolla el principio de especialidad, pues está radicando en este organismo técnico, funciones que garantizan mayor efectividad en la tarea de control, regulación y vigilancia sobre los datos financieros, crediticios, comerciales y de servicios.
Por último, concluye sobre este primer punto que, según la ley, las superintendencias son independientes y autónomas en su función de vigilancia; las facultades atribuidas por la ley estatutaria a estos entes técnicos están dentro de las funciones de policía administrativa; y, todos los lineamientos dados a las Superintendencias de Industria y Comercio, y Financiera están acordes con la Constitución y se encuentran enmarcados dentro de los fines de un estado social de derecho.
En segundo lugar, estudia la creación de la Delegatura para la Protección de Datos y su incorporación en la estructura de la Superintendencia de Industria y Comercio. Manifestó que dentro del proyecto se establece un término de 6 meses para la incorporación de dicho despacho a la SIC, lo que encuentra fundamento constitucional en la función atribuida al Congreso en el artículo 150 de la Carta Política.
En tercer lugar, sobre la remisión a la Ley 1266 de 2008, señala que esta remisión se concatena con lo establecido en el mismo proyecto de ley en su artículo 33 que dispone la derogatoria de toda la normativa que le sea contraria, salvo las exceptuadas en el artículo 2, dentro de las que se encuentra la Ley de 2008. Lo anterior, afirmó, tiene sustento en el numeral 7 del artículo 150 Superior, pues en este caso el objetivo del legislador fue mantener el control de datos personales de contenido comercial, financiero y crediticio en cabeza de la Superintendencia Financiera y de la Superintendencia de Industria y Comercio cuando el agente regulado no hace parte del sector financiero.
Finalmente, se refiere a que la decisión de centralizar las competencias administrativas en cabeza de la SIC, encuentra su fundamento no solo en la Constitución, sino que lo considera altamente conveniente con miras a tener un control mínimo a las personas y empresas que tratan los datos personales.
2.18.2.2. La Defensoría del Pueblo solicita declarar la exequibilidad condicionada de este artículo, teniendo en cuenta que la sentencia C-1011 de 2008 señaló que las superintendencias, como autoridades de protección de datos, deben actuar con independencia y autonomía, máxime cuando el parágrafo 2° mantiene el control dual para la protección de datos.
2.18.2.3. El Ministerio Público guardó silencio.
2.18.3. Exequibilidad del artículo 19
2.18.3.1. El artículo 19 regula la autoridad de protección de datos, y se designa como tal a la Superintendencia de Industria y Comercio, a través de una Delegatura para la protección de datos personales que implica la creación dentro de la estructura de la superintendencia, de un despacho para un Superintendente Delegado para ejercer las funciones de Autoridad de Protección de Datos.
En los principios rectores para la reglamentación de los ficheros computarizados de datos personales, adoptado por la Asamblea General de la ONU, Resolución 45/95 del 14 de diciembre de 1990, al señalar los principios mínimos que deben preverse en la legislación nacional, se encuentra el de control y sanción. Para el efecto, se señala que cada Estado debería establecer en su legislación interna una autoridad independiente e imparcial con respecto a las personas y organismos responsables del procesamiento de datos o de su aplicación, con una competencia técnica. Igualmente, la legislación debería prever sanciones penales y de otro tipo cuando se incumplan los principios que regulan el tratamiento de los datos.
En Europa, el Convenio 108 no establecía algo similar, no obstante, la libre circulación de datos, entre otros, en asuntos de justicia, producto del Convenio Schengen, impuso la necesidad de administraciones o agencias independientes para la protección de datos con una capacidad sancionatoria[273]. Ese hecho y la creciente necesidad de protección de datos, hicieron que en la Directiva 95/46/CE se estipulara la importancia de la existencia de una entidad independiente para la garantía efectiva del dato personal al señalar expresamente en su artículo 28 que “una o más autoridades públicas se encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos…Estas autoridades ejercerán las funciones que le son atribuidas con total independencia”. En el mismo sentido, la Carta Europea de Derechos Fundamentales estipula en el artículo 8.3 “el respeto al derecho fundamental a la protección de datos personales quedará sujeto al control de una autoridad independiente” y la fracasada Constitución Europea consagraba prescripción similar en el articulo 1.5.1.3., al señalar que “el respeto de dichas normas estará sometido al control de autoridades independientes”[274].
En ese contexto existe un Supervisor Europeo de Protección de Datos, autoridad supervisora independiente que tiene como objetivo principal garantizar que las instituciones y órganos europeos respeten el derecho a la intimidad y la protección de datos de carácter personal y se desarrollen nuevas políticas en el ámbito de protección[275].
A nivel de los países europeos, se observa que casi todos cumplen con el estándar de la autoridad independiente. España, por ejemplo, reguló las Agencias Autonómicas de Protección de Datos como órganos independientes, constituidas como un ente de derecho público con personalidad jurídica propia y plena capacidad pública y privada, que funcionan en las Autonomías, y un ente central denominado Agencia Española de Protección de Datos.
Esta Agencia actúa de forma independiente frente a las administraciones públicas en el ejercicio de sus funciones, entre las cuales están las de: (i) velar por el cumplimiento de la legislación sobre protección del dato, en especial, que se cumpla el acceso, rectificación, oposición y cancelación de datos; (ii) atender las reclamaciones y peticiones de los afectados; (iii) ejercer la potestad sancionatoria; (iv) ordenar el cese en el tratamiento y la cancelación de los datos; (v) autorizar las transferencias internacionales de datos; (vi) hacer recomendaciones normativas en materia de seguridad y control a las bases de datos.
En Portugal existe un Consejo de Protección de Datos que tiene funciones parecidas a las de la Agencia Española[276].
En Latinoamérica encontramos que en Argentina existe la Dirección Nacional de protección de datos[277] creada en el 2002 como organismo de control de los registros, archivos, bases o bancos de datos, cuya función principal es velar por el cumplimiento de los derechos consagrados en la Ley 25.326. Además, con funciones correctivas y sancionatorias. Es un órgano descentralizado adscrito al Ministerio de Justicia y Derechos Humanos de la Nación, que debe contar con un perfil técnico y con funciones sancionatorias.
En Uruguay, la Ley Nº 18.331 creó la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento –AGESIC-, órgano que depende de la Presidencia de la República, con autonomía técnica. Como órgano desconcentrado de esta agencia, se creó la Unidad Reguladora y de Control de Datos Personales, dirigida por un Consejo integrado por tres miembros: el Director Ejecutivo de AGESIC y dos miembros designados por el Poder Ejecutivo entre personas que por sus antecedentes personales, profesionales y de conocimiento en la materia, aseguren independencia de criterio, eficiencia, objetividad e imparcialidad en el desempeño de sus funciones.
En ese sentido, es claro que la protección de los datos personales requiere no solo de una regulación que consagre los principios que rigen el tratamiento del dato, los derechos de su titular, los deberes y responsabilidades de los sujetos que intervienen en su tratamiento, sea cual sea la denominación que éstos reciban, sino de un régimen sancionatorio expreso, como de una institucionalidad que permita un control y ámbito de garantía efectivo del derecho al habeas data.
La anterior afirmación se precisa, por cuanto es necesario entender que este derecho, como fundamental autónomo, requiere para su efectiva protección de mecanismos que lo garanticen, los cuales no sólo deben pender de los jueces, sino de una institucionalidad administrativa que además del control y vigilancia tanto para los sujetos de derecho público como privado, aseguren la observancia efectiva de la protección de datos y, en razón de su carácter técnico, tenga la capacidad de fijar política pública en la materia, sin injerencias políticas para el cumplimiento de esas decisiones.
Algunos doctrinantes, siguiendo a Ferrajoli, señalan que el concepto de garantía impone al legislador dar los instrumentos “adecuados para procurar la satisfacción de las expectativas generadas por los derechos” porque sin ella los derechos son simples enunciados sin vocación de coerción[278]. Esa garantía, en concepto de la Sala, requiere para ciertos derechos como el habeas data de un entramado de mecanismos, instituciones y acciones que permitan su real satisfacción.
Precisamente, dentro de esa idea de garantía institucional del derecho al habeas data y con fundamento en los estándares internacionales, se han creado instituciones autónomas e independientes para la protección de los datos personales, entes centralizados que solo pueden fijar políticas en clave de protección del derecho al habeas data y con poder coercitivo suficiente para lograr su efectiva protección, sin injerencias por parte de autoridades o personas que puedan limitar su correcta funcionalidad[279], en especial frente a los agentes privados que tienen hoy una alta capacidad para el manejo de datos personales. Obviamente en lo público, la automatización de datos se ha convertido en algo esencial para el cumplimiento de las funciones asignadas al Estado, por ejemplo, en materias como la salud y la hacienda, por señalar sólo algunas que requieren por parte del ciudadano de mecanismos de protección claros, por entes públicos y privadas están tratando sus datos.
En ese sentido, en el año 2001, en el marco de la 23 Conferencia Internacional de Comisarios de Protección de Datos celebrada en París, se acordaron unas características que deben ostentar estas autoridades para ser acreditadas ante dicha conferencia, teniendo en cuenta la importancia que éstas cumplen en la protección del dato personal. Esas peculiaridades se pueden resumir así[280]: i) organismo público de creación legal; (ii) una base jurídica que garantice su independencia y compromiso con la efectiva protección de este derecho. Para el efecto, se dice que este órgano debe tener la tipología de los organismos públicos encargados dentro del Estado de la protección de los derechos. (iii) En relación con la autonomía e independencia, señala que éstas deben permitir el adecuado cumplimiento de la función.
Los lineamientos expuestos, le permiten a la Sala hacer el examen de constitucionalidad del artículo 19, aclarando que esos estándares no son obligatorios para el Estado colombiano, pero sí una fuente valiosa para el juez constitucional a la hora de tomar una decisión, pues precisamente lo que se pretende con el proyecto en estudio, además de lograr una protección del dato personal en los términos en que lo exige la Constitución, es lograr que el país cumpla con los estándares internacionales en la materia para lograr las certificaciones necesarias para insertarse en el mercado, como un territorio con niveles adecuados de protección de los datos personales.
En ese sentido, los lineamientos europeos traídos a colación, en concepto de la Sala, no solo son una excelente herramienta para lograr una protección más efectiva del derecho fundamental al habeas data, que es un propósito que se impuso claramente el Constituyente en el articulo 15, sino una guía que el Gobierno Nacional debe seguir para cumplir los retos de un mercado globalizado, en el cual el individuo cada vez más, va perdiendo espacios de libertad y autodeterminación.
2.18.3.2. Esta Corporación, en la sentencia C-1011 de 2008 analizó la constitucionalidad de que las superintendencias Financiera y la de Industria y Comercio, fungieran como autoridades de protección de datos en lo concerniente al dato financiero, comercial o crediticio con fines de control de riesgo.
En esa oportunidad, se argumentó que, pese a que las superintendencias están en el ámbito de la rama ejecutiva del poder público y dependen del Presidente de la República, no es posible desconocer su carácter independiente y autónomo por tratarse de organismos técnicos con autonomía administrativa y obligados a satisfacer en ejercicio de sus competencias los principios que, en los términos del artículo 209 de la Constitucional, rigen la función administrativa. Se señaló expresamente:
“Aunque de conformidad con el artículo 115 C.P. las Superintendencias integran la Rama Ejecutiva y, por ende, dependen del Presidente de la República en tanto suprema autoridad administrativa, ello no desvirtúa su naturaleza de organismos técnicos y la autonomía administrativa que les es predicable. Al respecto, debe tenerse en cuenta que de conformidad con las normas que establecen la naturaleza jurídica de la Superintendencia de Industria y Comercio y Financiera,[281] se trata en ambos casos de organismos técnicos, que cuentan con autonomía administrativa. Además, estas entidades están obligadas a dar cumplimiento estricto a los principios que guían la función administrativa, esto es, los de igualdad, moralidad, eficacia, economía, celeridad, imparcialidad y publicidad, fijados por el artículo 209 Superior. En tal sentido, las entidades en comento son instancias imparciales, investidas del grado de independencia suficiente para fijar criterios objetivos para que los operadores de información de contenido crediticio, comercial, financiero, de servicios y proveniente de terceros países puedan verificar si la legislación del banco de datos de destino otorga garantías suficientes para la protección de los derechos del titular.”
Igualmente, se argumentó que dada la naturaleza de los agentes económicos regulados por esas entidades, cada una ejercería el control de ellos dependiendo de su actividad. En ese sentido, se indicó, con fundamento en los artículos 333 y siguientes de la Constitución, que el Estado está obligado a intervenir en la economía y ejercer a través de sus entidades técnicas –las superintendencias- el control y la regulación sobre los distintos agentes económicos, actuando para el efecto como una policía administrativa con un conocimiento técnico del sector, hecho que “justifica la asignación de potestad de regulación y sancionadora, en materia de manejo y administración de datos, a la Superintendencia Financiera, y a la Superintendencia de Industria y Comercio, en relación con los agentes sometidos a su control y vigilancia”.
Para concluir lo siguiente:
“No obstante, debe anotarse que el ejercicio de cada una de estas funciones implica, necesariamente, que las Superintendencias de Industria y Comercio y Financiera, actúen de manera autónoma e independiente, a efectos de asegurar la eficacia de los derechos fundamentales del titular de la información financiera y crediticia, interferidos en los procesos de administración de datos personales… dicha pertenencia orgánica de las superintendencias al poder Ejecutivo no es incompatible con que respecto de esas entidades se predique un margen de autonomía suficiente, que permita la adecuada protección de los derechos fundamentales del titular. Esta conclusión se basa en dos consideraciones diferenciadas. La primera está relacionada con el deber que tienen las superintendencias de ejercer la función administrativa con base en los principios de igualdad, moralidad, eficacia, economía, celeridad, imparcialidad y publicidad (Art. 209 C.P.), condiciones todas ellas que propugnan por la existencia de organismos de control, vigilancia y sanción que lleven a cabo sus funciones bajo las premisas de la protección del interés general y la vigencia de los derechos constitucionales (Art. 2 C.P.). La segunda, tiene que ver con el hecho que el ordenamiento jurídico colombiano ha dotado a las Superintendencias de Industria y Comercio y Financiera de un carácter eminentemente técnico y de autonomía administrativa, financiera y presupuestal,[282] condiciones éstas que concurren en la garantía de imparcialidad e independencia, necesarias para la protección adecuada de los derechos fundamentales del titular del dato personal”[283]
Se aceptó sí, que la autoridad de protección de datos debía ser autónoma e independiente razón por la que se condicionó la norma que estaba en revisión a que las mencionadas autoridades actuaran de esa forma. Sobre el particular se puntualizo: “…la concurrencia de condiciones de autonomía e independencia de las Superintendencias de Industria y Comercio y Financiera, es imprescindible para la adecuada protección de las prerrogativas constitucionales predicables del sujeto concernido, en especial el derecho fundamental al hábeas data. En consecuencia, la Corte considera necesario condicionar la exequibilidad del artículo 17 del Proyecto de Ley Estatutaria, en el entendido que las Superintendencias, en todo caso, deben actuar con independencia y autonomía en su función de vigilancia.”[284]
Finalmente, la Sala precisó que esas nuevas facultades para las superintendencias no implicaban un desplazamiento de competencias que constitucional o legalmente le han sido asignadas a otros órganos dentro del Estado colombiano como la Defensoría del Pueblo, en especial para la promoción de los derechos humanos.
2.18.3.3. Las consideraciones expuestas por la Corporación en aquella oportunidad resultan válidas en el marco del proyecto de ley bajo revisión, porque también en esta ocasión se está procurando, y con mayor razón por tratarse de la regulación de los estándares mínimos de la protección general de los datos personales, que la autoridad encargada de esa función de protección tenga carácter independiente y autónomo frente a las personas que tratan estos datos, además de su carácter técnico, especializado y sancionador. Lo anterior ya se encuentra garantizado con la creación de una Delegatura para la protección de datos personales dentro de la Superintendencia de Industria y Comercio, además, con la reafirmación de que, a pesar de hacer parte del ejecutivo, la ley le ha otorgado a la superintendencia características de autonomía e independencia que garantizan el cumplimiento de los antes explicados estándares internacionales fijados sobre la autoridad encargada de la protección de datos.
Sin embargo, tal como lo dispuso la Corte en la citada sentencia, para efectos de asegurar que esa autonomía e independencia no se disipe en ninguna de las actuaciones de la Delegatura, se condicionará la exequibilidad del primer párrafo del artículo 19 a que dicha autoridad siempre deberá actuar de acuerdo con esas características. De igual manera, el Gobierno Nacional, al momento de reglamentar esta dependencia, debe asegurarse de que se conforme por personas con un conocimiento técnico y que hagan parte de carrera administrativa de la entidad.
2.18.3.4. En cuanto al parágrafo primero, encuentra esta Sala que otorgarle al ejecutivo la función de crear la Delegatura de protección de datos dentro de la estructura de la Superintendencia, se enmarca dentro de los establecido por el numeral 16 del artículo 189 Superior: “corresponde al Presidente de la República (…): Modificar la estructura de los ministerios, departamentos administrativos y demás entidades u organismos administrativos nacionales, con sujeción a los principios y reglas generales que defina la ley”. De manera que se declarará exequible pues no se observa reparo alguno de constitucionalidad sino que, por el contrario, desarrolla la citada disposición constitucional.
Finalmente, en cuanto al parágrafo segundo, se observa que mantener lo previsto por la Ley 1266 de 2008 sobre la vigilancia de los datos financieros, se compadece con el carácter general de la regulación adoptada por el proyecto de ley, lo que se refleja en la consagración de excepciones al ámbito del proyecto de ley en el artículo 2 del proyecto, ya analizado en esta providencia, que precisamente exceptuó –por su especialidad y carácter sectorial- el tratamiento de los datos regulados en la Ley 1266 de 2008, lo cual incluye, por supuesto, lo relacionado con su vigilancia y con la autoridad que la ejerce –Superintendencia Financiera-. De lo anterior no se deriva ningún problema de inconstitucionalidad y se enmarca dentro de la libertad de configuración del legislador, teniendo en cuenta además que la Ley 1266 de 2008 –a la que remite la disposición en comento- fue declarada exequible en lo que se refiere a la autoridad de vigilancia, siempre y cuando ésta actúe autónoma e independientemente, tal como se ratificó en la presente providencia..
2.19. EXAMEN DEL ARTÍCULO 20: RECURSOS DEL ORGANO DE VIGILANCIA.
2.19.1. Texto de la disposición
“Artículo 20. Recursos para el ejercicio de sus funciones. La Superintendencia de Industria y Comercio contará con los siguientes recursos para ejercer las funciones que le son atribuidas por la presente ley:
a) Las multas que se impongan a los sometidos a vigilancia.
b) Los recursos que le sean destinados en el Presupuesto General de la Nación.
Artículo 21. Funciones. La Superintendencia de Industria y Comercio ejercerá las siguientes funciones:
a) Velar por el cumplimiento de la legislación en materia de protección de datos personales.
b) Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. Para el efecto, siempre que se desconozca el derecho, podrá disponer que se conceda el acceso y suministro de los datos, la rectificación, actualización o supresión de los mismos.
c) Disponer el bloqueo temporal de los datos cuando, de la solicitud y de las pruebas aportadas por el Titular, se identifique un riesgo cierto de vulneración de sus derechos fundamentales, y dicho bloqueo sea necesario para protegerlos mientras se adopta una decisión definitiva.
d) Promover y divulgar los derechos de las personas en relación con el Tratamiento de datos personales e implementara campañas pedagógicas para capacitar e informar a los ciudadanos acerca del ejercicio y garantía del derecho fundamental a la protección de datos.
e) Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley.
f) Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones.
g) Proferir las declaraciones de conformidad sobre las transferencias internacionales de datos.
h) Administrar el Registro Nacional Público de Bases de Datos y emitir las órdenes y los actos necesarios para su administración y funcionamiento.
i) Sugerir o recomendar los ajustes, correctivos o adecuaciones a la normatividad que resulten acordes con la evolución tecnológica, informática o comunicacional.
j) Requerir la colaboración de entidades internacionales o extranjeras cuando se afecten los derechos de los Titulares fuera del territorio colombiano con ocasión, entre otras, de la recolección internacional de datos personales.
k) Las demás que le sean asignadas por ley.”
2.19.2. Intervenciones ciudadanas y concepto del Ministerio Público
2.19.2.1. ASOBANCARIA solicita la inexequibilidad del articulo 20 por considerar que los recursos producto de las sanciones que se impongan en aplicación de la ley deben ir a la Superintendencia de Industria y Comercio, vulnera la Constitución, ya que habría una violación al debido proceso por el hecho de que quien sancione sea en últimas el beneficiario de la sanción, ostentando una condición privilegiada que puede resultar vulneratoria de los derechos de los beneficiarios de la norma. Solicitó a la Corte analizar si este tipo de regulaciones exceden la libertad de configuración del legislador, ya que por la naturaleza del recaudo –multas- deben estar destinadas al Tesoro Público.
2.19.2.2. La Secretaría Jurídica explica que las atribuciones otorgadas a la Superintendencia se encuentran enmarcadas dentro de la Constitución Política en el articulo 150; por esta razón, dentro del presupuesto de la superintendencia ya se encuentran incluidos los dineros recaudados por concepto de multas impuestas que servirán para el funcionamiento de dicho ente, pero aclara que todas las actuaciones de la superintendencia deben estar ajustadas a principios generales del derecho y de ley, facultando a las personas que han sido multadas para interponer recursos o acudir ante la jurisdicción contenciosa para resolver las controversias que susciten las decisiones adoptadas.
2.19.2.3. El Ministerio Público guardó silencio.
2.19.3. Análisis de constitucionalidad del artículo 20
El artículo 20 se refiere a los recursos con los cuales ha de funcionar esa Delegada. ASOBANCARIA plantea que si los dineros producto de las multas son un factor válido de financiación para que la nueva delegatura que se crea en la Superintendencia de Industria y Comercio pueda ejercer las funciones que le son atribuidas por la ley. En este sentido, debe responderse si la destinación de esta renta se encuentra conforme con el artículo 359 de la Constitución, el cual consagra que “No habrá rentas de destinación específica”.
Ahora bien, dicho principio constitucional guarda estrecha relación con el principio de unidad de caja, estipulado en el Decreto 111 de 1996 (Estatuto Orgánico del Presupuesto), el cual sostiene que “Con el recaudo de todas las rentas y recursos de capital se atenderá el pago oportuno de todas las apropiaciones autorizadas en el Presupuesto General de la Nación”, es decir, que la totalidad de los ingresos públicos deben ingresar sin previa destinación a un fondo común desde donde se asignan a la financiación del gasto público.
Por otro lado, el artículo 27 del Decreto 111 de 1996 consagra la clasificación de los ingresos corrientes de la Nación, señalando que se dividen entre “tributarios” y “no tributarios”. Los primeros a su vez, se clasifican en “impuestos directos e indirectos” y los segundos en “tasas” y “multas”. Entonces, tenemos que las multas se consideran ingresos no tributarios pero que pertenecen al ingreso corriente de la nación, que son destinados al presupuesto nacional. Lo anterior, es consecuente con la norma constitucional que define el significado de ingresos corrientes como “los constituidos por ingresos tributarios y no tributarios con excepción de los recursos de capital”.
Por lo anterior, concluye esta Sala que destinar al funcionamiento de la Superintendencia de Industria y Comercio, las multas generadas con ocasión del ejercicio de las funciones que le otorga el proyecto en revisión, contradice la prohibición de destinación de rentas específicas y el de unidad de caja establecido por el Estatuto Orgánico del Presupuesto Nacional, sobre el cual la Corte ha dicho que es desarrollo de la Constitución económica. Por lo tanto, la Sala declarará inexequible el literal a) del artículo 20 del proyecto de ley.
En este orden, la financiación de esta nueva dependencia dependerá de los recursos del presupuesto nacional señalados en el literal b) del artículo 20 en revisión, que en consecuencia será declarado exequible pues se establece en cumplimiento del principio del gasto público consagrado en el artículo 345.
2.20. EXAMEN DE CONSTITUCIONALIDAD DEL ARTÍCULO 21: FUNCIONES DEL ORGANO DE VIGILANCIA.
2.20.1. Texto de la disposición
“Artículo 21. Funciones. La Superintendencia de Industria y Comercio ejercerá las siguientes funciones:
a) Velar por el cumplimiento de la legislación en materia de protección de datos personales.
b) Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. Para el efecto, siempre que se desconozca el derecho, podrá disponer que se conceda el acceso y suministro de los datos, la rectificación, actualización o supresión de los mismos.
c) Disponer el bloqueo temporal de los datos cuando, de la solicitud y de las pruebas aportadas por el Titular, se identifique un riesgo cierto de vulneración de sus derechos fundamentales, y dicho bloqueo sea necesario para protegerlos mientras se adopta una decisión definitiva.
d) Promover y divulgar los derechos de las personas en relación con el Tratamiento de datos personales e implementara campañas pedagógicas para capacitar e informar a los ciudadanos acerca del ejercicio y garantía del derecho fundamental a la protección de datos.
e) Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley.
f) Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones.
g) Proferir las declaraciones de conformidad sobre las transferencias internacionales de datos.
h) Administrar el Registro Nacional Público de Bases de Datos y emitir las órdenes y los actos necesarios para su administración y funcionamiento.
i) Sugerir o recomendar los ajustes, correctivos o adecuaciones a la normatividad que resulten acordes con la evolución tecnológica, informática o comunicacional.
j) Requerir la colaboración de entidades internacionales o extranjeras cuando se afecten los derechos de los Titulares fuera del territorio colombiano con ocasión, entre otras, de la recolección internacional de datos personales.
k) Las demás que le sean asignadas por ley.”
2.20.2. Intervenciones ciudadanas y concepto del Ministerio Público
Ningún ciudadano ni el Procurador se pronunciaron sobre la constitucionalidad de esta disposición
2.20.3. Exequibilidad el artículo 21.
Esta disposición enlista las funciones que ejercerá la nueva Delegatura de protección de datos personales. Al estudiar las funciones a ella asignadas, encuentra esta Sala que todas corresponden y despliegan los estándares internacionales establecidos sobre la autoridad de vigilancia. En efecto, desarrollan las funciones de vigilancia del cumplimiento de la normativa, de investigación y sanción por su incumplimiento, de vigilancia de la transferencia internacional de datos y de promoción de la protección de datos.
Además, debe afirmarse que, tal como lo estableció la Corte en la Sentencia C-1011 de 2008, la naturaleza de las facultades atribuidas a la Superintendencia –a través de la Delegatura-, “caen dentro del ámbito de las funciones de policía administrativa que corresponden a esos órganos técnicos adscritos al ejecutivo (Art. 115 C.P.), en tanto expresión de la potestad de dirección e intervención del Estado en la economía (Art.334), y de intervención reforzada del Gobierno en las actividades financiera, bursátiles y aseguradoras (Art. 335 C.P.).”
Finalmente, tal como lo aclaraba la sentencia en cita, la asignación de facultades de vigilancia, promoción y sancionatorias a la Superintendencia de Industria y Comercio, “no puede interpretarse como el desplazamiento o la reasignación de competencias que constitucional o legalmente le han sido atribuidas a otros órganos institucionales de control. En tal sentido, sin perjuicio de las funciones de vigilancia asignadas a las Superintendencias a que alude el proyecto, órganos como la Defensoría del Pueblo, por ejemplo, conservan a plenitud sus competencias constitucionales (Art. 282 C.P.) y legales (Ley 24 de 1992) que le imponen velar por la promoción, ejercicio y divulgación de los derechos humanos, y por ende, del derecho fundamental al hábeas data”.
En hilo de lo expuesto, se declarará exequible el artículo 21 del proyecto de ley estatutaria en estudio.
2.21. EXAMEN DEL ARTÍCULO 22: PROCEDIMIENTO Y SANCIONES.
2.21.1. Texto de la disposición.
Articulo 22. Trámite. La superintendencia de Industria y Comercio, una vez establecido el incumplimiento de las disposiciones de la presente ley por parte del Responsable del tratamiento o el Encargado del Tratamiento, adoptara las medidas o impondrá las sanciones correspondientes.
En lo no reglado por la presente ley y los procedimientos correspondientes se seguirán las normas pertinentes del Código Contencioso Administrativo.
2.21.2. Intervenciones ciudadanas y concepto del Ministerio Público
2.21.2.1. La Defensoría del Pueblo señala que el proyecto no contempla un procedimiento específico para el trámite de las sanciones, de manera que siempre será necesario acudir a los procedimientos internos y /o a lo previsto en el Código Contencioso Administrativo. Sin embargo, la Defensoría consideró que el legislador no puede soslayar su responsabilidad de diseño y consagración de los mecanismos procesales requeridos para hacer efectivo el derecho reglamentado. Por tanto, con fundamento en el artículo 152 de la Constitución, señala que el procedimiento al que remite el artículo 22 ha debido regularlo expresamente el legislador estatutario sin hacer las remisiones que aparecen en el inciso segundo. En consecuencia, considera que la remisión es contraria a la Constitución. Señala que ante la ausencia de esas normas, la Corte Constitucional en desarrollo de su atribución de modular los fallos puede: (i) exhortar al Congreso para que expida una Ley Estatutaria contentiva de los mecanismos y recursos que deben adelantarse ante la autoridad de protección de datos, esto es, ante la Superintendencia de Industria y Comercio; y (ii) mientras se adelanta ese trámite, podrían aplicarse las normas de la Ley Estatutaria 1266 de 2008, pese a que presenta los mismos problemas respecto a los procedimientos especiales.
2.21.2.2. La Universidad de los Andes. Considera que al no estar regulado el usuario, las normas de este capítulo devienen en inexequible por cuanto las sanciones y el procedimiento también han debido contemplar a este sujeto.
2.21.2.3. El Ministerio Público no hizo pronunciamiento alguno en relación con este artículo.
2.21.3. Constitucionalidad del régimen sancionatorio administrativo aplicado a la protección del dato
2.21.3.1. Sin lugar a dudas la regulación que hace el legislador estatutario en el capitulo II se inscribe en lo que se ha denominado la potestad sancionadora del Estado, en este caso, en cabeza de una entidad de carácter administrativo como la Superintendencia de Industria y Comercio, a través de la nueva delegada que crea el legislador estatutario para cumplir la función de autoridad de protección del dato personal, en observancia del principio de control y sanción de la Resolución 45/95 de la Asamblea General de la ONU.
Este poder sancionador estatal ha sido definido como "un instrumento de autoprotección, en cuanto contribuye a preservar el orden jurídico institucional mediante la asignación de competencias a la administración que la habilitan para imponer a sus propios funcionarios y a los particulares el acatamiento, inclusive por medios punitivos, de una disciplina cuya observancia contribuye a la realización de sus cometidos".
Esa potestad es una manifestación del jus punendi, razón por la que está sometida a los siguientes principios: (i) el principio de legalidad, que se traduce en la existencia de una ley que la regule; es decir, que corresponde sólo al legislador ordinario o extraordinario su definición. (ii) El principio de tipicidad que, si bien no es igual de riguroso al penal, sí obliga al legislador a hacer una descripción de la conducta o del comportamiento que da lugar a la aplicación de la sanción y a determinar expresamente la sanción[285]. (iii) El debido proceso que exige entre otros, la definición de un procedimiento, así sea sumario, que garantice el debido proceso y, en especial, el derecho de defensa, lo que incluye la designación expresa de la autoridad competente para imponer la sanción. (iv) El principio de proporcionalidad que se traduce en que la sanción debe ser proporcional a la falta o infracción administrativa que se busca sancionar[286]. (v) La independencia de la sanción penal; esto significa que la sanción se puede imponer independientemente de si el hecho que da lugar a ella también puede constituir infracción al régimen penal.
Estos principios son los que debe cumplir cada una de las normas del capítulo en revisión.
2.21.3.2. El artículo 22, inciso primero, cumple con el principio del debido proceso, en la medida en que señala que le corresponderá a la Superintendencia de Industria y Comercio adoptar las medidas y sancionar a los responsables y encargados del tratamiento de datos. Por tanto, se cumple con la obligación de designar la autoridad competente para imponer las sanciones por el desconocimiento de las normas de protección del dato.
En relación con el principio de tipicidad, encuentra la Sala que pese a la generalidad de la ley, es determinable la infracción administrativa en la medida en que se señala que la constituye el incumplimiento de las disposiciones de la ley, esto es, en términos específicos, la regulación que hacen los artículos 17 y 18 del proyecto de ley, en los que se señalan los deberes de los responsables y encargados del tratamiento del dato.
De esta misma generalidad adolecía el proyecto que dio origen a la Ley 1266 de 2008, y la Corte, en la sentencia C-1011 de 2008, interpretó que la infracción administrativa la constituía el desconocimiento de los deberes de los usuarios, fuentes y operadores. Esa interpretación será la misma que empleará en esta oportunidad la Sala para declarar la exequibilidad del inciso primero del artículo 22, cuando se refiere al “incumplimiento de las disposiciones de la presente ley por parte del Responsable del Tratamiento o el Encargado del Tratamiento”.
En ese momento, la Sala advirtió que:
“Por último debe insistirse que en el ámbito propio del derecho administrativo sancionador, la tipicidad de la falta se acredita cuando la conducta sancionable esté descrita de manera específica y precisa, bien porque la misma esté determinada en el mismo cuerpo normativo o sea determinable, a partir de la aplicación de otras normas jurídicas. En el caso propuesto, el listado de obligaciones y deberes predicables de los operadores, las fuentes y los usuarios, que ofrece la legislación estatutaria otorgan un marco suficientemente definido para la identificación precisa de las faltas”.
En relación con el inciso segundo, la Sala encuentra que hace un reenvío al Código Contencioso Administrativo en lo que hace al procedimiento que debe aplicarse para la imposición de las sanciones. Es decir, pese a que el legislador estatutario expresamente no consagró “el procedimiento” para la aplicación de las sanciones contempladas en el artículo 23, ese reenvió permite señalar que el inciso se ajusta al artículo 29 de la Constitución, toda vez que sí existe un procedimiento específico que debe aplicar la autoridad de protección del dato.
El procedimiento para la imposición de las sanciones de carácter administrativa, en los términos de la jurisprudencia de esta Corporación impone la “certeza sobre las reglas de juego aplicables para la investigación, efectuar la respectiva imputación de responsabilidad, e imponer la correspondiente sanción al infractor, si a ello hubiere lugar. Este procedimiento debe garantizar, a través de mecanismos idóneos, un adecuado ejercicio del derecho de defensa”[287].
Corresponde ahora a la Corte determinar si el procedimiento que regula el Código Contencioso Administrativo, satisface el derecho al debido proceso y defensa. En ese sentido, encontramos que en el artículo 28 y siguientes de esa codificación, se regula un procedimiento que en criterio de la Sala garantiza los derechos al debido proceso y defensa de las personas sujetas al control de la autoridad de protección del dato. Veamos:
El artículo 28 señala el deber de comunicar las actuaciones cuando de una actuación se desprenda que hay particulares que pueden resultar afectados, en este orden, ha de entenderse que esa comunicación debe garantizar que efectivamente el responsable o encargado del tratamiento sea efectivamente enterado de la iniciación de la actuación administrativa, razón por la que se impone su notificación personal.
El artículo 30 establece la garantía de imparcialidad y en consecuencia, establece las causales de recusación para el funcionario que deba dirigir una investigación, con este precepto se garantiza la transparencia y el principio de imparcialidad para la función pública. El artículo 34 señala que se podrán pedir y decretar pruebas sin requisitos ni términos especiales, con este precepto se garantiza el derecho a la defensa y contradicción y el 35 regula la adopción de decisiones, previendo que antes de adoptar las medidas correspondientes, se tendrá que escuchar a los interesados y motivar, así sea sumariamente la resolución. La notificación, en los términos del artículo 44, debe ser personal.
Finalmente, el artículo 47 prevé que se informará sobre los recursos que proceden contra la decisión, reposición y apelación.
El anterior recorrido normativo, le permite a la Sala concluir que el procedimiento que consagra el Código Contencioso Administrativo garantiza los derechos al debido proceso y defensa, razón por la que se declarará exequible el artículo 22 del proyecto de ley en revisión
No obstante lo anterior, la Corte concuerda con la intervención de la Defensoría del Pueblo, en el sentido que el legislador debe hacer un esfuerzo por regular de forma sistemática y clara los procedimientos sancionatorios, sin necesidad de remisiones que en ocasiones dificultan su aplicación.
2.22. EXÁMEN DEL ARTÍCULO 23: SANCIONES.
2.22.1. Texto de la disposición
Articulo 23. Sanciones. La Superintendencia de Industria y Comercio podrá imponer a los Responsables del Tratamiento y Encargados del tratamiento las siguientes sanciones:
a) Multas de carácter personal e institucional a favor de la Superintendencia de Industria y Comercio hasta por el equivalente de dos mil (2000) salarios mínimos mensuales legales vigentes en el momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó.
b) Suspensión de las actividades relacionadas con el tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.
c) Cierre temporal de las operaciones relacionadas con el tratamiento una vez transcurrido el término de suspensión sin que se hubieran adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio.
d) Cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.
Parágrafo. Las sanciones indicadas en el presente artículo sólo aplican para las personas de naturaleza privada. En el evento en el cual la Superintendencia de Industria y Comercio advierta en presunto incumplimiento de una autoridad pública a las disposiciones de la presente ley, remitirá la actuación a la Procuraduría General de la Nación para que adelante la investigación respectiva.
2.22.2. Intervenciones ciudadanas y concepto del Ministerio Público
En relación con esta norma no se presentó ninguna intervención ni el Ministerio Público conceptuó.
2.22.3. Violación de los principios de tipicidad y correlación o proporcionalidad entre la infracción y la sanción.
El artículo 23 del proyecto establece las sanciones que puede aplicar la Superintendencia de Industria y Comercio a los responsables del tratamiento y encargados del tratamiento, dentro de las cuales contempla las multas, la suspensión de las actividades relacionadas con el tratamiento, el cierre temporal de las operaciones relacionadas con el tratamiento y finalmente el cierre inmediato y definitivo de la operación:
Esta norma constituye una disposición de carácter sancionatorio y por ello debe cumplir con todos los principios propios del debido proceso sancionador contemplados en la Constitución Política y reconocidos por la jurisprudencia de esta Corporación:
En primer lugar, el principio de legalidad, de acuerdo con el cual: “las conductas sancionables no sólo deben estar descritas en norma previa sino que, además, deben tener un fundamento legal, por lo cual su definición no puede ser delegada en la autoridad administrativa”[288].
Este axioma tiene una interpretación menos rigurosa en el Derecho administrativo sancionador que en el Derecho penal, pues es posible una flexibilización razonable de la descripción típica:
“Ha reiterado la Corte, que en el derecho administrativo sancionador "aunque la tipicidad hace parte del derecho al debido proceso en toda actuación administrativa, no es demandable en este campo el mismo grado de rigurosidad que se exige en materia penal”, por cuanto la naturaleza de las conductas reprimidas, los bienes jurídicos involucrados y la teleología de las facultades sancionadoras en estos casos, hacen posible también una flexibilización razonable de la descripción típica, en todo caso, siempre erradicando e impidiendo la arbitrariedad y el autoritarismo, que se haga prevalecer los principios de legalidad y de justicia social, así como los demás principios y fines del Estado, y que se asegure los derechos constitucionales, los intereses legítimos y los derechos de origen legal o convencional de todas las personas”[289].
Esta norma cumple con el principio de tipicidad, para lo cual debe interpretarse conjuntamente con el artículo 22 de la futura ley estatutaria, que establece la posibilidad de imponer sanciones cuando se hayan incumplido las disposiciones de esta ley. En este sentido, el supuesto de hecho que completa la norma jurídica sancionatoria está constituido por la infracción de las disposiciones de la futura ley estatutaria por la cual se dictan disposiciones generales para la protección de datos personales.
Por otro lado, esta Corporación se pronunció en la sentencia C-1011 de 2008 sobre la constitucionalidad de una norma similar al artículo 23, la cual señalaba que la Superintendencia de Industria y Comercio y la Superintendencia Financiera podrán imponer a los operadores, fuentes o usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países previas explicaciones de acuerdo con el procedimiento aplicable las sanciones de Multas, Suspensión de las actividades del Banco de Datos, Cierre o clausura de operaciones del Banco de Datos y Cierre inmediato y definitivo de la operación de Bancos de Datos[290].
En esa oportunidad, esta Corporación declaró la constitucionalidad de la norma considerando que la norma cumplía con los elementos básicos de tipicidad:
“El régimen sancionatorio previsto en la Ley de hábeas data respeta los principios de reserva legal, legalidad y tipicidad, en el grado de rigurosidad exigible en el derecho administrativo sancionador. Los preceptos examinados, con las remisiones y concordancias señaladas, (i) definen los elementos básicos de las infracciones que generan sanción y los criterios para su determinación; (ii) establecen el contenido material de la sanción; (iii) permiten establecer una correlación entre el contenido de la norma de conducta y la norma de sanción; (iv) establecen – vía remisión – un procedimiento establecido en normas con fuerza material de ley; y (v) determina los órganos encargados del ejercicio de la potestad sancionatoria”[291].
De la misma manera como se manifestó en aquella oportunidad, se considera que el artículo 23 del proyecto de ley estatutaria también cumple con estos requisitos, pues por vía de reenvío es claro que las sanciones establecidas se impondrán por la violación de las normas sobre el manejo de datos.
En segundo lugar, la norma debe cumplir con los principios de proporcionalidad y razonabilidad, frente al cual el proyecto establece una serie de criterios en su artículo 24 para determinar la sanción aplicable, tales como: “a) La dimensión del daño o peligro a los intereses jurídicos tutelados por la presente ley. b) El beneficio económico obtenido por el infractor o terceros, en virtud de la comisión de la infracción. c) La reincidencia en la comisión de la infracción. d) La resistencia, negativa u obstrucción a la acción investigadora o de vigilancia de la Superintendencia de Industria y Comercio. e) La renuencia o desacato a cumplir las órdenes impartidas por la Superintendencia de Industria y Comercio. f) El reconocimiento o aceptación expresos que haga el investigado sobre la comisión de la infracción antes de la imposición de la sanción a que hubiere lugar”[292].
En este sentido, se estima que existen los suficientes criterios para determinar la sanción específicamente imponible, los cuales han sido señalados por el propio proyecto de ley estatutaria.
Por último cabe destacar que la norma respeta claramente el debido proceso al remitirse al Código Contencioso Administrativo en relación con los procedimientos aplicables. En consecuencia, se declarará la exequibilidad del artículo 23, salvo la expresión “a favor de la Superintendencia de Industria y Comercio” contenida en el literal a) del artículo 23 que se declarará INEXEQUIBLE como consecuencia de la declaratoria de inexequibilidad del literal a) del artículo 20
2.23. EXÁMEN DEL ARTÍCULO 24: CRITERIOS PARA GRADUAR LAS SANCIONES.
2.23.1. Texto de la disposición
Articulo 24. Criterios para graduar las sanciones. Las sanciones por infracciones a las que se refieren el artículo anterior, se graduarán atendiendo los siguientes criterios, en cuanto resulten aplicables:
a) La dimensión del daño o peligro a los intereses jurídicos tutelados por la presente ley.
b) El beneficio económico obtenido por el infractor o terceros, en virtud de la comisión de la infracción.
c) la reincidencia en la comisión de la infracción.
d) La resistencia, negativa u obstrucción a la acción investigadora o de vigilancia de la Superintendencia de Industria y Comercio.
e) La renuencia o desacato a cumplir las órdenes impartidas por la Superintendencia de Industria y Comercio.
f) El reconocimiento o aceptación expresos que haga el investigado sobre la comisión de la infracción antes de la imposición de la sanción a que hubiere lugar.
2.23.2. Intervenciones ciudadanas y concepto del Ministerio Público
No hubo ninguna intervención y el Ministerio Público guardó silencio.
2.23.3. La constitucionalidad del artículo 24
Este precepto se ajusta a la Constitución, en la medida en que corresponde al legislador establecer parámetros para que las autoridades, al momento de aplicar determinada sanción, puedan hacer graduaciones dependiendo de factores o circunstancias del investigado o de su actuación. En ese sentido, el precepto analizado consagra en los primeros 5 literales, circunstancias de agravación de la sanción, mientras el último, el literal f) consagra una causal de disminución.
2.24. EXAMEN DEL ARTÍCULO 25: REGISTRO NACIONAL DE BASES DE DATOS.
2.24.1. Texto de la disposición
Articulo 25. Definición. El registro Nacional de Bases de Datos es el directorio público de las bases de datos sujetas a Tratamiento que operan en el país.
El registro será administrado por la Superintendencia de Industria y Comercio y será de libre consulta para los ciudadanos.
Para realizar el registro de bases de datos, los interesados deberán aportar a la Superintendencia de Industria y Comercio las políticas de tratamiento de la información, las cuales obligaran a los responsables y encargados del mismo, y cuyo incumplimiento acarreará las sanciones correspondientes. Las políticas de Tratamiento en ningún caso podrán ser inferiores a los deberes contenidos en la presente ley.
Parágrafo. El Gobierno nacional reglamentará, dentro del año siguiente a la promulgación de la presente Ley, la información mínima que debe contener el Registro, y los términos y condiciones bajo los cuales se deben inscribir en este los Responsables del tratamiento.”
2.24.2. Intervenciones ciudadanas y concepto del Ministerio Publico
2.24.2.1. La Secretaria Jurídica de la Presidencia solicita declarar la exequibilidad de esta norma argumentando que la creación del Registro Nacional de Bases de Datos, encuentra sustento en los artículos 150 y 152 de la Carta Política; afirma que con su creación se buscan herramientas que ayuden a la protección del derecho de habeas data, y se convierte en un elemento que complementa las funciones de vigilancia y control por parte de la superintendencia, para así asegurar el cumplimiento del principio de transparencia en el manejo y tratamiento de datos personales.
2.24.2.2. El Ministerio Público guardó silencio.
2.24.3. Constitucionalidad condicionada del artículo 25
El artículo 25 define el Registro Nacional de Datos como el directorio público de las bases de datos sujetas a tratamiento que operan en el país. Registro administrado por la Superintendencia de Industria y Comercio que tiene por objeto: (i) que todos los ciudadanos conozcan cuáles son las bases de datos que funcionan en el país; (ii) que la Superintendencia tenga un control preciso sobre éstas, en la medida que podrá establecer quién y cómo se trata la información en el territorio colombiano; (iii) el conocimiento por parte del ente de control y vigilancia para la protección del dato, sobre las políticas de tratamiento de la información que tienen los responsables y encargados del tratamiento de datos personales, las cuales deben, como mínimo, contener los deberes que estipula el proyecto en revisión, políticas que como se explicó en precedencia, son obligatorias y le permiten al ente de control imponer las sanciones correspondientes por su inobservancia.
El parágrafo de esta norma estipula que el Gobierno Nacional reglamentará dentro del año siguiente a la promulgación de la ley estatutaria en revisión, la información mínima que debe contener el Registro y los términos y condiciones bajo los cuales se deben inscribir en éste los Responsables del Tratamiento.
En principio este precepto no ofrece reparos frente a su constitucionalidad. Sin embargo, se impone hacer algunas precisiones que no se evidencian de su literalidad. Veamos.
En el marco internacional se observa que esta clase de registros tienen por objeto permitir que todas las personas, como una forma de materializar su derecho al habeas data, puedan conocer con exactitud qué bases de datos hacen tratamiento sobre sus datos personales y de esa forma ejercitar todo el plexo de derechos que se derivan del habeas data: actualización, rectificación, oposición, supresión, etc. En consecuencia, ha de entenderse que el registro al que se refiere el precepto en revisión no busca llevar simplemente un registro público de bases de datos, como parecería deducirse de su texto, sino el permitir a cualquier ciudadano establecer con exactitud quiénes son los responsables y encargados del tratamiento de sus datos, como otra forma de materializar el principio de transparencia que guía la administración de las bases de datos. En otros términos, el objetivo de la centralización de esta clase de información por parte de un órgano del Estado, es facilitar el ejercicio de uno de los ámbitos esenciales del habeas data: conocer quién está haciendo tratamiento de datos personales, a fin de que pueda existir un control efectivo de éstos por su titular, hecho que explica por qué dicho registro es abierto a la consulta del público en general. En ese orden ideas, la inscripción en él se debe imponer como una obligación tanto para las bases públicas como privadas, pues este es un instrumento que permitirá que el Estado efectivamente garantice que el titular del dato pueda tener un control efectivo sobre sus datos personales. Es decir, es ésta otra forma que en un instrumento puede ayudar a materializar el ejercicio de un derecho fundamental como lo es el habeas data.
En ese sentido, cuando el parágrafo acusado señala que el Gobierno Nacional reglamentará la información mínima que debe contener este registro y los términos y condiciones en que se deben inscribir los responsables del tratamiento, lo debe hacer teniendo en cuenta que éste debe permitir a cualquier persona determinar quién está haciendo tratamiento de sus datos personales para de esa forma garantizar que la persona pueda tener un control efectivo sobre sus datos personales al poder conocer clara y certeramente en qué bases se manejan sus datos personales. Por ende, el Gobierno Nacional tendrá en su labor de reglamentación que acudir a los estándares internacionales y a la experiencia de otros Estados en la materia[293] para lograr que la finalidad antes descrita de este registro se cumpla.
2.25. EXEQUIBILIDAD CONDICIONADA DEL ARTÍCULO 26 E INEXEQUIBILIDAD PARCIAL DEL LITERAL F).
2.25.1. Texto de la disposición
“Artículo 26. Prohibición. Se prohíbe la transferencia de datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos. Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios.
Esta prohibición no regirá cuando se trate de:
a) Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia.
b) Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública.
c) Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable.
d) Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad.
e) Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular.
f) Transferencias necesarias o legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
Parágrafo 1°. En los casos no contemplados como excepción en el presente artículo, corresponderá a la Superintendencia de Industria y Comercio, proferir la declaración de conformidad relativa a la transferencia internacional de datos personales. Para el efecto, el Superintendente queda facultado para requerir información y adelantar las diligencias tendientes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de la operación.
Parágrafo 2°. Las disposiciones contenidas en el presente artículo serán aplicables para todos los datos personales, incluyendo aquellos contemplados en la Ley 1266 de 2008.”
2.25.2. Intervenciones ciudadanas y concepto del Ministerio Público
2.25.2.1. La Secretaría Jurídica de la Presidencia advierte que para poder realizar un análisis de constitucionalidad del artículo 26 de la Ley Estatutaria, se deben tener presentes tanto los derechos del titular como la obligación de quienes tienen a su cargo el manejo de los datos. Afirma que dentro de la globalización es importante darle reconocimiento a los estándares internacionales que se convierten de obligatorio cumplimiento para garantizar la protección de los datos personales del titular y asegurar la eficacia de dichas normas.
En este sentido, el análisis de protección debe hacerse teniendo en cuenta el contenido de las normas aplicables y los medios para asegurar su aplicación eficaz. Todo esto crea la necesidad de la existencia de una prohibición de la transferencia de datos personales a terceros países, pues es difícil llegar a establecer como titular si al país al que se está haciendo la transferencia cumple con los mínimos de seguridad y protección de los datos; de esto se desprende la necesidad de estipular dichas excepciones sobre el tema como son:
La que hace referencia a la autorización expresa, informada e inequívoca que debe hacer el titular para que se realice la transferencia a un tercer país, pero si por alguna razón el consentimiento no está completo, la excepción no será aplicable. Todo este análisis para concluir que esta excepción no representa una limitación al derecho del artículo 15 de la Constitución.
La excepción que hace referencia a la transferencia por razones médicas, de salud o higiene pública, se encuentra justificada y acorde con la Constitución pues se está buscando el amparo de derechos fundamentales como el de la vida y la salud del titular, sin importar que no exista su autorización. Se requiere para hacer efectiva esta excepción la solicitud médica o, en caso extraordinario, que provenga dicha solicitud de autoridad administrativa o judicial; la Corte debe atender esta excepción pues lo que se busca en últimas, como lo dijo en la sentencia C-1011 de 2008, es el cumplimiento de un objetivo de carácter constitucional y proporcionado.
La tercera excepción se refiere a las transferencias bancarias y bursátiles, que se hace útil para el comercio internacional, pero esta excepción no es absoluta, pues para que se considere constitucional se debe cumplir con el requisito de la existencia de la autorización del titular de la información.
La cuarta excepción hace referencia a la transferencia en razón de tratados internacionales suscritos por Colombia, esta excepción no trae un mayor problema de constitucionalidad pues para la aprobación de dichos tratados es necesario un trámite que pasa por manos del Congreso de la Republica y por la Corte Constitucional como parte del control de constitucionalidad.
La quinta excepción contempla las transferencias entre el titular y el responsable del tratamiento, aduce que pareciera que esta es muy amplia pero se limita y se comprueba su lealtad a la Constitución, además para su aplicación deben concurrir dos elementos que son: la autorización por parte del titular de los datos y la prueba de necesidad, es decir que se compruebe que realmente el dato objeto de transferencia es indispensable para la ejecución de la actividad contractual.
La ultima excepción, plantea dos situaciones. La primera, que plantea el literal f), es la que tiene como fin primordial y encuentra su justificación en la salvaguarda de intereses públicos, pero esto teniendo en cuenta que la autoridad administrativa tenga la facultad legal de no requerir la autorización del titular y, en el segundo evento, se quiere lograr el ejercicio legal y necesario de la defensa de derechos legales y por tanto, se tiene por entendido no la autorización sino que exista la orden judicial, todo esto para determinar que dicha excepción se justifica a nivel legal y constitucional.
El parágrafo primero del artículo en análisis determina que es la Superintendencia la encargada de dar los parámetros por los cuales deben realizar las transferencias al igual que el otorgamiento de nivel de adecuación a los terceros países; la constitucionalidad de dicho parágrafo se da por el análisis que hizo la Corte en la sentencia C-1011 de 2008, en la que reitera el carácter autónomo e independiente que ostentan las superintendencias y que esta es razón suficiente para otorgarles el poder para fijar criterios para los operadores de información y calificar si existe o no seguridad en el tratamiento que le dan terceros países a los datos transferidos por Colombia. En el último parágrafo se hace alusión a que la disposición dada por el parágrafo 1° tiene que hacerse extensiva a la ley 1266, pues la ley estatutaria encuentra una situación inequitativa y violatoria de derecho fundamental ya que en la ley ya nombrada quien tiene la función que es otorgada a la Superintendencia en esta nueva ley es desarrollada por el mismo operador nacional dando esto un nivel de inseguridad en el manejo de los datos.
2.25.2.2. Por su parte, la Defensoría del Pueblo, frente al literal b) solicita se declare la exequibilidad condicionada, bajo el entendido que la transmisión por las razones de que trata el literal b) no exime al operador de recabar la autorización del titular de la información.
Respecto al literal f) realiza las siguientes precisiones:
Expone que el carácter “necesario” de una transferencia queda abierto, en el sentido de que no establece respecto de quién se reputa dicha necesidad, ni quién la define ni cómo se establece. Además, dicho carácter contraviene los principios de legalidad y de finalidad del tratamiento, ya que no está condicionado al consentimiento previo y expreso del titular. Además, la definición de “necesidad” se hará en cada caso particular, con lo cual el arbitrio para su definición resulta excesivamente vago y general.
De otro lado, sostiene que si a la expresión “necesarias” se adiciona la expresión “salvaguarda del interés público”, la eficacia de los derechos fundamentales queda reducida a su mínima expresión. En efecto, el “interés público” es una concepción, en principio, carente de contenidos jurídicos concretos, y por lo mismo, no puede esgrimirse como fórmula infalible para limitar o restringir los derechos fundamentales del ciudadano. El eventual retiro de dichas expresiones “necesarias” y “salvaguarda del interés público” no afectaría el sentido de la norma restante, ya que el literal f) limitaría la excepción que ella consagra a las transferencias “legalmente exigidas”. Por tanto, la Defensoría solicita se declaren contrarias a la Constitución dichas expresiones.
Por otra parte, considera que la expresión “o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial” es ambigua en tanto no especifica si el proceso judicial involucra al titular de los datos directamente como encausado o como testigo; en qué calidad y bajo qué circunstancias se hace imperiosa la transmisión, o si, por otro lado, se refiere a los derechos de un tercero. Es decir, que las circunstancias que justificarían la cesión internacional de datos caen nuevamente en la generalidad y vaguedad que contradicen el derecho fundamental de protección de datos; en particular los principios de finalidad, autorización, circulación restringida.
Adicional a lo anterior, refiere que si se trata del reconocimiento, ejercicio o defensa de un derecho del titular de la información, será éste el más interesado en posibilitar la transferencia internacional de sus datos. En caso de que se trate de los derechos de un tercero, debe contarse con la autorización del titular de la información. En cualquier caso, siempre se regresa a la excepción que contempla el literal a) del artículo 26.
2.25.3. Examen de constitucionalidad
2.25.3.1. La transferencia internacional de datos personales ha surgido como consecuencia de la globalización y los fenómenos de integración económica y social, en los que tanto las empresas como las entidades gubernamentales requieren transferir datos personales destinados a diferentes propósitos[294].
Debido a la necesidad de circular internacionalmente datos personales se han dispuesto reglas que deben observarse con miras a que los esfuerzos internos de protección de cada país no sean inútiles al momento de su exportación a otros países.
Europa ha sido considerada pionera en establecer fórmulas jurídicas tendientes a la protección de datos cuando se transfieren a terceros países. Así, uno de los presupuestos exigidos para que se pueda realizar la transferencia es que el país receptor cuente con un adecuado nivel de protección a la luz del estándar europeo.
En este sentido, es acertado lo establecido por el artículo 26 del Proyecto de Ley, en la medida que establece la premisa general de prohibir la transferencia de datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos. Lo anterior, con el objetivo de no impedir el tratamiento de los datos pero evitando lesionar derechos de las personas con ocasión del mismo, derechos constitucionales como el derecho a la intimidad.
Sobre este punto, surge el cuestionamiento sobre qué es un nivel adecuado de protección. El Director del Grupo de Estudios en internet, Comercio electrónico, Telecomunicaciones e Informática (GECTI) de la Universidad de los Andes, Nelson Remolina Angarita, ha señalado que el nivel adecuado de protección de los datos personales se refiere a que el Estado importador tenga un grado de protección superior, igual, similar o equivalente al del Estado exportador[295], dándole aplicación al principio de continuidad en la protección de datos.
De igual manera, la Organización de las Naciones Unidas (ONU), el Consejo de Europa, el Parlamento Europeo y el Consejo de la Unión Europea han señalado que la transferencia internacional de datos es viable si se establece que el país importador ofrece garantías comparables de protección a las ofrecidas por el país exportador.
Tal como se indicó precedentemente, Europa ha sido precursora en el manejo de datos, estableciendo reglas para su transferencia a terceros países. De esta manera, el Grupo de Protección de las Personas en lo que respecta al Tratamiento de Datos Personales[296], en el marco de la Comisión Europea adoptó dos documentos de relevante importancia, a saber: Las primeras orientaciones sobre la transferencia de datos personales a países terceros: posibles formas de evaluar la adecuación (Bruselas, 1997) y, transferencias de datos personales a terceros países: aplicación de los artículos 25 y 26 de la Directiva sobre protección de datos de la UE (Bruselas 1998.)
En síntesis, se determinó que el nivel de protección adecuado se encuentra sujeto al cumplimiento de dos factores; el primero, de naturaleza regulatoria, consistente en la existencia de normas que contengan derechos en cabeza del titular de los datos, y obligaciones respecto de quienes procesan la información personal o ejercen control sobre ese tratamiento y; el segundo, relacionado con los mecanismos para garantizar la efectiva aplicación del contenido normativo, lo cual implica un conjunto de sanciones apropiadas para los infractores y un órgano de control.
Teniendo en consideración que los países no tienen un régimen de protección de datos uniforme, el mencionado Grupo a partir de lo contenido en la Directiva 95/46/CE, el Convenio 108 de 1981, las directrices de la Organización para la Cooperación y el Desarrollo Económico OCDE de 1980 y los principios de la ONU de 1990, fijó una serie de principios comunes para determinar si las normas de un determinado país brindan un nivel adecuado de protección.
En este orden de ideas, se tiene como principios mínimos según el estándar europeo:
· la limitación de la finalidad;
· calidad de los datos y proporcionalidad;
· transparencia;
· seguridad;
· acceso, rectificación y oposición;
· restricciones a las trasferencias sucesivas a otros países y;
· disposiciones sectoriales o adicionales para el tratamiento de datos de tipo especial donde se incluye, datos sensibles, mercadeo directo y decisión individual automatizada.
En este orden, se entenderá que un país cuenta con un nivel adecuado de protección de datos personales, si consagra una norma general sobre protección de datos personales que incorpore los principios mínimos mencionados, así como las disposiciones sectoriales o adicionales que deben rodear el tratamiento de esa información.
2.25.3.2. En relación con el ahora proyecto de Ley que es objeto de estudio, debe decirse en primer lugar que difiere de lo señalado en la Ley 1266 de 2008[297], pero coincide con el modelo europeo, en cuanto otorga la competencia de determinar qué países proporcionan un nivel adecuado de protección de datos en el órgano de control, esto es, la Superintendencia de Industria y Comercio, y no en los operadores que manejan los datos.
En consecuencia, e inclusive, integrando lo contemplado en la Ley 1266 de 2008, por disposición del parágrafo 2º del artículo 26 del Proyecto de Ley en estudio[298], será la Superintendencia de Industria y Comercio la encargada de determinar si un país otorga garantías de protección de datos.
A propósito de la Ley 1266 de 2008, no debe perderse de vista que la Corte Constitucional mediante Sentencia C-1011 de 2008, declaró inexequible algunas disposiciones y avaló la constitucionalidad de otras pero bajo ciertos condicionamientos:
Específicamente, en relación con el literal f) del artículo 5º, el cual otorga la posibilidad de entregar información a un operador extranjero, previa verificación por parte del operador de que las leyes del país respectivo o el receptor otorguen garantías suficientes para la protección de los derechos del titular, este Tribunal condicionó la mencionada verificación realizada por los operadores, a los parámetros determinados por las Superintendencias de Industria y Comercio y Financiera, quienes deberán analizar el cumplimiento de los estándares de garantía de derechos predicables del titular del dato personal, en la legislación del banco de datos extranjero de destino. Así, dichas entidades podrán, inclusive, identificar expresamente los ordenamientos legales extranjeros respecto de los cuales, luego de un análisis suficiente, pueda predicarse dicho grado de protección suficiente de los derechos del sujeto concernido.
En este sentido, y con sujeción a lo indicado por el referido Grupo de Trabajo de Protección de Datos de la Unión Europea, se entenderá que un país cuenta con los elementos o estándares de garantía necesarios para garantizar un nivel adecuado de protección de datos personales, si su legislación cuenta; con unos principios, que abarquen las obligaciones y derechos de las partes (titular del dato, autoridades públicas, empresas, agencias u otros organismos que efectúen tratamientos de datos personales), y de los datos (calidad del dato, seguridad técnica) y; con un procedimiento de protección de datos que involucre mecanismos y autoridades que efectivicen la protección de la información. De lo anterior se deriva que el país al que se transfiera los datos, no podrá proporcionar un nivel de protección inferior al contemplado en este cuerpo normativo que es objeto de estudio.
2.25.3.3. Ahora bien, el artículo 26 del Proyecto de Ley crea, por otra parte, un conjunto de excepciones a la regla general que prohíbe la transferencia de datos personales a un país tercero que no garantice un nivel de protección adecuado. Es decir, permite la transferencia de datos a países que pueden no garantizar un nivel adecuado de protección, en los siguientes casos:
a) Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia.
b) Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública.
c) Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable.
d) Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad.
e) Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular.
f) Transferencias necesarias o legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
En relación con estas excepciones, la Corte hará algunas precisiones concretas de cara a determinar su constitucionalidad. En este orden, respecto al literal a) no se percibe ningún inconveniente, en tanto para su procedencia se prescribe la autorización expresa e inequívoca del titular del dato, lo anterior, en desarrollo del principio de la libre voluntad del titular de autorizar la circulación de la información. Por lo tanto, es claro que aunque se permite la transferencia de datos a un país que no brinda estándares de protección adecuados, la misma se realiza bajo la responsabilidad de su titular.
De esta manera, desde ya se deja establecido que la premisa de contar con la autorización del titular de la información que es objeto de transferencia, es el presupuesto que permite la circulación de los datos consagrados en las otras excepciones previstas en el presente artículo del Proyecto de Ley y que será su condición para la respectiva declaratoria de constitucionalidad.
El literal b) por su parte, hace referencia al tratamiento de datos de carácter médico, cuando se requiera a favor del titular por razones de salud o higiene pública. Encuentra este Tribunal que la excepción se justifica, puesto que en este caso se trata de preservar y garantizar derechos de rango fundamental. Es pertinente precisar que en esta oportunidad, la facultad de autorizar la transferencia del dato médico recae no sólo en su titular sino también en sus familiares o representante legal, ya que dicho dato puede ser requerido en circunstancias donde su titular no se encuentre en capacidad de otorgar la autorización.
En relación con las transferencias bancarias o bursátiles previstas en el literal c), las mismas se regirán de conformidad a lo dispuesto por la Ley 1266 de 2008, la cual reglamenta el manejo de la información financiera, crediticia y comercial, pero bajo el entendido que la transferencia se hará contando con la autorización previa y expresa del titular del dato.
De igual manera, se admite la procedencia de la excepción consagrada en el literal d), pues tal cual como se indica, dicha transferencia se rige por lo establecido en los tratados internacionales suscritos por Colombia.
Por su parte, el literal e) hace referencia a las transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular. Esta excepción prevé aquellas transferencias que se realizan teniendo como fundamento una relación de tipo contractual, la cual se regirá bajo lo estipulado en el respectivo contrato y conforme a los deberes y derechos estipulados en cabeza de los extremos contractuales, siendo en esta medida el Responsable del Tratamiento del dato, quien debe velar por el adecuado manejo de la información, sin olvidar que para su transferencia se requiere de la autorización del titular, autorización que, conforme a lo reiteradamente expuesto, se entenderá debe ser previa y expresa.
Así, siguiendo la misma línea de la sentencia C-1011 de 2008, se advierte que en las mencionadas excepciones, salvo la consagrada en el literal b), debe existir necesariamente autorización previa y expresa del titular que permita trasmitir sus datos personales, descartando así, cualquier posibilidad de transferencia de datos a un tercer país sin contar con el consentimiento del titular. En este sentido, serán declarados exequibles los literales c), d) y e), en el entendido que sólo procederán cuando medie la autorización previa y expresa del titular de los datos.
Finalmente, en relación con el literal f) la Corte encuentra que lo allí estipulado maneja términos que pueden ser objeto de imprecisiones y que dada su naturaleza amplia y ambigua generan inconvenientes al momento de su aplicación.
Coincide la Corte con lo conceptuado por la Defensoría del Pueblo en el sentido de que las expresiones “necesarias” y “o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial”,no ofrecen suficiente claridad sobre su ámbito de aplicación y si, por el contrario, van en contra de los principios de finalidad, autorización y circulación restringida de los datos personales. La anterior consideración, tiene fundamento en las siguientes observaciones:
Por una parte, la expresión “necesarias” resulta abierta, ambigua y general en el sentido de que no establece respecto de quien se reputa dicha necesidad, ni quien la define, ni cómo se establece. Por otro lado, la expresión “o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial” no especifica si el proceso judicial involucra al titular de los datos directamente como encausado o como testigo; en qué calidad y bajo qué circunstancias se hace imperiosa la transmisión, o si, por otro lado, se refiere a los derechos de un tercero.
En consecuencia, teniendo en consideración que se trata de la regulación del derecho fundamental al habeas data, debe recordarse que las limitaciones impuestas a su ejercicio a través de la consagración de excepciones, han de ser precisas sin emplear conceptos que por su grado de indeterminación pueden comprometer el ejercicio o el goce de otros derechos constitucionales.
Se trata de una defensa del principio de legalidad que pretende ofrecer seguridad jurídica a las personas y, en esta medida, conocer con certeza cuándo sería viable la transferencia de datos personales a países que no otorgan garantías de protección adecuados. En concordancia con lo anterior, lo dispuesto por el literal f) presenta un grado de indeterminación que puede afectar la protección de los datos personales, motivo por el cual, se declarará su inexequibilidad.
2.26. EXAMEN DEL ARTÍCULO 27: DISPOSICIONES ESPECIALES.
2.26.1. Texto de la disposición
Articulo 27. Disposiciones Especiales. El Gobierno Nacional regulará lo concerniente al Tratamiento sobre datos personales que requieran de disposiciones especiales. En todo caso, dicha reglamentación no podrá ser contraria a las disposiciones contenidas en la presente ley.”
2.26.2. Intervenciones ciudadanas y concepto del Ministerio Público
2.26.2.1. La Defensoría del Pueblo considera que la norma es inexequible por su imprecisión y generalidad, en la medida que permite que por medio de la potestad reglamentaria, se introduzcan regulaciones que podrían afectar el núcleo esencial del derecho a la protección de datos, materia que, según el artículo 152 Superior, literal a), tiene reserva legal de carácter estatutario.
El Proyecto de Ley es bastante general, de manera que el ámbito de regulación que quedaría a disposición del Ejecutivo resultaría excesivo e inadmisible, tratándose de una materia reservada al legislador, por cuanto no queda claro qué tipo de datos serían objeto de reglamentación. En últimas, si bien hay materias de carácter técnico que podrían dejarse a la potestad reglamentaria o a las facultades de control y supervisión, la competencia “general” de reglamentación del tratamiento de datos que requieran “disposiciones especiales”, excede el ámbito técnico y presupone la atribución de una facultad indelegable.
2.26.2.2. La Fundación para la libertad de prensa señala que la regulación que se haga debe ajustarse no solo a las regulaciones que son objeto de examen, sino a la Constitución, a la jurisprudencia constitucional en materia de habeas data y acceso a la información, al bloque de constitucionalidad y a los tratados y acuerdos internacionales.
2.26.2.3. El profesor Nelson Remolina de la Universidad de los Andes solicita declarar exequible el artículo, en el entendido que: i) las leyes y actos administrativos especiales sobre datos personales emitidos antes de que se sancione esta ley deben ajustarse, revisarse y actualizarse de manera que sean consistentes con los principios y reglas generales contenidos en el proyecto bajo estudio y con la jurisprudencia de la Corte Constitucional y ii) las leyes y actos administrativos especiales sobre datos personales emitidos con posterioridad a la sanción de la ley en revisión deben respetar e incorporar los principios y reglas generales contenidos en ella y en la jurisprudencia de esta Corporación.
2.26.2.4. La Secretaria Jurídica de la Presidencia de la República señala que el análisis constitucional sobre este artículo debe hacerse con fundamento en: i) el carácter general de la ley y ii) la regulación del contenido esencial de la ley. En consecuencia, debe entenderse que el proyecto de ley en revisión es una regulación general del derecho de habeas data, que tiene su fundamento en la facultad que tiene el Gobierno Nacional para tratar una ley general en esta materia, pues no es función del legislador definir situaciones determinadas, sino dar un marco general sobre el tema.
2.26.3. Inexequibilidad del artículo 27
Esta norma señala que el Gobierno Nacional regulará lo concerniente al tratamiento sobre datos personales que requieran de disposiciones especiales y agrega que, en todo caso, dicha reglamentación no podrá ser contraria a las disposiciones contenidas en la presente ley
Le corresponde a la Sala, frente a este precepto, determinar su alcance y si como lo señalan algunas de las intervenciones, el Gobierno Nacional puede ejercer su facultad reglamentaria en esa materia.
El artículo 27 se refiere a: (i) el tratamiento sobre datos personales; (ii) que requieran disposiciones especiales; (iii) regulación que corresponderá al gobierno nacional; (iv) siempre y cuando se respeten las disposiciones contenidas en el proyecto de ley objeto de revisión.
El tratamiento de datos personales, en los términos que fueron definidos en el artículo 3, literal g) del proyecto en estudio, de conformidad con los recientes estándares internacionales sobre la materia “es cualquier operación o conjunto de operaciones, sean o no automatizadas, que se apliquen a datos de carácter personal, en especial su recogida, conservación, utilización, revelación o supresión”[299]. Ese proceso de tratamiento de datos personales, que puede ser público o privado, requiere, en los términos de la jurisprudencia de esta Corporación, definiciones claras sobre “el objeto o la actividad de las entidades administradoras de bases de datos, las regulaciones internas, los mecanismos técnicos para la recopilación, procesamiento, almacenamiento, seguridad y divulgación de los datos personales y la reglamentación sobre usuarios de los servicios de las administradoras de las bases de datos.”[300].
Entendido así el tratamiento sobre datos personales, es claro que su regulación es una competencia que tiene reserva del legislador, porque toca aspectos del derecho al habeas data y que es un deber estatal en cabeza del legislador “impedir que los procesos de administración de datos personales se conviertan en escenarios excluidos de la vigencia de los derechos, lo que para el caso significa el establecimiento de reglas de protección jurídica de la libertad del individuo ante los actos de gestión de información”[301] y que de ninguna manera pueden quedar librados a que sea el Ejecutivo quien haga su ordenación, pues corresponde al órgano de representación popular como escenario propio de la democracia deliberativa, establecer regulaciones claras y precisas que impidan intervenciones lesivas tanto del Estado como de particulares, en los derechos de los individuos a través de la posibilidad que tienen éstos, como consecuencia de los avances de las nuevas tecnologías de la información de acceder y manipular los datos personales.
Es necesario insistir que con el proyecto objeto de revisión, que es una normativa de principios, el legislador no agotó su obligación de seguir desarrollando mediante lo que se han denominado “leyes sectoriales” el tratamiento de datos según su especificidad v.gr. inteligencia y seguridad; salud, seguridad social, etc., tal como se examinó en acápites precedentes.
Entiende la Sala que cuando el artículo en revisión se refiere a los “datos personales que requieran de disposiciones especiales”, estos no son otros que aquellos que por sus características requieren de lo que la doctrina en materia de protección del habeas data ha denominado “leyes sectoriales”, regulaciones que sin lugar a dudas deben ser expedidas exclusivamente por el legislador y no por el Ejecutivo. Por tanto, el Gobierno Nacional carece de competencia para expedir regulaciones según la tipología del dato. En ese sentido, corresponde al legislador su ordenación, tal como lo hizo para la administración de datos de índole comercial o financiera, destinada al cálculo del riesgo crediticio de servicios, en donde además de observar los principios generales que en otro acápite de esta providencia se han enunciado, cualquier excepción frente a ellos tendrá que ser razonable y proporcional.
Lo anterior permite concluir que es inadmisible que mediante la autorización que se prevé en la norma en revisión, el legislador estatutario resulte vaciando su competencia en una autoridad que, por disposición constitucional, no tiene la facultad para ello. Sobre este particular, no podemos dejar de mencionar que el Comité de Derechos Humanos en la Observación General No. 16, interpretativa del artículo 17 del Pacto Internacional de Derechos Civiles y Políticos, señaló expresamente que “La recopilación y el registro de información personal en computadoras, bancos de datos y otros dispositivos, tanto por las autoridades públicas como por las particulares o entidades privadas, deben estar reglamentados por la ley” (subraya fuera de texto).
En ese sentido, debe insistir la Sala que existe una clara reserva legal en lo que hace a la regulación del tratamiento de los datos personales, que el Gobierno Nacional no puede soslayar ni por expresa delegación que le haga el legislador sobre el particular, toda vez que cuando el Constituyente asignó en cabeza de aquél esa explicita función, lo hizo entre otras para garantizar el pleno ejercicio del derecho. Sobre el particular, en la sentencia T-396 de 1998 reiterada en la C-295 de 2002 frente a un acto que se dictó para regular un aspecto de la ley estatutaria de la administración de justicia, se señaló expresamente que “No es admisible…que se pueda expedir un acto reglamentario no para desarrollar, ejecutar o hacer aplicables los mandatos de dicha ley estatutaria, sino para regular materias sobre las cuales ella misma no se ha ocupado”. Aspecto similar al que es objeto de estudio, porque el hecho que el proyecto de ley en revisión no regule aspectos esenciales de lo que el mismo proyecto denomina “datos especiales” y que según lo explicado a lo largo de esta providencia, requieren de regulaciones sectoriales, no faculta al Gobierno Nacional para su reglamentación por ser éste un aspecto reservado exclusivamente al legislador.
Finalmente, debe entenderse que la facultad a la que se refiere el precepto acusado no se relaciona con la competencia constitucional del Presidente de la República de reglamentación a la que alude el artículo 189, numeral 11 de la Constitución. Dicha potestad no requiere de habilitación legal, como reiteradamente lo ha señalado la jurisprudencia de esta Corporación, al señalar que la potestad reglamentaria es ordinaria y no requiere de habilitación legislativa, dado que si una norma legal requiere ser reglamentada para su debida ejecución e implementación, corresponde al Presidente de la República ejercer esa potestad sin que pueda otra autoridad dentro del Estado, como lo es la rama legislativa del poder público, fijarle términos para su ejercicio, por cuanto es una competencia permanente. Lo anterior no puede interpretarse como una competencia omnímoda pues encuentra sus límites naturales en la ley que se pretende reglamentar y por supuesto en la Constitución, por ejemplo, cuando la materia que se pretender normar vía reglamentaria es objeto de reserva legal, como es el caso en análisis.
En ese orden de ideas, la Corte debe declarar la inexequibilidad del artículo 27 del proyecto de ley en revisión.
2.27. EXAMEN DEL ARTÍCULO 28: NORMAS CORPORATIVAS VINCULANTES.
2.27.1. Texto de la disposición
“Artículo 28. Normas corporativas vinculantes. El Gobierno Nacional expedirá la reglamentación correspondiente sobre Normas Corporativas Vinculantes para la certificación de buenas prácticas en protección de datos personales y su transferencia a terceros países.”
2.27.2. Intervenciones ciudadanas y del Ministerio Publico
2.27.2.1. La Secretaria Jurídica de la Presidencia de la República solicita la declaración de exequibilidad de esta norma por las siguientes razones:
El proyecto se refiere a las normas corporativas vinculantes que son códigos de buenas prácticas para inyectar dinamismo en el intercambio de datos y agilizar las relaciones internacionales, normas que no se pueden entender ni como la posibilidad de hacer regulaciones propias del legislador estatutario, ni que puedan contrariar las dictadas con el propósito de proteger los datos personales.
Las normas corporativas deben ser revisadas por la Superintendencia de Industria y Comercio, para obtener la certificación de buenas prácticas. Adicionalmente, estas tendrán un filtro que es la certificación emitida por entidades debidamente acreditadas ante el Organismo Nacional de Acreditación (ONAC) para completar el proceso de aprobación.
2.27.2.2. El Ministerio Público guardó silencio.
2.27.3. Constitucionalidad del artículo 28
Este artículo señala que el Gobierno Nacional expedirá la reglamentación correspondiente sobre normas corporativas vinculantes para la certificación de buenas prácticas en protección de datos personales y su transferencia a terceros países.
Como se desprende de las discusiones del proyecto de ley y de la intervención de la Secretaría de la Presidencia de la República, estas normas hacen referencia a principios de buen gobierno o regulaciones de buenas prácticas creadas directamente por las organizaciones, con un carácter vinculante para sus miembros.
En el ámbito europeo, antes que se dictaran los estándares en materia de protección, la autorregulación se convirtió en un mecanismo para la protección de los datos personales, en la medida en que son codificaciones sustanciales y procesales en procura de un adecuado modelo de protección de los datos.
En la práctica internacional, los datos también se protegen a través de estos códigos internacionales de conducta. En ese sentido, son un complemento a la regulación de los Estados para la efectiva protección de datos personales en especial en su flujo.
El Grupo de Trabajo del artículo 29 ha señalado que las normas corporativas vinculantes (BCR), que se utilizan en el contexto de las transferencias de datos internacionales, son una manifestación clara del principio de responsabilidad, en la medida que son autorregulaciones de conducta que redactan y siguen las organizaciones multinacionales y que deben contener las medidas para poner en práctica y hacer realizable los principios para la protección de datos, tales como la auditoría, programas de formación, red de funcionarios de privacidad, sistema de tratamiento de quejas, etc.
En consecuencia, la delegación que hace la norma para que sea el Gobierno Nacional el que reglamente los contenidos mínimos que deben contener estas normas corporativas se ajusta a la Constitución, pues en desarrollo de los principios que rigen la administración de los datos personales, estos códigos de conducta para las buenas prácticas en esta materia, se convierten en un instrumento adicional para la efectiva garantía del derecho al habeas data.
Esas normas de autorregulación en la práctica internacional son generalmente revisadas por las autoridades nacionales de protección de datos, que deben vigilar que se consagren y garanticen salvaguardias adecuadas para transferencias o categorías de transferencias de datos personales entre empresas que forman parte del mismo grupo corporativo. En consecuencia, la Corte considera que para que estas normas cumplan su objetivo, una vez el Gobierno Nacional las reglamente y las organizaciones las implementen, deben ser revisadas por la autoridad de protección, función que no fue enlistada en las funciones que se le van a asignar al mencionado ente.
En los términos expuestos y bajo la condición que dichas normas las revise la autoridad de protección, el artículo 28 será declarado exequible.
2.28. EXAMEN DE LOS ARTÍCULOS 32, 33 Y 34: VIGENCIA Y RÉGIMEN DE TRANSICIÓN.
2.28.1. Texto de la disposición
“Artículo 32. Régimen de transición. Las personas que a la fecha de entrada en vigencia de la presente ley ejerzan alguna de las actividades acá reguladas tendrán un plazo de hasta seis (6) meses para adecuarse a las disposiciones contempladas en esta ley.
Artículo 33. Derogatorias. La presente ley deroga todas las disposiciones que le sean contrarias a excepción de aquellas contempladas en el artículo segundo.
Artículo 34. Vigencia. La presente ley rige a partir de su promulgación.”
2.28.2. Intervenciones ciudadanas y del Ministerio Público
No se presentaron observaciones específicas frente al punto.
2.28.3. Constitucionalidad de los artículo 32, 33 y 34
Los cuerpos normativos que crean nuevas reglas sobre determinados asuntos, establecen un régimen de transición para que a quienes les sean aplicables, adopten las medidas necesarias para adaptarse a los cambios. De igual manera, se estipula la entrada en vigencia y las derogatorias.
Estos artículos no contrarían ninguna disposición constitucional en tanto que se limitan a fijar los mecanismos de entrada en rigor del cuerpo normativo, así como los medios de solución de controversias en materia de tránsito legislativo.
En mérito de lo expuesto, la Corte Constitucional, administrando justicia, en nombre del pueblo y por mandato de la Constitución,
Primero.- Declarar EXEQUIBLE, por su aspecto formal, el proyecto de ley Estatutaria No. 046/10 Cámara – 184/10 Senado “por la cual se dictan disposiciones generales para la protección de datos personales”, salvo los artículos 29, 30 y 31 que se declaran INEXEQUIBLES por vicios de procedimiento en su aprobación.
Segundo.- Declarar EXEQUIBLES los artículos 1, 2, 3, 4, 5, 7, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 21, 22, 24, 25, 28, 32, 33 y 34 del proyecto de ley, de conformidad con lo expuesto en la parte motiva de esta providencia.
Tercero.- Declarar EXEQUIBLE el artículo 6 del proyecto de ley objeto de revisión, excepto la expresión “el Titular haya hecho manifiestamente públicos o” del literal d) que se declara INEXEQUIBLE.
Cuarto.- Declarar EXEQUIBLE el artículo 8 del proyecto de ley objeto de revisión, excepto la expresión “sólo”, del literal e) que se declara INEXEQUIBLE. De la misma manera, el literal e) debe entenderse en el sentido que el Titular también podrá revocar la autorización y solicitar la supresión del dato, cuando no exista un deber legal o contractual que le imponga el deber de permanecer en la referida base de datos.
Quinto.- Declarar EXEQUIBLE el artículo 19 del proyecto de ley objeto de revisión, bajo el entendido que la Delegatura de Protección de Datos Personales, en ejercicio de sus funciones deberá actuar de manera autónoma e independiente.
Sexto.- Declarar EXEQUIBLE el artículo 20 del proyecto de ley, a excepción del literal a) que se declara INEXEQUIBLE.
Séptimo.- Declarar EXEQUIBILE el artículo 23 del proyecto de ley, salvo la expresión “a favor de la Superintendencia de Industria y Comercio”, del literal a) que se declara INEXEQUIBLE.
Octavo.- Declarar EXEQUIBLE el artículo 26 del proyecto de ley, salvo la expresión “necesarias o” contenida en el literal f), que se declara INEXEQUIBLE.
Noveno.- Declarar INEXEQUIBLE el artículo 27 del proyecto de ley objeto de revisión.
Cópiese, notifíquese, comuníquese, publíquese, cúmplase y archívese el expediente.
Estructura Ley 1581 de 2012
Artículo 2o. ámbito de aplicación
Artículo 4o. Principios para el tratamiento de datos personales
Artículo 6o. Tratamiento de datos sensibles
Artículo 7o. Derechos de los niños, niñas y adolescentes
Artículo 8o. Derechos de los titulares
Artículo 9o. Autorización del titular
Artículo 10. Casos en que no es necesaria la autorización
Artículo 11. Suministro de la información
Artículo 12. Deber de informar al titular
Artículo 13. Personas a quienes se les puede suministrar la información
Artículo 16. Requisito de procedibilidad
Artículo 17. Deberes de los responsables del tratamiento
Artículo 18. Deberes de los encargados del tratamiento
Artículo 19. Autoridad de protección de datos
Artículo 20. Recursos para el ejercicio de sus funciones
Artículo 24. Criterios para graduar las sanciones
Artículo 27. Normas corporativas vinculantes
Artículo 28. Régimen de transición
2.12. Examen del artículo 10: casos en los que no es necesaria la autorización