Derecho

22 de junio de 2022

Tratamiento de datos: un reto que cada vez más tiene una importancia vertebral en las relaciones jurídico-comerciales

Por: Pablo Andrés Duarte

En el año 2021 la Superintendencia de Industria y Comercio, en su Balance de Gestión de Protección de Datos reportó un aumento sustancial del 74.49% de las quejas con respecto al tratamiento de datos (28610 quejas recibidas en el determinado periodo) en referencia con el año 2020 (lo que representó un alza del 127% de las multas). El 90% de las quejas se originaron por infracciones a la Ley Estatutaria 1266 de 2008 y el 10% restante se originó por violación a la Ley Estatutaria 1581 de 2012.[1]

Es preocupante el considerable aumento de quejas y violaciones reportadas a pesar de la existencia de los mecanismos legales y constitucionales que pretenden velar por los datos personales, lo cual conduce a cuestionarse sobre la eficacia de las herramientas institucionales de protección. La problemática se puede ver aún más agravada con la transformación digital que han sufrido las relaciones comerciales en los últimos años, debido a la adquisición de bienes y servicios por medios virtuales facilitando y flexibilizando el tráfico jurídico, pero así mismo, dejando en buena medida relegado el derecho de habeas data.

La finalidad de este escrito recae en la necesidad de encontrar un posible origen al planteamiento de problemática y además, proponer algunas soluciones que permitan abrir el camino a un debate mucho más amplio, aplicando nuevas alternativas en el desenvolvimiento de los nuevos retos dentro de los marcados tradicionales y electrónicos.

En primer lugar es pertinente definir y establecer los marcos legales y constitucionales del derecho de habeas data y de los derechos de los consumidores, para tener un entendimiento claro de la relevancia que tienen estos temas en las relaciones jurídico-comerciales contemporáneas.

El habeas data se define constitucionalmente en el artículo 15:

‘‘Todas las personas tienen derecho a su intimidad y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución (…) ’’.

Los principales cuerpos normativos que desarrollan y regulan este derecho son  la Ley 1581 de 2012 (ley de disposiciones generales del habeas data para la protección de datos personales), la Ley 1266 de 2018 (ley de regulación de información contenida en bases de datos personales, especialmente la financiera, crediticia, comercial, de servicios y la proveniente de terceros países), el Decreto 1727 de 2009 (por el cual se determina la forma en la cual los operadores de los bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, deben presentar la información de los titulares de la información) y el Decreto1377 de 2013 (el cual reglamenta parcialmente la ley 1581 de 2012).

El anterior conjunto de normas responde ante un conglomerado de principios rectores que guían la actividad de tratamiento de datos personales los cuales son finalidad, libertad, veracidad, transparencia, acceso, seguridad y confidencialidad regulados individualmente en los artículos 4 de la Ley 1581 de 2012 y de la Ley 1266 de 2008.

Ahora bien, por su parte los derechos del consumidor encuentran regulación constitucional en el artículo 78:

‘‘La ley regulará el control de calidad de bienes y servicios ofrecidos y prestados a la comunidad, así como la información que debe suministrarse al público en su comercialización. Serán responsables, de acuerdo con la ley, quienes en la producción y en la comercialización de bienes y servicios, atenten contra la salud, la seguridad y el adecuado aprovisionamiento a consumidores y usuarios. El Estado garantizará la participación de las organizaciones de consumidores y usuarios en el estudio de las disposiciones que les conciernen. Para gozar de este derecho las organizaciones deben ser representativas y observar procedimientos democráticos internos. ’’

El derecho de los consumidores al igual que el habeas data también encuentra desarrollo legal, en este caso, en la Ley 1480 de 2011 o más conocido como el Estatuto del Consumidor según, su artículo 1 regula todo lo pertinente a proteger, promover y garantizar la efectividad y el libre ejercicio de los derechos de los consumidores, así como amparar el respeto a su dignidad y a sus intereses económicos. Adicionalmente está la Ley 1328 de 2009, encargada de proteger al consumidor financiero.

El derecho del consumo responde a unos principios bases, como lo son los definidos por el artículo 5 del Estatuto de Consumidor y artículo 3 de la Ley 1328 de 2009 (la protección a la seguridad e integridad, acceso a la información, educación del consumidor, constituciones de organizaciones del consumidor y protección de menores de edad en su calidad de consumidores/diligencia, libre elección, transparencia e información cierta, responsabilidad de entidades vigiladas, manejo de conflictos de interés)

Teniendo un aspecto general del marco normativo de ambos temas, es determinante recalcar la correlación que existen entre los tópicos. Dentro de la actividad comercial en general se hace uso de mecanismos que permiten la recolección de datos con finalidades de publicidad, adecuación de las ofertas de manera personalizada, registro de adquisición de bienes y servicios, historial de precios y beneficios entre otros segmentos de información que otorgan una ventaja competitiva a las empresas[2] esto cobijado bajo los derechos constitucionales de la libertad económica e iniciativa privada.

Los derechos de la libertad económica e iniciativa privada se encuentran inmersos en el derecho de la libertad de empresa consagrado en el artículo 333 de la constitución, sin embargo la regulación del habeas data en lo pertinente a las relaciones comerciales (Ley 1581 de 2012 y Decreto 1377 de 2013) limitó considerablemente la actividad mercantil, generando incertidumbre para los comerciantes que estaban acostumbrados a realizar ciertas prácticas con el uso de los datos personales de sus usuarios, las cuales, en virtud de las citadas normas, ya no podían realizar más.[3]

Al encontrarse una contraposición entre el grupo de derechos económicos relacionados con la libertad empresarial y el derecho de habeas data dentro de las relaciones comerciales generales, también se aplican las mismas limitaciones dentro de las relaciones de consumo, esto en el entendido de que a pesar de no verse una vulneración directa hacia alguno de los derechos establecidos en la regulación de protección al consumidor, el habeas data es pilar fundamental del manejo de información en el ámbito comercial y, en definitiva, sobre el mismo subyace una serie de derechos y deberes que involucran tanto al Estado como a las entidades comerciales, financieras y a los particulares. Por tener estos últimos una posición más débil (propia de las relaciones de consumo) frente a los demás actores de la relación, merecen un mayor campo de protección, en especial, con respecto a su derecho a la intimidad frente a todo tipo de abuso.[4]

Las violaciones al habeas data más comunes que cometen las empresas son: la falta de autorización por parte del titular de la información al momento del recaudo, omisiones en la expedición de un programa metodológico para el tratamiento de datos, la falta de señalización sobre la finalidad por la cual se va a utilizar la información y el no ofrecimiento de garantías de seguridad.

La autorización del titular y la comunicación de la finalidad son aspectos vertebrales en el recaudo de los datos, pues significan los primeros presupuestos de legalidad en esta actividad, como lo ha dispuesto el artículo 5 del Decreto 1377 de 2013; adicionalmente el artículo 7 de la misma norma explica las maneras en las que las empresas pueden obtener de los titulares la manifestación de su consentimiento, mediante forma oral, escrita, o por conductas inequívocas, incluso haciendo uso de medios electrónicos una vez se haya hecho referencia del uso de la información. Este punto es no solo centrar el ordenamiento colombiano, sino también se ha reconocido su importancia de forma global, como se resalta en el Reglamento de la Unión Europea sobre el manejo de datos (artículo 6) como requisito para revestir de licitud el tratamiento.

Con respecto a la falta de expedición de  programas o manuales metodológicos internos por parte de las empresas, constituyen un evidente incumplimiento a los deberes estipulados en los artículos 17 literal K, 18 literal F de la Ley 1581 de 2012  y el artículo 7 numeral 4 de la ley 1266 de 2008, donde se refleja el carácter imperativo de la adopción de un manual interno sobre políticas y procedimientos en el recaudo de datos; lo anterior permite en primer lugar garantizar el acceso y archivo de la información recogida, cumpliendo de manera concomitante con el deber de seguridad y resguardo; igualmente le otorga al titular la posibilidad de remitir consultas y reclamos.

Para ejemplificar como se reflejan estas y otras conductas violatorias se pueden citar algunos casos concretos. La Superintendencia de Industria y Comercio impuso sanciones a STARK GYM S.A.S debido a irregularidades presentadas en los procedimientos implementados para el recaudo de pagos automáticos, donde se pudo evidenciar una política de tratamiento de datos insuficiente arriesgando la seguridad de los datos de los afiliados, además los formularios que usaba la empresa nunca señalaron el carácter facultativo de las respuestas a las preguntas que versaban sobre datos sensibles y la finalidad del uso de la información, por lo tanto, la entidad concluyó que la investigada incumplió los deberes de autorización, motivos por los cuales se hizo el recaudo y conservación en condiciones de seguridad.[5]

En otro caso la SIC impuso sanciones a RAPPI S.A.S, debido a que la investigada recaudó información sin la autorización del titular, sin informar el motivo por el cual se hacía el tratamiento y por no atender a las peticiones que realizó el titular en varias ocasiones, solicitando que se suprimiera el dato obtenido, violando así su derecho al habeas data, señalando que así como los titulares expresan su voluntad al momento de autorizar el tratamiento, también tienen la facultad de suprimirlo siempre y cuando no exista un deber legal o una obligación contractual de permanencia en bases de datos.[6]

Todo lo anterior lleva a preguntarse sobre las posibles razones por las cuales a pesar de las extensas regulaciones hubo un aumento de las infracciones en el 2021.

Inicialmente por la manera en cómo se visualiza el habeas data en las relaciones comerciales y de consumo, como un tema inútil tanto para las empresas como para los consumidores[7], esto responde a la necesidades que a través del comercio satisfacen los mismos consumidores, motivo por el cual estos deciden asumir los riesgos de disponer de su información a cambio de los beneficios que ofrece la adquisición de un bien o el uso de un servicio.

En relación también aparece las ventajas que ofrece el manejo de la información por parte las empresas, ya que estas tienen un interés legítimo enfocado expresamente en el tratamiento de datos como una herramienta para fortalecer su posición en el mercado, interés que está cobijado constitucionalmente dentro de la iniciativa privada y la libertad de empresa. Hay una perspectiva del habeas data como una barrera para acceder a una enorme fuente de posibilidades y beneficios corporativos que puede llegar a representar el uso de datos personales.

La pandemia ha incidido como un factor que puede ser determinante al momento de explicar este fenómeno, debido al auge del comercio electrónico, sumado a la adaptación de varios productores y comerciantes al mundo digital en su afán de mantenerse dentro de la actividad económica. Permitió visualizar una solución a los problemas resultantes del distanciamiento y fortaleció este tipo de mecanismos virtuales, relegando el tema del tratamiento de datos, pues ese limitante no se adaptaba a las necesidades del momento.

Sin perjuicio de otras perspectivas que puedan resolver la problemática expuesta, se plantearán las siguientes alternativas.

Trabajo conjunto entre las empresas, el Estado y los medios de comunicación en la creación de una política pública estructural donde se capaciten a las partes participantes dentro de las relaciones de consumo. Se debe realizar un reconocimiento general de derechos y deberes que tienen cada uno, donde se advierta a las empresas la importancia de contar con una política que permita la legalidad en el recaudo y a su vez, los particulares tengan una perspectiva completa de sus derechos antes de disponer de sus datos; así de manera complementaria, se estaría haciendo valer el derecho de educación que consagra el Estatuto del Consumidor.

Reforzar y continuar con la herramienta ‘‘SIC facilita’’ ya que ha permitido que los particulares resuelvan las controversias mediante arreglos directos entre las partes, como lo reflejó el reporte de la entidad en el 2021, donde se recibió 5.630 solicitudes de acuerdo entre los ciudadanos y las diferentes empresas.[8]

La superintendencia ha emitido guías de tratamiento de datos en relación con varios temas, se podría a su vez crear un servicio que preste la misma entidad en donde las empresas puedan adquirir un software específicamente diseñado para que se garanticen todos los deberes exigidos en la regulación del habeas data, además que se tengan en cuenta las mismas recomendaciones inscritas en las diferentes guías. Esto podría garantizar uniformidad en los modos de tratamiento, de igual manera sería aplicable tanto a mercados tradicionales como a mercados digitales, teniendo en cuenta las enormes necesidades contemporáneas en lo pertinente al crecimiento del e-commerce.

En definitiva no se busca establecer una concepción negativa sobre el recaudo de datos personales por parte de las empresas, ni que estas hagan uso de todo tipo de herramientas, pues están facultadas por la constitución y la ley para que mediante este tipo de actividad obtengan beneficios, sin embargo no se puede dejar de un lado el derecho de los titulares de la información, como límite de conductas abusivas y punto de enfoque para revestir de legalidad la realización de la recolección.

Bibliografía

  • Superintendencia de Industria y Comercio (28 de enero de 2022). https://www.sic.gov.co/slider/m%C3%A1s-de-28-mil-quejas-recibi%C3%B3-la-superindustria-en-2021-por-protecci%C3%B3n-de-datos-personales.
  • Bohórquez Valentina (2017) Protección de datos personales en empresas comerciales (Universidad Pontificia Bolivariana, Facultad de Derecho).
  • Peña Ver Andrés-Pajarito Contreras Mónica (2014)-Alcance y aplicaciones del habeas data en el comercio Colombiano- Pontificia Universidad Javeriana).
  • Díaz Cervantes Fernando (2009), Derecho a la Intimidad  y Habeas  Data, Facultad de Derecho y Ciencias Sociales-UPTC.
  • Superintendencia de Industria y Comercio, Resolución 83874 del 30 de diciembre de 2021.
  • Superintendencia de Industria y Comercio, Resolución 67775 del 21 de octubre de 2021.
  • Beltrán Corredor Hernán. Ley de protección de datos y el cambio en la relación con los clientes (Universidad Piloto de Colombia, Facultad de Derecho).
  • Ley 1581 de 2012, Ley 1266 de 2008, Decreto 1377 de 2013, Reglamento de la Unión Europea sobre el manejo de datos 2016

[1] Superintendencia de Industria y Comercio (28 de enero de 2022). https://www.sic.gov.co/slider/m%C3%A1s-de-28-mil-quejas-recibi%C3%B3-la-superindustria-en-2021-por-protecci%C3%B3n-de-datos-personales

[2] Bohórquez Valentina (2017) Protección de datos personales en empresas comerciales (Universidad Pontificia Bolivariana, Facultad de Derecho).Página 10.

[3] Peña Ver Andrés-Pajarito Contreras Mónica (2014)-Alcance y aplicaciones del habeas data en el comercio Colombiano- Pontificia Universidad Javeriana). Página 8.

[4] Díaz Cervantes Fernando (2009), Derecho a la Intimidad  y Habeas  Data, Facultad de Derecho y Ciencias Sociales-UPTC.

[5]Superintendencia de Industria y Comercio, Resolución 83874 del 30 de diciembre de 2021.

[6] Superintendencia de Industria y Comercio, Resolución 67775 del 21 de octubre de 2021.

[7] Beltrán Corredor Hernán. Ley de protección de datos y el cambio en la relación con los clientes (Universidad Piloto de Colombia, Facultad de Derecho).

[8] Superintendencia de Industria y Comercio-Boletín de noticias (28 de enero de 2022). https://www.sic.gov.co/slider/m%C3%A1s-de-28-mil-quejas-recibi%C3%B3-la-superindustria-en-2021-por-protecci%C3%B3n-de-datos-personales