Ley 1581 de 2012 Protección de Datos Personales - Iceda

LEY 1581 1 lti l i
"POR EL CUAL SE DICTAN DISPOSICIONES GENERALES PARA

LA PROTECCiN DE DATOS PERSONALES".
El CONGRESO DE COLOMBIA
DECRETA:
TTULO I
OBJETO, MBITO DE APLICACiN Y DEFINICIONES
ARTCULO 1. Objeto. La presente ley tiene por objeto desarrollar el derecho
constitucional que tienen todas las personas a conocer, actualizar y rectificar las
informaciones que se hayan recogido sobre ellas en bases de datos o archivos,
y los dems derechos, libertades y garantas constitucionales a que se refiere el
artculo 15 de la Constitucin Poltica; as como el derecho a la informacin
consagrado en el artculo 20 de la misma.
ARTCULO 2. mbito de aplicacin. Los principios y disposiciones contenidas
en la presente ley sern aplicables a los datos personales registrados en
cualquier base de datos que los haga susceptibles de tratamiento por entidades
de naturaleza pblica o privada.
La presente ley aplicar al Tratamiento de datos personales efectuado en
territorio colombiano o cuando al Responsable del Tratamiento o Encargado del
Tratarniento no establecido en territorio nacional le sea aplicable la legislacin
colombiana en virtud de normas y tratados internacionales.
El rgimen de proteccin de datos personales que se establece en la presente
Ley no ser de aplicacin:
a) A las bases de datos o archivos mantenidos en un mbito exclusivamente
personal o domstico.
Cuando estas bases de datos o archivos vayan a ser suministrados a
terceros se deber, de manera previa, informar al Titular y solicitar su
autorizacin. En este caso los Responsables y Encargados de las bases
de datos y archivos quedarn sujetos a las disposiciones contenidas en la
presente ley.
b) A las bases de datos y archivos que tengan por finalidad la seguridad y
defensa nacional, as como la prevencin, deteccin, monitoreo y control ,
del lavado de activos y el financiamiento del terrorismo'
tl
[,o
c) A las Bases de datos que tengan como fin y contengan informacin de
inteligencia y contrainteligencia.
d) A las bases de datos y archivos de informacin periodstica y otros
contenidos editoriales.
e) A las bases de datos y archivos regulados por la Ley 1266 de 2008.
f) A las bases de datos y archivos regulados por la Ley 79 de 1993.
Pargrafo: Los principios sobre proteccin de datos sern aplicables a todas las
bases de datos, incluidas las exceptuadas en el presente artculo, con los lmites
dispuestos en la presente ley y sin reir con los datos que tienen caractersticas
de estar amparados por la reserva legal. En el evento que la normatividad
especial que regule las bases de datos exceptuadas prevea principios que
tengan en consideracin la naturaleza especial de datos, los mismos aplicarn
de manera concurrente a los previstos en la presente ley.
ARTICULO 3. Definiciones. Para los efectos de la presente ley, se entiende
por:
a) Autorizacin: Consentimiento previo, expreso e informado del Titular
para llevar a cabo el Tratamiento de datos personales.
b) Base de Datos: Conjunto organizado de datos personales que sea objeto
de Tratamiento.
c) Dato personal: Cualquier informacin vinculada o que pueda asociarse a
una o varias personas naturales determinadas o determinables.
d) Encargado del Tratamiento: Persona natural o jurdica, pblica o
privada, que por s misma o en asocio con otros, realice el Tratamiento de
datos personales por cuenta del Responsable del Tratamiento.
e) Responsable del Tratamiento: Persona natural o jurdica, pblica o
privada, que por s misma o en asocio con otros, decida sobre la base de
datos ylo el Tratamiento de los datos.
f) Titular: Persona natural cuyos datos personales sean objeto de
Tratamiento.
g) Tratamiento: Cualquier operacin o conjunto de operaciones sobre datos
personales, tales como la recoleccin, almacenamiento, uso, circulacin o
supresin.
TTULO 11
PRINCIPIOS RECTORES
ARTICULO 4. Principios para el Tratamiento de datos personales. En el
desarrollo, interpretacin y aplicacin de la presente ley, se aplicarn, de
manera armnica e integral, los siguientes principios:
\\
2
a) Principio de legalidad en materia de Tratamiento de datos: El
Tratamiento a que se refiere la presente leyes una actividad reglada que
debe sujetarse a lo establecido en ella y en las dems disposiciones que
la desarrollen.
b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad
legtima de acuerdo con la Constitucin y la Ley, la cual debe ser
informada al Titular.
c) Principio de libertad: El Tratamiento slo puede ejercerse con el
consentimiento, previo, ' expreso e informado del Titular. Los datos
personales no podrn ser obtenidos o divulgados sin previa autorizacin,
o en ausencia de mandato legal o judicial que releve el consentimiento.
d) Principio de veracidad o calidad: La informacin sujeta a Tratamiento
debe ser veraz, completa, exacta, actualizada, comprobable y
comprensible. Se prohbe el Tratamiento de datos parciales, incompletos,
fraccionados o que induzcan a error.
e) Principio de transparencia: En el Tratamiento debe garantizarse el
derecho del Titular a obtener del Responsable del Tratamiento o del
Encargado del Tratamiento, en cualquier momento y sin restricciones,
informacin acerca de la existencia de datos que le conciernan.
f) Principio de acceso y circulacin restringida: El Tratamiento se sujeta
a los lmites que se derivan de la naturaleza de los datos personales, de
las disposiciones de la presente ley y la Constitucin. En este sentido, el
Tratamiento slo podr hacerse por personas autorizadas por el Titular
y/o por las personas previstas en la presente Ley.
Los datos personales, salvo la informacin pblica, no podrn estar
disponibles en Internet u otros medios de divulgacin o comunicacin
masiva, salvo que el acceso sea tcnicamente controlable para brindar un
conocimiento restringido slo a los Titulares o terceros autorizados
conforme a la presente ley.
g) Principio de seguridad: La informacin sujeta a Tratamiento por el
Responsable del Tratamiento o Encargado del Tratamiento a que se
refiere la presente ley, se deber manejar con las medidas tcnicas,
humanas y administrativas que sean necesarias para otorgar seguridad a
los registros evitando su adulteracin, prdida, consulta, uso o acceso no
autorizado o fraudulento.
h) Principio de confidencialidad: Todas las personas que intervengan en
el Tratamiento de datos personales que no tengan la naturaleza de
pblicos estn obligadas a garantizar la reserva de la informacin,
inclusive despus de finalizada su relacin con alguna de las labores que
comprende el Tratamiento, pudiendo slo realizar suministro o
comunicacin de datos personales cuando ello corresponda al desarrollo
de las actividades autorizadas en la presente ley y en los trminos de la
misma. ij,'.
/
3
TTULO 111
CATEGORIAS ESPECIALES DE DATOS
ARTCULO 5. Datos sensibles. Para los propsitos de la presente ley, se
entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo
uso indebido puede generar su discriminacin, tales como aquellos que revelen
el origen racial o tnico, la orientacin poltica, las convicciones religiosas o
filosficas, la pertenencia a sindicatos, organizaciones sociales, de derechos
humanos o que promueva intereses de cualquier partido poltico o que
garanticen los derechos y garantas de partidos polticos de oposicin as como
los datos relativos a la salud, a la vida sexual y los datos biomtricos.
ARTICULO 6.Tratamiento de datos sensibles. Se prohbe el Tratamiento de
datos sensibles, excepto cuando:
a) El Titular haya dado su autorizacin explcita a dicho Tratamiento, salvo
en los casos que por ley no sea requerido el otorgamiento de dicha
autorizacin.
b) El Tratamiento sea necesario para salvaguardar el inters vital del Titular
y ste se encuentre fsica o jurdicamente incapacitado. En estos eventos,
los representantes legales debern otorgar su autorizacin.
c) El Tratamiento sea efectuado en el curso de las actividades legtimas y
con las debidas garantas por parte de una fundacin, ONG, asociacin o
cualquier otro organismo sin nimo de lucro, cuya finalidad sea poltica,
filosfica, religiosa o sindical, siempre que se refieran exclusivamente a
sus miembros o a las personas que mantengan contactos regulares por
razn de su finalidad. En estos eventos, los datos no se podrn
suministrar a terceros sin la autorizacin del Titular.
d) El Tratamiento se refiera a datos que sean necesarios para el
reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
e) El Tratamiento tenga una finalidad histrica, estadstica o cientfica. En
este evento debern adoptarse las medidas conducentes a la supresin
de identidad de los Titulares.
ARTCULO 7. Derechos de los nios, nias y adolescentes. En el Tratamiento
se asegurar el respeto a los derechos prevalentes de los nios, nias y
adolescentes.
Queda proscrito el Tratamiento de datos personales de nios, nias y
adolescentes, salvo aquellos datos que sean de naturaleza pblica.
Es tarea del Estado y las entidades educativas de todo tipo proveer informacin y
capacitar a los representantes legales y tutores sobre los eventuales riesgos a los
que se enfrentan los nios, nias y adolescentes respecto del Tratamiento
indebido de sus datos personales, y proveer de conocimiento acerca del uso
responsable y seguro por parte de nios, nias y adolescentes de sus datos
personales, su derecho a la privacidad y proteccin de su informacin personal y la
de los dems. El Gobierno Nacional reglamentar la materia, dentro de los seis (6)
meses siguientes a la promulgacin de esta Ley. \1
"
4
TTULO IV
DERECHOS Y CONDICIONES DE lEGALIDAD PARA El TRATAMIENTO DE
DATOS
ARTCULO 8. Derechos de los Titulares. El Titular de los datos personales
tendr los siguientes derechos:
a) Conocer, actualizar y rectificar sus datos personales frente a los
Responsables del Tratamiento o Encargados del Tratamiento. Este
derecho se podr ejercer, entre otros frente a datos parciales, inexactos,
incompletos, fraccionados, que induzcan a error, o aquellos cuyo
Tratamiento est expresamente prohibido o no haya sido autorizado.
b) Solicitar prueba de la autorizacin otorgada al Responsable del
Tratamiento salvo cuando expresamente se excepte como requisito para
el Tratamiento, de conformidad con lo previsto en el artculo 10 de la
presente ley.
c) Ser informado por el Responsable del Tratamiento o el Encargado del
Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos
personales.
d) Presentar ante la Superintendencia de Industria y Comercio quejas por
infracciones a lo dispuesto en la presente ley y las dems normas que la
modifiquen, adicionen o complementen.
e) Revocar la autorizacin y/o solicitar la supresin del dato cuando en el
Tratamiento no se respeten los principios, derechos y garantas
constitucionales y legales. La revocatoria y/o supresin proceder
cuando la Superintendencia de Industria y Comercio haya determinado
que en el Tratamiento el Responsable o Encargado han incurrido en
conductas contrarias a esta ley y a la Constitucin.
f) Acceder en forma gratuita a sus datos personales que hayan sido objeto
de Tratamiento.
ARTCULO 9. Autorizacin del Titular. Sin perJuIcIo de las excepciones
previstas en la ley, en el Tratamiento se requiere la autorizacin previa e
informada del Titular, la cual deber ser obtenida por cualquier medio que pueda
ser objeto de consulta posterior.
ARTCULO 10. Casos en que no es necesaria la autorizacin. La
autorizacin del Titular no ser necesaria cuando se trate de:
a) Informacin requerida por una entidad pblica o administrativa en
ejercicio de sus funciones legales o por orden judicial.
b) Datos de naturaleza pbli.
c) Casos de urgencia mdica o sanitaria.
d) Tratamiento de informacin autorizado por la ley para fines histricos,
estadsticos o cientficos. (/''.::>
e) Datos relacionados con el Registro Civil de las Personas.
....... ~
I
5
Quien acceda a los datos personales sin que medie autorizacin previa deber
en todo caso cumplir con las disposiciones contenidas en la presente ley.
ARTCULO 11. Suministro de la informacin. La informacin solicitada podr
ser suministrada por cualquier medio, incluyendo los electrnicos, segn lo
requiera el Titular. La informacin deber ser de fcil lectura, sin barreras
tcnicas que impidan su acceso y deber corresponder en un todo a aquella que
repose en la base de datos.
El Gobierno Nacional establecer la forma en la cual los Responsables del
Tratamiento y Encargados del Tratamiento debern suministrar la informacin
del Titular, atendiendo a la naturaleza del dato personal, Esta reglamentacin
deber darse a ms tardar dentro del ao siguiente a la promulgacin de la
presente ley.
ARTCULO 12. Deber de informar al Titular. El Responsable del Tratamiento,
al momento de solicitar al Titular la autorizacin, deber informarle de manera
clara y expresa lo siguiente:
a) El Tratamiento al cual sern sometidos sus datos personales y la
finalidad del mismo.
b) El carcter facultativo de la respuesta a las preguntas que le sean
hechas, cuando stas versen sobre datos sensibles o sobre los datos de
las nias, nios y adolescentes.
c) Los derechos que le asisten como Titular.
d) La identificacin, direccin fsica o electrnica y telfono del
Responsable del Tratamiento.
Pargrafo. El Responsable del Tratamiento deber conservar prueba del
cumplimiento de lo previsto en el presente artculo y, cuando el Titular lo solicite,
entregarle copia de esta.
ARTCULO 13. Personas a quienes se les puede suministrar la
informacin. La informacin que rena las condiciones establecidas en la
presente ley podr suministrarse a las siguientes personas:
a) A los Titulares, sus causahabientes o sus representantes legales.
b) A las entidades pblicas o administrativas en ejercicio de sus funciones
legales o por orden judicial.
c) A los terceros autorizados por el Titular o por la ley.
TITULO V
PROCEDIMIENTOS
ARTICULO 14. Consultas. Los Titulares o sus causahabientes podrn
consultar la informacin personal del Titular que repose en cualquier base de
datos, sea esta del sector pblico o privado. El Responsable del Tratamiento o
Encargado del Tratamiento debern suministrar a stos toda la informacin
"'"7
6
contenida en el registro individual o que est vinculada con la identificacin del
Titular.
La consulta se formular por el medio habilitado por el Responsable del
Tratamiento o Encargado del Tratamiento, siempre y cuando se pueda mantene
prueba de sta.
La consulta ser atendida en un trmino mximo de diez (10) das hbiles
contados a partir de la fecha de recibo de la misma. Cuando no fuere posible
atender la consulta dentro de dicho trmino, se informar al interesado,
expresando los motivos de la demora y sealando la fecha en que se atender
su consulta, la cual en ningn caso podr superar los cinco (5) das hbiles
siguientes al vencimiento del primer trmino.
Pargrafo. Las disposiciones contenidas en leyes especiales o los reglamentos
expedidos por el Gobierno Nacional podrn establecer trminos inferiores,
atendiendo a la naturaleza del dato personal.
ARTICULO 15. Reclamos. El Titular o sus causahabientes que consideren que
la informacin contenida en una base de datos debe ser objeto de correccin,
actualizacin o supresin, o cuando adviertan el presunto incumplimiento de
cualquiera de los deberes contenidos en esta ley, podrn presentar un reclamo
ante el Responsable del Tratamiento o el Encargado del Tratamiento el cual
ser tramitado bajo las siguientes reglas:
1. El reclamo se formular mediante solicitud dirigida al Responsable del
Tratamiento o al Encargado del Tratamiento, con la identificacin del Titular, la
descripcin de los hechos que dan lugar al reclamo, la direccin, y
acompaando los documentos que se quiera hacer valer. Si el reclamo resulta
incompleto, se requerir al interesado dentro de los cinco (5) das siguientes a la
recepcin del reclamo para que subsane las fallas. Transcurridos dos (2) meses
desde la fecha del requerimiento, sin que el solicitante presente la informacin
requerida, se entender que ha desistido del reclamo.
En caso de que quien reciba el reclamo no sea competente para resolverlo, dar
traslado a quien corresponda en un trmino mximo de dos (2) das hbiles e
informar de la situacin al interesado.
2. Una vez recibido el reclamo completo, se incluir en la base de datos una
leyenda que diga "reclamo en trmite" y el motivo del mismo, en un trmino no
mayor a dos (2) das hbiles. Dicha leyenda deber mantenerse hasta que el
reclamo sea decidido.
3. El trmino mximo para atender el reclamo ser de quince (15) das hbiles
contados a partir del da siguiente a la fecha de su recibo. Cuando no fuere
posible atender el reclamo dentro de dicho trmino, se informar al interesado
los motivos de la demora y la fecha en que se atender su reclamo, la cual en
ningn caso podr superar los ocho (8) das hbiles siguientes al vencimiento
del primer trmino.
ARTICULO 16. Requisito de procedibilidad. El Titular o causahabiente slo
podr elevar queja ante la Superintendencia de Industria y Comercio una vez
haya agotado el trmite de consulta o reclamo ante el Responsable del
Tratamiento o Encargado del Tratamiento., (j')
v
1I
I
7
TTULO VI
DEBERES DE lOS RESPONSABLES DEL TRATAMIENTO Y ENCARGADOS
DEL TRATAMIENTO
ARTCULO 17. Deberes de los Responsables del Tratamiento. Los
Responsables del Tratamiento debern cumplir los siguientes deberes, sin
perjuicio de las dems disposiciones previstas en la presente ley y en otras que
rijan su actividad:
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del
derecho de hbeas data.
b) Solicitar y conservar, en las condiciones previstas en la presente ley,
copia de la respectiva autorizacin otorgada por el Titular.
c) Informar debidamente al Titular sobre la finalidad de la recoleccin y los
derechos que le asisten por virtud de la autorizacin otorgada.
d) Conservar la informacin bajo las condiciones de seguridad necesarias
para impedir su adulteracin, prdida, consulta, uso o acceso no
e) Garantizar que la informacin que se suministre al Encargado del
Tratamiento sea veraz, completa, exacta, actualizada, comprobable y
comprensible.
f) Actualizar la informacin, comunicando de forma oportuna al Encargado
del Tratamiento, todas las novedades respecto de los datos que
previamente le haya suministrado y adoptar las dems medidas
necesarias para que la informacin suministrada a ste se mantenga
actualizada.
g) Rectificar la informacin cuando sea incorrecta y comunicar lo pertinente
al Encargado del Tratamiento.
h) Suministrar al Encargado del Tratamiento, segn el caso, nicamente
datos cuyo Tratamiento est previamente autorizado de conformidad con
lo previsto en la presente ley.
i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las
condiciones de seguridad y privacidad de la informacin del Titular.
j) Tramitar las consultas y reclamos formulados en los trminos sealados
en la presente ley.
k) Adoptar un manual interno de polticas y procedimientos para garantizar
el adecuado cumplimiento de la presente ley y en especial, para la
atencin de consultas y reclamos.
1) Informar al Encargado del Tratamiento cuando determinada informacin
se encuentra en discusin por parte del Titular, una vez se haya
presentado la reclamacin y no haya finalizado el trmite respectivo.
m) Informar a solicitud del Titular sobre el uso dado a sus datos. 1
'?
8
n) Informar a la autoridad de proteccin de datos cuando se presenten
violaciones a los cdigos de seguridad y existan riesgos en la
administracin de la informacin de los Titulares.
o) Cumplir las instrucciones y requerimientos que imparta la
Superintendencia de Industria y Comercio.
ARTCULO 18. Deberes de 'los Encargados del Tratamiento. Los Encargados
del Tratamiento debern cumplir los siguientes deberes, sin perjuicio de las
dems disposiciones previstas en la presente ley y en otras que rijan su
actividad:
a) Garantizar al Titular, en todo tiempo. el pleno y efectivo ejercicio del
derecho de hbeas data.
b) Conservar la informacin bajo las condiciones de seguridad necesarias
para impedir su adulteracin. prdida, consulta, uso o acceso no
c) Realizar oportunamente la actualizacin, rectificacin o supresin de los
datos en los trminos de la presente ley.
d) Actualizar la informacin reportada por los Responsables del Tratamiento
dentro de los cinco (5) das hbiles contados a partir de su recibo.
e) Tramitar las consultas y los reclamos formulados por los Titulares en los
trminos sealados en la presente ley.
f) Adoptar un manual interno de polticas y procedimientos para garantizar
el adecuado cumplimiento de la presente ley y, en especial, para la
atencin de consultas y reclamos por parte de los Titulares.
g) Registrar en la base de datos las leyenda "reclamo en trmite" en la
forma en que se regula en la presente ley.
h) Insertar en la base de datos la leyenda "informacin en discusin judicial"
una vez notificado por parte de la autoridad competente sobre procesos
judiciales relacionados con la calidad del dato personal.
i) Abstenerse de circular informacin que est siendo controvertida por el
Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de
Industria y Comercio.
j) Permitir el acceso a la informacin nicamente a las personas que
pueden tener acceso a ella.
k) Informar a la Superintendencia de Industria y Comercio cuando se l
presenten violaciones a los cdigos de seguridad y existan riesgos en la
administracin de la informacin de los Titulares.
1) Cumplir las instrucciones y requerimientos que imparta la
Pargrafo. En el evento en que concurran las calidades de Responsable del
Tratamiento y Encargado del Tratamiento en la misma persona, le ser exigible
el cumplimiento de los deberes previstos para cada uno.}/ __ ()
9
TTULO VII
DE lOS MECANISMOS DE VIGilANCIA Y SANCiN
CAPTULO 1
DE lA AUTORIDAD DE PROTECCION DE DATOS
ARTCULO 19. Autoridad de Proteccin de Datos. La Superintendencia de
Industria y Comercio, a travs de una Delegatura para la Proteccin de Datos
Personales, ejercer la vigilancia para garantizar que en el Tratamiento de datos
personales se respeten los principios, derechos, garantas y procedimientos
previstos en la presente ley.
Pargrafo 1. El Gobierno Nacional en el plazo de seis (6) meses contados a
partir de la fecha de entrada en vigencia de la presente ley incorporar dentro de
la estructura de la Superintendencia de Industria y Comercio un despacho de
Superintendente Delegado para ejercer las funciones de Autoridad de
Proteccin de Datos.
Pargrafo 2. La vigilancia del tratamiento de los datos personales regulados en
la Ley 1266 de 2008 se sujetar a lo previsto en dicha norma.
ARTCULO 20. Recursos para el ejercicio de sus funciones. La
Superintendencia de Industria y Comercio contar con los siguientes recursos
para ejercer las funciones que le son atribuidas por la presente ley:
a) Los recursos que le sean destinados en el Presupuesto General de la
Nacin.
ARTCULO 21. Funciones. La Superintendencia de Industria y Comercio
ejercer las siguientes funciones:
a) Velar por el cumplimiento de la legislacin en materia de proteccin de
datos personales.
b) Adelantar las investigaciones del caso, de oficio o a peticin de parte y,
como resultado de ellas, ordenar las medidas que sean necesarias para
hacer efectivo el derecho de hbeas data. Para el efecto, siempre que se
desconozca el derecho, podr disponer que se conceda el acceso y
suministro de los datos, la rectificacin, actualizacin o supresin de los
mismos.
c) Disponer el bloqueo temporal de los datos cuando, de la solicitud y de las
pruebas aportadas por el Titular, se identifique un riesgo cierto de
vulneracin de sus derechos fundamentales, y dicho bloqueo sea
necesario para protegerlos mientras se adopta una decisin definitiva.
d) Promover y divulgar los derechos de las personas en relacin con el
Tratamiento de datos personales e implementara campaas pedaggicas
para capacitar e informar a los ciudadanos acerca del ejercicio y garanta
del derecho fundamental a la proteccin de datos.;;
10
l-__________
e) Impartir instrucciones sobre las medidas y procedimientos necesarios
para la adecuacin de las operaciones de los Responsables del
Tratamiento y Encargados del Tratamiento a las disposiciones previstas
en la presente ley.
f) Solicitar a los Responsables del Tratamiento y Encargados del
Tratamiento la informacin que sea necesaria para el ejercicio efectivo de
sus funciones.
g) Proferir las declaraciones de conformidad sobre las transferencias
internacionales de datos.
h) . Administrar el Registro Nacional Pblico de Bases de Datos y emitir las
rdenes y los actos necesarios para su administracin y funcionamiento. I
i
i) Sugerir o recomendar los ajustes, correctivos o adecuaciones a la
normatividad que resulten acordes con la evolucin tecnolgica,
informtica o comunicacional.
j) Requerir la colaboracin de entidades internacionales o extranjeras
cuando se afecten los derechos de los Titulares fuera del territorio
colombiano con ocasin, entre otras, de la recoleccin internacional de
datos personales.
k) Las dems que le sean asignadas por ley.
CAPTULO 2
PROCEDIMIENTO Y SANCIONES
ARTCULO 22. Trmite. La Superintendencia de Industria y Comercio, una vez
establecido e: incumplimiento de las disposiciones de la presente ley por parte
del Responsable del Tratamiento o el Encargado del Tratamiento, adoptar las
medidas o impondr las sanciones correspondientes.
En lo no reglado por la presente ley y los procedimientos correspondientes se
seguirn las normas pertinentes del Cdigo Contencioso Administrativo.
ARTICULO 23. Sanciones. La Superintendencia de Industria y Comercio podr
imponer a los Responsables del Tratamiento y Encargados del Tratamiento las
siguientes sanciones:
a) Multas de carcter personal e institucional hasta por el equivalente de dos
mil (2.000) salarios mnimos mensuales legales vigentes al momento de la
imposicin de la sancin. Las multas podrn ser sucesivas mientras subsista
el incumplimiento que las origin.
b) Suspensin de las actividades relacionadas con el Tratamiento hasta por un
trmino de seis (6) meses. En el acto de suspensin se indicarn los
correctivos que se debern adoptar.
Cierre temporal de las operaciones relacionadas con el Tratamiento una vez
transcurrido el trmino de suspensin sin que se hubieren adoptado los
correctivos ordenados por la Superintendencia de Industria y Comercio. (Vf,
//
11
d) Cierre inmediato y definitivo de la operacin que involucre el Tratamiento de
datos sensibles.
Pargrafo. Las sanciones indicadas en el presente artculo slo aplican para las
personas de naturaleza privada. En el evento en el cual la Superintendencia de
Industria y Comercio advierta un presunto incumplimiento de una autoridad
pblica a las disposiciones de la presente ley, remitir la actuacin a la
Procuradura General de la Nacin para que adelante la investigacin
respectiva.
ARTICULO 24. Criterios para graduar las sanciones. Las sanciones por
infracciones a las que se refieren el artculo anterior, se graduarn atendiendo
los siguientes criterios, en cuanto resulten aplicables:
a) La dimensin del dao o peligro a los intereses jurdicos tutelados por la
presente ley.
b) El beneficio econmico obtenido por el infractor o terceros, en virtud de la
comisin de la infraccin.
c) La reincidencia en la comisin de la infraccin.
d) La resistencia, negativa u obstruccin a la accin investigadora o de
vigilancia de la Superintendencia de Industria y Comercio.
e) La renuencia o desacato a cumplir las rdenes impartidas por la
f) El reconocimiento o aceptacin expresos que haga el investigado sobre
la comisin de la infraccin antes de la imposicin de la sancin a que
hubiere lugar.
CAPTULO 3
DEL REGISTRO NACIONAL DE BASES DE DATOS
ARTCULO 25. Definicin. El Registro Nacional de Bases de Datos es el
directorio pblico de las bases de datos sujetas a Tratamiento que operan en el
pas.
El registro ser administrado por la Superintendencia de Industria y Comercio y
ser de libre consulta para los ciudadanos.
Para realizar el registro de bases de datos, los interesados debern aportar a la
Superintendencia de Industria y Comercio las polticas de tratamiento de la
informacin, las cuales obligarn a los responsables y encargados del mismo, y
cuyo incumplimiento acarrear las sanciones correspondientes. Las polticas de
Tratamiento en ningn caso podrn ser inferiores a los deberes contenidos en la
presente ley.
Pargrafo. El Gobierno Nacional reglamentar, dentro del ao siguiente a la
promulgacin de la presente Ley, la informacin mnima que debe contener el
Registro, y los trminos y condiciones bajo los cuales se deben inscribir en ste
los Responsables del Tratamiento. /1
I
12
TTULO VIII
TRANSFERENCIA DE DATOS A TERCEROS PASES
ARTCULO 26. Prohibicin. Se prohbe la transferencia de datos personales de
cua'lquier tipo a pases que no proporcionen niveles adecuados de proteccin de
datos, Se entiende que un pas ofrece un nivel adecuado de proteccin de datos
cuando cumpla con los estndares fijados por la Superintendencia de Industria y
Comercio sobre la materia, los cuales en ningn caso podrn ser inferiores a los
que la presente ley exige a sus destinatarios,
Esta prohibicin no regir cuando se trate de:
a) Informacin respecto de la cual el Titular haya otorgado su autorizacin
expresa e inequvoca para la transferencia.
b) Intercambio de datos de carcter mdico, cuando as lo exija el
Tratamiento del Titular por razones de salud o higiene pblica.
c) Transferencias bancarias o burstiles, conforme a la legislacin que les
resulte aplicable,
d) Transferencias acordadas en el marco de tratados internacionales en los
cuales la Repblica de Colombia sea parte, con fundamento en el
principio de reciprocidad .
e) Transferencias necesarias para la ejecucin de un contrato entre el
Titular y el Responsable del Tratamiento, o para la ejecucin de medidas
precontractuales siempre y cuando se cuente con la autorizacin del
Titular.
f) Transferencias legalmente exigidas para la salvaguardia del inters
pblico, o para el reconocimiento, ejercicio o defensa de un derecho en
un proceso judicial.
Pargrafo 1. En los casos no contemplados como excepcin en el presente
artculo, corresponder a la Superintendencia de Industria y Comercio, proferir la
declaracin de conformidad relativa a la transferencia internacional de datos
personales. Para el efecto, el Superintendente queda facultado para requerir
informacin y adelantar las diligencias tendientes a establecer el cumplimiento
de los presupuestos que requiere la viabilidad de la operacin.
Pargrafo 2. Las disposiciones contenidas en el presente artculo sern
aplicables para todos los datos personales, incluyendo aquellos contemplados
en la Ley 1266 de 2008.
TTULO IX
OTRAS DISPOSICIONES
ARTICULO 27. Normas Corporativas Vinculantes. El Gobierno Nacional
expedir la reglamentacin correspondiente sobre Normas Corporativas
Vinculantes para la certificacin de buenas prcticas en proteccin de datos
personales y su transferencia a terceros pases./! rJ.)
/?
13
ARTICULO 28. Rgimen de transicin. Las personas que a la fecha de
entrada en vigencia de la presente ley ejerzan alguna de las actividades ac
reguladas tendrn un plazo de hasta seis (6) meses para adecuarse a las
disposiciones contempladas en esta ley.
ARTICULO 29. Derogatorias. La presente ley deroga todas las disposiciones
que le sean contrarias a excepcin de aquellas contempladas en el artculo
segundo.
ARTICULO 30. Vigencia. La presente Ley rige a partir de su promulgacin.
EL PRESIDENTE DEL HONORABLE SENADO DE LA REPBLICA
~ ~ ------ / ,
ROY LEONARD0)3ARRERAS MONTEAL
EL SECRETARIO GENERAL DEL HON RABLE SENADO DE LA REPUBLlCA
EL PRESIDENTE DE LA HONORABLE CAMARA DE REPRESENTANTES
/;
I
I
.
.
1"
( ,'/ ;:;/)
i
i
r /1 ;' /
: i. , /7 ,'" _ ) .. ' /
I . -/!; /
~ ~ ~ 'ADA A ~ ~ ~ ~
LA SECRETARIA GlNERAL ( E ) DE LA HONORABLE CAMARA DE
REPRESENTANTES !
I
14
LEY ESTATUTARIA' No.1581
=------------------
"POR EL CUAL SE DICTAN DISPSICIONES GENERALES PARA LA
PROTECCiN DE DATOS PERSONALES"
REPBLICA DE COLOMBIA - GOBIERNO NACIONAL
PUBLQUESE Y CMPLASE
En cumplimiento de lo dispuesto en la Sentencia C-748 de 2011 proferida
por la Corte Constitucional, se procede a la sancin del proyecto de Ley, la
cual ordena la remisin del expediente al Congreso de la Repblica, para
continuar el trmite de rigor y posterior envo al Presidente de la Re:pblica.
LA MINISTRA DE JUSTICIA Y < _.... l)
Dada en Bogot, D.C., a los
----------.!-._
RUTH STELLA CORREA PALACIO
EL MINISTRO DE HACIENDA Y CRDITO PBLICO,

J
MAURICIO CRDENAS SANTA MARA
EL MINISTRO DE COMERCIO, INDUSTRIA Y TURISMO,

SERGIO DIAZ-GRANADOS GUIDA
EL MINISTRO DE TECNOLOGAS, DE LA INFORMACiN
Y LAS COMUNICACIONES" U . I
DIEGGniOL N'o{vEGA
REPUBLICA DE COLOMBIA
CORTE CONSTITUCIONAL
,
"."
SENTENCIA C-748 DE 2011
Ref.: Expediente PE-032
Control constitucional al Proyecto de Ley
Estatutaria No. 184 de 2010 Senado; 046 de
2010 Cmara, "por la cual se dictan
disposiciones generales para la proteccin de
datos personales"
Magistrado Ponen te:
JORGE IGNACIO PRETELT CHALJUB
Bogot D. C., seis (6) de octubre de dos mil once (2011).
La Sala Plena de la Corte Constitucional, confonnada por los magistrados
Juan Carlos Henao Prez -quien la preside, Mara Victoria Calle Correa,
Mauricio Gonzlez Cuervo, Gabriel Eduardo Mendoza Martelo, Jorge Ivn
Palacio Palacio, Nilson Pinilla Pinilla, Jorge Ignacio Pretelt Chaljub, Humberto
Antonio Sierra Porto y Luis Ernesto Vargas Silva, en ejercicio de sus
atribuciones constitucionales y en cumplimiento de los requisitos y trmites
establecidos en el Decreto 2067 de 1991, ha proferido la presente sentencia con
fundamento en los siguientes,
1 ANTECEDENTES
1.1 Mediante oficio del 17 de enero de 2011, el Presidente del Senado de la
Repblica, Dr. Annando Benedetti Villaneda, remiti a la Corte
Constitucional el texto del Proyecto de Ley Estatutaria No. 184 de 2010
Senado; 046 de 2010 Cmara, "por la cual se dictan disposiciones
generales para la proteccin de datos personales", con el fin de que la
Corte adelante el estudio oficioso a que hacy-fferencia el artculo 241-8
de la Constitucin Poltica.
1.2 TEXTO DEL PROYECTO DE LEY:
2
Expediente PE-032
M.P. Jorge Ignacio Pretelt ChaUub
"TEXTO CONCILIADO DEL PROYECTO DE LEY
ESTATUTARIA NMERO 184 DE 2010 SENADO, 046 DE
2010 CMARA
"por la cual se dictan disposiciones generales para la
proteccin de datos personales"
El Congreso de Colombia
DECRETA:
TTULO 1
OBJETO, MBITO DE APLICACIN Y DEFINICIONES.
Articulo 1. Objeto. La presente ley tiene por objeto
desarrollar el derecho constitucional que tienen todas las
personas a conocer, actualizar y rectificar las informaciones
que se hayan recogido sobre ellas en bases de datos o archivos,
y los dems derechos, libertades y garantas constitucionales a
que se refiere el artculo 15 de la Constitucin Poltica; as
como el derecho a la informacin consagrado en el artculo 20
de la misma.
Artculo 2. mbito de aplicacin. Los princlplOs y
disposiciones contenidas en la presente ley sern aplicables a
los datos personales registrados en cualquier base de datos que
los haga susceptibles de tratamiento por entidades de
naturaleza pblica o privada.
La presente ley aplicar al Tratamiento de datos personales
efectuado en territorio colombiano o cuando al Responsable
del Tratamiento o Encargado del Tratamiento no establecido
en territorio nacional le sea aplicable la legislacin
El rgimen de proteccin de datos personales que se establece
en la presente ley no ser de aplicacin:
a) A las bases de datos o archivos mantenidos en un mbito
exclusivamente personal o domstico.
Cuando estas bases de datos o archivos vayan a ser
suministrados a terceros se deber, de manera previa, informar
al Titular y solicitar su autorizacin. En este caso los
Responsables y Encargados de las bases de datos y archivos
3
Expediente PE-032
M.P. Jorge Ignacio Pretelt Chaljub
quedarn sujetos a las disposiciones contenidas en la presente
ley.
b) A las bases de datos y archivos que tengan por finalidad la
seguridad y defensa nacional, as como la prevencin,
deteccin, monitoreo y control del lavado de activos y el
financiamiento del terrorismo.
c) A las bases de datos que tengan como fin y contengan
informacin de inteligencia y contrainteligencia.
d) A las bases de datos y archivos de informacin periodstica y
otros contenidos editoriales.
e) A las bases de datos y archivos regulados por la Ley 1266 de
2008.
j) A las bases de datos y archivos regulados por la Ley 79 de
1993.
Pargrafo. Los principios sobre proteccin de datos sern
aplicables a todas las bases de datos, incluidas las exceptuadas
en el presente artculo, con los lmites dispuestos en la presente
ley y sin reir con los datos que tienen caractersticas de estar
amparados por la reserva legal. En el evento que la
normatividad especial que regule las bases de datos
exceptuadas prevea principios que tengan en consideracin la
naturaleza especial de datos, los mismos aplicarn de manera
concurrente a los previstos en la presente ley.
Artculo 3, Definiciones. Para los efectos de la presente ley,
se entiende por:
a) Autorizacin: Consentimiento previo, expreso e informado
del Titular para llevar a cabo el Tratamiento de datos
personales.
b) Base de datos: Conjunto organizado de datos personales
que sea objeto de Tratamiento.
c) Dato personal: Cualquier informacin vinculada o que pueda
asociarse a una o varias personas naturales determinadas o
determinables.
d) Encargado del tratamiento: Persona natural o jurdica,
pblica o privada, que por s misma o en asocio con otros,
4
Expediente PE-032
realice el Tratamiento de datos personales por cuenta del
e) Responsable del tratamiento: Persona natural o jurdica,
decida sobre la base de datos y/o el Tratamiento de los datos.
J) Titular: Persona natural cuyos datos personales sean objeto
de Tratamiento.
g) Tratamiento: Cualquier operaclOn o conjunto de
operaciones sobre datos personales, tales como la recoleccin,
almacenamiento, uso, circulacin o supresin.
TTULO//
PRINC/P/OSRECTORES
Artculo 4. Principios para el tratamiento de datos
personales. En el desarrollo, interpretacin y aplicacin de la
presente ley, se aplicarn, de manera armnica e integral, los
siguientes principios:
a) Principio de legalidad en materia de tratamiento de datos:
el tratamiento a que se refiere la presente leyes una actividad
reglada que debe sujetarse a lo establecido en ella y en las
dems disposiciones que la desarrollen.
b) Principio de finalidad: el tratamiento debe obedecer a una
finalidad legtima de acuerdo con la Constitucin y la ley, la
cual debe ser informada al titular.
c) Principio de libertad: el tratamiento slo puede ejercerse
con el consentimiento, previo, expreso e informado del titular.
Los datos personales no podrn ser obtenidos o divulgados sin
previa autorizacin, o en ausencia de mandato legal o judicial
que releve el consentimiento.
d) Principio de veracidad o calidad: la informacin sujeta a
tratamiento debe ser veraz, completa, exacta, actualizada,
comprobable y comprensible. Se prohbe el tratamiento de
datos parciales, incompletos, fraccionados o que induzcan a
error.
e) Principio de transparencia: en el tratamiento debe
garantizarse el derecho del titular a obtener del responsable
del tratamiento o del encargado del tratamiento, en cualquier
5
Expediente PE-032
momento y sin restricciones, informacin acerca de la
existencia de datos que le conciernan.
J) Principio de acceso y circulacin restringida: el tratamiento
se sujeta a los lmites que se derivan de la naturaleza de los
datos personales, de las disposiciones de la presente ley y la
Constitucin. En este sentido, el tratamiento slo podr
hacerse por personas autorizadas por el titular y/o por las
personas previstas en la presente ley.
Los datos personales, salvo la informacin pblica, no podrn
estar disponibles en internet u otros medios de divulgacin o
comunicacin masiva, salvo que el acceso sea tcnicamente
controlable para brindar un conocimiento restringido slo a
los titulares o terceros autorizados conforme a la presente ley.
g) Principio de seguridad: la informacin sujeta a tratamiento
por el responsable del tratamiento o encargado del tratamiento
a que se refiere la presente ley, se deber manejar con las
medidas tcnicas, humanas y administrativas que sean
necesarias para otorgar seguridad a los registros evitando su
adulteracin, prdida, consulta, uso o acceso no autorizado o
fraudulento.
h) Principio de confidencialidad: todas las personas que
intervengan en el tratamiento de datos personales que no
tengan la naturaleza de pblicos estn obligadas a garantizar
la reserva de la informacin, inclusive despus de finalizada su
relacin con alguna de las labores que comprende el
tratamiento, pudiendo slo realizar suministro o comunicacin
de datos personales cuando ello corresponda al desarrollo de
las actividades autorizadas en la presente ley y en los trminos
de la misma.
TTULO 111
CATEGORAS ESPECIALES DE DATOS
Articulo 5. Datos sensibles. Para los propsitos de la presente
ley, se entiende por datos sensibles aquellos que afectan la
intimidad del Titular o cuyo uso indebido puede generar su
discriminacin, tales como aquellos que revelen el origen
racial o tnico, la orientacin poltica, las convicciones
religiosas o filosficas, la pertenencia a sindicatos,
organizaciones sociales, de derechos humanos o que promueva
intereses de cualquier partido poltico o que garanticen los
derechos y garantas de partidos polticos de oposicin, as
6
Expediente PE-032
como los datos relativos a la salud, a la vida sexual y los datos
biomtricos.
Artculo 6. Tratamiento de datos sensibles. Se prohbe el
Tratamiento de datos sensibles, excepto cuando:
a) El Titular haya dado su autorizacin explcita a dicho
Tratamiento, salvo en los casos que por ley no sea requerido el
otorgamiento de dicha autorizacin.
b) El Tratamiento sea necesario para salvaguardar el inters
vital del Titular y este se encuentre fsica o jurdicamente
incapacitado. En estos eventos, los representantes legales
debern otorgar su autorizacin.
c) El Tratamiento sea efectuado en el curso de las actividades
legtimas y con las debidas garantas por parte de una
fundacin, ONG, asociacin o cualquier otro organismo sin
nimo de lucro, cuya finalidad sea poltica, filosfica, religiosa
o sindical, siempre que se refieran exclusivamente a sus
miembros o a las personas que mantengan contactos regulares
por razn de su finalidad. En estos eventos, los datos no se
podrn suministrar a terceros sin la autorizacin del Titular.
d) El Tratamiento se refiera a datos que el Titular haya hecho
manifiestamente pblicos o sean necesarios para el
reconocimiento, ejercicio o defensa de un derecho en un
proceso judicial.
e) El Tratamiento tenga una finalidad histrica, estadstica o
cientfica. En este evento debern adoptarse las medidas
conducentes a la supresin de identidad de los Titulares.
Artculo 7. Derechos de los nios, nias y adolescentes. En el
Tratamiento se asegurar el respeto a los derechos prevalen tes
de los nios, nias y adolescentes.
Queda proscrito el Tratamiento de datos personales de nios,
nias y adolescentes, salvo aquellos datos que sean de
naturaleza pblica.
Es tarea del Estado y las entidades educativas de todo tipo
proveer informacin y capacitar a los representantes legales y
tutores sobre los eventuales riesgos a los que se enfrentan los
nios, nias y adolescentes respecto del Tratamiento indebido
de sus datos personales, y proveer de conocimiento acerca del
7
Expediente PE-032
uso responsable y seguro por parte de mnos, mnas y
adolescentes de sus datos personales, su derecho a la
privacidad y proteccin de su informacin personal y la de los
dems. El Gobierno Nacional reglamentar la materia, dentro
de los seis (6) meses siguientes a la promulgacin de esta ley.
TTULO IV
DERECHOS Y CONDICIONES DE LEGALIDAD PARA
EL TRA TAMIENTO DE DATOS
Artculo 8. Derechos de los titulares. El Titular de los datos
personales tendr los siguientes derechos:
a) Conocer, actualizar y rectificar sus datos personales frente a
los Responsables del Tratamiento o Encargados del
Tratamiento. Este derecho se podr ejercer, entre otros frente a
datos parciales, inexactos, incompletos, fraccionados, que
induzcan a error, o aquellos cuyo Tratamiento est
expresamente prohibido o no haya sido autorizado.
b) Solicitar prueba de la autorizacin otorgada al Responsable
del Tratamiento salvo cuando expresamente se excepte como
requisito para el Tratamiento, de conformidad con lo previsto
en el artculo 10 de la presente ley.
c) Ser informado por el Responsable del Tratamiento o el
Encargado del Tratamiento, previa solicitud, respecto del uso
que le ha dado a sus datos personales.
d) Presentar ante la Superintendencia de Industria y Comercio
quejas por infracciones a lo dispuesto en la presente ley y las
dems normas que la modifiquen, adicionen o complementen.
e) Revocar la autorizacin y/o solicitar la supresin del dato
cuando en el Tratamiento no se respeten los principios,
derechos y garantas constitucionales y legales. La revocatoria
y/o supresin slo proceder cuando la Superintendencia de
Industria y Comercio haya determinado que en el Tratamiento
el Responsable o Encargado han incurrido en conductas
contrarias a esta ley ya la Constitucin.
f) Acceder en forma gratuita a sus datos personales que hayan
sido objeto de Tratamiento.
Artculo 9. Autorizacin del titular. Sin perjuicio de las
excepciones previstas en la ley, en el Tratamiento se requiere
8
Expediente PE-032
la autorizacin previa e informada del Titular, la cual deber
ser obtenida por cualquier medio que pueda ser objeto de
consulta posterior.
Artculo 10. Casos en que no es necesaria la autorizacin. La
autorizacin del Titular no ser necesaria cuando se trate de:
a) Informacin requerida por una entidad pblica o
administrativa en ejercicio de sus funciones legales o por orden
judicial.
b) Datos de naturaleza pblica.
d) Tratamiento de informacin autorizado por la ley para fines
histricos, estadsticos o cientficos.
Quien acceda a los datos personales sin que medie
autorizacin previa deber en todo caso cumplir con las
disposiciones contenidas en la presente ley.
Artculo 11. Suministro de la informacin. La informacin
solicitada podr ser suministrada por cualquier medio,
incluyendo los electrnicos, segn lo requiera el Titular. La
informacin deber ser de fcil lectura, sin barreras tcnicas
que impidan su acceso y deber corresponder en un todo a
aquella que repose en la base de datos.
El Gobierno Nacional establecer la forma en la cual los
Responsables del Tratamiento y Encargados del Tratamiento
debern suministrar la informacin del Titular, atendiendo a la
naturaleza del dato personal. Esta reglamentacin deber darse
a ms tardar dentro del ao siguiente a la promulgacin de la
presente ley.
Artculo 12. Deber de informar al titular. El Responsable del
Tratamiento, al momento de solicitar al Titular la autorizacin,
deber informarle de manera clara y expresa lo siguiente:
a) El Tratamiento al cual sern sometidos sus datos personales
y la finalidad del mismo.
9
Expediente PE-032
b) El carcter facultativo de la respuesta a las preguntas que le
sean hechas, cuando estas versen sobre datos sensibles o sobre
los datos de las nias, nios y adolescentes.
c) Los derechos que le asisten como Titular.
d) La identificacin, direccin fisica o electrnica y telfono
del Responsable del Tratamiento.
Pargrafo. El Responsable del Tratamiento deber conservar
prueba del cumplimiento de lo previsto en el presente artculo y,
cuando el Titular lo solicite, entregarle copia de esta.
Artculo 13. Personas a quienes se les puede suministrar la
informacin. La informacin que rena las condiciones
establecidas en la presente ley podr suministrarse a las
siguientes personas:
a) A los Titulares, sus causahabientes o sus representantes
legales.
b) A las entidades pblicas o administrativas en ejercicio de
sus funciones legales o por orden judicial.
c) A los terceros autorizados por el Titular o por la ley.
TTULO V
PROCEDIMIENTOS
Artculo 14. Consultas. Los Titulares o sus causahabientes
podrn consultar la informacin personal del Titular que
repose en cualquier base de datos, sea esta del sector pblico o
privado. El Responsable del Tratamiento o Encargado del
Tratamiento debern suministrar a estos toda la informacin
contenida en el registro individual o que est vinculada con la
identificacin del Titular.
La consulta se formular por el medio habilitado por el
Responsable del Tratamiento o Encargado del Tratamiento,
siempre y cuando se pueda mantener prueba de esta.
La consulta ser atendida en un trmino mximo de diez (J O)
das hbiles, contados a partir de la fecha de recibo de la
misma. Cuando no fuere posible atender la consulta dentro de
dicho trmino, se informar al interesado, expresando los
motivos de la demora y sealando la fecha en que se atender
10
Expediente PE-032
su consulta, la cual en ningn caso podr superar los cinco (5)
das hbiles siguientes al vencimiento del primer trmino.
Pargrafo. Las disposiciones contenidas en leyes especiales o
los reglamentos expedidos por el Gobierno Nacional podrn
establecer trminos inferiores, atendiendo a la naturaleza del
dato personal.
Artculo 15. Reclamos. El Titular o sus causahabientes que
consideren que la informacin contenida en una base de datos
debe ser objeto de correccin, actualizacin o supresin, o
cuando adviertan el presunto incumplimiento de cualquiera de
los deberes contenidos en esta ley, podrn presentar un
reclamo ante el Responsable del Tratamiento o el Encargado
del Tratamiento el cual ser tramitado bajo las siguientes
reglas:
1. El reclamo se formular mediante solicitud dirigida al
Responsable del Tratamiento o al Encargado del Tratamiento,
con la identificacin del Titular, la descripcin de los hechos
que dan lugar al reclamo, la direccin, y acompaando los
documentos que se quiera hacer valer. Si el reclamo resulta
incompleto, se requerir al interesado dentro de los cinco (5)
das siguientes a la recepcin del reclamo para que subsane las
fallas. Transcurridos dos (2) meses desde la fecha del
requerimiento, sin que el solicitante presente la informacin
En caso de que quien reciba el reclamo no sea competente para
resolverlo, dar traslado a quien corresponda en un trmino
mximo de dos (2) das hbiles e informar de la situacin al
interesado.
2. Una vez recibido el reclamo completo, se incluir en la base
de datos una leyenda que diga "reclamo en trmite" y el
motivo del mismo, en un trmino no mayor a dos (2) das
hbiles. Dicha leyenda deber mantenerse hasta que el
3. El trmino mximo para atender el reclamo ser de quince
(15) das hbiles, contados a partir del da siguiente a la fecha
de su recibo. Cuando no fuere posible atender el reclamo
dentro de dicho trmino, se informar al interesado los motivos
de la demora y la fecha en que se atender su reclamo, la cual
en ningn caso podr superar los ocho (8) das hbiles
siguientes al vencimiento del primer trmino.
11
Expediente PE-032
Artculo 16. Requisito de procedibilidad. El Titular o
causahabiente slo podr elevar queja ante la
Superintendencia de Industria y Comercio una vez haya
agotado el trmite de consulta o reclamo ante el Responsable
del Tratamiento o Encargado del Tratamiento.
TTULO VI
DEBERES DE LOS RESPONSABLES DEL
TRATAMIENTO Y ENCARGADOS DEL TRATAMIENTO
Artculo 17. Deberes de los Responsables del Tratamiento.
Los Responsables del Tratamiento debern cumplir los
siguientes deberes, sin perjuicio de las dems disposiciones
previstas en la presente ley yen otras que rijan su actividad:
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo
ejercicio del derecho de hbeas data.
b) Solicitar y conservar, en las condiciones previstas en la
presente ley, copia de la respectiva autorizacin otorgada por
el Titular.
c) Informar debidamente al Titular sobre la finalidad de la
recoleccin y los derechos que le asisten por virtud de la
autorizacin otorgada.
d) Conservar la informacin bajo las condiciones de seguridad
necesarias para impedir su adulteracin, prdida, consulta,
uso o acceso no autorizado o fraudulento.
e) Garantizar que la informacin que se suministre al
Encargado del Tratamiento sea veraz, completa, exacta,
actualizada, comprobable y comprensible.
j) Actualizar la informacin, comunicando de forma oportuna al
Encargado del Tratamiento, todas las novedades respecto de los
datos que previamente le haya suministrado y adoptar las dems
medidas necesarias para que la informacin suministrada a este
se mantenga actualizada.
g) Rectificar la informacin cuando sea incorrecta y comunicar
lo pertinente al Encargado del Tratamiento.
h) Suministrar al Encargado del Tratamiento, segn el caso,
nicamente datos cuyo Tratamiento est previamente
autorizado de conformidad con lo previsto en la presente ley.
12
Expediente PE-032
i) Exigir al Encargado del Tratamiento en todo momento, el
respeto a las condiciones de seguridad y privacidad de la
informacin del Titular.
j) Tramitar las consultas y reclamos formulados en los
k) Adoptar un manual interno de polticas y procedimientos
para garantizar el adecuado cumplimiento de la presente ley y,
en especial, para la atencin de consultas y reclamos.
1) Informar al Encargado del Tratamiento cuando determinada
informacin se encuentra en discusin por parte del Titular,
una vez se haya presentado la reclamacin y no haya
finalizado el trmite respectivo.
m) Informar a solicitud del Titular sobre el uso dado a sus
datos.
n) Informar a la autoridad de proteccin de datos cuando se
presenten violaciones a los cdigos de seguridad y existan
riesgos en la administracin de la informacin de los Titulares.
Artculo 18. Deberes de los Encargados del Tratamiento. Los
Encargados del Tratamiento debern cumplir los siguientes
deberes, sin perjuicio de las dems disposiciones previstas en
la presente ley y en otras que rijan su actividad:
b) Conservar la informacin bajo las condiciones de seguridad
necesarias para impedir su adulteracin, prdida, consulta,
uso o acceso no autorizado o fraudulento.
c) Realizar oportunamente la actualizacin, rectificacin o
supresin de los datos en los trminos de la presente ley.
d) Actualizar la informacin reportada por los Responsables
del Tratamiento dentro de los cinco (5) das hbiles, contados a
partir de su recibo.
13
Expediente PE-032
e) Tramitar las consultas y los reclamos formulados por los
Titulares en los trminos sealados en la presente ley.
f) Adoptar un manual interno de polticas y procedimientos
para garantizar el adecuado cumplimiento de la presente ley y,
en especial, para la atencin de consultas y reclamos por parte
de los Titulares.
g) Registrar en la base de datos la leyenda "reclamo en
trmite JJ en la forma en que se regula en la presente ley.
h) Insertar en la base de datos la leyenda "informacin en
discusin judicial JJ una vez notificado por parte de la autoridad
competente sobre procesos judiciales relacionados con la
calidad del dato personal.
i) Abstenerse de circular informacin que est siendo
controvertida por el Titular y cuyo bloqueo haya sido ordenado
por la Superintendencia de Industria y Comercio.
j) Permitir el acceso a la informacin nicamente a las
personas que pueden tener acceso a ella.
k) Informar a la Superintendencia de Industria y Comercio
cuando se presenten violaciones a los cdigos de seguridad y
existan riesgos en la administracin de la informacin de los
Titulares.
Pargrafo. En el evento en que concurran las calidades de
Responsable del Tratamiento y Encargado del Tratamiento en
la misma persona, le ser exigible el cumplimiento de los
deberes previstos para cada uno.
TTULO VII
DE LOS MECANISMOS DE VIGILANCIA Y SANCIN
CAPTULOI
DE LA AUTORIDAD DE PROTECCIN DE DATOS
Artculo 19. Autoridad de proteccin de datos. La
Superintendencia de Industria y Comercio, a travs de una
Delegatura para la Proteccin de Datos Personales, ejercer
14
Expediente PE-032
la vigilancia para garantizar que en el Tratamiento de datos
personales se respeten los principios, derechos, garantas y
procedimientos previstos en la presente ley.
Pargrafo 1
0
El Gobierno Nacional en el plazo de seis (6)
meses, contados a partir de la fecha de entrada en vigencia de
la presente ley incorporar dentro de la estructura de la
Superintendencia de Industria y Comercio un despacho de
Superintendente Delegado para ejercer las funciones de
A utoridad de Proteccin de Datos.
Pargrafo 2
0
La vigilancia del tratamiento de los datos
personales regulados en la Ley 1266 de 2008 se sujetar a lo
previsto en dicha norma.
Artculo 20. Recursos para el ejercicio de sus funciones. La
Superintendencia de Industria y Comercio contar con los
siguientes recursos para ejercer las funciones que le son
atribuidas por la presente ley:
a) Las multas que se impongan a los sometidos a vigilancia.
b) Los recursos que le sean destinados en el Presupuesto
General de la Nacin.
Artculo 21. Funciones. La Superintendencia de Industria y
Comercio ejercer las siguientes funciones:
a) Velar por el cumplimiento de la legislacin en materia de
proteccin de datos personales.
b) Adelantar las investigaciones del caso, de oficio o a peticin
de parte y, como resultado de ellas, ordenar las medidas que
sean necesarias para hacer efectivo el derecho de hbeas data.
Para el efecto, siempre que se desconozca el derecho, podr
disponer que se conceda el acceso y suministro de los datos, la
rectificacin, actualizacin o supresin de los mismos.
c) Disponer el bloqueo temporal de los datos cuando, de la
solicitud y de las pruebas aportadas por el Titular, se
identifique un riesgo cierto de vulneracin de sus derechos
fundamentales, y dicho bloqueo sea necesario para protegerlos
mientras se adopta una decisin definitiva.
d) Promover y divulgar los derechos de las personas en
relacin con el Tratamiento de datos personales e
15
Expediente PE-032
implementare campaas pedaggicas para capacitar e
informar a los ciudadanos acerca del ejercicio y garanta del
derecho fundamental a la proteccin de datos.
e) Impartir instrucciones sobre las medidas y procedimientos
necesarios para la adecuacin de las operaciones de los
Responsables del Tratamiento y Encargados del Tratamiento a
las disposiciones previstas en la presente ley.
1) Solicitar a los Responsables del Tratamiento y Encargados
del Tratamiento la informacin que sea necesaria para el
ejercicio efectivo de sus funciones.
g) Proferir las declaraciones de conformidad sobre las
transferencias internacionales de datos.
h) Administrar el Registro Nacional Pblico de Bases de Datos
y emitir las rdenes y los actos necesarios para su
administracin y funcionamiento.
i) Sugerir o recomendar los ajustes, correctivos o adecuaciones
a la normatividad que resulten acordes con la evolucin
tecnolgica, informtica o comunicacional.
j) Requerir la colaboracin de entidades internacionales o
extranjeras cuando se afecten los derechos de los Titulares
fuera del territorio colombiano con ocasin, entre otras, de la
recoleccin internacional de datos personales.
k) Las dems que le sean asignadas por ley.
CAPTULO 11
PROCEDIMIENTO Y SANCIONES
Artculo 22. Trmite. La Superintendencia de Industria y
Comercio, una vez establecido el incumplimiento de las
disposiciones de la presente ley por parte del Responsable del
Tratamiento o el Encargado del Tratamiento, adoptar las
En lo no reglado por la presente ley y los procedimientos
correspondientes se seguirn las normas pertinentes del
Cdigo Contencioso Administrativo.
16
Expediente PE-032
Articulo 23. Sanciones. La Superintendencia de Industria y
Comercio podr imponer a los Responsables del Tratamiento y
Encargados del Tratamiento las siguientes sanciones:
a) Multas de carcter personal e institucional a favor de la
Superintendencia de Industria y Comercio hasta por el
equivalente de dos mil (2.000) salarios mnimos mensuales
legales vigentes al momento de la imposicin de la sancin.
Las multas podrn ser sucesivas mientras subsista el
incumplimiento que las origin.
b) Suspensin de las actividades relacionadas con el
Tratamiento hasta por un trmino de seis (6) meses. En el acto
de suspensin se indicarn los correctivos que se debern
adoptar.
c) Cierre temporal de las operaciones relacionadas con el
Tratamiento una vez transcurrido el trmino de suspensin sin
que se hubieren adoptado los correctivos ordenados por la
d) Cierre inmediato y definitivo de la operacin que involucre
el Tratamiento de datos sensibles.
Pargrafo. Las sanciones indicadas en el presente articulo solo
aplican para las personas de naturaleza privada. En el evento
en el cual la Superintendencia de Industria y Comercio
advierta un presunto incumplimiento de una autoridad pblica
a las disposiciones de la presente ley, remitir la actuacin a la
Procuraduria General de la Nacin para que adelante la
investigacin respectiva.
Articulo 24. Criterios para graduar las sancIOnes. Las
sanciones por infracciones a las que se refieren el articulo
anterior, se graduarn atendiendo los siguientes criterios, en
cuanto resulten aplicables:
a) La dimensin del dao o peligro a los intereses juridicos
tutelados por la presente ley.
b) El beneficio econmico obtenido por el infractor o terceros,
en virtud de la comisin de la infraccin.
C) La reincidencia en la comisin de la infraccin.
17
Expediente PE-032
d) La resistencia, negativa u obstruccin a la acczan
investigadora o de vigilancia de la Superintendencia de
e) La renuencia o desacato a cumplir las rdenes impartidas
f) El reconocimiento o aceptacin expresos que haga el
investigado sobre la comisin de la infraccin antes de la
imposicin de la sancin a que hubiere lugar.
CAPTULO 111
DEL REGISTRO NACIONAL DE BASES DE DATOS
Artculo 25. Definicin. El Registro Nacional de Bases de
Datos es el directorio pblico de las bases de datos sujetas a
Tratamiento que operan en el pas.
El registro ser administrado por la Superintendencia de
Industria y Comercio y ser de libre consulta para los
ciudadanos.
Para realizar el registro de bases de datos, los interesados
debern aportar a la Superintendencia de Industria y Comercio
las polticas de tratamiento de la iriformacin, las cuales
obligarn a los responsables y encargados del mismo, y cuyo
incumplimiento acarrear las sanciones correspondientes. Las
polticas de Tratamiento en ningn caso podrn ser inferiores a
los deberes contenidos en la presente ley.
Pargrafo. El Gobierno Nacional reglamentar, dentro del ao
siguiente a la promulgacin de la presente ley, la informacin
mnima que debe contener el Registro, y los trminos y
condiciones bajo los cuales se deben inscribir en este los
Responsables del Tratamiento.
TTULO VIII
TRANSFERENCIA DE DATOS A TERCEROS PASES
Artculo 26. Prohibicin. Se prohbe la transferencia de datos
personales de cualquier tipo a pases que no proporcionen
niveles adecuados de proteccin de datos. Se entiende que un
pas ofrece un nivel adecuado de proteccin de datos cuando
cumpla con los estndares fzjados por la Superintendencia de
Industria y Comercio sobre la materia, los cuales en ningn
18
Expediente PE-032
caso podrn ser inferiores a los que la presente ley exige a sus
destinatarios.
a) Informacin respecto de la cual el Titular haya otorgado su
autorizacin expresa e inequvoca para la transferencia.
b) Intercambio de datos de carcter mdico, cuando as lo exija
el Tratamiento del Titular por razones de salud o higiene
pblica.
c) Transferencias bancarias o burstiles, conforme a la
legislacin que les resulte aplicable.
d) Transferencias acordadas en el marco de tratados
internacionales en los cuales la Repblica de Colombia sea
parte, con fundamento en el principio de reciprocidad.
e) Transferencias necesarias para la ejecucin de un contrato
entre el Titular y el Responsable del Tratamiento, o para la
ejecucin de medidas precontractuales siempre y cuando se
cuente con la autorizacin del Titular.
f) Transferencias necesarias o legalmente exigidas para la
salvaguardia del inters pblico, o para el reconocimiento,
ejercicio o defensa de un derecho en un proceso judicial.
Pargrafo 1. En los casos no contemplados como excepcin
en el presente artculo, corresponder a la Superintendencia de
Industria y Comercio, proferir la declaracin de conformidad
relativa a la transferencia internacional de datos personales.
Para el efecto, el Superintendente queda facultado para
requerir informacin y adelantar las diligencias tendientes a
establecer el cumplimiento de los presupuestos que requiere la
viabilidad de la operacin.
Pargrafo 2. Las disposiciones contenidas en el presente
artculo sern aplicables para todos los datos personales,
incluyendo aquellos contemplados en la Ley 1266 de 2008.
TTULO IX
OTRAS DISPOSICIONES
Artculo 27. Disposiciones especiales. El Gobierno Nacional
regular lo concerniente al Tratamiento sobre datos personales
19
Expediente PE-032
que requieran de disposiciones especiales. En todo caso, dicha
reglamentacin no podr ser contraria a las disposiciones
contenidas en la presente ley.
Artculo 28. Normas corporativas vinculantes. El Gobierno
Nacional expedir la reglamentacin correspondiente sobre
Normas Corporativas Vinculantes para la certificacin de
buenas prcticas en proteccin de datos personales y su
transferencia a terceros pases.
Artculo 29. Certificacin de antecedentes judiciales. El
Departamento Administrativo de Seguridad, DAS, o quien
ejerza esta funcin, mantendr y actualizar los registros
delictivos y de identificacin nacional de acuerdo con los
informes y avisos que para el efecto debern remitirle las
autoridades judiciales, conforme a la Constitucin Poltica y la
ley
Al expedir certificados judiciales por peticin ciudadana, el
Departamento Administrativo de Seguridad o quien ejerza esta
funcin, se abstendr de incluir como antecedente penal los
registros delictivos del solicitante cuando este haya cumplido
su pena o la misma haya prescrito.
Pargrafo ]0. Los archivos del Departamento Administrativo
de Seguridad, o de quien ejerza esta funcin en esta materia,
tendrn carcter reservado y en consecuencia solo se
expedirn certificados o informes de los registros contenidos
en ellos.
Pargrafo 2. El Departamento Administrativo de Seguridad,
DAS, o quien ejerza esta funcin, garantizar la disponibilidad
de manera gratuita y permanente la informacin electrnica
sobre el Certificado de Antecedentes Judiciales para ser
consultados por el titular, interesado o por terceros a travs de
la pgina web de la entidad y los mismos gozarn de plena
validez y legitimidad.
Pargrafo 3. El certificado judicial expedido a solicitud de los
peticionarios de sus propios registros, no ser vlido en
aquellos cargos donde se requiera la carencia total de
antecedentes.
En este caso, cuando las entidades de la Administracin
Pblica requieran la presentacin de los antecedentes
judiciales, debern dar cumplimiento estricto a lo sealado en
20
Expediente PE-032
el artculo 17 del Decreto 2150 de 1995 o la norma que la
modifique, complemente, adicione o aclare.
Artculo 30. Bases de datos de inteligencia y
contrainteligencia. Las bases de datos o archivos de las
entidades que desarrollan actividades de inteligencia y
contrainteligencia debern guiarse estrictamente por los
parmetros de tratamiento de datos establecidos en el Plan
Nacional de Inteligencia y por la Junta de Inteligencia
Conjunta, as como en las dems normas legales.
En todo caso la autorizacin de una orden de operaciones o
misin de trabajo, no podr ser emitida por un servidor pblico
que ostente un nivel distinto al de directivo, comando o su
equivalente.
Los documentos, informacin y equipos tcnicos de los
organismos que desarrollen labores de inteligencia o
contrainteligencia estarn amparados por la reserva legal por
un trmino mximo de 40 aos y tendrn carcter de
informacin reservada segn el grado de clasificacin que
corresponda en cada caso.
Pargrafo. El servidor pblico que decida ampararse en la
reserva legal para no suministrar informacin a un titular,
deber hacerlo motivadamente, sealando la razonabilidad y
proporcionalidad de su decisin al requirente. En cualquier
caso, frente a las decisiones sealadas procedern los recursos
y acciones legales y constitucionales pertinentes.
No se podr oponer la reserva legal a los requerimientos de los
jueces y otras autoridades competentes.
Artculo 31. Valor probatorio y reserva de los informes de
inteligencia y contrainteligencia. En ningn caso los informes
de inteligencia tendrn valor probatorio dentro de los procesos
judiciales, pero su contenido podr constituir criterio
orientador para el desarrollo de los actos urgentes que
desarrolla la policia judicial en materia penal. En todo caso se
garantizar la reserva para proteger la identidad de quienes
son objeto de dichos informes, de los funcionarios de
inteligencia y contrainteligencia, sus mtodos y fuentes.
Artculo 32. Rgimen de transicin. Las personas que a la
fecha de entrada en vigencia de la presente ley ejerzan alguna
de las actividades ac reguladas tendrn un plazo de hasta seis
Expediente PE-032
21
(6) meses para adecuarse a las disposiciones contempladas en
esta ley.
Artculo 33. Derogatorias. La presente ley deroga todas las
disposiciones que le sean contrarias a excepcin de aquellas
contempladas en el artculo segundo.
Artculo 34. Vigencia. La presente ley rige a partir de su
promulgacin.
Senador,
Luis Fernando Velasco Chaves.
Representante a la Cmara,
Alfredo Deluque Zuleta. "
1.3 INTERVENCIONES CIUDADANAS
Dentro del proceso se presentaron intervenciones de las siguientes
personas y entidades: el Ministerio de Industria, Comercio y Turismo, la
Secretara Jurdica de la Presidencia de la Repblica, la Defensora del
Pueblo, los ciudadanos Juanita Durn V lez, Santiago Diazgranados
Mesa, Alejandro Salas Pretelt, Rolfe Hemando Gonzlez Sosa y Mara
Lorena Flrez Rojas, la Universidad de los Andes, la Fundacin para la
Libertad de Prensa (FLP), Computec S.A. - Datacrdito, la Asociacin
Colombiana de Empresas de Medicina Integral (ACEMI), la Asociacin
Bancaria de Colombia y Entidades Financieras de Colombia
(ASOBANCARIA).
La Sala har referencia al contenido de cada una de las intervenciones al
realizar el anlisis de constitucionalidad tanto fonnal como material de
cada una de las disposiciones del proyecto de ley bajo estudio.
1.4 CONCEPTO DEL PROCURADOR
El Procurador General de la Nacin solicita a la Corte declarar
exequible el Proyecto de Ley Estatutaria 046 de 2010 Cmara- 184
de 2010 Senado, con las siguientes precisiones:
1.4.1. Respecto al proceso de formacin del proyecto de ley estatutaria,
manifiesta lo siguiente:
1.4.1.1. Asegura que el proyecto cumple con lo previsto en el artculo 160 de la
Constitucin, pues (i) entre la aprobacin en primer y en segundo debate
en cada una de las cmaras transcurri un tiempo no inferior a ocho das,
y (ii) entre la aprobacin surtida en una cmara y el inicio del debate en
22
Expediente PE-032
la otra hubo un lapso no inferior a quince das. En particular, explica que
(a) la Comisin Primera de la Cmara aprob el proyecto el 14 de
septiembre de 2010 y la plenaria emiti su aprobacin el 19 de octubre
de 2010; (b) la Comisin Primera del Senado aprob el proyecto el 6 de
diciembre de 2010 y de la misma forma procedi la plenaria el 15 de
diciembre de 2010; (c) el proyecto fue aprobado por la Cmara de
Representantes el 19 de octubre de 2010 y su debate en el Senado inici
el 6 de diciembre de 2010.
1.4.1.2. De otra parte, afirma que el proyecto cumpli con lo establecido en el
artculo 153 de la Carta que exige la mayora absoluta de los miembros
del Congreso para aprobar proyectos de leyes estatutarias, como tambin
que su trmite se efecte dentro de una sola legislatura. En el caso
especfico, indica que se radic el proyecto de ley el 3 de agosto de 2010
y su trmite culmin el 16 de diciembre de 2010, lo que evidencia que su
trmite se surti dentro de la legislatura que inici el 20 de julio de ese
mismo ao y que culmin el 20 de junio de 2011.
1.4.2. Respecto al anlisis jurdico y material del proyecto de ley estatutaria,
expresa lo siguiente:
1.4.2.1. Considera que la decisin de limitar el recaudo y tratamiento de datos
personales, as como el uso y el acceso a las bases de datos que
contienen esa informacin, es razonable, pues su finalidad es preservar
del conocimiento pblico los datos que pertenecen la intimidad de su
titular.
1.4.2.2. Sostiene que el literal c) del artculo 5 es exequible, bajo el
entendido que siempre debe mediar autorizacin por parte del titular.
1.4.2.3. Por otra parte, indica que las excepciones a la prohibicin de
circulacin de datos sensibles, previstas en el artculo 6, por fundarse en
el consentimiento del titular o en finalidades importantes, son
razonables. Sin embargo, refiere que en el caso del ejercicio de
actividades legtimas de un grupo de personas, organizado sin nimo de
lucro, como es el caso de las fundaciones, las ONG, las asociaciones, los
sindicatos o cualquier otra; el hecho de pertenecer a dicho grupo no es
razn para obviar la necesidad de obtener la autorizacin previa del
titular de los datos.
1.4.2.4. Sostiene que la especial proteccin que se da a los datos personales
de nios, nias y adolescentes en el artculo 7 es razonable, ya que se
desprende de su condicin de sujetos de especial proteccin
constitucional. No obstante, indica que la excepcin prevista en este
precepto respecto de los datos que son de "naturaleza pblica", puede
generar dos situaciones conflictivas: en primer lugar, parte de que los
23
Expediente PE-032
nios, nias y adolescentes no tienen capacidad plena para otorgar su
consentimiento, lo que ~ e pretende superar con la exigencia de
autorizacin de sus padres o tutores; y en segundo lugar, no tiene en
cuenta que esta poblacin, al tener acceso sin restricciones a Internet, en
especial a las redes sociales, puede publicar de manera irreflexiva sus
datos personales y su intimidad. Por lo anterior, el Ministerio Pblico
considera que la expresin "naturaleza pblica", en tanto excepcin a la
prohibicin de tratamiento de datos sensibles de los nios, nias y
adolescentes, debe declararse inexequible.
1.4.2.5. Sobre el artculo 10 del proyecto, en el cual se encuentran
establecidos los sucesos en los cuales no es necesaria la autorizacin del
titular, especficamente en relacin con el tercer evento referido a "que
se trate de un caso de urgencia mdica o sanitaria ", estima que es una
excepcin razonable, pues busca salvaguardar la vida e integridad fisica
del titular del dato. No obstante, aclara que esta excepcin slo puede
cobijar al personal mdico o cientfico que atiende la urgencia.
1.4.2.6. Con respecto al inciso del artculo 10 que establece que "(. . .) quien
acceda a los datos personales sin que medie autorizacin previa deber
en todo caso cumplir con las disposiciones contenidas en la presente ley
(. . .) ", el Procurador considera que deja abierta la puerta a graves
transgresiones, en tanto invalida la prohibicin de tratar los datos
personales sin consentimiento del titular, lo cual es irrazonable e
inaceptable en trminos constitucionales. Agrega que si un dato se
obtiene sin el consentimiento previo de su titular, salvo las excepciones
previstas en la ley, se est vulnerando el artculo 15 de la Constitucin.
La misma consecuencia puede aplicarse cuando dicho dato se hace
circular. Por estas razones solicita que el precepto sea declarado
inexequible.
1.4.2.7. Manifiesta que el pargrafo del artculo 14, especficamente en lo
referente a que "(. . .) el Gobierno Nacional podr establecer trminos
inferiores a los sealados en los procedimientos contemplados en la
ley", aunque en principio podra concluirse que es una medida favorable
para los intereses de los titulares de los datos y, por tanto, no existira
una restriccin a sus derechos, es una medida inconstitucional. Aduce
que no puede pasarse por alto que la competencia para regular los
mecanismos de proteccin de los derechos fundamentales que tienen que
ver con el ncleo esencial de los mismos, corresponde exclusivamente al
legislador estatutario. Por lo anterior, cualquier modificacin de los
mecanismos de proteccin, as beneficie al titular del derecho, le
corresponde realizarlo al Congreso a travs de una ley estatutaria.
1.4.2.8. En relacin con el artculo 27, teniendo en cuenta las razones
expuestas precedentemente, recuerda que la competencia para regular los
Expediente PE-032
24
M.P. Jorge Ignacio PreteJt Chaljub
mecanismos de proteccin de los derechos fundamentales, en la medida
en que afecten el ncleo esencial de los mismos, goza de reserva de ley
estatutaria. Por tanto, concluye que este precepto es inexequible.
1.4.2.9. Tambin pone de presente que la expresin "podr constituir criterio
orientador para el desarrollo de los actos urgentes que desarrolla la
polica judicial en materia penal", contenida en el artculo 31, es
exequible bajo el entendido que para llevar a cabo esas actividades se
requiere orden judicial. En su criterio, si no se trata de prevenir un grave
riesgo inminente, sino de investigar delitos, esto es, el desarrollo de la
tarea propia de polica judicial en materia penal, siempre debe existirse
una orden judicial previa.
1.4.2.10. Por ltimo, alega que la expresin "o los reglamentos expedidos por
el Gobierno Nacional" contenida en el pargrafo del artculo 14, es
inexequible.
1.5 METODOLOGA
La revisin integral del proyecto de ley estatutaria se desarrollar de la
siguiente manera. En primer lugar, y de manera previa al estudio de
constitucionalidad, la Sala har una referencia al origen histrico y el
alcance del derecho fundamental al habeas data. En segundo lugar,
determinar cul fue el modelo de regulacin adoptada por el legislador
estatutario y sus implicaciones en el anlisis de constitucionalidad de las
disposiciones del Proyecto. Establecido el marco general de proteccin
de datos en Colombia, la Corporacin realizar el anlisis tanto formal
como material del articulado del proyecto.
2 CONSIDERACIONES
2.1 CONSIDERACIONES PRELIMINARES
2.1.1 La materia del proyecto de ley estatutaria: regulacin de algunos
contenidos mnimos del derecho fundamental al habeas data
El ttulo del proyecto de ley -"Por el cual se dictan disposiciones
generales para la proteccin de datos personales" - indica que su objetivo
principal es regular de manera general las garantas del derecho
fundamental a la proteccin de los datos personales, derecho que en la
jurisprudencia constitucional ha sido con frecuencia denominado
derecho al habeas data y en algunas oportunidades derecho a la
autodeterminacin informtica o informativa'. Para determinar SI, en
1 La Sala considera necesario reiterar la nota introducida en la sentencia C-1011 de 2008, M.P. Jaime Crdoba
Trivio, sobre el empleo del trmino habeas data: "Debe tenerse en cuenta que la denominacin 'hbeas data'
no ha sido la nica utilizada por la jurisprudencia para identificar las facultades del sujeto concernido
25
Expediente PE-032
efecto, el proyecto regula al menos algunos de los contenidos mnimos
de este derecho, a continuacin la Sala examinar su origen y alcance:
2.1.1.1 Origen del derecho al habeas data
2.1.1.1.1 La proteccin de los datos personales surgi ligada al derecho a la
intimidad, reconocido en varios instrumentos del derecho internacional
de los derechos humanos.
En el plano internacional, el derecho a la intimidad fue reconocido por
primera vez en 1948, en la Declaracin Universal de los Derechos
Humanos, cuyo artculo 12 dispone que toda persona debe ser protegida
contra injerencias arbitrarias en su vida privada, familia, domicilio o
correspondencia, as como de ataques contra su honra y reputacin.
2
Posteriormente, en 1966, este precepto fue reproducido por el artculo 17
del Pacto Internacional de Derechos Civiles y Polticos (PIDCP), con lo
cual se le dio naturaleza vinculante entre los estados partes.
En el mbito regional, tambin en 1948, se reconoci el derecho a la
intimidad con el artculo V de la Declaracin Americana de Derechos y
Deberes del Hombre. El derecho fue nuevamente introducido en el
artculo 11 de la Convencin Americana de Derechos Humanos de 1969,
el cual en trminos generales reproduce el artculo 12 de la Declaracin
Universal de los Derechos Humanos.
En el sistema europeo de proteccin, el derecho a la intimidad . fue
reconocido por primera vez en el artculo 8 del Convenio para la
Proteccin de los Derechos Humanos y de las Libertades Fundamentales,
en 1950. Este artculo, adems de proteger la vida privada y familiar, y el
domicilio y la correspondencia, proscribe toda injerencia de las
autoridades pblicas en el ejercicio de este derecho, salvo "(. . .) cuanto
esta injerencia est prevista por la ley y constituya una medida que, en
respecto de las bases de datos. As, durante el desarrollo del concepto en las decisiones de la Corte se han
usado las expresiones de 'autodeterminacin informtica' o 'autodeterminacin informativa '. En todo caso,
estas tres definiciones refieren a la misma realidad jurdica, por lo que no ofrecen mayores dificultades en su
uso alternativo. Sin embargo, ante la necesidad de contar con una descripcin uniforme y habida cuenta el
uso extendido del trmino en el mbito del derecho constitucional colombiano, esta sentencia utilizar el
vocablo hbeas data con elfin de nombrar el derecho que tienen todas las personas a ejercer las facultades de
conocimiento, actualizacin y rectificacin de la informacin personal contenida en bases de datos." La
equivalencia entre los trminos habeas data y autodeterminacin informativa tambin haba sido anunciada en
la sentencia T-729 de 2002, M.P. Eduardo Montealegre Lynett.
2 Sin embargo, la primera vez que se habl del derecho a la intimidad --{) privacidad en lenguaje jurdico
anglosajn- fue en 1890, cuando los estadounidenses Samuel Warren y Louis Brandeis publicaron el artculo
'The Right To Privacy' que propugnaba por establecer lmites jurdicos que impidieran la intromisin del
periodismo en la vida privada de las personas. Warren, Samuel. Brandeis, Louis. "The Right To Privacy".
Harvard Law Review. Pg. 193. 1890. Ver tambin Gregorio, Carlos G. "Proteccin de Datos Personales:
Europa Vs. Estados Unidos, todo un dilema para Amrica Latina" en Transparentar al Estado: la Experiencia
Mexicana de Acceso a la Informacin. Universidad Autnoma de Mxico, 2004. Pg. 30 l. La idea primigenia
del derecho a la intimidad estuvo marcada por su individualismo acentuado, al punto que se haca referencia al
derecho a estar solo o el derecho a ser dejado en paz.
26
Expediente PE-032
una sociedad democrtica, sea necesaria para la seguridad nacional, la
seguridad pblica, el bienestar econmico del pas, la defensa del orden
y la prevencin del delito, la proteccin de la salud o de la moral, o la
proteccin de los derechos y las libertades de los dems. ,,3
2.1.1.1.2 Fue en Europa precisamente donde, con fundamento en esta
ltima disposicin y en vista de los riesgos a los que se enfrenta la
intimidad en la sociedad de la informacin, comenz a labrarse el
camino para el reconocimiento del habeas data como un derecho
fundamental autnomo. As, en 1967, el Consejo de Europa convoc una
comisin consultiva para estudiar los riesgos que las tecnologas de la
informacin generan sobre los derechos de las personas. Como
consecuencia de esta comisin, se expidi en 1968, la Resolucin 509
sobre los derechos humanos y los nuevos logros cientficos y tcnicos,
en la que se hizo un llamado a la proteccin de la privacidad frente a las
nuevas tecnologas.
En la dcada de los 70, la Comisin de Ministros del Consejo de Europa
adopt la resolucin relativa a "la proteccin de la vida privada de las
personas fsicas frente a los bancos de datos electrnicos en el sector
privado ", y la resolucin sobre "la proteccin de la vida privada de las
personas fsicas frente a los bancos de datos electrnicos en el sector
pblico ", en las que recomienda a los pases miembros implementar una
serie de principIOs de proteccin. Posteriormente, varios pases
introdujeron legislaciones destinadas establecer garantas para los datos
personales; varias de estas legislaciones crearon reglas especficas con
miras a proteger no solamente la intimidad, sino tambin otros valores
como la integridad, la autonoma y la dignidad de las personas.
4
En 1981, el Convenio 108 del Consejo de Europa sobre la proteccin de
las personas en lo relativo al tratamiento automatizado de datos de
3 Hechos como los ocurridos durante la Segunda Guerra Mundial en Alemania, donde la infonnacin del censo
y los archivos del gobierno se utilizaron para detectar a los judos y dems poblaciones vctimas del genocidio,
llevaron a que una vez finalizada la guerra, el derecho a la intimidad tuviera proteccin reforzada en los planos
nacional y regional. Esta misma razn inspir la introduccin del artculo 12 de la Declaracin Universal de los
Derechos Humanos.
4 Vale la pena destacar la ley de proteccin de datos delland alemn de Hesse de 1970, la ley sueca de 1973, el
artculo 35 de la Constitucin de Portugal de 1976, la ley federal alemana de 1977, las leyes francesa y
austriaca de 1978 y el artculo 18.4 de la Constitucin espaola de 1978. Estas nonnas establecieron lmites al
empleo de la infonntica frente a los datos personales a partir de dos principios fundamentales : la autorizacin
previa para la constitucin de bancos de datos y su control e inspeccin posterior. Ver Bru Cuadra, Elisenda.
"La proteccin de datos en Espaa y en la Unin Europea". IDP. Revista de internet, Derecho y Poltica, Num
5, 2007. Universitat Oberta de Catalunya. P.p. 78-92. Garca Gonzlez, Aristeo. "La proteccin de datos
personales: derecho fundamental del siglo XXI. Un estudio comparado". Boletn Mexicano de Derecho
Comparado [en lnea}, XL (Septiembre-Diciembre), 2007. Disponible en:
<http://redalyc.uaemex.mx/redalyc/src/inicio/ ArtPdfRed.jsp?iCve=427 12003> ISSN 0041-8633.
En esta dcada tambin se expidi el Privacy Act de 1974 en Estados Unidos, inspirada tambin en la
necesidad de brindar proteccin a la privacidad frente a las nuevas tecnologas. A diferencia de lo que ha
ocurrido en Europa, esta ley ha enfrentado serias dificultades en su implementacin. Ver Bignami, Francesca.
"European versus American Liberty: A Comparative Privacy Analysis of Antiterrorism Data Mining". Boston
College Law Review, 2007. P. 609.
27
Expediente PE-032
carcter personal, brind proteccin explcita a este tipo de infonnacin
y fij las pautas del modelo comn de proteccin. El Convenio ampli el
catlogo de garantas con la introduccin de los principios de lealtad,
exactitud, finalidad, pertinencia, utilizacin no abusiva, olvido,
publicidad, acceso individual y seguridad, y con la prohibicin de
tratamiento automtico de datos que revelen el origen racial de las
personas, sus opiniones polticas, convicciones religiosas o de otro tipo,
as como datos sobre su salud o vida sexua1.
5
Adems, introdujo
definiciones sobre datos personales, ficheros automatizados, tratamientos
automatizados y autoridades que manejan la informacin.
6
El Convenio
108 dio paso a una segunda generacin de leyes nacionales de proteccin
de datos que incorporaron varios de los principios reconocidos en 1.
7
En 1983, una sentencia del Tribunal Constitucional alemn denomin
por primera vez el derecho a la proteccin de los datos personales como
derecho a la autodeterminacin informativa, con fundamento en el
derecho al libre desarrollo de la personalidad.
8
Para este tribunal, tal
derecho comprende la facultad de decidir por s mismo cuando y dentro
de qu lmites procede revelar situaciones referentes a la propia vida.
Adems, el tribunal seal que la garanta del derecho requiere
especiales medidas de proteccin, teniendo en cuenta que la
interconexin de varias bases de datos puede dar lugar a la elaboracin
de un perfil de la personalidad que limite la libertad de decisin. Este
ejemplo fue seguido por el Tribunal Constitucional espaol, el cual, en
1993, precis que el artculo 18.4 de la constitucin espaola consagra
un derecho fundamental autnomo al disponer que la ley debe limitar el
5 Ver Bru Cuadra, Elisenda. "La proteccin de datos en Espaa y en la Unin Europea" . IDP. Revista de
Internet, Derecho y Poltica, Num 5, 2007. Universitat Oberta de Catalunya. P.p. 78-92. Especficamente, su
artculo 8 dispone: "Cualquier persona deber poder:
a) Conocer la existencia de un fichero automatizado de datos de carcter personal, sus finalidades
principales, as como la identidad y la residencia habitual o el establecimiento principal de la autoridad
controladora del fichero.
b) Obtener a intervalos razonables y sin demora o gastos excesivos la confirmacin de la existencia o no
en el fichero automatizado de datos de carcter personal que conciernan a dicha persona, as como la
comunicacin de dichos datos en forma inteligibles. "
6El Convenio fue precedido por las "directrices sobre proteccin de la privacidad y flujos transfronterizos de
datos personales" adoptadas por la Organizacin para la Cooperacin y el Desarrollo Econmicos (OC DE) en
1980, en las que se definen principios bsicos de proteccin de datos personales, aplicables tanto al sector
pblico como al privado, como el principio de limitacin de la recoleccin de datos, el principio de
especificidad de la finalidad, el principio de limitacin de uso, y el principio de salvaguardias de seguridad,
entre otros. En el memorando explicativo de las directrices, se reconoce la tendencia a basar la proteccin de
datos personales en una nocin ms amplia de intimidad. Al respecto, se afirma: "(. . .) viene habiendo una
tendencia a ampliar el concepto tradicional de intimidad (l derecho a que le dejen a uno en paz') y a
identificar una sntesis ms compleja de intereses que quiz se puedan calificar ms correctamente de
intimidad y libertades individuales n. .
7 Irlanda en 1980 e Inglaterra en 1984.
8Sentencia citada por Prieto Gutirrez, Juan Jos. "Proteccin de datos en la Biblioteca de la Universidad
Complutense", 2006. Disponible en: http://www.scribd.comldoc/423 80514/Proteccion-de-Datos-en-La
Biblioteca-de-La-Universidad-Complutense-de-Madrid, En este fallo, el tribunal declar inconstitucionales
ciertos aspectos de la Ley del Censo de Poblacin de 1982.
Expediente PE-032
28
uso de la informtica para garantizar la intimidad, el honor y el pleno
ejercicio de los derechos de los ciudadanos.
9
Aos ms tarde, en el plano comunitario, mediante la Directiva
95/46/CE de 1995 sobre la proteccin de personas fsicas respecto al
tratamiento y circulacin de datos personales, el Parlamento Europeo y
el Consejo de Europa, si bien ligan la proteccin de los datos personales
al derecho a la intimidad, precisan varias definiciones e introducen
directrices sobre las garantas especficas que rigen la circulacin de este
tipo de datos, por ejemplo, en materia de principios de tratamiento y
requisitos procedimentales.
'o
La configuracin de la autodeterminacin informativa como derecho
autnomo culmina con la Carta de los Derechos Fundamentales de la
Unin Europea de 1999, cuyo artculo 8 reconoce explcitamente el
derecho de toda persona a "la proteccin de los datos de carcter
personal que la conciernan" y dispone que "[eJstos datos se tratarn de
modo leal, para fines concretos y sobre la base del consentimiento de la
persona afectada o en virtud de otro fundamento legtimo previsto por la
ley. " Adems, indica que "[tJoda persona tiene derecho a acceder a los
datos recogidos que la conciernan y a su rectificacin ", y seala que la
verificacin del cumplimiento de estas garantas debe encargarse en cada
estado a un rgano independiente.
2.1.1.1.3 En el seno de las Naciones Unidas tambin se han presentado
iniciativas importantes dirigidas a reforzar la proteccin de los datos
personales y a dotar de contenido autnomo al derecho al habeas data.
Por ejemplo, mediante la Resolucin 45/95 de 14 de diciembre de 1990,
"Principios rectores aplicables a los ficheros computarizados de datos
personales ", se reconocieron varias garantas mnimas que deben prever
9 Ver sentencia 254 del 20 de julio de 1993. Citada en: Garriaga Domnguez, A. La proteccin de los datos
personales en el Derecho Espaol. Dykinson - Instituto de Derechos Humanos Bartolom de las Casas de la
Universidad Carlos III de Madrid, 1999. Posteriormente, en la sentencia 292 del 30 de noviembre de 2000, el
Tribunal espaol precis que el derecho fundamental a la autodeterminacin informativa es diferente al
derecho a la intimidad, pues mientras el segundo protege a las personas frente a cualquier invasin al mbito de
su vida personal o familiar, el derecho a la autodeterminacin informativa garantiza a las personas un poder de
control sobre sus datos personales, as como sobre su uso y destino, con el propsito de impedir su trfico
ilcito y lesivo para la dignidad del titular. Ver Garca Gonzlez, Aristeo. "La proteccin de datos personales:
derecho fundamental del siglo XXI. Un estudio comparado". Boletin Mexicano de Derecho Comparado [en
lnea}, XL (Septiembre-Diciembre), 2007. Disponible en:
<http://redalyc.uaemex.mx/redalyc/src/inicio/ ArtPdfRed.jsp?iCve=42712003> ISSN 0041-8633.
10 A partir de 1990, la Comunidad Europea busc garantizar un funcionamiento adecuado del mercado
unificado, para lo cual era necesario establecer una proteccin uniforme de los datos personales, pues las
diferencias en las leyes de proteccin de los mismos podan configurar un obstculo en el flujo de los datos.
Para lograr ese objetivo se profiri la Directiva 95/46/CE. Dicha Directiva exige a los estados miembros un
tratamiento leal y licito de los datos personales, tener en cuenta el tratamiento de los datos sensibles, notificar
de la recoleccin de los datos al interesado y perseguir con el recaudo de datos un fin explcito y legtimo.
Tambin reconoce el derecho de los interesados a acceder a los datos y a oponerse a su tratamiento, el principio
de conservacin slo por el tiempo necesario para los fines que fueron recolectados, y el establecimiento de
una autoridad autnoma de control para la proteccin de datos personales. La Directiva incluye adems una
clusula en virtud de la cual la transferencia de datos haca terceros pases depende de que estos ltimos
garanticen un nivel adecuado de proteccin de datos
Expediente PE-032
29
las legislaciones nacionales para el tratamiento de este tipo de
informacin.
Por otra parte, el Comit de Derechos Humanos, en su Observacin
General 16 sobre el artculo 17 del PIDCP, si bien es cierto conecta la
proteccin de los datos personales con el derecho a la intimidad, por va
interpretativa fija una serie de pautas importantes que deben guiar la
proteccin de tales datos, como que "[lJa recopilacin y el registro de
informacin personal en computadoras, bancos de datos y otros
dispositivos, tanto por las autoridades pblicas como por las
particulares o entidades privadas, deben estar reglamentados por la
ley", o que todas las personas tienen derecho a verificar "(.. .) si hay
datos personales suyos almacenados en archivos automticos de datos y,
en caso afirmativo, de obtener informacin inteligible sobre cules son
esos datos y con qu fin se han almacenado ", garantas que hacen parte
de los contenidos del habeas data.
ll
2.1.1.1.4 A nivel del sistema regional de proteccin, el derecho al habeas
data o a la autodeterminacin informativa sigue siendo interpretado a
partir del artculo 11 de la Convencin Americana de Derechos
Humanos sobre el derecho a la intimidad. Sin embargo, mediante la
Resolucin AGlRES.l395 (XXVI-O/96), la Asamblea General de la
OEA solicit al Comit Jurdico Interamericano que iniciara un estudio
de los contextos jurdicos de los estados miembros en relacin con dos
temas: acceso a la informacin y a la proteccin de los datos personales.
Este estudio condujo a que el 13 de junio de 2011, la Asamblea General
aprobara una resolucin sobre el acceso a informacin pblica y la
proteccin de datos personales. En este documento, encomend al
Comit Jurdico Interamericano que, antes del cuadragsimo segundo
perodo ordinario de sesiones de la Asamblea General, presente un
documento de principios de privacidad y proteccin de datos personales
en la regin. Adems, desde hace varios aos existe un anteproyecto de
convenClOn americana sobre autodeterminacin informativa, que
reconoce expresamente el derecho al habeas data.
2.1.1.1.5 En el caso colombiano, si bien el artculo 15 de la Constitucin de
1991 reconoci por primera vez y explcitamente el derecho al habeas
11 El Comit afirma: "10. La recopilacin y el registro de informacin personal en computadoras, bancos de
datos y otros dispositivos, tanto por las autoridades pblicas como por las particulares o entidades privadas,
deben estar reglamentados por la ley. Los Estados deben adoptar medidas eficaces para velar por que la
informacin relativa a la vida privada de una persona no caiga en manos de personas no autorizadas por ley
para recibirla, elaborarla y emplearla y por que nunca se la utilice para fines incompatibles con el Pacto.
Para que la proteccin de la vida privada sea lo ms eficaz posible, toda persona debe tener el derecho de
verificar si hay datos personales suyos almacenados en archivos automticos de datos y, en caso afirmativo,
de obtener informacin inteligible sobre cules son esos datos y con qu fin se han almacenado. Asimismo,
toda persona debe poder verificar qu autoridades pblicas o qu particulares u organismos privados
controlan o pueden controlar esos archivos. Si esos archivos contienen datos personales incorrectos o se han
compilado o elaborado en contravencin de las disposiciones legales, toda persona debe tener derecho a pedir
su rectificacin o eliminacin. "
Expediente PE-032
30
data, desde aos atrs ya exista una preocupacin en el Congreso y el
Ejecutivo por proteger los datos personales. Entre las iniciativas en la
materia, vale la pena destacar la Ley 23 de 1981 "Por la cual se dictan
normas en materia de tica mdica", cuyo artculo 34 dispone que la
historia clnica "[eJs un documento privado sometido a reserva que
nicamente puede ser conocido por terceros previa autorizacin del
paciente o en los casos previstos por la Ley", y la Ley 96 de 1985, cuyo
artculo 51 reconoce la naturaleza pblica de los datos sobre nmero de
identificacin personal y lugar y fecha de expedicin, pero otorga
carcter reservado a los archivos que reposan en la Registradura ligados
a la identificacin, como datos biogrficos, filiacin y frmula
dactiloscpica.
2.1.1.1.6 Finalmente, como ya se mencion, el artculo 15 de la
Constitucin de 1991 reconoci explcitamente el "(. ..) derecho a
conocer, actualizar y rectificar las informaciones que se hayan recogido
sobre ellas en bancos de datos y en archivos de entidades pblicas y
privadas" y adems dispuso que "[eJn la recoleccin, tratamiento y
circulacin de datos se respetar la libertad y dems garantas
consagradas en la Constitucin". Estos preceptos ledos en conjunto con
la primera parte del mismo artculo 15 -sobre el derecho a la intimidad,
el artculo 16 --que reconoce el derecho al libre desarrollo de la
personalidad- y el artculo 20 -sobre el derecho a la informacin activo y
pasivo y el derecho a la rectificacin- de la Carta, han dado lugar al
reconocimiento de un derecho fundamental autnomo catalogado como
derecho al habeas data, y en algunas oportunidades, como derecho a la
autodeterminacin informativa o informtica.
2.1.1.1.7 En la jurisprudencia constitucional, el derecho al habeas data fue
primero interpretado como una garanta del derecho a la intimidad, de
all que se hablara de la proteccin de los datos que pertenecen a la vida
privada y familiar, entendida como la esfera individual impenetrable en
la que cada cual puede realizar su proyecto de vida y en la que ni el
Estado ni otros particulares pueden interferir. 12
Desde los primeros aos de la nueva Carta, tambin surgi al interior de
la Corte una segunda lnea interpretativa que consideraba el habeas data
una manifestacin del libre desarrollo de la personalidad. Segn esta
lnea, el habeas data tiene su fundamento ltimo "(. . .) en el mbito de
autodeterminacin y libertad que el ordenamiento jurdico reconoce al
sujeto como condicin indispensable para el libre desarrollo de la
personalidadyen homenaje justiciero a su dignidad"l3.
12 Ver las sentencias T-414 de 1992, M.P. Ciro Angarita Barn; T-161 de 1993, M.P. Antonio Barrera
Carbonell; y C-913 de 2010, M.P. Nilson Pinilla Pinilla.
13 Cfr . sentencia T -340 de 1993, M.P. Carlos Gaviria Daz.
Expediente PE-032
31
A partir de 1995, surge una tercera lnea interpretativa que apunta al
habeas data como un derecho autnomo y que es la que ha prevalecido
desde entonces.
14
As, segn la sentencia SU-082 de 1995
15
, el ncleo
del derecho al habeas data est compuesto por la autodeterminacin
informtica y la libertad -incluida la libertad econmica. Adems, este
derecho comprende al menos las siguientes prerrogativas: "a) El derecho
a conocer las informaciones que a ella se refieren; 11 b) El derecho a
actualizar tales informaciones, es decir, a ponerlas al da, agregndoles
los hechos nuevos; 11 c) El derecho a rectificar las informaciones que no
correspondan a la verdad. ", e incluye el derecho a la caducidad del dato
negativo.
En esta misma direccin, en la sentencia T -176 de 1995
16
, la Corte
indic que el derecho al habeas data es violado cuando se desconoce
alguna de las prerrogativas enunciadas en la sentencia SU-082 de 1995,
es decir, cuando la informacin contenida en el archivo o base de datos
es "(. ..) recogida de manera ilegal, sin el consentimiento del titular del
dato", es errnea o recae "(. . .) sobre aspectos ntimos de la vida de su
titular no susceptibles de ser conocidos pblicamente".
Posteriormente, en la sentencia T -729 de 2002
17
, la Corte explic que es
importante diferenciar y delimitar el habeas data respecto de otros
derechos como el buen nombre y la intimidad, por lo menos por tres
razones: "(. . .) (i) por la posibilidad de obtener su proteccin judicial
por va de tutela de manera independiente; (ii) por la delimitacin de los
contextos materiales que comprenden sus mbitos jurdicos de
proteccin; y (iii) por las particularidades del rgimen jurdico
aplicable y las diferentes reglas para resolver la eventual colisin con el
derecho a la informacin ".18 A continuacin, la Corte defini el derecho
de la siguiente forma:
"El derecho fundamental al habeas data, es aquel que otorga
la facultad
19
al titular de datos personales, de exigir a las
administradoras de datos personales el acceso, inclusin,
14 Ver las sentencia SU-082 de 1995, M.P. Jorge Arango Meja y T-176 de 1995, M.P. Eduardo Cifuentes
Muoz.
15 M.P. Jorge Arango Mejia.
16 M.P. Eduardo Cifuentes Muoz.
17 M.P. Eduardo Montealegre Lynett.
18 Ver tambin la sentencia C-1147 de 2001, M.P. Manuel Jos Cepeda Espinosa.
19 "En este sentido, en sentencia T-414 de 1992, la Corte afirm: "la libertad informtica, consiste ella en la
facultad de disponer de la informacin, de preservar la propia identidad informtica, es decir, de permitir,
controlar o rectificar los datos concernientes a la personalidad del titular de los mismos y que, como tales, lo
identifican e individualizan ante los dems. " As mismo, en sentencia SU-082 de 1995, afirm: "La
autodeterminacin informtica es la facultad de la persona a la cual se refieren los datos, para autorizar su
conservacin, uso y circulacin, de conformidad con las regulaciones legales. " Y en la sentencia T-552 de
1997 afirm: ... el derecho a la autodeterminacin informativa implica, como lo reconoce el artculo 15 de la
Carta Fundamental, la facultad que tienen todas las personas de "conocer, actualizar y rectificar las
informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades pblicas y
privadas '. "
Expediente PE-032
32
exclusin, correccin, adicin, actualizacin, y cert(ficacin de
los datos, as como la limitacin en la posibilidades de
divulgacin, publicacin o cesin de los mismos, conforme a
los principi% que informan el proceso de administracin de
bases de datos personales ".
Ms recientemente, en la sentencia C-1 O11 de 2008
2
, la Corte
nuevamente reconoci la autonoma del derecho al habeas data y lo
conceptualiz as:
"El hbeas data confiere, (.. .), un grupo de facultades al
individuo para que, en ejercicio de la clusula general de
libertad, pueda controlar la informacin que de s mismo ha
sido recopilada por una central de informacin. En ese sentido,
este derecho fundamental est dirigido a preservar los
intereses del titular de la informacin ante el potencial abuso
del poder informtico".
2.1.1.1.8En resumen, como lo muestra el anterior recuento, el reconocimiento del
derecho al habeas data -identificado como un derecho fundamental
autnomo tanto en el plano nacional como intemacional- persigue la
proteccin de los datos personales en un mundo global izado en el que el
poder informtico es creciente. Esta proteccin responde a la
importancia que tales datos revisten para la garanta de otros derechos
como la intimidad, el buen nombre y el libre desarrollo de la
personalidad. Sin embargo, el que exista una estrecha relacin con tales
derechos, no significa que no sea un derecho diferente, en tanto
comprende una serie de garantas diferenciables y cuya proteccin es
directamente rec1amable por medio de la accin de tutela, sin prejuicio
del principio de subsidiariedad que rige la procedencia de la accin.
2.1.1.2 El contenido del derecho al habeas data
De conformidad con la jurisprudencia de esta Corporacin, dentro de las
prerrogativas -contenidos mnimos- que se desprenden de este de este
derecho encontramos por lo menos las siguientes: (i) el derecho de las
personas a conocer -acceso- la informacin que sobre ellas est
recogidas en bases de datos, lo que conlleva el acceso a las bases de
datos donde se encuentra dicha informacin; (ii) el derecho a un incluir
nuevos datos con el fin de se provea una imagen completa del titular;
20 "El fundamento de validez de los llamados principios de la administracin de datos personales, se
encuentra en el segundo inciso del artculo 15 de la Constitucin, el cual constituye en trminos de la Corte,
'el contexto normativo y axiolgico dentro del cual debe moverse, integralmente el proceso informtico' y del
cual derivan 'unas reglas generales que deben ser respetadas para poder afirmar que el proceso de acopio,
uso y difusin de datos personales sea constitucionalmente legtimo', y que a su vez son el resultado 'de la
aplicacin directa de las normas constitucionales al proceso informtico '."
2 1 M.P. Jaime Crdoba Trivio.
Expediente PE-032
33
(iii) el derecho a actualizar la informacin, es decir, a poner al da el
contenido de dichas bases de datos; (iv) el derecho a que la informacin
contenida en bases de datos sea rectificada o corregida, de tal manera
que concuerde con la realidad; (v) el derecho a excluir informacin de
una base de datos, bien por que se est haciendo un uso indebido de ella,
o por simple voluntad del titular -salvo las excepciones previstas en la
normativa.
2.1.1.3 La ley desarrolla algunos contenidos del derecho al habeas data y por
ello deba tramitarse por ley estatutaria
2.1.1.3.1EI artculo 152 de la Constitucin prev una modalidad especial de leyes
con un trmite ms riguroso -especialmente en trminos de mayoras-22
debido al tipo de materias destinadas a regular, estas son: (i) los derechos
y deberes fundamentales, y los procedimientos y recursos para su
proteccin; (ii) la administracin de justicia; (iii) la organizacin y
rgimen de los partidos y movimientos polticos, el estatuto de la
oposicin y las funciones electorales; (iv) las instituciones y mecanismos
de participacin ciudadana; (v) los estados de excepcin; y (vi) la
igualdad electoral entre candidatos a la Presidencia de la Repblica.
Esta corporacin ha defendido la tesis de que la reserva de ley estatutaria
no debe interpretarse de manera restrictiva, en el sentido de que
cualquier regulacin que se ocupe de las materias contempladas por el
artculo 152 constitucional requiere ser expedida por medio de dicho tipo
de ley.23
Adems, la Corte ha sostenido que el tipo de desarrollo y el grado de
detalle de la regulacin que la Constitucin exige al legislador estatutario
depende de la clase de materia. As, para el caso de las funciones
electorales, la Corte han defendido un especie de reserva reforzada,
segn la cual corresponde al legislador estatutario no solamente
establecer los lineamientos bsicos de tales funciones, sino desarrollarlas
con un mayor detalle con una pretensin de exhaustividad y
sistematizacin. Al respecto, esta Corporacin expres lo siguiente en la
sentencia C-226 de 1994
24
:
"Por consiguiente, conforme a los anteriores argumentos,
concluye la Corte Constitucional que a diferencia de lo que
ocurre con los derechos fundamentales, en el caso de las
funciones electorales, la ley estatutaria debe regular no slo
los elementos esenciales de las mismas sino todos aquellos
22 Para su aprobacin se exige mayora absoluta y no simple, adems, la ley debe aprobarse dentro de una sola
legislatura y debe ser objeto de revisin previa por parte de la Corte Constitucional (artculos 153 Y 441-8 de la
Constitucin).
23 Ver sentencia C-319 de 2006, M.P. lvaro Tafur Galvis.
24 M.P. Alejandro Martnez Caballero.
34
Expediente PE-032
aspectos permanentes para el ejercicio adecuado de tales
funciones por los ciudadanos, lo cual incluye asuntos que
podran en apariencia ser considerados potestades menores o
aspectos puramente tcnicos, pero que tienen efectos
determinantes en la dinmica electoral, como la fijacin de las
fechas de elecciones, el establecimiento de los trminos de
cierre de las inscripciones de candidatos o registro de votantes,
la organizacin de las tarjetas electorales o de los sistemas de
escrutinio, etc. Por su propia naturaleza, la ley estatutaria de
funciones electorales es entonces de contenido detallado. Esto
no impide que de manera excepcional ciertas materias
electorales puedan ser reguladas mediante leyes ordinarias.
As, hay disposiciones que corresponden a aspectos puramente
operativos para facilitar la realizacin de una eleccin
concreta y guardan conexidad con el tema electoral sin ser en
s mismas funciones electorales, como la autorizacin de una
apropiacin presupuestal para financiar unas elecciones
determinadas. Tales materias pueden ser reguladas mediante
estatutaria. " (negrilla fuera del texto)
Para la hiptesis de la administracin de justicia, la Corte ha sealado
que son materia de las leyes estatutarias "los elementos estructurales
esenciales de la funcin pblica de justicia ,,25, los cuales han sido
identificados como "los principios que informan la administracin de
justicia, as como los rganos encargados de ejercerla y sus
1
t . compe enclGs genera es
,,26
En relacin con los mecanismos de participacin ciudadana, la Corte
ha sealado que aquellas disposiciones que comprometen el ncleo
esencial del derecho de participacin deben ser tramitadas como
estatutarias. Por consiguiente, "aquel reducto esencial que es
absolutamente necesario para que tal derecho pueda ser ejercido y sea
efectivamente tutelado, debe ser regulado mediante este trmite
especial. En este sentido, las disposiciones que tengan el significado de
introducir lmites, restricciones, excepciones, prohibiciones o
condicionamientos al ejercicio del derecho ,,27, estn sometidas a los
procedimientos especiales.
Respecto de los derechos fundamentales, en concordancia con el
primer criterio explicado, la Corte ha indicado que la reserva de ley
estatuaria no se predica de la regulacin de "todo evento ligado a los
25 Cfr. sentencia C-319 de 2006, M.P. lvaro Tafur Galvis.
26 Cfr. sentencia C-055 de J995, M.P. Alejandro Martnez Caballero. En este mismo sentido, en la sentencia C
037 de 1996, la Corte explic que corresponde a las leyes estatutarias regular "( ... ) la estructura general de la
administracin de justicia y sobre los principios sustanciales y procesales que deben guiar a losjueces en su
funcin de dirimir los diferentes conflictos o asuntos que se someten a su conocimiento"
27 Cfr. sentencia C-580 de 2001, M.P. Clara Ins Vargas Hernndez.
35
Expediente PE-032
derechos fundamentales ,,28 sino "solamente los elementos estructurales
esenciales de los derechos fundamentales ,,29, de modo que las leyes
estatutarias no deben regular en detalle cada variante o cada
manifestacin de dichos derechos o todos aquellos aspectos que tengan
que ver con su ejercicio. En este sentido, la Corte afirm lo siguiente en
la sentencia C-145 de 1994:
"(. . .) la competencia legislativa ordinaria est directamente
habilitada por la Carta para regular derechos fundamentales y
si no se presentara tal evento, la mencionada competencia
ordinaria se transformara en exceptiva, ya que directa o
indirectamente gran parte de las leyes tocan algn o algunos
derechos fundamentales. En materia de derechos fundamentales
debe efectuarse 'una interpretacin restrictiva de la reserva de
ley estatutaria porque una interpretacin extensiva convertira
la excepcin -las leyes estatutarias basadas en mayoras
cualificadas y procedimientos ms rgidos- en regla, en
detrimento del principio de mayora simple que es el
consagrado por la Constitucin '. Esto significa que las leyes
estatutarias estn encargadas de regular nicamente los
elementos estructurales esenciales de los derechos
fundamentales y de los mecanismos para su proteccin, pero
no tienen como objeto regular en detalle cada variante de
manifestacin de los mencionados derechos o todos aquellos
aspectos que tengan que ver con su ejercicio, porque ello
conducira a una petrificacin del ordenamiento jurdico".
(negrilla fuera del texto)
Para definir los elementos estructurales esenciales, la jurisprudencia
constitucional se ha valido de la teora del ncleo esencial. Segn esta
teora, los derechos fundamentales tienen (i) un ncleo o contenido
bsico que no puede ser limitado por las mayoras polticas ni
desconocido en ningn caso, ni siquiera cuando un derecho fundamental
colisiona con otro de la misma naturaleza o con otro principio
constitucional, y (ii) un contenido adyacente objeto de regulacin. Las
preguntas que genera esta teora son: si el ncleo es una garanta
contramayoritaria, a quin compete su delimitacin? y cul es el
reparto de competencias entre la ley estatutaria, la ley ordinaria y el
reglamento respecto del contenido adyacente?
Una respuesta que se dio en los primeros aos de la Corte es que el
ncleo esencial es definido por la Constitucin y corresponde a la ley
estatutaria desarrollar el contenido adyacente ms cercano al
28 Cfr. sentencia c-o 13 de 1993, M.P. Eduardo Cifuentes Muoz.
29 Cfr. sentencia C-226 de 1994, M.P. Alejandro Martnez Caballero. Ver tambin la sentencia C-319 de 2006,
M.P. lvaro Tafur Galvis.
Expediente PE-032
36
ncleo
30
; sin embargo, en esta lnea jurisprudencial no se define cul es
el contenido adyacente ms cercano al ncleo.
3I
Adems, como ha
reconocido la propia Corte, las clusulas constitucionales sobre derechos
fundamentales tienden a ser abstractas y generales, lo que hace dificil
extraer de ellas un contenido mnimo de los derechos.
Una segunda respuesta que se ha expuesto en la jurisprudencia
constitucional es que es competencia del legislador estatutario
desarrollar aspectos importantes del ncleo esencial, con lo que
parece sugerirse que tal ncleo es delineado tanto por el constituyente
como por el legislador estatutario.
32
Algunos de los asuntos importantes
del ncleo esencial que son propios de las leyes estatutarias y que han
sido sealados por la Corte son: (i) la consagracin de lmites,
restricciones, excepciones y prohibiciones de alcance genera33, y (ii) los
principios bsicos que guan su ejercici0
34
. Otro elemento que puede
deducirse a partir de un examen de la estructura de los derechos
fundamentales es la definicin de las prerrogativas bsicas que se
desprenden del derecho para los titulares y que se convierten en
obligaciones para los sujetos pasivos.
La segunda respuesta parece ser la ms coherente con los recientes
desarrollos de la jurisprudencia constitucional, en los que se evidencia la
adopcin de un criterio histrico de construccin de los derechos
fundamentales. Segn este criterio, los derechos fundamentales se
amplan con el paso del tiempo y dependen de lo que en una sociedad
considera fundamental en un momento histrico y a partir del concepto
de dignidad humana.
35
Por tanto, el contenido de los derechos cambia y
30 En la sentencia C-313 de 1994, M.P. Carlos Gaviria Daz, la Corte afirm: "Obsrvese, finalmente, que la
ley estatutaria se refiere, en cada caso, a un derecho determinado y sufin es desarrollar su mbito a partir de
su ncleo esencial definido en la Constitucin ". Luego, en la sentencia C-408 de 1994, M.P. Fabio Morn
Daz, la Corte precisin: "( ... ) cuando de la regulacin de un derecho fundamental se trata, la exigencia de
que se realice mediante una ley estatutaria, debe entenderse limitada a los contenidos ms cercanos al
ncleo esencial de ese derecho, ya que se dejara, segn interpretacin contraria, a la ley ordinaria, regla
general legislativa, sin la posibilidad de existir; toda vez que, se repite, de algn modo, toda la legislacin de
manera ms o menos lejana, se encuentra vinculada con los derechos fundamentales". (negrilla fuera de l
texto) Ver tambin la sentencia C-981 de 2005, M.P. Clara Ins Vargas Hemndez.
3 1 En algunas sentencias no se habla de ncleo esencial sino de contenido mnimo del derecho o de elementos
estructurales esenciales. Ver por ejemplo la sentencia C-646 de 2001, M.P. Manuel Jos Cepeda Espinosa.
32 En este sentido, en la sentencia C-993 de 2004, M.P. Jaime Araujo Rentera, la Corte sostuvo: "Cuando una '
ley regule aspectos principales e importantes del ncleo esencial de un derecho fundamental, en este caso del
habeas data, el proceso de formacin de esta ley debe haber sido el de una ley estatutaria so pena de ser
expulsada del ordenamiento jurdico por vicios de forma. "(negrilla fuera del texto).
33 Ver sentencias C-425 de 1994, M.P. Jos Gregorio Hemndez Galindo, C-247 de 1995, M.P. Jos Gregorio
Hemndez Galindo, C-374 de 1997, M.P. Jos Gregorio Hemndez Galindo, C-251 de 1998, M.P. Jos
Gregorio Hemndez Galindo y M.P. Alejandro Martnez Caballero, C-1338 de 2000, M.P.(E) Cristina Pardo
Schilesinger, C-981 de 2005, M.P. Clara Ins Vargas Hemndez, y C-319 de 2006, M.P. lvaro Tafur Galvis.
34 Ver sentencia C-319 de 2006, M.P. lvaro Tafur Galvis.
35 Esta tesis puede apreciarse en sentencias como la T-227 de 2003, M.P. Eduardo Montealegre Lynett, T-881
de 2002, M.P. Eduardo Montealegre Lynett, y T-760 de 2008, M.P. Manuel Jos Cepeda Espinosa. En la
primer la Corte record que el concepto de dignidad humana evoluciona y, por tanto, tambin los derechos
fundamentales. La Corte asegur: "( ... ) el concepto de dignidad humana que ha recogido la Corte
Constitucional nicamente se explica dentro del sistema axiolgico de la Constitucin yen funci n del mismo
sistema. As las cosas, la elevacin a rango de la 'libertad de eleccin de un plan de vida
37
Expediente PE-032
se expande, para lo cual es importante la labor de actualizacin del
legislador estatutario y del juez constituciona1.
36
Ahora bien, la tesis que se defiende no desvirta la funcin
contramayoritaria del ncleo esencial, pues, de un lado, la labor del
legislador estatutario es definir su contenido en lo no dispuesto
expresamente por el constituyente, lo que significa que no puede
desconocer lo establecido en el texto superior, y de otro, en tanto las
leyes estatutarias tienen control previo de la Corte Constitucional, el juez
constitucional cumple la funcin contramayoritaria de examinar que el
legislador no haya excedido sus competencias en la materia.
Por otra parte, la Sala observa que en varios pronunciamientos la Corte
ha sostenido que las leyes estatutarias, cuando se ocupan de los derechos
fundamentales, deben pretender regularlos de manera integral,
estructural y completa.
37
Para la Sala, esta afirmacin debe ser
interpretada en conjunto con la doctrina antes analizada sobre contenido
material de la ley estatutaria, es decir, con la tesis segn la cul el
concreto en el marco de las condiciones sociales en las que el individuo se desarrolle' y de 'la posibilidad real
y efectiva de gozar de ciertos bienes y de ciertos servicios que le permiten a todo ser humano funcionar en la
sociedad segn sus especiales condiciones y calidades, bajo la lgica de la inclusin y de la posibilidad de
desarrollar un papel activo en la sociedad', definen los contornos de lo que se considera esencial, inherente y,
por lo mismo inalienable para la persona, razn por la cual se traduce en derechos subjetivos (entendidos
como expectativas positivas (prestaciones) o negativas) cuyos contenidos esenciales estn sustrados de las
mayoras transitorias. 11 En este orden de ideas, ser fundamental todo derecho constitucional que
funcionalmente est dirigido a lograr la dignidad humana y sea traducible en un derecho subjetivo. Es decir,
en la medida en que resulte necesario para lograr la libertad de eleccin de un plan de vida concreto y la
posibilidad de funcionar en sociedad y desarrollar un papel activo en ella. Tal necesidad no est determinada
de manera apriorstica, sino que se define a partir de los consensos (dogmtica del derecho constitucional)
existentes sobre la naturaleza funcionalmente necesaria de cierta prestacin o abstencin (traducibilidad en
derecho subjetivo), as como de las circunstancias particulares de cada caso (tpica). As, por ejemplo, en la
actualidad existe consenso en torno a la absoluta necesidad de que los procedimientos judiciales y
administrativos estn fijados normativamente (principio de legalidad) y que prevean la posibilidad de
controvertir pruebas, presentar las propias y de rebatir argumentos y ofrecer los propios (derecho de
defensa), para que la persona pueda ser libre y activa en sociedad; mientras que sern las circunstancias
concretas las que definan si una ciruga esttica nicamente persigue intereses narcisistas o responden a una
necesidad funcional, para que la persona pueda ser activa en sociedad (v. gr. alteraciones funcionales y dolor
que exigen una reduccin de senos). Resulta ejemplarizante la discusin en torno el reconocimiento de
derechos fundamentales a personas jurdicas, en la cual el consenso logrado nicamente se explica por la
necesidad de proteger elementos funcionalmente indispensables para la correcta operacin jurdica de estas
instituciones. 11 Lo anterior, debe precisarse, no implica que en s mismo derechos constitucionales no tengan
carcter fundamental. La existencia de consensos (en principio dogmtica constitucional) en torno a la
naturaleza fundamental de un derecho constitucional implica que prima facie dicho derecho se estima
fundamental en s mismo. Ello se explica por cuanto los consensos se apoyan en una concepcin comn de los
valores fundantes de la sociedad y el sistema jurdico. As, existe un consenso sobre el carcter fundamental
del derecho a la vida, a la libertad y a la igualdad. Los consensos sobre la naturaleza fundamental de estos
derechos claramente se explica por la imperiosa necesidad de proteger tales derechos a fin de que se pueda
calificar de democracia constitucional y de Estado social de derecho el modelo colombiano. No sobra indicar
que, en la actual concepcin de dignidad humana, estos derechos son requisitos sine qua non para predicar el
respeto por dicho valor . ..
36 Esta labor de delimitacin y actualizacin es reconocida en la sentencia T-227 de 2003, en la que la Corte
explic que la definicin de las obligaciones reclamables y que hace que una exigencia de la dignidad humana
se traduzca en derecho subjetivo, es producto de decisiones constitucionales, legislativas e, incluso,
jurisprudencia les. .
37 Ver las sentencias C-646 de 2001, M.P. Manuel Jos Cepeda Espinosa, C-3l9 de 2006, M.P. Alvaro Tafur
Galvis.
Expediente PE-032
38
legislador estatutario, junto con el constituyente, delimitan los elementos
esenciales de los derechos. Por tanto, la pretensin de integralidad y
exhaustividad debe limitarse a los elementos estructurales del derecho,
es decir, en concordancia con lo expresado previamente, (i) a las
prerrogativas bsicas que se derivan del derecho y que se convierten en
obligaciones para los sujetos pasivos, (ii) a los principios que guan su
ejercicio -cuando haya lugar, y (iii) a las excepciones a su rgimen de
proteccin y otras limitaciones de orden generaJ8.
Por ltimo, respecto de los procedimientos y recursos para la
proteccin de los derechos fundamentales, es necesario hacer las
siguientes precisiones:
En primer trmino, tales procedimientos y recursos, si bien son
mencionados en el literal a) del artculo 152 superior junto a los derechos
y deberes fundamentales, constituyen una materia separada, pues no son
elementos de la estructura de los derechos sino una herramienta para
hacerlos efectivos
39
; por tanto, pueden o no ser desarrollados en una
misma ley estatutaria.
En segundo trmino, la jurisprudencia constitucional ha indicado que es
objeto de las leyes estatutarias solamente la regulacin de forma directa
del ejercicio de los derechos.
4o
Por tanto, es competencia del legislador
estatutario nicamente el desarrollo de los procedimientos y
recursos para la proteccin directa de los derechos.
Ahora bien, tales herramientas pueden ser tanto de naturaleza judicial
como administrativa, es decir, el literal a) hace referencia (i) tanto a
acciones o recursos que permiten reclamar la satisfaccin de un derecho
ante un juez y que implican la existencia de un proceso, (ii) como a
mecanismos administrativos tales como rganos de vigilancia y control
y procesos administrativos dirigidos a resolver controversias
relacionadas con la realizacin de los derechos fundamentales.
En relacin con los recursos judiciales, es necesario traer a colacin la
clasificacin empleada en la sentencia C-372 de 2011
41
, segn la cual un
derecho fundamental debe gozar de mecanismos de justiciabilidad
ordinarios y otros reforzados dirigidos a la proteccin directa e inmediata
de los derechos; de estos ltimos debe ocuparse la ley estatutaria.
38 Las limitaciones generales son diferentes a las que surgen en el caso concreto a partir de ejercicios de
ponderacin cuando existe colisin entre derechos o entre derechos y otros principios constitucionales, y que
en consecuencia solamente son aplicables al caso especfico.
39 Ver sentencia C-372 de 2011, M.P. Jorge 19nacio Pretelt Chaljub.
40 Ver sentencia C-981 de 2005, M. P. Clara Ins Vargas Hemndez.
41 M. P. Jorge Ignacio Pretelt Chaljub.
39
Expediente PE-032
2.1.1.3.2 Conforme a estas consideraciones, la Sala observa que efectivamente,
como el ttulo y el artculo 10 lo indican, el proyecto desarrolla los
contenidos mnimos o el ncleo esencial del derecho al habeas data y, en
consecuencia, su aprobacin deba seguir el trmite de las leyes
estatutarias.
El artculo segundo define las excepciones generales a la aplicacin de
las disposiciones del proyecto, salvo los principios -como se desarrollar
ms adelante.
El ttulo segundo consagra los principios rectores, los cuales establecen
las pautas mnimas que deben seguir tanto las autoridades pblicas como
los particulares que se relacionan con el tratamiento de datos personales.
Estos principios limitan el alcance del tratamiento y definen las pautas
para que procedan las reclamaciones de acceso, inclusin, actualizacin,
correccin y exclusin.
El ttulo tercero establece como regla general la prohibicin de
tratamiento de datos sensibles, como modalidad de dato personal
merecedor de especial proteccin, prev excepciones puntuales a tal
prohibicin, y hace nfasis en la proteccin de los datos personales
especialmente los sensibles- de los nios, nias y adolescentes.
El ttulo cuarto desarrolla las facultades bsicas que otorga el habeas data
a los titulares de los datos personales, as como las condiciones de
legalidad para el tratamiento de datos como la autorizacin del titular, el
suministro de la informacin solicitada y sus implicaciones, es decir,
dota de un contenido mayor las prerrogativas mnimas derivadas del
derecho al habeas data.
El ttulo quinto hace referencia a los procedimientos a seguir para las
consultas y reclamos, y define el competente para resolver tales
solicitudes. Este ttulo es complementado por el ttulo sptimo que
regula, mediante tres captulos, los mecanismos de vigilancia, control y
sancin, la autoridad administrativa responsable de la proteccin de
datos y el registro nacional de bases de datos.
El ttulo sexto, que contiene los deberes de los responsables y
encargados del tratamiento, es la contra cara de las facultades
reconocidas para el titular del dato en el ttulo cuarto; en otras palabras,
este ttulo rene -sin ser taxativo- los deberes que el derecho impone a
algunos de los sujetos pasivos. Estos deberes, adems, son
indispensables para la imposicin de las sanciones administrativas a las
que hace referencia el ttulo sptimo, sanciones que a su vez constituyen
un mecanismo adicional de proteccin del habeas data.
Expediente PE-032
40
El ttulo octavo regula la transferencia de datos a terceros pases y
establece algunos requisitos mnimos que deben satisfacerse con el fin de
extender la proteccin a los datos incluso fuera de las fronteras
nacionales.
Finalmente, el ttulo noveno comprende varias materias, entre ellas, (i) la
facultad del gobierno para regular lo concerniente al tratamiento de datos
que requieran de disposiciones especiales; (ii) la expedicin de normas
corporativas vinculantes a cargo del gobierno; (iii) la certificacin de
antecedentes judiciales; (iv) lineamientos de las bases de datos de
inteligencia y contrainteligencia; y (v) el valor probatorio y la reserva de
los informes de inteligencia y contrainteligencia, todos asuntos
relacionados con modalidades especiales de datos personales.
En vista de que el proyecto regula algunos de los contenidos mnimos
del derecho, era necesario -como en efecto lo hizo el Congreso- tramitar
la iniciativa a travs del procedimiento de ley estatutaria.
2.1.2 El modelo de regulacin que introduce el proyecto de ley: modelo de
proteccin hbrido
2.1.2.1 En el derecho comparado existen dos modelos de proteccin de datos
ampliamente reconocidos: un modelo centralizado y un modelo
sectorial.
El primer modelo, implementado en los pases europeos y, con algunas
modificaciones, en la propia Unin Europea, parte de una categora
general de datos personales y de la idea de que cualquier tratamiento de
ellos es considerado per se potencialmente problemtico, razn por la
cual debe sujetarse a unos principios y garantas mnimas comunes,
susceptibles de ser complementadas con regulaciones especiales -segn
el tipo de dato y los intereses involucrados, pero que de ninguna manera
suponen una derogacin de los estndares de proteccin generales.
42
Adems, estos estndares generales, as como los especiales, son
aplicables tanto al sector pblico como al privado.
As, nivel de la Unin, (i) se prevn una serie de principios generales de
obligatorio cumplimiento en todos los estados y aplicables a todo dato
personal -salvo las excepciones sealadas expresamente, (ii) as como
garantas para los interesados, como la notificacin previa frente a la
recoleccin y tratamiento de datos personales y el derecho a acceder y a
oponerse al recaudo y circulacin. Tales reglas garantizan niveles
42 Ver Bignami, Francesca. "European versus American Liberty: A Comparative Privacy Analysis of
Antiterrorism Data Mining". Bastan Callege Law Review, 2007. P. 609.
La implementacin en la hoy Unin Europea de un modelo centralizado con estndares comunes de proteccin
persigue facilitar el flujo transfronterizo de datos, indispensable en mbitos como la banca y los seguros,
mediante la fijacin de estndares adecuados de proteccin de datos.
41
Expediente PE-032
adecuados de proteccin, lo que a su vez facilita el flujo transfronterizo
de datos.
Tambin es propio de este modelo la existencia de una entidad central,
autnoma e independiente, que supervisa la instrumentacin,
cumplimiento normativo y ejecucin de los estndares de proteccin
generales, y que est facultada para autorizar o prohibir las transferencias
de datos internacionales atendiendo a la equivalencia de la proteccin
que ofrece el pas de destino43. Esta entidad se especializa en la
proteccin de datos personales, lo que le permite generar memoria y
producir conocimiento que son reempleados en el diseo de polticas
pblicas en la materia.
44
Esto no impide la existencia de entes
especializados para mbitos que reqUIeren una regulacin
comp 1 ementaria.
En contraste, el modelo sectorial no parte de una categora comn de
datos personales y por ello no se considera que todos estos datos deban
estar sometidos a la misma regulacin mnima.
45
Es por ello que bajo
este modelo se adoptan regulaciones especiales y diferentes para cada
tipo de dato personal, dependiendo de su relacin con la intimidad -o
privacidad como se denomina en el sistema anglosajn- y con la
proteccin de intereses superiores -como la seguridad y la defensa
nacional, es decir, la regulacin sectorial se basa en una especie de
ponderacin de intereses que da lugar a reglas diferenciadas segn el tipo
de dato y que otorga ms o menos poderes de intervencin a las
autoridades. La verificacin del cumplimiento de las reglas tambin es
asignada a autoridades sectoriales, las cuales son dotadas de distintos
poderes de vigilancia y control, segn el nivel de intervencin previsto
por el legislador.
Este modelo tambin se inspira en la idea de la autorregulacin
46
de los
mercados, razn por la cual el Estado solamente participa en la
13 En aquellas circunstancias en la que no existe una ley de proteccin similar, se puede acudir a otro tipo de
herramientas como los principios privados de puerto seguro (Safe Harbar Privacy Principies).
Antiterrorism Data Mining". Bastan College Law Review, 2007. P. 609.
Antiterrorism Data Mining". Bastan College Law Review, 2007. P. 609.
46 Segn la Red Iberoamericana de Proteccin de Datos, en el contexto de la proteccin de datos personales, la
autorregulacin hace referencia a "(. . .) las reglas adoptadas por las entidades para definir sus polticas y
compromisos relativos al tratamiento de los datos personales.". Ver Red Iberoamericana de Proteccin de
Datos. Autorregulacin y Proteccin de Datos Personales. Documento Elaborado por el Grupo de Trabajo
reunido en Santa Cruz de la Sierra - Bolivia. Los das 3 a 5 de mayo de 2006. En sentido similar, la Comisin
Europea se ha referido a la autorregulacin como "el conjunto de normas que se aplican a una pluralidad de
responsables del tratamiento que pertenezcan a la misma actividad profesional o al mismo sector industrial,
cuyo contenido haya sido determinado fimdamentalmente por miembros del sector industrial o profesin en
cuestin". Ver Comisin Europea. Grupo de Trabajo sobre la proteccin de las personas fsicas en lo que
respecta al tratamiento de datos personales. Documento de trabajo DG XV 0/5057/97: Evaluacin de la
autorregulacin industrial: En qu casos realiza una contribucin significativa al nivel de proteccin de datos
de un pas tercero? Adoptado el 14 de enero de 1998.
Expediente PE-032
42
proteccin de ciertos datos en mbitos en los que se presenta un alto
riesgo de lesin de la intimidad, como la esfera financiera, la salud y los
derechos de los nios.
As, en Estados Unidos, aunque existe una ley federal de proteccin
general de datos personales -Privacy Act de 1974
47
, la regulacin de los
datos personales es regida principalmente por leyes sectoriales como la
Electronic Communications Privacy Act (1986), que se relaciona con la
proteccin de datos personales en comunicaciones electrnicas; la Cable
Communications Policy Act (1994), que regula la proteccin de datos
personales en archivos de televisin por cable; la Fair Credit Reporting
Act -modificada de manera reiterada entre 1996 y 2001, que se refiere a
los informes crediticios; la Bank Secrecy Act (1994), relativa a los
registros bancarios; la Telephone Consumer Privacy Act (1994), sobre
registros telefnicos; la Drivers Privacy Protection Act (1994),
relacionada con la proteccin de los archivos de los permisos para
conducir; la Health Insurance Portability and Accountability Act (1996),
que regula la transferencia de seguros mdicos; y la Children 's Online
Privacy Protection Act (1998), sobre el control parental de los nios en
. 'd d 1 48
sus achVl a es en ntemet.
2.1.2.2 En el caso colombiano, el proyecto de ley que dio lugar a la Ley 1266 de
2008 buscaba convertirse en una ley de principios generales aplicable a
todas las categoras de datos personales. Sin embargo, como observ esta
Corporacin en la sentencia C-l O11 de 2008
49
, pese a su pretensin de
generalidad, el proyecto de ley en realidad solamente estableca
estndares bsicos de proteccin para el dato financiero y comercial
destinado a calcular el nivel de riesgo crediticio de las personas. Por ello
en la referida sentencia, la Corte dej claro que la materia de lo que
luego se convertira en la Ley 1266 es solamente el dato financiero y
comercia1.
50
Por tanto, la Ley 1266 solamente puede ser considerada una
regulacin sectorial del habeas data.
47 La implementacin de esta ley ha sido limitada por su naruraleza federal y por la carencia de mecanismos
para hacerla cumplir. Por ejemplo, la violacin de algn mandato de esta ley solamente puede alegado ante las
cortes en un proceso de responsabilidad con una finalidad indemnizatoria. Estos procesos, adems, pocas veces
dan lugar a decisiones a favor del titular del dato, debido a que es muy difcil el recaudo de la evidencia
especialmente en materias como defensa e inteligencia. Otras dificultad est relacionada con el mbito de
aplicacin de la ley, pues su articulado menciona solamente "sistemas de archivos ", lo que ha dado lugar a
debates sobre si rige tambin "bases de datos". Finalmente, cabe mencionar que esta ley solamente es exigible
a las autoridades federales, no a los particulares que llevan a cabo tratamiento de datos personales, y que para
que se pueda declarar al responsabilidad de una autoridad es preciso probar su intencin o voluntad de infringir
la ley. Ver Bignami, Francesca. "European versus American Liberty: A Comparative Privacy Analysis of
Antiterrorism Data Mining". Bostan College Law Review, 2007. P. 609.
48 Ver Gregorio, Carlos G. "Proteccin de Datos Personales: Europa Vs. Estados Unidos, todo un dilema para
Amrica Latina" en Transparentar al Estado: la Experiencia Mexicana de Acceso a la lnformacin
c
Universidad Autnoma de Mxico, 2004.
49 M.P. Jaime Crdoba Trivio.
50 La Corte expres lo siguiente: "(. . .) concurren varios argumentos para concluir que el proyecto de ley
estatutaria objeto de examen constituye una regulacin parcial del derecho fundamental al hbeas data,
concentrada en las reglas para la administracin de datos personales de carcter financiero destinados al
clculo del riesgo crediticio, razn por la cual no puede considerarse como un rgimen jurdico que regule, en
43
Expediente PE-032
Este nuevo proyecto de ley busca llenar el vaco de estndares mnimos
de proteccin de todos los datos personales -anunciado por la Corte
Constitucional en la sentencia C-l O11 de 2008
51
, de ah que su ttulo sea
precisamente "Por el cual se dictan disposiciones generales para la
proteccin de datos personales". Esa intencin tambin fue anunciada
por el gobierno en la exposicin de motivos, en la que afirm: "(. ..) es
necesario que el pas cuente con una legislacin integral y transversal
que garantice la proteccin efectiva de los datos personales en todo el
proceso de tratamiento". Como se ver ms adelante, pese a varias
deficiencias que presenta el proyecto, puede concluirse que
efectivamente introduce principios y reglas generales destinadas a
garantizar algunos contenidos mnimos del derecho al habeas data,
entendido de la forma como se expuso previamente.
En consecuencia, con la introduccin de esta reglamentacin general y
mnima aplicable en mayor o menor medida a todos los datos personales,
el legislador ha dado paso a un sistema hbrido de proteccin en el que
confluye una ley de principios generales con otras regulaciones
sectoriales, que deben leerse en concordancia con la ley general, pero
que introduce reglas especficas que atienden a la complejidad del
tratamiento de cada tipo de dato.
En este contexto es que debe entenderse, por ejemplo, el artculo 2, el
cual establece una serie de mbitos exceptuados de la aplicacin de las
disposiciones del proyecto, salvo en materia de principios. Tales mbitos
deben ser regulados de manera especfica por el legislador a travs de
una ley sectorial en la que se introduzcan principios complementarios,
as como otras reglas particulares dependiendo del tipo de dato, como ya
ocurri con los datos financieros y comerciales destinados a calcular el
riesgo crediticio. Esta es la razn por la cual en el pargrafo del artculo
2 se indica expresamente "[e]n el evento que la normatividad especial
que regule las bases de datos exceptuadas prevea principios que tengan
en consideracin la naturaleza especial de datos, los mismos aplicarn
de manera concurrente a los previstos en la presente ley. "
Entendido el modelo de proteccin al que da lugar este nuevo proyecto
de ley, ledo en conjunto con la Ley 1266, pasa la Sala a estudiar la
constitucionalidad del articulado.
su integridad, el derecho al hbeas data, comprendido como la facultad que tienen todas las personas a
conocer, actualizar y rectificar las informaciones que se hayan recogido sobre el/as en archivos y bancos de
datos de naturaleza pblica o privada. Para sustentar esta conclusin existen argumentos de carcter
sistemtico, teleolgico e histrico ".
5\ M.P. Jaime Crdoba Trivio.
44
Expediente PE-032
2.2 EXMEN DEL PROCEDIMIENTO LEGISLATIVO
2.2.1 Intervenciones ciudadanas y concepto del Ministerio Pblico
2.2.1.1 La Secretara Jurdica de la Presidencia manifiesta que en
cumplimiento de lo dispuesto en el artculo 153 de la Constitucin
Poltica, el proyecto de ley Estatutaria objeto de revisin se aprob
dentro de una sola legislatura y por la mayora absoluta de los miembros
de una y otra cmara. As mismo, se cumplieron los requisitos generales
enunciados en el artculo 157 de la Constitucin para que un proyecto
pueda convertirse en Ley de la Republica.
Afirma que el Proyecto de Ley fue presentado el 3 de agosto de 2010 por
los seores Ministros de Interior y de Justicia, Dr. Fabio Valencia
Cossio; de Comercio, Industria y Turismo, Dr. Luis Guillermo Plata
Pez y de Tecnologas de la Informacin y las Comunicaciones, Dr.
Daniel Enrique Medina Velandia, ante la Secretaria General de la
Cmara de Representantes y le cOlTespondi en ese momento el No. 046
de 2010 de Cmara.
Este proyecto de Ley Estatutaria, con la correspondiente exposicin de
motivos, fue publicado el 4 de agosto en la gaceta del Congreso No. 488
de 2010, dando cumplimiento al requisito constitucional consistente en
la publicacin oficial del proyecto por el Congreso antes de darle curso
en la Comisin respectiva (CP Art.157-1).
De conformidad con lo establecido en el numeral 2 del artculo 157 de
la Constitucin Poltica, este proyecto fue aprobado en primer debate en
la correspondiente Comisin Permanente de cada cmara, inicialmente
por la Comisin Primera de la Cmara el 14 de Septiembre de 2010,
segn consta en Acta No. 12 de la misma fecha, publicada en la Gaceta
958 de 2010. En esta oportunidad, tanto el informe de ponencia como el
articulado fueron votados afirmativamente por 29 de los 35 Honorables
Representantes que componen esta comisin, por lo que el articulado fue
aprobado con la mayora necesaria.
Posteriormente, fue aprobada por la Comisin Primera del Senado el 6
de diciembre de 2010, tal como consta en Acta No. 33 de esa fecha,
publicada en la Gaceta 39 de 2011. En esta oportunidad, el proyecto fue
votado en bloque con un total de 13 votos afirmativos de un total de 19
miembros que componen esta Comisin.
De igual manera, en cumplimiento del numeral 3 del mismo artculo. 157
de la Carta Poltica, el Proyecto de Ley Estatutaria fue aprobado por las
plenarias de cada cmara, inicialmente en la Cmara de Representantes
el 19 de octubre de 2010, como consta en Acta No. 24, publicada en la
45
Expediente PE-032
Gaceta 868 de 2010. En este debate fue aprobado el informe de ponencia
con una mayora de 89 Representantes. Se abri una nueva votacin
sobre artculos varios, obtenindose una mayora de 104 Representantes.
Ningn parlamentario vot negativamente, ni se excus o abstuvo de
votar. Finalmente, se abri el registro para votaciones y se formul la
pregunta sobre si se quera que el proyecto se convirtiera en Ley de la
Republica a lo cual respondieron afirmativamente 102 Representantes.
Ninguno vot negativamente, ninguno se excus o se abstuvo de votar.
Posteriormente, en el Senado de la Republica el 15 de diciembre de
2010, segn consta en el Acta No. 34, publicada en la Gaceta No. 80 de
2011, fue aprobado el proyecto de ley, con el siguiente procedimiento. El
informe de ponencia fue aprobado afirmativamente por 60 Senadores. A
rengln seguido, la presidencia someti a consideracin de la plenaria el
articulado en bloque del proyecto siendo aprobado por 56 senadores y
votado negativamente por un senador. La omisin de la lectura del
articulado, el articulado en bloque, el ttulo y que sea ley de la
Republica, el proyecto de ley nmero 184 de 2010 Senado, 046 de 2010
Cmara.
As mismo, el proyecto de ley Estatutaria fue aprobado por la mayora
absoluta requerida por la Constitucin en su artculo 153, este
procedimiento se puede verificar en las Actas de plenaria tanto de
Cmara como de Senado referenciadas as:
Dentro de la plenaria de la Cmara de Representantes el da 19 de
octubre de 2010 un primer bloque de artculos fue aprobado por 97 de
166 miembros que componen la Cmara, dentro de la misma sesin, lo
que restaba del articulado fue aprobado por 106 Representantes, en
cuanto a la pregunta de si quieren que el proyecto sea ley fue aprobado
por 113 miembros de la Cmara.
En la sesin del Senado de la Republica el proyecto de ley estatutaria se
aprob por la mayora reglamentaria con un total de 60 votos de 102
senadores, la omisin de la lectura del articulado, el articulado en
bloque, el ttulo y que sea Ley de la Republica, fue aprobado por 56
senadores.
Concluye sosteniendo que los requisitos constitucionales para el trmite
de las leyes estatutarias se cumplieron a cabalidad, dando por entendido
que no se advierte vicio de forma que conlleve a la inconstitucionalidad
del proyecto de ley, por la cual se dictan disposiciones generales para la
proteccin de datos personales. Igualmente, destaca que de conformidad
con el artculo 158 de la Constitucin poltica, el proyecto cumple con el
propsito de unidad y coherencia en la materia del derecho al "habeas
data ".
46
Expediente PE-032
2.2.1.2. El Ministerio de Comercio, Industria y Turismo sostiene que la
Constitucin Poltica no impone al legislador estatutario el deber de
regular de manera integral la materia sujeta a dicha reserva, pues
conforme con las reglas sentadas por la Corte Constitucional en dicha
materia, "si sobre una materia sujeta a ley estatutaria se dicta una
regulacin integral, ello slo puede hacerse a travs de una ley
estatutaria, independientemente de que en esa regulacin, se incorporen
disposiciones que podran haberse abordado a travs de una ley
ordinaria". Igualmente, se refiere a una segunda regla en este sentido,
segn la cual "la regulacin de elementos que pertenecen o
comprometen el ncleo esencial de un derecho o materia sujeta a la ley
estatutaria, nicamente puede contenerse en una ley de ese tipo,
independientemente de que la regulacin sea o no integral. "
2.2.1.3. ASOBANCARIA advierte que el pargrafo del artculo 2 es
inconstitucional por vicios de forma, ya que viola el principio de
consecutividad. Lo anterior, por cuanto al efectuar una revisin de las
sucesivas transformaciones que recibi el artculo 2 del proyecto de Ley
a lo largo del trmite legislativo y al realizar un recuento de la
jurisprudencia constitucional relacionada con dicho principio, se
encuentra que la inclusin del pargrafo 2 constituye un artculo nuevo,
dado que la integridad de su contenido no fue previamente debatido y
mucho menos, aprobado en instancias anteriores. AS, por ejemplo, la
previsin segn la cual "Los principios sobre proteccin de datos sern
aplicables a todas las bases de datos, incluidas las exceptuadas en el
presente artculo, con los lmites dispuestos en la presente ley y sin reir
con los datos que tienen caractersticas de estar amparadas por la
reserva legal" no fue una constante en el Congreso; al igual que tampoco
lo fue el hecho de que "En el evento que la normatividad especial que
regule las bases de datos exceptuadas prevea principios que tengan en
consideracin la naturaleza especial de datos, los mismos aplicarn de
manera concurrente a los previstos en la presente ley". Por el contrario,
en las diferentes etapas del trmite de la discusin del proyecto se abog
por la aplicacin de las disposiciones especiales, como la Ley 1266 de
2008, en aquellos eventos donde fuere aplicable, con el fin de evitar
traumatismos hermenuticos y as garantizar la especificidad de las
regulaciones legislativas previstas para situaciones particulares.
2.2.1.4. La ciudadana Mara Lorena Flrez Rojas resalta que el principio de
consecutividad establecido como la obligacin a que todo proyecto, para
convertirse en ley, deba ser aprobado en primer debate en la
correspondiente comisin permanente de cada cmara y en segundo por
la plenaria tanto del Senado como de la Cmara de Representantes no
puede ser violentado para introducir nuevos textos que no guardan
relacin alguna con el proyecto discutido. De esta manera, hace alusin a
47
Expediente PE-032
lo sealado por la Corte Constitucional en el entendido que "no basta
con establecer que un determinado texto aprobado en plenaria es nuevo
respecto de lo aprobado en la comisin, puesto que ello puede responder
a una modificacin o adicin producida en los trminos de las normas
superiores citadas. Es necesario adems, para que el cargo de
in constitucionalidad pueda prosperar, que se acredite, que tal novedad
no guarda relacin de conexidad con lo aprobado en el primer debate o
que es contraria a lo all decidido".
En este sentido, afirma que en la introduccin del artculo 29 del
proyecto referente al antecedente judicial no se cumpli con el requisito
de consecutividad, pues el tema incluido en dicho artculo no fue
debatido por ambas cmaras, por lo menos en segundo debate. En suma,
seala que "Dentro de la ponencia de segundo debate en Cmara
(Gaceta Judicial 706 de 2010), no se evidencia la discusin referente al
antecedente judicial y la eliminacin de los antecedentes penales, es
decir, que el tema fue incluido por el Senado sin que se surtiera el
trmite legislativo completo lo que indica la inconstitucionalidad del
artculo en mencin. Adems, segn el artculo 178 de la Ley 5 de 1992,
las modificaciones, adiciones o supresiones se pueden introducir en el
segundo debate siempre y cuando el tema haya sido debatido en primer
debate, cosa que en este caso se present (sic). Si se analiza la Gaceta
Judicial 625 de 2010, ponencia para primer debate en Cmara, el tema
no es debatido ni analizado por esta cmara (sic)".
Por lo tanto, el texto del artculo 29 introducido por el Senado no se
ajusta al principio de consecutividad ya que altera la esencia del proyecto
por no guardar identidad con el tema discutido en primer debate y en
comisiones, adems por no guardar identidad con el tema discutido,
tampoco es conexo como el tema inicial del proyecto, pues la
eliminacin de los antecedentes penales dentro del certificado judicial no
guarda relacin con el objeto de la ley que es el de desarrollar el derecho
constitucional que tienen todas las personas a conocer, actualizar y
rectificar las informaciones que sobre ellas figuren en bases de datos o
archivos.
2.2.1.5. Por su parte, la ciudadana Juanita Duran Vlez resalta que el
Proyecto de Ley no cumple con la integralidad que exige la Constitucin
para leyes estatutarias, y de esta manera, vulnera el principio de ley
estatutaria.
2.2.1.6. El Procurador General de la Nacin sostiene que el proyecto
cumple con lo previsto en el artculo 160 de la Constitucin, pues (i)
entre la aprobacin en primer y en segundo debate en cada una de las
cmaras transcurri un tiempo no inferior a ocho das, y (ii) entre la
48
Expediente PE-032
aprobacin surtida en una cmara y el inicio del debate en la otra hubo
un lapso no inferior a los quince das.
En el caso particular: (i) la Comisin Primera de la Cmara aprob el
proyecto el 14 de septiembre de 2010 y la plenaria emiti su aprobacin
el 19 de octubre de 2010; la Comisin Primera del Senado aprob el
proyecto el 6 de diciembre de 2010 y de la misma forma procedi la
plenaria el 15 de diciembre de 2010. (ii) El proyecto fue aprobado por la
Cmara de Representantes el 19 de octubre de 2010 Y su debate en el
Senado inici el 6 de diciembre de 2010.
De otra parte, afirma que el proyecto cumpli con lo establecido en el
artculo 153 de la Constitucin que exige la mayora absoluta de los
miembros del Congreso para aprobar proyectos de leyes estatutarias
como tambin que su trmite debe efectuarse dentro de una sola
legislatura. En el caso especfico, se radic el proyecto de ley el 3 de
agosto de 2010 Y su trmite culmin el 16 de diciembre de 2010, lo que
evidencia que su trmite se surti dentro de la legislatura que inici el 20
de julio de ese mismo ao y que culmina el 20 de junio de 2011.
2.2.2. La especialidad del trmite aprobatorio de las leyes estatutarias
(artculos 152 y 153 Superiores)
2.2.2.1. Por cuanto se trata del estudio de un proyecto de ley estatutaria, es
necesario que la Corte verifique el cumplimiento de los rigurosos
requisitos establecidos en la Constitucin para la aprobacin de este tipo
de leyes de especial jerarqua. Sea lo primero sealar que el particular
trmite dispuesto por el artculo 153 Superior para las leyes estatutarias
tiene como fin esencial salvaguardar la entidad de las materias que
regula, estas son, los derechos y deberes fundamentales, as como los
procedimientos y recursos para su proteccin; la administracin de
justicia; la organizacin y rgimen de los partidos y movimientos
polticos, el estatuto de la oposicin y las funciones electorales; las
instituciones y mecanismos de participacin ciudadana; los estados de
excepcin, y la igualdad electoral entre candidatos a la Presidencia de la
Repblica (artculo 152).
Como se observa, se trata de materias que comportan una importancia
cardinal para el desarrollo de los artculos 1 y 2 de la Carta, pues su
regulacin especial garantiza la vigencia de principios bsicos
constitucionales y propende por la consecucin de los fines esenciales
del Estado. De modo que imprimirle rigurosidad a la aprobacin de la
regulacin de dichas materias y, adems, mayor jerarqua a las leyes que
las consagren, son medios idneos para lograr la efectividad de los
derechos constitucionales, la salvaguarda de un orden justo, as como la
existencia de un sistema democrtico y participativo.
49
Expediente PE-032
As las cosas, el constituyente decidi crear una categora especial de
leyes que, en ese orden, requieren atributos formales ms estrictos para
ser aprobadas que los fijados para las leyes ordinarias, as como un
control constitucional previo, automtico e integral, todo con el objetivo
de otorgarles mayor estabilidad y especial jerarqua en virtud de la
trascendencia de las materias que regula. Bajo tal entendido, la
jurisprudencia constitucional, desde sus inicios, ha establecido:
"La Constitucin Poltica de 1991 introdujo la modalidad de
las leyes estatutarias para regular algunas materias respecto
de las cuales quiso el Constituyente dar cabida al
establecimiento de conjuntos normativos armonlcos e
integrales. caracterizados por una mayor estabilidad que la de
las leyes ordinarias. por un nivel superior respecto de stas.
por una ms exigente tramitacin y por la certeza inicial V
plena acerca de su constitucionalidad.
La propia Carta ha diferenciado esta clase de leyes no
solamente por los especiales asuntos de los cuales se ocupan y
por su jerarqua, sino por el trmite agravado que su
aprobacin, modificacin o derogacin demandan ,,52
2.2.2.2. Cualquier proyecto para convertirse en ley (Constitucin, artculos
157 y 158) debe cumplir con los siguientes requisitos:
(i) Ser publicado oficialmente por el Congreso antes de darle curso en la
comisin respectiva;
(ii) Surtir los correspondientes debates en las comisiones y plenarias de las
Cmaras, luego de que se hayan efectuado las ponencias respectivas y
respetando los qurum previstos por los artculos 145 y 146 de la
Constitucin;
(iii) Realizar los anuncios del proyecto de ley previo a la discusin y
votacin en cada una de las comisiones y plenarias (artculo 160
Constitucin Poltica). Debe anotarse que el artculo 9 del Acto
Legislativo 1 de 2003 (Constitucin Poltica, artculo. 161) dispuso que
esta exigencia tambin se aplica a los debates sobre los informes de las
comisiones de conciliacin, los cuales debern ser publicados por lo
menos un da antes de darse su discusin y aprobacin;
(iv) Respetar los trminos para los debates previstos por el artculo 160, ocho
das entre el primer y segundo debate en cada Cmara, y quince das
52 Cfr. Corte Constitucional. Sentencia C-42S del 29 de septiembre de 1994
Expediente PE-032
50
entre la aprobacin del proyecto en una de las Cmaras y la iniciacin
del debate en la otra;
(v) Respetar los principios de unidad de materia, de identidad y
consecutividad (Constitucin Poltica, artculos 158, 157, 160 y 16); y
(vi) Haber obtenido la sancin gubernamental. Como es obvio, en el caso de
las leyes estatutarias, dicha sancin se surte despus de que la Corte
Constitucional haya efectuado la revisin previa y oficiosa de
constitucionalidad y declarado, en consecuencia, que las disposiciones
del proyecto se ajustan a la Carta
S3

Adems de lo anterior, por tratarse de un proyecto de ley estatutaria
(Constitucin Poltica artculo 153), es necesario que el proyecto: (i)
haya sido aprobado por mayora absoluta y (ii) haya sido tramitado en
una sola legislatura.
Al respecto, conviene aclarar que conforme a reiterada jurisprudencia de
esta Corte, la Constitucin ordena que dentro de la legislatura el
proyecto haga trnsito en el Congreso, esto es, que sea modificado y
aprobado por las Cmaras en ese lapso, pero la revisin constitucional
por la Corte y la sancin presidencial pueden ocurrir por fuera de la
legislatura
54
. Y es que como se explic en la sentencia C-O 11 de 1994, si
el trmite que debe ser surtido en una sola legislatura incluyese la
revisin por la Corte, o las objeciones y sancin presidenciales, sera
prcticamente imposible aprobar, modificar o derogar leyes estatutarias,
o stas tendran que ser tramitadas en el Congreso con excesiva
celeridad, sin una adecuada discusin democrtica, e incluso con
improvisacin.
2.2.2.3. Ahora bien, dado que en la sentencia C-702 de 2010
55
, la Corte
Constitucional precis que la consulta previa a las comunidades tnicas
que puedan resultar afectadas directamente por cualquier medida
legislativa, constituye un requisito de procedimiento que debe surtirse
antes del trmite legislativo respectivo, la Sala estudiar en esta instancia
si en esta ocasin deba surtirse ese proceso consultivo.
Debe sealarse que la consulta previa solamente es necesaria en el caso
de decisiones que conciernen directamente a una o varias comunidades
tnicas. Sobre este punto la Corte afirm lo siguiente en la sentencia C
030 de 2008
56
:
53 Ver, entre otras, las sentencias C-371 de 2000, M.P. Carlos Gaviria Daz; y C-292 de 2003, M.P. Eduardo
Montealegre Lynett.
54 Ver, entre muchas otras, sentencias C-O 11 de 1994, C-179 de 1994, C-180 de 1994,.C-037 de 1996 y C-371
de 2000.
55 M.P. Jorge Ignacio Pretelt Chaljub.
56 M.P. Rodrigo Escobar Gil.
51
Expediente PE-032
"(. . .) cabe distinguir dos niveles de afectacin de los pueblos
indgenas y tribales: el que corresponde a las polticas y
programas que de alguna manera les conciernan, evento en el
que debe hacerse efectivo un derecho general de participacin,
y el que corresponde a las medidas administrativas o
legislativas que sean susceptibles de afectarlos directamente,
caso para el cual se ha previsto un deber de consulta. "
En el caso bajo estudio, un examen del contenido del proyecto de ley
pennite concluir que las medidas que mediante l se pretenden adoptar
no conciernen directamente a ninguna comunidad tnica asentada en el
territorio nacional, de modo que la consulta previa no era un requisito
previo. En efecto, el proyecto solamente establece un rgimen general
para la proteccin de datos en Colombia y no define un tratamiento
especfico directamente destinado a comunidades tnicas, lo que impide
establecer qu grupos tnicos o en qu medida se hallaran dentro del
mbito de influencia de los mandatos del proyecto.
La definicin de disposiciones especiales -donde podra entrar la
regulacin de datos de comunidades tnicas- quedara en manos del
gobierno nacional en caso de declararse exequible el artculo 27 del
proyecto. De modo que es en el momento en que se cree dicha
regulacin, cuando surgira el requisito de consulta previa.
En conclusin, dado que en el presente caso el proyecto en examen no
afecta de manera directa comunidades tnicas colombianas, sino que se
trata de una legislacin destinada a la sociedad en general, no era
necesario realizar procesos de consulta antes de dar inicio al trmite
legislativo.
A continuacin la Corte examinar el trmite de aprobacin del proyecto
de ley bajo revisin en el Congreso, para as verificar si atendi los
requisitos del trmite legislativo antes mencionados.
2.2.3. Radicacin y publicacin del proyecto de ley
El proyecto de ley estatutaria "por la cual se dictan disposiciones
generales para la proteccin de datos personales ", fue presentado ante
el Congreso de la Repblica el 3 de agosto de 2010, por el entonces
Ministro del Interior y de Justicia, Fabio Valencia Cossio; el Ministro de
Comercio, Industria y Turismo, Luis Guillenno Plata Pez; y el Ministro
de Tecnologas de la Infonnacin y las Comunicaciones, Daniel Enrique
Medina Velandia. El proyecto de ley se radic con los nmeros 046 de
2010 Cmara, 184 de 2010 Senado.
52
Expediente PE-032
El texto del proyecto, junto con la exposicin de motivos, fue publicado
en la Gaceta del Congreso No. 488 del 4 de agosto de 2010
57
. El
trmite inici ante la Cmara de Representantes y, en razn a que se trata
de una norma estatutaria, fue repartido a la Comisin Primera
Constitucional permanente de esa clula legislativa.
2.2.4. Trmite en la Cmara de Representantes
2.2.4.1. Publicacin de la ponencia para primer debate
La ponencia para primer debate en la Comisin Primera de la Cmara de
Representantes, en la que se solicit aprobar la iniciativa con
modificaciones, fue presentada por los Representantes Alfredo Deluque
Zuleta, scar Fernando Bravo Realpe, Orlando Velandia Seplveda,
Germn Varn Cotrino, Efran Torres Monsalve. El informe de ponencia
para primer debate fue publicado en la Gaceta del Congreso 625 del 9
de septiembre de 2010
58

El pliego de modificaciones propuesto por los Representantes ponentes
al texto del proyecto de ley presentado por el Gobiern0
59
, consisti en lo
siguiente:
"PLIEGO MODIFICATORiO
Modificaciones al texto publicado en la Gaceta nmero 488 del
4 de agosto de 2010
1. Se elimina el pargrafo primero del artculo 2 y se unifica
con el pargrafo 20.
Existe una contradiccin entre los dos pargrafos de este
artculo que se puede prestar para interpretaciones equvocas.
El mbito de aplicacin excluye directamente a los datos
financieros que ya se encuentran regulados por la Ley 1266 de
2008. Como consecuencia de esta situacin, los datos de
carcter financiero se reglran bajo las disposiciones
contempladas exclusivamente en la Ley 1266 de 2008.
2. Se introduce en el artculo 3 Definiciones el literal h)
Autoridad de Control: Entindase por Autoridad de Control
para los efectos de esta ley a la Superintendencia de Industria
y Comercio
57 Ver folios 492 a 501 del cuaderno de pruebas No. 2 (pginas 3 a 12 de la Gaceta)
58 Ver folios 424 a 443 del cuaderno de pruebas No. 2
59 Ver folios 437 y 438 del cuaderno de pruebas No. 2 (pginas 14 y 14 de la Gaceta No. 625 de 2010)
53
Expediente PE-OJ2
A lo largo del proyecto de ley se habla y se le asignan
funciones a la Autoridad de Control de datos personales, y slo
hasta el artculo 19 se define esta. Para mayor comprensin de
los Responsables, Encargados y Titulares de la informacin, se
incorpora la definicin en el artculo respectivo.
3. Introducir en el artculo 7, derechos de los nios, nias y
adolescentes, que la reglamentacin que har el Gobierno
Nacional de esta materia no exceder los seis meses despus
de sancionada la ley.
El citado artculo prohbe el tratamiento, uso, divulgacin
publicacin o circulacin de datos personales de nios, nias y
adolescentes cuyo fin sea su comercializacin, trfico, venta o
cesin a terceros. Deja en cabeza del Gobierno Nacional la
reglamentacin de la materia. Siendo el tema de la divulgacin
de datos de este segmento de la poblacin de vital importancia
se considera prudente dejar el plazo antes dicho.
4. Aclarar el alcance de la revocatoria del consentimiento en
el literal e) del artculo 8.
El literal e) establece que la revocatoria del consentimiento
proceder cuando en el tratamiento no se respeten los
derechos, garantas y principios legales y constitucionales. Sin
embargo .' es importante aclarar que esta revocatoria no
procede de manera inmediata y que para ser efectiva debe
existir una resolucin por parte de la Autoridad de Control
donde se establezca que efectivamente en el tratamiento se
violaron las disposiciones legales y constitucionales.
5. Se elimina el literal c) del artculo 10 y se modifica el literal
a) de la siguiente manera: Cuando la informacin sea
requerida por una autoridad pblica, siempre y cuando medie
una autorizacin legal.
El artculo 10 trae las excepciones en las cuales no es
necesaria la autorizacin del titular para el tratamiento de
datos. El literal a) enuncia los casos de autorizacin legal para
fines histricos, estadsticos, cientficos u otros, por su parte el
literal c) prevea que cuando la informacin fuera requerida
por una autoridad pblica en ejercicio de sus funciones que se
encontraran consagradas en la ley.
La taxatividad del literal a) no es necesaria ya que es claro por
los principios constitucionales y por el desarrollo que hace de
54
Expediente PE-032
los mismos el proyecto de ley, que la excepClOn a la
autorizacin previa del titular para la entrega y tratamiento de
datos personales puede slo estar autorizada por ley. Ahora
bien en cuanto al literal c), el mismo no resulta claro y puede
generar confusiones, lo que se pretende indicar es lo mismo del
literal a), por eso se propone que se manejen en uno slo,
dejando claro adems que las autoridades pblicas no pueden
solicitar y tratar datos personales para el ejercicio de sus
funciones, sino solamente cuando una ley lo permita.
6. Incluir en el artculo 11 plazo de un ao para la
reglamentacin para el suministro de la informacin.
7. Modificar el literal b) del artculo 13 en el sentido de
indicar que el suministro de informacin de que trata el
proyecto de ley slo puede entregarse a una autoridad pblica
siempre y cuando medie una autorizacin legal.
Al igual que en el artculo 10 debe hacerse claridad que la
autoridad pblica por el simple hecho de serlo no puede ni
tratar ni solicitar ni ser destinataria de datos personales, slo
en el evento en el que haya una disposicin legal que as lo
disponga.
8. Incluir un pargrafo en el artculo 23 sanciones, indicando
que las mismas slo aplican para personas privadas que
incumplan las disposiciones contenidas en la presente ley, y
que para las autoridades pblicas la Superintendencia de
Industria y Comercio una vez realizada la investigacin
respectiva y de encontrar violacin a la ley remitir el
expediente a la Procuradura General de la Nacin para lo de
su competencia.
El articulo 23 contiene las sanciones que puede imponer la
Autoridad de Control a los responsables del tratamiento y
manejo de los datos personales, las cuales van desde multas
hasta cierre definitivo de la operacin, es claro que estas, por
su naturaleza, por el procedimiento para imponerlas y por el
ente que las impone, que para el presente caso la
Superintendencia de Industria y Comercio no pueden aplicar a
autoridades pblicas, ya que no hay competencia para ello. De
tal manera, se especifica esta situacin y se aclara que una vez
adelantada la investigacin por parte de la Autoridad de
Control en caso de identificar alguna falta de una autoridad
pblica se debe remitir el expediente a la Procuraduria
General de la Nacin para lo de su competencia. "
55
Expediente PE-032
2.2.4.2.Anuncio y aprobacin en primer debate
Segn comunicacin suscrita por el Secretario de la Comisin Primera
de la Cmara de Representantes
60
, el proyecto de ley fue anunciado para
su discusin y aprobacin en primer debate en la sesin del 8 de
septiembre de 2010, segn consta en el Acta No. 11 de esa fecha,
publicada en la Gaceta del Congreso No. 957 del 24 de noviembre de
2010. El anuncio se realiz en los siguientes trminos
6
/:
"Por instrucciones del seor Presidente se anuncian para
discusin y votacin en la prxima sesin los siguientes
proyectos que estarn integrando el Orden del Da:
(. ..)
Proyecto de ley Estatutaria nmero 46 de 2010 Cmara, por
la cual se dictan disposiciones generales para la proteccin de
datos personales.
Seor Presidente por instrucciones suyas se han anunciado en
cumplimiento de la Constitucin, los proyectos que en la
prxima sesin se discutirn y votarn.
Agradecemos a los televidentes el seguimiento a esta sesin,
agradecemos a los Parlamentarios. Se levanta la sesin, se
convoca para el prximo martes a las nueve de la maana, de
igual manera el mircoles a la misma hora. Por favor".
En efecto, el proyecto de ley, con las modificaciones propuestas en el
informe de ponencia, fue aprobado en primer debate en la sesin del 14
de septiembre de 2010, segn consta en el Acta No. 12 de esa misma
fecha, publicada en la Gaceta del Congreso No. 958 del 24 de
noviembre de 2010.
En relacin con el qurum y las mayoras obtenidas, el Secretario
informa en la certificacin arriba mencionada (folios 542 a 546 del
cuaderno de pruebas No. 2), que el informe de ponencia, el articulado
propuesto y el ttulo del proyecto fueron aprobados con la mayora
absoluta requerida por el artculo 153 Superior. Narra que se dio con
votacin nominal, con el voto afirmativo de 31 Representantes de los
35 que conforman la Comisin. Lo anterior pudo verificarse al leer el
Acta No. 12 del 14 de septiembre de 2010, en la que se plasma el
desarrollo de la discusin y la votacin del proyecto de ley bajo estudio,
coincidiendo con lo afirmado por el Secretario General de la Comisin
62
61 Ver folio 580 del cuaderno de pruebas No. 2 (pgina 24 de la Gaceta No. 957 de 2010)
62 Ver folios 586 a 588 del cuaderno de pruebas No. 2 (pginas 12 a 14 de la Gaceta No. 958 de 2010)
Expediente PE-032
56
y en la que adems puede observarse que el informe con que termina la
ponencia fue aprobado con 29 votos positivos, el articulado tambin con
29 votos a favor y el ttulo con 30 votos afirmativos.
El texto definitivo del proyecto de ley aprobado por la Comisin Primera
de la Cmara de Representantes fue publicado en la Gaceta del
Congreso No. 706 del 28 de septiembre de 2010, en el que esta Sala
encuentra que los miembros de dicha Comisin acogieron
completamente la propuesta del informe de ponencia, sin agregar nuevas
disposiciones y sin modificar las existentes.
2.2.4.3.Publicacin de la ponencia para segundo debate en la Cmara de
Representantes
La ponencia positiva para segundo debate con pliego de modificaciones,
fue presentada por los Representantes Alfredo Deluque Zuleta, scar
Fernando Bravo Realpe, Orlando Velandia Seplveda, Germn Varn
Cotrino, Efran Torres Monsalve, Miguel Gmez Martnez y Humphrey
Roa Sarmiento. El documento fue en la Gaceta del Congreso
706 del 28 de septiembre de 2010 3.
Las modificaciones propuestas son las que a continuacin se citan
64
:
"PLIEGO MODIFICATORIO
MODIFICACIONES AL TEXTO PUBLICADO EN LA
GACETA NMERO 625 de 2010
1. Se suprime el trmino soporte por el de base de datos
(artculo 2
0
)
Para brindar una mayor uniformidad en el texto se suprime el
trmino soporte, el cual hace referencia directa al trmino base
de datos, el cual se encuentra definido en el artculo 3o del
proyecto.
2. Se aclara que los datos personales hacen referencia a las
personas naturales (artculo 3
0
)
Es importante aclarar que el derecho contenido en el artculo
15 de la Constitucin Poltica hace referencia a los datos de
personas naturales ya que son estas las que son objeto directo
de las posibles vulneraciones en el Tratamiento.
63 Cfr. Folios 557 a 568 del cuaderno de pruebas No. 2.
64 Ver folio 561 del cuaderno de pruebas No. 2 (pg. 10 de la Gaceta No. 706 de 2010)
57
Expediente PE-032
La Corte Constitucional ha sealado que las personas jurdicas
tienen derecho a la proteccin de su informacin, ello lo ha
precisado refirindose a la informacin sobre la morosidad o
cumplimiento de obligaciones dinerarias, tema que ya qued
regulado en la Ley 1266 de 2008.
La legislacin colombiana cuenta con diferentes normas que ya
protegen la informacin de las empresas, como entre otras, las
siguientes: Los secretos empresariales (Decisin Andina 486
de 2000); La informacin privilegiada (Cdigo Penal y Ley 45
de 1990),' los libros y papeles del comerciante (Cdigo de
Comercio). As las cosas, conferir ms proteccin equivaldra
a dar ms importancia a la informacin de las personas
jurdicas (sobreproteccin) que a la de las personas naturales.
3. Se elimina la definicin de Autoridad de Control (artculo
3)
Para aclarar los posibles inconvenientes que se puedan derivar
de la concurrencia de Autoridades como consecuencia de la
Ley 1266 de 2008 se suprime el concepto de Autoridad de
Control y se define en el articulado que para propsitos de esta
ley se debe entender como Autoridad de Proteccin de Datos a
la Superintendencia de Industria y Comercio.
4. Se aclara que solo la informacin que tenga naturaleza
pblica podr ser objeto de Tratamiento en el caso de las
nias, nios y adolescentes (artculo 7)
Aunque el principio general de este artculo establece que
queda proscrito el Tratamiento de datos personales de nios,
nias y adolescentes cuyo fin sea su comercializacin, trfico,
venta o cesin a terceros, es importante aclarar que la
informacin pblica no es objeto de esta prohibicin dada su
naturaleza.
5. Se elimina el verbo suprimir del literal a) y se modifica el
literal e) del artculo 8
Es importante aclarar que el Titular no tiene la facultad de
suprimir sus datos ya que el artculo 15 de la Constitucin
establece que estos podrn conocer, rectificar o actualizar la
informacin. Asimismo Revocar la autorizacin y/o solicitar la
supresin del dato cuando en el Tratamiento no se respeten los
principios, derechos y garantas constitucionales y legales. La
revocatoria y/o supresin slo proceder cuando la
58
Expediente PE-032
Superintendencia de Industria y Comercio haya determinado
que en el Tratamiento el Responsable o Encargado han
incurrido en conductas contrarias a esta ley y a la
Cons tituc in.
6. Se modifica el ttulo del artculo 13 ya que es el mismo del
artculo 11
Tanto el artculo 11 como el 13 tenan el mismo nombre, por
consiguiente se establece que para el caso del artculo 13 el
ttulo ser "Personas a quienes se les puede suministrar la
informacin ".
7. Se modifica el nombre de Autoridad de Control por el de
Autoridad de Proteccin de Datos (artculo 19).
La Superintendencia de Industria y Comercio no tiene la
facultad de control a la que hace referencia y por consiguiente
se podra interpretar que se le est asignando esta nueva
facultad. Por consiguiente se aclara que la Superintendencia
de Industria y Comercio ser la Autoridad en Proteccin de
Datos y no la de Control.
2.2.4.4.Anuncio y aprobacin del proyecto en segundo debate
En principio, el proyecto de ley fue anunciado el 12 de octubre de 2010
para el da siguiente, tal como consta en el Acta No. 22 de la misma
fecha, publicada en la Gaceta del Congreso 925 del 18 de noviembre
de 2010
65
. El anuncio se realiz as:
"Direccin de la Presidencia doctor Roosvelt Rodrguez
Rengifo:
Seor Secretario, leamos los proyectos de ley para maana.
Secretario General doctor Jess Alfonso Rodrguez c.:
Anunciar Proyectos, para maana mircoles 13 de octubre o
para la prxima Sesin en la que se debatan proyectos de ley o
de acto legislativo.
Subsecretaria General doctora Flor Marina Daza Ramrez:
Proyectos para segundo debate.
(oo.)
Proyecto de ley Estatutaria nmero 046 de 2010 Cmara
65 No obra copia de la Gaceta dentro del expediente, pero el despacho del Magistrado Ponente logr ubicarla en
la pgina web de la Secretara del Senado de la Repblica:
http://servoaspr. imprenta.gov. co:7778/ gacetap/gaceta.ni vel _3
Expediente PE-032
59
Seor Presidente, han sido anunciados los proyectos de ley
para el da trece de octubre de 2010, de acuerdo al Acto
Legislativo 1 de julio 3 de 2003, en su artculo 8. "
Sin embargo, en la sesin del da 13 de octubre de 2010 se inici la
discusin del proyecto pero la Plenaria decidi realizar su votacin en la
siguiente sesin, tal como consta en el Acta No. 23 de la misma fecha,
publicada en la Gaceta del Congreso 849 del 2 de noviembre de 2010,
en la que se lee:
"Direccin de la Presidencia, doctor Carlos Alberto Zuluaga
Daz:
Le he pedido al seor coordinador de ponentes que vamos a
empezar hoy a hacer el gran debate para que todas las
bancadas y todos los partidos y todos los Representantes
opinen frente al proyecto, como se necesitan 85 votos a favor,
el proyecto voy a solicitar es debatir hoy el proyecto y vamos a
votar el proyecto, doctor Deluque el martes, pero por favor
hoy debatimos con todas las garantas, con toda la
tranquilidad y el martes entramos a votar el proyecto de ley. "
66
Ahora bien, en el acta mencionada puede observarse que el proyecto fue
debidamente anunciado de nuevo, de la siguiente manera
67
:
"Se anuncian los Proyectos para la Sesin Plenaria del da 19
de octubre o para la siguiente Sesin Plenaria en la cual se
debatan Proyectos de Ley o Actos Legislativos:
(. ..)
Proyecto de ley nmero 046 de 2010 Cmara
(. ..)
Seor Presidente han sido anunciados los proyectos de ley
para la Sesin Plenaria para el da 19 de octubre para la
siguiente Sesin Plenaria en la cual se debatan Proyectos
Actos de Ley o Actos Legislativos de acuerdo al Acto
Legislativo 01 dejulio 3 de 2003 en su artculo 80. ,,68
En efecto, el proyecto de ley fue aprobado en la plenaria de la Cmara de
Representantes, en la sesin del 19 de octubre de 2010, segn consta en
66 Ver en folio 274 del cuaderno de pruebas No. 3 (pgina 54 y siguientes de la Gaceta No. 849 de 2010)
67 Tambin puede verificarse en la certificacin suscrita por el Secretario General de la Cmara de
Representantes el 15 de marzo de 2011, a folio 2 del cuaderno de pruebas No. 3.
68 Ver en folio 279 del cuaderno de pruebas No. 3 (pgina 59 de la Gaceta No. 849 de 2010)
60
Expediente PE-032
el Acta No. 24 de la misma fecha, publicada en la Gaceta del Congreso
868 del 4 de noviembre de 2010
69
.
Acerca del qurum y las mayoras obtenidas, segn certificacin suscrita
por el Secretario General de la Cmara de Representantes
7o
, se cumpli'
con el requisito de ser aprobado por la mitad ms uno de los integrantes
de dicha clula legislativa, esto es, con mayora absoluta. Afirm el
Secretario que "en la Sesin Plenaria de la H. Cmara de
Representantes del da 19 de octubre de 2010, a la cual se hicieron
presentes ciento cincuenta y cinco (J 55) Honorables Representantes, fue
considerado y aprobado por mayora absoluta de los presentes en
votacin nominal Informe de Ponencia para segundo debate, el ttulo y
el articulado del Proyecto de Ley". Las votaciones se desarrollaron de la
siguiente manera:
"Proposicin con que termina el informe de Ponencia para
Segundo Debate: por el S: 89 por el No: O. Tal y como consta
en la pgina 25 de la Gaceta del Congreso No. 868 de 2010
(Aprobado).
Los artculos 1, 3, 6, 7, 9, 12, 13, 14, 15, 16, 17, 18,20, 22, 24
y el 29 no tienen proposiciones. Por el s: 97 por el No: O (Ver
pgina 26 y 27 de la Gaceta No. 868 de 2010).
Votacin en Bloque de los siguientes artculos con y sin
proposicin y unos artculos nuevos: proposicin para el
artculo 2, proposicin para el artculo 10, proposicin para el
artculo 19, proposicin para el artculo 21, proposicin para
el artculo 23, proposicin para el artculo 25, proposicin
para el artculo 26, proposicin para el artculo 27,
proposicin para el artculo 28. Los artculos 4, 5, 8 que no
tienen proposicin y el 23. Por el S: 106 por el No: O (Ver
pginas 28 a 32) "
El texto definitivo aprobado en la Cmara de Representantes, fue
publicado en la Gaceta del Congreso No. 833 del 29 de octubre de
2010
71
, donde es posible verificar que la Plenaria adopt los cambios
propuestos en el informe de ponencia -arriba reproducidos- y, adems,
se aprobaron las proposiciones de diferentes Representantes para
eliminar o adicionar el contenido de algunos artculos, a saber:
69 Ver folios 158 a 169 del cuaderno de pruebas No. 3 (pginas 24 a 35 de la Gaceta)
70 Ver folio 3 del cuaderno de pruebas No. 3
7\ Ver folios 57 a 64 del cuaderno de pruebas No. 2
Expediente PE-032
61
i) Se incluy la frase "as como el derecho a la informacin consagrado en
el artculo 20 de la misma" al final del artculo 1 0
72
.
ii) Se agregaron cinco literales al artculo 273:
"El rgimen de proteccin de datos personales que se establece
(. ..)
c) A las bases de datos y archivos de informacin periodstica y
otros contenidos editoriales,'
d) A las bases de datos y archivos regulados por la Ley 1266 de
2008,'
e) A las bases de datos y archivos regulados por la Ley 79 de
1993,'
j) A las bases de datos y archivos regulados por la Ley 594 de
2000,'
g) Las bases de datos y archivos relacionados con el Registro
Civil de las Personas. "
iii) Se modific el literal a) del artculo 10 y se agrega un literal d) a esa
.. , 74
dlSposlclOn :
"La autorizacin del titular no ser necesaria en los siguientes
casos:
a) Cuando la informacin sea requerida por una entidad
pblica o administrativa en ejercicio de sus funciones legales o
por orden judicial.
(. ..)
d) Cuando sea autorizado por la ley para fines histricos,
estadsticos, cientficos u otros. "
iv) Se modific el primer inciso del artculo 19 y se agreg un pargrafo
75
:
"Artculo 19. Autoridad de proteccin de datos. La
Superintendencia de Industria y Comercio ejercer la
72 Ver folio 57 del cuaderno de pruebas No. 2 (pgina 9 de la Gaceta No. 833 de 2010) Y folio 162 del
cuaderno de pruebas No. 3 (pgina 28 de la Gaceta No. 868 de 2010)
73 Ver folio 57 del cuaderno de pruebas No. 2 (pgina 9 de la Gaceta No. 833 de 2010) y folio 163 del
cuaderno de pruebas No. 3 (pgina 29 de la Gaceta No. 868 de 2010)
74 Ver folio 59 del cuaderno de pruebas No. 2 (pgina II de la Gaceta No. 833 de 2010) y folio 163 del
cuaderno de pruebas No. 3 (pgina 29 de la Gaceta No. 868 de 20 I O)
cuaderno de pruebas No. 3 (pgina 29 de la Gaceta No. 868 de 2010).
62
Expediente PE-032
vigilancia para garantizar que en el tratamiento de datos
personales se respeten los principios, derechos, garantas y
procedimientos previstos en la ley.
Pargrafo. La vigilancia, el tratamiento de los datos, personas
reguladas en la Ley 1266 del 2008, se ajustar en lo previsto
en dicha norma ".
v) Se elimin el literal f) del artculo 21
76

vi) Se agrega un prrafo al artculo 25, sealando
77
:
"Para realizar el registro de base de datos, los interesados
debern aportar a la Superintendencia de Industria y
Comercio, las polticas de tratamiento de la informacin, las
cuales obligarn a los responsables y encargados del mismo y
cuyo incumplimiento acarrear las sanciones
correspondientes.
Las polticas de tratamiento en ningn caso podrn ser
inferiores a los deberes contenidos en la presente ley. "
vii) Se crea el pargrafo segundo al artculo 26
78

viii) Se elimina el inicial artculo 27
79
.
ix) Agrega la frase "con excepcin de aquellas contempladas en el artculo
2 de la presente ley" al final del artculo 28 sobre derogatorias
8o
.
x) Se crea un nuevo artculo, que establece
8l
:
"Normas corporativas vinculantes. El Gobierno Nacional
expedir la reglamentacin correspondiente sobre las normas
corporativas vinculantes para la certificacin de buenas
prcticas en proteccin de datos personales y su transferencia
a terceros pases. "
cuaderno de pruebas No. 3 (pgina 29 de la Gaceta No. 868 de 20 10).
8\ Ver folio 63 del cuaderno de pruebas No. 2 (pgina 15 de la Gaceta No. 833 de 2010) y folio 164 del
63
Expediente PE-032
xi) Se crea otro nuevo artculo, que dispone
82
:
"Rgimen de transicin. Las personas que a la fecha entrada
en vigencia la presente ley ejerzan alguna de las actividades
aqu reguladas, tendrn un plazo de 6 meses para adecuarse a
las disposiciones contempladas en esta ley. "
2.2.5. Trmite en el Senado de la Repblica
2.2.5.1.Audiencia pblica
Mediante Resolucin No. 04 de noviembre 18 de 2010, se convoc a
audiencia pblica para la discusin del proyecto de ley en estudio. sta
se llev a cabo el da 25 de noviembre de ese mismo ao, tal como
consta en la Gaceta del Congreso No. 60 del 28 de febrero de 2011
83

Participaron en ella los ciudadanos Ral Antonio Vargas Camargo y
Andrs Eduardo Cubillos Benavides, estudiantes de Derecho de la
Universidad Libre.
El primero de ellos propuso al Senado de la Repblica incluir un artculo
relacionado con el certificado de antecedentes judiciales expedido por el
Departamento Administrativo de Seguridad -DAS-, en cuanto ello
implica el manejo de datos sensibles, sobretodo cuanto expide
certificados indicando que una persona "registra antecedentes pero no
es requerido por autoridad judicial".
El segundo interviniente plante algunas inquietudes sobre el mbito de
aplicacin y la finalidad de la ley.
2.2.5.2.Publicacin de la ponencia para primer debate
Para primer debate ante la Comisin Primera del Senado, rindieron
ponencia favorable los Senadores Luis Fernando Velasco Chves, Carlos
E. Soto, Luis Carlos Avellaneda Hemel Hurtado Angulo, Jorge Eduardo
Londoo y Juan Manuel Corzo. La ponencia fue publicada en la Gaceta
del Congreso 1023 del 2 de diciembre de 2010
84

Los Senadores Ponentes sugirieron las siguientes modificaciones al texto
del proyecto de ley aprobado por la Cmara de Representantes (subrayas,
vietas y numeracin, fuera de texto original):
83 Ver folios 88 y siguientes del cuaderno de pruebas No. 4
64
Expediente PE-032
"Justificacin de los cambios al texto aprobado por la
Cmara de Representantes
El cumplimiento de los principios antes mencionados, ms los
ya expuestos en la Ley 1266 de 2008 y la regulacin
internacional de proteccin de datos, permite tener un filtro
para analizar algunos artculos del proyecto que a nuestra
consideracin deben ser estudiados y modificados en busca de
un real reconocimiento de la proteccin de datos en Colombia.
En el articulo 2. mbito de Aplicacin se debe tener en
cuenta justificaciones en la excepcin de algunas bases de
datos
1. Se propone excluir del literal a) "f aquellos que circulan
internamente, esto es, que no se suministran a otras personas
juridicas o naturales".
Lo anterior porque no guarda congruencia el pretender
generar una ley estatutaria que podra violar el principio de
igualdad al excepcionar de su aplicacin a una buena parte de
operadores de datos, pues si se permite que mientras el dato
circule internamente este no sea objeto de la ley se estara
sesgando no solo el derecho de Hbeas Data sino los conexos
como acceso a la informacin, debido proceso y dems
derechos conexos al manejo de la informacin. Ya que es bien
sabido que para que una decisin judicial o la aplicacin de
una ley eximan a unos o a otros esta excepcin debe responder
a los conceptos constitucionales argumentativos de igualdad y
razonabilidad sentido en el cual la Corte dice.
1. En el literal b) se propone definir la necesidad de que exista
una finalidad para exceptuar del mbito de aplicacin a las
bases de datos y archivos que tengan por objeto la seguridad y
defensa nacional, lavado de activos y terrorismo.
2. Asimismo se propone eliminar de esta excepcin a las bases
de datos y archivos sobre investigaciones judiciales y penales
ya que estas no necesariamente tienen una finalidad directa
con la seguridad y defensa nacional.
El tema de la aplican de las leyes correspondientes a
proteccin de datos personales incluidos en bases de datos que
tengan relacin con inteligencia o seguridad debe estar
siempre sujeto a las directivas constitucionales y si el
legislativo pretende regular el tema mediante ley esta no puede
estar en contra de los principios constitucionales de acceso a
I
Expediente PE-032
65
la informacin y hbeas Data "En efecto, al menos en la
actualidad, slo este tipo de datos tiene reserva legal frente a
su titular. En consecuencia, dado que la reserva de datos de
inteligencia frente al titular del dato, slo podra existir si as
lo establece una ley especfica, clara y compatible con la
Constitucin y que las disposiciones existentes amparan
nicamente la reserva de datos que hacen parte de
investigaciones judiciales, slo esta informacin puede
1 ,,85
permanecer ocu lta a su tltU ar .
4. Adems del anterior cambio se adicionan dos pargrafos al
literal b)
Pargrafo. El literal anterior se aplicar solo cuando los
datos contenidos en estas bases de datos cumplan con las
caractersticas de reserva de datos que hacen parte de
investigaciones judiciales.
Pargrafo 2. Los datos all contenidos solo se harn pblicos
cuando se justifique por su naturaleza.
Lo anterior en consecuencia de que la informacin y datos
personales contenidos en bases de datos del estado deben
cumplir con los principios de la administracin de datos y por
ello deben ser de libre acceso por parte del Titular, mientras
medie como justificacin algn tipo de reserva legal.
El segundo pargrafo promueve el respeto de los datos por la
naturaleza que los contiene; es decir que los datos privados
debern ser respetados y no hacerse pblicos a menos que el
Titular lo autorice o que el dato presente algn tipo de peligro
real y justificado a la seguridad y defensa nacional, lavado de
activos, terrorismo como lo contiene el literal b).
Artculo 4. Principios para el tratamiento de datos
personales.
1. Se adiciona al literal b), al principio de finalidad, el de
proporcionalidad agregando en su parte final el texto "No
podrn realizarse tratamientos de datos personales
incompatibles con la finalidad autorizada por el titular o la
ley. a menos que se cuente con el consentimiento inequvoco
del titular".
85 Sentencia T-/037/08, Referencia: Expediente T-/8296/8, Magistrado ponente: Dr. JAIME CRDOBA
TRlVIO Bogot D.C. , veintitrs (23) de octubre de dos mil ocho 2008).
66
Expediente PE-032
2. Se adiciona al literal j) al principio de finalidad del primer
prrafo el texto "De igual forma, los datos personales
nicamente pueden utilizarse para los fines autorizados por el
titular o la ley. "
Estos principios que se adicionan hacen parte de los
estndares internacionales, aprobados, entre otros en la
Resolucin de Madrid de 2009 (anexo) y han sido establecidos
en la Jurisprudencia de la Corte Constitucional como
fundamentales para dar un tratamiento debido a los datos
personales. Especficamente estos se sintetizaron y aglutinaron
en la Sentencia C-l 011 de 2008 .
Articulo 6. Tratamiento de datos sensibles.
1. Se modifica gramaticalmente la frase "a excepcin de los
siguientes eventos" por "excepto cuando".
2. Se modifica en el literal b) el trmino de ''padres'' por el de
"representantes legales ".
3. Se incorpora en el literal c) la palabra "una" antes de la
palabra ''fundacin'' y adicionalmente se incorpora el termino
"ONG" luego de la palabra ''fundacin''.
Articulo 7. Derechos de los nios, nias y adolescentes.
1. Se modifica el trmino "padres" por el de "representantes
legales o tutores ".
2. Se suprime los trminos "comercializacin, trfico. venta o
cesin a terceros" con el objetivo de impedir que se realicen
interpretaciones literales que afecten los derechos
fundamentales de los nios, nias y adolescentes.
Articulo 9. Autorizacin del titular.
Se elimina la frase "se requiere la autorizacin previa, escrita
o verbal" por "la cual deber ser obtenida por cualquier
medio que pueda ser objeto de consulta posterior" con el
objetivo de establecer mecanismos dinmicos de autorizacin
siempre y cuando exista un medio o soporte para comprobar la
autorizacin del Titular.
Articulo 1O. Casos en que no es necesaria la autorizacin.
67
Expediente PE-032
1. Se modifica la frase "cuando se trate de datos recogidos de
fuentes de acceso irrestricto al pblico" por "datos de
naturaleza pblica" para evitar confusiones sobre el alcance
de "irrestrictos al pblico ".
2. Se elimina del literal d) la palabra "u otros" para evitar que
por medio de interpretacin se excepte la autorizacin del
Titular.
3. Se traslada la excepcin contemplada sobre registro civil
del artculo 2
0
a este artculo como nuevo literal e) ya que si
bien es cierto que los datos relativos al registro civil de las
personas son pblicos, no por esto significa que no queden
sujetos a las disposiciones contenidas en esta ley.
4. En el prrafo final de este artculo se aclara que las
disposiciones contenidas en esta ley son de aplicacin para
todos los tipos de datos que esta regula, aun cuando no sea
necesaria la autorizacin previa del Titular, quedando: "Quien
acceda a los datos personales sin que medie autorizacin
previa deber en todo caso cumplir con las disposiciones
contenidas en la presente levo "
Artculo 12. Deber de informar.
Se incorpora la posibilidad de informar al Titular de la
direccin electrnica del Responsable en el momento de
solicitar su informacin personal, en el literal d).
informacin.
Se modifica la redaccin del literal b) para establecer un
criterio de unidad de trminos en relacin con el artculo 10
del proyecto, as: "A las entidades pblicas o administrativas
en ejercicio de sus funciones legales o por orden judicial. "
Artculo 15. Reclamos.
Se elimina el requerimiento del reclamo por medio escrito V se
establece la posibilidad de que el Responsable o Encargado
establezca cul es la forma ms idnea de recibir los reclamos
por parte de los Titulares. En este sentido es importante
aclarar que este procedimiento no puede ser restrictivo para el
68
Expediente PE-032
acceso de los Titulares a interponer los correspondientes
reclamos.
Artculo 17. Deberes de los responsables del tratamiento.
Se adiciona en un literal n) el deber de los Responsables de
informar a la Superintendencia de Industria V Comercio
cuando existan riesgos o violaciones de la seguridad de la
bases de datos por parte de terceros.
Esta medida le permite evaluar de manera objetiva a la
Superintendencia de industria y Comercio los riesgos
eminentes de violaciones a la seguridad y establecer
procedimientos y mecanismos para informar a los Titulares de
esta situacin.
Artculo 18. Deberes de los encargados del tratamiento.
l._Se elimina la primera parte del el literal j) ya que este deber
es una funcin de la Superintendencia de Industria y Comercio
y no del Encargado del Tratamiento. Por consiguiente se
traslada al artculo 21 del provecto.
2. Se adiciona el literal k) con el deber de los Encargados de
infOrmar a la Superintendencia de Industria V Comercio
cuando existan riesgos o violaciones de la seguridad de la
bases de datos por parte de terceros. Esta medida le permite
evaluar de manera objetiva a la Superintendencia de industria
y Comercio los riesgos eminentes de violaciones a la seguridad
y establecer procedimientos y mecanismos para informar a los
Titulares de esta situacin.
Artculo 19. Autoridad de proteccin de datos.
1. Se establece la creacin de una Delegatura de Proteccin
de Datos dentro de la Superintendencia de Industria V
Comercio. Asimismo se incorpora un nuevo pargrafo en el
cual se establece que el Gobierno Nacional deber
reglamentar esta materia en un plazo no superior a seis
meses. Esta medida permite tener una Delegatura especfica y
especializada sobre el tema de proteccin de datos personales.
2. Asimismo se corrige en el pargrafo segundo la palabra
"vigencia " por "vigilancia".
Artculo 21. Funciones.
69
Expediente PE-032
Se incorpora la [uncin de requerir la colaboracin de
entidades internacionales o extranjeras cuando se afecten los
derechos .de los Titulares [uera del territorio colombiano
(literal j) con ocasin, entre otras, de la recoleccin
internacional de datos personales que se haba incluido como
responsabilidad de los Encargados pero que realmente es una
funcin exclusiva de la Superintendencia de Industria y
Comercio.
Artculo 26. Transferencia de datos a terceros pases.
Se elimina del pargrafo segundo la posibilidad que dos
entidades (Superintendencia Financiera y Superintendencia de
Industria y Comercio) tengan la competencia de determinar el
nivel adecuado de proteccin de datos de un tercer pas. Esta
[acuitad queda exclusivamente en manos de la
Superintendencia de Industria V Comercio .
Artculo 27. Disposiciones especiales.
Se crea un nuevo artculo donde se le otorga la [acuitad al
Gobierno de reglamentar por va de decreto lo concerniente al
Tratamiento de datos personales especiales que requieran de
disposiciones especficas dada la naturaleza del dato.
Esta facultad le permite al Gobierno regular de manera ms
expedita datos especiales que requieran de modificaciones
constantes dada la dinmica en su tratamiento .
Artculo 29 (artculo nuevo)
Se adiciona un nuevo artculo luego del artculo 28 dentro del
Ttulo "OTRAS DISPOSICIONES" el cual contempla como
disposicin especial el manejo que debe darse especficamente
con el hecho de no publicar en el registro de antecedentes la
informacin referente a penas cumplidas y penas prescritas
como antecedente judicial.
En ese orden de ideas, la iniciativa no pretende que se ordene
al DAS que de sus bases de datos desaparezcan los registros de
las condenas ya cumplidas, slo que frente al manejo de tal
informacin se haga un llamado a la cautela y que slo para
propsitos que realmente lo demanden sea revelada, pues no se
puede perder de vista que uno de los fines de la pena es la
reinsercin social de quien fue sujeto activo de una conducta
punible.
Expediente PE-032
70
2.2.5.3.Anuncio y aprobacin en primer debate del Senado de la Repblica
En sesin del 2 de diciembre de 2010, se anunci la discusin y
aprobacin del proyecto de ley, sesin contenida en el Acta No. 32 de
esa fecha, publicada en la Gaceta del Congreso No. 38 del 11 de
febrero de 2011. El anunci se llev a cabo en los siguientes
, . 86
termmos :
"Por Secretara, se da lectura a los proyectos que por
disposicin de la Presidencia se sometern a discusin y
votacin en la prxima sesin:
2. Proyecto de ley nmero 184 de 2010 Senado, 46 de 2010
Cmara, por la cual se dictan disposiciones generales para la
proteccin de datos personales ".
Al finalizar se lee:
"Siendo la 3:30 p. m., la Presidencia levanta la seszon y
convoca para el lunes 6 de diciembre de 2010, a partir de las
10:00 a. m., en el saln Guillermo Valencia del Capitolio
Nacional. "
Efectivamente, segn certificacin expedida por el Secretario de la
Comisin Primera del Senado el 14 de marzo de 2011
87
, el proyecto de
ley fue discutido y aprobado por la Comisin Primera del Senado, con
las modificaciones propuestas en el informe de ponencia, el 6 de
diciembre de 2010, segn consta en el Acta No. 33 de la misma fecha,
publicada en la Gaceta del Congreso 39 del 11 de febrero de 2011.
En certificacin adicional, suscrita en la misma fecha, el Secretario de la
Comisin Primera constata que la discusin y votacin se realiz "con la
mayora requerida por la Constitucin y la Ley para el trmite de leyes
estatutarias", esto es, con mayora absoluta y votacin nominal, de la
. 88
slgmente manera :
vi' "En la sesin del da 06 de diciembre de 2010, Acta
Nmero 33, se discuti y vot esta iniciativa, asistieron 17
Honorables Senadores. Al iniciar la sesin se registr qurum
deliberatorio.
87 Ver folios I y 2 del cuaderno de pruebas No. 4
88 Ver certificacin a folios 3 y 4 dei cuaderno de pruebas No. 4
71
Expediente PE-032
./ En relacin con la proposicin con la que termina el
informe de ponencia:
Para esta iniciativa se radic un informe de ponencia, el cual
solicitaba dar primer debate a esta iniciativa.
Sometida a votacin nominal, en la sesin del da 06 de
diciembre de 2010 - Acta N 33, la proposicin con que
termina el informe de ponencia, junto con la pregunta si
consideran que este proyecto de ley se le debe dar el trmite de
Ley Estatutaria, fue aprobado mediante votacin nominal por
el siguiente resultado: VOTOS POR EL SI: 13. VOTOS POR
EL NO: OO
./ Votacin del Articulado Aprobado por la Comisin Primera
TITULO DEL PROYECTO:
Votado en el siguiente texto: "POR LA CUAL SE DICTAN
DISPOSICIONES GENERALES PARA LA PROTECCIN DE
DATOS PERSONALES"
Aprobado mediante votacin Nominal que obtuvo el siguiente
resultado:
VOTOS EMITIDOS: 15
VOTOS POR EL SI: 15
VOTOS POR EL NO: O
ARTICULADO DE LA INICIATIVA:
Sometido a votacin en bloque en el texto del pliego de
modificaciones.
Aprobado mediante votacin Nominal que obtuvo el siguiente
resultado:
VOTOS EMITIDOS: 13
VOTOS POR EL SI: 13
VOTOS POR EL NO: O"
El texto definitivo aprobado en la Comisin Primera del Senado de la
Repblica, contenido en la Gaceta del Congreso No. 39 del 11 de
febrero de 2011 (folio 64 del cuaderno No. 4 - pgina 5 y siguientes de
la Gaceta), da cuenta de que esta clula legislativa adopt las
72
Expediente PE-032
modificaciones propuestas en el informe de ponencia, salvo las
.. 89
SIgUIentes :
En el artculo 2, no se defini la necesidad de que exista una finalidad
para exceptuar del mbito de aplicacin a las bases de datos y archivos
que tengan por objeto la seguridad y defensa nacional, lavado de activos
y terrorismo.
En el artculo 2, no se incluy el pargrafo segundo.
Adems, puede observarse que durante la discusin no se propusieron ni
aprobaron otras modificaciones.
2.2.5.4.Ponencia para segundo debate en el Senado de la Repblica
Para segundo debate la ponencia fue presentada por los senadores Luis
Fernando Velasco Chves, Carlos E. Soto, Luis Carlos Avellaneda
Hemel Hurtado Angulo, Jorge Eduardo Londoo y Juan Manuel Corzo,
y fue publicada en la Gaceta del Congreso No. 1080 de 13 de
diciembre de 2010
9
.
El informe de ponencia propone nuevos cambios al proyecto de ley
proveniente de la Comisin Primera del Senado. As, se expone:
"Justificacin de los cambios al texto aprobado por la
Comisin Primera de Senado en primer debate
El cumplimiento de los principios de acceso a la informacin y
circulacin reservada que regula la proteccin de datos se
considera pertinente hacer las siguientes modificaciones al
texto en busca de un real reconocimiento de la proteccin de
datos en Colombia.
Artculo 2. mbito de aplicacin.
1. Se elimina el pargrafo del literal b):
Pargrafo. el literal anterior se aplicara solo cuando los datos
contenidos en estas bases de datos cumplan con las
caractersticas de reserva de datos que hacen parte de
investigaciones judiciales.
Lo anterior ya que de dejarse su interpretacin puede causar
conflicto por dejar la puerta abierta a que cualquier persona
89 Ver folio 64 del cuaderno de pruebas No. 4 (pgina S de la Gaceta No. 39 de 20 lO)
90 Ver folios 37 a SS del cuaderno de pruebas No. 4
73
Expediente PE-032
pudiera acceder a informacin clasificada por temas de
seguridad nacional que no se encuentren sujetas a
investigacin judicial.
2. Se adiciona un literal d) V pargrafo nuevo al final del
artculo 2:
2.1. Ud) bases de datos que tengan como fin informacin de
inteligencia V contrainteligencia. "
El nuevo literal d) se incluye dado a que si bien se sostiene en
el literal c) del mismo artculo una descripcin de bases de
datos relacionadas con el tema de seguridad del Estado, es
bien sabido que el tema de inteligencia y contra inteligencia
debe tratarse con sumo cuidado ya que aunque guarda
estrecha relacin con la seguridad del Estado, su manejo y
fines son autnomos, motivo por el cual y respetando la
jurisprudencia vigente se prefiere identificar de manera clara
la exclusin condicionada de este tipo de bases de datos .
2.2. Pargrafo. Los principios sobre proteccin de datos sern
aplicables a todas las bases de datos. incluidas las
exceptuadas en el presente artculo. con los limites dispuestos
en la presente ley y sin reir con los datos que tienen
caractersticas de estar amparados por la reserva legal. En el
evento que la normatividad especial que regule las bases de
datos exceDtuadas Drevea principios que tenJ!an en
consideracin la naturaleza especial de datos. los mismos
aplicarn de manera concurrente a los previstos en la
presente ley.
La inclusin del pargrafo obedece a que sin importar la
finalidad que tenga la base de datos, mientras esta contenga
informacin y datos personales se deber respetar los
principios generales que regulan el tratamiento y proteccin de
datos; as lo ha sostenido en reiteradas ocasiones la Corte
Constitucional al enunciar el desarrollo y alcance que deben
tener los principios que regulan el tema de la proteccin de la
informacin. Una legislacin unificada y clara sobre el tema
en desarrollo se hace completamente necesaria respondiendo
siempre a los principios de necesidad y proporcionalidad,
motivo por el cual pretender dejar bases de datos sin que les
sea aplicable los principios de la administracin de datos, solo
debera hacerse en respuesta a un estudio particular de cada
caso que sobre fundamentos verdicos y con argumentacin
suficiente que permita, a travs del test de razonabilidad,
74
Expediente PE-032
decidir y motivar por qu no se aplicarn los principios
bsicos que desarrolla un derecho fundamental, basta con
analizar desde la ptica de la Corte los principios de libertad,
necesidad" veracidad, integridad, finalidad. Y su importancia
en el desarrollo del derecho fundamental al Hbeas Data, la
proteccin de datos personales y la autodeterminacin
informtica .
Artculo 5 "Datos sensibles"
Se adiciona lo que se subraya:
"Para los propsitos de la presente ley, se entiende por datos
sensibles aquellos que afectan la intimidad del Titular o cuyo
uso indebido puede generar su discriminacin, tales como
aquellos que revelen el origen racial o tnico, la orientacin
poltica, las convicciones religiosas o filosficas, la
pertenencia a sindicatos, organizaciones sociales, de Derechos
Humanos, o que promueva intereses de cualquier partido
poltico o que garanticen los derechos V garantas de partidos
polticos de oposicin, as como los datos relativos a la salud,
a la vida sexual y los datos biomtricos ".
La inclusin de las definiciones al texto para que se consideren
estos como datos sensibles se hace motivados por la
importancia que resguarda la informacin que se relaciona
con posiciones polticas o trabajo en Derechos Humanos,
ejemplo de lo anterior son los innumerables casos de
colombianos que por pertenecer a un sindicato o ser defensores
de Derechos Humanos han terminado siendo vctimas de
innumerables delitos, all radica el hecho de darle proteccin
especial a este tipo de informacin.
Artculo 29.
1. Se modifica la frase "haga sus veces" por "ejerza esta
funcin", se adicionan las frases "o quien ejerza esta
(uncin" y "o de quien ejerza esta {uncin" despus de la
palabra Departamento Administrativo de Seguridad.
2. Se adiciona un pargrafo No. 2
La adicin del pargrafo busca que los antecedentes judiciales
expedidos por el Departamento Administrativo de Seguridad,
DAS, o la entidad que ejerza la funcin de expedirlo lo haga
usando los medios tecnolgicos necesarios para que al igual
75
Expediente PE-032
que otras entidades como la Procuradura General de la
Nacin, o la Personera el interesado pueda consultar de
manera gratuita y a travs de la pgina de la entidad
encargada, el registro de antecedentes judiciales donde se
pueda saber si existe o no antecedentes judiciales sin que se
haga necesario que se estipule en esta informacin el
prontuario o el motivo del antecedente, esto en pos del derecho
a la igualdad, el acceso a la informacin y el Hbeas Data.
2. Un tercer pargrafo nuevo al artculo 29
La expedicin del certificado judicial afirmando que no tiene
antecedentes penales para las personas que han cumplido su
pena o les ha sido declarada prescrita, si bien es respetuosa
del derecho al Hbeas Data, puede generar el error en los
nominadores de las entidades pblicas de dar posesin a una
persona violando los artculos 122, 179 numeral 1, 197, 232,
249, 264 Y 267 de la Constitucin Poltica de Colombia.
Por lo anterior y para armonizar las dos disposiciones, se
incluye el pargrafo 2o afirmando que el certificado judicial
expedido a solicitud de los peticionarios de sus propios
registros, no ser vlido en aquellos cargos donde se requiera
la carencia total de antecedentes. En estos casos, debern dar
cumplimiento estricto a lo sealado en el artculo 17 del
Decreto-ley 2150 de 1995:
Cuando las entidades de la Administracin Pblica requieran
la presentacin de los antecedentes judiciales o de polica,
disciplinarios o profesionales acerca de un ciudadano en
particular debern, previa autorizacin escrita del mismo,
solicitarlos directamente a la entidad correspondiente. Para
este efecto, el interesado deber cancelar los derechos
pertinentes si es del caso.
3. El nombre de este artculo en el Ttulo IX otras
disposiciones.
Ttulo del artculo 29
Artculo 29. Certificacin de antecedentes judiciales .
Se incluyen 2 artculos nuevos, el artculo 30 y 31Artculo
30 (nuevo)
Se adiciona un artculo titulado Datos con fines de inteligencia
y contrainteligencia; con el cual se busca que la captura,
76
Expediente PE-032
archivo, tratamiento, divulgacin y uso de datos e informacin
sensible y personal del titular en bases de datos relacionadas
con inteligencia y contrainteligencia; sean manejados con los
criterios propios de la proteccin de datos sensibles,
determinndose responsabilidad sobre los funcionarios que
estn encargados no solo del tratamiento y recopilacin de la
informacin sino de aquellos que ordenan su captura y
tratamiento tales como jefes, directores y subdirectores de las
unidades especiales, seccionales, divisiones y dems
delegaciones que por autorizacin, por su naturaleza o
misionalidad ejerzan estas funciones; as como quienes estn
autorizados en los respectivos manuales de dichas
dependencias y quienes autoricen u ordenen operaciones o
misiones de trabajo desde los organismos que realizan
actividades de inteligencia y contrainteligencia o que hagan
parte de la Junta de Inteligencia Conjunta.
Se adiciona un artculo titulado Datos con fines de inteligencia
y contrainteligencia; con el cual se busca que la captura,
archivo, tratamiento, divulgacin y uso de datos e informacin
sensible y personal del titular en bases de datos relacionadas
con inteligencia y contrainteligencia; sean manejados con los
criterios propios de la proteccin de datos sensibles,
determinndose responsabilidad sobre los funcionarios que
estn encargados no solo del tratamiento y recopilacin de la
informacin sino de aquellos que ordenan su captura y
tratamiento tales como jefes, directores y subdirectores de las
unidades especiales, seccionales, divisiones y dems
delegaciones que por autorizacin, por su naturaleza o
misionalidad ejerzan estas funciones; as como quienes estn
autorizados en los respectivos manuales de dichas
dependencias y quienes autoricen u ordenen operaciones o
misiones de trabajo desde los organismos que realizan
actividades de inteligencia y contrainteligencia o que hagan
parte de la Junta de Inteligencia Conjunta.
Propiciando siempre que la captura, archivo, tratamiento,
divulgacin y uso de datos e informacin sensible y personal
del titular se haga atendiendo la Constitucin y la ley y sin
vulnerar derechos fundamentales como el Hbeas Data, el
buen nombre y la honra cumpliendo estrictos lineamientos,
guardando y manteniendo absoluta reserva frente a terceros y
dando a conocer al titular aquella parte de la informacin que
pueda conocer, actualizar o rectificar en virtud del artculo 15
de la Constitucin siempre que con el ejercicio de este no se
vulnere la reserva judicial o la ley. Evitando que estos datos
Expediente PE-032
77
M.P . Jorge Ignacio Pretelt Chaljub
puedan hacerse pblicos o difundirse salvo, existencia de un
antecedente penal o contravenciones y ojal nunca antes de la
etapa de juzgamiento.
Ya que en concordancia con lajurisprudencia vigente, la Corte
sostiene estos mismos postulados en sinnmero de sentencias"
2.2.5.5.Anuncio y aprobacin en cuarto debate
De acuerdo con lo comunicado por el Secretario General del Senado de
la Repblica
91
, en sesin plenaria del 14 de diciembre de 2010 se
anunci la discusin y aprobacin del proyecto de ley, como puede
leerse en el Acta No. 33 de esa fecha, publicada en la Gaceta del
Congreso No. 78 del 10 de marzo de 2011. El anuncio se realiz como
. , 92
a contmuaClOn se cIta :
"Por instrucciones de la Presidencia y, de conformidad con el
Acto legislativo 01 de 2003, por Secretara se anuncian los
proyectos que se discutirn y aprobarn en la prxima sesin.
Seor Presidente, los siguientes son los proyectos para la sesin
del da de maana:
Proyectos con ponencia para Segundo Debate
(. ..)
Proyecto de ley nmero 184 de 2010 Senado, 046 de 2010
Cmara, por la cual se dictan disposiciones generales para la
(. ..)
Todos estos proyectos estn debidamente publicados en la
Gaceta del Congreso, estn ledos seor Presidente los proyectos
y anunciados para la prxima sesin"
Al finalizar se lee:
"Siendo las 8:30 p. m., la Presidencia levanta la seSlOn y
convoca para el da mircoles 15 de diciembre de 2010, a las
9:00 a. m. "
En efecto, el proyecto de ley fue aprobado con votacin nominal, en
sesin plenaria del 15 de diciembre de 2010, contenida en el Acta No.
34 de la misma fecha, publicada en la Gaceta del Congreso No. 80 del
11 de marzo de 2011.
92 Ver folios 254 y 462 del cuaderno de pruebas No. 5
Expediente PE-032
78
En relacin con el qurum y las mayoras, el Secretario General del
Senado de la Repblica seal en certificacin suscrita el 24 de marzo
del presente ao, que "[l)a votacin fue de 57 votos as: 56 votos por el
SI y un 1 voto por el NO,,93 . En el Acta No. 34 del 15 de diciembre de
2010, se observa que el informe con que termina la ponencia fue
aprobado con 60 votos a favor; y el articulado en bloque y el ttulo
fueron aprobados con 56 votos positivos y un (1) voto en contra
94

El texto definitivo aprobado en el Senado de la Repblica, fue publicado
en la Gaceta del Congreso No. 1118 del 22 de diciembre de 2010. En
l es posible identificar que se acogieron todas las modificaciones
propuestas en el informe de ponencia para segundo debate en el Senado,
yen el Acta No. 34 del 15 de diciembre de 2010 tambin se observa que
durante la discusin del proyecto no se propusier:an ni aprobaran
cambios adicionales.
2.2.6. Conciliacin del proyecto de ley
Tal como lo verific la Sala Plena al realizar el recuento del trmite de
aprobacin del proyecto de ley en estudio y al evidenciar las
transformaciones en el contenido del mismo durante las diferentes
etapas, los textos aprobados por la Cmara de Representantes y por el
Senado de la Repblica terminaron siendo distintos, de manera que en
virtud de los dispuesto por el artculo 161 Superior, fue necesario
conformar una comisin accidental de conciliacin en bsqueda de
superar las discrepancias existentes, Comisin de la que hicieron parte el
Senador Lus Fernando Velasco y el Representante a la Cmara Alfredo
Deluque Zuleta.
Dichas discrepancias se encuentran en los artculos 2, 4, 5, 10, 12, 15,
17,18,19,21 Y 26 y con la creacin de los artculos 27, 28, 29, 30, 31 y
32.
2.2.6.1.Contenido del informe de conciliacin al proyecto de ley bajo anlisis y
su publicacin en la Gaceta del Congreso
La Comisin Accidental de Conciliacin adopt, en general, el texto
aprobado por el Senado de la Repblica, salvo los cambios hechos por
esa clula legislativa al texto de los literales b) y f) del artculo 4,
quedando tal como fue aprobado por la Cmara de Representantes.
Adicionalmente, se corrigieron algunos errores mecanogrficos y
gramaticales que se encontraron en los artculos 2 y 29.
93 Ver certificacin a folio I del cuaderno de pruebas No. 5. Igualmente, ver pginas 78 a 83 de la Gaceta No.
80 de 20 11, a folios 179 a 182 del mismo cuaderno de pruebas.
94 Ver 183 y 184 del cuaderno de pruebas No. 5 (pginas 82 y 83 de la Gaceta No. 80 de 2011 .
79
Expediente PE-032
El informe de conciliacin fue publicado en las Gacetas del Congreso
No. 1101 y 1102 del 15 de diciembre de 2010.
2.2.6.2.Aprobacin del informe de conciliacin en la Cmara de
Representantes
En sesin plenaria de la Cmara de representantes del 15 de diciembre
de 2011, fue anunciada la discusin y aprobacin del informe de
conciliacin, tal como consta en el Acta No. 42 de esa fecha, publicada
en la Gaceta del Congreso No. 287 del 20 de mayo de 2011. El
anuncio se realiz de la siguiente forma
95
:
"Se anuncian los siguientes proyectos para Sesin Plenaria
del da 16 de diciembre del 2010, segn el Acto Legislativo
nmero 1 de julio 3 de 2003 en su artculo 8 ~
Informes de conciliacin:
Proyecto de Ley Estatutaria nmero 046 de 2010 Cmara
184 de 2010 Senado, por la cual se dictan disposiciones
generales para la proteccin de datos personales.
(. ..)
Seor Presidente, han sido anunciados los proyectos de ley
para la Sesin Plenaria del da de maana 16 de diciembre
del 2010. "
y al finalizar la sesin, se lee:
"Se le se levanta la sesin y se convoca maana a las nueve y
media de la maana. "
El informe de conciliacin fue aprobado al da siguiente, en la sesin del
16 de diciembre de 2010, tal como se verifica en el Acta No. 43 de esa
fecha, contenida en la Gaceta del Congreso No. 237 del 6 de mayo de
2011.
De acuerdo con lo afirmado por el Secretario General de esa corporacin
en certificacin expedida el 26 de mayo del presente ao
96
, el informe
de conciliacin fue aprobado en votacin nominal con la mayora
absoluta exigida constitucionalmente, con 98 votos positivos, tal como
se observa en las pginas 20 y 21 de la Gaceta No. 237 de 2011
97
:
95 Ver folio 158 del cuaderno de pruebas No. 7.
96 Ver folio l del cuaderno de pruebas No. 6
80
Expediente PE-032
"Secretario General, doctor Jess Alfonso Rodrguez c.:
Proyecto de Ley 46 de 2010 Cmara, 184 de 2010 Senado, por
la cual se dicta n disposiciones generales para la proteccin
de los datos personales, seor Presidente.
Direccin de la Presidencia doctor Carlos Alberto Zuluaga
Daz:
Est ledo el informe de conciliacin por el seor Secretario,
se abre su discusin, contina su discusin, va a cerrarse,
queda cerrado. Abra el registro.
Secretario General, doctor Jess Alfonso Rodrguez c.:
Se abre el registro, se les recuerda que este es un proyecto de
ley estatutaria y requiere mayora absoluta para su
aprobacin, este informe.
Roosvelt Rodrguez vota S.
Madrid Hodeg vota S.
Joaqun Camelo vota S.
Humphrey Roa vota S.
Buenaventura Len vota S.
Raimundo Mndez vota S.
Laureano Acua vota S.
A los que votan verbalmente, les pido el favor, con el mayor
respeto, que no lo vuelvan a hacer electrnicamente, porque
nos arroja un resultado equivocado.
Direccin de la Presidencia doctor Carlos Alberto Zuluaga
Daz:
Se cierra, seor Secretario.
Secretario General, doctor Jess Alfonso Rodrguez c.:
Se cierra la votacin. Por el S 97. Ha sido aprobado, doctor.
Deja constancia de su voto positivo, s, ha sido aprobado el
informe de conciliacin del Proyecto de Ley 046 de 2010
Cmara, 184 de 2010 Senado.
(oo.)
NOTA ACLARATORIA
81
Expediente PE-032
Acta nmero 43 del 16 de diciembre de 2010
Se aclara por parte de la Secretara General de la Cmara de
Representantes que el resultado de la votacin electrnica y
manual adjunto, Informe de Conciliacin al Proyecto de Ley
Estatutaria, disposiciones generales para la proteccin de
datos personales, es: Por el S 98 con el voto positivo del
honorable Representante Rafael Antonio Madrid Hodeg. "
2.2.6.3.Anuncio y aprobacin del informe de conciliacin en el Senado de la
Repblica
El informe de conciliacin fue anunciado en la seSlOn plenaria del
senado del 15 de diciembre de 2011, como consta en el Acta No. 34 de
esa misma fecha, publicada en la Gaceta del Congreso No. 80 delll de
marzo de 2011. La aprobacin del informe fue anunciada como a
continuacin de lee:
"Por instrucciones de la Presidencia y, de conformidad con el
Acto Legislativo 01 de 2003, por Secretara se da lectura a los
proyectos que se discutirn y aprobarn en la prxima sesin.
Seor Presidente, son los proyectos para maana,
Con informe de Conciliacin
Proyecto de ley nmero 184 de 2010 Senado, 046 de 2010
Cmara"
En efecto, la Plenaria del Senado de la Repblica aprob el informe de
conciliacin al da siguiente, 16 de diciembre de 2010, como se observa
en el Acta No. 35 de la misma fecha, contenida en la Gaceta del
Congreso No. 81 del 14 de marzo de 2011
98

Mediante comunicacin fechada 24 de marzo de 2011
99
, el Secretario
General del Senado, certific que el informe de conciliacin se aprob
nominalmente con "61 votos por el s". En el Acta No. 36 del 16 de
diciembre de 2010, se lee:
"La Presidencia somete a consideracin de la plenaria el
Informe de Conciliacin al Proyecto de ley nmero 184 de
2010 Senado, 046 de 2010 Cmara; cierra su discusin y, de
conformidad con el Acto Legislativo 01 de 2009, abre la
82
Expediente PE-032
votacin e indica a la Secretaria abrir el registro electrnico
para proceder a la votacin nominal.
La Presidencia cierra la votacin e indica a la Secretaria
cerrar el registro e informar el resultado de la votacin.
Por Secretaria, se informa el siguiente resultado:
Por el S: 61
Total: 61 votos"
2.2.7. Constitucionalidad del trmite legislativo del proyecto de ley
Estatutaria bajo estudio
2.2.7.1.Cumplimiento de los requisitos especiales para la aprobacin de leyes
estatutarias en el caso concreto: cumplimiento del requisito de mayora
absoluta
La aprobacin del proyecto de ley durante todas las etapas se dio con el
voto positivo de la mitad ms uno de los miembros de cada clula
legislativa, tal como lo exige el artculo 153 Superior y, adems, de
conformidad con lo previsto en el artculo l33 de la Carta, modificado
por el artculo 5 del Acto Legislativo 1 de 2009, el voto de los
miembros del Congreso ser nominal y pblico. Veamos:
i) La aprobacin del proyecto de ley en primer debate en la Cmara de
Representantes se dio con el voto afirmativo de 31 Representantes de
los 35 que conforman la Comisin100.
ii) La aprobacin en la plenaria de la Cmara de Representantes se dio con
OtO 101
89 t . vo os POS) lVOS
iii) En la Comisin Primera del Senado de la Repblica el proyecto de ley se
aprob con el voto positivo de 13 Senadores de los 18 que conforman
la Comisin
102

iv) En la plenaria del Senado votaron afirmativamente 56 Senadores y
negativamente un (1) Senador
,03
.
v) El informe de conciliacin fue aprobado por la plenaria de la Cmara de
Representantes con el voto positivo de 98 Representantes
104

vi) La plenaria del Senado de la Repblica aprob el informe de
conciliacin con el voto afirmativo de 61 Senadores
105
.
100 Ver acpite 2. 1.2. (b), pgina 6, Supra.
\0\ Ver acpite 2.1.4. (b), pginas 9 y 10, Supra.
102 Ver acpite 2.2.3. (b), pgina 14, Supra.
\03 Ver acpite 2.2.5. (b), pgina 20, Supra.
104 Ver acpite 2.3.2. (b), pginas 21 y 22, Supra.
105 Ver acpite 2.3.3. (b), pginas 22 y 23, Supra.
83
Expediente PE-032
2.2.7.2.Aprobacin dentro de una sola legislatura
El proyecto de ley estatutaria fue radicado en el Congreso de la
Repblica el 3 de agosto de 2010, publicndose su texto con la
exposicin de motivos el 4 de agosto de 2010, en la Gaceta del
Congreso No. 488 de esa fecha. El proyecto de ley fue finalmente
aprobado por las plenarias de las cmaras con informe de conciliacin,
en sesiones del 16 de diciembre de 2010. As las cosas, esta Sala
verifica que el proyecto de ley bajo estudio fue aprobado dentro de una
sola legislatura, en este caso, dentro de la que se inici el 20 de julio de
2010 y finaliz el 20 de junio de 2011, cumplindose con lo dispuesto en
el artculo 153 de la Carta.
2.2.8. Cumplimiento de los requisitos generales para la aprobacin de
leyes
2.2.8.1.Publicacin del proyecto de ley, antes de darle curso en la Comisin
respectiva (numeral 1 del artculo 157 de la Carta)
Tal como lo demostr esta Sala al describir las etapas surtidas durante el
trmite del proyecto de ley bajo examen, ste fue publicado previo a
darle curso en cada una de las comisiones y cmaras. En efecto:
i) El proyecto de ley presentado por el Gobierno ante el Congreso de la
Repblica fue publicado el 4 de agosto de 2010 (Gaceta del Congreso
No. 488 de esa fecha) y se dio inicio al primer debate en la Comisin
Primera de la Cmara de Representantes, el14 septiembre de 2010
106
.
ii) La publicacin del informe de ponencia para segundo debate en la
Cmara de Representantes, se dio el 28 de septiembre de 2010 (Gaceta
del Congreso No. 706 de esa fecha), y se inici la discusin del proyecto
de ley en la plenaria de dicha clula legislativa, el 13 de octubre de
2010
107

iii) As mismo, el informe de ponencia para primer debate en el Senado de la
Repblica, fue publicado el 2 de diciembre de 2010 (Gaceta del
Congreso No. 1023 de igual fecha) y el primer debate en la Comisin
Primera ocurri el 6 de diciembre de 2010
108

106 As consta en el acta No. 12 de esa misma fecha, publicada en la Gaceta del Congreso No. 958 del 24 de
noviembre de 2010.
107 Ver Acta No. 23 de la misma fecha, publicada en la Gaceta del Congreso 849 del 2 de noviembre de 20 I O.
to8 Segn consta en el Acta No . 33 de la misma fecha, publicada en la Gaceta del Congreso 39 del 11 de
febrero de 2011.
84
Expediente PE-032
iv) De igual forma, la publicacin de la ponencia para segundo debate en el
Senado de la Repblica se realiz el 13 de diciembre de 2010 (Gaceta
del Congreso No. 1080 de esa fecha), y el debate se llev a cabo el15 de
diciembre de 2010
109
.
v) Finalmente, el informe de la Comisin Accidental de Conciliacin fue
publicado el 15 de diciembre de 2010 (Gacetas del Congreso No. 1101
y 1102 de esa fecha), y el mismo fue discutido y aprobado en las
plenarias de ambas cmaras el16 de diciembre de ese mismo ao
1lO
2.2.8.2.Cumplimiento de los trminos para la iniciacin de los debates
El primer inciso del artculo 160 Superior establece que entre el primero
y el segundo debate deber mediar un lapso no inferior a ocho das, y
entre la aprobacin del proyecto en una de las cmaras y la iniciacin del
debate en la otra, deber transcurrir por lo menos quince das.
En el procedimiento del proyecto de ley bajo estudio observa esta Sala
que se cumpli con los trminos constitucionales arriba indicados. As,
entre la aprobacin del proyecto de ley en la Comisin Primera de la
Cmara de Representantes (14 de septiembre de 2010) y la fecha del
segundo debate en esa clula legislativa (13 de octubre) transcurrieron
ms de ocho das. De igual forma, entre el primer debate en el Senado de
la Repblica (6 de diciembre de 2010) y el debate en su Plenaria (15 de
diciembre), pas un tiempo mayor a ocho das.
Adems, entre la aprobacin del proyecto de ley en la Cmara de
Representantes (13 de octubre de 2010) y la iniciacin del debate en el
Senado de la Repblica -Comisin Primera- (6 de diciembre),
sucedieron ms de 15 das.
2.2.8.3.Anuncio previo a la votacin del proyecto de ley
El artculo 8 del Acto Legislativo 1 de 2003, que adicion el ltimo
inciso del artculo 160 de la Carta, dispone que ningn proyecto de ley
podr someterse a votacin en sesin diferente a aquella para la cual fue
anunciado previamente y, adems, el aviso deber realizarse en sesin
distinta a aquella en que se debata y vote el proyecto de ley.
Segn lo establece la jurisprudencia pertinente, esta disposicin busca
evitar la votacin sorpresiva de los proyectos de ley y actos legislativos,
109 Sesin Plenaria contenida en el Acta No. 34 de la misma fecha, publicada en la Gaceta del Congreso No. 80
del I 1 de marzo de 2010.
110 As se observa en el Acta No. 43 de la sesin plenaria de la Cmara de Representantes de esa fecha,
contenida en la Gaceta del Congreso No. 237 del 6 de mayo de 2011 . E igualmente, en el Acta No. 35 de la
sesin plenaria del Senado de la Repblica de la misma fecha, contenida en la Gaceta del Congreso No. 81 del
14 de marzo de 2011
Expediente PE-032
85
en aras de permitir que los congresistas se enteren de los proyectos que
van a ser discutidos y votados en las sesiones siguientes] 11.
Desde el punto de vista de la defensa de los valores democrticos, la
jurisprudencia sostiene que el anuncio "facilita a los ciudadanos y
organizaciones sociales que tengan inters en influir en la formacin de
la ley y en la suerte de sta, ejercer sus derechos de participacin
poltica (Artculo 40 C. P.) con el fin de incidir en el resultado de la
votacin, lo cual es importante para hacer efectivo el principio de
democracia participativa (Articulas 1 y 3 c.P.) ,,112
La exigencia del anuncio previo se trata entonces de una exigencia de
rango constitucional, para afianzar el principio democrtico, el respeto
por las minoras parlamentarias, y la publicidad y transparencia del
proceso legislativo.
As las cosas, del texto de la disposicin constitucional se desprende que
el anuncio debe cumplir con los siguientes requisitosl1
3
:
"a) El anuncio debe estar presente en la votacin de todo
proyecto de ley.
b) El anuncio debe darlo la presidencia de la cmara o de la
comisin en una sesin distinta y previa a aquella en que debe
realizarse la votacin del proyecto.
c) La fecha de la votacin debe ser cierta, es decir,
determinada o, por lo menos, determinable.
d) Un proyecto de ley no puede votarse en una sesin distinta
a aquella para la cual ha sido anunciado ".
Tal como lo evidenciaba esta providencia en apartes anteriores, en el
caso concreto esta Corporacin encuentra que durante todas las etapas
del procedimiento del proyecto de ley, se cumpli con los requisitos
mencionados para que se entienda surtido el anuncio previo. Veamos:
i) El proyecto de ley fue anunciado para su discusin y aprobacin en
primer debate en la Comisin Primera de la Cmara de Representantes,
para el "prximo martes ", en la sesin del mircoles 8 de septiembre de
2010
114
. Y, en efecto, el proyecto de ley fue aprobado en primer debate
el siguiente martes, 14 de septiembre de 2010
115

111 cfr. Sentencia C-644 de 2004, M.P. Rodrigo Escobar Gil, Auto 038 de 2004 M.P. Manuel Jos Cepeda
Espinosa y Sentencia C-533 de 2004 M.P. lvaro Tafur Galvis
112 Auto A-089 de M.P.: Manuel Jos Cepeda Espinosa; sV: Jaime Araujo, Alfredo Beltrn, Jaime Crdoba y
Clara Ins Vargas.
113 Sentencia C-576 de 2006
114 As consta en el Acta No. II de esa fecha, publicada en la Gaceta del Congreso No. 957 del 24 de
noviembre de 20 10
115 Segn consta en el Acta No. 12 de esa misma fecha, publicada en la Gaceta del Congreso No. 958 del 24 de
noviembre de 2010.
Expediente PE-032
86
ii) Durante el segundo debate en la Cmara de Representantes, en principio,
el proyecto de ley fue anunciado el 12 de octubre de 2010 para el da
.. ". , 1 13 d b ,,116
SIgUIente, mzerco es e octu re
Sin embargo, si bien en la sesin del da 13 de octubre de 2010 se
inici la discusin del proyecto, la Plenaria decidi realizar su votacin
en la siguiente sesin, anuncindolo de nuevo en debida forma "para la
Sesin Plenaria del da 19 de octubre,,117.
Efectivamente, el proyecto de ley fue aprobado en la sesin plenaria del
19 de octubre de 2010, segn consta en el Acta No. 24 de la misma
fecha, publicada en la Gaceta del Congreso 868 del 4 de noviembre de
2010.
iii) En sesin del 2 de diciembre de 2010, se anunci la discusin y
aprobacin del proyecto de ley en primer debate en la Comisin Primera
del Senado de la Repblica, "para el lunes 6 de diciembre de 2010,,118.
As ocurri, pues el proyecto de ley fue discutido y aprobado en dicha
Comisin, el 6 de diciembre de 2010, segn consta en el Acta No. 33 de
la misma fecha, publicada en la Gaceta del Congreso 39 del 11 de
febrero de 2011.
iv) En sesin plenaria del 14 de diciembre de 2010 se anunci la discusin
y aprobacin del proyecto de ley "para el da mircoles 15 de diciembre
de 2010", como puede leerse en el Acta No. 33 de esa fecha, publicada
en la Gaceta del Congreso No. 78 del 10 de marzo de 2011.
En efecto, el proyecto de ley fue aprobado en sesin plenaria del 15 de
diciembre de 2010, contenida en el Acta No. 34 de la misma fecha,
publicada en la Gaceta del Congreso No. 80 del 11 de marzo de 2010.
v) El informe de conciliacin fue anunciado para discusin en la plenaria de
la Cmara de Representantes, el da 15 de diciembre de 2011 "para la
Sesin Plenaria del da de maana 16 de diciembre del 2010,,119.
Tal como se anunci, el informe de conciliacin fue aprobado al da
siguiente, en la sesin del 16 de diciembre de 2010, lo que se verifica en
116 Tal como consta en el Acta No. 22 de la misma fecha, publicada en la Gaceta del Congreso 925 del 18 de
noviembre de 20 I O.
117 As se observa en el Acta No. 23 de la misma fecha, publicada en la Gaceta del Congreso 849 del 2 de
noviembre de 20 I O
118 Sesin contenida en el Acta No. 32 de esa fecha, publicada en la Gaceta del Congreso No. 38 del II de
febrero de 20 lI
119 Como consta en el Acta No. 42 de esa fecha, publicada en la Gaceta del Congreso No. 287 del 20 de mayo
de 2011
Expediente PE-032
87
el Acta No. 43 de esa fecha, contenida en la Gaceta del Congreso No.
237 del 6 de mayo de 2011.
vi) El informe de conciliacin fue anunciado para el da siguiente en la
sesin plenaria del senado del 15 de diciembre de 2011, como consta en
el Acta No. 34 de esa misma fecha, publicada en la Gaceta del
Congreso No. 80 del 11 de marzo de 2011.
En efecto, la Plenaria del Senado de la Repblica aprob el informe de
conciliacin al da siguiente, 16 de diciembre de 2010, como se observa
en el Acta No. 35 de la misma fecha, contenida en la Gaceta del
Congreso No. 81 del 14 de marzo de 2011.
2.2.8.4. Vulneracin de los principios de consecutividad e identidad flexible en
la aprobacin de los artculos 29, 30 Y 31
2.2.8.4.1. Caracterizacin de los principios
En relacin con el principio de unidad de materia, debe aclararse que si
bien la jurisprudencia constitucional ha entendido que la violacin de
este principio constituye un vicio material 120, lo cierto es que tambin ha
explicado que el mismo tiene un papel decisivo en la racionalizacin del
proceso de elaboracin de la ley y surge con ocasin de la aprobacin de
la norma objeto de estudio a pesar de que sta no guarde unidad de
. l' 1 ,. d 1 1 1 . 121 '
matena con e nuc eo tematlco e a ey que a contIene ; por esa razon,
esta Sala considera pertinente, para efectos de organizacin y coherencia
de la sentencia, abordar desde ahora el cumplimiento de este principio.
En segundo lugar, el artculo 158 de la Carta dispone que "(t)odo
proyecto de ley debe referirse a una misma materia y sern inadmisibles
las disposiciones o modificaciones que no se relacionen con ella" y el
artculo 169 seala que "(e)l ttulo de las leyes deber corresponder
precisamente a su contenido ".
120 Ver sentencia C-486 de 2009, M.P. Mara Victoria Calle Correa. La Corte ha sealado claramente que un
vicio por desconocimiento del principio de unidad de materia tiene carcter sustancial y, por tanto, "no es
subsanable" (Sentencia C-025 de 1993. M.P. Eduardo Cifuentes Muoz); y "por ende la accin contra una
norma legal por violar el artculo 158 de la Carta no caduca" (Sentencia C-531 de 1995. M.P. Alejandro
Martnez Caballero). Ver adems las sentencias C-256 de 1998 M.P. Fabio Morn Dfaz, C-006 de 200 l M.P.
Eduardo Montealegre Lynett, C-50 I de 2001 M.P. Jaime Crdoba Trivio, C-120 de 2006 MP. Alfredo
Beltrn Sierra, C-506 de 2006 M.P. Clara Ins Vargas Hemndez, C-211 de 2007 M.P. lvaro Tafur Galvis,
C-2 14 de 2007 M.P. lvaro Tafur Galvis y C-230 de 2008 M.P. Rodrigo Escobar Gil.
121 La Corte, entre otras, en la Sentencia C-50l de 2001 (MP. Jaime Crdoba Trevio), en lo referente al
proceso de elaboracin de la ley, ha reconocido como manifestaciones del principio de unidad de materia, i) la
atribucin conferida a los presidentes de las comisiones legislativas de rechazar los proyectos de ley que no se
refieran a una sola materia, y ii) concretar el principio democrtico en el proceso legislativo al propender
porque la iniciativa, los debates y la aprobacin de las leyes se atengan a unas materias predefinidas desde el
surgimiento mismo de la propuesta y que en esa direccin se canalicen las discusiones y los aportes previos a
la promulgacin de la ley
88
Expediente PE-032
De la lectura de estas disposiciones, es posible definir que el principio de
unidad de materia consiste en que cada una de las disposiciones que
conforman un ordenamiento legal, pertenezcan a su ncleo temtico, el
cual puede precisarse, entre otros, con lo establecido en su ttulo. Esto no
se refiere slo a aquellas disposiciones que sean introducidas durante su
trmite de aprobacin, sino que se predica de cualquiera de sus normas,
incluso si estuvo presente desde que el proyecto de ley inici su trmite
en el Congreso -por esto, entre otras razones, no puede entenderse como
un vicio procedimental-o
Esta ltima caracterstica es muy ilustrativa para diferenciarlo del
principio de identidad relativa - con el que suele confundirse-, en tanto
este ltimo slo se predica de las enmiendas que se realicen durante el
trmite legislativo al proyecto inicialmente presentado ante el legislativo,
prohibiendo que stas hagan del proyecto uno totalmente distinto al
concebido hasta ese momento.
Adems, el principio de unidad de materia se distingue del principio de
identidad flexible, en que el primero busca evitar que la temtica
regulada por una disposicin sea absolutamente ajena al ncleo temtico
de la ley que la contiene. En cambio, el principio de identidad propende
por impedir que una norma creada durante el proceso legislativo, cambie
sustancialmente el proyecto de ley que hasta esa etapa se tena. Entonces,
la unidad de materia proscribe las normas que no tengan relacin alguna
con la materia de la ley de la que hacen parte; y, por su parte, la
identidad prohbe la creacin de normas o la modificacin de aspectos
del proyecto de ley que hagan de l uno absolutamente diferente. Por
tanto, puede existir violacin a la unidad de materia porque lo regulado
en un artculo no tenga relacin alguna con el tema del cuerpo legal que
lo contiene, sin que con ello se vulnere la identidad, pues puede que la
existencia o aprobacin de ese artculo no se traduzca en la creacin de
un nuevo proyecto de ley, distinto al inicialmente concebido. Y
viceversa, puede ocurrir que se presente la violacin del principio de
identidad por la enmienda introducida al proyecto de ley, al cambiar su
esencia, sin que implique la violacin de la unidad de materia en tanto lo
consagrado con la enmienda se circunscribe al ncleo temtico del
proyecto de ley, pero hacindolo esencialmente distinto.
En tercer lugar, conforme a reiterada jurisprudencia de esta Corporacin,
ntegramente explicada por la Sentencia CAOO de 2010
122
, los artculos
158 Y 169 de la Carta, buscan racionalizar y tecnificar el proceso
legislativo, tanto en el momento de discusin de los proyectos en el
l22 M.P. Jorge Ignacio Pretelt Chaljub
Expediente PE-032
89
Congreso, como respecto del producto final, es decir de la ley que
finalmente llega a ser aprobada. 123
La Corte ha explicado que las anteriores exigencias constitucionales
obedecen a la necesidad de hacer efectivo el principio de seguridad
jurdica, que impone "darle un eje central a los diferentes debates que la
iniciativa suscita en el rgano legislativo ,,124, y porque luego de
expedida la ley, su cumplimiento reclama un mnimo de coherencia
interna, que permita a los destinatarios de las normas identificarse como
tales y conocer las obligaciones que de ella se derivan. 125
En efecto, refirindose al alcance constitucional del principio de unidad
de materia, la Corte ha sealado que con l se pretende "asegurar que
las leyes tengan un contenido sistemtico e integrado, referido a un solo
tema, o eventualmente, a varios temas relacionados entre s. La
importancia de este principio radica en que a travs de su aplicacin se
busca evitar que los legisladores, y tambin los ciudadanos, sean
sorprendidos con la aprobacin subrepticia de normas que nada tienen
que ver con la(s) materia(s) que constituye(n) el eje temtico de la ley
aprobada, y que por ese mismo motivo, pudieran no haber sido objeto
del necesario debate democrtico al interior de las cmaras legislativas.
La debida observancia de este principio contribuye a la coherencia
interna de las normas y facilita su cumplimiento y aplicacin al evitar, o
al menos reducir, las dificultades y discusiones interpretativas que en el
futuro pudieran surgir como consecuencia de la existencia de
disposiciones no relacionadas con la materia principal a la que la ley se
,.{;
reJzere
,,126
.
Adicionalmente, la jurisprudencia ha precisado que el princIpIO de
unidad de materia se respeta cuando existe conexidad temtica,
teleolgica, causal o sistemtica entre la norma acusada y la ley que la
contiene. 127
Ahora bien, ha estimado que por respeto a la libertad de configuracin
del legislador, el estudio de la existencia de la conexidad en los aspectos
mencionados no debe ser excesivamente rgido
l28
. En el mismo orden de
ideas, la Corte ha considerado que la unidad de materia no significa
simplicidad temtica, por lo que una ley bien puede referirse a varios
asuntos, siempre y cuando entre los mismos exista una relacin de
123 Cfr. Sentencia C-025 de 1993, M.P. Eduardo Cifuentes Muoz. En el mismo sentido, ver tambin la
Sentencia C-I 067 de 2008, M.P. Marco Gerardo Monroy Cabra.
124 Ver bidem
125 Cfr. ibdem
126 Sentencia C-714 de 2008, M.P. Nilson Pinilla Pinilla.
127 Cfr. Sentencia C-786 de 2004, M.P. Marco Gerardo Monroy Cabra.
128 Ibdem
Expediente PE-032
90
conexidad objetiva y razonable
l29
As pues, la Corte ha rescatado el
carcter flexible del control de constitucionalidad que debe ejercerse
cuando se trata de verificar el cumplimiento del principio de unidad de
. 130
matena .
Respecto del principIO de identidad relativa, en primer lugar, debe
indicarse que este principio se deriva del anlisis sistemtico del segundo
inciso del artculo 160 Superior con los numeral 2 y 3 del artculo 157.
As, surge del mandato constitucional segn el cual durante el segundo
debate cada cmara podr introducir las enmiendas que considere
160
131
pertinentes (artculo ), siempre y cuando ellas no cambien la
esencia del proyecto de ley hasta ese momento aprobado, pues, en ese
caso, debern surtir todos los debates requeridos de acuerdo al artculo
15i
32
.
Para mayor ilustracin, es preciso recordar que, en contraste con el
actual carcter flexible del principio de identidad, en la Constitucin
Poltica de 1886, se consagraba un principio de identidad de carcter
absoluto, de acuerdo con el cual los proyectos de ley presentados al
Congreso no podan ser modificados por el legislador durante su trmite
y, entonces, deban ser aprobados idnticos a como fueron radicados en
su ongen.
El constituyente consider necesario, en virtud del principIO
democrtico, deliberativo y pluralista, transversal a la Carta de 1991 y
rotundamente aplicable a la actividad parlamentaria, que dicho principio
se relativizara en funcin de la posibilidad de enmienda de los proyectos
para mejor proveer el contenido, efectividad y racionalizacin de la
legislacin y, por supuesto, de la actividad legislativa. Pero, claro est,
cumplindose los cuatro debates cuando stos se entiendan esenciales
para el proyecto, en garanta de la iniciativa legislativa. De manera que
en esos eventos, las modificaciones, adiciones o supresiones deben ser
trasladadas a la respectiva comisin constitucional permanente para que
agote el trmite ordinario de aprobacin desde el primer debate (artculo
179 de la Ley Orgnica de Reglamento del Congreso )133.
129 Cfr. Sentencias C-025 de 1993, M.P. Eduardo Cifuentes Muoz, reiterada en la Sentencia C-992 de 2001,
M.P. Rodrigo Escobar Gil.
DO Ver Sentencia C-I025 de 2001. MP Manuel Jos Cepeda Espinosa
DI El segundo inciso del artculo 160 Superior establece: "Duranle el segundo debale cada cmara podr
inlroducir al proyeclo las modificaciones, adiciones y supresiones que juzgue necesarias ".
132 Los numerales 2 y 3 del artculo 157 de la Carta sealan:
"Ningn proyeclo ser ley sin los requisilos siguienles:
(oo.)
2") Haber sido aprobado en primer debale en la correspondienle comisin permanenle de cada cmara (oo.).
3; Haber sido aprobado en cada cmara en segundo debale
('oo)"
133 Sobre la caracterizacin del principio de identidad, ver sentencias C-141 de 20 l O, M.P. Humberto Antonio
Sierra Porto; C-539 de 2008, M.P. Humberto Antonio Sierra Porto; C-178 de 2007, M.P. Manuel Jos Cepeda
Espinosa; C-305 de 2004, M.P. Marco Gerardo Momoy Cabra; C-312 de 2004, M.P. Alfredo Beltrn Sierra;
C-1056 de 2003, M.P. Alfredo Beltrn Sierra; C-I147 de 2003, M.P. Rodrigo Escobar Gil; C- 801 de 2003,
--- ---- ----------------------------------------------
Expediente PE-032
91
En sentencia C-401 de 2010
134
, la Corte detennin como ncleo
conceptual del principio de identidad relativa, "la idea que a lo largo de
los cuatro debates se mantenga sustancialmente el mismo provecto, es
decir, que las modificaciones que en ejercicio de los principios de
pluralismo y decisin mayoritaria pueden hacerse al proyecto, no sean
de tal envergadura que terminen por convertirlo en otro completamente
distinto ".
Seal, adems, que esta regla bsica debe estudiarse en relacin con
cada caso en particular, de acuerdo con sus caractersticas concretas,
pero partiendo de que la regla general es el respeto por el principio
democrtico (artculo 133 Superior).
Por otra parte, es preciso referir que cuando se explica el principio de
identidad relativa, usualmente se relaciona de manera automtica, e
incluso se identifica, con el principio de consecutividad, que consiste en
la obligacin de que todo asunto incluido en el proyecto de ley sea
discutido durante los cuatro debates. Ahora bien, esa relacin no es
siempre ineludible pues puede ocurrir que una disposicin no haya sido
aprobada en cuatro debates sin que su contenido convierta al proyecto de
ley en uno totalmente distinto. Sin embargo, s debe afinnarse que
siempre que se identifique un vicio por violacin del principio de
identidad con la introduccin de una enmienda, se traduce en la
vulneracin de la consecutividad pues, precisamente, dichos cambios, a
pesar de ser esenciales, no fueron aprobados o siquiera discutidos con
todos los debates reglamentarios. As que, no toda trasgresin de la
consecutividad implica la violacin de la identidad pero, en cambio, toda
violacin a la identidad involucra una vulneracin a la consecutividad.
Finalmente, sobre el principIO de consecutividad, en primer lugar,
como se explicaba venido explicando, el principio es derivado del
artculo 157 Superior, el cual consagra la obligacin de que todos los
asuntos aprobados en una ley hayan sido debatidos por las comisiones
pennanentes de ambas cmaras y por sus plenarias. Esto no significa que
cada una de las variaciones surgidas durante el trmite legislativo deban
devolverse a primer debate para que surtan todo el proceso, sino que
aquellos asuntos no tratados en lo absoluto durante las etapas previas,
deban devolverse para que sean aprobados o discutidos por la comisin
y/o plenaria que estudi el proyecto con anterioridad. Si ello no ocurre,
entonces se entiende que esas disposiciones se encuentran viciadas de
inconstitucionalidad por violacin del artculo 157 de la Carta. De
M.P. Jaime Crdoba Trivrno; C-839 de 2003, M.P. Jaime Crdoba Trivio; C-922 de 200 1, M.P. Marco
Gerardo Monroy Cabra; C-950 de 2001, M.P. Jaime Crdoba Trivio; y C-1488 de 2000, M.P. Martha
Victoria Schica Mndez.
134 M.P. Humberto Antonio Sierra Porto
92
Expediente PE-032
manera que el princIpiO de consecutividad no se predica de los
contenidos exactos de los artculos, sino de los asuntos o temas
regulados en la ley que los contienen.
As las cosas, para establecer si determinado asunto fue discutido desde
el principio del procedimiento legislativo, ser necesario estudiar en cada
caso concreto si, ya sea en la exposicin de motivos, en el informe de
ponencia para primer debate o en el acta que consigna la discusin y
aprobacin en esa etapa, se encuentran referencias, discusiones o
propuestas que se ocupen del mismo, esto es, sin tener que comprobar
que cada disposicin haya sido propuesta a redactada desde el inicio, tal
cual como se aprob finalmente.
En segundo lugar, bajo este entendido y haciendo referencia a la
jurisprudencia constitucional relacionada con este principio, la sentencia
C-141 de 2010 explic:
"Por otra parte, respecto del princlplO de consecutividad
resulta enunciativa la sentencia C-539 de 2008, en la cual,
citando a la sentencia C-208 de 2005, se expresa "en
desarrollo del principio de consecutividad se impone tanto a las
comisiones como a las plenarias de las Cmaras la obligacin
de examinar V debatir la totalidad de los temas que han sido
propuestos, razn por la cual les resulta prohibido renunciar a
dicho deber o declinar su competencia para diferirla a otra
clula legislativa con el objetivo de postergar el debate de un
determinado asunto ,,} 35. Al respecto, ha sealado la Corte, que
' .. . En efecto, la totalidad del articulado propuesto en la
ponencia presentada debe ser discutido, debatido y aprobado o
improbado por la comisin constitucional permanente o por la
plenaria, segn sea el caso. En cuanto a las proposiciones
modificatorias o aditivas que se planteen en el curso del debate,
as como las supresiones, deben igualmente ser objeto de
discusin, debate y votacin, salvo que el autor de la propuesta
decida retirarla antes de ser sometida a votacin o ser objeto
de modificaciones, conforme a lo dispuesto en el artculo 111
de la Ley 5
a
de 1992. Es preciso que se adopte una decisin y
no se eluda la misma respecto de un tema, so pena de que se
propicie un vaco en el trmite legislativo que vulnere el
principio de consecutividad. ,}36".
13 5 Sentencia C-208 de 2005 "resulta contrario al principio de consecutividad en la aprobacin de las leyes
que un texto propuesto en el seno de las comisiones no sea sujeto al trmite correspondiente, sino que,
simplemente, se delegue su estudio a las plenarias de cada cmara, puesto que tal situacin, en la que la
comisin correspondiente renuncia a su competencia constitucional a favor de las plenarias, impide que se
efecte debidamente el primer debate del proyecto de ley, desconocindose con ello lo dispuesto en el inciso ]O
del artculo /57 C. P."
\36 Sentencias C-80 1 de 2003, C-839 de 2003, C- 1 113 de 2003, C-l 056 de 2003, C-1147 de 2003 y C-1152 de
2003, 1092 de 2003, C-312 de 2004, C-3 J3 de 2004, C-370 de 2004, C-372 de 2004.
93
Expediente PE-032
De manera que el principio de consecutividad debe entenderse
como (O la obligacin de que tanto las comisiones como las
plenarias deben estudiar y debatir todos los temas que ante
ellas hayan sido propuestos durante el trmite legislativo; (ii)
que no se posponga para una etapa posterior el debate de un
determinado asunto planteado en comisin o en plenaria,' y
(iiO que la totalidad del articulado propuesto para primer o
segundo debate, al igual que las proposiciones que lo
modifiquen o adicionen, deben discutirse, debatirse, aprobarse
o improbarse al interior de la instancia legislativa en la que son
sometidas a consideracin. "
Tambin as lo entendi la Corte en Sentencia C-277 de 2011
137
, al
declarar exequible el pargrafo del artculo 8 de la Ley 1340 de 2009,
que haba sido demandado por supuesta vulneracin de los principios de
identidad flexible y consecutividad, en cuanto durante el cuarto debate se
dispuso que adems de la Superintendencia de Industria y Comercio,
establecida como autoridad nica en materia de proteccin de la
competencia, la Aeronutica Civil conservar sus facultades de
proteccin. de la competencia en su sector. Dijo la Corte en esa
oportunidad que tal como se observa en la descripcin hecha al trmite
de la ley, durante los cuatro debates y, especialmente, durante las
discusiones dadas en la Cmara de Representantes, se debati la
necesidad, pertinencia, conveniencia y constitucionalidad de centralizar
la vigilancia, control e inspeccin de la libre competencia en cabeza de
un solo ente, en este caso, de la Superintendencia de Industria y
Comercio, con posiciones a favor y en contra de esa medida. Concluy
entonces que si bien con anterioridad al cuarto debate no se habl
especficamente de la Aeronutica Civil como autoridad en materia de
competencia, la inclusin de la norma acusada responde a las discusiones
surgidas durante el trmite sobre la centralizacin o no de esas facultades
en materia de vigilancia, inspeccin y control de la libre competencia
econmica.
2.2.8.4.2. Enmiendas introducidas durante el trmite del proyecto de ley bajo
estudio y su concordancia con los principios explicados.
De la descripcin realizada por esta Sala sobre la evolucin del proyecto
de ley durante su trmite en el Congreso, es posible identificar que los
cambios de contenido
138
introducidos al proyecto inicial que quedaron
consignados en el proyecto definitivo, . fueron los que se sealarn a
continuacin. Como metodologa, esta providencia analizar frente a
137 M.P. Jorge Ignacio Preteit Chaljub
138 Se aclara que se analizarn los cambios en el contenido de las disposiciones, pues, por impertinentes, no
ser objeto de estudio aquellas modificaciones relaciooadas con la redaccin, gramtica o terminologa.
Expediente PE-032
94
cada uno de ellos, si en su aprobacin se respetaron los principios de
unidad de materia, de identidad relativa y de consecutividad. Veamos:
2.2.8.4.2.1. Adicin de la frase "as como el derecho a la informacin
consagrado en el artculo 20 de la misma" al final del artculo 10
"Objeto", durante el segundo debate.
Podra pensarse que la inclusin del artculo 20 Superior como parte del
objeto de proteccin del proyecto de ley vulnera el principio de unidad
de materia en cuanto esa disposicin constitucional se refiere al derecho
a la informacin, y lo que busca proteger el proyecto de leyes el derecho
a la intimidad a travs de la salvaguarda del uso y acceso de sus datos.
Sin embargo, tal como se explicar ms adelante, el derecho que se est
protegiendo con la expedicin de este proyecto de ley estatutaria es el
derecho autnomo a la proteccin de datos, que se relaciona y tiene
lugares comunes tanto con el derecho a la intimidad como con el derecho
a la veracidad y acceso a la informacin, los cuales se encuentran
consagrados en el artculo 20 constitucional. Si bien no desarrolla
completamente este derecho, las normas s regulan asuntos relativos a la
informacin cuando sta se refiere a datos personales. De manera que no
se vulnera la unidad de materia.
Tampoco la identidad flexible pues no se vari lo regulado hasta ese
momento haciendo del proyecto uno distinto, y tampoco el principio de
consecutividad dado que si bien se agreg durante el segundo debate, no
se trata de la regulacin de un tema o asunto que no haya sido discutido
con anterioridad, pues desde un principio se incluyeron y debatieron
asuntos relacionados con el derecho a la informacin.
Por ejemplo, el proyecto de ley presentado por el gobierno prescriba el
principio de veracidad o calidad: "La informacin sujeta a Tratamiento
debe ser veraz, completa, exacta, actualizada, comprobable y
comprensible. Se prohbe el Tratamiento de datos parciales,
incompletos, fraccionados o que induzcan a error" (literal d) del artculo
4)139, Adems, en la ponencia para primer debate en la Cmara de
Representantes, se sealaba sobre el derecho al habeas data: "Este
derecho tiene naturaleza autnoma y notas caractersticas que lo
diferencian de otras garantas con las que, empero, est en permanente
relacin, como los derechos a la intimidad ya la informacin ,,140
2.2.8.4.2.2. En relacin con el artculo 2
0
, adicin de los literales e), f) y g);
adicin de la frase "as como la prevencin, deteccin, monitoreo y
control del lavado de activos y el financiamiento del terrorismo" en el
literal b); adicin del literal c) y el pargrafo.
139 Ver Gaceta No. 488 de 2010. Folio 493 del cuaderno de pruebas NO.2
140 Ver Gaceta No. 625 de 2010. Folio 425 del cuaderno de pruebas No. 2
95
Expediente PE-032
M .P. Jorge Ignacio Pretelt Chaljub
En el segundo debate se adicionaron los literales d), e) y f) y durante el
cuarto debate se agreg el literal c). Los literales hacen referencia a los
tipos de datos a los que no le son aplicables las disposiciones del
proyecto de ley -salvo las que establecen los principios-o Al inicio del
proceso legislativo, slo se exceptuaba el tratamiento de datos realizado
por una persona natural en un mbito exclusivamente personal o
domstico y aquel que tuviera por objeto la seguridad y defensa
nacional.
Sin embargo, el legislador, durante el segundo y el cuarto debate,
consider que deba exceptuarse el tratamiento de otros datos
consignados en los literales mencionados: c) a las bases de datos que
tengan como fin y contengan informacin de inteligencia y
contrainteligencia; d) a las bases de datos y archivos de informacin
periodstica y otros contenidos editoriales; e) a las bases de datos y
archivos regulados por la Ley 1266 de 2008 (financieros) ; f) a las bases
de datos y archivos regulados por la Ley 79 de 1993 (censo de poblacin
y vivienda).
La creacin de estas excepciones no rompe con ninguno de los principios
arriba explicados. Por el contrario, se trata de una legtima manifestacin
del principio democrtico y de la libertad de configuracin normativa del
legislador. stas se circunscriben al mbito temtico del proyecto de ley
en cuanto excepciones para su alcance, respetando la unidad de materia.
Con su introduccin no se convirti al proyecto de ley en uno distinto, al
tratarse de normas accesorias y no principales para los dems artculos
hasta ese momento aprobados, atendiendo el mandato del principio de
identidad flexible. Y, finalmente, no se contravino el principio .de
consecutividad pues si bien la literalidad de las excepciones fue
formulada durante el segundo y el cuarto debate, el asunto de exceptuar
algunos datos del mbito de aplicacin, fue abordado desde que el
proyecto de ley fue radicado en el Congreso (Gaceta del Congreso No.
488 de 2010). Recurdese que este principio se refiere a la aprobacin de
todos los asuntos o temas en cuatro debates, no al contenido textual de
cada una de las disposiciones.
La anterior conclusin y la argumentacin de la que se deriva, son
vlidas para encontrar que la inclusin de la frase "as como la
prevencin, deteccin, monitoreo y control del lavado de activos y el
financiamiento del terrorismo" en el literal b), tampoco vulner los
principios estudiados.
Adems, en el cuarto debate se agreg el pargrafo del artculo, que, en
esencia se sigue refiriendo al mbito de aplicacin de la ley,
especficamente frente a las excepciones, previendo para su eventual
96
Expediente PE-032
regulacin un estndar mnimo. As que de acuerdo con los anteriores
parmetros, tambin la inclusin de este pargrafo resulta respetar los
principios de unidad de materia, identidad y consecutividad: no es un
tema ajeno al ncleo temtico del proyecto, es realmente una norma
accesoria a la regulacin ya prescrita, y desde que se present el
proyecto de ley se pretendi fijar su alcance o mbito de aplicacin.
2.2.8.4.2.3. Inclusin de nuevos datos sensibles en el artculo 5 durante el
cuarto debate: "organizaciones sociales, de Derechos Humanos, o que
promueva intereses de cualquier partido poltico o que garanticen los
derechos y garantas de partidos polticos de oposicin".
El proyecto de ley presentado al Congreso prevea como datos sensibles
aquellos que revelen el origen racial o tnico, la orientacin poltica, las
convicciones religiosas o filosficas, la pertenencia a sindicatos, as
como los datos relativos a la salud, a la vida sexual y los datos
biomtricos. En cuarto debate el legislador decidi ampliar la definicin,
lo que en nada afecta la unidad de materia, no se aparta de la esencia del
proyecto y, si bien estas especficas categoras fueron incluidas en esa
etapa, el asunto de los datos sensibles fue abordado desde el principio del
trmite, quedando dentro del marco de libertad de configuracin la
ampliacin de lo que deba entenderse como dato sensible.
2.2.8.4.2.4. Sobre el artculo 7, durante el primer debate, se estableci un
trmino de 6 meses para que el Gobierno reglamente el tratamiento de
datos personales de nios, nias y adolescentes. Y en el segundo debate
se aclar que slo la informacin que tenga naturaleza pblica podr ser
objeto de Tratamiento en el caso de las nias, nios y adolescentes
(artculo 7)
Frente a la primera de las enmiendas, debe precisarse que slo procede
analizar el respeto por el principio de unidad de materia, en cuanto fue
aprobado en cuatro debates (consecutividad), de manera que as su
contenido variara la esencia del proyecto (identidad), habra surtido
todas las etapas exigidas constitucionalmente.
En este orden de ideas, esta Sala encuentra que la fijacin de un trmino
para que el gobierno reglamente los datos de los nios, no se aparta del
ncleo temtico del proyecto. Al contrario, la orden de reglamentacin
es una clusula comn a los ordenamientos legales, cuando el legislador
prev que stos requieren de un desarrollo en su aplicacin por parte del
ejecutivo. Adems, de todas maneras su ausencia no impide el ejercicio
de una facultad que es propia del Presidente de la Repblica, segn el
artculo 189 de la Carta.
97
Expediente PE-032
En relacin con la inclusin de una excepcin para la regla general de
prohibicin del tratamiento de datos personales de los nios, cuando la
informacin sea pblica, se tiene que dicha excepcin hace parte del
rgimen de proteccin de datos, en este punto, pertenecientes a nios,
nias y adolescentes, circunscribindose al ncleo temtico del proyecto
de ley. Se trata adems de una norma que accede a lo ya dispuesto en el
artculo 7 sobre los datos de los menores de 18 aos, creando una
excepcin a la prohibicin, sin cambiar el proyecto por uno distinto. Y,
finalmente, en la medida que el tema de la salvaguardia especial de los
datos de los nios como sujetos de especial proteccin constitucional,
fue previsto y abordado desde que se inici el trmite del proyecto de
ley, esta enmienda respet el principio de consecutividad.
Frente a esta ltima cuestin, se anticipa que el mismo anlisis ser
empleado para las dems normas que ordenan la reglamentacin de
ciertos asuntos, haciendo la salvedad que ello no refleja la posicin de la
Sala frente a la constitucionalidad material de dichas disposiciones,
especficamente, sobre la constitucionalidad del otorgamiento de
facultades reglamentarias en determinados asuntos.
2.2.8.4.2.5. Adicin de la segunda parte del literal e) del artculo 8, durante
el primer debate, que seala las condiciones para que sea procedente la
revocatoria de la autorizacin del titular: "La revocatoria y/o supresin
solo proceder cuando la Superintendencia de Industria y Comercio haya
determinado que en el Tratamiento el Responsable o Encargado han
incurrido en conductas contrarias a esta ley y a la Constitucin".
Tal como se explic en el numeral anterior, dado que esta inclusin se
present en el primer debate, es la unidad de materia lo nico que debe
estudiarse ahora. Tampoco esta enmienda se encuentra ajena al tema del
proyecto que es la proteccin de los datos personales y, de hecho,
desarrolla lo establecido en ese literal e) sobre la posibilidad de
revocatoria de la autorizacin de suministrar los datos, sealando las
condiciones para su procedencia.
2.2.8.4.2.6. Durante el primer debate, en el artculo 11 se establece el plazo
de un ao para la reglamentacin del Gobierno sobre la forma en la cual
los Responsables y Encargados del Tratamiento debern suministrar la
Frente a esta enmienda vale la misma argumentacin en cuanto a la no
pertinencia de referirse a los principios de identidad y consecutividad, as
como a la no violacin de la unidad de materia por tratarse de la orden al
gobierno de reglamentar el asunto dentro de un trmino especfico,
facultad consagrada en el artculo 189 Superior.
Expediente PE-032
98
2.2.8.4.2.7. Con el tercer debate, se incluye la direccin electrnica como
informacin obligatoria que el Responsable del Tratamiento deber
suministrar al titular, en el artculo 12.
La inclusin de esta obligacin para los responsables de los datos, es un
claro ejemplo de una norma accesoria al proyecto de ley que en cuanto
ser un requisito adicional para una de las prerrogativas dispuestas hasta
ese momento. No sale del ncleo temtico, ni cambia el proyecto por
otro, y tampoco desconoce la consecutividad pues el asunto de las
obligaciones de los responsables del tratamiento de los datos, se trat
desde el inicio del trmite con el proyecto de ley radicado en el Congreso
(Pgina 5 de la Gaceta del Congreso No. 488 de 2010)141.
2.2.8.4.2.8. Durante el tercer debate, se adiciona el literal n) en el artculo 17,
y el literal k) en el artculo 18, que sealan el deber de los
Responsables y Encargados de informar a la Superintendencia de
Industria y Comercio cuando existan riesgos o violaciones de la
seguridad de la bases de datos por parte de terceros.
La introduccin de estos literales y, con ellos, del deber de los
responsables y encargados de los datos de informar a la SIC sobre los
riesgos o violaciones a la seguridad de los datos, no se aleja del ncleo .
temtico del proyecto -por el _contrario, lo llena de efectividad-, ni vara
la substancia de lo hasta ese momento aprobado. Y el hecho de haberse
aprobado durante el tercer debate no desconoce el principio de
consecutividad, al encontrarse por esta Sala que el asunto de los deberes
de estos sujetos se regul desde los inicios del trmite legislativo 142, por
lo que la inclusin de esta obligacin slo representa el desarrollo del
principio democrtico dentro de la actividad parlamentaria.
2.2.8.4.2.9. En el segundo debate, en el artculo 19, se cre el segundo
pargrafo; en el tercer debate, se establece la creacin de una
Delegatura de Proteccin de Datos dentro de la Superintendencia de
Industria y Comercio. As mismo se incorpor el primer pargrafo.
El primer pargrafo, seala un trmino de seis meses para que se
reglamenten las funciones de la Superintendencia de Industria y
Comercio. El segundo pargrafo, establece que la vigilancia del
tratamiento de los datos personales regulados en la Ley 1266 de 2008
financieros- se sujetar a lo previsto en dicha norma. Sobre estas
inclusiones, esta Sala encuentra que no existe violacin a los principios
bajo anlisis, sino que meramente desarrollan y fijan el alcance de las
normas ya aprobadas.
141 Folio 493 del cuaderno de pruebas No. 2
142 Pginas 11 y 12 de la Gaceta No. 488 de 20 lO - donde se public el proyecto de ley y su exposicin de
motivos- (folios 494 y 495 del cuaderno de pruebas No. 2)
99
Expediente PE-032
En cuanto a la creacin de la delegatura de proteccin de datos durante el
tercer debate, debe afirmarse que se circunscribe a la materia y objeto del
proyecto -se trata de la entidad que vigila la proteccin de los datos-; no
se est variando la esencia del proyecto pues simplemente se especifica
cmo la Superintendencia de Industria y Comercio, en su funcin de
vigilancia de la proteccin de datos, va a ejercerla orgnicamente; y,
finalmente, se respet la consecutividad en cuanto el establecimiento y
caracterizacin de la autoridad encargada de la proteccin de los datos se
dio desde el principio del trmite legislativo y, durante la natural
evolucin de las discusiones, se fue fijando ms claramente la forma en
que deba actuar dicha autoridad.
2.2.8.4.2.10. En segundo debate, se agreg un prrafo al artculo 25,
sealando:
"Para realizar el registro de base de datos, los interesados
Comercio, las polticas de tratamiento de la informacin, las
cuales obligarn a los responsables y encargados del mismo y
correspondientes.
Las polticas de tratamiento en ningn casq podrn ser
inferiores a los deberes contenidos en la presente ley. "
Como se observa, se trata de una disposicin accesoria a lo ya dispuesto
en el artculo 25 sobre el registro de las bases de datos as como al
proyecto de ley en general que, por ello, no puede considerarse ajena al
ncleo temtico, ni drsele el alcance de variar la esencia del proyecto.
Tampoco vulnera la consecutividad en tanto el tema de la regulacin del
registro de base de datos se incluy desde que se radic el proyecto en el
Congreso (Gaceta del Congreso No. 488 de 2010).
2.2.8.4.2.11. En el segundo debate se agrega el segundo pargrafo del
artculo 26: "Las disposiciones contenidas en el presente artculo sern
aplicables para todos los datos personales, incluyendo aquellos
contemplados en la Ley 1266 de 2008. "
Con este pargrafo simplemente se fija el mbito de aplicacin de lo
regulado sobre la transferencia de datos a terceros pases, precisando que
la misma es aplicable a los datos financieros. De modo que se
circunscribe a la materia del proyecto, guarda identidad con lo aprobado
hasta el segundo debate y al ser accesorio al tema de la transferencia
internacional de datos, ya discutido y aprobado en primer debate,
cumpli con el requisito de consecutividad en su aprobacin.
100
Expediente PE-032
2.2.8.4.2.12. En el tercer debate se adicion el artculo 27 "El Gobierno
Nacional regular lo concerniente al Tratamiento sobre datos
personales que requieran de disposiciones especiales. En todo caso,
dicha reglamentacin no podr ser contraria a las disposiciones
contenidas en la presente ley. "
Sobre la orden de reglamentacin ya se explicaba que se trata de una
clusula comn a los ordenamientos legales, y que es en s misma
accesoria a lo all establecido. Por tanto, con su inclusin no se
menoscabaron los principios bajo examen. Se circunscribe al ncleo
temtico del proyecto, esto es, a la proteccin de datos personales,
sealando la necesidad de que el gobierno, atendiendo los mandatos del
proyecto de ley, establezca disposiciones especiales para los datos que
as lo requieran. As fue concebido por los senadores ponentes: "Esta
facultad le permite al Gobierno regular de manera ms expedita datos
especiales que requieran de modificaciones constantes dada la dinmica
en su tratamiento ,,1 43.
En cuanto al respeto por el principio de identidad flexible, se observa
que con ordenarle al gobierno que regule la proteccin de datos que
deban preverse en normas especiales, no cambi la esencia del proyecto
de ley, sobretodo porque el mismo artculo establece que esa regulacin
del gobierno debe siempre atenerse a lo por l dispuesto. Y, tampoco
desconoce la consecutividad pues no se trata de un asunto nuevo, alejado
de lo que se vena discutiendo y aprobando durante el trmite y, adems,
es propio de la legislacin que no en pocas ocasiones deja en manos del
ejecutivo el desarrollo de las nonnas o la tarea de crear reglas de mayor
especificidad para darle aplicacin a la norma general implantada por el
legislador.
Al respecto, recurdese que ya se aclaraba que esta afirmacin no est
anticipando el anlisis material de constitucionalidad sobre el
otorgamiento de esta facultad al ejecutivo en este caso en particular.
nicamente se est afirmando que frente a los principios de identidad
flexible y consecutividad, no encuentra esta Sala que la clusula bajo
examen est creando un rgimen distinto al hasta entonces aprobado, ni
se trata de un asunto nuevo que requiriera ser aprobado en los debates
preVIOS.
2.2.8.4.2.13. Durante el segundo debate se cre el artculo 28 sobre
reglamentacin de las normas corporativas vinculantes.
Las normas corporativas vinculantes, como se estudiar ms adelante al
analizar el contenido material de la disposicin, son aquellas conocidas
143 En pgina 10 de la Gaceta del Congreso No. 1023 de 2010, a folio 22 del cuaderno de pruebas No. 4
101
Expediente PE-032
tambin como principios de buen gobierno o cdigos de buenas prcticas
empresariales, creadas por instituciones privadas a partir de su mayor
conocimiento en el sector donde actan, sealando las reglas mnimas
para lograr mayor calidad en su funcionamiento. Varios documentos que
sern referenciados por esta providencia dan cuenta de la importancia de
estas reglas para la proteccin de los datos personales, de manera que no
puede tomarse como un tema ajeno a la materia del proyecto de ley.
En relacin con los principios de identidad y consecutividad, vale la
misma argumentacin del numeral anterior, al tratarse de una norma
accesoria que nicamente busca el desarrollo reglamentario de las
disposiciones sobre las reglas de buen gobierno en el manejo de los datos
personales.
2.2.8.4.2.14. Durante el tercer debate se cre el artculo 29 relacionado con
los datos relativos al certificado de antecedentes judiciales.
La inclusin de esta disposicin no vulnera la unidad de materia. El
manejo de los datos por parte del Departamento Administrativo de
Seguridad -DAS- para efectos de la expedicin de los certificados
judiciales, as como el acceso a ellos, no es un tema ajeno a la materia
del proyecto de ley. Se trata al fin y al cabo de la proteccin de datos
personales, en este caso, en un sector especfico y para efectos
particulares. Lo anterior puede comprobarse, adems, con lo establecido
en el ttulo: "por la cual se dictan disposiciones generales para la
proteccin de datos personales". Igualmente, al leer el objeto del
proyecto: "desarrollar el derecho constitucional que tienen todas las
personas a conocer, actualizar y rectificar las informaciones que se
hayan recogido sobre ellas en bases de datos o archivos y los dems
derechos, libertades y garantas constitucionales a que se refiere el
artculo 15 de la Constitucin Poltica, as como el derecho a la
informacin consagrado en el artculo 20 de la misma. "
Se observa entonces que la materia de la leyes la proteccin general de
los datos personales como derecho fundamental, sin establecer una
destinacin exclusiva a tipos de datos especficos, que prescinda
ineludiblemente de los datos relacionados con los antecedentes
judiciales.
Tampoco contraviene el principio de identidad flexible, pues al incluir
este artculo no se cambia el proyecto por otro, lo all consagrado no
tiene una incidencia tal para la esencia del proyecto de ley hasta ese
momento aprobado. S es un tema no regulado con anterioridad -aunque
no ajeno- pero puede entenderse accesorio en cuanto no vara la
sustancia del proyecto de ley. En efecto, con la inclusin de la
regulacin especfica de los datos a que tiene acceso el DAS, no se
102
Expediente PE-032
cambi ninguna de las disposiciones aprobadas con anterioridad, ni se
supli el sentido de lo prescrito hasta entonces. Si bien durante el
segundo debate en Cmara se decidi excepcionar del mbito de
aplicacin de la ley, las bases de datos en materia penal e investigacin
judicial, con incluir una regulacin al respecto no se reemplaz el
proyecto aprobado en Cmara por uno esencialmente distinto.
No obstante, esta Sala encuentra que existe una palmaria violacin al
principio de consecutividad en cuanto el asunto en l tratado no fue
siquiera mencionado en los debates previos. No se surtieron ni el primer
y ni el segundo debate, necesarios para aprobar un asunto que no haba
sido tratado previamente. No es que el asunto de los datos de
antecedentes judiciales sea ajeno al ncleo temtico del proyecto de ley,
pero s es un asunto que no fue tratado en lo absoluto en los debates de la
Cmara de Representantes.
Lo anterior fue verificado por la Sala al leer las gacetas que comprenden
el trmite legislativo del proyecto de ley, sobretodo, aquellas que
contienen sus discusiones en las diferentes clulas legislativas 144. As las
cosas, pudo establecer que el tema se trat por primera vez en la
audiencia pblica celebrada antes de darse inicio . a la discusin del
proyecto en la Comisin Primera del Senado de la Repblica. Fue el
ciudadano Ral Antonio Vargas Camargo, interviniente en dicha
audiencia, quien propuso la inclusin de una disposicin que se ocupara
de los datos sobre antecedentes judiciales y su manejo en los certificados
expedidos por el DAS, sealando: "por qu no admitir que la
informacin contenida en el certificado judicial, 'registra antecedentes,
pero no es requerido por autoridad judicial', expedido por el
Departamento Administrativo de Seguridad (DAS) a muchos
colombianos a los que la sancin penal impuesta ha sido cumplida o ha
. . d . 'bl ,,145
prescrzto, constztuye un ato necesarzamente sensz e.
Adems, el informe de ponencia para primer debate en el Senado, da
cuenta de que se trata de un asunto nuevo cuando justifica su inclusin
en el proyecto de ley as: "En ese orden de ideas, la iniciativa no
pretende que se ordene al DAS que de sus bases de datos desaparezcan
los registros de las condenas ya cumplidas, slo que frente al manejo de
tal informacin se haga un llamado a la cautela y que slo para
propsitos que realmente lo demanden sea revelada, pues no se puede
144 Ver: 1. Gaceta No. 488 de 2010, donde se encuentra publicado el proyecto de ley.
2. Gaceta No. 625 de 20 l O, en la que se public la ponencia para primer debate en Cmara de Representantes.
3. Gaceta No. 958 de 2010, que contiene el Acta No. 12 del 14 de septiembre de 2010, cuando se aprob el
proyecto en primer debate.
4. Gaceta No. 706 de 2010, publicacin ponencia segundo debate
5. Gacetas 849 y 868 de 2010, que contienen las actas No. 23 y 24 del 13 y 19 de octubre de 2010,
respectivamente, donde constan las discusiones y aprobacin del proyecto en segundo debate.
145 Ver Gaceta del Congreso No. 60 del 28 de febrero de 201 I a folios 90 a 94 del cuaderno de pruebas No. 4
Expediente PE-032
103
perder de vista que uno de los fines de la pena es la reinsercin social de
quien fue sujeto activo de una conducta punible. ,,146
Justamente as lo consign el informe de conciliacin 147 al explicar las
razones para incluir esta regulacin dentro del proyecto de ley, a saber:
"Lo anterior [lo regulado en el artculo 29] se recogi de propuestas
hechas por ciudadanos en la audiencia pblica realizada el 25 de
noviembre con el objetivo de discutir pblicamente el proyecto de ley
radicado en la Comisin Primera del Senado". Lo que comprueba
adems de la lectura de lo ocurrido en las sesiones de la Cmara de
Representantes- que fue en este momento cuando por primera vez se
mencion y discuti el asunto de la informacin que aparece publicada
en los registros de antecedentes judiciales emitidos por el Departamento
Administrativo de Seguridad (DAS), para que quienes hayan cumplido
una pena o sta les haya prescrito, esta informacin no se haga pblica
en el antecedente judicial que solicita el titular.
Ahora bien, debe precisarse que este anlisis no contradice lo sealado
por la Sala en relacin con la violacin del principio de identidad relativa
cuando afirm que ya exista una excepcin en el mbito de aplicacin
sobre los datos de seguridad y defensa nacional, donde se ubican los
relacionados con antecedentes judiciales. Ello no significa que entonces
con anterioridad -desde el inicio del trmite legislativo- s se haba
discutido el asunto. Por el contrario se haba discutido y aprobado como
excepcin, en cambio, en el tercer debate se incluy una regulacin
especfica sobre el sector, lo que no haba sido siquiera propuesto
previamente. Es decir, lo que se haba discutido, establecido y aprobado
era que los sectores especficos deban regularse en un cuerpo normativo
distinto al del proyecto de ley, no el asunto de la inclusin de una
regulacin especial sobre los datos relacionados con el certificado de
antecedentes judiciales, siendo entonces un asunto nuevo que debi
surtir los cuatro debates reglamentarios. Y es el incumplimiento de ese
mandato lo que se deriva en la vulneracin del principio de
consecutividad.
En efecto, si bien durante el segundo debate en la Cmara de
Representantes, se propuso exceptuar del mbito de aplicacin de la ley,
expresamente en el literal b) del artculo 2, las bases de datos en materia
penal e investigacin judicial, lo que justamente ello comprueba es que
nunca se debati incluir una regulacin especial sobre antecedentes
judiciales. En efecto, lo que aprob la Cmara fue NO regularlo. As
que, en realidad, de ningn modo hubo debate al respecto. Y, de hecho,
durante el debate en que se aprob esa excepcin, ni siquiera se debati
146 En pgina 10 de la Gaceta del Congreso No. 1023 de 2010, a folio 22 del cuaderno de pruebas No. 4
147 Ver las Gacetas No. 1101 y 1102 de 2010 donde se encuentra publicado el informe de la Comisin
Accidental de Conciliacin.
104
Expediente PE-032
si se excepcionaba o no, simplemente se propuso la nueva excepcin y se
vot afirmativamente.
Vemoslo en el acta No. 24 del 19 de octubre de 2010, publicada en la
Gaceta del Congreso No. 868 de 2010:
Hav otra proposicin para el artculo 2 ~ que le agrega 5 literales
(C, D, E, F Y G) Y a los literales A y B les agregan igual que al
ltimo inciso del artculo 2 lo siguiente, se va a leer lo que se le
agrega.
El rgimen de proteccin de datos personales que se establece en
la presente ley no ser de aplicacin, y trae el listado de
excepciones.
No slo se agrega, se cambia, entonces vamos a leerlo todo.
"Los principios y disposiciones contenidos en la presente ley sern
aplicables a los datos personales registrados en cualquier base de
datos, o que los haga susceptibles de tratamiento por entidades de
La presente ley aplicar al tratamiento de datos personales
efectuado en territorio colombiano, cuando el responsable del
tratamiento o encargado de tratamiento no establecido en
territorio nacional, le sea aplicable la legislacin colombiana en
virtud de normas y tratados internacionales.
El rgimen de proteccin de datos personales que se establece en
la presente ley no tendr aplicacin:
(. ..)
b. A las bases de datos y archivos que tenga por objeto la
seguridad y defensa nacional, lavado de archivos, terrorismo V las
bases de datos en materia penal e investigacin judicial. "
Firman: Carlos Correa, Miguel Gmez, Alfredo Deluque y otras
firmas ilegibles.
Esa es para el artculo 20.
Luego la votacin de las proposiciones se dio de la siguiente manera:
Seor Presidente, los artculos ledos con y sin proposiciones y los
artculos nuevos ledos se podran someter en bloque, y se
105
Expediente PE-032
sometera en una votacin separada, la propuesta del doctor Pablo
Salamanca, que es una proposicin aditiva al artculo 11, y vamos
a votar los artculos que no tienen proposicin a esta altura del
trmite, que son el 4, 5, 8, 23, ms todas las proposiciones
ledas a todos los artculos ledos, seor Presidente, y quedara
pendiente por votar una proposicin del doctor Pablo Salamanca.
Puede usted abrir la discusin y votacin de este cuerpo de
artculos ledos, con los nuevos, las proposiciones y los que no
. tienen proposicin.
Direccin de la sesin por la Presidencia (doctor Carlos Alberto
Zuluaga):
En consideracin las proposiciones ledas por el seor Secretario,
fruto de los artculos nuevos, artculos que no tienen proposicin y
totalmente avalados por la ponencia, se abre la discusin,
contina la discusin, va a cerrarse, queda cerrada. Abramos el
registro.
La Secretara General informa (doctor Jess Alfonso Rodrguez):
Nadie pidi la palabra, se abre el registro.
Direccin de la sesin por la Presidencia (doctor Carlos Alberto
Zuluaga):
Se cierra el registro.
La Secretara General informa (doctor Jess Alfonso Rodrguez):
Est cerrado el registro.
Por el s: 106.
Por el no: O.
Han sido aprobados los artculos sin proposicin Que estaban
pendientes, los artculos nuevos V los artculos con sus respectivas
proposiciones que (ueron ledas por la Secretara.
De la lectura del acta, surge una clara conclusin: el asunto de las bases
de datos en materia penal e investigacin judicial se mencion y aprob
de manera general e incluso determinando que las mismas se
encontraban exceptuadas del mbito de aplicacin de la ley, esto es, se
106
Expediente PE-032
incluy dentro del debate para no regularlo en el proyecto. As las cosas,
con una mencin general de un asunto no puede entenderse cumplido el
principio de consecutividad, o que s existi debate sobre la regulacin
especfica del mismo, en la medida que se vaciara la razn de ser de la
consagracin de dicho principio constitucional, el cual busca la garanta
de una actividad legislativa regida por el principio democrtico que
depende, entre otras prerrogativas, de la publicidad, que no solo opera
para el conocimiento de los ciudadanos, sino tambin para que los
mismos congresistas, desde que inicia el trmite, puedan prever qu se
va a aprobar en cuarto debate, es decir, qu regulacin va a convertirse
en ley de la repblica.
Para la Cmara de Representantes haba algo claro, el tema no sera
regulado en el proyecto en trmite, y por tanto nunca se debati su
regulacin, es por ello que se incluyo como mbito exceptuado de la
ley. En consecuencia, no se puede admitir como propio del trmite
legislativo que el cuarto debate se hiciera una regulacin especfica y
absoluta sobre todas las aristas del manejo de los datos relacionados con
el certificado de antecedentes judiciales, y no solo eso, tambin de cmo
deben expedirse dichos certificados, cmo debe consignarse esa
informacin, la gratuidad de los mismos, en fin, la regulacin sectorial
del tratamiento de estos datos, los derechos de los titulares, los deberes
del encargado, los medios de acceso, etc.
La Sala en este punto debe ser estricta, pues entender que en un proyecto
de ley estatutaria, por sus condiciones, con lo propuesto y aprobado en
segundo debate en Cmara, se asegur el respeto por el principio de
consecutividad, es vaciar su contenido y desconocer de paso el principio
democrtico, particularmente en su dimensin de deber de publicidad de
todo el proceso legislativo, segn el cual, los legisladores, en todas las
etapas del trmite, deben tener la posibilidad de conocer qu es lo que se
est regulando o, mejor, qu se va a regular cuando el proyecto de ley
sea finalmente aprobado en cuarto debate.
En cuanto al conocimiento real de lo debatido, tngase en cuenta lo
establecido por la jurisprudencia constitucional sobre el significado del
trmino "debate", descrito ntegramente por la sentencia C-473 de
2004
148
. En esa providencia, la Corte acudi al sentido que esa palabra
tiene en el idioma castellano para ilustrar su alcance, pero tambin
seal que "la interpretacin correcta de los trminos "discusin y
debate" es la que se ajusta a las definiciones legales establecidas por el
Reglamento del Congreso y no la del sentido natural y obvio de dichas
., 1,,149
expresIOnes segun su uso genera.
148 M.P. Manuel Jos Cepeda Espinosa
149 Sentencia C-O 13 de 1993, M.P. Eduardo Cifuentes Muoz.
Expediente PE-032
107
As por ejemplo, ha reconocido que es inherente al debate parlamentario
""la exposicin de ideas, criterios y conceptos diversos y hasta contrarios
y la confrontacin seria y respetuosa entre ellos; el examen de las
distintas posibilidades y la consideracin colectiva, razonada y fundada,
acerca de las repercusiones que habr de tener la decisin puesta en
tela de juicio,150 pero tambin ha aceptado que existe "debate" aun
. 151
cuando no haya controverSIa.
En ese mismo sentido, al revisar el trmite seguido en la adopcin de un
acto legislativo, la Corte seal en la sentencia C-222 de 1997 que
""tratndose de la adopcin de decisiones que habrn de afectar a toda la
poblacin, en el caso de las leyes y con mayor razn en el de las reformas
constitucionales, que comprometen nada menos que la estructura bsica
del orden jurdico en su integridad, el debate exige deliberacin, previa a
la votacin e indispensable para llegar a ella, lo que justamente se halla
implcito en la distincin entre los qurum, deliberatorio y decisorio,
plasmada en el artculo 145 de la Carta." 152
La Sala entiende que en este caso, el principio de consecutividad se rompe
pese a que la cuestin que se introdujo tenga alguna relacin con el tema
objeto del proyecto. La razn, en Cmara de Representantes no se debati
el tema que despus fue regulado por el Senado, porque para ellos esa
cuestin no sera objeto de regulacin, en consecuencia, nunca fue objeto
de debate. Cosa distinta hubiese acontecido si en las deliberaciones la
Cmara se hubiera abordado la forma cmo esas bases trataran los datos y
finalmente acordaran que ese asunto quedase exceptuado del mbito de
aplicacin.
En hilo de lo expuesto, la Sala Plena declarar la inexequibilidad del
artculo 29 del proyecto de ley, por violacin de los artCulos 157 y 160
de la Carta, por cuanto surti slo dos debates de los cuatro ordenados
por la Constitucin.
Debe precisarse que estos vicios no pueden entenderse saneados cuando
la plenaria de la Cmara de Representantes aprob el infonne de
conciliacin con la inclusin de esta disposicin, en tanto el requisito
constitucional consiste es en que para la aprobacin de cada tema deben
150 C-222 de 1997, M.P. Jos Gregorio Hemndez Galindo, donde la Corte examina la constitucionalidad de
una modificacin introducida a un Acto Legislativo durante el segundo perodo y precisa las reglas sobre
trmite de leyes que son aplicables a los actos legislativos.
151 As lo reconoci la Corte en la sentencia C-013 de 1993, M.P. Eduardo Cifuentes Muoz, en donde la Corte
examina una demanda contra la Ley la de 1991 (Estatuto de Puertos Martimos), demandada, entre otras cosas,
porque como en la discusin de la ley en las sesiones de la Comisin]]] de la Cmara de Representantes y en
las sesiones plenarias de Cmara y Senado, no haba habido controversia ni posiciones enfrentadas, no haba
existido por lo tanto debate. La Corte rechaza esta visin coloquial de "debate" y precisa que debe acudirse a la
definicin legal.
152 En este sentido, la Sentencia C-222 de 1997, M.P. Jos Gregorio Hemndez Galindo establece que el debate es
un requisito indispensable de la decisin y que en virtud de su importancia constitucional se estableci la
necesidad de que exista un qurum deliberatorio.
108
Expediente PE-032
darse los debates tanto de las comlSlOnes permanentes como de las
plenarias. Adems, en cuanto la jurisprudencia 153 ha sido clara en
establecer que el objeto de las comisiones accidentales de conciliacin y
de la aprobacin de sus informes, se circunscribe a superar las
discrepancias en el texto de una y otra cmara teniendo en cuenta que
dada la naturaleza meramente accidental de las comisiones de
conciliacin, no pueden suplir la funcin legislativa asignada por la
Constitucin y la ley, a las comisiones constitucionales permanentes y a
las plenarias de cada Cmara, pues es en stas, en donde debe surtirse el
proceso de deliberacin y aprobacin de las distintas normas jurdicas.
En este orden de ideas, lo imperativo era remitir a la Comisin Primera
de la Cmara de Representantes el contenido de este nuevo artculo para
que tanto ella como la plenaria de la Cmara, lo debatieran y aprobaran
(artculo 179 de la Ley Orgnica de Reglamento del Congreso).
Debe precisarse adems, que la violacin del principio de consecutividad
es en s mismos insubsanables por cuanto se configura cuando se han
omitido alguno o algunos de los debates reglamentarios -porque una
enmienda supli la esencia del proyecto de ley y/o porque el asunto no
fue debatido con anterioridad 154. As que si se devolviera a la autoridad
que dej de discutir el asunto con anterioridad, ello se traducira
necesariamente en volver a realizar el trmite legislativo con los cuatro
debates exigidos por el artculo 157 de la Carta. Y es justamente esto
ltimo lo que produce la imposibilidad de sanear un vicio de forma
segn lo explicado por la jurisprudencia
l55
, la cual ha sealado que
ningn vicio formal podr sanearse si ello implica la realizacin de un
nuevo trmite legislativo.
2.2.8.4.2.15. Durante el cuarto debate se incluyeron los artculos 30 y 31,
relacionados con el manejo de datos de inteligencia y contrainteligencia.
Igual argumentacin se aplica a la inclusin en cuarto debate de los
artculos 30 y 31 del proyecto de ley. As, el contenido de estas
disposiciones no es ajeno a la materia del proyecto de ley que las
comprende, pues se trata de la regulacin de la proteccin de datos,
ahora, en un sector especial que es el de inteligencia y contrainteligencia.
153 Ver, entro otras, las sentencias C-141 de 2010, M.P. Humberto Antonio Sierra Porto; C-033 de 2009, M.P.
Manuel Jos Cepeda Espinosa; C-1488 de 2000, M.P. Martha Victoria Schica Mndez; C-702 de 1999, M.P.
Fabio Morn Daz.
154 Ver Sentencia C-141 de 2010, M.P. Humberto Antonio Sierra Porto
155 Siempre y cuando haya acaecido luego de completarse una de las etapas estructurales del proceso
legislativo, esto es, el debate y aprobacin del proyecto de ley tanto en comisin como en plenaria de una de
las cmaras. Ver, entre otras, las providencias Auto 309 de 2009, M.P. Juan Carlos Henao Prez; Auto 081 de
2008, M.P. Jaime Crdoba Trivio; Sentencia C-241 de 2006, M.P . Marco Gerardo Monroy Cabra; C-576 de
2006, M.P. Manuel Jos Cepeda Espinosa.
109
Expediente PE-032
De igual manera, incluir una regulacin especial sobre datos de
inteligencia y contrainteligencia, no tiene incidencia en la esencia del
proyecto hasta ahora aprobado por la Cmara de Representantes y por la
Comisin Primera del Senado. No contradice ninguna de las
disposiciones hasta ese momento adoptadas. Si bien en un principio se
decidi regular la proteccin de datos de manera general, no puede ser
esa inicial intencin el parmetro de control para determinar si se viol
el principio de identidad, sino, como lo explicaba anteriormente esta
providencia, el punto a establecer es si con la inclusin de una enmienda
durante el trmite legislativo se vari la esencia de lo que hasta entonces
se haba aprobado, lo que no ocurri en esta ocasin.
No obstante, tal como ocurri con el artculo 29, s se desconoci el
principio de consecutividad en tanto fue en el cuarto debate en la
Plenaria del Senado de la Repblica, cuando por primera vez se trat este
asunto de la inclusin de una regulacin especial para los datos de
inteligencia y contrainteligencia.
As puede verificarse al leer las gacetas que contienen el trmite y,
sobretodo, la Gaceta No. 1080 de 1080 de 2010 (folios 42 del cuaderno
de pruebas No. 4), donde se public el informe de ponencia para
segundo debate en el Senado, en el que se afirm que para mayor
proteccin del derecho fundamental de habeas data, era necesario incluir
una regulacin especial de proteccin de datos en este sector y que "se
adiciona un artculo con el cual se busca que la captura, archivo,
tratamiento, divulgacin y uso de datos e informacin sensible y
personal del titular en bases de datos relacionadas con inteligencia y
contrainteligencia, sean manejados con los criterios propios de la
proteccin de datos sensibles, determinndose responsabilidad sobre los
funcionarios que estn encargados no solo del tratamiento y
recopilacin de la informacin sino de aquellos que ordenan su captura
y tratamiento tales como jefes, directores y subdirectores de las
unidades especiales, seccionales, divisiones y dems delegaciones que
por autorizacin, por su naturaleza o misionalidad ejerzan estas
funciones; as como quienes estn autorizados en los respectivos
manuales de dichas dependencias y quienes autoricen u ordenen
operaciones o misiones de trabajo desde los organismos que realizan
actividades de inteligencia y contra inteligencia o que hagan parte de la
Junta de Inteligencia Conjunta. "
Resulta ser entonces un asunto nuevo frente a lo que en aquel momento
fue discutido y aprobado. Adems, no es posible identificar con nada de
lo dispuesto en el proyecto de la Cmara, pues si bien se haba discutido
y aprobado el tema de la seguridad y defensa nacional, sta se haba
concebido y establecido como un sector exceptuado, y lo que hizo la
Plenaria del Senado fue incluirlo dentro del mbito de aplicacin del
110
Expediente PE-032
proyecto, una regulacin sobre ese mismo sector, especficamente sobre
inteligencia y contrainteligencia, asunto que, bajo esa perspectiva, no
haba sido tratado en lo absoluto ni por la Cmara de Representantes ni
por la Comisin Primera del Senado, transgredindose el principio de
consecutividad.
De manera que, por vulneracin de los principios de identidad flexible y
de consecutividad, consagrados en los artculos 157 y 160 de la Carta, la
Sala Plena declarar inexequibles los artculos 30 y 31 del proyecto de
ley estatutaria bajo revisin.
2.2.8.4.2.16. Durante el segundo debate se cre el artculo 32 que establece el
rgimen de transicin.
Generalmente, los cuerpos normativos que crean nuevas reglas sobre
determinados asuntos, establecen un rgimen de transicin para que a
quienes les sean aplicables, adopten las medidas necesarias para
adaptarse a los cambios. De manera que no podra concebirse esta
enmienda como ajena al tema del proyecto, ni modificatoria de su
esencia, ni creadora de un tema nuevo no tratado con anterioridad. Es,
como ya hemos dicho, el reflejo la dinmica de la actividad
parlamentaria dentro de los lmites constitucionales y legales, que, en
esta ocasin, dio como resultado la inclusin de la necesidad de prever
de un plazo de hasta seis (6) meses para que las personas que a la fecha
de entrada en vigencia del proyecto de ley ejerzan alguna de las
actividades en ella reguladas, se adecuen a las disposiciones
contempladas, lo que se circunscribe dentro de la regulacin del tema de
la proteccin de datos personales.
2.2.8.4.2.17. Durante el segundo debate se adiciona la frase "a excepcin de
aquellas contempladas en el artculo segundo" en el artculo 33 sobre
derogatorias.
Por tratarse de la creacin de una excepClOn a la regla general ya
establecida sobre la derogatoria de todas las normas que le sean
contrarias al proyecto de ley, debe entenderse como una disposicin
accesoria que, por ello, no transgrede ninguno de los principios en
mencin, sobretodo porque refleja lo ya estatuido en el artculo 2 del
proyecto sobre el tratamiento de datos excluido del mbito de aplicacin,
siendo necesaria esta enmienda por tcnica y coherencia legislativa.
2.2.9. Conclusin sobre la constitucionalidad del trmite legislativo del
proyecto de ley bajo revisin.
En hilo de lo expuesto, se tiene que, en general, la aprobacin del
proyecto de ley cumpli con los requisitos constitucionales previstos
111
Expediente PE-032
para cualquier decisin legislativa y, particularmente, para este tipo de
leyes de especial jerarqua. Ahora bien, no puede decirse lo mismo sobre
la aprobacin de sus artculos 29, 30 y 31, en cuanto la forma en que
fueron incluidos no atendi los mandatos del principio de consecutividad
-arto 157 y 160 C.P., razn por la cual, esta Sala los declarar
inexequibles.
2.3. EXAMEN DEL ARTCULO 1: OBJETO DEL PROYECTO DE
LEY
2.3.1. Texto de la disposicin
"Artculo ]0. Objeto. La presente ley tiene por objeto
desarrollar el derecho constitucional que tienen todas las
personas a conocer, actualizar y rectificar las informaciones
que se hayan recogido sobre ellas en bases de datos o
archivos, y los dems derechos, libertades y garantas
constitucionales a que se refiere el artculo 15 de la
Constitucin Poltica; as como el derecho a la informacin
consagrado en el artculo 20 de la misma. "
2.3.2. Intervenciones ciudadanas y concepto del Ministerio Pblico
2.3.2.1. La Defensora del Pueblo solicita que la frase final del artculo 10
"as como el derecho a la informacin consagrado en el artculo 20 de
la misma"- sea declarada inexequible, pues considera que la pretensin
del legislador de desarrollar el contenido del derecho a la informacin
por medio del proyecto bajo estudio es "antitcnica y asistemtica", pues
(i) el derecho a la informacin es autnomo y diferente al derecho al
habeas data; (ii) en caso de aceptarse que el derecho a la informacin
pudiera ser regulado en una ley sobre habeas data, dicha incorporacin
se justificara solo en la medida en que el primer derecho se desarrollara
de manera amplia y conveniente, lo que no ocurre en el presente caso; y
(iii) no puede pasarse por alto que una cosa es el "derecho a la
informacin" como derecho fundamental, y otra diferente "la
informacin" como bien susceptible de apropiacin y transaccin
comercial por parte de poderosos agentes del mercado. En resumen,
seala que una revisin del texto del proyecto permite concluir que el
legislador no se ocup en absoluto de "desarrollar" el derecho a la
informacin. Por tanto, al no existir una relacin con el tema central del
proyecto, asegura que la expresin referida vulnera el principio de
unidad de materia.
Por otra parte, aduce que aunque el articulo 1 recoge los parmetros
normativos que establece la Carta Poltica sobre el derecho del habeas
data, en especial las garantas de "conocer, actualizar, y rectificar" la
112
Expediente PE-032
informacin, no incorpora importantes garantas, como (i) la disociacin
de datos personales, en virtud de la cual una persona puede solicitar que
el tratamiento de informacin de la que es titular se lleve a cabo
mediante procedimientos que garanticen la reserva de su identidad, y (ii)
la supresin de datos, es decir, el "derecho al olvido" o la caducidad
del dato, garanta de conformidad con la cual ninguna informacin tiene
vocacin de perennidad, razn por la cual, una vez cumplida su finalidad
o transcurrido el tnnino previsto para su uso o verificada la ilegalidad
del tratamiento o el desconocimiento de la finalidad, el titular puede
solicitar su supresin. Por estas razones, la Defensora solicita que se
precise que el artculo 10 no tiene pretensiones taxativas.
2.3.2.2. La ciudadana Juanita Durn Vlez solicita la exequibilidad
condicionada del artculo 10, bajo el entendido que el mbito del
proyecto se circunscribe a datos de inters comercial, no ntimos ni
privados que se encuentren circulando de manera transitoria.
2.3.2.3. El Ministerio Pblico no se pronunci al respecto.
2.3.3. Exequibilidad del artculo 1: no debe hacerse una lectura taxativa
de las garantas que enuncia
2.3.3.1. El artculo 10 seala que el proyecto de ley tiene tres propsitos:
desarrollar (i) "(. . .) el derecho constitucional que tienen todas las
personas a conocer, actualizar y rectificar las informaciones que se
hayan recogido sobre ellas en bases de datos o archivos ", (ii) "(. . .) los
dems derechos, libertades y garantas constitucionales a que se refiere
el artculo 15 de la Constitucin Poltica ", y (iii) "(. . .) el derecho a la
informacin consagrado en el artculo 20 de la misma [la
Constitucin] ".
2.3.3.2. En relacin con el primer objetivo, la Sala encuentra que es
plenamente compatible con el ttulo del proyecto y su contenido, pues se
trata del desarrollo del derecho fundamental al habeas data.
No obstante, la Sala precisa, como bien lo indica la Defensora del
Pueblo, que las garantas del habeas data enunciadas en este artculo no
son las nicas que comprende el derecho. Ciertamente, del derecho al
habeas data se desprenden no solamente las facultades de conocer,
actualizar y rectificar las actuaciones que se hayan recogido sobre el
titular, sino tambin otras como autorizar el tratamiento, incluir nuevos
datos, o excluirlos o suprimirlos de una base de datos o archivo. Por
tanto, si bien la disposicin se ajusta a la Carta, no debe entenderse
como una lista taxativa de las garantas adscritas al derecho.
Expediente PE-032
ll3
2.3.3.3. Sobre el segundo y tercer objetivos, la Corte encuentra que son
demasiado amplios si se comparan, por una parte, con el ttulo del
proyecto y el contenido del articulado y, por otra, con las garantas
comprendidas en los artculos 15 y 20 superiores.
En efecto, el artculo 15 de la Carta reconoce tres derechos: (i) el
derecho a la intimidad, (ii) el derecho al buen nombre y (iii) el derecho al
habeas data. 156 La Sala observa que si bien el derecho al habeas data est
estrechamente ligado con los derechos a la intimidad y al buen nombre,
todos los anteriores son derechos con contenidos autnomos y diferentes.
En este caso, la Sala encuentra que el proyecto solamente pretende
desarrollar el habeas data y no los otros derechos, por lo que debe si bien
la disposicin no desconoce la Carta por ser amplia en este respecto,
debe entenderse que solamente desarrolla indirectamente los derechos a
la intimidad y al buen nombre, es decir, no puede considerarse una
regulacin comprensiva y sistemtica de tales derechos.
Lo mismo ocurre con la mencin del artculo 20 superior sobre el
derecho a la informacin. Ciertamente, el derecho a la informacin, tanto
en su dimensin activa y pasiva, es decir, el derecho a expresar y
difundir informacin -incluidas las propias opiniones- y el derecho a
recibir informacin veraz e imparcial, converge en algunos aspectos con
el derecho al habeas data, en tanto, por ejemplo, (i) el derecho a la
informacin puede recaer sobre datos personales y, (ii) en su faceta
activa comprende el derecho a la rectificacin que puede versar sobre
datos personales. Sin embargo, el derecho a la informacin comprende
todo tipo de datos, no solamente el dato personal, de ah que deba
concluirse que los dos derechos comprenden mbitos de proteccin
diferentes y que el proyecto de ley sujeto a revisin no desarrolla
comprensivamente el derecho a la informacin.
En este punto tambin debe tenerse en cuenta que si bien el artCulo 2
excepta de la aplicacin de algunas de las disposiciones del proyecto a
las bases de datos de contenido periodstico y editorial, como se
desarrollar ms adelante, tales bases deben sujetarse como mnimo a los
principios previstos en el artculo 4, lo que significa que el derecho a la
informacin s es regulado en algunos aspectos por el proyecto.
En resumen, a juicio de la Sala, el proyecto de ley no pretende una
regulacin exhaustiva del derecho a la informacin; la regulacin se
limita al punto en que convergen o entran en tensin los derechos al
habeas data y a la informacin. Bajo este entendimiento, pese a la
amplitud del precepto, ste se ajusta al texto constitucional.
156 Ver la sentencia T-729 de 2002, M.P. Eduardo Montealegre Lynett.
114
Expediente PE-032
2.4. EXAMEN DEL ARTCULO 2: MBITO DE APLICACIN
"Artculo 2. Ambito de aplicacin. Los princlpws y
disposiciones contenidas en la presente ley sern aplicables a
los datos personales registrados en cualquier base de datos
que los haga susceptibles de tratamiento por entidades de
La presente ley aplicar al Tratamiento de datos personales
efectuado en territorio colombiano o cuando al Responsable
del Tratamiento o Encargado del Tratamiento no establecido
en territorio nacional le sea aplicable la legislacin
El rgimen de proteccin de datos personales que se establece
a) A las bases de datos o archivos mantenidos en un mbito
exclusivamente personal o domstico.
Cuando estas bases de datos o archivos vayan a ser
suministrados a terceros se deber, de manera previa,
informar al Titular y solicitar su autorizacin. En este caso los
Responsables y Encargados de las bases de datos y archivos
quedarn sujetos a las disposiciones contenidas en la presente
ley.
b) A las bases de datos y archivos que tengan por finalidad la
seguridad y defensa nacional, as como la prevencin,
deteccin, monitoreo y control del lavado de activos y el
financiamiento del terrorismo.
c) A las bases de datos que tengan como fin y contengan
informacin de inteligencia y contrainteligencia.
d) A las bases de datos y archivos de informacin periodstica
y otros contenidos editoriales.
e) A las bases de datos y archivos regulados por la Ley 1266
de 2008.
f) A las bases de datos y archivos regulados por la Ley 79 de
1993.
115
Expediente PE-032
Pargrafo. Los principios sobre proteccin de datos sern
aplicables a todas las bases de datos, incluidas las
exceptuadas en el presente artculo, con los lmites dispuestos
en la presente ley y sin reir con los datos que tienen
caractersticas de estar amparados por la reserva legal. En el
evento que la normatividad especial que regule las bases de
datos exceptuadas prevea princlpzos que tengan en
consideracin la naturaleza especial de datos, los mismos
aplicarn de manera concurrente a los previstos en la
presente ley. "
2.4.2.1. La Defensora del Pueblo solicita que se declare la exequibilidad
condicionada del artculo 2, bajo el entendido que el tratamiento de
datos que se realiza en el marco de las actividades a que se refieren los
literales b), c) y f) debe someterse a los principios de proteccin
previstos en el proyecto, y que para verificar su apego a los mismos, la
reserva de los datos no debe ser oponible al titular.
2.4.2.2. La Secretara Jurdica de la Presidencia de la Repblica solicita la
inexequibilidad del pargrafo del artculo 2, por las siguientes razones:
Asegura que una interpretacin rigurosa de pargrafo podra dejar sin
efectos las excepciones. Por ejemplo, en el caso de las bases de datos de
inteligencia o contrainteligencia, sera complejo aplicar el principio de
transparencia, pues podra llevar a que el titular del dato pudiera tener
acceso a la informacin recaudada, en perjuicio de otros derechos y
libertades. Por lo anterior, sostiene que se requiere hacer una
diferenciacin entre dos clases de excepciones que se encuentran dentro
del proyecto: (i) la excepcin relativa a informacin que nace del
ejercicio de derechos personalsimos constitucionales, y (ii) la excepcin
referente a bases de datos reservadas o secretas; esta distincin pone de
presente que las excepciones dependern de la naturaleza de los datos,
pues si esto no se tuviese en cuenta, se llegara a atentar contra
mecanismos de proteccin y defensa de la seguridad nacional.
Por otro lado, indica que se debe cuestionar si la incorporacin del
pargrafo atiende a la voluntad del legislador, ya que analizando el
tramite, en un principio se tenan solo establecidas excepciones absolutas
y luego, con la presentacin de la ponencia para debate en la plenaria del
Senado, se adicion este pargrafo, lo que cambi todo el contexto de las
excepCIOnes.
Agrega que la aplicacin de los principios del habeas data a los archivos
o bases de datos que no circulan, ni salen de la esfera de la persona,
116
Expediente PE-032
arruinara la autonoma, libertad personal, intimidad y el derecho a la
reserva documentaria.
Finalmente, en lo que respecta a los archivos para la seguridad y los de
naturaleza reservada, sostiene que la aplicacin de los principIOs
generales del habeas data configurara un peligro y un dao
constitucional, adems de restarles toda eficacia.
2.4.2.3. ACEMI solicita la exequibilidad condicionada del artculo 2 en el
sentido de que "se excluya del mbito de su aplicacin las bases de
datos de afiliacin del Sistema General de Seguridad Social en Salud y
en general, del Sistema de la Proteccin Social". Expone las siguientes
razones:
Sostiene que los individuos deben summistrar datos personales al
Sistema General de Seguridad Social en Salud para poder afiliarse, ya
sea al rgimen contributivo o al rgimen subsidiado, as como para
acceder a la prestacin efectiva de los servicios de salud. Recuerda, con
sustento en el numeral 10 del artculo 15 de la Ley 100 de 1993 y el
inciso 2 del artculo 25 del Decreto 806 de 1998, que la afiliacin al
Sistema es obligatoria, por lo que "el conocimiento y divulgacin de esta
informacin a [por] las entidades del sector salud y de pensiones, a
diferencia de cualquier tipo de informacin que reposa en otras bases de
datos, no es potestativa." Conforme a esto, considera que los datos
requeridos por el Sistema para la afiliacin no pueden ocultarse, en tanto
la afiliacin es una obligacin legal, expresa, razonable y justificada, por
lo que no debe hablarse del derecho a dar y conocer esa informacin,
"sino de la obligacin que tiene toda persona de darla con la finalidad
legtima de acceder a la garanta de derechos fundamentales de mayor
importancia" .
Otra particularidad por la que considera que las bases de datos de las
administradoras del Sistema de Seguridad Social en Salud son
especiales, es porque la negativa a suministrar los datos, el reporte
defectuoso o la imposibilidad de acceder a los datos obstruyen la
prestacin del servicio de salud en general. Por ejemplo, el no registro de
novedades limita el ejercicio de derechos dentro del sistema. Adems, el
no suministro de infonnacin veraz y oportuna afecta la destinacin de
recursos para la prestacin del servicio; es por ello que los
administradores deben reportar mensualmente al Ministerio de la
Proteccin Social la informacin sobre el estado de afiliacin de las
personas para efectos de garantizar la adecuada destinacin de los
recursos, mediante el control la doble afiliacin y las situaciones de
evasin y elusin.
117
Expediente PE-032
Finalmente, sostiene que "(. . .) de no declararse la exequibilidad
condicionada del (. . .) se crearan mecanismos de peticiones, consultas y
reclamos ms dispendiosos en el tiempo que en ltimas abren las
puertas para demorar 'injustificadamente' la efectividad de los derechos
de los titulares de datos personales, en perjuicio de derechos de mayor
preponderancia como el derecho a la seguridad social."
2.4.2.4. ASOBANCARIA solicita, en primer lugar, la exequibilidad
condicionada del literal a), en el entendido que el rgimen de
proteccin de datos no se aplica a aquellos que circulan internamente,
esto es, que no se suministran a terceros.
Sostiene que dada la redaccin final del literal a), quien reciba un dato
tendr que asumir las obligaciones y cargas contenidas en el articulado
para el tratamiento de la informacin. Aunque la Corte Constitucional ha
reconocido que el derecho al hbeas data puede admitir restricciones
siempre que sean adecuadas para la proteccin de otros derechos o
bienes constitucionales como el derecho a la informacin, posibilitar que
se impongan ests cargas de proteccin a informacin que no est sujeta
a flujo, esto es, que no ha sido o no tiene vocacin de ser suministrada a
terceros, constituye un trato desproporcionado que rompe el equilibrio
pretendido por la propia jurisprudencia entre los derechos de los
titulares, de las fuentes de informacin, de los operadores de las bases de
datos y de los usuarios.
Con respecto al aparte del literal a) que establece "[cjuando estas bases
de datos o archivos vayan a ser suministrados a terceros se deber, de
manera previa, informar al titular y solicitar su autorizacin", precisa
que la redaccin conduce a una disposicin violatoria de los estndares
constitucionales relacionados con el flujo de la informacin. En su
criterio, esta redaccin establece una restriccin desproporcionada, ya
que no distingue los tipos de datos que de acuerdo con la jurisprudencia
no requieren autorizacin para su circulacin, es decir, la norma no
diferencia entre datos pblicos, privados, semiprivados y reservados, ni
entre informacin personal e impersonal. De modo que, a menos que la
Corte determine que la norma es constitucional en el entendido que no se
aplica a datos de carcter pblico, ni a los establecidos en el numeral lA
del artculo 6 de la Ley 1266 de 2008, considera que debe ser declarada
inexequible.
En segundo lugar, en relacin con el pargrafo, manifiesta que la
aplicacin de los principios establecidos en el proyecto a las excepciones
configura una carga excesiva que podra desconocer derechos y
principios constitucionales como el derecho a la informacin, la libertad
de prensa y/o el derecho a acceder a documentos pblicos.
118
Expediente PE-032
Agrega que el pargrafo no respeta la especificidad de la regulacin de la
Ley 1266 de 2008, cuando establece: "[e]n el evento que la
normatividad especial que regule las bases de datos exceptuadas prevea
principios que tengan en consideracin la naturaleza especial de datos,
los mismos aplicarn de manera concurrente a los previstos en la
presente ley". De modo que -a juicio de ASOANCARIA- el proyecto
desconoce que el legislador estatutario "contempl el diseo de
dispositivos normativos dirigidos a asegurar la especificidad y la
naturaleza del campo donde se aplicaran las disposiciones
correspondientes a los diferentes escenarios donde es posible
reivindicar el respeto del derecho al habeas data, como ocurri con la
Ley 1266 de 2008, diseada especficamente para establecer
disposiciones generales del hbeas data para ser aplicadas en el manejo
de la informacin contenida en bases de datos personales, en especial la
financiera, crediticia, comercial, de servicios y la proveniente de
terceros pases". Concluye que desconocer esta especificidad, al exigir la
aplicacin de principios generales de manera "concurrente", configura
un vicio de fondo.
2.4.2.5. El profesor Nelson Remolina de la Universidad de los Andes
solicita, en primer lugar, declarar exequible el inciso primero, bajo el
entendido que el proyecto no slo es aplicable al tratamiento de datos
personales contenidos en bases de datos, sino tambin en archivos de
entidades pblicas y privadas. En su sentir, es importante que la Corte
Constitucional se pronuncie sobre este punto no slo porque el artculo
15 menciona explcitamente los archivos sino porque no toda base de
datos es un archivo ni viceversa. Se trata de figuras diferentes que en
algunos casos pueden coincidir, pero no necesariamente. Agrega que en
todo caso frente a las dos figuras, y no slo respecto de las bases de
datos, es procedente el ejercicio del derecho fundamental al habeas data.
En segundo lugar, solicita declarar exequibles los literales a), b), c), d)
y 1), bajo el entendido que los tratamientos exceptuados, as como las
normas previas y posteriores a la expedicin de la ley estatutaria general,
deben respetar y garantizar los elementos del ncleo esencial del derecho
al habeas data.
En tercer lugar, solicita declarar exequible el pargrafo junto con el
artculo 27, (i) bajo el entendido que las leyes y actos administrativos
especiales sobre datos personales emitidos antes de que se profiera la
nueva ley deben ajustarse, revisarse y actualizarse de manera que sean
consistentes con los principios y reglas generales contenidos en el
proyecto y con la jurisprudencia de la Corte Constitucional; y (ii) bajo el
entendido que las leyes y actos administrativos especiales sobre datos
personales emitidos con posterioridad a que se profiera la nueva ley,
Expediente PE-032
119
deben respetar e incorporar los principios y reglas generales contenidos
en el proyecto y la jurisprudencia constitucional.
2.4.2.6. La ciudadana Juanita Durn Vlez solicita la inexequibilidad del
pargrafo o, en su defecto, su exequibilidad condicionada, en el
entendido que los principios solo se aplican concurrentemente ante un
vaco en la regulacin especial adoptada por el legislador estatutario.
2.4.2.7. El ciudadano Santiago Diazgranados Mesa solicita la exequibilidad
condicionada del literal a), para que se entienda que incluye los datos
personales que "circulan internamente, esto es, que no se suministran a
otras personas jurdicas o naturales".
2.4.3. Exequibilidad del inciso primero: condiciones que definen el mbito
de aplicacin de la ley
El inciso primero del artculo 2 establece tres condiciones para la
aplicacin de la ley: (i) la existencia de datos personales (ii) registrados
en una base de datos que los haga susceptibles de tratamiento (iii) por
entidades pblicas o privadas.
2.4.3.1. En relacin con la primera condicin, la Sala estima que se ajusta a
la Carta, teniendo en cuenta, en primer lugar, que el objeto del derecho al
habeas data es la proteccin de los datos personales y, en segundo lugar,
que efectivamente el proyecto contiene regulaciones generales dirigidas
a la proteccin de todo tipo de dato personal. Por tanto, esta condicin
guarda relacin con la unidad temtica del proyecto.
2.4.3.2. En relacin con la segunda condicin, uno de los intervinientes
solicita que sea declarada exequible siempre y cuando se entienda que
comprende los archivos en virtud del texto del artculo 15 superior,
segn el cual el habeas data comprende el "( ... ) derecho [de las
personas] a conocer, actualizar y rectificar las informaciones que se
hayan recogido sobre ellas en bancos de datos y en archivos de
entidades pblicas y privadas. " En criterio del interviniente, Jos
archivos son espacios diferentes a las bases de datos, pero tienen en
comn que pueden contener datos personales susceptibles de ser tratados
de alguna manera. 157
157 El interviniente plantea de manera puntual los siguientes interrogantes: "(. .. ) en Colombia existen muchos
archivos de entidades pblicas y privadas que contienen datos personales. Por ejemplo, los comerciantes
tienen datos personales sobre sus clientes, y a pesar de que en Colombia existe una normativa sobre la
regulacin de los archivos, sta se encuentra dispersa y se refiere al tratamiento correcto de los archivos pero
no al tratamiento de los datos personales. Lo anterior, es una razn para no excluir del mbito de aplicacin
del proyecto de ley bajo estudio, la informacin personal que reposa en archivos." Agrega que "es de suma
relevancia que la informacin personal que reposa en los archivos de entidades pblicas o privadas sea
tratada observando el contenido del artculo 15 Superior como tambin las reglas jurisprudenciales que ha
desarrollado esta Corporacin, en el sentido de reconocer que las bases de datos y los archivos son figuras
diferentes. "
120
Expediente PE-032
Para la Sala, la preocupacin del ciudadano es muy importante, pues
ciertamente los archivos contienen datos personales susceptibles de ser
tratados y, por tanto, que requieren medidas de proteccin; sin embargo,
la Sala observa que los archivos s hacen parte del mbito de
aplicacin de la ley, por las siguientes razones:
El artculo 3 del proyecto define las base de datos de una manera muy
amplia como el "[cJonjunto organizado de datos personales que sea
objeto de Tratamiento". El tratamiento, por su parte, es definido como
"[cJcualquier operacin o conjunto de operaciones sobre datos
personales, tales como recoleccin, almacenamiento, uso, circulacin o
.,
supreslOn
"
.
El proyecto no contiene una definicin de archivo; sin embargo, ste es
definido por la Real Academia de la Lengua como el "[cJonjunto
ordenado de documentos que una persona, una sociedad, una
institucin, etc., producen en el ejercicio de sus funciones o actividades"
o como el "[ljugar donde se custodian uno o varios archivos." Los
archivos tambin son definidos por la Ley 594 de 2000 "por medio de la
cual se dicta la Ley General de Archivos y se dictan otras
disposiciones", como el "[cJonjunto de documentos, sea cual fuere su
fecha, forma y soporte material, acumulados en un proceso natural por
una persona o entidad pblica o privada, en el transcurso de su gestin,
conservados respetando aquel orden para servir como testimonio e
informacin a la persona o institucin que los produce y a los
ciudadanos, o como fuentes de la historia (.. .)" (artculo 3). Finalmente,
los archivos tambin han sido conceptual izados por esta Corporacin
as: "(.. .) un conjunto orgnico de documentos, unidos por un vnculo
originario o de procedencia, que sirven para recuperar con agilidad y
en tiempo oportuno toda la informacin almacenada por una oficina o
. . . , 1 d . 'd d " 158
znstltuclOn en e curso e su actlvl a . .
De acuerdo con estas definiciones, los archivos -para efectos
exclusivamente del proyecto-, en tanto son (i) depsitos ordenados de
datos, incluidos datos personales, y (ii) suponen, como mnimo, que los
datos han sido recolectados, almacenados y, eventualmente, usados
modalidades de tratamiento, son una especie de base de datos que
contiene datos personales susceptibles de ser tratados y, en consecuencia,
sern cobijados por la ley una vez entre en vigencia.
Esta parece adems haber sido la intencin del legislador estatutario,
toda vez que varios artculos del proyecto se refieren a los archivos (i)
como sinnimos de bases de datos o modalidades del mismo gnero al
que pertenecen las bases de datos, y (ii) como mbitos a los que son
158 Cfr. sentencia T-443 de 1994, M.P. Eduardo Cifuentes Muoz.
121
Expediente PE-032
aplicables las regulaciones del proyecto. Por ejemplo, el literal a) del
inciso tercero del artculo 2 dispone que uno de los casos exceptuados de
la aplicacin de algunas regulaciones de la ley son "(. . .) las bases de
datos o archivos mantenidos en un mbito exclu ida m en te personal o
domstico." En tanto -como se ver ms adelante- las hiptesis del
artculo 3 no estn exceptuadas de la aplicacin de los principios, los
archivos mantenidos en un mbito exclusivamente personal o domstico
son cobijados por lo menos por el artculo 4 del proyecto. Lo mismo se
puede concluir de los archivos "(. . .) que tengan por finalidad la
seguridad y defensa nacional" y de los archivos "(. ..) de informacin
periodstica y otros contenidos editoriales", previstos en los literal b) y
d), respectivamente, del inciso tercero del artculo 3, es decir, a tales
archivos se aplican los principios del artculo 4.
Vale la pena mencionar que si bien la definicin de base de datos que
trae el proyecto puede diferir del uso comn del trmino, no por ello es
inconstitucional, pues el legislador goza de discrecionalidad para hacer
clasificaciones y fijar definiciones, como ocurri en este caso.
En este orden de ideas, teniendo en cuenta que el concepto de bases de
datos es suficientemente amplio para cobijar los archivos, la Sala
concluye que la segunda condicin es exequible.
2.4.3.3. Por ltimo, respecto de la tercera condicin -posibilidad de
tratamiento de los datos por entidades pblicas o privadas, para la Sala
surge la duda de si el empleo del trmino entidades supone una
restriccin inconstitucional, pues podra limitar el mbito de aplicacin a
datos personales susceptibles de ser tratados solamente por personas
jurdicas, lo que excluira los casos de tratamiento por personas
naturales.
Sin embargo, la Sala observa que el trmino entidad tienen varias
acepciones, una de la cuales incluye a las personas naturales. En efecto,
segn el Diccionario de la Real Academia de la Lengua, una entidad
puede ser una "[c}olectividad considerada como unidad. Especialmente,
cualquier corporacin, compaa, institucin, etc., tomada como
persona jurdica", pero tambin puede ser un "[e}nte o ser"; esta
segunda definicin -ms amplia- cobija a las personas naturales.
As, en atencin a los principios de interpretacin conforme a la
Constitucin y de conservacin del derecho, la Sala concluye que debe
entenderse -sin necesidad de condicionar la exequibilidad del precepto
que la interpretacin del inciso que se ajusta a la Carta es aquella segn
el cual el trmino entidades comprende tanto las personas natrales como
jurdicas. De modo que as entendida la condicin, la Sala tambin
concluye que es compatible con la Carta, pues cobija las hiptesis
Expediente PE-032
l22
necesarias para que el proyecto cumpla su finalidad de brindar
proteccin a lo datos personales.
Para terminar, resalta la Sala la importancia de esta disposicin, en tanto
reconoce que el tratamiento de datos personales tambin puede ser
efectuado por personas privadas; de hecho, en el mundo globalizado, el
sector privado lleva a cabo una parte muy considerable del tratamiento
de datos, lo que lo dota de un poder informtico a gran escala y lo
convierte en un potencial vulnerador del derecho al habeas data. De ah
que uno de los grandes retos de la proteccin de los datos personales es
la creacin de mecanismos para hacer responsables a los particulares por
el tratamiento inadecuado y abusivo de datos personales.
2.4.4. Exequibilidad del inciso segundo: mbito de aplicacin territorial y
subjetivo
El inciso segundo indica que la ley se aplicar al tratamiento de datos
personales (i) efectuado en el territorio colombiano o (ii) que tiene lugar
fuera del territorio, pero es llevado a cabo por un responsable o
encargado del tratamiento al que le es aplicable la legislacin
Para la Sala, esta disposicin se ajusta a la Carta, pues ampla el mbito
de proteccin a algunos tratamientos de datos personales que ocurren
fuera del territorio nacional, en virtud del factor subjetivo. En un mundo
globalizado en el que el flujo transfronterizo de datos es constante, la
aplicacin extraterritorial de los estndares de proteccin es
indispensable para garantizar la proteccin adecuada de los datos
personales de los residentes en Colombia, pues muchos de los
tratamientos, en virtud de las nuevas tecnologas, ocurren precisamente
fuera de las fronteras. Por tanto, para la Sala se trata de una medida
imperiosa para garantizar el derecho al habeas data. Esta disposicin
debe adems leerse en conjunto con los artculos sobre transferencia de
datos a terceros pases, de los cuales se ocupar la Sala ms adelante.
2.4.5. Exequibilidad del inciso tercero y del pargrafo: casos exceptuados
2.4.5.1. Interpretacin de los preceptos
El inciso tercero seala que el rgimen de proteccin del proyecto de ley
"no ser de aplicacin" a los siguientes mbitos: a) bases de datos o
archivos mantenidos en un mbito exclusivamente personal o domstico;
b) bases de datos y archivos que tengan por finalidad la seguridad y
defensa nacional, as como la prevencin, deteccin, monitoreo y control
de lavado de activos y financiamiento del terrorismo; c) bases de datos
que tengan como fin y contengan informacin de inteligencia y
123
Expediente PE-032
contrainteligencia; d) bases de datos y archivos de informacin
periodstica y otros contenidos editoriales; e) bases de datos y archivos
regulados por la Ley 1266 de 2008 -datos financieros y comerciales para
calcular riesgo crediticio; y f) bases de datos y archivos regulados por la
Ley 79 de 1993 -informacin estadstica.
Adems, el pargrafo precisa que los principios de proteccin contenidos
en el proyecto "(. . .) sern aplicables a todas las bases de datos,
incluidas las exceptuadas en el presente artculo, con los lmites
dispuestos en la presente ley y sin reir con los datos que tienen
caractersticas de estar amparados por la reserva legal." Tambin
dispone que los principios que se establezcan en la normativa que regule
los datos exceptuados, se debern aplicar de manera concurrente con los
estipulados en el proyecto.
Una lectura conjunta del inciso tercero y del pargrafo permite concluir
que el primero prev una serie de casos exceptuados de las reglas del
proyecto de ley, debido a que requieren reglas especiales, como las
que se introdujeron en la Ley 1266 para datos personales financieros y
comerciales destinados a calcular el riesgo crediticio. Estas hiptesis
requieren una regulacin especial, por cuanto son mbitos en los que
existe una fuerte tensin entre el derecho al habeas data y otros
principios constitucionales (como el derecho a la informacin, la
seguridad nacional y el orden pblico), tensin que para ser resuelta
requiere reglas especiales y complementarias. Sin embargo, de
conformidad con al primera parte del pargrafo, estas hiptesis no estn
exceptuadas de los principios, como garantas mnimas de proteccin
del habeas data. En otras palabras, las hiptesis enunciadas en el inciso
tercero son casos exceptuados -no excluidos- de la aplicacin de las
disposiciones de la ley, en virtud del tipo de intereses involucrados
en cada uno y que ameritan una regulacin especial y
complementaria, salvo respecto de las disposiciones que tienen que
ver con los principios. Varias razones soportan esta interpretacin:
En primer lugar, como se indic en el informe de ponencia para segundo
debate en Senado, este pargrafo se introdujo con el fin de precisar que
el artculo 2 no introduce un rgimen de exclusin sino de excepcin
para mbitos que requieren regulaciones especiales, pero a los que le son
aplicables los principios generales contenidos en el proyecto de ley. Al
respecto, se indic:
"La inclusin del pargrafo obedece a que sin importar la
finalidad que tenga la base de datos, mientras esta contenga
informacin y datos personales se deber respetar los
principios generales que regulan el tratamiento y proteccin
de datos; as lo ha sostenido en reiteradas ocasiones la Corte
124
Expediente PE-032
Constitucional al enunciar el desarrollo y alcance que deben
tener los principios que regulan el tema de la proteccin de la
informacin. Una legislacin unificada y clara sobre el tema
en desarrollo se hace completamente necesaria respondiendo
siempre a los principios de necesidad y proporcionalidad,
motivo por el cual pretender dejar bases de datos sin que les
sea aplicable los principios de la administracin de datos,
solo debera hacerse en respuesta a un estudio particular de
cada caso que sobre fundamentos verdicos y con
argumentacin suficiente que permita, a travs del test de
razonabilidad, decidir y motivar por qu no se aplicarn los
principios bsicos que desarrolla un derecho fundamental,
basta con analizar desde la ptica de la Corte los principios
de libertad, necesidad, veracidad, integridad, finalidad. Y su
importancia en el desarrollo del derecho fundamental al
Hbeas Data, la proteccin de datos personales y la
autodeterminacin informtica. "
En segundo lugar, desde el punto de vista teleolgico, estos preceptos
deben interpretarse dentro del propsito del proyecto de ley: introducir
en el ordenamiento una serie de principios bsicos aplicables al
tratamiento de todos los datos personales, independientemente de su
clasificacin, lo que es incompatible con la existencia de regmenes
excluidos.
En tercer lugar, y como se analizar ms adelante, las garantas previstas
en el articulo 4 son principios que ya haban sido recogidos por la
jurisprudencia constitucional como garantas derivadas del derecho
fundamental al habeas data y, por tanto, incluso en ausencia de una ley
que lo disponga, son de aplicacin obligatoria al tratamiento de todo tipo
de dato personal.
En consecuencia, una interpretacin del inciso tercero del artculo 2
consonante con la Constitucin y el contenido y finalidad del proyecto
de leyes que aqul no prev regmenes excluidos de la aplicacin de la
ley sino exceptuados de algunas de sus disposiciones en virtud de los
intereses que se hallan en tensin. Esos casos exceptuados deben ser
regulados por leyes estatutarias especiales y complementarias, las cuales
debern sujetarse a las exigencias del principio de proporcionalidad.
En este orden de ideas, las leyes especiales que se ocupen de los mbitos
exceptuados debern (i) perseguir una' finalidad constitucional, (ii)
prever medios idneos para lograr tal objetivo, y (iii) establecer una
regulacin que. en aras de la finalidad perseguida, no sacrifique de
manera irrazonable otros derechos constitucionales, particularmente el
derecho al habeas data. Adems, de conformidad con los principios que
Expediente PE-032
125
se examinarn ms adelante, el cumplimiento de las garantas y la
limitacin del habeas data dentro de los lmites de la proporcionalidad
debe ser vigilada y controlada por un rgano independiente, bien sea
comn o sectorial.
Antes de terminar, tal como se hizo en la sentencia C-IOll de 2008
159
, la
Sala se permite recordar que aunque en principio es constitucional la
consagracin de algunas excepciones a la aplicacin de algunas
disposiciones de la ley, ello no significa que aquellos mbitos, as como
todos los dems en los que se lleva a cabo tratamiento de datos
personales, estn excluidos de las garantas bsicas del derecho al habeas
data, as como de las garantas de otros derechos fundamentales que en
cada caso puedan resultar lesionados con el tratamiento de datos
personales. 160
2.4.5.2. Las excepciones efectivamente son previstas por la ley, como lo
exige la Constitucin, y deben ser interpretadas de manera restrictiva
El Comit de Derechos Humanos, en su Observacin General 16 sobre el
artculo 17 del PIDCP -sobre el derecho a la intimidad, indic que"(. . .)
no puede producirse injerencia alguna, salvo en los casos previstos por
la ley. La injerencia autorizada por los Estados slo puede tener lugar
en virtud de la ley, que a su vez debe conformarse a las disposiciones,
propsitos y objetivos del Pacto" (negrilla fuera del texto )161. De esta
afirmacin se sigue, como ha tambin indicado esta Corporacin, que, en
principio, las excepciones a la aplicacin de las garantas de los derechos
fundamentales, en este caso del derecho al habeas data, deben estar
previstas en la ley, como efectivamente lo hace el proyecto bajo examen.
Ciertamente, a juicio de esta Corporacin, en tanto tales excepciones son
una fuerte limitacin de los derechos, es un asunto que corresponde
160 La Corte expres lo siguiente en la sentencia C-IO 11 de 2008, M.P. Jaime Crdoba Trivio: "No obstante
esta comprobacin, la Corte advierte necesario estipular que la legitimidad constitucional de la consagracin
de mbitos de exclusin a las reglas contenidas en el Proyecto de Ley no significa, de ningn modo, que tanto
esos mbitos, como todos aquellos en los que se llevan a cabo labores de recopilacin, tratamiento y
circulacin de datos personales, estn excluidos de la proteccin que incorpora el derecho fundamental al
hbeas data y, en general, la libertad y las dems garantas en la Constitucin, segn la frmula establecida
en el artculo 15 c.P. y conforme a los principios identificados por la jurisprudencia constitucional y descritos
en el apartado 2 del presente anlisis material. Por lo tanto, en cada una de las actividades de gestin de
datos personales deber cumplirse con el plexo de derechos, libertades y garantas propias del derecho
fundamental al hbeas data, segn las consideraciones expresadas a lo largo de esta sentencia. Inclusive, la
Sala advierte que las mismas normas de la ley estatutaria, en cuanto prevn los principios de administracin
de datos personales, al igual que los derechos y deberes de titulares, fuentes y usuarios," pueden servir de
parmetro para la evaluacin de la legitimidad de otras modalidades de tratamiento de informacin personal,
en tanto dichos preceptos resulten pertinentes y aplicables.
Esta conclusin se soporta en el hecho que la promulgacin de una disposicin estatutaria no desvirta el
valor normativo del Texto Constitucional y la aplicacin inmediata de las disposiciones que consagran los
derechos fundamentales (Art. 85 c.P.). "
161 Si bien es cierto esta observacin se refiere al derecho a la intimidad, como se explic en apartes previos, el
derecho al habeas data en el sistema universal de proteccin de derechos humanos se sigue garantizando por
intermedio del derecho a la intimidad, pues la autonoma del primero an no ha sido reconocida, por lo menos
a nivel de los tratados internacionales.
126
Expediente PE-032
regular al legislador estatutario.
162
Adems, las excepciones que se
introduzcan, aunque estn contenidas en una ley, deben sujetarse a las
exigencias del principio de proporcionalidad. 163
El Comit de Derechos Humanos tambin ha indicado que "[i]ncluso
con respecto a las injerencias que sean conformes al Pacto, en la
legislacin pertinente se deben especificar con detalle las circunstancias
precisas en que podrn autorizarse esas injerencias.". De ah la
necesidad de que las excepciones previstas en este artculo sean
desarrolladas por el legislador estatutario en otras leyes, en las que
precise las condiciones en las que debe aplicarse el rgimen excepcional.
Finalmente, el Comit asegura que "[e]l cumplimiento del artculo 17
exige que la integridad y el carcter confidencial de la correspondencia
estn protegidos de jure y de facto. La correspondencia debe ser
entregada al destinatario sin ser interceptada ni abierta o leda de otro
modo. Debe prohibirse la vigilancia, por medios electrnicos o de otra
ndole, la intervencin de las comunicaciones telefnicas, telegrficas o
de otro tipo, as como la intervencin y grabacin de conversaciones.
Los registros en el domicilio de una persona deben limitarse a la
bsqueda de pruebas necesarias y no debe permitirse que constituyan un
hostigamiento." Es decir, las excepciones previstas en este artculo
deben, en todo caso, cumplir con las anteriores prohibiciones.
2.4.5.3. Constitucionalidad del literal aJ: la excepcin "las bases de datos o
archivos mantenidos en un mbito exclusivamente personal o
domstico ".
El literal a) ofrece tres contenidos normativos: (i) seala que uno de
los casos exceptuados de la reglas del proyecto es el de "las bases de
datos o archivos mantenidos en un mbito exclusivamente personal o
domstico". (ii) A continuacin, indica que "cuando estas bases de
datos vayan a ser suministradas a terceros se deber, de manera previa,
informar al Titular y solicitar su autorizacin. " Por ltimo, (iii) precisa
que en este ltimo caso, es decir, cuando los datos son suministrados a
un tercero, el respetivo responsable o encargado de las bases de datos y
archivos quedar sujeto a las disposiciones de la ley.
2.4.5.3.1. En relacin con el primer contenido normativo, uno de los
intervinientes asegura que la excepcin debe cobijar todo dato que
162 Por ejemplo, en la sentencia T-396 de 1998, M.P. Antonio Barrera Carbonell, la Corte sostuvo que entes
que cumplen funciones administrativas no pueden establecer excepciones a las reglas de una ley estatutaria,
pues ese es un asunto de competencia exclusiva del legislador estatutario.
163 El Comit explic lo siguiente al respecto en la Observacin General 16: "Con la introduccin del concepto
de arbitrariedad se pretende garantizar que incluso cualquier injerencia prevista en la ley est en consonancia
con las disposiciones, los propsitos y los objetivos del Pacto y sea, en todo caso, razonable en las
circunstancias particulares del caso."
Expediente PE-032
127
circula internamente, es decir, no solamente a nivel personal y
domstico, sino tambin, por ejemplo, a nivel de una empresa, y entiende
que lo que delimita la circulacin interna es el tratamiento del dato sin la
intencin de suministrarlo a terceros. La Sala, por el contrario, encuentra
que la regla, tal cual est redactada en el proyecto, es compatible con la
Constitucin y que la Corte no puede extender el mbito de la excepcin
a hiptesis que no fueron previstas por el legislador, por las razones que
a continuacin se exponen:
El primer contenido normativo del literal a) tiene tres elementos: (i) hace
referencia a datos personales, (ii) contenidos en bases de datos (iii)
"mantenidos en un mbito exclusivamente personal o domstico". El
ltimo elemento, que es el cuestionado por el interviniente, se refiere al
mbito de la intimidad de las personas naturales; ciertamente, los
mbitos personal y domstico son las esferas con las que
tradicionalmente ha estado ligado el derecho a la intimidad, el cual, en
tanto se relaciona con la posibilidad de autodeterminacin como un
elemento de la dignidad humana, no puede predicarse de las personas
jurdicas. Por tanto, esta excepcin busca resolver la tensin entre el
derecho a la intimidad y el derecho al habeas data.
As, en tanto los datos mantenidos en estas esferas (i) no estn destinados
a la circulacin ni a la divulgacin, y (ii) su tratamiento tampoco puede
dar lugar a consecuencias adversas para el titular, tiene sentido que su
tratamiento est exceptuado de algunas disposiciones del proyecto. Por
ejemplo, no sera razonable que la proteccin de los datos personales
mantenidos en estos mbitos (por ejemplo, un directorio telefnico
domstico) estuviera a cargo de la Superintendencia de Industria y
Comercio o que quien trata los datos estuviera sometido al rgimen
sancionatorio que prev el proyecto.
Ahora bien, no puede entenderse que el primer contenido normativo del
literal a) se extienda al tratamiento de cualquier dato cuando circule
internamente, como pretende ASOBANCARIA. En primer lugar, si bien
es cierto una de las razones por las cuales la excepcin del literal a) es
razonable es porque los datos "mantenidos en un mbito exclusivamente
personal o domstico" no estn destinados a circular, de ah no se sigue
que todo dato que no circula o circula internamente deba ser exceptuado,
pues para que opere la excepcin, por voluntad del legislador, se requiere
adems que los datos sean mantenidos por una persona natural en su
esfera ntima. Ciertamente, se trata de dos hiptesis diferentes, razn por
la cual, por ejemplo, en el texto de la Ley 1266, si bien fueron tratadas
conjuntamente, fueron unidas por la conjuncin "y", lo que significa que
d d 164
son dos 1 eas lstmtas.
164 El artculo 2 de la Ley 1266 dispone al respecto: "( ... ) quedan excluidos de la aplicacin de la presente ley
aquellos datos mantenidos en un mbito exclusivamente personal o domstico y aquellos que circulan
128
Expediente PE-032
En segundo lugar, no hay razones para concluir que, en el contexto de
una regulacin general y mnima del habeas data
l65
, el tratamiento de
datos que circulan internamente merezca las mismas consecuencias
jurdicas del tratamiento de datos "mantenidos en un mbito
exclusivamente personal o domstico"; en otras palabras, no hay
argumentos constitucionales que lleven a concluir que las dos hiptesis
deben recibir el mismo trato legal. El que los datos no circulen o circulen
internamente, no asegura que su tratamiento no pueda tener
consecuencias adversas para su titular. Pinsese por ejemplo en las hojas
de vida de los empleados de una empresa mantenidas en el mbito
interno; si bien no van a ser divulgadas a terceros, su tratamiento y
circulacin interna s puede traer consecuencias negativas para el titular
del dato (por ejemplo, en trminos sancionatorios o de ascensos), razn
por la cual deben estar sujetas a las reglas generales que consagra el
proyecto de ley.
En este orden de ideas, siempre y cuando se cumplan las condiciones
mencionadas previamente y se entienda que, en todo caso, esta hiptesis
s se encuentra sujeta a los principios del artCulo 4, para la Sala la
excepcin prevista en la primera regla del literal a) se ajusta a la Carta.
2.4.5.3.2. En relacin con el segundo contenido normativo, este es que
"cuando estas bases de datos vayan a ser suministradas a terceros se
deber, de manera previa, informar al Titular y solicitar su
autorizacin", la Sala encuentra que no solamente es compatible con la
Constitucin, sino que es desarrollo del principio de libertad -cuyo
contenido ser examinado ms adelante, con mayor razn si se tiene en
cuenta que al salir de la esfera personal o domstica, la circulacin de los
datos pueden empezar a crear riesgos sobre los derechos de los titulares.
2.4.5.3.3. Por ltimo, la Sala estima que el tercer contenido normativo segn
el cual "[eJn este caso los Responsables y Encargados de las bases de
datos y los archivos quedarn sujetos a las disposiciones contenidas en
la presente ley", no solo es compatible con la Carta, sino que es una
manifestacin del principio de responsabilidad. La Sala observa que
cuando los datos que eran mantenidos en la esfera personal o domstica
internamente, esto es, que no se suministran a otras personas jurdicas o naturales". Tambin fueron tratadas
como dos hiptesis diferentes en la sentencia C-IOIl de 2008, M.P. Jaime Crdoba Trivifto, en la que la Corte
manifest sobre el contenido del inciso quinto del artculo 2: "(. . .) la Sala considera oportuno identificar dos
contenidos diferenciados, que se predican del inciso quinto. El primero, que prescribe la inaplicabilidad de la
normatividad estatutaria a aquellos datos que mantenidos en un mbito personal o domstico. El segundo,
relacionado con la exclusin de la aplicacin de la norma estatutaria respecto de los datos que circulan
internamente, esto es, que no se suministran a otras personas naturales jurdicas. "
165 En la Ley 1266 el legislador decidi darles el mismo tratamiento, es decir, resolvi excluir las dos hiptesis
de la aplicacin de sus disposiciones; sin embargo, como explic esta Corte en la sentencia C-IO 11 de 2008,
ello se debi a que la Ley 1266 se refiere exclusivamente a los datos personales financieros y comerciales
destinados a calcular el riesgo crediticio de las personas, mbito en el que s es razonable excluir los datos que
circulan internamente, pues no pueden ser usados precisamente para calcular el riesgo crediticio.
129
Expediente PE-032
son puestos en circulacin externa, se crea un riesgo para el titular, lo
que justifica que el encargado y responsable del tratamiento deban
someterse a las reglas de responsabilidad que prev el proyecto, con la
finalidad de evitar posibles abusos. La Sala entonces declarar exequible
tambin esta parte del literal a).
2.4.5.4. Constitucionalidad del literal by: la excepcin "las bases de datos o
archivos que tengan por finalidad la seguridad y defensa nacional, as
como la prevencin, deteccin, monitoreo y control del lavado de
activos y el financiamiento del terrorismo"
2.4.5.4.1. Como se indic en la sentencia C-2Sl de 2002
166
, "[uJna de las
finalidades bsicas de las autoridades colombianas es la defensa de la
integridad nacional y la preservacin del orden pblico y de la
convivencia pacfica, no slo porque as lo establece expresamente el
artculo 2 de la Carta, sino adems porque esos elementos son
condiciones materiales para que las personas puedan gozar de sus
derechos y libertades ".
Las labores de defensa y seguridad, a diferencia de las de inteligencia y
contrainteligencia -como se ver ms adelante- tienen lugar con ocasin
de la existencia de amenazas actuales y graves contra el orden pblico y
la soberana, y solamente pueden ser ejecutadas por la Fuerza pblica.
167
Amenazas de tal magnitud justifican el tratamiento de datos personales
para los propsitos de defensa y seguridad nacional; es ms, esta
Corporacin ha indicado que el tratamiento de datos personales para esos
propsitos "(. ..) es un elemento importante para el logro de sus fines
constitucionales de mantenimiento del orden constitucional y de las
condiciones necesarias para el ejercicio adecuado de los derechos y
l
'b d . 1 e ,,168 d' d h .
1 erta es preVIstos en a arta ,es eClr, se trata e una erramlenta
importante de la que disponen las autoridades para cumplir sus funciones
de defensa.
Sin embargo, como lo ha indicado esta Corporacin, la defensa del orden
pblico y de la integridad de la soberana no pueden servir de excusa
para desconocer las garantas bsicas del estado social de derecho e
implementar un estado totalitario en el que las personas se conviertan en
166 M.P. Eduardo Montealegre Lynett y Clara Ins Vargas Hemndez.
167 En la sentencia C-25 I de 2002, M.P. Eduardo Montealegre Lynett y Clara Ins Vargas Hemndez, la Corte
explic lo siguiente: "La posibilidad de imponer deberes en materia de orden pblico y defensa se encuentra
adems delimitada por la propia Carta, que atribuye ese papel fundamentalmente a la Fuerza Pblica. As. a
las Fuerzas Militares corresponde la defensa de la soberana, la independencia, la integridad del territorio
nacional y del orden constitucional, mientras que la Polica debe mantener las condiciones necesarias para el
ejercicio de los derechos y libertades pblicas, y asegurar que los habitantes de Colombia convivan en paz
(CP arts 217 y 218). Esto significa que es la Fuerza Pblica la garante de la convivencia ciudadana, y no
puede trasladarse a los propios ciudadanos esa funcin, sin desnaturalizar la estructura constitucional del
Estado colombiano, como se explicar posteriormente . ..
168 Cfr. Sentencia C- I O 11 de 2008, M.P. Jaime Crdoba Trivio.
Expediente PE-032
130
objetos al serVlCIO del Estado.
169
Por ello, toda labor de seguridad y
defensa nacional debe ser compatible con la dignidad y los derechos
fundamentales de las personas que puedan resultar afectadas. En este
orden de ideas, la Sala reitera que el tratamiento de datos personales con
estas finalidades debe sujetarse de manera estricta a las exigencias del
principio de proporcionalidad.
2.4.5.4.2. Consideraciones similares deben realizarse para las excepciones de
"prevencin, deteccin, monitoreo y control del lavado de activos y el
financiamiento del terrorismo ", pues tanto el lavado de activos como el
terrorismo son amenazas importantes contra la seguridad y el orden
pblico.
Por ejemplo, en la sentencia C-537 de 2008
17
, la Corte reconoci que el
delito de terrorismo conlleva una grave afectacin "(.. .) de derechos y
libertades de primer orden, lo que impone la obligatoriedad para el
Estado de establecer medidas suficientes y eficaces, tanto en el mbito
internacional como del derecho interno, para prevenir, combatir y
sancionar esas conductas. " Dada la gravedad del delito, la Corte agreg
que "(.. .) las decisiones que adopte el legislador dirigidas a
implementar medidas para la prevencin, represin y sancin del
terrorismo son prima Jacie armnicas con el Estatuto Superior." 171 La
Sala tambin observa que la adopcin de medidas para combatir
efectivamente el terrorismo es una obligacin internacional del Estado
169 En la sentencia C-25 I de 2002, M.P. Eduardo Montealegre Lynett y Clara Ins Vargas Hernndez, la Corte
expres: "As, esa frmula constitucional implica una proscripcin de cualquier asomo totalitario. En efecto,
como es sabido, los Estados totalitarios -como el nazismo y el fascismo- que se desarrollaron en Europa entre
las dos guerras mundiales, tenan algunos rasgos distintivos: eran no slo regmenes de terror sino naciones
en donde no existan lmites entre el Estado y la sociedad, de suerte que la sociedad era absorbida por el
Estado
l69
. Adems, en ese tipo de sociedades las personas estaban al servicio del Estado, que era considerado
un fin en s mismo. En radical oposicin a ese tipo de filosofias polticas, la Carta de 1991, que es
esencialmente personalista y no estatalista, hace de la dignidad y los derechos de la persona la base del
Estado, y por ello, en vez de poner al individuo al servicio del Estado, pone a las autoridades al servicio de la
comunidad y de las personas (C? arts 1, ]O Y J O). "El sujeto, razn y fin de la Constitucin de 1991 es la
persona humana ", ha reiterado esta Corte desde sus primeras decisiones. Y por consiguiente, es claro que
estn proscritas de nuestro ordenamiento constitucional las polticas que permitan una absorcin de la
sociedad por el Estado, o la instrumentacin de las personas en beneficio del simple engrandecimiento y
glorificacin del Estado.
9- Estos rasgos definitorios del Estado colombiano, tienen implicaciones evidentes sobre las polticas de
seguridad y defensa. Si el Estado se fundamenta en la dignidad y derechos de la persona, entonces la
preservacin del orden pblico no es una finalidad en s misma sino que constituye, como esta Corte lo ha
dicho, 'un valor subordinado al respeto a la dignidad humana', por lo que, 'la preservacin del orden pblico
lograda mediante la supresin de las libertades pblicas no es entonces compatible con el ideal democrtico '.
y de otro lado, si el Estado est al servicio de la comunidad y de las personas, entonces corresponde
obviamente a las autoridades del Estado proteger y ser garantes de la seguridad de las personas, y no a las
personas proteger y ser garantes de la seguridad del Estado. "
171 De forma similar, en la sentencia C-I27 de 1993, M.P. Alejandro Martnez Caballero, la Corte concluy
"que la comunidad internacional ha reconocido en forma unnime y reiterada que el terrorismo es un delito
que por ser atroz tiene un trato distinto. "Luego, en la sentencia C-762 de 2002, M.P. Rodrigo Escobar Gil, la
Corte reconoci que el terrorismo afecta gravemente distintos derechos fundamentales y, por tanto, se trata de
una conducta cuya necesidad de investigacin y sancin ha sido previsto por las normas del derecho
internacional, entre ellas aquellas que tienen carcter de ius cogens. Ver tambin las sentencias C-I055 de
2003, M.P. Marco Gerardo Monroy Cabra, y C-037 de 2004, M.P. Jaime Crdoba Trivio.
Expediente PE-032
131
colombiano derivada de instrumentos tales como el Convenio
Internacional para la Represin de los Atentados Terroristas Cometidos
con Bombas, el Convenio Internacional para la Represin de la
Financiacin del Terrorismo y la Convencin Interamericana contra el
Terrorismo, todos ratificados por Colombia y sus leyes aprobatorias
declaradas exequibles por esta Corporacin.
En materia de lavado de activos, la Corte ha sealado que el
establecimiento de medidas para prevenir y sancionar esta conducta es
un aspecto inseparable del xito de las medidas para la represin del
crimen organizado. Adems, ha reconocido que dada la sofisticacin de
las redes dedicadas a este delito y su naturaleza transfronteriza, se
requieren medidas especiales y el uso de la tecnologa. 172
En este orden de ideas, dada la entidad de la amenaza que para el orden
constitucional representan las conductas delictivas de terrorismo y
lavado de activos, la Corte considera razonable que el tratamiento de
datos para su prevencin, deteccin, monitoreo y control sea exceptuado
de la aplicacin del proyecto bajo revisin, salvo en materia de
.. 173
pnnclplOs.
2.4.5.5. Constitucionalidad del literal c): la excepcin "las bases de datos
que tengan como fin y contengan informacin de inteligencia y
contrainteligencia"
En informe de ponencia para segundo debate en el Senado 174, se propuso
la inclusin del literal c), por las siguientes razones:
"El nuevo literal d) se incluye dado a que si bien se sostiene
en el literal c) del mismo artculo una descripcin de bases de
datos relacionadas con el tema de seguridad del Estado, es
bien sabido que el tema de inteligencia y contrainteligencia
J72 Ver sentencia C-931 de 2007, M.P. Marco Gerardo Monroy Cabra. La Corte expres lo siguiente en dicha
oportunidad: "En efecto, en los ltimos tiempos, las organizaciones delictivas se han incorporado al mundo
globalizado para aprovechar sus beneficios tecnolgicos y comerciales. El desarrollo de los medios de
comunicacin, del comercio electrnico, de los medios de transporte ha permitido la sofisticacin de los
mecanismos delictivos, haciendo cada vez ms dificil la deteccin de los responsables, as como ms ardua la
agrehensin de sus ganancias. "
1 3 La necesidad de dar aplicacin a los principios del habeas data en las labores de deteccin de la financiacin
de terrorismo ya haba sido anunciada por la Corte en la sentencia C-537 de 2008, M.P. Jaime Crdoba
Trivio, en la que la Corporacin explic: "(. .. ) el intercambio de informacin financiera que prevn las
disposiciones analizadas deber, en todo caso, estar precedido de la garanta del derecho a la
autodeterminacin informativa de los afectados con las medidas, en los trminos del artculo 15 c.P. Por lo
tanto, las acciones que ejecute el Estado con el fin de cumplir con sus compromisos en la interdiccin de
recursos destinados a la financiacin del terrorismo, debern garantizar que los titulares de la informacin
conserven la facultad de conocer, actualizar y rectificar los datos concernidos. De la misma manera, el
tratamiento de esa informacin estar supeditado a la eficacia de los principios de libertad, necesidad,
veracidad, integridad, incorporacin, finalidad, utilidad, circulacin restringida, caducidad e individualidad,
conforme lo ha precisado la jurisprudencia constitucional. "
174 Informe publicado en la Gaceta No. 1080 del 13 de diciembre de 2010.
132
Expediente PE-032
debe tratarse con sumo cuidado ya que aunque guarda
estrecha relacin con la seguridad del Estado, su manejo y
fines son autnomos, motivo por el cual y respetando la
jurisprudencia vigente se prefiere identificar de manera clara
la exclusin condicionada de este tipo de bases de datos. "
La jurisprudencia constitucional ha indicado que la inteligencia y
contrainteligencia, pese a que se relacionan con la seguridad nacional y
la defensa, son conceptos distintos que ameritan una regulacin especial
y diferente.
Como se seal en la sentencia C-592 de 199i
75
, el trmino inteligencia
es definido por la Real Academia de la Lengua Espaola como
una "[o ]rganizacin secreta en un Estado para dirigir y organizar el
espionaje". Esta actividad, por tanto, est reservada para los organismos
del Estado y no se puede delegar por razones de seguridad nacional.
Ms recientemente, en la sentencia C-913 de 2010 176, la Corte record
que los trminos inteligencia y contrainteligencia tienen la siguiente
definicin:
"(. . .) el Diccionario de la Real Academia de la Lengua
Espaola menciona dentro de las distintas acepciones del
trmino inteligencia, el 'trato y correspondencia secreta de
dos o ms personas o naciones entre s', y ms adelante
sugiere el concepto de servicio de inteligencia, el cual es
definido como una 'organizacin secreta de un Estado para
dirigir y organizar el espionaje '. De otro lado, en lo que
respecta a la contrainteligencia, se remite al concepto de
contraespionaje, que se define como un 'servicio de defensa de
un pas contra el espionaje de potencias extranjeras '. "
Luego, a partir de estas definiciones y de un sondeo de definiciones
adoptadas en otras legislaciones, la Corte concluy que estas labores
tienen las siguientes caractersticas:
"De los anteriores conceptos pueden destacarse, entre otros,
los siguientes elementos comunes acerca de las labores de
inteligencia y contrainteligencia: i) se trata de actividades de
acopio, recopilacin, clasificacin y circulacin de
informacin relevante para el logro de objetivos relacionados
con la seguridad del Estado y de sus ciudadanos, ii) el
propsito de esas actividades y el de la informacin a que se
ha hecho referencia es prevenir, controlar y neutralizar
175 M.P. Alejandro Martnez Caballero y Jorge Arango Meja.
176 M.P. Nilson Pinilla Pinilla.
133
Expediente PE-032
situaciones que pongan en peligro tales intereses legtimos, as
como hacer posible la toma de decisiones estratgicas que
permitan la defensa y/o avance de los mismos; iii) es inherente
a estas actividades el elemento de la reserva o secreto de la
informacin recaudada y de las decisiones que en ella se
sustentan, dado que la libre circulacin y el pblico
conocimiento de las mismas podra ocasionar el fracaso de
esas operaciones y de los objetivos perseguidos; iv) dado que
se trata de detectar y prevenir posibles hechos ilcitos y/o
actuaciones criminales, la informacin de inteligencia y
contra inteligencia es normalmente recaudada y circulada sin
el conocimiento, ni menos an el consentimiento de las
personas concernidas. "
A esto cabe agregar que (i) la inteligencia tiene una funcin preventiva,
lo que significa que, en principio, los datos personales que son tratados
con este propsito no pueden servir para la privacin de la libertad de las
personas. Adems, (ii) este tipo de labores solamente se puede realizar
para prevenir atentados contra bienes jurdicos de alta importancia
como el orden pblico y la soberana nacional, de manera que no puede
emplearse como herramienta de prevencin de crmenes menores y de
incidencia netamente individual. (iii) Por ltimo, las actividades de
inteligencia y contrainteligencia pueden realizarse hasta la comisin o
tentativa de comisin de un hecho punible; en este punto, es obligacin
de los entes de inteligencia poner el asunto en conocimiento de las
autoridades judiciales y de polica, para que, en el marco de un proceso
penal, con respeto del principio de presuncin de inocencia y previo
recaudo de la evidencia segn los parmetros legales y constitucionales,
adopten las medidas del caso.
Por tanto, la inteligencia y la contrainteligencia deben ser vistas como
herramientas al servicio del Estado social de derecho y no como fines en
s mismos, lo que explica que deban sujetarse de manera estricta a las
exigencias del principio de proporcionalidad. Entendidas de esta manera,
excepcionar de la aplicacin de las disposiciones del proyecto al
tratamiento de datos que tiene lugar con ocasin de actividades de
inteligencia y contrainteligencia no resulta inconstitucional, pues se trata
de labores importantes para mantener el orden pblico y la integridad de
. 1 117
1as franteras naClona es.
177 En la sentencia T-066 de 1998, M.P. Eduardo Cifuentes Muoz, la Corte resalt la importancia de las
labores de inteligencia en un estado constitucional as: "(. . .) se pregunta la Corte si los organismos de
seguridad estn autorizados para recopilar informaciones sobre las personas. Este interrogante ya ha sido
respondido de manera afirmativa por esta Corporacin. Ello con fundamento en la obligacin del Estado de
velar por la vigencia del orden constitucional y brindarle a los asociados tanto las condiciones necesarias
para el ejercicio de los derechos y las libertades como un ambiente de paz, deberes stos cuyo cumplimiento
reposa en muy importante grado en lasfuerzas militares y la polica nacional (C.P., arts. 217 y 218) ".
Expediente PE-032
134
Ahora bien, en virtud de la jurisprudencia constitucional y los estndares
internacionales de proteccin de derechos humanos, los cuales adems se
desprenden de las exigencias del principio de proporcionalidad que debe
guiar cualquier limitacin de un derecho fundamental, la regulacin
especial que se introduzca en materia de inteligencia y contrainteligencia
deber ceirse a las siguientes pautas: 178 (i) el tratamiento de datos
personales para estas labores debe estar justificada en una amenaza seria,
real e inminente contra la seguridad nacional y el orden pblico; (ii) los
datos objeto de tratamiento para estos fines no pueden ser revelados sino
hasta que se d inicio al proceso penal
179
y, en todo caso, no pueden
tener valor probatorio en su interior. La revelacin de esta informacin
sin una debida justificacin acarrea responsabilidad penal.
180
(iii) No se
pueden deducir consecuencias adversas para el titular del dato de los
informes de inteligencia y contrainteligencia, por ejemplo en materia de
acceso a ciertos cargos pblicos, a menos que previamente se infOlme al
titular la informacin que ha sido recaudadas y se le brinde oportunidad
de controvertir las conclusiones de los respetivos informes.
Estas mayores exigencias que existen en comparacin con, por ejemplo,
las limitaciones a las que se ve expuesto el habeas data en un proceso
judicial, se explican en que (i) a diferencia de lo que ocurre en los
procesos judiciales, en materia de inteligencia y contrainteligencia no
existen mecanismos procesales para asegurar los derechos del titular ni
tampoco existe una funcin de verificacin por una autoridad
jurisdiccional que, adems de ser imparcial e independiente, tenga como
uno de sus funciones velar por la garanta de los derechos fundamentales
178 En la sentencia T-066 de 1998, M.P. Eduardo Cifuentes Muoz, la Corte ya haba precisado que si bien el
recaudo de datos personales para actividades de inteligencia y contrainteligencia es autorizado por la
Constitucin, en todo caso debe respetar los derechos fundamentales, el debido proceso y los principios de
reserva, necesidad y finalidad propios del habeas data. La Corte expres: "Mas esta facultad no es ilimitada.
Obsrvese que en el mismo aparte transcrito se establece que en el proceso de acopio de informacin se deben
respetar los derechos humanos y el debido proceso. Adems, en la misma sentencia se estableci que los
aludidos organismos de seguridad deben mantener la ms estricta reserva sobre los datos obtenidos, es decir
que "no pueden difundir al exterior la informacin sobre una persona, salvo en el nico evento de un
'antecedente ' penal o contravencional, el cual permite divulgar a terceros la informacin oficial sobre una
persona
(. . .)
De otra parte, ha de tenerse en cuenta que la informacin que se recopila ha de ser la estrictamente necesaria,
de manera que no se afecte el derecho de los asociados a la intimidad. Adems, para que se emprenda una
investigacin sobre determinadas personas deben existir motivos que permitan presumir de manera razonable
que ellas pueden haber incurrido en un ilcito. De no existir esta ltima condicin se abriran las puertas a un
Estado controlador, en desmedro de la libertad de los ciudadanos. "
179 Ver sentencias T-444 de 1992, M.P. Alejandro Martnez Caballero; T-525 de 1992, M.P. Ciro Angarita
Barn; y T-066 de 1998, M.P. Eduardo Cifuentes Muoz. Segn estas sentencias, la informacin de
inteligencia y contrainteligencia es reservada y, en consecuencia, no puede ser revelada a los medios de
comunicacin o en "ruedas de prensa" . Adems, en la primera sentencia, la Corte asegur: "(. . .) de suerte que
pueda incluso recopilar y archivar informacin sobre una persona, en el marco de sus legtimas y
democrticas funciones, siempre y cuando no divulgue ni de a la publicidad por ningn medio la informacin
sobre esa persona, salvo el evento que ella tenga antecedentes penales o contravencionales, esto es, que tenga
una condena proferida en sentencia judicial definitiva, como lo dispone el artculo 248 constitucional, que se
reproduce en el artculo 12 del cdigo de procedimiento penal, como principio rector del nuevo ordenamiento
procedimental . ..
180 Ver sentencia T-634 de 2001, M.P. Jaime Araujo Rentera.
Expediente PE-032
135
de las partes; y (ii) cuando se realizan labores de inteligencia y
contrainteligencia, los titulares de los datos no llegan a conocer que estn
siendo vigilados sino hasta el momento que, por ejemplo, se pretende
adjudicar una consecuencia adversa a la informacin recaudada, de
hecho en muchos eventos el titular del dato nunca se entera de que su
informacin fue objeto de tratamiento por organismos de inteligencia y
. l . 181
contramte 1genCla. .
2.4.5.6. Constitucionalidad del literal d): la excepcin de "datos y archivos
de informacin periodstica y otros contenidos editoriales"
Esta restriccin es necesaria en la medida en que a travs de ella se est
asegurando el respeto a la libertad de prensa. La jurisprudencia ha sido
enftica en sealar que el "mbito de proteccin de la libertad de
expresin en sentido genrico consagrada en el artculo 20 Superior, es
la libertad de prensa, que se refiere no solo a los medios impresos sino a
todos los medios masivos de comunicacin.".
La jurisprudencia constitucional ha otorgado una proteccin reforzada a
la libertad de expresin, en virtud del importante papel que esta garanta
desempea en una democracia participativa. Ha dicho la Corte que
aquella, a semejanza de los dems derechos, no es absoluta, es decir,
puede eventualmente estar sujeta a limitaciones, adoptadas legalmente
para preservar otros derechos, valores e intereses constitucionalmente
protegidos con los cuales puede llegar a entrar en conflicto. Sin embargo,
"el carcter privilegiado de la libertad de expresin tiene como efecto
directo la generacin de una serie de presunciones constitucionales - la
presuncin de cobertura de toda expresin por el mbito de proteccin
constitucional, la sospecha de inconstitucionalidad de toda limitacin de
la libertad de expresin, la presuncin de primaca de la libertad de
expresin sobre otros derechos, valores o intereses constitucionales con
los cuales pueda llegar a entrar en conflicto y la presuncin de que los
controles al contenido de las expresiones constituyen censura."
Por otro lado, por mandato expreso del artculo 13-2 de la Convencin
Americana de Derechos Humanos, el ejercicio del derecho a la libertad
de expresin "no puede estar sujeto a previa censura sino a
responsabilidades ulteriores". Esta misma Convencin seala que la
nica excepcin a esta regla es la establecida en el numeral 4 del mismo
artculo, que se refiere al sometimiento de espectculos pblicos a
clasificaciones "con el exclusivo objeto de regular el acceso a ellos para
la proteccin moral de la infancia y la adolescencia". De esta forma, en
Colombia son inadmisibles todas las formas de limitacin previa a la
Antiterrorism Data Mining". Bastan Callege Law Review, 2007. P. 609.
Expediente PE-032
136
expreslOn, salvo por la posibilidad de establecer normas legales que
regulen el acceso de menores de 18 aos a espectculos pblicos.
En virtud de tal postulado, en la Sentencia T-39l de 200i
82
, se dijo que
la prohibicin de la censura, tambin consagrada en el artculo 20
Superior, es absoluta y, por tanto, se encuentra prohibido "el control
previo de lo que se va a expresar y el veto de ciertos contenidos
expresivos antes de que la informacin, opinin, idea, pensamiento o
imagen sea difundida, impidiendo tanto al individuo, cuya expresin ha
sido censurada, como a la totalidad de la sociedad potencialmente
receptora del mensaje censurado ejercer su derecho a la libertad de
expresin. La prohibicin constitucional e internacional de la censura es
absoluta. Dice el artculo 20 Superior, en trminos tajantes, que "No
habr censura. "-, y no deja margen de regulacin al legislador ni
admite interpretaciones que reduzcan su alcance. La prohibicin de la
censura se establece en el artculo 20 de la Carta de manera perentoria,
sin matices, sin excepciones y sin confiar al legislador la regulacin de
la materia. "
En concordancia, el literal d) del artculo 2 pretende evitar que las bases
de datos y archivos de carcter periodsticos se vean sometidos a los
mismos lmites que la informacin general, lo que podra traducirse en
una limitacin desproporcionada de la libertad de prensa, e incluso en
censura -pinsese por ejemplo en la posibilidad de la obligacin de
revelar las fuentes. No obstante, debe esta Sala reiterar que en razn de
la especial consideracin que el constituyente otorg a la libertad de
expresin, las posibles colisiones con el derecho al habeas data deben ser
resueltas por una regulacin especial.
Debe tambin aclararse que las bases de datos a las que se refiere el
literal d) del artculo 2, son aquellas de contenido eminentemente
periodstico, y no aquellas que estn en poder del medio de
comunicaciones en virtud de otras actividades, como aquellas
encaminadas a fines comerciales o publicitarios. AS, las bases de datos
con la informacin de los suscriptores de un peridico s estarn sujetas a
la regulacin de la futura ley estatutaria.
2.4.5.7. Constitucionalidad del literal e): la excepcin de "datos y archivos
regulados por la Ley 1266 de 2008"
La Ley 1266 de 2008 es la ley estatutaria de proteccin de datos
personales comerciales y financieros para el clculo de riesgo crediticio,
como fue definido en la sentencia C-1 011 de 2008. Estos datos requieren
una regulacin especial -como la adoptada en la Ley 1266 y declarada
exequible por esta Corporacin, debido a que en este mbito se presenta
182 M.P. Manuel Jos Cepeda Espinosa
137
Expediente PE-032
una tensin entre el habeas data y el desarrollo de la actividad financiera
y burstil, actividad de inters pblico en virtud del impacto que puede
tener sobre todo el sistema econmico y, por esta va, sobre la garanta
de derechos fundamentales y el mantenimiento del orden pblico. En
vista de la necesidad de regular el tratamiento de estos datos de manera
especial, deban exceptuados de la aplicacin del proyecto bajo estudio.
Por tanto, la Sala declarar exequible el literal e), de conformidad con lo
expuesto en la sentencia C-l O11 de 2008. Sin embargo, la Sala advierte
que, segn el pargrafo del artculo 2, los principios que prev el
proyecto bajo estudio deben aplicarse de manera complementaria con los
establecidos en la Ley 1266.
2.4.5.8. Constitucionalidad del Iiteral1): la excepcin de "datos y archivos
regulados por la Ley 79 de 1993"
La Ley 79 de 1993 "Por la cual se regula la realizacin de los Censos
de Poblacin y Vivienda en todo el territorio nacional" establece reglas
especiales para el tratamiento de datos estadsticos; en estas reglas se
prev que los datos personales suministrados para fines estadsticos son
reservados y no pueden ser empelados por otras autoridades pblicas
para fines diferentes. Para la Sala, esta excepcin tambin es compatible
con la Carta, pues para garantizar la exactitud de los censos y datos
estadsticos, es indispensable la reserva. Si entidades como el DANE
pudieran revelar la informacin personal de quienes participan en los
procesos, podran alterar los datos, lo que conducira a afectar la
exactitud de los anlisis. La exactitud de la informacin estadstica
recuerda la Sala- es fundamental para el diseo de polticas pblicas y
programas sociales.
2.4.5.9. Otros mbitos que requieren regulaciones especiales, aunque no
constituyan mbitos exceptuados
Ahora bien, en ejercicio de su libertad de configuracin y atendiendo a
las caractersticas especiales de cierto tipo de datos personales, el
legislador puede tambin establecer reglas especiales para otro tipo de
datos, pero que en ningn caso se entendern como excepciones, salvo
que la futura ley estatutaria sea modificada para incluir nuevas
excepCIOnes.
Un ejemplo de otros mbitos que requieren regulaciones especiales se
halla en la seccin B de la Resolucin 45/95 de 14 de diciembre de 1990,
de la Asamblea General de las Naciones Unidas (documento
E/CN.4/1990172.20 de febrero de 1990) sobre "Directrices para la
regulacin de los archivos de datos personales informatizados". Este
documento, despus de sealar una serie de principios mnimos que
deben guiar el tratamiento de datos personales en todos los pases y que
138
Expediente PE-032
tambin son aplicables a las orgamzacIOnes internacionales
gubernamentales, dispone que:
"(. . .) puede preverse especficamente una excepClOn a estos
principios cuando la finalidad del archivo sea la proteccin de
los derechos humanos y las libertades fundamentales de la
persona afectada, o la ayuda humanitaria. Debe preverse una
excepcin similar en la legislacin nacional para las
organizaciones internacionales gubernamentales cuyo
acuerdo organizativo no impida la puesta en prctica de la
referida legislacin nacional, as como para las
organizaciones internacionales no gubernamentales a las que
sea aplicable esta ley. "
El legislador podra entonces, en virtud de esta disposicin, establecer un
rgimen de proteccin especial para los datos administrados por
organizaciones no gubernamentales de defensa de derechos humanos.
Lo mismo puede ocurrir en el caso de los datos salud -teniendo en
cuenta que una parte importante de ellos son sensibles y las historias
clnicas son reservadas, el tratamiento de datos para fines de
construccin de memoria y garanta del derecho colectivo a la verdad, o
de los datos sensibles que son tratados en las redes sociales.
2.5. EXAMEN DEL ARTCULO 3: DEFINICIONES
"Artculo 3. Definiciones. Para los efectos de la presente ley,
se entiende por:
a) Autorizacin: Consentimiento previo, expreso e informado
del Titular para llevar a cabo el Tratamiento de datos
personales.
b) Base de datos: Conjunto organizado de datos personales
que sea objeto de Tratamiento.
c) Dato personal: Cualquier informacin vinculada o que
pueda asociarse a una o varias personas naturales
determinadas o determinables.
d) Encargado del tratamiento: Persona natural o jurdica,
realice el Tratamiento de datos personales por cuenta del
139
Expediente PE-032
e) Responsable del tratamiento: Persona natural o jurdica,
decida sobre la base de datos y/o el Tratamiento de los datos.
j) Titular: Persona natural cuyos datos personales sean objeto
de Tratamiento.
g) Tratamiento: Cualquier operaczon o conjunto de
operaciones sobre datos personales, tales como la
recoleccin, almacenamiento, uso, circulacin o supresin. "
2.5.2.1. La Defensora del Pueblo solicita declarar exequible el artculo 3;
sin embargo, sostiene que a nivel de definiciones, el proyecto en estudio
es an ms limitado que la Ley Estatutaria 1266 de 2008. Por ejemplo,
explica que la Ley 1266 trae definiciones de conceptos tales como
"fuente de informacin" "usuario" "dato pblico"
,
"dato semiprivado"
, "
y "dato privado", las cuales estn ausentes del proyecto actual. Agrega
que si bien el hecho de que no exista congruencia entre una ley de
carcter sectorial y una de carcter general que pretenden regular el
mismo derecho, no es en s mismo un vicio de constitucionalidad, s
puede conducir a situaciones de contradiccin que dejan en evidencia la
falta de adecuada tcnica legislativa en una materia compleja y delicada.
Para ilustrar lo anterior, asegura que existen disposiciones de la ley
sectorial que pueden resultar ms beneficiosas que las de la ley general y
a cuya aplicacin podra aspirar legtimamente el titular de los datos,
pese a que su caso no se enmarque dentro del tratamiento de datos
financieros o crediticios. Expresa que tambin puede suceder lo
contrario, esto es que en un caso que involucra esta clase de datos, se
busque la aplicacin de las nonnas generales del proyecto de ley. En
consecuencia, afirma la Defensora, sern los jueces los encargados de
fijar los lmites y alcances de los respectivos mbitos de aplicacin, en la
medida en que se vayan resolviendo los casos, aunque ste no es en
realidad el escenario adecuado, pues tales precisiones deberan hacerse
en sede legislativa.
solicita declarar la exequibilidad condicionada del literal e) del
artculo 3, pues se interroga sobre si la definicin all contenida versa
sobre la persona que hace las veces de fuente u operador en los trminos
de la Ley 1266 de 2008. Considera entonces que la definicin del literal
e) es confusa e incompleta porque genera vacos legales sobre el sujeto
que segn la ley debe cumplir una serie de obligaciones. Adems, en su
sentir, pareciera que en el nuevo proyecto la fuente y el operador de la
140
Expediente PE-032
Ley 1266 de 2008 se fusionan en la figura del responsable del
tratamiento. Ante esta falta de certeza, cree necesario que la Corte
precise el alcance de dichas definiciones, pues los conceptos son
importantes para establecer los derechos y responsabilidades de los
diferentes sujetos involucrados en el tratamiento de los datos personales.
2.5.2.3. El ciudadano Santiago Diazgranados Mesa expresa en relacin con
la exigencia de consentimiento "previo, expreso e informado" del literal
a), que constituye un requisito excesivo y contrario a la Constitucin.
Considera que, en cada caso, debe ponderarse la salvaguarda del derecho
a la intimidad con el amparo a la prensa libre, a la libertad de opinin y a
la libre circulacin de ideas, con el fin de evitar la censura previa y
propender por el libre flujo del pensamiento y el fortalecimiento de un
Estado respetuoso del libre desarrollo de la personalidad. Explica que el
requerimiento del consentimiento expreso, sin importar el tipo de dato
personal, implica una exigencia irrazonable que conlleva la vulneracin
del derecho a la informacin y a la libertad de expresin. Indica que la
Corte Constitucional ha contemplado el requisito de la manifestacin del
consentimiento expreso para unas circunstancias particulares en las que
los datos personales son de carcter sensible o reservado; as, menciona a
manera de ejemplo, el dato personal crediticio, la informacin
relacionada con la orientacin sexual, los hbitos del individuo y el
credo religioso o poltico. Con fundamento en estas consideraciones,
seala que la definicin del principio de libertad (artculo 4 literal C) y la
calificacin del consentimiento del titular del dato personal (artculo 3
literal a) contenidos en el proyecto de Ley objeto de revisin, deben ser
declarados parcialmente inconstitucionales, con el objetivo de no limitar
otras libertades de manera injustificada o irrazonable.
2.5.2.4. El ciudadano Alejandro Salas Pretelt solicita la
inconstitucionalidad del trmino "expreso" del literal a). En su sentir,
constituye una exigencia injustificada. Expone que la jurisprudencia
constitucional ha reconocido que la gestin de ciertos datos personales
no debe necesariamente estar sujeta a consentimiento expreso, pues basta
el consentimiento tcito. Afirma que frente a datos sensibles o
reservados se requiere el consentimiento expreso, pero que ante otro tipo
de datos, el consentimiento puede ser tcito. Concluye que el proyecto de
ley, al calificar como expreso el consentimiento para cualquier
disposicin de los datos personales, va en contra de los artculos 15 y 20
de la Constitucin.
2.5.2.5. De forma similar, el ciudadano Rolfe Hernando Gonzlez Sosa
solicita la inconstitucionalidad parcial del literal a), especficamente
de la palabra "expreso", en la medida que es una exigencia excesiva.
Sostiene que, de conformidad con la jurisprudencia constitucional, la
interpretacin del proyecto debe ser compatible con el ejercicio del
141
Expediente PE-032
derecho a la libertad de expresin y de informacin. Aduce que exigir el
consentimiento "expreso" por parte del titular del dato personal o para
cualquier especie de tratamiento no es proporcionado, por cuanto el tlujo
de informacin a que puede estar sometido cualquier dato personal es tan
dinmico y se encuentra en tantas facetas de la vida diaria, "que hara
realmente imposible este flujo de informacin si cada vez que se
requiera el consentimiento expreso como si cualquier dato personal
fuera un dato sensible, vulnerando de manera grave el derecho a la
liberta de expresin y de informacin".
Afirma que en la sentencia C-l O11 de 2008, la Corte determin que el
consentimiento expreso es necesario solamente frente a datos de carcter
crediticio, de lo cual deduce que para otros tipos de datos, el
consentimiento tcito es vlido dentro del principio de libertad. Adems,
destaca que en dicha sentencia se estableci que era competencia del
juez determinar en cada caso "el contenido de la autorizacin que el
usuario de los sistemas informticos obtiene del titular del dato, con
miras a establecer su alcance, considerando, adems del inters general
que demanda la utilizacin del documento, especialmente, las
condiciones en que dicha autorizacin fue otorgada, como quiera que si
al aquiescencia del otorgante estuvo condicionada por el acceso al
servicio o a la operacin de crdito". En este sentido, sostiene que el
propio juez es quien debe entrar a analizar si conforme a la informacin
requerida, es necesario o no el consentimiento expreso del titular.
2.5.3. Precisiones generales sobre la constitucionalidad del artculo
Las definiciones de los vocablos "tcnicos" que se emplean para regular
el objetivo del proyecto de ley, son elementos indispensables para la
proteccin del habeas data, en tanto permiten una correcta y apropiada
interpretacin de la ley y contribuyen a determinar las responsabilidades
de los involucrados en el tratamiento de datos personales. Ahora bien, al
igual que se seal en la sentencia C-10ll de 2008
183
, la fijacin de tales
definiciones hace parte de la libre configuracin del legislador, de modo
que en este punto el Congreso goza de un importante margen de
discrecin. Sin embargo, es necesario hacer algunas precisiones sobre la
terminologa por la que se opt el legislador y examinar si ella se ajusta a
la Constitucin.
Lo primero que advierte la Sala, al igual que lo hicieron algunas
intervenciones, es que a diferencia de lo que ocurri en la Ley 1266, el
legislador recurri en esta oportunidad a conceptos propios del modelo
europeo para referirse a las personas vinculadas al tratamiento del dato
personal. Para algunos intervinientes este hecho no slo es un problema
de tcnica legislativa (en la medida en que conduce a la coexistencia de
142
Expediente PE-032
M.P. Jorge Ignacio Prete1t Chaijub
dos modelos nonnativos que tienen por objeto hacer una regulacin
completa de una materia tan importante como el habeas data, pero con
una tenninologa diversa), sino un problema constitucional, porque esa
diferencia en los vocablos conlleva la dilucin de la responsabilidad de
quienes participan en el tratamiento del dato.
La Corte encuentra que, efectivamente, en el proyecto bajo revisin, el
legislador dej de lado conceptos como el de fuente, operador y usuario,
y no defini las subcategoras de dato personal, definiciones que s
fueron incluidas en la Ley 1266. No obstante, lo cierto es que, en
principio, esa diferencia en los conceptos no es suficiente para que se
declare la inexequibilidad del precepto, por cuanto el legislador en su
libertad de configuracin puede elegir cambiar la tenninologa que
emple en la Ley 1266.
Para detenninar si ese cambio en la tenninologa constituye realmente un
vicio de constitucionalidad, corresponde a la Sala hacer un anlisis de
cada uno de las definiciones que trae el proyecto y su incidencia en el
rgimen de responsabilidad de los agentes que participan en el
tratamiento del dato, en contraste con las exigencias constitucionales en
materia de garanta del derecho al habeas data.
2.5.4. Constitucionalidad del literal a): definicin de "autorizacin"
El literal a) hace alusin a la autorizacin y la define como el
consentimiento previo, expreso e informado del titular para llevar a cabo
el tratamiento de datos personales. Sobre estas caractersticas de la
autorizacin nos referiremos al analizar los principios rectores, aparte en
el que estudiaremos a profundidad el tema relativo al consentimiento y
sus caractersticas para el tratamiento del dato. En consecuencia, basta
por ahora sealar que el consentimiento es un aspecto medular del
derecho al habeas data y que pese a las mltiples intervenciones que
solicitan la inexequibilidad del vocablo "expreso", la definicin ser
declarara ajustada a la Constitucin, por las razones que sern expuestas
en los considerandos 2.7.4.2.2. y 2.10.6 de esta providencia.
2.5.5. Constitucionalidad del literal b): definicin de "base de datos"
El literal b) define las bases de datos como un "(. ..) conjunto organizado
de datos personales que sea objeto de tratamiento". Pese a que esta
definicin es bastante amplia y parece coincidir ms con la de banco de
datos empleada en la Ley 1266, en tanto el legislador goza de libertad de
configuracin en la materia, puede adoptar definiciones diferentes
dependiendo de la regulacin.
Expediente PE-032
143
Ahora bien, la definicin se ajusta a la Carta, pues cobija todo espacio
donde se haga alguna fonna de tratamiento del dato, desde su simple
recoleccin, lo que pennite extender la proteccin del habeas data a todo
tipo de hiptesis. En concordancia, la Sala recuerda, como se indic en la
consideracin 2.4.3.2., que el concepto de base de datos cobija los
archivos, entendidos como depsitos ordenados de datos, lo que significa
que los archivos estn sujetos a las garantas previstas en el proyecto de
ley.
2.5.6. Constitucionalidad del literal c): definicin de "datos personales"
El literal c) del artculo 3 define los datos personales como "[cJualquier
informacin vinculada o que pueda asociarse a una o varias personas
naturales determinadas o determinables". Esta definicin, aunque es
amplia, concuerda en tnninos generales con la lnea jurisprudencial que
esta Corte ha desarrollado en la materia, as como con la definicin
adoptada en la Ley 1266 sobre el dato personal financiero.
Adicionalmente, la fijacin de una definicin de dato personal es un
ejercicio legtimo de la libertad de configuracin de la que goza el
legislador, cuyos lmites en este caso no han sido desconocidos.
2.5.6.1. En efecto, la jurisprudencia constitucional ha precisado que las
caractersticas de los datos personales -en OposlclOn a los
impersonales
l84
- son las siguientes: "i) estar referido a aspectos
exclusivos y propios de una persona natural, ii) permitir identificar a la
persona, en mayor o menor medida, gracias a la vis in de conjunto que
se logre con el mismo y con otros datos; iii) su propiedad reside
exclusivamente en el titular del mismo, situacin que no se altera por su
obtencin por parte de un tercero de manera lcita o ilfcita, y iv) su
tratamiento est sometido a reglas especiales en lo relativo
a su captacin, administracin y divulgacin. " 85
Por su parte, la Ley 1266, con el aval de esta Corporacin, aunque en un
contexto diferente, defini los datos personales de fonna similar: "Dato
personal: es cualquier pieza de informacin vinculada a una o varias
personas natural o jurdica. (. ..)" (literal e del artculo 3).
Los datos personales, a su vez, suelen ser clasificados en los siguientes
grupos despendiendo de su mayor o menor grado de aceptabilidad de
divulgacin: datos pblicos, semiprivados y privados o sensibles. 186 .
184 Ver sentencia T-729 de 2002, M.P. Eduardo Montealegre Lynett.
185 Cfr. Sentencia T-414 de 1992, M.P. Ciro Angarita Barn.
186 Ver sentencias T-729 de 2002, M.P. Eduardo Montealegre Lynett; C-491 de 2007, M.P. Jaime Crdoba
Trivio; y C-IOII de 2008, M.P. Jaime Crdoba Trivio, y artculo 3 de la Ley 1266.
144
Expediente PE-032
2.5.6.2. Se pregunta la Sala si la omisin de estas clasificaciones en el literal
c) constituye un vicio de constitucionalidad. Para la Sala la respuesta es
negativa, ya que estas definiciones no son un ingrediente indispensable
para la aplicacin de las garantas de la ley y, en todo caso, la ausencia
de definiciones puede ser llenada acudiendo a la jurisprudencia
constitucional y a otros preceptos legales.
En primer lugar, la clasificacin de los datos personales en pblicos,
semiprivados y privados o sensibles, es solamente una posible forma de
categorizar los datos, pero no la nica; otras clasificaciones podran ser
producto de criterios diferentes al grado de aceptabilidad de la
divulgacin del dato. El legislador, por tanto, tiene libertad para elegir o
no elegir una categorizacin.
Ahora bien, es cierto que el propio legislador estatutario adopt algunas
de estas clasificaciones, como la de datos sensibles, cuyo tratamiento se
prohbe con algunas excepciones en el artculo 6 del proyecto. Para
poder dar sentido a este precepto, a juicio de la Sala, basta con acudir a
las definiciones elaboradas por la jurisprudencia constitucional o a las
definiciones de otros preceptos legales, como la Ley 1266, cuyo artculo
3 dispone:
"j) Dato pblico. Es el dato calificado como tal segn los
mandatos de la ley o de la Constitucin Poltica y todos aquellos
que no sean semiprivados o privados, de conformidad con la
presente ley. Son pblicos, entre otros, los datos contenidos en
documentos pblicos, sentencias judiciales debidamente
ejecutoriadas que no estn sometidos a reserva y los relativos al
estado civil de las personas;
g) Dato semiprivado. Es semiprivado el dato que no tiene
naturaleza ntima, reservada, ni pblica y cuyo conocimiento o
divulgacin puede interesar no slo a su titular sino a cierto
sector o grupo de personas o a la sociedad en general, como el
dato financiero y crediticio de actividad comercial o de servicios
a que se refiere el Ttulo IV de la presente ley.
h) Dato privado. Es el dato que por su naturaleza ntima o
reservada slo es relevante para el titular. "
En este orden de ideas, dado que la clasificacin de los datos personales
no es un elemento indispensable de la regulacin y, dicho vaco en todo
caso puede ser remediado acudiendo a la jurisprudencia constitucional y
a otras definiciones legales, especialmente al artculo 3 de la Ley 1266,
en virtud del principio de conservacin del derecho, el literal c) ser
declarado exequible en este respecto.
145
Expediente PE-032
2.5.6.3. Por otra parte, llama la atencin de la Sala que la definicin del literal
c) se restrinja a los datos de las personas naturales. Por tanto, la
definicin pareciera reir, en principio, con algunos pronunciamientos de
esta Corporacin en los que se ha admitido que las personas jurdicas
tambin pueden ser titulares del derecho al habeas data, como la
187 188
sentencia T -462 de 1997 y C-l O11 de 2008 .
Sin embargo, en sentir de la Sala, no se trata de una restriccin que
desconozca la doctrina constitucional sobre la proteccin del habeas data
en cabeza de las personas jurdicas, ni el principio de igualdad.
Ciertamente, la garanta del habeas data a las personas jurdicas no es
una proteccin autnoma a dichos entes, sino una proteccin que surge
en virtud de las personas naturales que las conforman. Por tanto, a juicio
de la Sala, es legtima la referencia a las personas naturales, lo que no
obsta para que, eventualmente, la proteccin se extienda a las personas
jurdicas cuando se afecten los derechos de las personas que la
conforman.
2.5.7. Constitucionalidad de los literales d) y e): definiciones de encargado
y responsable de tratamiento del dato
2.5.7.1.En los literales d) y e) del artculo 3, se hace expresa menClOn al
encargado y al responsable del dato, respectivamente. La Sala observa
que la diferenciacin de estos dos sujetos era determinante, por cuanto
de ello depende el mbito de sus deberes, enumerados en el ttulo VI del
proyecto, de modo que dichas definiciones estn ligadas al principio de
legalidad en materia sancionatoria y son una garanta para el titular del
dato respecto de quin es obligado a cumplir diferentes prerrogativas que
se desprenden del habeas data.
Sin embargo, se debe sealar desde ahora, al igual que se indic en la
sentencia C-l O11 de 2008, que todos los principios de la administracin
de datos personales identificados en este proyecto -los cuales sern
estudiados en otro acpite- son oponibles a todos los sujetos
involucrados en el tratamiento del dato, entindase en la recoleccin,
circulacin, uso, almacenamiento, supresin, etc., sin importar la
187 M.P. Vladimiro Naranjo Mesa.
188 M.P. Jaime Crdoba Trivio. La Corte expres: "Aunque el precedente citado ha contemplado que la
informacin de esta condicin es propia de las personas naturales, en criterio de la Sala nada se opone a que
la categora se extienda a las personas jurdicas. Ello debido a que, en consonancia con lo sealado a
propsito del anlisis de constitucionalidad del literal a) del artculo objeto de examen, la aplicacin' del
derecho al hbeas data financiero y, en general, de los principios de administracin de datos personales, se
predica a favor de todo sujeto jurdico que est en capacidad de producir informacin susceptible de ser
objeto de los actos de recoleccin, tratamiento y circulacin a que refiere el artculo 15 c.P. En
consecuencia, es compatible con la Carta Poltica que dentro de la definicin de dato personal, se ine/uya el
producido por las personas jurldicas, pues stas son titulares del derecho al hbeas data. " (negrilla fuera del
texto).
146
Expediente PE-032
denominacin que los sujetos adquieran, es decir, llmense fuente,
responsable del tratamiento, operador, encargado del tratamiento o
usuario, entre otros. Hechas estas aclaraciones, pasa la Sala a examinar
la constitucinalidad de las definiciones.
2.5.7.2.El proyecto define al encargado del tratamiento como la persona
natural o jurdica, pblica o privada, que por s misma o en asocio con
otros, realiza el tratamiento de datos personales por cuenta del
responsable del tratamiento. Por otro lado, el responsable del
tratamiento es definido como la persona natural o jurdica, pblica o
privada, que por s misma o en asocio con otros, decide sobre la base de
datos y/o el tratamiento de los datosl
89

Estas definiciones parecen inspirarse en el derecho comunitario europeo,
especialmente en la Directiva 95/46/CE y en el Dictamen 1/2010 del
Grupo Consultivo sobre Proteccin de Datos
l90
, a las que vale la pena
remitirnos por razones meramente ilustrativas y con el fin de acercamos
al correcto entendimiento de uno y otro concepto, labor que a veces se
torna difcil por el avance de las tecnologas de la informacin y otros
. 1 1 b l' ., 191
retos que lmpone a g o a lzaclOn.
El Dictamen 1/2010 seala que lo que permite identificar al
responsable de otros agentes que participan en el proceso, es que l es el
que determina los fines y los medios esenciales del tratamiento de los
datos. Tambin indica en relacin con los medios, que se hablar de
responsable cuando el sujeto realice un control o determine elementos
esenciales de los medios, tales como el tiempo que los datos deben
permanecer almacenados, la forma cmo se har su uso o se pondrn en
circulacin, el acceso a los mismos etc. Por su parte, precisa que el
encargado es quien realiza el tratamiento por cuenta del responsable,
189 Estos conceptos parecen ser tomados del artculo 2 de la Directiva 95/46/CE, que los define as :
(( responsable del tratamiento: la persona fsica o jurdica, autoridad pblica, servicio o cualquier otro
organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos
personales; en caso de que los fines y los medios del tratamiento estn determinados por disposiciones
legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios
especficos para su nombramiento podrn ser fijados por el Derecho nacional o comunitario; ((encargado del
tratamiento: la persona fsica o jurdica, autoridad pblica, servicio o cualquier otro organismo que trate
datos personales por cuenta del responsable del tratamiento.
190 '
GRUPO DEL ARTICULO 29 SOBRE PROTECCION DE DATOS. Este Grupo se cre en virtud del
artculo 29 de la Directiva 95/46/CE. Se trata de un rgano consultivo europeo independiente en materia de
proteccin de datos y derecho a la intimidad ..
191 Sobre la importancia de esta diferenciacin, el Dictamen !f2010 del 16 de febrero de 2010 indica: "(. . .) la
aplicacin concreta de los conceptos de responsable del tratamiento de datos y encargado del tratamiento de
datos se est haciendo cada vez ms compleja. Esto se debe ante todo a la creciente complejidad del entorno
en el que se usan estos conceptos y, en particular, a una tendencia en aumento, tanto en el sector privado
como en el pblico, hacia una diferenciacin organizativa, combinada con el desarrollo de las TIC y la
globalizacin, lo cual puede dar lugar a que se planteen cuestiones nuevas y dificiles y a que, en ocasiones, se
vea disminuido el nivel de proteccin de los interesados ".
147
Expediente PE-032
es decir, por delegacin y, por tanto, es natural y jurdicamente distinto
del responsable.
I92
.
Los criterios de (i) definicin de los fines y medios del tratamiento del
dato personal y (ii) existencia de delegacin, tambin resultan tiles en
nuestro caso para establecer la diferencia entre responsable y encargado.
Ciertamente, el concepto "decidir sobre el tratamiento" empleado por el
literal e) parece coincidir con la posibilidad de definir -jurdica y
materialmente- los fines y medios del tratamiento. Usualmente, como
reconocen varias legislaciones, el responsable es el propietario de la base
de datosl
93
; sin embargo, con el fin de no limitar la exigibilidad de las
obligaciones que se desprenden del habeas data, la Sala observa que la
definicin del proyecto de leyes amplia y no se restringe a dicha
hiptesis. As, el concepto de responsable puede cobijar tanto a la
194 l . 195 lId' h
f t uen e como a usuarIO ,en os casos en os que lC os agentes
tengan la posibilidad de decidir sobre las finalidades del tratamiento y
los medios empleados para el efecto, por ejemplo, para ponerlo en
circulacin o usarlo de alguna manera.
De otro lado, el criterio de delegacin coincide con el trmino "por
cuenta de" utilizado por el literal e), lo que da a entender una relacin de
subordinacin del encargado al responsable, sin que ello implique que se
exima de su responsabilidad frente al titular del dato.
192 En la Directiva 1/2010 sobre el concepto de encargado del tratamiento, se afirma: "( .. .) para poder actuar
como encargado del tratamiento tienen que darse dos condiciones bsicas: por una parte, ser una entidad
jurdica independiente del responsable del tratamiento y, por otra, realizar el tratamiento de datos personales
por cuenta de ste"
193 En el artculo 2 de la Ley 25.326 de 2000, el legislador argentino hizo referencia al responsable de archivo,
registro, base o banco de datos como el titular del respectivo archivo, registro, base o banco de datos. En
Uruguay, la Ley 18.331 de 2008, define en el artculo 7 al responsable como el "propietario de la base de
datos o que decida sobre la finalidad, contenido y uso del tratamiento ". La Ley Orgnica de Proteccin de
Datos Personales espaola de 1999, define al responsable del tratamiento la "persona fisi ca o jurdica, de
naturaleza pblica o privada, u rgano administrativo, que decida sobre la finalidad, contenido y uso del
tratamiento ". La Ley 19.628 de 1999 en Chile y la Ley 8969 de 2011 en Costa Rica, definen al responsable
como la persona que "administre, gerencie o se encargue de la base de datos, (.. .) con arreglo a la ley, para
decidir cul es la finalidad de la base de datos, cules categoras de datos de carcter personal deb ern
registrase y qu tipo de tratamiento se les aplicarn ".
194 La fuente es definida por el artculo 3 de la Ley 1266 as : "b) Fuente de informacin. Es la persona, entidad
u organizacin que recibe o conoce datos personales de los titulares de la informacin, en virtud de una
relacin comercial o de servicio o de cualquier otra ndole y que, en razn de autorizacin legal o del titular,
suministra esos datos a un operador de informacin, el que a su vez los entregar al usuario final. Si lafuente
entrega la informacin directamente a los usuarios y no, a travs de un operador, aquella tendr la doble
condicin de fuente y operador y asumir los deberes y responsabldades de ambos. La fuente de la
informacin responde por la calidad de los datos suministrados al operador la cual, en cuanto tiene acceso y
suministra informacin personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades
previstas para garantizar la proteccin de los derechos del titular de los datos; "
195 El usuario es definido por el artculo 3 de la Ley 1266 as : "d) Usuario. El usuario es la persona natural O
jurdica que, en los trminos y circunstancias previstos en la presente ley, puede acceder a informacin
personal de uno o varios titulares de la informacin suministrada por el operador o por la fuente, o
directamente por el titular de la informacin. El usuario, en cuanto tiene acceso a informacin personal de
terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstos para garantizar la proleccin
de los derechos del titular de los datos. En el caso en que el usuario a su vez entregue la informacin
directamente a un operador, aquella tendr la doble condicin de usuario y fuente, y asumir los deberes y
responsabilidades de ambos; "
148
Expediente PE-032
As, por ejemplo, ser responsable del dato el hospital que crea la
historia clnica de su paciente, la universidad o las instituciones
educativas en relacin con los datos de sus alumnos, pues estos
determinan la finalidad (en razn de su objeto que, puede estar sealado
en una ley o por el giro normal de la actividad que se desarrolla) para la
recoleccin de los datos, as como la forma en que los datos sern
procesados, almacenados, circulados, etc.
Ahora bien, vale la pena advertir que el encargado del tratamiento no
puede ser el mismo responsable, pues se requiere que existan dos
personas identificables e independientes, natural y jurdicamente, entre
las cuales una -el responsable- le seala a la otra -el encargado- como
quiere el procesamiento de unos detenninados datos. En este orden, el
encargado recibe unas instrucciones sobre la fonna como los datos sern
administrados. Volvamos al ejemplo de la historia clnica, en el que la
institucin de salud contrata con una compaa el procesamiento de las
historias para que con un programa especial que puede determinar el
responsable o la empresa contratada, le organice la informacin
contenida en ellas, siguiendo las indicaciones que establece el hospital.
En este caso, el encargado del tratamiento de los datos es la persona
jurdica que se contrata para el procesamiento de las hojas de vida.
Tambin necesario precisar, como lo seala la directiva en cita, que no
basta con que una ley o un contrato sealen expresamente que una
detenninada persona o grupo de personas son responsables del
tratamiento, por cuanto en cada caso corresponder analizar el contexto
de las actuaciones de los agentes concernidos en el tratamiento del dato
para establecer su verdadera posicin y, en este orden, sus obligaciones y
rgimen de responsabilidad.
196
En ese orden de ideas, corresponder a
la autoridad competente de asegurar la vigilancia, control y garanta del
dato personal, examinar la posicin que ocupa cada agente en el
tratamiento del dato, en especial, porque como lo seala la misma
definicin de responsable y de encargado del tratamiento, stos pueden
estar constituidos por una pluralidad de sujetos que pueden tener
distintos grados de responsabilidad 197.
196 La Directiva afinna: "La determinacin del fin del tratamiento es competencia del responsable del
tratamientO). Por consiguiente, quien quiera que tome esta decisin es (de facto) el responsable del
tratamiento. ste puede delegar la determinacin de los medios del procesamiento en la medida en que se
trate de cuestiones tcnicas u organizativas. Las cuestiones de fondo que sean esenciales a efectos de la
legitimidad del tratamiento son competencia del responsable del tratamiento. Una persona o un ente que
decida, por ejemplo, cunto tiempo se almacenarn los datos o que tenga acceso a los datos tratados acta
como responsable del tratamiento respecto de esta parte del uso de los datos y, por tanto, debe cumplir todas
las obligaciones que incumben a un responsable del tratamiento. "
197 Sobre el particular el Dictamen de 2010 precis " ... existe control conjunto cuando las diferentes partes
. determinan, respecto de unas operaciones de tratamiento especficas, o bien los fines o bien aquellos
elementos esenciales de los medios que caracterizan al responsable del tratamiento.
"No obstante, en el contexto del control conjunto, la participacin de las partes en la determinacin conjunta
puede revestir distintas formas y el reparto no tiene que ser necesariamente a partes iguales. De hecho,
149
Expediente PE-032
Finalmente, como ejemplifica la Directiva referida -ejemplos que la Sala
considera tambin son aplicables a nuestro caso, el responsable del
tratamiento puede surgir: (i) cuando en el cumplimiento de una
determinada funcin, se impone la recoleccin datos, por ejemplo, en el
caso de la seguridad social; la directiva en comento denomina esta
situacin competencia legal explcita; (ii) cuando en el mbito propio de
la actividad se produce el tratamiento, se trata del caso de los
empleadores frente a sus trabajadores, lo que se denomina competencia
jurdica implcita; y (iii) cuando sin existir las competencias anteriores,
se tiene la capacidad de determinacin, hecho que se denomina
capacidad de influencia de hecho.
2.5.7.3.Establecida la diferencia entre responsable y encargado, la Sala observa,
en primer lugar, que las definiciones de los literales d) y e) representan
ejercicio legtimo de la libertad de configuracin del legislador
estatutario justificada en la forma cmo se desarrolla el tratamiento del
dato, y en segunda lugar, que la clasificacin tiene adems utilidad desde
el punto de vista constitucional, esta es, definir el rgimen de
responsabilidades y obligaciones de quienes participan en el tratamiento
del dato personal.
En efecto, de acuerdo con las definiciones acogidas por el proyecto de
ley, los responsables del tratamiento tienen mayores compromisos y
deberes frente al titular del dato, pues son los llamados a garantizar en
primer lugar el derecho fundamental al habeas data, as como las
condiciones de seguridad para impedir cualquier tratamiento ilcito del
dato. La calidad de responsable igualmente impone un haz de
responsabilidades, especficamente en lo que se refiere a la seguridad y a
la confidencialidad de los datos sujetos a tratamiento.
En la sentencia C-1 O11 de 2008
198
, se seal que en la administracin de
datos personales es posible identificar varias etapas, cuya diferenciacin
permite adscribir determinados niveles de responsabilidad a los sujetos
que participan de l. As, por ejemplo, sobre la calidad de la
informacin, el encargado del tratamiento tendr deberes de diligencia y
cuando son varios los agentes, estos pueden tener una relacin muy estrecha entre s (y compartir, por
ejemplo, todos los fines y medios de un tratamiento), o bien una relacin ms laxa (y, por ejemplo, compartir
slo los fines o los medios, o una parte de stos). Por lo tanto, debe tomarse en consideracin una amplia
variedad de tipologas de control conjunto y analizarse sus consecuencias legales, procediendo con cierla
flexibilidad para tener en cuenta la creciente complejidad de la realidad actual del tratamiento de datos.
Habida cuenta de estas circunstancias, es necesario examinar los diferentes grados de interaccin o relacin
que pueda haber entre las mltiples partes implicadas en el tratamiento de datos personales. En primer lugar,
el mero hecho de que diferentes partes cooperen en el tratamiento de datos personales, por ejemplo en cadena,
no implica que sean conjuntamente responsables del tratamiento en todos los casos, puesto que un
intercambio de datos entre dos partes que no compartan fines y medios para un conjunto de operaciones
comunes podra considerarse solamente como una transferencia de datos entre responsables del tratamiento
que actan por separado. "
198 Ibdem Pg. 194
Expediente PE-032
150
cuidado en la medida en que como lo consagra el proyecto de ley, est
obligado a realizar de forma oportuna, la actualizacin, rectificacin o
supresin del dato, segn el caso, literal c) del artculo 18.
En esa lnea, lo importante para una verdadera garanta del derecho al
habeas data, es que se pueda establecer de manera clara la
responsabilidad de cada sujeto o agente en el evento en que el titular del
dato decida ejercer sus derechos. Cuando dicha determinacin no exista
o resulte difcil llegar a ella, las autoridades correspondientes habrn de
presumir la responsabilidad solidaria de todos, aspecto ste sobre el que
guarda silencio el proyecto de ley y que la Corte debe afirmar como una
forma de hacer efectiva la proteccin a la que se refiere el artculo 15 de
la Carta 199.
Las anteriores aclaraciones, le permiten a la Sala declarar la
exequibilidad de los literales d) y e) del artculo 3.
2.5.8. Constitucionalidad del literal t): definicin de "titular"
El proyecto establece que el titular es la persona natural cuyos datos
personales sean objeto de tratamiento. A juicio de la Sala, esta definicin
se ajusta a la Carta y no desconoce la jurisprudencia de esta
corporacin
20o
en la que se ha indicado que las personas jurdicas
tambin son titulares del derecho al habeas data, pues como se explic en
la consideracin 2.5.6.3, la proteccin que se brinda a las personas
jurdicas en este respecto es en virtud de las personas naturales que la
conforman. Por tanto, eventualmente, la proteccin del habeas data se
podr extender a las personas jurdicas cuando se afecten los derechos de
las personas naturales que la conforman.
2.5.9. Constitucionalidad del literal g): definicin de "tratamiento"
El tratamiento es definido como cualquier operacin o conjunto de
operaciones sobre datos personales, tales como la recoleccin,
almacenamiento, uso, circulacin o supresin. Este vocablo, al igual que
los dos analizados en precedencia, es de uso en el mbito europeo y se
encuentra tanto en la Directiva 95/46 del Parlamento Europeo como en
los Estndares dictados en la reciente conferencia que se dio en Madrid
(Espaa), en la que se defini tratamiento como "cualquier operacin o
conjunto de operaciones, sean a no automatizadas, que se apliquen a
199 En relacin con este punto la Directiva lOes enftica en sealar lo siguiente: "Habida cuenta de estas
circunstancias, cabe argumentar que la responsabilidad solidaria de todas las partes implicadas debe
considerarse un medio para eliminar incertidumbres y, en consecuencia, slo debe presumirse que existe tal
responsabilidad solidaria cuando las partes implicadas no hayan establecido una asignacin alternativa,
clara e igualmente eficaz de las obligaciones y responsabilidades o cuando sta no emane claramente de las
circunstancias de hecho" pg. 27.
200 Cfr. sentencia SU-1193 de 2000.
Expediente PE-032
151
datos de carcter personal, en especial su recogida, conservacin,
utilizacin, revelacin o supresin,,201
El vocablo tratamiento para los efectos del proyecto en anlisis es de
suma importancia por cuanto su contenido y desarrollo se refiere
precisamente a lo que debe entenderse por el "tratamiento del dato
personal". En ese orden, cuando el proyecto se refiere al tratamiento,
hace alusin a cualquier operacin que se pretenda hacer con el dato
personal, con o sin ayuda de la informtica, pues a diferencia de algunas
legislaciones
202
, la definicin que aqu se analiza no se circunscribe
nicamente a procedimientos automatizados. Es por ello que los
principios, derechos, deberes y sanciones que contempla la normativa en
revisin incluyen, entre otros, la recoleccin, la conservacin, la
utilizacin y otras formas de procesamiento de datos con o sin ayuda de
la informtica. En consecuencia, no es vlido argumentar que la ley de
proteccin de datos personales cobija exclusivamente el tratamiento de
datos que emplean las nuevas tecnologas de la informacin, dejando por
fuera las bases de datos manuales, lo que resultara ilgico, puesto que
precisamente lo que se pretende con este proyecto es que todas las
operaciones o conjunto de operaciones con los datos personales quede
regulada por las disposiciones del proyecto de ley en mencin, con las
salvedades que sern analizadas en otro apartado de esta providencia. En
este orden de ideas, esta definicin no genera problema alguno de
constitucionalidad y por tanto ser declarada exequible.
2.6. EXAMEN DEL ARTCULO 4: PRINCIPIOS
"Artculo 4. Principios para el tratamiento de datos
personales. En el desarrollo, interpretacin y aplicacin de la
presente ley, se aplicarn, de manera armnica e integral, los
siguientes principios:
a) Principio de legalidad en materia de tratamiento de datos:
el tratamiento a que se refiere la presente leyes una actividad
reglada que debe sujetarse a lo establecido en ella y en las
dems disposiciones que la desarrollen.
201 Estndares internacionales sobre proteccin de datos personales y privacidad, aprobados el 5 de noviembre
de 2009 en Madrid en el marco de la 31 Conferencia Internacional de Autoridades de Proteccin de Datos y
Privacidad. Definicin que coincide en gran parte con la contenida en la Directiva 95?46 del Parlamento
Europeo y del Consejo del 24 de octubre de 1995.
202 Por ejemplo, la Constitucin espaola en su artculo 18.4 seala que la ley limitar el uso de la informtica,
de donde algunos autores deducen que las regulaciones para el procesamiento de datos solo comprende los
procesos automatizados.
152
Expediente PE-032
b) Principio de finalidad: el tratamiento debe obedecer a una
finalidad legtima de acuerdo con la Constitucin y la ley, la
cual debe ser informada al titular.
c) Principio de libertad: el tratamiento slo puede ejercerse
con el consentimiento, previo, expreso e informado del titular.
Los datos personales no podrn ser obtenidos o divulgados sin
previa autorizacin, o en ausencia de mandato legal o judicial
que releve el consentimiento.
d) Principio de veracidad o calidad: la informacin sujeta a
tratamiento debe ser veraz, completa, exacta, actualizada,
comprobable y comprensible. Se prohbe el tratamiento de
datos parciales, incompletos, fraccionados o que induzcan a
error.
e) Principio de transparencia: en el tratamiento debe
garantizarse el derecho del titular a obtener del responsable
del tratamiento o del encargado del tratamiento, en cualquier
momento y sin restricciones, informacin acerca de la
existencia de datos que le conciernan.
j) Principio de acceso y circulacin restringida: el
tratamiento se sujeta a los lmites que se derivan de la
naturaleza de los datos personales, de las disposiciones de la
presente ley y la Constitucin. En este sentido, el tratamiento
slo podr hacerse por personas autorizadas por el titular y/o
por las personas previstas en la presente ley.
Los datos personales, salvo la informacin pblica, no podrn
estar disponibles en internet u otros medios de divulgacin o
comunicacin masiva, salvo que el acceso sea tcnicamente
controlable para brindar un conocimiento restringido slo a
los titulares o terceros autorizados conforme a la presente ley.
g) Principio de seguridad: la informacin sujeta a tratamiento
por el responsable del tratamiento o encargado del
tratamiento a que se refiere la presente ley, se deber manejar
cpn las medidas tcnicas, humanas y administrativas que sean
necesarias para otorgar seguridad a los registros evitando su
adulteracin, prdida, consulta, uso o acceso no autorizado o
fraudulento.
h) Principio de confidencialidad: todas las personas que
intervengan en el tratamiento de datos personales que no
tengan la naturaleza de pblicos estn obligadas a garantizar
153
Expediente PE-032
la reserva de la informacin, inclusive despus de finalizada
su relacin con alguna de las labores que comprende el
tratamiento, pudiendo slo realizar suministro o comunicacin
de datos personales cuando ello corresponda al desarrollo de
las actividades autorizadas en la presente ley y en los trminos
de la misma. "
2.6.2.1. La Secretara Jurdica de la Presidencia de la Repblica
manifiesta que como consecuencia de la interdependencia entre los
principios plasmados, los de "temporalidad" e "interpretacin
integral de derechos constitucionales", igualmente estaran llamados a
integrar la nueva ley estatutaria. Sostiene que los dos principios referidos
no solamente deben regir para el tratamiento de datos comerciales,
financieros y crediticios sino tambin para aquellos datos personales que
incluso son dignos de mayor reserva. Entre dos leyes estatutarias, la
presente y la Ley 1266 de 2008 no puede generarse una disparidad de
tanta trascendencia. Por lo anterior, considera necesario que la Corte
realice una interpretacin integradora.
2.6.2.2. La Defensora del Pueblo manifiesta que no encuentra objeciones
que formular a las definiciones de los principios que consagra este
artculo, pues considera que en general se trata de conceptos coherentes
con las normas y criterios que han presidido el mbito de proteccin de
los datos de carcter personal.
Sin embargo, advierte que la Ley Estatutaria 1266 de 2008 consagra
adicionalmente a los principios ya reseados, los de temporalidad de la
informacin y de interpretacin integral de los derechos
constitucionales, los cuales, en atencin a lo expresado frente al
pargrafo del artculo 2 del proyecto, deberan entenderse como
aplicables de manera concurrente con lo normado en ste.
2.6.2.3. ASOBANCARIA afirma con respecto al literal g) del artculo 4 del
Proyecto de Ley la expresin "que sean necesarias" genera dos
interrogantes: Quin determina que las medidas para asegurar la
proteccin del dato, en un evento determinado, fueron las necesarias para
garantizar la seguridad de los registros? y Con base en qu criterios se
puede ' determinar esto? La norma no ofrece respuesta a estos
interrogantes. Esa ambigedad en la regulacin es la que permite advertir
que una determinacin abierta expone los Responsable a los criterios de
una autoridad administrativa.
2.6.2.4. La Universidad de los Andes solicita declarar la exequibilidad
condicionada del literal b) del artculo 4, entendiendo que de
154
Expediente PE-032
conformidad con el artculo 15 de la Constitucin el pnnclpIO de
finalidad tambin debe observarse en el tratamiento, uso y circulacin de
los datos personales, lo cual implica que no podrn realizarse
tratamientos de datos personales incompatibles con la finalidad
autorizada por el titular o la ley, a menos que se cuente con el
consentimiento unvoco del titular.
Tambin solicita declarar exequible el inciso segundo del literal f) del
artculo 4 del proyecto, que establece: "Los datos personales, salvo la
informacin pblica, no podrn estar disponibles en Internet u otros
medios de divulgacin o comunicacin masiva, salvo que el acceso sea
tcnicamente controlable para brindar un conocimiento restringido slo
a los titulares o terceros autorizados conforme a la presente ley",
siempre y cuando se entienda que la informacin pblica que figure en
Internet sobre una persona debe ceirse a los siguientes parmetros: (i)
se debe evitar el posible acceso a los datos personales del titular o de
terceros que sean privados, semiprivados, reservados o secretos que
pueden estar junto con los datos pblicos. Esto implica publicar en
Internet nicamente la informacin que estrictamente sea pblica y (ii)
se debe . eliminar cualquier posibilidad de acceso indiscriminado,
mediante la digitacin del nmero de identificacin a los datos
personales del ciudadano.
artculo 4o, por no respetar las exigencias de integralidad.
Especficamente, refiere que el proyecto (i) excluye contenidos
normativos esenciales del artculo 15 de la Constitucin, por ejemplo, la
inviolabilidad de la correspondencia y dems formas de comunicacin
privada, las exigencias para interceptaciones o registro de
comunicaciones privadas, y especialmente el derecho a la intimidad,
teniendo en cuenta que se trata de una Ley Estatutaria que incluye reglas
sobre datos personales o ntimos. Agrega que sta (ii) omite la
regulacin del habeas data aditivo, (iii) carece de una tipologa de los
datos que permita hacer un tratamiento adecuado y garantista para cada
uno de ellos, (iv) excluye principios que hacen parte del componente
estructural del derecho al habeas data, (v) se abstiene de establecer
directamente las reglas sobre datos personales en varios aspectos y las
delega en el Gobierno Nacional, (vi) no contiene la regulacin sobre la
caducidad del dato negativo y la permanencia del dato general.
2.6.2.6. Los ciudadano Santiago Diazgranados Mesa, Alejandro Pretelt
Salas y Rolfe Hernando Gonzlez Sosa, solicitan la exequibilidad
condicionada del literal c) del artculo 4, especficamente el trmirio
"expreso", con fundamento en las mismas consideraciones sealadas
para atacar la constitucionalidad del artculo 3 del presente proyecto de
ley.
155
Expediente PE-032
2.6.3. Consideraciones generales sobre el artculo 4
El desarrollo tecnolgico ha redimensionado la relacin del hombre con
su entorno. Ahora "la recoleccin, el almacenamiento de informacin
que antes slo poda formar parte de la vida ntima de cada ser humano
o bien, era conocido por un mnimo sector-, ha ido variando
paulatinamente su entorno y estructura. Esto es, los datos personales de
toda persona se han convertido en una prctica habitual de control y
almacenamiento por parte de los sectores tanto pblicos como
. d ,,203 Eh' l' d 1 .. d d h
przva os . sto a lmp lca o e reconOCImIento e nuevos erec os
con particularidades propias que "intentan dar respuesta a las nuevas
necesidades histricas, mientras que en otras supone la redejinicin de
., d h ,,204
vIeJos erec os
Como se explic en precedencia, en principio, el derecho al habeas data
fue considerado como una manifestacin del derecho a la intimidad. Sin
embargo, esta garanta estaba marcada por un matiz individualista
destinada a proteger un espacio privado sin posibilidades de injerencias
ajenas o del Estado, y por tanto, las limitaciones propias del derecho a la
intimidad no son suficientes para responder a las necesidades del flujo de
la informacin moderna. Por el contrario, se est ante el nacimiento de
un nuevo derecho, el de habeas data, en el que la privacidad "no implica
sencillamente la falta de informacin sobre nosotros por parte de los
dems, sino ms bien el control que tenemos sobre las informaciones
. ,,205
que nos concIernen
Esta reciente garanta requiere entonces del reentendimiento de
instrumentos de tutela jurdica y de ciertos principios que respondan a las
necesidades del control del manejo de datos. En efecto, se enfrentan dos
intereses, por un lado, la especial necesidad de disponibilidad de
informacin mediante la conformacin de bases de datos personales, por
otro, el requerimiento de proteger los derechos fundamentales de los
posibles riesgos del proceso de administracin de datos. En
consecuencia, se toma indispensable someter este proceso a ciertos
principios jurdicos, con el fin de garantizar la armona entre las
relaciones jurdicas.
Para la Corte, el tratamiento de datos, si bien es imprescindible para el
normal desarrollo de mltiples mbitos de la vida social, puede lesionar
derechos fundamentales. En consecuencia, tanto en la jurisprudencia
203 Garca Gonzlez, Aristeo. La proteccin de datos personales: derecho fundamental del siglo XXI. Un
estudio comparado Boletn Mexicano de Derecho Comparado [en lnea] 2007, XL (Septiembre-Diciembre) :
Disponible en: <http://redalyc.uaemex.mx/redalyc/src/inicio/ ArtPdtRed.jsp?iCve=427 12003> ISSN 0041-8633
204 Ob cit
205 Lusky, L., "Invasion of Privacy: a Clarification of Concepts. Citado por Garca Gonzlez Aristeo. Ob cit
Expediente PE-032
156
como en el mbito internacional se han fijados una serie de principios
para la administracin de datos personales, que como mandatos de
optimizacin, tiendan a facilitar la labor de ponderacin entre las
prerrogativas constitucionales en tensin.
Sobre la naturaleza de los principios en la Sentencia C-228 de 2011
206
se
dijo que los principios "en la terminologa de Robert Alexy se trata de un
mandato de optimizacin que ordena que se realice algo en la mayor
medida de lo posible de acuerdo con las posibilidades jurdicas y
fcticas, pero cuando colisiona con otros principios como el de
salvaguarda de los sistemas de proteccin social o la sostenibilidad
financiera, dicho conflicto tiene que ser ponderado en el caso concreto
para determinar si se justifica o no de manera razonable la limitacin"
Estos principios, buscan impedir el uso abusivo y arbitrario de la
facultad informtica. As mismo, deben ser interpretados en
concordancia con el segundo inciso del artculo 15 de la Carta, que
establece que "(e)n la recoleccin, tratamiento y circulacin de los datos
se respetarn la libertad y dems garantas consagradas en la
Constitucin" .
Es decir, el artculo 4 de la Ley Estatutaria define el contexto axiolgico
dentro del cual debe moverse, el proceso informtico. Segn este marco
general, existen unos parmetros generales que deben ser respetados para
poder afirmar que el proceso de acopio, uso y difusin de datos
personales sea constitucionalmente legtimo.
Desde el ao 1994, la Corte Constitucional ha ido desarrollando una
serie de principios que debe informar el proceso de administracin, entre
los que encontramos, los principios de libertad, necesidad, veracidad,
integridad, incorporacin, finalidad, utilidad, circulacin restringida,
caducidad e individualidad, y que fueron sistematizados en la Sentencia
T-729 de 2002?07
En la sentencia T -022 de 1993, se estableci por primera vez el
principio de libertad. En dicha oportunidad, la Corte resolvi el caso de
la circulacin de datos personales de contenido crediticio sin el
consentimiento del titular de los datos. Es as como la Corte, bajo la
necesidad de "favorecer una plena autodeterminacin de la persona" y
ante la "omisin de obtener la autorizacin expresa y escrita del titular
para la circulacin de sus datos econmicos personales", resolvi
conceder la tutela de los derechos a la intimidad y al debido proceso y
orden a la central de informacin financiera el bloqueo de los datos
personales del actor.
206 M.P. Juan Carlos Henao Prez
207
M.P. Eduardo Montelagre Lynett
157
Expediente PE-032
Desde all, se ha dicho entonces que los datos personales slo pueden
ser registrados y divulgados con el consentimiento
208
libre, previo y
expreso del titular. La Corporacin ha relacionado el principio de
libertad, con la prohibicin del manejo de la informacin adquirida de
manera ilcita, de tal forma que se encuentra prohibida la obtencin y
divulgacin de los mismos, sin la previa autorizacin del titular o en
ausencia de mandato legal o judicial. As, en la sentencia SU-082 de
1995, afirm: "los datos conseguidos, por ejemplo, por medios ilcitos
no pueden hacer parte de los bancos de datos y tampoco pueden
circular." En el mismo sentido, en la Sentencia T -17 6 de 1995, se
consider como una de las hiptesis de la vulneracin del derecho al
habeas data el de la recoleccin de la informacin "de manera ilegal, sin
el consentimiento del titular de dato."
En relacin con el principio de necesidad, los datos personales
registrados deben ser los estrictamente necesarios para el cumplimiento
de las finalidades perseguidas con la base de datos de que se trate, de tal
forma que se encuentra prohibido el registro y divulgacin de datos que
no guarden estrecha relacin con el objetivo de la base de datos. Sobre el
particular, la Sentencia T-307 de 1999, afirm: "la informacin
solicitada por el banco de datos, debe ser la estrictamente necesaria y
til, para alcanzar la finalidad constitucional perseguida. Por ello, los
datos slo pueden permanecer consignados en el archivo mientras se
alcanzan los objetivos perseguidos. Una vez esto ocurra, deben
desaparecer" .
Al abrigo de este princIpIO, la Corte en sentencia SU-082 de 1995
consider prohibida la inclusin de informacin que vulnere el derecho a
la intimidad del titular. En estos mismos trminos, ya en la sentencia T
176 de 1995, la Corte dej sentado como una de la hiptesis de
transgresin del derecho al habeas data, que la informacin recaiga
"sobre aspectos ntimos de la vida de su titular no susceptibles de ser
conocidos pblicamente" .
Para estructurar el principio de finalidad, la Corte ha perfilado la
llamada teora de los mbitos, de tal forma que se admite que el
suministro de datos personales se realiza en un contexto ms o menos
delimitado. En consecuencia, "la referida informacin se destinar a
realizar los fines exclusivos para los cuales fue entregada por el titular,
en relacin con el objeto de la base de datos y con el contexto en el cual
estos son suministrados".209 As, en sentencia T -552 de 1997, la Corte
208 Vase esta cualificacin del consentimiento como libre, previo y expreso, en sentencia SU-082 de 1995
(consideraciones sexta y dcima) . As mismo en sentencias T-097 de 1995, T-552 de 1997 T-527 de 2000 yT
578 de 2001.
209 M.P. Eduardo Montealegre Lynett
Expediente PE-032
158
consider como derivacin del derecho a la autodeterminacin
informativa, la facultad de poder exigir "el adecuado manejo de la
informacin que el individuo decide exhibir a los otros". Por lo tanto,
segn este principio "tanto el acopio, el procesamiento y la divulgacin
de los datos personales, debe obedecer a una
finalidacl10constitucionalmente legtima, definida de manera clara,
suficiente y previa; de tal forma que queda prohibida la recopilacin de
datos sin la clara especificacin acerca de la finalidad de los mismos,
as como el uso o divulgacin de datos para una finalidad diferente a la
. . . 1 .,,21 1
lmcza mente prevlsta.
Como una consecuencia de esta ltima directriz, se encuentra el
principio de utilidad. En virtud de ste, la ausencia de la misma se
traduce en un abuso del derecho. En este sentido, en la sentencia T-119
de 1995, la Corte consider que la sola autorizacin de funcionamiento
de las entidades administradoras de datos, no constitua garanta de la
legitimidad de sus conductas.". En consecuencia, tanto el acopio, el
procesamiento y la divulgacin de los datos personales, "debe cumplir
una funcin determinada, como expresin del ejercicio legtimo del
derecho a la administracin de los mismos; por ello, est prohibida la
divulgacin de datos que, al carecer de funcin, no obedezca a una
utilidad clara o determinable. "
Segn el principio de veracidad
212
, los datos personales deben obedecer
a situaciones reales, deben ser ciertos, de tal forma que se encuentra
prohibida la administracin de datos falsos o errneos.
En la sentencia SU-082 de 1995, esta Corporacin fij el principio de
integridad en el manejo de los datos. Bajo su amparo, se prohibi que
el manejo de los datos fuese incompleto, en razn a que esta situacin
puede distorsionar la veracidad de la informacin. En dicha
oportunidad, la Corte decidi tutelar los derechos de un usuario del
sistema financiero que haba sido afectado con una informacin
incompleta. Por lo tanto, se orden a la entidad administradora de datos,
completar la informacin acerca del comportamiento comercial del actor.
210 En la sentencia T-022 de 1993, la Corte reconoce la existencia de un "verdadero inters general" en la
actividad de administracin de los datos personales de contenido crediticio, cuando con la misma en tnninos
de la Corte se "satisfaga la exigencia de dicho inters", es decir, cuando la divulgacin de la infonnacin se
ajuste nica y exclusivamente a la finalidad para la cual se administra: que las entidades financieras puedan
medir el crdito y el nivel de riesgo de sus futuros clientes.
211 Cfr. sentencia T-729 de 2002.
212 Sobre el principio de veracidad, en las sentencias SU-082 de 1995 y SU-089 de 1995, la Corte afinn como
contenido del derecho al habeas dala, la facultad de solicitar la rectificacin de la informacin que no
corresponda a la verdad (consideracin quinta) As mismo afinn que no existe derecho alguno a "divulgar
infonnacin que no sea cierta" (consideracin sexta). Reiterada en la sentencia T-097 de 1995. Vase
igualmente sentencias T-527 de 2000 y T-578 de 2001, entre otras. En la sentencia T-I085 de 2001, la Corte
tutel el derecho al habeas dala al considerar que la entidad administradora vici de parcialidad la
informacin, al suministrar datos negativos sin haber atendido la peticin de dacin en pago que presentara el
actor.
Expediente PE-032
159
M.P . Jorge Ignacio Pretelt ChaUub
En consecuencia, en virtud de aqul principio "la informacin que se
registre o se divulgue a partir del suministro de datos personales debe
ser completa, de tal forma que se encuentra prohibido el registro y
divulgacin de datos parciales, incompletos o fraccionados. Con todo,
salvo casos excepcionales, la integridad no significa que una nica base
de datos pueda compilar datos que, sin valerse de otras bases de datos,
permitan realizar un perfil completo de las personas .,,213
Del principio de circulacin restringida, se exige que "la divulgacin y
circulacin de la informacin est sometida a los lmites especficos
determinados por el objeto de la base de datos, por la autorizacin del
titular y por el principio de finalidad, de tal forma que queda prohibida
la divulgacin indiscriminada de los datos personales".
En la sentencia T -307 de 1999 la Corte determin el alcance del
principio de la incorporacin. All, se estudi el caso de una actora que
despus de intentar infructuosamente durante varios aos su inclusin al
rgimen subsidiado de salud mediante el sistema SISBEN, nunca pudo
disfrutar de los beneficios en razn del mal manejo de la informacin.
Por ello, a partir de la existencia del llamado habeas data aditivo, se dijo
cuando de la inclusin de datos personales en determinadas bases,
deriven situaciones ventajosas para el titular, la entidad administradora
de datos estar en la obligacin de incorporarlos, si el titular rene los
requisitos que el orden jurdico exija para tales efectos, de tal forma que
queda prohibido negar la incorporacin injustificada a la base de datos.
Segn el principio de caducidad, la informacin desfavorable al titular
"debe ser retirada
214
de las bases de datos siguiendo criterios de
razonabilidad y oportunidad, de tal forma que queda prohibida la
conservacin indefinida de los datos despus que han desaparecido las
causas que justificaron su acopio y administracin. "
Finalmente, la jurisprudencia ha desarrollado el principio de
individualidad segn el cual queda prohibida la conducta dirigida a
facilitar cruce de datos a partir de la acumulacin de informaciones
provenientes de diferentes bases de datos
215
213 Sentencia T -729 de2002
214 Sobre el alcance de la obligacin de retirar la informacin negativa, la Corte, en sentencia T-022 de 1993,
afirm que una vez satisfechos los presupuestos para solicitar la cancelacin de los datos, "sta deber ser total
y definitiva. Vale decir, la entidad financiera no podr trasladarlos ni almacenarlos en un archivo histrico.
Tampoco limitarse a hacer una simple actualizacin del banco de datos cuando lo procedente es la exclusin
total y definitiva del nombre del peticionario favorecido con la tutela. Porque ello no slo ira en menoscabo
del derecho al olvido sino que se constituirla en instrumento de control apto para prolongar injerencias
abusivas o indebidas en la libertad e intimidad de su titular."
215 Sobre la descripcin de este riesgo, la Corte, en sentencia T-414 de 1992, afirm: "Es preciso, de otra parte,
recordar que a partir de la dcada del cincuenta mquinas tales como los computadores han hecho posible no
slo crear e interconectar enormes "bancos de datos" que pueden suministrar inmediatamente una vasta
cantidad de informacin personal a grandes distancias y en forma ms comprensiva, sino tambin establecer
160
Expediente PE-032
2.6.4. Los estndares internacionales en materia de principios que rigen el
derecho a la autodeterminacin informtica
El sistema de proteccin Europeo fue el primero, en el ao de 1981, en
instar a los miembros de la Comunidad a adoptar en sus legislaciones
internas unos principios mnimos de proteccin, ante el surgimiento de
grandes bases de informacin que podan poner en riego los derechos de
los ciudadanos. El artculo 5 del Convenio No. 108 del 28 de agosto
establece que los datos deben regirse al amparo de las siguientes
directrices:
a) "ser obtenidos legalmente y tratados de la misma forma,
b) ser registrados para finalidades especificas y lcitas, por lo
que no podrn ser utilizados con distintos fines,
c) ser adecuados, pertinentes y acordes con las finalidades
para las cuales fueron previstas,
d) ser exactos y puestos al da,
e) ser conservados de tal forma que permita la identificacin
de las personas que fueron concernidas durante un periodo de
tiempo que no exceda del necesario para el cual fue
registrado. "
ste ltimo literal, guarda relacin con lo que podra llamarse el
principio de temporalidad, entendido ste como aqul que ordena que el
dato no podr ser utilizado ms all del tiempo para el que fue previsto, y
por lo tanto, la consecuencia natural de ello, es su exclusin de la base de
datos dentro de la cual fue registrado, con el fin de evitar que la
informacin all consignada pueda ser usada para fines distintos, como
aquellos con propsitos ilcitos o fraudulentos o de carcter comercial.
En los aos noventa fueron adoptados dos instrumentos internacionales
relacionados con el manejo de los datos. El primero, la Resolucin 45/95
del 14 de diciembre de 1990 de la Organizacin de las Naciones Unidas,
y el segundo, la Directiva 95/46/CE del Parlamento Europeo y del
Consejo de la Unin.
La Resolucin 45/95 de la ONU, "principios rectores sobre la
reglamentacin de ficheros computarizados de datos personales"
desarrolla los siguientes:
1. Principio de la licitud y lealtad. Est dirigido concretamente a
que la informacin de las personas no sea recolectada en forma ilcita ni
correlaciones entre datos que aisladamente son las ms de las veces inofensivos pero que reunidos pueden
descubrir aspectos cuya revelacin atenta contra la libertad e intimidad del ciudadano."
161
Expediente PE-032
M.P. Jorge Ignacio Pretelt Cha1jub
- _ .. _ ----- -
utilizarse para fines contrarios a los propsitos y principios de la Carta
de las Naciones Unidas.
2. Principio de exactitud. Pretende que las personas encargadas del
tratamiento deben verificar la exactitud y certeza de los datos,
procurando la actualizacin peridica de los mismos.
3. Principio de finalidad: La finalidad para la cual es utilizada la
informacin contenida en ficheros, debe ser especfica y clara.
Igualmente, debe comunicrsele al titular de la informacin sobre su
utilizacin, para que pueda asegurarse que:
a) "Todos los datos personales reunidos y registrados siguen
siendo pertinentes a la finalidad perseguida"
b)Ninguno de esos datos personales es utilizado o revelado
sin el consentimiento de la persona interesada, con un
propsito incompatible con el que se haya especificado.
c) El periodo de conservacin de los datos personales no
excede del necesario para alcanzar la necesidad con que se
han registrado. "
4. Principio de acceso a la persona interesada. Permite al usuario,
una vez identificado, conocer si la informacin que se relaciona con su
informacin personal est siendo utilizada y a obtener las correcciones
necesarias cuando la informacin es inexacta y a que se le informe si los
datos han sido transmitidos a terceros. En este sentido, el propio mandato
seala una posibilidad para que en cada ordenamiento se cree una
herramienta jurdica que le permita al usuario ejercer un recurso. Seala
expresamente la Resolucin:
"Debera preverse una va de recurso, en su caso, ante la
autoridad encargada del control de conformidad con el
principio 8 infra. En caso de rectificacin, el costo debera
rectificarlo el responsable del fichero [quien trata la
informacin]. Es conveniente que las disposiciones de este
principio s e apliquen a todas las personas, cualquiera que sea
su nacionalidad o su residencia"
5. Principio de no discriminacin. Prohbe el registro de datos que
puedan generar en la persona algn tipo de discriminacin, en particular
sobre el origen racial o tnico, color, vida sexual, opiniones polticas,
convicciones religiosas, filosficas o de otro tipo, o sobre la
participacin en una asociacin o la afiliacin a un sindicato.
6. Facultad de establecer excepciones: Permite establecer
excepciones respecto de los principios 1 a 4, cuando se trate de: i)
162
Expediente PE-032
proteger la seguridad nacional, ii) el orden pblico, iii) la salud o la
moral pblica y iv) "en particular, los derechos y libertades de los
dems, especialmente de personas perseguidas (clusula humanitaria), a
reserva de que estas excepciones se hayan previsto expresamente por la
ley o por una reglamentacin equivalente, adoptada de conformidad con
el sistema jurdico nacional, en que se definan expresamente los lmites
y se establezcan las garantas apropiadas ".
7. Principio de seguridad: Se debern adoptar medidas necesarias
para proteger los ficheros contra riesgos naturales, como la prdida
accidental o la destruccin por siniestro, y contra los riesgos humanos,
como el acceso sin autorizacin, la utilizacin encubierta de datos o la
contaminacin por virus informtico.
8. Principio relativo a los controles y sanciones: "Cada
legislacin debera designar a la autoridad que, de conformidad con el
sistema jurdico interno, se encarga de controlar el respeto de los
principios anteriormente enunciados". Conforme este postulado, la
autoridad debe ofrecer garanta de imparcialidad, independencia respecto
de organismos o personas responsables del procesamiento de datos y su
aplicacin. Igualmente, seala que debera preverse sanciones penales o
de otro tipo, cuando se violen las disposiciones de cada legislacin.
9. Principio sobre el flujo de datos a travs de las fronteras. El
flujo de informacin entre dos pases o ms, puede darse siempre y
cuando sus legislaciones sean comparables respecto de la garanta de
proteccin de la vida privada, para que la informacin pueda correr
libremente como en el pas de origen. Finalmente dispone que "cuando
no haya garantas comparables, no se podrn obtener limitaciones
injustificadas a dicha circulacin, y solo en la medida que as lo exija la
proteccin de la vida privada".
Por su parte, la Directiva 95/46/CE, sistematiza las directrices del
manejo de los datos y reconoce que tales disposiciones se encuentran
encaminadas a "la proteccin de las libertades y de los derechos
fundamentales a las personas fisicas y, en particular, del derecho a la
intimidad, en lo que respecta al tratamiento de datos personales"
(artculo 1). El instrumento divide los principios en dos categoras: (i) los
relativos a la calidad del dato y (ii) los concernientes a la legitimidad en
el manejo de la informacin.
En relacin con los primeros dispone (artculo 6) que los datos
personales sean: "(i) Tratados de manera leal y lcita, (ii) Recogidos con
fines determinados, explcitos y legtimos, y no sean tratados
posteriormente de manera incompatible con dichos fines; no se
considerar incompatible el tratamiento posterior de datos con fines
163
Expediente PE-032
histricos, estadsticos o cientficos, siempre y cuando los Estados
miembros establezcan las garantas oportunas, (iU) Adecuados,
pertinentes y no excesivos con relacin a los fines para los que se
recaben y para los que se traten posteriormente, (iv) Exactos y, cuando
sea necesario, actualizados; debern tomarse las medidas razonables
para que los datos inexactos o incompletos, con respecto a los fines para
los que fueron recogidos o para los que fueron tratados posteriormente,
sean suprimidos o rectificados, (v) Conservados en una forma que
permita la identificacin de los interesados durante un periodo no
superior al necesario para los fines para los que fueron recogidos o
para los que se traten ulteriormente. Los Estados miembros establecern
las garantas apropiadas para los datos personales archivados por u
periodo ms largo al mencionado, con fines histricos, estadsticos o
cientficos. "
En cuanto a los segundos, la Directiva establece que el manejo de los
datos slo puede realizarse con el consentimiento inequvoco del titular y
cuando es necesario : (i) "para la ejecucin de un contrato en el que el
interesado sea parte o para la aplicacin de medidas
precontractuales. ", (ii) ''para el cumplimiento de una obligacin jurdica
a la que est sujeto el responsable de! tratamiento ", (lii) ''para proteger
el inters vital del interesado ",(iv) para el cumplimiento de una misin
de inters pblico o inherente al ejercicio del poder pblico conferido al
responsable del tratamiento o a un tercero a quien se comuniquen los
datos" y (v) para la satisfaccin del inters legtimo perseguido por el
responsable del tratamiento o por el tercero o terceros a los que se
comuniquen los datos siempre que no prevalezca e! inters o los
derechos y libertades fundamentales del interesado que requieran
proteccin con arreglo al apartado 1 de la presente directiva".
Del literal b) al f) se presentan una serie de eventos en que es efectivo y
s pueden tratarse los datos personales, sin autorizacin del titular. No
obstante, dicha libertad para usar datos por parte de quien los trata
siempre va a tener un componente que la limite, esto es "el inters vital
del interesado". El inters vital del interesado puede asociarse con la no
afectacin de su esfera de intimidad o que la informacin tratada ponga
en riesgo su integridad fisica o mental. En todo caso, la proteccin del
individuo prima sobre cualquier otro derecho que se genere a partir del
tratamiento de datos, es decir, podra decirse que las medidas adoptadas
por la Directiva 95 de la Unin Europea, responde a una filosofia
garantista de los derechos individuales de sus conciudadanos.
Finalmente, el Convenio establece la prohibicin de crear un perfil con
base en el cruce de datos. Esto se traduce en la proscripcin que las
personas sean sometidas a efectos jurdicos adversos, a travs de la
evaluacin de su personalidad, mediante un tratamiento automatizado de
Expediente PE-032
164
datos destinados a evaluar determinados aspectos de su personalidad, es
lo que normalmente se denomina un "perfil del individuo", con base en
el cruce de datos almacenados en bases de informacin. El artculo 15
de la directiva prev esta situacin en la siguiente forma:
"Artculo 15
l. Los Estados miembros reconocern a las personas el
derecho a la no verse sometidas a una decisin con efectos
jurdicos sobre ellas o que les afecte de manera significativa,
que se base nicamente en un tratamiento automatizado de
datos destinado a evaluar determinados aspectos de su
personalidad, como su rendimiento laboral, crdito,
fiabilidad, conducta, etc. "
Finalmente, en el mbito interamericano, la Organizacin de los
Estados Americanos, OEA, encarg al Comit Jurdico Interamericano
elaborar varios informes sobre el acceso y proteccin de la informacin y
los datos personales. En noviembre de 2010, se expide el "Proyecto de
principios y recomendaciones preliminares sobre la proteccin de
datos". El trabajo realizado por el Comit Jurdico Interamericano seal
que existen dos sistemas de proteccin de bases de datos "el europeo es
hoy el sistema ms estricto de regulaciones estatales, con una
legislacin que rige la recoleccin de datos personales por el gobierno y
las entidades privadas. El sistema de Estados Unidos sigue un criterio
bifurcado, que permite que los sectores econmicos regulen los datos
personales recabados por el Estado. Por ltimo, varios pases de
Amrica Latina han elaborado mecanismos de proteccin de datos
basados en el concepto de habeas data, que permite a las personas
acceder a sus propios datos personales y otorga el derecho ".
Ahora bien, teniendo como referente los documentos expedidos tanto a
nivel de la Unin Europea como los generados en el entorno regional por
algunos pases en el continente americano, la OEA, dise un catlogo
de 15 directrices, los cuales defini como "la base de la legislacin
sobre proteccin de datos en todo el mundo y que podran servir de base
para un instrumento internacional o una legislacin modelo sobre
proteccin de datos".
Los principios son: el principio de legitimidad y justicia -la legitimidad
est relacionada a la licitud en el procesamiento de datos y la justicia,
con base en la Resolucin de Madrid
216
, se refiere a que es injusto que al
216 La "Resolucin de Madrid" es un documento producto de la "Propuesta Conjunta para la Redaccin de
Estndares Internacionales para la proteccin de la Privacidad, en relacin con el Tratamient o de Datos de
carcter personal", acogido favorablemente por la 31 Conferencia Internacional de Autoridades de Proteccin
de Datos y Privacidad, celebrada el 5 de noviembre d 2009 en Madrid.
Expediente PE-032
165
procesar los datos personales se d lugar a discriminacin contra la
persona. El principio de propsito especfico, de limitacin y
d d
217
l d t 218 l d dO ., d 219 El
necesl a ,e e ransparencl3 ,e eren IClon e cuentas .
principio de condiciones para el procesamiento de datos, que a su vez
contiene las reglas para que se considere vlido el procesamiento de
datos, esto es que exista "a) consentimiento, b) inters legtimo del
controlador, c) las obligaciones contractuales, d) una autoridad legal y
e) circunstancias excepcionales, como cuando la informacin es
necesaria para atenuar o evitar un perjuicio irremediable. }J.
El proyecto tambin seala como principios el de la revelacin de
informacin a los procesadores de datos, en virtud del cual el
controlador puede usar tales sistemas si :a) asegure el nivel de proteccin
y b) que el nivel de proteccin sea establecido por una relacin
contractual, el principio sobre las transferencias internacionales de
datos,22oel relativo al derecho a la persona al acceso a la
informacin
221
, el derecho de la persona para corregir y suprimir sus
datos personales
222
, el principio de garanta a objetar el procesamiento
de datos personales
223
, el derecho de correccin y supresin de datos
personales
224
, el principio sobre medidas de seguridad para proteger
los datos personales
225
el de confidencialidad
226
, el principio de control,
cumplimiento y responsabilidad en el manejo de datos por parte del
operador o principio de autoridad independiente que garantice la
l
o , d l tO d d 227
ap IcacIOn e a norma IVI a .
217 El limite al procesamiento de datos significa que este debe ser adecuado, relevante y no excesivo frente a
los propsitos para los cuales se recabaron. La necesidad indica que debe hacerse lo posible para limitar el
procesamiento de datos a lo estrictamente necesario.
2 18 Est referido a que el controlador de datos debe ofrecer a la persona la informacin suficiente para que esta
tenga la opcin de establecer una relacin de transparencia con aquel.
21 9 Sostiene que el controlador de datos es responsable de adoptar todas las medidas necesarias para seguir las
fautas del procesamiento de datos personales que imponga la legislacin nacional u otra autoridad competente.
20 Seala que las transferencias internacionales de datos slo debern efectuarse si el pas receptor, ofrece,
como mnimo, el mismo nivel de proteccin de datos personales que brindas los principios aqu reseados.
Adicionalmente, este principio desarrolla los factores para determinar si un pas receptor otorga las normas
mnimas de proteccin de datos: 1) la naturaleza de los datos; 2) el pas de origen; 3)el pas receptor; 4) el
propsito para el cual se procesan los datos, y 5) las medidas de seguridad vigentes para la transferencia y el
procesamiento de datos personales.
22 1 El derecho de acceso el derecho de la persona solicitar y obtener del controlador de datos informacin sobre
sus datos personales.
222 La persona tiene derecho a solicitar que el controlador de datos corrija o suprima los datos personales que
puedan ser incompletos, inexactos, innecesarios o excesivos.
223 La persona podra objetar el procesamiento de sus datos personales en los casos en que exista una razn
legtima, como perjuicio o angustia injustificada y sustancial para ella.
224 Que se reconoce en el principio de legitimacin del dato personal.
225 Establece que el controlador de datos y el procesador de datos deben disponer de medidas tcnicas y de
organizacin razonables para garantizar la integridad, confidencialidad y disponibilidad de los datos
personales.
226 Los controladores de datos y los procesadores de datos tienen el deber de mantener la confidencialidad de
todos los datos personales, inclusive ms all de terminada la relacin entre la personal y el controlador de
datos.
227 Con el fin de asegurar el cumplimiento y la aplicacin de los principios de la proteccin de datos, la OEA
seala que debe disponerse de una autoridad supervisora y establecerse un recurso judicial para las personas.
Sobre la autoridad, seala que esta debe ser imparcial e independiente. Asimismo, debe contar con capacidad
166
Expediente PE-032
Se observa entonces que los distintos sistemas de proteccin de los
derechos, tanto el universal, como los regionales instan a los Estados a
establecer dentro de sus ordenamientos unos principios mnimos que han
de regir el manejo de la informacin de datos, y por tanto, la
interpretacin de las directrices debe hacerse de conformidad con estos
estndares de proteccin.
2.6.5. Los principios establecidos en el proyecto que se revisa y el anlisis
de su constitucionalidad
2.6.5.1.Alcance del control
El artculo 4 del proyecto establece, los princlplOs de legalidad en
materia de tratamiento de datos, el de finalidad, de libertad, de veracidad
o calidad, de transparencia, de acceso y circulacin restringida, de
seguridad y el principio de confidencialidad.
En primer lugar, cabe sealar que el proyecto acoge una clasificacin
especial de principios que no incluye la totalidad de los principios
predicables de la administracin de datos y que han sido desarrollados
tanto por la jurisprudencia de esta Corporacin, como por las normas
internacionales sobre la materia. Sin embargo, tal y como se consider
en la Sentencia C-IOll de 2008, al estudiar la constitucionalidad de los
principios predicables a la administracin de datos del sistema financiero
y crediticio, las previsiones que integran el artculo 4 deben interpretarse
de forma tal que resulten compatibles con la Carta Poltica. En
consecuencia, si la Corte -intrprete autorizado de la Constitucin-, ha
definido a travs de los principios de administracin de datos personales
el contenido y alcance del derecho fundamental al hbeas data, las
normas estatutarias debern interpretarse en armona con el plexo de
garantas y prerrogativas que integran ese derecho. Adems, tambin
sern analizados a la luz de los estndares internacionales sobre la
materia.
Por otra parte, debe entenderse que la enunciacin de estos principios no
puede entenderse como la negacin de otros que integren o lleguen a
integrar el contenido del derecho fundamental al habeas data.
2.6.5.2. Anlisis de la constitucionalidad de los preceptos
2.6.5.2.1. Principio de legalidad en materia de tratamiento de datos: La Ley
Estatutaria seala que el Tratamiento es una actividad reglada que debe
tcnica, facultades y recursos suficientes para realizar investigaciones y auditoras a fin de asegurar el
cumplimiento de las normas pertinentes.
167
Expediente PE-032
sujetarse a lo establecido en ella y en las dems disposiciones que la
desarrollen.
El principio encierra el principal objetivo de la regulacin estatutaria:
someter el tratamiento de datos a lo establecido en las normas, ftjar
lmites frente a los responsables y encargados del tratamiento y
garantizar los derechos de los titulares de los mismos. En estos trminos,
tal y como se explic anteriormente, a partir del principio de libertad, la
jurisprudencia constitucional seal que el dato deba ser adquirido,
tratado y manejado de manera lcita. Adems, responde al llamado
principio de licitud y lealtad al que se refteren los estndares
internacionales sobre la materia.
2.6.5.2.2.Principio de finalidad: En virtud de tal principIO, el tratamiento
debe obedecer a una ftnalidad legtima de acuerdo con la Constitucin y
la ley, la cual debe ser informada al titular.
La deftnicin establecida por el legislador estatutario responde a uno de
los criterios establecidos por la Corporacin para el manejo de las bases
de datos. Sin embargo, debe hacerse algunas precisiones.
Por una parte, los datos personales deben ser procesados con un
propsito especftco y explcito. En ese sentido, la ftnalidad no slo
debe ser legtima sino que la referida informacin se destinar a realizar
los fines exclusivos para los cuales fue entregada por el titular. Por ello,
se deber informar al Titular del dato de manera clara, suftciente y previa
acerca de la ftnalidad de la informacin suministrada y por tanto, no
podr recopilarse datos sin la clara especiftcacin acerca de la ftnalidad
de los mismos. Cualquier utilizacin diversa, deber ser autorizada en
forma expresa por el Titular.
Esta precisin es relevante en la medida que permite un control por parte
del titular del dato, en tanto le es posible veriftcar si est haciendo usado
para la ftnalidad por l autorizada. Es una herramienta til para evitar
arbitrariedades en el manejo de la informacin por parte de quien trata el
dato.
As mismo, los datos personales deben ser procesados slo en la forma
que la persona afectada puede razonablemente prever. Si, con el tiempo,
el uso de los datos personales cambia a formas que la persona
razonablemente no espera, debe obtenerse el consentimiento previo del
titular.
Por otro lado, de acuerdo la jurisprudencia constitucional y los
estndares internacionales relacionados previamente, se observa que el
principio de ftnalidad implica tambin: (i) un mbito temporal, es decir
168
Expediente PE-032
que el periodo de conservacin de los datos personales no exceda del
necesario para alcanzar la necesidad con que se han registrado y (ii) un
mbito material, que exige que los datos recaudados sean los
estrictamente necesarios para las finalidades perseguidas.
En razn de lo anterior, el literal b) debe ser entendido en dos aspectos.
Primero, bajo el principio de necesidad se entiende que los datos
debern ser conservados en una forma que permita la identificacin de
los interesados durante un periodo no superior al necesario para los fines
para los que fueron recogidos. Es decir, el periodo de conservacin de
los datos personales no debe exceder del necesario para alcanzar la
necesidad con que se han registrado.
En la Sentencia e-IOII de 2008
228
, la Corporacin reiter la importancia
de la existencia de unos criterios razonables sobre la permanencia de
datos personales en fuentes de informacin. Adems, sostuvo que este
periodo se encuentra en una estrecha relacin con la finalidad que
pretende cumplir. AS, a partir del estudio de la jurisprudencia, construy
una doctrina constitucional comprehensiva sobre la caducidad del dato
negativo en materia financiera y concluy que dentro de las
prerrogativas mismas del derecho al habeas data, se encuentra esta
garanta, como una consecuencia del derecho al olvido. Sobre el
particular observ la providencia:
"De acuerdo con lo sealado en el artculo 15 Superior, la
Corte identifica como facultades que conforman el contenido
del derecho al hbeas data, las de (i) conocer la informacin
personal contenida en las bases de datos, () solicitar la
actualizacin de dicha informacin a travs de la inclusin de
nuevos datos y (iii) requerir la rectificacin de la informacin
no ajustada a la realidad. Junto con las prerrogativas
expuestas. la Corte. habida cuenta los precedentes
jurisprudenciales anteriores que sealaban la necesidad de
establecer un lmite al reporte financiero negativo. estableci
un nuevo componente del derecho al hbeas data. la de la
caducidad del dato negativo. "
(. ..)
La Corte reitera que los procesos de administracin de datos
personales de contenido crediticio cumplen un propsito
especfico: ofrecer a las entidades que ejercen actividades de
intermediacin financiera y, en general, a los sujetos que
concurren al mercado, informacin relacionada con el grado
228 M.P. Jaime Crdoba Trivio
169
Expediente PE-032
de cumplimiento de las obligaciones suscritas por el sujeto
concernido, en tanto herramienta importante para adoptar
decisiones sobre la suscripcin de contratos comerciales y de
crdito con clientes potenciales. Esta actividad es compatible
con los postulados superiores, pues cumple con propsitos
legtimos desde la perspectiva constitucional, como son la
estabilidad financiera, la confianza en el sistema de crdito y la
proteccin del ahorro pblico administrado por los
establecimientos bancarios y de crdito.
Es precisamente la comprobacin acerca de la finalidad
especfica que tienen los operadores de informacin
financiera V crediticia la que. a su vez. permite determinar los
lmites al ejercicio de las actividades de acopio. tratamiento V
divulgacin de datos. " (Resaltado fuera del texto)
Segundo, los datos personales registrados deben ser los estrictamente
necesarios para el cumplimiento de las finalidades perseguidas con la
base de datos de que se trate, de tal forma que se encuentra prohibido el
registro y divulgacin de datos que no guarden estrecha relacin con el
. objetivo de la base de datos. En consecuencia, debe hacerse todo lo
razonablemente posible para limitar el procesamiento de datos
personales al mnimo necesario. Es decir, los datos debern ser: (i)
adecuados, (ii) pertinentes y (iii) acordes con las finalidades para las
cuales fueron previstos.
2.6.5.2.3. Principio de libertad: El tratamiento slo puede ejercerse con el
consentimiento, previo, expreso e informado del titular. Los datos
personales no podrn ser obtenidos o divulgados sin previa autorizacin,
o en ausencia de mandato legal o judicial que releve el consentimiento.
Este principio, pilar fundamental de la administracin de datos,
permite al ciudadano elegir voluntariamente si su informacin personal
puede ser utilizada o no en bases de datos. Tambin impide que la
informacin ya registrada de un usuario, la cual ha sido obtenida con su
consentimiento, pueda pasar a otro organismo que la utilice con fines
distintos para los que fue autorizado inicialmente.
El literal c) del Proyecto de Ley Estatutaria no slo desarrolla el objeto
fundamental de la proteccin del habeas data, sino que se encuentra en
ntima relacin con otros derechos fundamentales como el de intimidad y
el libre desarrollo de la personalidad. En efecto, el ser humano goza de la
garanta de determinar qu datos quiere sean conocidos y tiene el
derecho a determinar lo que podra denominarse su "imagen
informtica" .
170
Expediente PE-032
Por su parte, la Asamblea General de Naciones Unidas, en Resolucin
45/95 del 14 de diciembre de 1990, considero el consentimiento como el
elemento esencial en el manejo de administracin de los datos. Por su
parte, la Directiva 95/46/CE
229
del Parlamento Europeo y del Consejo
Europeo se refiere especficamente al consentimiento y lo define como
"toda manifestacin de voluntad, libre, especjica e informada, mediante
la que el interesado consienta el tratamiento de datos personales que le
conciernan." En consecuencia, dicho instrumento seala que los Estados
miembros dispondrn que el tratamiento de datos personales slo puede
efectuarse si el interesado ha dado su consentimiento de forma
inequvoca.
Fue en virtud del principio de libertad que la Corte Constitucional
empez a desarrollar los contenidos mnimos del derecho fundamental
del habeas data. As, en la sentencia T -414 de 1992
230
se estableci que
en el Estado Constitucional, los procesos de administracin de datos
personales slo eran legtimos a partir de la vigencia de la libertad del
individuo, que involucraba necesariamente la potestad para permitir y
controlar el acceso a su informacin personal. La providencia seal:
"la posibilidad de acumular informaciones en cantidad
ilimitada, de confrontarlas y agregarlas entre s, de hacerle un
seguimiento en una memoria indefectible, de objetivizarlas y
transmitirlas como mercanca en forma de cintas, rollos o
discos magnticos, por ejemplo, permite un nuevo poder de
dominio social sobre el individuo, el denominado poder
informtico. 11 Como necesario contrapeso, este nuevo poder
ha engendrado la libertad informtica. Consiste ella en la
facultad de disponer de la informacin, de preservar la propia
identidad informtica, es decir, de permitir, controlar o
rectificar los datos concernientes a la personalidad del titular
de los mismos y que, como tales, lo identifican e individualizan
ante los dems. Es, como se ve, una nueva dimensin social
de la libertad individual diversa, y por razn de las
circunstancias que explican su aparicin, de otras clsicas
manifestaciones de la libertad. ".
De la misma fonna, en la Sentencia T-176 de 1995
231
la Corporacin
dijo que la falta de consentimiento se traduce en una vulneracin de los
derechos al habeas data: ''para que exista una vulneracin del derecho al
habeas data, debe desconocerse alguno de los tres aspectos enunciados.
Es decir, la informacin contenida en el archivo debe haber sido
recogida de manera ilegal, sin el consentimiento del titular del dato (0,
229 http://eur-lex.europa.eulLexUriServ/LexUriServ.do?uri=CELEX:31995L0046:ES:NOT
230 M.P. Ciro Angarita Barn
23 1 M.P Eduardo Cifuentes Muoz
171
Expediente PE-032
ser errnea (ii) o recaer sobre aspectos ntimos de la vida de su titular
no susceptibles de ser conocidos pblicamente (iii). Por el contrario, el
suministro de datos veraces, cuya circulacin haya sido previamente
autorizada por su titular, no resulta, en principio, lesiva de un derecho
fundamental. "
En igual sentido, en la Sentencia SU-082 de 1995
232
, la Corte bas toda
la ratio decidendi, en el concepto de autodeterminacin informtica,
cuyo elemento esencial recaa en el consentimiento. Sobre la particular la
Corte se pregunt: "Cul es el ncleo esencial del habeas data? A
juicio de la Corte, est integrado por el derecho a la autodeterminacin
informtica y por la libertad, en general, y en especial econmica. La
autodeterminacin informtica es la facultad de la persona a la cual se
refieren los datos, para autorizar su conservacin, uso y circulacin, de
conformidad con las regulaciones legales." Esa posicin ha sido
reiterada, entre muchas otras, en las Sentencias T-580 de 1995, T-448 de
2004, T-526 de 2004, T-657 de 2005, T-T-684 de 2006, C-lOll de 2008,
T-017 de 2011.
En materia de manejo de informacin personal, el consentImIento
exigido es adems, calificado, por cuanto debe ser previo, expreso e
informado. Sobre el particular, en la Sentencia C-1 O11 de 2008 se
sostuvo que tales caractersticas concretan la libertad del individuo frente
al poder informtico:
La libertad en la administracin de datos personales significa
que el sujeto concernido mantenga, en todo momento, las
facultades de conocimiento, actualizacin y rectificacin de la
informacin personal contenida en las bases de datos. Si ello
es as, es evidente que la libertad del individuo ante el poder
informtico se concreta, entre otros aspectos, en la posibilidad
de controlar la informacin personal que sobre s reposa en
las bases de datos, competencia que est supeditada a que
exprese su consentimiento para la incorporacin de la
informacin en el banco de datos o archivo correspondiente.
Este ejercicio de la libertad en los procesos informticos, a
juicio de la Corte, se concreta en la exigencia de autorizacin
previa, expresa y suficiente por parte del titular de la
informacin, requisito predicable de los actos de
administracin de datos personales de contenido comercial y
crediticio. La eliminacin del consentimiento del titular,
adicionalmente, genera una desnaturalizacin del dato
financiero, comercial y crediticio, que viola el derecho
fundamental al hbeas data, en tanto restringe
injustificadamente la autodeterminacin del sujeto respecto
2J2 M.P. Jorge Arango Meja
172
Expediente PE-032
de su informacin personal. Para la Constitucin, la libertad
del sujeto concernido significa que la administracin de
datos personales no pueda realizarse a sus espaldas, sino que
debe tratarse de un proceso transparente, en que en todo
momento y lugar pueda conocer en dnde est su
informacin personal, para qu propsitos ha sido
recolectada y qu mecanismos tiene a su disposicin para su
actualizacin y rectificacin. La eliminacin de la
autorizacin previa, expresa y suficiente para la
incorporacin del dato en los archivos y bancos de datos
administrados por los operadores permite, en ltimas, la
ejecucin de actos ocultos de acopio, tratamiento y
divulgacin de informacin, operaciones del todo
incompatibles con los derechos y garantias propios del
hbeas data. (Resaltado fuera del texto)
En relacin con el carcter previo, la autorizacin debe ser
suministrada, en una etapa anterior a la incorporacin del dato. As por
ejemplo, en la Sentencia T -022 de 1993
233
, se dijo que la veracidad del
dato no implica que el Responsable del Tratamiento no tenga el deber de
obtener una autorizacin anterior. En igual sentido, la Sentencia T-592
de 2003
234
dijo que el derecho al habeas data resulta afectado cuando los
administradores de la informacin recogen y divulgan hbitos de pago
sin el consentimiento de su titular. La Corte expres que el
consentimiento previo del titular de la informacin sobre el registro de
sus datos econmicos "en los procesos informticos, aunado a la
necesidad de que aquel cuente con oportunidades reales para ejercer sus
facultades de rectificacin y actualizacin durante las diversas etapas de
dicho proceso, resultan esenciales para salvaguardar su derecho a la
autodeterminacin informtica."
En relacin con el carcter expreso, la autorizacin debe ser
inequvoca, razn por la cual, al contrario de lo sostenido por algunos
intervinientes, no es posible aceptarse la existencia, dentro del
ordenamiento jurdico colombiano, de un consentimiento tcito. Lo
anterior, por varias razones:
En primer lugar, la jurisprudencia constitucional ha exigido tal
condicin y ha dicho que el consentimiento debe ser explicito y
concreto a la finalidad especfica de la base de datos.
En estos trminos, en la Sentencia T-580 de 1995
235
, al estudiar el envo
de informacin a la Asociacin Bancaria de Colombia, sin que existiera
233 M.P. Ciro Angarita Barn
234 MP. lvaro Tafur Galvis
235 M.P . Eduardo Cifuentes Muoz
173
Expediente PE-032
autorizacin previa y expresa para ello, se concedi el amparo al
considerar que se comprometi el derecho "a la autodeterminacin
informtica o habeas data, dado que no existe autorizacin previa y
expresa del titular del dato para hacerlo pblico". En el mismo sentido,
esta Corporacin en la sentencia de unificacin SU-089 de 1995 tutel
entre otras razones porque no se pidi autorizacin expresa para reportar
los datos. Sobre el particular la Sentencia T-580 de 1995 dijo: "Es
requisito esencial para pasar legtimamente informacin crediticia a un
banco de datos, el consentimiento expreso del titular. No existe
disposicin alguna que obligue a las entidades financieras a trasladar
referencias comerciales o crediticias a centrales privadas de
informacin, al margen de la autorizacin previa y expresa del titular
del dato." En igual sentido, la Sentencia T-657 de 2005
236
, donde se
analiz el reporte negativo realizado por una inmobiliaria, se reiter que
la divulgacin del dato deber ser ''fruto de una autorizacin expresa y
especfica proveniente del titular. "
As mismo, en la sentencia T-729 de 2002
237
, esta Corporacin concedi
la tutela, al sostener que el ente accionado no ajust su actuar al
principio de libertad, ya que procedi a publicar los datos del actor en la
base en la Internet, sin su consentimiento. En dicha oportunidad se
orden a la entidad accionada hacer cesar la conducta vulneratoria del
derecho, "de tal forma que en adelante se abstenga de publicar, con
posibilidad de acceso indiscriminado y sin el consentimiento previo y
libre, informacin personal".
Es de resaltar la Sentencia T-592 de 2003
238
, en la que se indic que el
consentimiento expreso se traduca tambin en la prohibicin de
otorgarse autorizaciones abiertas y no especificas. En este sentido, la
Corporacin consider que no obstante haberse otorgado autorizaciones
para reportar la informacin crediticia, las mismas eran "abiertas y
accesorias a las operaciones de crdito" por lo que no denotaban un real
consentimiento de los otorgantes "en cuanto no estuvieron acompaadas
de la informacin oportuna sobre su utilizacin, aparejada del alcance
del reporte, ni de su contenido y tampoco del nombre y ubicacin de la
encargada de administrar la informacin. "
En segundo lugar, de una interpretacin armnica de todo el articulado
se deduce que el legislador estatutario tuvo una intencin inequvoca que
el consentimiento siempre fuese expreso. AS, desde el artculo 3 se dice
que ste debe ser "previo, expreso e informado". Esto mismo se repite en
el artculo 4. Posteriormente, el artculo 8 ordinal b), garantiza al Titular
el derecho de solicitar prueba de la autorizacin, y seala que sta slo
236 M.P. Clara Ins Vargas
237 MP. Eduardo Montealegre Lynett
238 M.P. lvaro Tafur Galvis
174
Expediente PE-032
puede considerarse exceptuada en los casos consagrados en el artculo
10. El artculo 9 ordena que la autorizacin sea "obtenida por cualquier
medio que pueda ser objeto de consulta posterior"
Por otro lado, el artculo 10 seala, en forma taxativa, los casos en que
no se requiere autorizacin, y no hace referencia alguna a la existencia
de un consentimiento tcito, lo cual necesitara expresa autorizacin
legal.
En relacin con el carcter informado, el titular no slo debe aceptar el
Tratamiento del dato, sino tambin tiene que estar plenamente consciente
de los efectos de su autorizacin. En este mismo sentido, en la Sentencia
T-592 de 2003
239
, la Corte seal que la autorizacin debe ser
cualificada y deba contener una explicacin de los efectos de la misma.
Adems, a pesar de que se presente la autorizacin, el Responsable y
Encargado del Tratamiento debe actuar de buena fe. Sobre el particular
se dijo:
"Por tanto, as el usuario de servicios financieros predisponga
-como de ordinario acontece- que terceros sean informados
sobre su situacin patrimonial y hbitos de pago, el receptor
de la autorizacin est en el deber de informarle cmo, ante
quien, desde cundo y por cunto tiempo su autorizacin ser
utilizada, porque una aquiescencia genrica no subsume el
total contenido de la autodeterminacin informtica, prevista
en la Carta Poltica para que a los asociados les sea
respetada su facultad de intervenir activamente y sin
restricciones, durante las diversas etapas del proceso
informtico.
En consecuencia el acreedor abusa de la previa autorizacin,
impelida por l y as mismo otorgada por su deudor, cuando,
. fundado en aquella, divulga datos especficos sin enterar a su
titular debidamente, as crea contar para el efecto con la
aquiescencia sin lmites del afectado, porque el postulado de
la buena fe obliga a las partes a atemperar los desequilibrios
contractuales, en todas las etapas de la negociacin, en los
trminos del artculo 95 constitucional. "
De todo lo anterior, puede entonces deducirse: (i) los datos personales
slo pueden ser registrados y divulgados con el consentimiento libre,
previo, expreso e infonnado del titular. Es decir, no est permitido el
consentimiento tcito del Titular del dato y slo podr prescindirse de
l por expreso mandato legal o por orden de autoridad judicial, (ii) el
consentimiento que brinde la persona debe ser definido como una
239
M.P. Alvaro Tafur Galvis
175
Expediente PE-032
indicacin especfica e informada, libremente emitida, de su acuerdo con
el procesamiento de sus datos personales. Por ello, el silencio del Titular
nunca podra inferirse como autorizacin del uso de su informacin y
(iii) el principio de libertad no slo implica el consentimiento previo a la
recoleccin del dato, sino que dentro de ste se entiende incluida la
posibilidad de retirar el consentimiento y de limitar el plazo de su
validez.
2.6.5.2.4. Principio de veracidad o calidad: La informacin sujeta a
tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y
comprensible. Se prohbe el tratamiento de datos parciales, incompletos,
fraccionados o que induzcan a error.
La ley recoge dos de los principios desarrollados por la jurisprudencia:
(i) el de veracidad y (ii) el principio de integridad de los datos. Segn el
primero, los datos personales deben obedecer a situaciones reales,
actualizadas y comprobables. Bajo el segundo, se prohbe que el manejo
de los datos sea incompleto y pueda inducir a error.
2.6.5.2.5.Principio de transparencia: El literal e) consagra que en el
tratamiento debe garantizarse el derecho del titular a obtener del
responsable del tratamiento o del encargado del tratamiento, en cualquier
momento y sin restricciones, informacin acerca de la existencia de
datos que le conciernan.
No existe reparo de constitucionalidad sobre este princlplO, y por el
contrario, establece el derecho del titular de acceder, en cualquier
momento a la informacin que sobre l reposa en una base de datos. Sin
embargo, debe precisarse que la informacin que debe ofrecerse al
Titular de los datos debe ser cualificada y por tanto cuando procese datos
personales, el Responsable o Encargado del Tratamiento de datos debe
ofrecer, como mnimo, la siguiente informacin a la persona afectada: (i)
informacin sobre la identidad del controlador de datos, (ii) el propsito
del procesamiento de los datos personales, (iii) a quien se podrn revelar
los datos, (iv) cmo la persona afectada puede ejercer cualquier derecho
que le otorgue la legislacin sobre proteccin de datos, y (v) toda otra
informacin necesaria para el justo procesamiento de los datos
De otra parte, debe entenderse que no slo existe un derecho del Titular
del dato de acceder a su informacin, sino que esta garanta implica
que cuando de la inclusin de datos personales en determinadas
bases, deriven situaciones ventajosas para el titular, la entidad
administradora de datos estar en la obligacin de incorporarlos, si
el titular rene los requisitos que el orden jurdico exige para tales
efectos, de tal forma que queda prohibido negar la incorporacin
injustificada a la base de datos.
176
Expediente PE-032
2.6.5.2.6. Principio de acceso y circulacin restringida: En razn de esta
directriz, el Tratamiento se sujeta a los lmites que se derivan de la
naturaleza de los datos personales, de las disposiciones de la presente ley
y la Constitucin. En este sentido, ste slo podr hacerse por personas
autorizadas por el titular y/o por las personas previstas en la presente ley.
Adems, se prohbe que los datos personales, salvo informacin pblica,
se encuentren disponibles en Internet, a menos que se ofrezca un control
tcnico para asegurar el conocimiento restringido.
En relacin con el primer inciso, deben hacerse las siguientes
precisiones. Como se explic anteriormente, esta Ley Estatutaria, al
establecer las condiciones mnimas en el manejo de la informacin, no
agota la regulacin en materia de habeas data, y por tanto, el Tratamiento
estar tambin sujeto a la normatividad que se expida posteriormente.
En cuanto al segundo inciso, la norma debe entenderse que tambin se
encuentra prohibida toda conducta tendiente al cruce de datos entre las
diferentes bases de informacin, excepto cuando exista una autorizacin
legal expresa, es decir, lo que la jurisprudencia ha denominado el
principio de individualidad del dato. Como consecuencia de lo
anterior, queda prohibido generar efectos jurdicos adversos frente a los
Titulares, con base, nicamente en la informacin contenida en una base
de datos.
De otra parte, y en relacin con ese segundo inciso, uno de los
interviniente solicita a esta Corporacin, declarar su constitucionalidad
bajo los siguientes condicionamientos: (i) se debe evitar que los datos
privados, semiprivados, reservados o secretos puedan estar junto con los
datos pblicos, y por tanto, los primeros no pueden ser objeto de
publicacin en lnea, a menos que se ofrezcan todos los requerimientos
tcnicos y (ii) se debe eliminar cualquier posibilidad de acceso
indiscriminado, mediante la digitacin del nmero de identificacin a los
datos personales del ciudadano.
Considera la Sala que tales condicionamientos no son necesarios, por
cuanto la misma norma elimina estas posibilidades. En efecto: (i)
prohbe que los datos no pblicos sean publicados en Internet y (ii) slo
podran ser publicados si se ofrecen todas las garantas. De lo anterior se
infiere que si el sistema permite el acceso con la simple digitacin de la
cdula, no es un sistema que cumpla con los requerimientos del inciso
segundo del literal f) del artculo 4.
Sin embargo, debe reiterarse que el manejo de informacin no pblica
debe hacerse bajo todas las medidas de seguridad necesarias para
garantizar que terceros no autorizados puedan acceder a ella. De lo
Expediente PE-032
177
contrario, tanto el Responsable como el Encargado del Tratamiento sern
los responsables de los perjuicios causados al Titular.
De otra parte, cabe sealar que an cuando se trate de informacin
pblica, su divulgacin y circulacin est sometida a los lmites
especficos determinados por el objeto y finalidad de la base de datos,
2.6.5.2.7. Principio de seguridad: Al amparo de este principio, la informacin
sujeta a tratamiento por el responsable o encargado, se deber manejar
con las medidas tcnicas, humanas y administrativas que sean necesarias
para otorgar seguridad a los registros evitando su adulteracin, prdida,
consulta, uso o acceso no autorizado o fraudulento.
De este principio se deriva entonces la responsabilidad que recae en el
administrador del dato. El afianzamiento del principio de responsabilidad
ha sido una de las preocupaciones actuales de la comunidad
internacional, en razn del efecto "diluvio de datos,,24o, a travs del cual
da a da la masa de datos personales existente, objeto de tratamiento y
de ulterior transferencias, no cesa de aumentar. Los avances tecnolgicos
han producido un crecimiento de los sistemas de informacin, ya no se
encuentran slo sencillas bases de datos, sino que surgen nuevos
fenmenos como las redes sociales, el comercio a travs de la red, la
prestacin de servicios, entre muchos otros. Ello tambin aumenta los
riegos de filtracin de datos, que hacen necesarias la adopcin de
medidas eficaces para su conservacin. Por otro lado, el mal manejo de
la informacin puede tener graves efectos negativos, no slo en trminos
econmicos, sino tambin en los mbitos personales y de buen nombre.
En estos trminos, el Responsable o Encargado del Tratamiento debe
tomar las medidas acordes con el sistema de informacin
correspondiente. As, por ejemplo, en materia de redes sociales, empieza
a presentarse una preocupacin de establecer medidas de proteccin
reforzadas, en razn al manejo de datos reservados. En el ao 2009, el
Grupo de Trabajo Sobre Proteccin de Datos de la Unin Europea seal
que en los Servicios de Redes Sociales" o "SRS debe protegerse la
informacin del perfil en el usuario mediante el establecimiento de
''parmetros por defecto respetuosos de la intimidad y gratuitos que
1
" l l l .J " 24 I
zmlten e acceso a os contactos e egzuos .
240 El trmino es utilizada por el Dictamen 3/2010 sobre el principio de responsabilidad, emitido por el Grupo
de Proteccin de Datos de la Unin Europea.
241 La seguridad, es uno de los elementos que debe contar con las garantas necesarias de proteccin de datos
personales en los SRS. En consecuencia, el Grupo de Trabajo dise ciertos parmetros bajo los cuales el
acceso a la informacin personal en redes sociales debe estar protegido, pues de no ser as, generara
desconfianza en el usuario, al no tener la certeza de que su informacin no va a ser tratada adecuadamente. Al
respecto se indic: "Los SRS deberan pues establecer parmetros por defecto respetuosos de la intimidad,
que permitan a los usuarios aceptar libre y especficamente que personas distintas a sus contactos elegidos
accedan a su perfil, con el fin de reducir el riesgo de un tratamiento ilcito por terceros. Los perfiles de acceso
178
Expediente PE-032
Existe entonces un deber tanto de los Responsables como los Encargados
de establecer controles de seguridad, de acuerdo con el tipo de base de
datos que se trate, que permita garantizar los estndares de proteccin
consagrados en esta Ley Estatutaria.
2.6.5.2.8. Principio de confidencialidad: Todas las personas que intervengan
en el tratamiento de datos personales que no tengan la naturaleza de
pblicos estn obligadas a garantizar la reserva de la informacin,
inclusive despus de finalizada su relacin con alguna de las labores que
comprende el tratamiento, pudiendo slo realizar suministro o
comunicacin de datos personales cuando ello corresponda al desarrollo
de las actividades autorizadas en la presente ley y en los trminos de la
mIsma.
Esta norma no ofrece ningn reparo, y por el contrario, busca que los
operadores de los datos sigan guardando el secreto de ciertos datos, an
cuando haya finalizado la relacin con la fuente de informacin.
2.6.6. Otros principios que se entienden incluidos en el proyecto
2.6.6.1. Principios derivados directamente de la Constitucin
Adems de las obligaciones derivadas de los principios rectores del
proceso de administracin de bases de datos personales, existen otros
que tienen su origen directo en normas constitucionales,
especficamente: (i) la prohibicin de discriminacin por las
informaciones recaudadas en las bases de datos, (ii) el principio de
interpretacin integral de los derechos constitucionales y (ii) la
obligacin de indemnizar los perjuicios causados por las posibles
fallas en el proceso de administracin de datos.
As las cosas, en virtud de la aplicacin del principio pro homine, propio
de la interpretacin de las normas de la Carta Poltica, la administracin
de datos personales debern, en todo caso, subordinarse a la eficacia de
los derechos fundamentales del individuo. As mismo, los principios
deben entenderse de manera armnica, coordinada y sistemtica,
respetando en todo caso los contenidos bsicos del derecho fundamental
al habeas data.
ilimitado no deberan ser localizables por los motores de bsqueda internos, incluso por la funcin de
bsqueda por parmetros como la edad o el lugar ('.')".
179
Expediente PE-032
2.6.6.2.Principios derivados del ncleo temtico del proyecto de ley estatutaria
Por otra parte, advierte la Sala que existen principios que, a pesar de no
encontrarse numerados en el artculo 4, se entienden incorporados en
razn de una lectura sistemtica del Proyecto de Ley Estatutaria: (i)
principio de la proporcionalidad del establecimiento de excepciones:
La Ley consagra materias exceptuadas, ms no excluidas, del rgimen
general de la administracin de datos, tal y como se explic en el anlisis
del mbito de aplicacin de la norma. Sin embargo, tal tratamiento
especial debe estar justificado en trminos de proporcionalidad y
responder a los estndares internacionales de proteccin, (ii) principio
de autoridad independiente: la adopcin de una normatividad slo es
efectiva si se garantiza que dentro de la estructura del Estado exista un
rgano encargado de garantizar el respeto de los principios anteriormente
desarrollados. Esta autoridad debe garantizar imparcialidad e
independencia y (iii) principio de exigencia de estndares de
proteccin equivalentes para la transferencia internacional de datos:
Tal y como se deduce del artculos 26 del Proyecto de Ley Estatutaria,
existe una prohibicin de transferencia internacional a cualquier tipo de
pases que no proporcionen niveles adecuados de proteccin de datos.
2.7. EXAMEN DEL ARTCULO 5: DEFINICIN DE DATOS
SENSIBLES
"Artculo 5, Datos sensibles. Para los propsitos de la
presente ley, se entiende por datos sensibles aquellos que
afectan la intimidad del Titular o cuyo uso indebido puede
generar su discriminacin, tales como aquellos que revelen el
origen racial o tnico, la orientacin poltica, las convicciones
religiosas o filosficas, la pertenencia a sindicatos,
organizaciones sociales, de derechos humanos o que
promueva intereses de cualquier partido poltico o que
garanticen los derechos y garantas de partidos polticos de
oposicin, as como los datos relativos a la salud, a la vida
sexual y los datos biomtricos. "
2.7.2.1. Computec S.A. - Datacrdito afirma que es preocupante que el
proyecto permita el tratamiento de todo tipo de datos personales,
incluidos los datos sensibles, cuyo alcance ofrece serios riesgos para los
ciudadanos. Esto por cuanto, por esa va se podra estructurar cualquier
tipo de empresa para negociar los perfiles de las personas, sin que exista
control de autoridad que supervise su constitucin y finalidad,
180
Expediente PE-032
exponiendo a los titulares de los datos a un manejo poco claro y seguro
de los mismos.
Agrega que si bien la Ley 1266 de 2008, en principio fue concebida para
regular los datos provenientes de las actividades financieras o crediticias
de los ciudadanos, tambin lo es que estableci un marco suficiente a
partir del cual pueden estructurarse seguridades adecuadas para la
recoleccin y administracin de los datos que hacen parte de las
actividades comerciales (Call Centers, Contact Center y BPO & O) que
se han constituido en la justificacin principal para impulsar esta nueva
ley.
2.7.2.2. El Ministerio Pblico no se pronunci sobre este respecto.
2.7.3. Constitucionalidad de la definicin de dato sensible
De conformidad con el artculo 5, son datos sensibles para los propsitos
del proyecto, "(. ..) los que afectan la intimidad del Titular y cuyo uso
indebido puede generar su discriminacin, tales como aquellos que
revelen el origen racial o tnico, la organizacin poltica, las
convicciones religiosas o filosficas, la pertenencia a sindicatos,
organizaciones sociales, de derechos humanos o que promuevan
intereses de cualquier partido poltico o que garanticen los derechos y
garantas de partidos polticos de oposicin as como los datos relativos
a la salud, la vida sexual y los datos biomtricos ",
La Sala encuentra que esta definicin se ajusta a la jurisprudencia
Constitucional y su delimitacin, adems de proteger el habeas data, es
una garanta del derecho a la intimidad, razn por la cual la Sala la
encuentra compatible con la Carta Poltica.
En efecto, como explic la Corte en la sentencia C-1 O11 de 2008
242
, la
informacin sensible es aquella "(oo.) relacionada, entre otros aspectos,
con la orientacin sexual, los hbitos del individuo y el credo religioso y
poltico, En estos eventos, la naturaleza de esos datos pertenece al
ncleo esencial del derecho a la intimidad, entendido como aquella
'esfera o espacio de vida privada no susceptible de la interferencia
arbitraria de las dems personas, que al ser considerado un elemento
esencial del ser, se concreta en el derecho a poder actuar libremente en
la mencionada esfera o ncleo, en ejercicio de la libertad personal y
familiar, sin ms limitaciones que los derechos de los dems y el
' . 'd' 243"
ordenamlento jUrz lCO.
242 M.P. Jaime Crdoba Trivmo.
243 "Cfr. Corte Constitucional, sentencia C-51 7/98, concepto reiterado en la sentencia C-692/ 03. "
181
Expediente PE-032
Conforme a esta explicacin, la definicin del artculo 5 es compatible
con el texto constitucional, siempre y cuando no se entienda como una
lista taxativa, sino meramente enunciativa de datos sensibles, pues los
datos que pertenecen a la esfera intima son determinados por los cambios
y el desarrollo histrico.
2.8. EXAMEN DEL ARTCULO 6: PROHIBICIN DEL
TRATAMIENTO DE DATOS SENSIBLES Y EXCEPCIONES
"Artculo 6. Tratamiento de datos sensibles. Se prohbe el
Tratamiento de datos sensibles, excepto cuando:
a) El Titular haya dado su autorizacin explcita a dicho
Tratamiento, salvo en los casos que por ley no sea requerido
el otorgamiento de dicha autorizacin.
b) El Tratamiento sea necesario para salvaguardar el inters
vital del Titular y este se encuentre fisica o jurdicamente
incapacitado. En estos eventos, los representantes legales
debern otorgar su autorizacin.
c) El Tratamiento sea efectuado en el curso de las actividades
legtimas y con las debidas garantas por parte de una
fundacin, ONG, asociacin o cualquier otro organismo sin
nimo de lucro, cuya finalidad sea poltica, filosfica,
religiosa o sindical, siempre que se refieran exclusivamente a
sus miembros o a las personas que mantengan contactos
regulares por razn de su finalidad. En estos eventos, los
datos no se podrn suministrar a terceros sin la autorizacin
del Titular.
d) El Tratamiento se refiera a datos que el Titular haya hecho
manifiestamente pblicos o sean necesarios para el
reconocimiento, ejercicio o defensa de un derecho en un
proceso judicial.
e) El Tratamiento tenga una finalidad histrica, estadstica o
cientfica. En este evento debern adoptarse las medidas
conducentes a la supresin de identidad de los Titulares. "
2.8.2.1. La Defensora del Pueblo solicita la inexequibilidad del literal d)
del artculo 6, ya que no es clara su justificacin, razonabilidad o
182
Expediente PE-032
necesidad , en lo referente a que el titular haya hecho pblicos dichos
datos, por las siguientes razones:
En primer lugar, expresa que el que los datos que se hagan pblicos por
el titular de la informacin sensible no justifica per se su acopio y
tratamiento, pues los datos se definen como pblicos, privados o
confidenciales en razn a su naturaleza no en razn de su grado de
divulgacin, aunque sea el mismo titular quien opte por revelarlos. En
este orden de ideas, se estara admitiendo el tratamiento sin
conocimiento del titular y para una finalidad no autorizada por l, por
parte de personas, autoridades o entes que pueden no contar con
habilitacin legal para ello.
En segundo lugar, afirma que no existe una finalidad constitucional que
justifique levantar la proscripcin del tratamiento de los datos sensibles
en el evento sealado, ni puede considerarse tampoco como una medida
necesaria y proporcionada. Por el contrario, por tratarse de datos que
comportan un riesgo de discriminacin, segregacin o violencia en
contra de determinados grupos o segmentos de la poblacin, es evidente
para la Defensora que hacer pblica una manifestacin de condiciones,
preferencias, opiniones, orgenes, a partir de los cuales se deducen datos
de naturaleza "sensible", no justifica en modo alguno la autorizacin
para crear bases de datos de tal connotacin ni para llevar a cabo su
tratamiento.
Sumado a lo anterior, para la Defensora, el segundo aparte del literal
d) del artculo 6, es decir, el que excluye de la prohibicin de
tratamiento de datos sensibles a aquellos que "sean necesarios para el
reconocimiento, ejercicio o defensa de un derecho en un proceso
judicial", tambin es inconstitucional, por las siguientes razones:
Sostiene que no resulta claro el sentido y el alcance de esta previsin,
pues no se dice quin define que un dato sensible sea "necesario" para el
ejercicio de un derecho en un proceso judicial y tampoco se hace
referencia a la persona que sera titular del derecho que requiere ser
garantizado o defendido. Podra ser el mismo titular de los datos
personales o un tercero que tiene conocimiento de tales datos.
Ahora bien, indica que an en el evento en que los datos personales de
carcter sensible lleguen a ser expuestos en un proceso pblico por
razones inherentes a la estrategia de las partes para sacar avante sus
pretensiones, no por ello est autorizado conformar una base de datos
con informacin sensible a partir de datos que puedan ser recogidos de
los procesos.
183
Expediente PE-032
M.P. Jorge fgnacio Pretelt Chaljub
Explica que aunque existan determinadas situaciones, conductas, rasgos,
preferencias y dems asociadas a datos sensibles de personas
determinadas a partir de actuaciones judiciales hechas pblicas, otra muy
distinta es elaborar un registro de individuos que comparten algn rasgo
asociado a un factor potencialmente discriminatorio, como uno los
enumerados en el artculo 13 de la Constitucin.
En consecuencia, la Defensora solicita declarar inexequible el segundo
aparte del literal d) del artculo 6.
2.8.2.2. El Ministerio Pblico no se pronunci sobre este respecto.
2.8.3. Exequibilidad de la prohibicin de tratamiento de datos sensibles
El artculo 6 ofrece dos contenidos normativos: de un lado, establece
como regla general la prohibicin de someter a tratamiento los datos
sensibles, y de otro, prev algunas excepciones a dicha regla general, que
sern examinadas ms adelante.
En relacin con el primer contenido normativo, la Sala estima que no
solamente es compatible con la Carta, sino que es una exigencia del
derecho a la intimidad y un desarrollo de principio del habeas data de
acceso y circulacin restringida.
Ciertamente, como se explic en la sentencia C-1 O11 de 2008
244
, en
tanto los datos sensibles pertenecen a la esfera de la intimidad de las
personas, "(. . .) todo acto de divulgacin mediante los procesos
genricos de administracin de datos personales, distintos a las
posibilidades de divulgacin excepcional descritas en el fundamento
jurdico 2.5. del presente anlisis, se encuentra proscrita. Ello en la
medida que permitir que informacin de esta naturaleza pueda ser
objeto de procesos ordinarios de acopio, recoleccin y circulacin
vulnerara el contenido esencial del derecho a la intimidad. "
2.8.4. Examen de la constitucionalidad de las excepciones a la prohibicin
de tratamiento de datos sensibles
El segundo contenido normativo del artculo 6, de otro lado, establece
excepciones a la proscripcin de tratamiento de datos sensibles. Antes de
examinar la constitucionalidad de cada hiptesis, la Sala estima
necesario hacer las siguientes precisiones:
Como se indic en apartes previos, la prohibicin de tratamiento de
datos sensibles es una garanta del habeas data y del derecho a la
intimidad, y adems se encuentra estrechamente relacionada con la
184
Expediente PE-032
proteccin de la dignidad humana. Sin embargo, en ciertas ocasiones el
tratamiento de tales datos es indispensable para la adecuada prestacin
de servicios -como la atencin mdica y la educacin- o para la
realizacin de derechos ligados precisamente a la esfera ntima de las
personas -como la libertad de asociacin y el ejercicio de las libertades
religiosas y de opinin. Las excepciones del artculo 6 responden
precisamente a la necesidad del tratamiento de datos sensible en dichos
escenanos.
Ahora bien, como se trata de casos exceptuados y que, por tanto, pueden
generar altos riesgos en trminos de vulneracin del habeas data, la
intimidad e incluso la dignidad de los titulares de los datos, los agentes
que realizan en estos casos el tratamiento tienen una responsabilidad
reforzada que se traduce en una exigencia mayor en trminos de
cumplimiento de los principios del artculo 4 y los deberes del ttulo VI.
Esa mayor carga de diligencia se deber tambin traducir en materia
sancionatoria administrativa y penal.
Finalmente, las excepciones, en tanto limitaciones de alcance general al
derecho al habeas data, al igual que en el caso de las excepciones del
artculo 2, deben ser desarrolladas por el legislador estatutario.
Pasa la Sala a examinar la constitucionalidad de estas excepciones:
2.8.4. 1. Constitucionalidad del literal a)
La Sala considera que, de conformidad con el principio de libertad, es
posible que las personas naturales den su consentimiento, por su puesto,
expreso e informado, para que sus datos personales sean sometidos a
tratamiento. En estos casos debern cumplirse con todos los principios
que rigen el tratamiento de datos personales, en especial cobrar
importancia el principio de finalidad, segn el cual el dato sensible
solamente podr ser tratado para las finalidades expresamente
autorizadas por el titular y que en todo caso deben ser importantes desde
el punto de vista constitucional. En este orden de ideas, la Sala encuentra
que el primer contenido normativo del literal a) se ajusta a la
Constitucin.
En relacin con el segundo contenido normativo, este es, la posibilidad
de tratar el dato sensible sin autorizacin explcita del titular cuando
"(. . .) por ley no sea requerido el otorgamiento de dicha autorizacin",
la Sala considera que es compatible con la Constitucin, siempre y
cuando se entienda, como se mencionar ms adelante, que tal
autorizacin, adems de estar contenida en una ley, sea conforme a las
garantas que otorga el habeas data, por ejemplo en materia de finalidad,
y cumpla las exigencias del principio de proporcionalidad.
185
Expediente PE-032
2.8.4.2.Constitucionalidad del literal b)
El literal b) establece tres condiciones para que pueda operar la segunda
excepcin: (i) el tratamiento del dato sensible busque salvaguardar el
inters vital del titular, (ii) el titular se encuentre fsica o jurdicamente
incapacitado y (iii) la autorizacin sea entonces otorgada por el
representante legal del titular.
La Sala estima que en virtud de las condiciones que prev el literal b)
para que opere la excepcin, sta se ajusta a la Carta y cumple con el
principio de proporcionalidad. Ciertamente, en este caso la excepcin
cumple una finalidad no solamente importante sino imperiosa, esta es
salvaguardar e inters vital del titular del dato sensible, el cual debe
entenderse en relacin con su vida y su salud frente a afectaciones
graves. El medio elegido por el legislador es adecuado, pues ante la
imposibilidad de obtener el consentimiento expreso del titular, el
proyecto permite que sea otorgado por su representante legal, quien se
presume es guardin de los intereses del titular. Finalmente, la excepcin
establece un justo balance entre los derechos al habeas data, a la
intimidad, a la salud y a la vida del titular. Por estas razones, la Sala
declarar el literal b) exequible, no sin antes reiterar que las excepciones
a las protecciones del habeas data, en este caso a la prohibicin de
someter a tratamiento los datos sensibles, son de interpretacin
restrictiva.
2.8.4.3.Constitucionalidad del literal e)
La Sala encuentra que la excepcin del literal c) se encuentra justificada
en tanto (i) se refiere a datos que circulan solamente al interior de las
organizaciones enunciadas; y (ii) es propio de tales organizaciones
recoger y procesar datos sensibles de sus miembros o personas que
mantienen contacto con ellas, precisamente porque la razn de su
existencia est ligado con alguno de los mbitos personales que da lugar
a datos sensibles. Por ejemplo, en el caso de una organizacin poltica, es
natural que se recolecte y clasifique informacin sobre las preferencias
polticas de sus miembros. En el caso de una ONG que, por ejemplo, se
dedique a la defensa de los derechos humanos, en virtud de su labor debe
recaudar datos sensibles de quienes solicitan su intervencin a efectos
de, entre otras cosas, preparar defensas judiciales o disear programas de
atencin.
Adems, la reserva de los datos sensibles es garantizada en este literal,
en concordancia con el principio de libertad, con la exigencia de que
cualquier suministro de datos a terceros este obligatoriamente precedida
186
Expediente PE-032
por la autorizacin expresa del titular. Por estas razones la Sala declarar
exequible el literal c).
2.8.4.4.Inexequibilidad parcial del literal d)
El literal d) tiene dos contenidos normativos que en realidad
representan dos excepciones diferentes: de un lado, indica que es posible
el tratamiento de datos sensibles cuando su titular los ha hecho
manifiestamente pblicos y, de otro, seala que tambin es posible el
tratamiento cuando sea necesario "(. . .) para el reconocimiento, ejercicio
o defensa de un derecho en un proceso judicial".
En relacin con el primer contenido normativo, la Sala considera que
es inconstitucional, pues el hecho de que un dato sensible se haga
pblico, no lo convierte en un dato de naturaleza pblica que cualquier
persona pueda someter a tratamiento. Por tanto, pese a la divulgacin de
un dato por su titular, la posibilidad de someterlo a tratamiento debe
sujetarse a su consentimiento expreso, previo e informado -principio de
libertad- y a las dems exigencias que imponen los principios
consagrados en el artculo 4 y dems garantas del habeas data. Por estas
razones se declarara inexequible la frase "el Titular haya hecho
manifiestamente pblicos o".
Para la Sala, por el contrario, el segundo contenido normativo s se
ajusta a la Carta, siempre y cuando, de conformidad con una
interpretacin sistemtica y conforme a la Carta, se entienda que en todo
caso es necesaria la autorizacin previa y expresa del titular de dato
sensible, la existencia de una orden judicial y la garanta de las dems
prerrogativas derivadas del habeas data.
En efecto, los datos sensibles (de las partes, los testigos y otros
intervinientes) en muchos procesos judiciales son indispensables para
resolver una controversia; pinsese por ejemplo en un proceso de tutela
sobre discriminacin o en un proceso penal en el que una vctima
reclama reparacin por violaciones a sus derechos como consecuencia de
una persecucin poltica o religiosa. En estos casos los datos sensibles
deben ser puestos en conocimiento de la respectiva autoridad judicial no
solamente para resolver la controversia, sino incluso para la adopcin de
medidas de proteccin.
Sin embargo, en estos casos, se reitera, en virtud de los principios de
libertad, finalidad, legalidad y confidencialidad, (i) el titular debe dar su
consentimiento expreso, (ii) se requiere orden judicial -cuando sea del
caso, (iii) los datos no podrn ser empleados para propsitos diferentes a
los propios del proceso judicial y (iv) las autoridades judiciales y las
187
Expediente PE-032
partes involucradas en el proceso deben garantizar la reserva y
confidencialidad de los datos sensibles, entre otros requisitos.
2.8.4.5.Exequibilidad del literal e)
Por ltimo, el literal e) excepta de la prohibicin al tratamiento de datos
sensibles que "(. . .) tenga una finalidad histrica, estadstica o
cientfica". Sin embargo, la disposicin exige que en estos casos se
adopten "(. . .) las medidas conducentes a la supresin de la identidad de
los titulares ".
La Sala encuentra que esta excepcin cumple con las exigencias del
principio de proporcionalidad, ya que (i) cumple una finalidad imperiosa,
esta es, el cumplimiento de propsitos de reconstruccin histrica,
estadstica y cientfica, finalidades en las existe adems un inters de
toda la colectividad, toda vez que contribuyen al mejor diseo de
polticas pblicas y funcionamiento del Estado, a la satisfaccin de
derechos fundamentales como la salud y la vida, e incluso el derecho
colectivo a la verdad. Adems, (ii) la disposicin elige un medio
adecuado, toda vez que exige en todo caso la supresin de la identidad
del titular. (iii) De esta forma, la disposicin establece un balance
adecuado entre el derecho al habeas data y los derechos que se satisfacen
con las actividades histricas, estadsticas y cientficas.
En todo caso, la Sala reitera que en estos eventos se deben respetar las
garantas del habeas data -especialmente el principio de finalidad- y el
principio de proporcionalidad.
2.9. EXAMEN DEL ARTCULO 7: DERECHOS DE LOS NIOS EN
MATERIA DE PROTECCIN DE DATOS PERSONALES
"Articulo 7. Derechos de los nios, nias y adolescentes. En
el Tratamiento se asegurar el respeto a los derechos
prevalentes de los nios, nias y adolescentes.
Queda proscrito el Tratamiento de datos personales de nios,
nias y adolescentes, salvo aquellos datos que sean de
naturaleza pblica.
Es tarea del Estado y las entidades educativas de todo tipo
proveer informacin y capacitar a los representantes legalesy
tutores sobre los eventuales riesgos a los que se enfrentan los
nios, nias y adolescentes respecto del Tratamiento indebido
de sus datos personales, y proveer de conocimiento acerca del
188
Expediente PE-032
uso responsable y seguro por parte de nznos, nznas y
adolescentes de sus datos personales, su derecho . a la
privacidad y proteccin de su informacin personal y la de los
dems. El Gobierno Nacional reglamentar la materia, dentro
de los seis (6) meses siguientes a la promulgacin de esta
1ey. "
2.9.2.1. La Defensora del Pueblo solicita la exequibilidad condicionada de
los incisos 1 y 2 del artculo 7, pues asegura que existe una antinomia
entre el inciso 1 y el inciso 2 del artculo 7. El primero parece admitir el
tratamiento de datos de nios, nias y adolescentes, mientras que el
segundo prohbe de plano el tratamiento de datos referidos a las mismas
categoras de sujetos, con excepcin de los datos que sean de "naturaleza
pblica". La interpretacin razonable pareciera ser que el tratamiento al
que se refiere el inciso 1 es el de datos pblicos contemplado en el inciso
2, aunque debe quedar claro que, ms all de esta posibilidad, no es
viable realizar ningn tratamiento que involucre datos privados de los
infantes y adolescentes.
2.9.2.2. La Secretara Jurdica de la Presidencia solicita la exequibilidad
condicionada del inciso segundo del artculo 7 en los siguientes
trminos:
Manifiesta que de la interpretacin del inciso segundo no puede
concluirse que todo tratamiento de la informacin sobre los nios y nias
constituye una situacin que pone en peligro su integridad. Al contrario,
derechos como la salud y la seguridad social, consagrados en el artculo
44 de esta poblacin puede verse afectada por una interpretacin bajo la
cual en ningn caso resulta lcito tratar sus datos.
En este orden de ideas, la interpretacin que mejor consulta los intereses
de los nios, nias y adolescentes y que asegura su indemnidad
formativa, es aquella que en ningn caso ponga en peligro un bien
superior suyo. Por ello, cabe agregar a los datos pblicos, los privados,
cuya revelacin corresponda en las circunstancias concretas a un claro e
inequvoco inters superior del nio, la nia y el adolescente y que su
tratamiento se encuentre en consonancia con este nico fin.
Expres que el inciso segundo es exequible bajo el entendido
anteriormente expuesto, de lo contrario es nexequible por vulnerar el
artculo 15 y 44 Superiores; pues la proteccin de los nios, no puede
llevarse al punto de negar la vigencia efectiva de sus derechos, incluido
el habeas data.
189
Expediente PE-032
2.9.2.3. ASOBANCARIA manifiesta en relacin con el artculo 7, que se
configura una restriccin legal demasiado fuerte al derecho a la libertad
de informacin que, en ltimas, no se traduce en una efectiva
materializacin de la garanta del inters superior del nio. La inquietud
se presenta cuando se trata de informacin no pblica que, dados los
diferentes niveles de interaccin social, pueden reposar en diversas
entidades e instituciones cuyos titulares son nios, nias y adolescentes.
El diseo normativo por el que opt el legislador tampoco distingui
para esta norma, las diferentes tipologas que la jurisprudencia ha
identificado para delimitar las reglas que definen el ncleo fundamental
del derecho al hbeas data respecto del derecho de informacin.
2.9.2.4. La Universidad de los Andes solicita la exequibilidad
condicionada del artculo 7, ya que, en primer lugar, el tratamiento de
los datos personales de nios, nias y adolescentes no queda proscrito
cuando el mismo es autorizado por una ley o para dar cumplimiento a la
misma. En segundo lugar, en los casos que sea permitido por ley el
tratamiento de los datos personales de nios, nias y adolescentes, se
requiere el consentimiento previo, escrito e informado de sus
representantes legales. En tercer lugar, el Estado y las entidades
educativas no slo deben capacitar a los representantes legales y tutores
sino a los nios, nias y adolescentes respecto de los temas mencionados
en el prrafo final del artculo 7 del proyecto.
2.9.2.5. El Procurador expone que la expresin contenida en el inciso
segundo del artculo 7 "naturaleza pblica" debe mantenerse siempre y
cuando se entienda que no pueden afectarse los derechos de los nios,
nias y adolescentes, pues aunque los datos puedan estar autorizados y
expuestos pblicamente, es posible que algunas de sus garantas resulten
afectadas, teniendo en cuenta que pertenecen a una poblacin vulnerable.
Explica lo anterior de la siguiente manera: i) los nios, nias y
adolescentes no tienen capacidad plena para otorgar su consentimiento,
lo que podra superarse con la autorizacin de sus representantes legales
y, ii) esta poblacin vulnerable al tener acceso libre a la Internet podra
publicar de manera irreflexiva sus datos personales.
2.9.3. Exequibilidad condicionada del artculo 7
El artculo 7 del proyecto bajo estudio, establece que (i) en el
tratamiento de la informacin se asegurar el respeto prevalente de los
nios, nias y adolescentes; (ii) queda prohibido el tratamiento de datos
personales de nios, nias y adolescentes, salvo aquellos casos que sean
de naturaleza pblica; y (iii) es tarea del Estado y de todas las
instituciones educativas, en sus diferentes niveles de formacin, proveer
informacin y capacitar a los representantes legales y tutores acerca de
los riesgos que pueden enfrentar los nios, nias y adolescentes ante el
190
Expediente PE-032
tratamiento indebido de sus datos personales. A su vez, seala la
importancia de proveer de conocimiento a los nios, nias y
adolescentes, acerca del uso responsable de sus datos personales, de su
privacidad y la proteccin de su informacin personal y la de los dems.
Finalmente, refiere que (iv) el Gobierno Nacional reglamentar la
materia, dentro de los seis (6) meses siguientes a la promulgacin de esta
ley.
La Corte considera que la disposicin objeto de estudio es de suma
relevancia por referirse al tratamiento de los datos personales de nios,
nias y adolescentes, sujetos de especial proteccin constitucional.
Teniendo en cuenta esta calidad, la Corte abordar los siguientes puntos:
(1) la definicin de nio, nia y adolescente establecida en el Cdigo de
la Infancia y la Adolescencia; (2) el fundamento jurdico del principio
del inters superior de los menores de 18 aos; (3) el derecho
fundamental de los nios, las nias y adolescentes a ser escuchados; y
(4) el examen de constitucionalidad del artculo 7.
2.9.3.1.La definicin de nio, nia y adolescente
Es importante referir brevemente qu se entiende por nmo, nma y
adolescente en el ordenamiento jurdico colombiano. En desarrollo de
este concepto, el Cdigo de la Infancia y la Adolescencia, en su artculo
30, estableci: "( ... ) se entiende por nio o nia las personas entre los O
y 12 aos, y por adolescente las personas entre 12 y 18 aos de edad".
La anterior definicin fue declarada exequible por esta Corporacin.
Adems es consonante con la definicin en sentido amplio que contiene
la Convencin sobre los derechos del nio como "( ... ) todo ser humano
menor de dieciocho aos de edad ( ... )".
2.9.3.2.EI fundamento jurdico del principio del inters superIOr de los
menores de 18 aos
Respecto a la calidad de sujetos de especial proteccin constitucional
que ostentan los nios, las nias y los adolescentes, sta tiene su sustento
en los postulados de la Constitucin y tambin en instrumentos
internacionales de derechos humanos que reconocen el principio del
inters superior del menor de dieciocho aos y que integran el
denominado bloque de constitucionalidad.
Ahora, su calidad de sujetos de especial proteccin deviene del artculo
44 Superior, el cual establece, entre otros aspectos, que la familia, la
sociedad y el Estado tienen la obligacin de asistir y proteger al nio
para garantizar su desarrollo armnico e integral y el ejercicio pleno
de sus derechos. Tambin, precepta que los derechos de los nios
prevalecen sobre los dems. A su vez, la Declaracin Universal de los
191
Expediente PE-032
Derechos del Nio (1959), principio I1, seala que el nio gozar de una
proteccin especial y que a travs de las leyes y otros medios se
dispondr lo necesario para que pueda desarrollarse fsica, mental,
moral, espiritual y socialmente, as como en condiciones de libertad y
dignidad; y tambin contempla que al promulgar leyes con este fin, la
consideracin fundamental a la que se atender ser el inters superior
del nio. Adems de este instrumento, existen otros tratados y convenios
internacionales que consagran el principio del inters superior de los
menores de dieciocho aos, entre los que se encuentran: el Pacto
Internacional de Derechos Civiles y Polticos de 1966 (artculo 24), la
Convencin Americana sobre los Derechos Humanos de 1969 (artculo
19) y la Convencin sobre los derechos del nio de 1989
245

El principio del inters superior del menor de dieciocho aos,
consagrado en distintos convenios de derechos humanos, se encuentra
establecido expresamente en el artculo 8 del Cdigo de la Infancia y
la Adolescencia, as "(... ) Se entiende por inters superior del nio, nia
y adolescente, el imperativo que obliga a todas las personas a garantizar
la satisfaccin integral y simultnea de todos sus Derechos Humanos,
que son universales, prevalentes e interdependientes". Por otra parte, el
artculo 25 de este mismo Cdigo, siguiendo el precepto superior de la
prevalencia de los derechos de los menores de 18 aos sobre los dems,
estableci: "( ... ) En todo acto, decisin o medida administrativa, judicial
o de cualquier naturaleza que deba adoptarse en relacin con los nios,
las nias y los adolescentes, prevalecern los derechos de estos, en
especial si existe conflicto entre sus derechos fundamentales con los de
cualquier otra persona ( . . . )".
En definitiva, la calidad de sujetos de especial proteccin
constitucional de los nios, las nias y adolescentes, deviene del (i)
artculo 44 Superior que establece que sus derechos prevalecen sobre los
derechos de los dems, y del (ii) marco internacional, que consagra el
principio del inters superior de los menores de dieciocho aos.
Acerca de los criterios jurdicos que deben observarse para aplicar en
concreto el principio del inters superior de los nios, las nias y
adolescentes, en la jurisprudencia de esta Corporacin se han establecido
los siguientes:
"En este sentido, en sentencias T-510 de 2003
246
y T-572 de
200g247, la Corte fij reglas constitucionales, legales y
jurisprudenciales aplicables para determinar el inters superior
245 Corte Constitucional, sentencia C-853 del 25 de noviembre de 2009. M.P. Jorge Ivn Palacio Palacio.
,,246 M.P. Manuel Jos Cepeda Espinosa"
,, 247 M.P. Humberto Antonio Sierra Porto"
192
Expediente PE-032
de cada nio, dependiendo de sus circunstancias particulares.
Veamos:
(i) Garanta del desarrollo integral del mno. Se debe, como
regla general, asegurar el desarrollo armnico, integral,
normal y sano de los nios, desde los puntos de vista fisico,
psicolgico, afectivo, intelectual y tico, as como la plena
evolucin de su personalidad. Corresponde a la familia, la
sociedad y el Estado, brindar la proteccin y la asistencia
necesarias para materializar el derecho de los nios a
desarrollarse integralmente, teniendo en cuenta las
condiciones, aptitudes y limitaciones propias de cada nio. El
artculo 7 del Cdigo de la Infancia y la Adolescencia entiende
por proteccin integral "el reconocimiento como sujetos de
derechos, la garanta y cumplimiento de los mismos, la
prevencin de su amenaza o vulneracin y la seguridad de su
restablecimiento inmediato en desarrollo del principio del
inters superior." El mandato constitucional en cuestin, que
debe materializarse teniendo en cuenta las condiciones,
aptitudes y limitaciones propias de cada nio, se encuentra
reflejado en los artculos 6-2 y 27-1 de la Convencin sobre los
Derechos del Nio
248
y en el Principio 2 de la Declaracin
sobre los Derechos del Nio.
(ii) Garanta de las condiciones para el pleno ejercicio de los
derechos fundamentales del nio. Los derechos de los nios
deben interpretarse de conformidad con las disposiciones de los
tratados e instrumentos de derecho internacional pblico que
vinculan a Colombia. El artculo 6 del Cdigo de la Infancia y
la Adolescencia contiene un mandato contundente en este
sentido: "Las normas contenidas en la Constitucin Poltica y
en los tratados y convenios internacionales de Derechos
Humanos ratificados por Colombia, en especial la Convencin
sobre los Derechos del Nio, harn parte integral de este
Cdigo, y servirn de gua para su interpretacin y aplicacin.
En todo caso, se aplicar siempre la norma ms favorable al
inters superior del nio, nia o adolescente. "
(iii) Proteccin del nio frente a riesgos prohibidos. Se debe
resguardar a los nios de todo tipo de abusos y arbitrariedades,
y protegerlos frente a condiciones extremas que amenacen su
,,248 Artculo 6: "( . .) 2. Los Estados Partes garantizarn en la mxima medida posible la supervivencia y el
desarrollo del nio ".
Articulo 27: ' l. Los Estados Partes reconocen el derecho de todo nio a un nivel de vida adecuado para su
desarrollo flsico, mental, espiritual, moral y social. 2. A los padres u otras personas responsables por el nio
les incumbe la responsabilidad primordial de proporcionar, den/ro de sus posibilidades y medios econmicos,
las condiciones de vida que sean necesarias para el desarrollo del nio ( . .).' H
.193
Expediente PE-032
desarrollo armnico, tales como el alcoholismo, la
drogadiccin, la prostitucin, la violencia fisica o moral, la
explotacin econmica o laboral, y en general, el irrespeto por
la dignidad humana en todas sus formas. No en vano el artculo
44 de la Carta seala que los nios "sern protegidos contra
toda forma de abandono, violencia fisica o moral, secuestro,
venta, abuso sexual, explotacin laboral o econmica y
trabajos riesgosos. " Por su parte, el artculo 20 del Cdigo de
la Infancia y la Adolescencia establece el conjunto de riesgos
graves para los nios que deben ser evitados (. . .)
En todo caso, se debe precisar que esta enunciacin no agota
todas las distintas situaciones que pueden constituir amenazas
para el bienestar de cada nio en particular, las cuales
debern determinarse atendiendo a las circunstancias del caso
concreto.
(iv) Equilibrio entre los derechos de los nios y los derechos de
sus padres, sobre la base de que prevalecen los derechos del
nio. Es necesario preservar un equilibrio entre los derechos
del nio y los de los padres, pero cuando quiera que dicho
equilibrio se altere, y se presente un conflicto que no pueda
resolverse mediante la armonizacin en el caso concreto, la
solucin deber ser la que mejor satisfaga el inters superior
del nio. En este contexto, los derechos e intereses de los
padres solo podrn ser antepuestos a los del nio cuando ello
satisfaga su inters prevalente. La forma en que se deben
armonizar los derechos y resolver los conflictos entre los
intereses de los padres y los intereses del nio, no se puede
establecer en abstracto, sino en funcin de las circunstancias
de cada caso particular y sin que pueda, en ningn caso, poner
en riesgo la vida, salud, estabilidad o desarrollo integral del
nio, ni generar riesgos prohibidos para su desarrollo, so pena
de que el Estado intervenga para resguardar los intereses
prevalecientes del nio en riesgo. "El sentido mismo del verbo
'prevalecer ,249 implica, necesariamente, el establecimiento de
una relacin entre dos o ms intereses contrapuestos en casos
concretos, entre los cuales uno (el del menor) tiene prioridad en
caso de no encontrarse una forma de armonizacin". Por lo
tanto, en situaciones que se haya de determinar cul es la
opcin ms favorable para un menor en particular, se deben
necesariamente tener en cuenta los derechos e intereses de las
personas vinculadas con tal menor, en especial los de sus
padres, biolgicos o de crianza,' "slo as se logra satisfacer
,, 249 De conformidad con el Diccionario de la Real Academia de la Lengua Espaola, "prevalecer" significa, en
su primera acepcin, "sobresalir una persona o cosa; tener alguna superioridad o ventaja entre otras ".
Expediente PE-032
194
plenamente el mandato de prioridad de los intereses de los
nios, ya que stos son titulares del derecho fundamental a
formar parte de una familia, por lo cual su situacin no debe
ser estudiada en forma aislada, sino en el contexto real de sus
relaciones con padres, acudientes y dems familiares e
interesados. Esta es la regla que establece el artculo 3-2 de la
Convencin sobre Derechos del Nio, segn el cual 'los
Estados se comprometen a asegurar al nio la proteccin y el
cuidado que sean necesarios para su bienestar, teniendo en
cuenta los derechos y deberes de sus padres, tutores u otras
'l 1 1 ,250 ,,251
personas responsa bles de e ante a ey .
(v) Provisin de un ambiente familiar apto para el desarrollo
del nio. El desarrollo integral y armnico de los nios (art. 44
CP), exige una familia en la que los padres o acudientes
cumplan con los deberes derivados de su posicin, y le
permitan desenvolverse adecuadamente en un ambiente de
cario, comprensin y proteccin. Al respecto el arto 22 del
Cdigo de la Infancia y la Adolescencia prev que "los nios,
las nias y los adolescentes tienen derecho a tener y crecer en
el seno de una familia, a ser acogidos yana ser expulsados de
ella. "
(vi) Necesidad de razones poderosas que justifiquen la
intervencin del Estado en las relaciones paterno/materno
filiales. El solo hecho de que el nio pueda estar en mejores
condiciones econmicas no justifica de por s una intervencin
del Estado en la relacin con sus padres; deben existir motivos
adicionales poderosos, que hagan temer por su bienestar y
desarrollo, y justifiquen las medidas de proteccin que tengan
como efecto separarle de su familia biolgica. "Lo contrario
equivaldra a efectuar una discriminacin irrazonable entre
nios ricos y nios pobres, en cuanto a la garanta de su
derecho a tener una familia yana ser separados de ella - un
trato frontalmente violatorio de los artculos 13 y 44 de la
Carta. " Asimismo, lo dispone el artculo 22 del Cdigo de la
Infancia y la Adolescencia ,,252 (Negrilla fuera de texto)
En definitiva, (i) el principio del inters superior de los nios, las nias y
adolescentes se realiza en el estudio de cada caso en particular y tiene
250 "En igual sentido, el artculo 5 de la Convencin sobre Derechos del Nio dispone que "los estados partes
respetarn las responsabilidades, los derechos y los deberes de los padres o, en su caso, de los miembros de la
jamilia ampliada o de la comunidad, segn establezca la costumbre local, de los tutores u otras personas
encargadas legalmente del nio, de impartirle, en consonancia con la evolucin de sus jacultades, direccin y
orientacin apropiadas para que el nio ejerza los derechos reconocidos en la presente convencin ".
251 "Sentencia T-510 de 2003, MP. Manuel Jos Cepeda Espinosa)"
252 Cfr. Sentencia T-502 de 2011. M.P. Jorge Ignacio Pretelt Chaljub.
195
Expediente PE-032
por fin asegurar su desarrollo integral; (ii) este principiO, adems,
persigue la realizacin efectiva de los derechos fundamentales de los
menores de 18 aos y tambin resguardarlos de los riesgos prohibidos
que amenacen su desarrollo armnico. Estos riesgos no se agotan en los
que enuncia la ley sino que tambin deben analizarse en el estudio de
cada caso particular; (iii) debe propenderse por encontrar un equilibrio
entre los derechos de los padres o sus representantes legales y los de los
nmos, las nias y adolescentes. Sin embargo, cuando dicha
armonizacin no sea posible, debern prevalecer las garantas superiores
de los menores de 18 aos. En otras palabras, siempre que prevalezcan
los derechos de los padres, es porque se ha entendido que sta es la
mejor manera de darle aplicacin al principio del inters superior de los
nios, las nias y adolescentes.
La calidad de sujetos de especial proteccin constitucional de los
menores de dieciocho aos tiene su fundamento en la situacin de
vulnerabilidad e indefensin en la que se encuentran, pues su
desarrollo fsico, mental y emocional est en proceso de alcanzar la
madurez requerida para la toma de decisiones y participacin autnoma
dentro de la sociedad. El grado de vulnerabilidad e indefensin tiene
diferentes grados y se da partir de todos los procesos de interaccin que
los menores de 18 aos deben realizar con su entorno fsico y social para
el desarrollo de su personalidad.
253
Por lo anterior, el Estado, la sociedad
y la familia deben brindar una proteccin especial en todos los mbitos
de la vida de ios nios, nias y adolescentes, en aras de garantizar su
desarrollo armnico e integra1.
254
Adicional a lo expuesto, la proteccin constitucional reforzada de la cual
son titulares los nios, las nias y adolescentes tiene su sustento en (i) el
respeto de su dignidad humana, y (ii) la importancia de construir un
futuro promisorio para la comunidad mediante la efectividad de todos
sus derechos fundamentales?55
En este orden de ideas, esta Sala encuentra que en el caso concreto del
tratamiento de los datos de los nios, nias y adolescentes, existe un
riesgo prohibido que esta poblacin en situacin de vulnerabilidad est
expuesta a sufrir, principalmente por la desbordante evolucin de los
medios informticos, entre los que se encuentran la Internet y las redes
sociales. Si bien, el acceso a los distintos sistemas de comunicacin, les
permite disfrutar de todos sus beneficios y ventajas, tambin su mal uso
puede generar un conflicto en el ejercicio y efectividad de sus derechos
fundamentales al buen nombre, al honor, a la intimidad, entre otros. El
anterior planteamiento fue abordado en el Memorando sobre la
253 Ver sentencia C-318 de 2003. M.P. Jaime Arajo Rentera.
254 Ver sentencia T-466 de 2006. M.P. Manuel Jos Cepeda Espinosa.
255 Ver sentencia C-318 de 2003. M.P. Jaime Arajo Rentera.
Expediente PE-032
196
proteccin de datos personales y la vida privada en las redes sociales
en Internet, en particular de nios, nias y adolescentes, adoptado
en Montevideo el 28 de julio de 2009.
256
Si bien, este documento no
integra el denominado bloque de constitucionalidad y por tanto sus
recomendaciones no son vinculantes para el Estado colombiano,
constituye un documento valioso en tomo al tema de la proteccin de
datos personales de los nios, las nias y adolescentes?57
2.9.3.3.EI derecho fundamental de los nios, las nias y adolescentes a ser
escuchados
El principio del inters superior de los menores de 18 aos se encuentra
ntimamente relacionado con su derecho a ser escuchados. El artculo
12 de la Convencin sobre los derechos del Nio lo define en los
siguientes trminos:
"l. Los Estados Partes garantizarn al nzno que est en
condiciones de formarse un juicio propio el derecho de
256 El Memorando de Montevideo acoge una serie de recomendaciones que son el resultado del Seminario de
trabajo "Derechos, Adolescentes y Redes Sociales en Internet" que se llev a cabo en Montevideo los das 27 y
28 de julio de 2009, con la participacin de varios acadmicos y expertos de muchos pases latinoamericanos,
Canad y Espaa. http://www.iijusticia.orglMemo.htm
257 En este Memorando se busca equilibrar el ejercicio del derecho al acceso a la informacin y el
conocimiento, y tambin mitigar los riesgos que su mal uso puede entraar para el ejercicio de otros derechos
fundamentales de los menores de 18 aos, pues podran ser vctimas de discriminacin, explotacin sexual,
pornografa, entre otros, impactando negativamente su desarrollo armnico e integral.
Ahondando en el contenido del Memorndum de Montevideo, se encuentra que presenta una serie de
recomendaciones con el fin de que todos los actores involucrados en la proteccin de datos personales de los
nios, nias y adolescentes, (i) puedan extender los aspectos positivos de la Sociedad de la Informacin y
Conocimiento, incluyendo la Internet y las redes sociales digitales, (ii) adviertan las prcticas perjudiciales que
sern muy difciles de revertir, y (iii) prevengan los impactos negativos que estas prcticas conllevan.
De otro lado, especifica que los actores involucrados en la proteccin y tratamiento de datos personales, son:
en primer lugar, el Estado, las Entidades Educativas, los progenitores u otras personas que se
encuentren a cargo de su cuidado y los educadores. En particular, el Estado y las instituciones educativas
deben concientizar a los padres y a las personas responsables, acerca de los riesgos que los nifios, las nias y
adolescentes enfrentan en los ambientes digitales. En general, se debe transmitir a los menores de 18 aos que
la Internet no es un espacio sin normas, impune o sin responsabilidades, y que toda accin tiene sus
consecuencias. En efecto, establece una serie de pautas para educar a los nifios, las nias y adolescentes en el
uso responsable y seguro de la Internet y las redes sociales digitales, ya que podran verse afectados sus
derechos y los de terceros. (Numerales 1 al 5 del ac pite denominado: "Recomendaciones para los estados
y entidades educativas para la prevencin y educacin de nifias, nios y adolescentes").
En segundo lugar, acerca de la funcin que desarrolla el legislador en cada pas, el Memorndum establece
que la creacin, reforma o armonizacin normativa debe realizarse tomando como consideracin primordial el
inters superior de los nios, las nias y adolescentes que contenga como mnimo los derechos y principios
bsicos reconocidos internacionalmente y los mecanismos para la efectiva proteccin de sus datos personales
(numerales 6 al 9 del captulo "Recomendaciones para los Estados sobre el Marco Legal")
En tercer lugar, resalta que los sistemas judiciales tienen un rol muy relevante en el aseguramiento de un
buen uso de la Internet y las redes sociales digitales. Seala que las sanciones civiles y penales deben aplicarse
no slo para rectificar los derechos vulnerados sino tambin para enviar a los ciudadanos y a las empresas
reglas claras sobre la interpretacin de las leyes y de los principios fundamentales (numerales 10 al 13 del
aparte "Recomendaciones para la aplicacin de las leyes por parte de los Estados")
En cuarto lugar, el Memorndum de Montevideo, establece que las empresas que proveen los servicios de
acceso a la Internet, desarrollan las aplicaciones o las redes sociales digitales, deben comprometerse de manera
decidida en materia de proteccin de datos personales y la vida privada, particularmente de los nios, las nias
y los adolescentes. Para el efecto contempla una serie de recomendaciones (numerales 19 al 30 del captulo
"Recomendaciones para la Industria").
Expediente PE-032
197
expresar su opinin libremente en todos los asuntos que afectan
al nio, tenindose debidamente en cuenta las opiniones del
nio, en funcin de la edad y madurez del nio.
2. Con tal fin, se dar en particular al nio oportunidad de ser
escuchado, en todo procedimiento judicial o administrativo que
afecte al nio, ya sea directamente o por medio de un
representante o de un rgano apropiado, en consonancia con
las normas de procedimiento de la ley nacional".
El Comit de los Derechos del Nio "El Comit", a travs de la
Observacin General nmero 12 acerca del derecho de los nios, las
nias y adolescentes a ser escuchados, realiz el siguiente anlisis: (i)
esta garanta los reconoce como plenos sujetos de derechos,
independientemente de que carezcan de la autonoma de los adultos; (ii)
este derecho debe ser tenido en cuenta para la interpretacin del resto de
sus garantas. (iii) Respecto al precepto de que los nios, nias y
adolescentes deben ser escuchados en funcin de su edad y madurez, el
Comit precis: 1- Ante todo el ejercicio del derecho a emitir su opinin
es una opcin no una obligacin de los menores de 18 aos. 2- los
Estados partes deben partir del supuesto de que el nio, nia o
adolescente tiene capacidad para formarse su propio juicio respecto de
los asuntos que afectan su vida y reconocerles el derecho a expresarse.
Es decir, no les corresponde demostrar previamente que tienen esa
capacidad. Es el Estado quien deber, en concreto, evaluar su capacidad
para formarse una opinin autnoma. 3- No existe un lmite de edad
para que los menores de 18 aos manifiesten su libre opinin en todos
los asuntos que los afectan, an ms, el Comit desaconseja que los
Estados fijen una edad para restringir su derecho a ser escuchados.
258
4
La disposicin que se analiza no evidencia que la edad en s misma
determine la trascendencia de la opinin que emiten los menores de 18
aos, pues en muchos casos su nivel de comprensin de todo cuanto lo
rodea no est ligado a su edad biolgica. "Se ha demostrado en estudios
que la informacin, la experiencia, el entorno, las expectativas sociales y
culturales y el nivel de apoyo contribuyen al desarrollo de la capacidad
del nio para formarse una opinin. Por ese motivo, las opiniones del
nio tienen que evaluarse mediante un examen caso por caso". 5
Respecto a la madurez, va ligada con el nivel de comprensin de un
258 En primer lugar (.. .) a raz del da de debate general sobre la realizacin de los derechos del nio en la
primera infancia celebrado en 2004, el Comit subray que (. . .) Hay estudios que demuestran que el nio es
capaz de formarse opiniones desde muy temprana edad, incluso cuando todava no puede expresarlas
verbalmente. Por consiguiente, la plena aplicacin del artculo 12 exige el reconocimiento y respeto de las
formas no verbales de comunicacin, como el juego, la expresin corporal y facial y el dibujo y la pintura,
mediante las cuales los nios muy pequeos demuestran capacidad de comprender, elegir y tener preferencias.
En segundo lugar, el nio no debe tener necesariamente un conocimiento exhaustivo de todos los aspectos del
asunto que lo afecta, sino una comprensin suficiente para ser capaz de formarse adecuadamente un juicio
propio sobre el asunto. En tercer lugar, los Estados Partes tambin tienen la obligacin de garantizar la
observancia de este derecho para los nios que experimenten dificultades para hacer or su opinin. Por
ejemplo, los nios con discapacidades (. . .) minoras (. . .) indgenas (. . .) migrantes y otros (. .. ) en la
Observacin General nmero 12 de 2009 del Comit de los derechos del nio.
198
Expediente PE-032
asunto y la evaluacin de sus consecuencias, podra definirse como "la
capacidad de un nio para expresar sus opiniones sobre las cuestiones de
forma razonable e independiente ( ... ) cuanto mayores sean los efectos
del resultado en la vida del nio, ms importante ser la correcta
evaluacin de la madurez de ese nio". (iv) La opinin del nio, la nia
o adolescente debe escucharse en todos los asuntos que los afecten
cuando son capaces de expresar sus propias opiniones frente al mismo.
Por otra parte, en concordancia con el numeral 2 del artculo 12 de la
Convencin, el Cdigo de la Infancia y la Adolescencia de nuestro pas
en su artculo 26, reconoce el derecho al debido proceso en los
siguientes trminos: "En toda actuacin administrativa, judicial o de
cualquier otra naturaleza en que estn involucrados los nios, las nias y
los adolescentes, tendrn derecho a ser escuchados y sus opmIOnes
debern ser tenidas en cuenta". (Subraya fuera de texto)
Frente al contenido de esta garanta fundamental, en particular, el
establecido en el numeral 2 del artculo 12 de la Convencin, el Comit
recomienda que en lo posible se brinde al nio la oportunidad de ser
escuchado en todo procedimiento. Es decir, si un menor de 18 aos
demuestra capacidad para emitir una opinin con conocimiento de causa
sobre su tratamiento, los Estados debern tomar debidamente esta
opinin.
2.9.3.4.EI examen de constitucionalidad del artculo 7
A la luz de lo expuesto precedentemente, esta Corporacin considera que
el principio del inters superior de los nios, las nias y adolescentes se
concreta, en el caso particular, en el establecimiento de condiciones
que permitan garantizar los derechos de los menores de 18 aos en
la sociedad de la Informacin y el Conocimiento, dentro de la cual se
encuentran las herramientas de Internet y redes sociales.
Se concluye entonces, ante la evidencia del entorno inmediato que rodea
el proceso de crecimiento y desarrollo de los nios, las nias y los
adolescentes en el aspecto fisico, mental y emocional; y la urgencia del
reconocimiento de su dignidad humana, que todos los actores
involucrados en el aseguramiento y efectividad de los derechos de los
menores de 18 aos deben cumplir con sus responsabilidades en la
proteccin de los mismos, concretamente, en la salvarguarda de sus
datos personales.
Para iniciar, los intervinientes evidencian una posible contradiccin entre
el contenido del inciso primero y el inciso segundo del artculo 7 del
proyecto porque el inciso primero establece que en el tratamiento de los
datos de los nios, las nias y adolescentes se debe asegurar la
199
Expediente PE-032
prevalencia de sus derechos, y el inciso segundo indica que se proscribe
el tratamiento de los datos personales de los menores de 18 aos, salvo
aquellos que sean de naturaleza pblica. Al respecto, sostienen que una
restriccin absoluta del tratamiento de los datos personales y de
cualquier ndole se tomara excesiva, y que en todo caso se debe
autorizar dicho tratamiento pero atendiendo al principio del inters
superior del menor de 18 aos y la prevalencia de sus derechos.
Esta Sala observa que la interpretacin del inciso segundo, no debe
entenderse en el sentido de que existe una prohibicin casi absoluta del
tratamiento de los datos de los menores de 18 aos, exceptuando los de
naturaleza pblica, pues ello, dara lugar a la negacin de otros derechos
superiores de esta poblacin como el de la seguridad social en salud,
interpretacin sta que no se encuentra conforme con la Constitucin. De
lo que se trata entonces, es de reconocer y asegurar la plena vigencia de
todos los derechos fundamentales de esta poblacin, incluido el habeas
data.
En este mismo sentido, debe interpretarse la expreslOn "naturaleza
pblica". Es decir, el tratamiento de los datos personales de los menores
de 18 aos, al margen de su naturaleza, pueden ser objeto de tratamiento
siempre y cuando el fin que se persiga con dicho tratamiento responda al
inters superior de los nios, las nias y adolescentes y se asegure sin
excepcin alguna el respeto de sus derechos prevalentes.
Sumado a la efectividad del inters superior de esta poblacin, tambin
es importante que se les asegure su derecho a ser escuchados en todos
los asuntos que los afecten; y el tratamiento de sus datos, sin duda
alguna, es un asunto que les concierne directamente.
En definitiva, siguiendo las recomendaciones que emiti el Comit
acerca de esta importante garanta, la Corte considera relevante que la
opinin del menor de 18 aos sea siempre tenida en cuenta, pues la
madurez con que expresen sus juicios acerca de los hechos que los
afectan debe analizarse caso por caso. La madurez y la autonoma no se
encuentran asociadas a la edad, ms bien estn relacionadas con el
entorno familiar, social, cultural en el cual han crecido. En este contexto,
la opinin del nio, nia, y adolescente siempre debe tenerse en cuenta, y
el elemento subjetivo de la norma "madurez" deber analizarse en
concreto, es decir, la capacidad que ellos tengan de entender lo que est
sucediendo (el asunto que les concierne) y derivar sus posibles
consecuenCIas.
En definitiva, el inciso segundo del artculo objeto de estudio es
exequible, si se interpreta que los datos de los nios, las nias y
adolescentes pueden ser objeto de tratamiento siempre y cuando no se
200
Expediente PE-032
ponga en riesgo la prevalencia de sus derechos fundamentales e
inequvocamente responda a la realizacin del principio de su inters
superior, cuya aplicacin especfica devendr del anlisis de cada caso
en particular.
En cuanto al inciso 3 del artculo 7 del proyecto debe tambin
resaltarse que no slo el Estado y las entidades educativas deben
desarrollar acciones para evitar el uso inadecuado de los datos personales
de los menores de 18 aos sino que tambin son responsables en el
aseguramiento de dicha garanta (i) los progenitores u otras personas
que se encuentren a cargo de su cuidado y los educadores; (ii) el
legislador, quien debe asegurarse que en cumplimiento de sus funciones
legislativas, especficamente, en lo referente al tratamiento de los datos
personales de los menores de 18 aos, dicha nonnativa no deje de
contener las medidas adecuadas de proteccin para garantizar su
desarrollo annnico e integral, y la efectividad de sus derechos
fundamentales contenidos en la Constitucin Poltica y en los estndares
internacionales que existen sobre la materia; (iii) el sistema judicial;
especficamente los servidores pblicos deben proteger los derechos
derivados del uso de los datos personales de los menores de 18 aos
observando los estndares internacionales o documentos especializados
sobre la materia; (iv) los medios de comunicacin; (v) las empresas
que proveen los servicios de acceso a la Internet, desarrollan las
aplicaciones o las redes sociales digitales, a quienes se advierte que
deben comprometerse en la defensa de los derechos fundamentales de
los nios, nias y adolescentes.
En definitiva, existe una corresponsabilidad de todos los actores
frente al manejo y tratamiento de la infonnacin de los nios, nias y
adolescentes.
Respecto al contenido del inciso 3 del artculo 7 que establece: "El
Gobierno Nacional reglamentar la materia, dentro de los seis (6) meses
siguientes a la promulgacin de esta ley", esta Corporacin encuentra
que existen dos interpretaciones posibles sobre el alcance de la expresin
"materia" .
La primera, es aquella que tiene que ver con la reglamentacin de la
materia por parte del Gobierno Nacional, en el sentido de que el
Gobierno podr regular lo concerniente al tratamiento de los datos
personales de los nios, las nias y adolescentes. Teniendo en cuenta que
esta regulacin tiene reserva de ley, tal y como se expone en el estudio
del artculo 27 de este proyecto, esta interpretacin es contraria a la
Constitucin. Por tanto, el contenido del inciso 3 al que se hace
referencia bajo este entendido sera inexequible.
Expediente PE-032
201
No obstante, en aplicacin del principio de conservacin del derech0
259
,
la Corte encuentra que existe una segunda interpretacin sobre el
alcance de la expresin en cuestin, en el sentido de que la potestad
reglamentaria que el legislador le entrega al Gobierno Nacional para que
regule la materia, se encuentra relacionada con (i) todas las acciones que
debe desplegar para proveer informacin y formar a los representantes
legales y tutores sobre los riesgos que afrontan los nios, nias y
adolescentes al realizar un uso indebido de sus datos personales y (ii)
proveer de conocimiento a los nios, las nias y las adolescentes sobre la
importancia de darle un uso responsable al manejo de su informacin
personal, el respeto por su derecho a la privacidad y la proteccin que
deben otorgarle a sus datos personales y los de los dems.
260
En este orden de ideas, la constitucionalidad del contenido del inciso 3
del artculo 7, que establece: "El Gobierno Nacional reglamentar la
materia, dentro de los seis (6) meses siguientes a la promulgacin de esta
kY", debe ser entendida a que dicha regulacin se circunscriba al
desarrollo del contenido del inciso 3 del artculo en mencin, tal y como
quedo arriba expuesto.
De igual manera debe entenderse que la expresin "( ..) dentro de los
seis (6) meses siguientes a la promulgacin de esta ley ", no debe
entenderse como un trmino de caducidad de facultad reglamentaria,
pues al contrario, la jurisprudencia constitucional ha sealado que no es
posible establecer limitaciones a la misma, la cual se ejerce en forma
permanente y en virtud de expreso mandato constitucional.
En efecto, ha dicho la Corte que la potestad reglamentaria tiene
fundamento en lo previsto por el artculo 189-11 C.P., e implica que
Ejecutivo est revestido de la facultad para expedir decretos,
resoluciones y rdenes necesarios para la cumplida ejecucin de las
leyes. La potestad reglamentaria, en consecuencia, tiene naturaleza
"ordinaria, derivada, limitada y permanente". Es ordinaria en razn a
que es una funcin de la Rama Ejecutiva, sin que para su ejercicio
requiera de habilitacin distinta de la norma constitucional que la
confiere. Tiene carcter derivado, puesto que requiere de la preexistencia
de material legislativo para su ejercicio. Del mismo modo es limitada
porque "encuentra su lmite y radio de accin en la constitucin y en la
259 En aplicacin del principio de conservacin del derecho, la sentencia C-078 de 2007, seal: "La Corte ha
entendido que en virtud del principio de conservacin del derecho, la declaratoria de inexequibilidad simple
slo puede prosperar cuando la expresin legislativa es absolutamente incompatible con la Carta y no existe
ninguna interpretacin de la misma que pueda ajustarse a la Constitucin. Adicionalmente, como se ver
adelante, la Corte ha encontrado que para efectos de adoptar la correspondiente decisin es fimdamental
ponderar el efecto de la declaratoria de inexequibilidad sobre los derechos de sujetos de especial proteccin a
fin de modular el sentido del fallo para no desproteger bienes constitucionalmente protegidos".
260 Se subraya la importancia de que el Estado adelante una campaa seria para concientizar a los nios, las
nias y adolescentes, acerca de la importancia del buen uso que le deben dar a sus datos personales.
202
Expediente PE-032
ley; es por ello que no puede alterar o modificar el contenido y el
espritu de la ley, ni puede dirigirse a reglamentar leyes que no ejecuta
la administracin, as como tampoco puede reglamentar materias cuyo
contenido est reservado al legislador". Por ltimo, "la potestad
reglamentaria es permanente, habida cuenta que el Gobierno puede
hacer uso de la misma tantas veces como lo considere oportuno para la
cumplida ejecucin de la ley de que se trate y hasta tanto sta conserve
su vigencia. "
2.10. EXAMEN DEL ARTCULO 8: DERECHOS DE LOS TITULARES
"Artculo 8. Derechos de los titulares. El Titular de los datos
personales tendr los siguientes derechos:
a) Conocer, actualizar y rectificar sus datos personales frente
a los Responsables del Tratamiento o Encargados del
Tratamiento. Este derecho se podr ejercer, entre otros frente
a datos parciales, inexactos, incompletos, fraccionados, que
expresamente prohibido o no haya sido autorizado.
b) Solicitar prueba de la autorizacin otorgada al
Responsable del Tratamiento salvo cuando expresamente se
excepte como requisito para el Tratamiento, de conformidad
con lo previsto en el artculo 10 de la presente ley.
c) Ser informado por el Responsable del Tratamiento o el
Encargado del Tratamiento, previa solicitud, respecto del uso
que le ha dado a sus datos personales.
d) Presentar ante la Superintendencia de Industria y Comercio
quejas por infracciones a lo dispuesto en la presente ley y las
dems normas que la modifiquen, adicionen o complementen.
e) Revocar la autorizacin y/o solicitar la supresin del dato
cuando en el Tratamiento no se respeten los principios,
derechos y garantas constitucionales y legales. La
revocatoria y/o supreSlon slo proceder cuando la
Constitucin.
203
Expediente PE-032
j) Acceder en forma gratuita a sus datos personales que hayan
sido objeto de Tratamiento.
2.10.2.1. La Universidad de los Andes solicita declarar exequibles los
literales a), b) y c) del artculo 8 del proyecto, pero bajo el entendido
de que en virtud del artculo 15 de la Constitucin, el titular de los datos
personales tambin puede ejercer los derechos previstos en dichos
literales frente a los usuarios de sus datos personales.
Sobre el punto, advierte que de no entenderse que el proyecto de ley
tambin involucra a los usuarios, se estara generando una situacin de
desigualdad violatoria del artculo 13 de la Constitucin entre los
titulares de los datos personales, comerciales y financieros regidos por la
Ley Estatutaria 1266 de 2008 y los titulares de los otros tipos de datos
personales que se regirn por la nueva ley.
En efecto, dice, a los primeros s se les confieren derechos frente a los
usuarios mientras que a los segundos no. En este orden de ideas,
argument, no existe razn jurdica para dar mayor relevancia e
importancia al dato comercial y financiero frente a otra clase de dato
personal como los datos sobre la salud, la familia, el trabajo, el
patrimonio, los datos sensibles, etc.
Reitera que para que el tratamiento sea consistente con las exigencias
mnimas de la Constitucin es necesario que los usuarios cumplan una
serie de obligaciones de manera que su accin u omisin no
comprometa, vulnere, lesione o ponga en riesgo los derechos y libertades
de los titulares de los datos personales. Por esta razn, es necesario que
la Corte precise que los derechos de los titulares previstos en los literales
a), b), y c) del artculo 8 del proyecto tambin pueden ejercerse ante los
usuarios de los datos personales.
Tambin solicita declarar exequible el literal f) del artculo 8 del
proyecto, bajo el entendido que la gratuidad total tambin aplica al
ejercicio del habeas data sobre los datos comerciales y financieros de que
trata la Ley 1266 de 2008.
Aduce que el pargrafo del articulo 10 de la Ley Estatutaria 1266 de
2008 consagra una gratuidad limitada a una vez por mes calendario, es
decir, a partir de la segunda consulta mensual el titular del dato debe
pagar por ejercer el derecho fundamental al habeas data, respecto de sus
datos personales.
204
Expediente PE-032
Teniendo en cuenta lo anterior, afirma, la gratuidad total para el ejercicio
del derecho de habeas data debe imponerse respecto de cualquier tipo de
dato personal, incluso el comercial y financiero de que trata la Ley 1266
de 2008. De no entenderse que la gratuidad del literal f) del artculo 8 del
proyecto se hace extensivo al ejercicio del habeas data del dato
comercial y financiero se consolidar una situacin real de desigualdad
violatoria del artculo 13 de la Constitucin entre los titulares de los
datos personales, comerciales y financieros regidos por la Ley 1266 de
2008 y los titulares de los otros tipos de datos personales que se regirn
por la nueva ley.
Por lo anterior, por razones de igualdad y con miras a evitar situaciones
abusivas contra el titular del dato personal, es imperativo aclarar que la
gratuidad total que consagra el literal f) del artculo 8 del proyecto
tambin se aplica cuando se trate del dato comercial y financiero
regulado por la Ley 1266 de 2008.
2.10.2.2. El Ministerio Pblico no se pronunci al respecto.
2.10.3. Introduccin
El Consejo Permanente de la OEA, en el Proyecto de Principios y
Recomendaciones Preliminares sobre la Proteccin de Datos Personales
del 19 de noviembre de 2010, seal que los Estados deberan, como
mnimo, garantizar a los titulares del dato lo siguientes: (ii) a solicitar y
obtener del controlador de datos informacin sobre sus datos personales,
(ii) saber cmo y por qu se procesa el dato personal. Esto ltimo
incluye informacin sobre la fuente de los datos personales, el propsito
del procesamiento y para quin se efecta, lo cual puede incluir la
categora de receptores a los que se divulgarn los datos personales, (iii)
a menos que los datos personales sean enmendados y/o suprimidos como
rutina, el controlador de datos debe revelar los datos personales en su
poder a la fecha de la solicitud. Sin embargo, si los datos personales son
enmendados y/o suprimidos regularmente, el controlador de datos puede,
en su defecto, revelar los datos personales que estn en su poder en el
momento de responder a la solicitud, (iv) cmo y cundo deben
divulgarse los datos personales, (v) la informacin que debe ser
suministrada a la persona debe ser clara y fcilmente comprensible, (vi)
la persona tiene derecho a solicitar que el controlador de datos corrija o
suprima los datos personales que puedan ser incompletos, inexactos,
innecesarios o excesivos. Si los datos personales han sido divulgados a
terceros, el controlador de datos debe tambin notificar a estos del
cambio, si los conoce y (vii) el derecho a la revocatoria del dato, o el
derecho a objetar el procesamiento de los datos personales, alegando una
razn persona y legtima y no podr objetarlos si son necesarios para el
cumplimiento de un deber impuesto al controlador de datos por la
205
Expediente PE-032
legislacin nacional o para la ejecucin de una obligacin contractual
entre la persona y el controlador de datos, o si la persona expres su
consentimiento.
Por su parte, la Directiva 95/46/CE del Parlamento Europeo seala
como derechos de los Titulares del Dato:
Los Estados miembros garantizarn a todos los interesados el
derecho de obtener del responsable del tratamiento:
a) libremente, sin restricciones y con una periodicidad
razonable y sin retrasos ni gastos excesivos:
- la confirmacin de la existencia o inexistencia del tratamiento
de datos que le conciernen, as como informacin por lo menos
de los fines de dichos tratamientos, las categoras de datos a
que se refieran y los destinatarios o las categoras de
destinatarios a quienes se comuniquen dichos datos;
- la comunicacin, en forma inteligible, de los datos objeto de
los tratamientos, as como toda la informacin disponible sobre
el origen de los datos;
- el conocimiento de la lgica utilizada en los tratamientos
automatizados de los datos referidos al interesado, al menos en
los casos de las decisiones automatizadas a que se refiere el
apartado 1 del artculo 15;
b) en su caso, la rectificacin, la supresin o el bloqueo de los
datos cuyo tratamiento no se ajuste a las disposiciones de la
presente Directiva, en particular a causa del carcter
incompleto o inexacto de los datos;
c) la notificacin a los terceros a quienes se hayan comunicado
los datos de toda rectificacin, supresin o bloqueo efectuado
de conformidad con la letra by, si no resulta imposible o
supone un esfuerzo desproporcionado.
Los Estados miembros reconocern al interesado el derecho a:
a) oponerse, al menos en los casos contemplados en las letras
e) y f) del artculo 7, en cualquier momento y por razones
legtimas propias de su situacin particular, a que los datos
que le conciernan sean objeto de tratamiento, salvo cuando la
legislacin nacional disponga otra cosa. En caso de oposicin
justificada, el tratamiento que efecte el responsable no podr
referirse ya a esos datos;
b) oponerse, previa peticin y sin gastos, al tratamiento de los
datos de carcter personal que le conciernan respecto de los
206
Expediente PE-032
cuales el responsable prevea un tratamiento destinado a la
prospeccin; o ser informado antes de que los datos se
comuniquen por primera vez a terceros o se usen en nombre de
stos a efectos de prospeccin, y a que se le ofrezca
expresamente el derecho de oponerse, sin gastos, a dicha
comunicacin o utilizacin.
Los Estados miembros adoptarn todas las medidas necesarias
para garantizar que los interesados conozcan la existencia del
derecho a que se refiere el prrafo primero de la letra b). "
El artculo 8 seala que son derechos de los titulares de los datos:
"a) Conocer, actualizar y rectificar sus datos personales frente
a los Responsables del Tratamiento o Encargados del
Tratamiento. Este derecho se podr ejercer, entre otros, frente
a datos parciales, inexactos, incompletos, fraccionados, que
expresamente prohibido o no haya sido autorizado, b)
Solicitar prueba de la autorizacin otorgada al Responsable
del Tratamiento salvo cuando expresamente se excepte como
requisito para el Tratamiento, de conformidad con lo previsto
en el artculo 10 de la presente ley, c) Ser informado por el
Responsable del Tratamiento o el Encargado del Tratamiento,
previa solicitud, respecto del uso que le ha dado a sus datos
personales, d) Presentar ante la Superintendencia de Industria
y Comercio quejas por infracciones a lo dispuesto en la
presente ley y las dems normas que la modifiquen, adicionen
o complementen, e) Revocar la autorizacin y/o solicitar la
supresin del dato cuando en el Tratamiento no se respeten
los principios, derechos y garantas constitucionales y legales.
La revocatoria y/o supresin slo proceder cuando la
Constitucin. f) Acceder en forma gratuita a sus datos
personales que hayan sido objeto de Tratamiento. "
En realidad, los derechos enunciados en el Proyecto, son un desarrollo
concreto de los principios enunciados en el artculo 4. En efecto, en
virtud del principio de legalidad el Titular tiene derecho a que sus datos
sean tratados de conformidad con los lmites establecidos en la
norrnatividad vigente, especialmente tomar acciones cuando su
Tratamiento est expresamente prohibido (ordinal a). En razn de la
finalidad, el Titular tiene el derecho a ejercer un control constante sobre
el dato, con el fin de determinar si el mismo est siendo utilizado para
Expediente PE-032
207
los fines frente a los cuales prest su autorizacin y solicitar al
Responsable o al Encargado informaciones sobre el uso que ha dado de
sus datos personales (ordinales b, c y e). En razn del principio de
libertad, el Titular tiene la garanta de comprobar que los datos que
circulen sobre l, han sido previamente autorizados, solicitar prueba de
ello y tambin puede revocar su autorizacin (ordinales a, b, c y e). Por
el principio de veracidad o calidad, el Titular tiene el derecho a conocer,
actualizar y rectificar sus datos personales en los casos en que estos sean
inexactos, incompletos o fraccionados, que induzcan a error o cuyo
Tratamiento se encuentre prohibido (ordinal a). Por el principio de
transparencia, el Titular tiene derecho a conocer los datos que sobre l
reposan en las bases de datos, solicitar prueba de la autorizacin
brindada, ser informado del manejo que se ha hecho de sus datos y
acceder en forma gratuita a sus datos personales (ordinales a, b y f). En
aras del principio de acceso y circulacin restringida, seguridad y
confidencialidad el Titular tiene derecho a exigir que su informacin sea
Tratado de conformidad con los lmites impuestos por la Ley y la
Constitucin y que en caso de incumplimiento existe un recurso efectivo
para lograr el restablecimiento de sus derechos (ordinales a y d).
De la misma manera, cabe sealar que al igual que los principios, no
puede considerarse que esta es una lista taxativa de garantas, sino que se
encuentran incluidas todas aquellas prerrogativas que sean consecuencia
de la garanta amplia del derecho fundamental al habeas data. De la
misma manera, la rapidez del surgimiento de nuevos sistemas de
informacin tambin hace necesario que los derechos sean integrados a
. d d d .c ., 261
1os proplOs e ca a sistema e Inl0rmaclOn.
2.10.4. Examen del ordinal e)
Esta disposicin establece en Colombia el llamado derecho a la
oposicin. La norma seala que el Titular del dato podr revocar la
autorizacin y/o solicitar la supresin del dato cuando: (i) no se respeten
los principios, derechos y garantas constitucionales y legales y (ii)
siempre y cuando la Superintendencia de Industria y Comercio haya
261 Por ejemplo, en materia de redes sociales empiezan a dibujarse nuevos derechos. As, el Grupo de Trabajo
sobre Proteccin de Datos de la Unin Europea sostiene que en estos sistemas se deberan adoptar las
siguientes medidas: "Obligaciones de los SRSI . Los SRS deberan informar a los usuarios de su identidad y
proporcionarles informacin clara y completa sobre las finalidades y las distintas maneras en que van a tratar
los datos personales. 2. Los SRS deberan establecer parmetros por defecto respetuoso de la intimidad. 3. Los
SRS deberan informar y advertir a sus usuarios frente a los riesgos de atentado a la intimidad cuando
transfieren datos a los SRS. 4. Los SRS deberan recomendar a sus usuarios no poner en lnea imgenes o
informacin relativa a otras personas sin el consentimiento de stas. 5. Como mnimo, en la pgina inicial de
los SRS debera figurar un enlace hacia una oficina de reclamaciones, tanto para miembros como para no
miembros, que cubra cuestiones de proteccin de datos. 6. La actividad comercial debe ajustarse a las normas
establecidas por la Directiva relativa a la proteccin de datos y la Directiva sobre la proteccin de la vida
privada en el sector de las comunicaciones electrnicas. 7. Los SRS deben establecer plazos mximos de
conservacin de los datos de los usuarios inactivos. Las cuentas abandonadas deben suprimirse. 8. Por lo que
se refiere a los menores, los SRS deberan adoptar medidas adecuadas con elfin de limitar los riesgos . ..
208
Expediente PE-032
determinado que en el Tratamiento el Responsable o Encargado han
incurrido en conductas contrarias a esta ley y a la Constitucin. Sin
embargo, tal y como pasar a explicarse estas condiciones se
constituyen en una restriccin desproporcionada para el Titular del dato.
El derecho de oposicin permite al titular del dato evitar el tratamiento
de su informacin o solicitar el cese del mismo.262 Esta garanta se
encuentra prevista en el artculo 14 de la Directiva 95/46/CE en los
siguientes trminos:
"Los Estados miembros reconocern al interesado el derecho
a:
a) Oponerse, al menos en los casos contemplados en las letras
a) y c) del artculo 7, en cualquier momento y por razones
legtimas propias de su situacin particular, a que los datos
que le conciernen sean objeto de tratamiento, salvo cuando
la legislacin nacional disponga otra cosa. En caso de
oposicin justificada, el tratamiento que efecte el
responsable no podr referirse ya a esos datos ".
b) Oponerse, previa peticin y sin gastos, al tratamiento de los
datos de carcter personal que le conciernan respecto de los
cuales el responsable prevea un tratamiento destinado a la
prospeccin; o ser informado antes de que los datos se
comuniquen por primera vez a terceros y se usen en nombre
de stos a efectos de prospeccin, y que se le ofrezca
expresamente el derecho de oponerse, sin gastos, a dicha
utilizacin o comunicacin. "
Entonces, el interesado o individuo titular del dato, bajo el estndar
Europeo, tiene derecho a oponerse a su utilizacin: (i) por razones
personales, si no existe ninguna obligacin legal que le imponga la
permanencia del dato, (ii) en cualquier momento cuando el dato ha sido
tratado sin su consentimiento; (iii) el tratamiento es utilizado para fines
distintos a los establecidos inicialmente y, (iv) cuando es tratado con
fines de prospeccin de mercadeo por parte de terceras personas. Es
decir, cuando se utiliza para fines publicitarios, y el Titular del dato ya
no desea recibir ms informacin sobre el producto.
Las legislaciones comparadas tambin han establecido el derecho a la
oposicin. En Mxico, la Ley Federal de Proteccin de Datos Personales
en Posesin de los Particulares, del 5 de julio de 2010, permite la
revocatoria del consentimiento en cualquier momento, siempre y cuando
262 Remolina, Nelson. Tiene Colombia un nivel adecuado de proteccin de datos personales a la luz del
estndar europeo?
209
Expediente PE-032
no produzca efectos retroactivos, en igual sentido se encuentra la
legislacin argentina. La Legislacin espaola seala en el artculo 34
del Real Decreto 172012007, que el titular podr revocar la autorizacin
cuando: (i) en los casos en que aunque no es necesario el consentimiento,
solicita su retiro, en razn de una razn personal legtima y siempre
cuando la ley no ordene su procesamiento, (ii) cuando la informacin
suministrada tenga por finalidad la realizacin de actividades de
publicidad y prospeccin comercial y (iii) cuando el tratamiento de datos
est siendo utilizado para obtener un perfil, basado nicamente en las
fuentes de informacin, lo que se ha denominado, el tratamiento
automatizado de sus datos.
Se observa entonces que el derecho a la oposicin implica la posibilidad,
en cabeza del titular del dato, de solicitar su supresin incluso por
razones personales, a menos que exista una disposicin legal que lo
obligue a que su dato personal permanezca en la base de datos.
Por su parte, el literal e) del artculo 8 del Proyecto en estudio, limita el
derecho a la oposicin a: (i) el uso indebido de la informacin por la
violacin de los principios, derechos y garantas constitucionales y (ii)
cuando la Superintendencia de Industria y Comercio certifique que el
Responsable o Encargado han incurrido en conductas contrarias a la
Constitucin y a la Ley.
Es decir, tal y est redactado el artculo 8, una vez el Titular del dato ha
prestado su consentimiento para el uso de su informacin, nunca podra
revocarlo, a menos que el Responsable o Encargado, haya hecho un uso
indebido del mismo. Es decir, la autorizacin implicara una prdida
indirecta de la titularidad del dato. Ello se traduce en una limitacin al
derecho a la autodeterminacin informtica habeas data, sin que exista
una razn vlida que la justifique.
En efecto, el artculo 15 de la Constitucin Poltica seala que "En la
recoleccin, tratamiento y circulacin de datos se respetaran la libertad
y dems garantias consagradas en la Constitucin." El hbeas data
confiere en palabras de la Corporacin "segn la norma constitucional
citada, un grupo de facultades al individuo para que, en ejercicio de la
clusula general de libertad, pueda controlar la informacin que de si
. hd 1 d 1 d . ,; ., ,,263 E t
mIsmo a SI o recopl a a por una centra e lnjOrmaClOn . . s e
control, no slo se predica de la autorizacin previa para el Tratamiento
del dato, sino que el individuo tambin es libre de decidir cuales
informaciones desea que continen y cules deben sean excluidas de una
fuente de informacin, siempre y cuando no exista un mandato legal que
le imponga tal deber, o cuando exista alguna obligacin contractual entre
263 Cfr. Sentencia C-IO 11 de 2008 M.P. Jaime Crdoba Trivio
210
Expediente PE-032
la persona y el controlador de datos, que haga necesaria la permanencia
del dato.
Considerar lo contrario significara que los administradores de la
informacin, pudieran disponer libremente y sin trmino definido, a los
datos personales del sujeto concernido y, en consecuencia, aquel
quedara privado materialmente de la posibilidad de ejercer las garantas
previstas a su favor por el Texto Constitucional. Adems, la
jurisprudencia constitucional ha establecido que existe un vnculo
necesario entre la libertad en los procesos de acopio informtico del dato
personal y la expresin del consentimiento del titular. En cada una de
estas decisiones se ha planteado "que el contenido concreto de la
libertad del sujeto concernido y, simultneamente, el limite que impide
el abuso del poder informtico, descansa en la exigencia de la
autorizacin del titular como presupuesto del ejercicio de las
competencias constitucionales de conocimiento, actualizacin y
., d 1 d 1,,264
recfl
ifi
lcacLOn e ato persona.
Por otro lado, la Corporacin ha sealado que el derecho al habeas data
otorga la facultad al titular de datos personales de exigir de las
administradoras de esos datos "el acceso, inclusin, exclusin,
correccin, adicin, actualizacin y certificacin de los datos, as como
la limitacin en las posibilidades de divulgacin, publicacin o cesin
de los mismos, de conformidad con los principios que regulan el proceso
de administracin de datos personales.,,265
Por ello, y en desarrollo del artculo 15 Superior y del prinCipiO de
libertad en la administracin de datos, se declara inexequible la
expresin "solo" del prrafo segundo del literal e), en razn a que esta
expresin limita la revocatoria del consentimiento a una declaracin de
incumplimiento de los deberes del Responsable o Encargado del
Tratamiento, por parte de la Superintendencia de Industria y Comercio.
En consecuencia, el literal e) debe ser entendido en el sentido que el
Titular podr revocar la autorizacin y solicitar la supresin del dato
cuando: (i) no se respeten los principios, derechos y garantas
constitucionales y legales. En este caso, y en aras de garantizar el debido
proceso, siempre y cuando la Superintendencia de Industria y Comercio
haya determinado que en el Tratamiento el Responsable o Encargado
han incurrido en conductas contrarias al ordenamiento y (ii) en virtud de
la solicitud libre y voluntaria del Titular del dato, cuando no exista una
obligacin legal o contractual que imponga al Titular el deber de
permanecer en la referida base de datos.
264 Cfr. sentencia C-I O 1I de 2008 M.P. Jaime Crdoba Trivio
265 Cfr. Ibdem.
211
Expediente PE-032
2.10.5. Examen del ordinal f)
La Universidad de los Andes solicita que el numeral f) sea condicionado
a que el principio de gratuidad tambin debe ser aplicado al pargrafo 2
del artculo 10 de la Ley 1266 de 2008 que seala que "La consulta de
la informacin financiera, crediticia, comercial, de servicios y la
proveniente de terceros pases por parte del titular, ser gratuita al
menos una (J) vez cada mes calendario. "
Sin embargo, tal interpretacin no es posible en razn a que el legislador
estatutario en el artculo 2 seala expresamente que "El rgimen de
proteccin de datos personales que se establece en la presente Ley no
ser de aplicacin: (. . .) e) a las bases de datos y archivos regulados por
la Ley 1266 de 2008". Adems, a pesar de que ordena que a dichas bases
exceptuadas tambin le sean aplicables los principios sobre la proteccin
de datos, seguidamente dispone que: "En el evento que la normatividad
especial que regule las bases de datos exceptuadas prevea principios
que tengan en consideracin la naturaleza especial de datos, los mismos
aplicarn de manera concurrente a los previstos en la presente ley".
Por ello, el criterio de especialidad prima, teniendo en consideracin
adems, que tal norma ya cont con el examen previo y automtico de la
Corte Constitucional en la Sentencia C-l O11 de 2008, y que no fue
derogada por el Proyecto de Ley Estatutaria que hoy se analiza. Sobre el
artculo 10 de la Ley 1266 de 2008 sostuvo la Corte en dicha
oportunidad:
"No obstante, encuentra la Corte que en contra de la anterior
conclusin puede argumentarse que lo previsto por el
legislador estatutario no se contrapone a la Constitucin, en
tanto est permitido el acceso gratuito del titular, slo que se
establece el cobro para el caso de la segunda consulta
mensual; ello con el nimo de otorgar un grado de
racionalizacin al acceso por parte del sujeto concernido y, de
esta manera, des estimular un uso desaforado de la facultad de
consulta prevista por la Constitucin.
A juicio de la Sala, debe partirse de considerar que lo que
proscriben las reglas anteriormente analizadas es que el
acceso a la informacin personal est supeditado al pago de
un costo o tarifa, lo que no es incompatible con que el
legislador establezca la posibilidad de cobro, siempre y
cuando el mismo no constituya requisito ineludible para el
acceso a los datos personales por parte de su titular. En ese
sentido, la norma analizada no se opone a la Constitucin, en
la medida en que permite que el titular acceda gratuitamente a
212
Expediente PE-032
sus datos, al menos una vez al mes calendario, facultad que
permite hacer efectivo el derecho de acceso a la informacin
personal, en los trminos anteriormente expuestos. En ese
sentido, encuentra la Corte que la restriccin mensual a la
gratuidad de acceso al dato personal no se muestra
desproporcionada ni irrazonable. En efecto, (i) existe la
posibilidad que el titular acceda gratuitamente a su
informacin personal, cada mes; y (ii) la prctica comercial
demuestra que las obligaciones financieras y crediticias son
pactadas con vencimientos de pago igualmente mensuales,
razn por la cual resulta materialmente posible que se
efecten reportes sobre cumplimiento en el pago de
obligaciones por lapsos ms cortos. Por ende, la medida de
racionalizacin en la consulta que prev el legislador
estatutario no afecta la facultad constitucional que tiene el
titular de conocer, actualizar y rectificar sus datos personales
concernidos en archivos o bancos de datos. "
2.1l. EXAMEN DEL ARTCULO 9: AUTORIZACIN DEL TITULAR
UArtculo 9. Autorizacin del titular. Sin perjuicio de las
excepciones previstas en la ley, en el Tratamiento se requiere
la autorizacin previa e informada del Titular, la cual deber
ser obtenida por cualquier medio que pueda ser objeto de
consulta posterior. "
No se presentaron intervenciones al respecto. Por otro lado, el Ministerio
Pblico no se refiri a la constitucionalidad de la disposicin.
2.11.3. Examen de constitucionalidad
No se presentan reparos de constitucionalidad, y por el contrario, se
reitera lo explicado en relacin con el consentimiento, al desarrollar el
principio de libertad. En consecuencia, los datos personales slo puede
ser registrados y divulgados con el consentimiento libre, previo, expreso
e informado del titular. Las nicas excepciones posibles sern las
establecidas en el artculo 10 del proyecto de ley bajo examen.
En consecuencia no est permitido el consentimiento tcito del Titular
del dato. El consentimiento que brinde la persona debe ser definido
como una indicacin especfica e informada, libremente emitida, de su
acuerdo con el procesamiento de sus datos personales.
213
Expediente PE-032
2.12. EXAMEN DEL ARTCULO 10: CASOS EN LOS QUE NO ES
NECESARIA LA AUTORIZACIN
"Artculo 10. Casos en que no es necesaria la autorizacin.
La autorizacin del Titular no ser necesaria cuando se trate
de:
a) Informacin requerida por una entidad pblica o
judicial.
b) Datos de naturaleza pblica.
d) Tratamiento de informacin autorizado por la ley para fines
histricos, estadsticos o cientficos.
Quien acceda a los datos personales sin que medie
autorizacin previa deber en todo caso cumplir con las
disposiciones contenidas en la presente ley. "
2.12.2.1. La Secretara Jurdica de la Presidencia de la Repblica solicita
la exequibilidad condicionada del artculo 10, en el entendido de que
esta disposicin es constitucional siempre y cuando se realice una
interpretacin armnica del mismo con los principios de la ley y de la
constitucin.
Asegura que el literal c) del artculo 10 es constitucional, siempre y
cuando se entienda que este evento debe obedecer a la existencia de
circunstancias apremiantes de urgencia mdica, bien para el titular o para
terceros que amerite que el tratamiento se realice sin autorizacin. Lo
mismo podra decirse de una emergencia sanitaria. Sin embargo, estas
excepciones deben interpretarse con carcter restrictivo, slo ante
circunstancias verdaderamente apremiantes.
Afirma que el ltimo inciso del artculo 10, es constitucional pero
advierte que su interpretacin debe hacerse con carcter restrictivo y en
214
Expediente PE-032
concordancia con los principios de la ley objeto de estudio, y que han
sido avalados por la Corte Constitucional.
Por ltimo, en relacin con el literal c) del artculo 10, que es
importante que cualquier ley que otorgue una autorizacin de esta ndole
debe ser respetuosa de los principios sealados en el proyecto de ley
objeto de estudio y que han sido reiterados por la Corte Constitucional
en ocasiones anteriores. Refiere que la regla general es que debe mediar
una autorizacin y la excepcin es que no se cuente con la misma cuando
existan intereses constitucionales superiores, es especial, aqullos que
dentro de un Estado Social de Derecho importan a todo el conglomerado
social.
2.12.2.2. La Defensora del Pueblo solicita la exequibilidad condicionada del
literal c) del artculo 10. Expuso que en los casos de urgencia mdica o
sanitaria, la situacin puede hacer particularmente onerosa la
satisfaccin de la condicin de la autorizacin.
Sin embargo, dado que en estos casos pueden verse involucrados datos
de carcter "sensible", como son precisamente los referidos a la salud,
esta excepcin debera ser leda no como una autorizacin irrestricta para
prescindir del consentimiento, sino como una alternativa extrema a la
que se llega cuando no ha sido posible lograr el consentimiento del
titular o la premura de la situacin lo impide.
Por lo anterior, la Defensora considera que la constitucionalidad de esta
excepcin debe condicionarse a que se entienda que ella opera slo en
los casos en que dada la situacin concreta de urgencia, no sea posible
obtener la autorizacin del titular o resulte particularmente problemtico
gestionarla, dadas las circunstancias de apremio, riesgo o peligro para
otros derechos fundamentales, ya sea del titular o de terceras personas.
De otro lado, solicita la declaratoria de inexequibilidad del ltimo
inciso del artculo 10; pues es contraria a los derechos y garantas
inherentes al derecho fundamental a la proteccin de datos personales.
De hecho, semejante laxitud equivale a dejar sin efecto concreto, no slo
las garantas constitucionales previstas en el artculo 15 de la Carta sino
las previstas en la propia ley.
En otras palabras, la Defensora consider que de nada sirve consagrar
como derecho y principio del tratamiento de datos, la autorizacin o el
consentimiento del titular, si la ley no prev una consecuencia adversa
para quien lleva a cabo el tratamiento sin contar previamente con dicha
autorizacin o sin estar facultado por la ley para realizarlo. En
consecuencia, solicit la declaratoria de inexequibilidad del ltimo
inciso del artculo 10 del proyecto.
215
Expediente PE-032
2.12.2.3. El Ministerio Pblico no se pronuncio sobre la constitucionalidad de
la disposicin.
2.12.3. Consideraciones de la Corte
El artculo 10 desarrolla los casos en que no es necesaria su autorizacin,
especficamente cuando: la infonnacin es requerida por una entidad
pblica o administrativa en ejercicio de sus funciones legales o por orden
judicial, los datos de naturaleza pblica, los casos de urgencia mdica o
sanitaria, tratamiento autorizado por la Ley para fines histricos,
estadsticos o cientficos y datos relacionados con el registro civil de las
personas.
El consentimiento de la titular de la infonnacin es un presupuesto para
la legitimidad constitucional de los procesos de administracin de datos
personales. En concordancia con los expuesto frente al "principio de
libertad", en el manejo de los datos no podr existir una autorizacin
tcita.
En relacin con la posibilidad de excepcionar el consentimiento, en estos
casos existen importantes intereses constitucionales que justifican tal
limitacin.
Por su parte, tanto en el ordenamiento internacional como en el derecho
comparado, se disponen causales que eximen la necesidad de la
autorizacin. As, en la Resolucin 45/95 del 14 de diciembre de 1990 de
las Naciones Unidas, se consagran restricciones relacionadas con la
"seguridad nacional, orden pblico, salud pblica o la moralidad; as
como para proteger los derechos y libertades de otros, especialmente las
personas que estn siendo perseguidas, siempre que tales excepciones
estn especificadas de forma explcita en una ley o norma equivalente,
promulgada de acuerdo con el sistema jurdico interno, que
expresamente establezca sus lmites y prevea las salvaguardas
adecuadas"
La Directiva 95/46/CE266 del Parlamento Europeo y del Consejo
Europeo, del 24 de octubre de 1995 relativa a la proteccin de las
personas fisicas en lo que respecta al tratamiento de datos personales y a
la libre circulacin de estos datos, tambin seala que es necesario el
consentimiento salvo "que la informacin sea necesaria para la
ejecucin de un contrato en el que el interesado sea parte, o para la
aplicacin de medidas precontractuales adoptadas a peticin del
interesado, o cuando sea necesario para el cumplimiento de una
obligacin jurdica a la que est sujeto el responsable del tratamiento, o
266 http://eur-lex.europa.eulLexUriServ/LexUriServ.do?uri=CELEX:31995L0046:ES:NOT
216
Expediente PE-032
M.P . Jorge Ignacio Pretelt ChaUub
sea necesario para proteger el inters vital del interesado, o necesario
para el cumplimiento de una misin de inters pblico, o inherente al
ejercicio del poder pblico conferido al responsable del tratamiento o a
un tercero a quien se comuniquen los datos, o para la satisfaccin del
inters legtimo perseguido por el responsable del tratamiento o por el
tercero o terceros a los que se comuniquen los datos, siempre que no
prevalezca el inters o los derechos y libertades fundamentales del
interesado que requieran proteccin. "
El artculo 10 del Proyecto de Ley bajo estudio seala las situaciones en
las que no es necesaria la autorizacin, las cuales responden a la
naturaleza misma del dato y al tipo de funciones que cumplen. Sin
embargo, deben hacerse las siguientes precisiones:
En primer trmino, se seala que se prescindir de la autorizacin
cuando la informacin sea "requerida por una autoridad pblica o
judicial". Sin embargo, considera la Sala que deben hacerse las mismas
observaciones que las contenidas en la Sentencia C-1 O11 de 2008, al
hacer el estudio del Proyecto de Ley Estatutaria de los datos financieros.
En relacin, con las autoridades pblicas o administrativas, seal la
Corporacin que tal facultad "no puede convertirse en un escenario
proclive al abuso del poder informtico, esta vez en cabeza de los
funcionarios del Estado. As, el hecho que el legislador estatutario haya
determinado que el dato personal puede ser requerido por toda entidad
pblica, bajo el condicionamiento que la peticin se sustente en la
conexidad directa con alguna de sus funciones, de acompasarse con la
garanta irrestricta del derecho al hbeas data del titular de la
informacin. En efecto, amn de la infinidad de posibilidades en que
bajo este expediente puede accederse al dato personal, la aplicacin del
precepto bajo anlisis debe subordinarse a que la entidad
administrativa receptora cumpla con las obligaciones de proteccin
y garanta que se derivan del citado derecho fundamental, en
especial la vigencia de los principios de finalidad, utilidad y
circulacin restringida.
Para la Corte, esto se logra a travs de dos condiciones: (i) el carcter
calificado del vnculo entre la divulgacin del dato y el cumplimiento de
las funciones de la entidad del poder Ejecutivo; y (ii) la adscripcin a
dichas entidades de los deberes y obligaciones que la normatividad
estatutaria predica de los usuarios de la informacin, habida
consideracin que ese grupo de condiciones permite la proteccin
adecuada del derecho.
217
Expediente PE-032
M .P. Jorge Ignacio Pretelt Chaljub
En relacin con el primero seal la Corporacin que "la modalidad de
divulgacin del dato personal prevista en el precepto analizado
devendr legtima, cuando la motivacin de la solicitud de informacin
est basada en una clara y especifica competencia funcional de la
entidad." Respecto a la segunda condicin, la Corte estim que una vez
la entidad administrativa accede al dato personal adopta la posicin
jurdica de usuario dentro del proceso de administracin de datos
personales, lo que de forma lgica le impone el deber de garantizar los
derechos fundamentales del titular de la informacin, previstos en la
Constitucin Poltica y en consecuencia debern: "(i) guardar reserva de
la informacin que les sea suministrada por los operadores y utilizarla
nicamente para los fines que justificaron la entrega, esto es, aquellos
relacionados con la competencia funcional especfica que motiv la
solicitud de suministro del dato personal,' (ii) informar a los titulares del
dato el uso que le est dando al mismo,' (iii) conservar con las debidas
seguridades la informacin recibida para impedir su deterioro, prdida,
alteracin, uso no autorizado o fraudulento,' y (iv) cumplir con las
instrucciones que imparta la autoridad de control, en relacin con el
cumplimiento de la legislacin estatutaria. "
En relacin con la orden judicial, dijo la Corporacin que "si bien no
existe una autorizacin expresa del titular que circunscriba la
circulacin del dato, la posibilidad de acceso resulta justificada en la
legitimidad que tienen en el Estado Constitucional de Derecho las
actuaciones judiciales, mbitos de ejercicio de la funcin pblica
sometidos a reglas y controles, sustentados en la eficacia del derecho al
debido proceso y rodeado de las garantas anejas a ste, en especial, los
derechos de contradiccin y defensa. As, reconocindose la
importancia de esta actividad en el rgimen democrtico, entendida
como pilar fundamental para la consecucin de los fines estatales de
asegurar la convivencia pacfica y la vigencia de un orden justo y
advirtindose, del mismo modo, que el acto de divulgacin en este caso
responde a una finalidad constitucionalmente legtima, el precepto
examinado es exequible. "
En lo que se relaciona con los datos pblicos y el registro civil de las
personas, su naturaleza hace que no estn sujetos al principio de
autorizacin. La informacin pblica es aquella que puede ser obtenida
sin reserva alguna, entre ella los documentos pblicos, habida cuenta el
mandato previsto en el artculo 74 de la Constitucin Poltica. Esta
informacin puede ser adquirida por cualquier persona, sin necesidad de
autorizacin alguna para ello.
Frente a los casos de urgencia mdica y sanitaria, en aras de la
efectividad del derecho a la libertad en el manejo de datos, la norma
debe entenderse que opera slo en los casos en que dada la situacin
218
Expediente PE-032
concreta de urgencia, no sea posible obtener la autorizacin del titular o
resulte particularmente problemtico gestionarla, dadas las
circunstancias de apremio, riesgo o peligro para otros derechos
fundamentales, ya sea del titular o de terceras personas.
En relacin con el tratamiento para fines histricos, estadsticos o
cientficos, la norma no ofrece repara de constitucionalidad en razn a
que delega a la Ley la manera como estos datos deben ser protegidos,
adems, debe interpretarse en concordancia con el numeral e) del
artculo 6 que seala que en estos casos "debern adoptarse las medidas
conducentes a la supresin de identidad de los Titulares".
Finalmente, cabe sealar que la Defensora del Pueblo solicita la
inexequibilidad del ltimo pargrafo del artculo, 10 por cuanto se
traducira en una autorizacin general para el acceso a los datos
personales, sin consentimiento del titular. Sin embargo, una lectura de la
norma permite interpretar que lo que busca el legislador estatutario es
que en los casos taxativos permitidos por el artculo 10, en los que no es
necesario el consentimiento del Titular, el uso del dato tambin debe
sujetarse a todos los principios y limitaciones consagrados en la Ley.
Por el contrario, jams podra interpretarse como una autorizacin
abierta para que se accedan a datos personales sin consentimiento de su
titular.
2.13. EXAMEN DEL ARTCULO 11: SUMINISTRO DE
INFORMACIN
"Artculo 11. Suministro de la informacin. La informacin
solicitada podr ser suministrada por cualquier medio,
incluyendo los electrnicos, segn lo requiera el Titular. La
informacin deber ser de fcil lectura, sin barreras tcnicas
que impidan su acceso y deber corresponder en un todo a
aquella que repose en la base de datos.
El Gobierno Nacional establecer la forma en la cual los
Responsables del Tratamiento y Encargados del Tratamiento
debern suministrar la informacin del Titular, atendiendo a
la naturaleza del dato personal. Esta reglamentacin deber
darse a ms tardar dentro del ao siguiente a la promulgacin
de la presente ley. "
Expediente PE-032
219
2.13.3. Constitucionalidad del artculo 11: suministro de informacin
El artculo 11 regula lo relativo a los mecanismos de entrega de la
informacin suministrada al Titular, los cuales debern ser
reglamentados por el Gobierno Nacional. La norma ordena que sta
deber ser de fcil lectura, sin barreras tcnicas y deber tener todo la
informacin que se encuentra relacionada en la base de datos.
La constitucionalidad de esta primera parte de la disposicin no plantea
mayores inconvenientes, habida cuenta que desarrolla uno de los
derechos de los Titulares: el acceso a su informacin.
Por otra parte, no existe reparo en cuanto a la facultad otorgada al
Gobierno Nacional por cuanto se trata de un asunto eminentemente
tcnico, delimitado y que no versa sobre los aspectos esenciales del
derecho fundamental, ni mucho menos ofrece una regulacin integral del
mismo. Por lo tanto, en este marco, el legislador estatutario ordena al
Gobierno Nacional que, mediante su potestad reglamentaria, concrete la
manera en que se entregar la informacin al Titular. Sobre el particular,
cabe recordar que la Corte ha admitido la constitucionalidad de este tipo
de disposiciones, siempre y cuando el legislador haya establecido un
contenido material legislativo que sirva de base para el ejercicio de dicha
potestad. Frente al punto ha dicho la jurisprudencia:
"Es posible que la rama legislativa con la utilizacin de un
lenguaje amplio reconozca a la autoridad administrativa
competente un margen suficiente para el desarrollo especfico de
algunos de los supuestos definidos en la ley con el propsito de
concretar la aplicacin de ciertos preceptos legales a
circunstancias diversas y cambiantes. Eso es propio de un Estado
regulador. Sin embargo, en esos eventos la accin de la
administracin y el cumplimiento de las polticas pblicas que
animan la ley y las regulaciones administrativas que las .
materializan dependen de que las disposiciones legales
establezcan criterios inteligibles, claros y orientadores dentro de
los cuales ha de actuar la administracin de tal forma que se
preserven los principios bsicos de un estado social y
,. d d h ,,267
democratlco e erec o.
267 Cfr. sentencia C-265 de 2002, M.P. Manuel Jos Cepeda Espinosa. En esta ocasin la Corte declar
inexequibIe el inciso tercero del artculo 64 de la Ley 675 de 200 1, pues consider que "(.. .) condicionar la
220
Expediente PE-032
De igual manera debe entenderse que la expresin "Esta reglamentacin
deber darse a ms tardar dentro del ao siguientes a la promulgacin
de la presente ley", no debe entenderse como un trmino de caducidad
de facultad reglamentaria, pues al contrario, la jurisprudencia
constitucional ha sealado que no es posible establecer limitaciones a la
misma, la cual se ejerce en forma permanente y en virtud de expreso
mandato constitucional.
En efecto, ha dicho la Corte que la potestad reglamentaria tiene
fundamento en lo previsto por el artculo 189-11 C.P., e implica que
Ejecutivo est revestido de la facultad para expedir decretos,
resoluciones y rdenes necesarios para la cumplida ejecucin de las
leyes. La potestad reglamentaria, en consecuencia, tiene naturaleza
"ordinaria, derivada, limitada y permanente".268 Es ordinaria en razn a
que es una funcin de la Rama Ejecutiva, sin que para su ejercicio
requiera de habilitacin distinta de la norma constitucional que la
confiere. Tiene carcter derivado, puesto que requiere de la preexistencia
de material legislativo para su ejercicio.
269
Del mismo modo es limitada
porque "encuentra su lmite y radio de accin en la constitucin y en la
ley; es por ello que no puede alterar o modificar el contenido y el
espritu de la ley, ni puede dirigirse a reglamentar leyes que no ejecuta
la administracin, as como tampoco puede reglamentar materias cuyo
contenido est reservado al legislador". 270. Por ltimo, "la potestad
reglamentaria es permanente, habida cuenta que el Gobierno puede
hacer uso de la misma tantas veces como lo considere oportuno para la
cumplida ejecucin de la ley de que se trate y hasta tanto sta conserve
. ." 271
su vlgenClQ.
2.14. EXAMEN DEL ARTCULO 12: DEBER DE INFORMAR AL
TITULAR
"Artculo 12. Deber de informar al titular. El Responsable del
Tratamiento, al momento de solicitar al Titular la
autorizacin, deber informarle de manera clara y expresa lo
siguiente:
a) El Tratamiento al cual sern sometidos sus datos
personales y la finalidad del mismo.
posibilidad del cerramiento a una autorizacin administrativa. sin sealar criterios que impidan dicha
apropiacin y exclusin, resulta insuficiente para proteger los bienes constitucionalmente garantizados".
268 Auto 049 de 2008 M.P. Jaime Crdoba Trivio
269 Cfr. Corte Constitucional, sentencias C-734/03 y C-8S2/0S.
270 Cfr. Corte Constitucional, sentencias C-028/97 y C-290/02.
27J Auto 049 de 2008 M.P. Jaime Crdoba Trivifio
221
Expediente PE-032
b) El carcter facultativo de la respuesta a las preguntas que
le sean hechas, cuando estas versen sobre datos sensibles o
sobre los datos de las nias, nios y adolescentes.
e) Los derechos que le asisten como Titular.
d) La identificacin, direccin fisica o electrnica y telfono
del Responsable del Tratamiento.
Pargrafo. El Responsable del Tratamiento deber conservar
prueba del cumplimiento de lo previsto en el presente articulo y,
cuando el Titular lo solicite, entregarle copia de esta. "
2.14.2.1. La Defensora del Pueblo solcita la inexequibilidad del aparte del
literal b) del artculo 12 que precepta: "cuando estas versen sobre
datos sensibles o sobre los datos de las nias, nios y adolescentes" por
las siguientes razones:
Expone que una concepcin congruente con los principios de libertad,
autorizacin y finalidad del tratamiento de datos, conduce
necesariamente a la afirmacin de que las respuestas a las preguntas que
le sean formuladas al titular, debe ser facultativa o potestativa,
independientemente de que se trate de datos sensibles o datos que no lo
sean. Limitar dicha potestad a los datos sensibles implica forzar las
respuestas en los dems casos, con lo cual, quedan por completo
desvirtuadas las garantas inherentes a la proteccin de datos, cof!1o la
autodeterminacin informtica, la intimidad y la libertad.
Por otra parte, afirma, incluir preguntas sobre datos sensibles para luego
ser tratados, vulnera claramente la prohibicin de su tratamiento.
Adicional a lo anterior, la Defensora destac que el tratamiento de datos
de infantes y adolescentes, salvo en lo referente a los datos de naturaleza
pblica, debe entenderse proscrito por el ordenamiento superior, segn
las previsiones relativas a la prevalencia de sus derechos y la garanta del
inters superior de que son titulares, prohibicin que es recogida en el
artculo 7 del proyecto. En este sentido, no cabra ni siquiera la
posibilidad de formular tales preguntas ni a sus padres ni a sus tutores, ni
menos an a los propios nios, nias y adolescentes.
2.14.2.2. El Ministerio Pblico no present consideraciones particulares
frente a la norma
222
Expediente PE-032
2.14.3. Consideraciones de la Corte
El artculo 12 dispone las caractersticas de la informacin que deber
ser suministrada por el Responsable del Tratamiento. La disposicin es
constitucional, pero el literal b) debe condicionarse por las siguientes
razones.
La norma seala a los Titulares deber informrseles "el carcter
facultativo a las preguntas que le sean hechas, cuando stas versen
sobre datos sensibles o sobre los datos de las nias, nios y
adolescentes ".
En una primera lectura podra entenderse que la norma est autorizando
el Tratamiento de datos sensibles y de nias, nios y adolescentes, a
pesar de encontrarse prohibida. Sin embargo, existe una forma de
interpretar la disposicin de una forma que se avenga a los postulados
constitucionales.
En primer lugar, el carcter facultativo, en razn del princIpIO de
libertad, es predicable de todas las preguntas. Sin embargo, cuando se
trate de una de las situaciones en que excepcionalmente se permite el
Tratamiento de un dato sensible o de una nia, nio o adolescente, el
Responsable del Tratamiento deber informar las limitaciones y
derechos que le son predicables de este tipo de dato.
2.15. EXAMEN DEL ARTCULO 13: PERSONAS A QUIENES SE LES
PUEDE SUMINISTRAR LA INFORMACIN
informacin. La informacin que rena las condiciones
establecidas en la presente ley podr suministrarse a las
siguientes personas:
a) A los Titulares, sus causahabientes o sus representantes
legales.
b) A las entidades pblicas o administrativas en ejercicio de
sus funciones legales o por orden judicial.
c) A los terceros autorizados por el Titular o por la ley. "
223
Expediente PE-032
2.15.3. Constitucionalidad del artculo 13
La norma establece que la informacin podr suministrarse a las
siguientes personas: (i) a los Titulares, sus causahabientes o sus
representantes legales, (ii) a las entidades pblicas o administrativas en
ejercicio de sus funciones legales o por orden judicial y (iii) a los
terceros autorizados por el Titular o por la Ley.
En cuanto al primero de los casos, esta posibilidad, en criterio de la
Corte, es constitucional, en tanto el artculo 15 C.P. confiere a los sujetos
concernidos la facultad de conocer la informacin que sobre ellos se
haya incorporado en un sistema automatizado de informacin, y dentro
de los mismos se encuentran sus representantes y aquellos que los
suceden en razn de causa de muerte.
Frente al segundo escenario permitido por el legislador, esto es la
entrega de informacin a las entidades pblicas y en virtud de una orden
judicial, se harn las mismas observaciones que al estudiar el artculo 10,
sobre los casos exceptuados de autorizacin. Por lo tanto, el ordinal b)
debe entenderse que la entidad administrativa receptora cumpla con las
obligaciones de proteccin y garanta que se derivan del citado derecho
fundamental, en especial la vigencia de los principios de finalidad,
utilidad y circulacin restringida. Por lo tanto, debe encontrarse
demostrado (i) el carcter calificado del vnculo entre la divulgacin del
dato y el cumplimiento de las funciones de la entidad del poder
Ejecutivo; y (ii) la adscripcin a dichas entidades de los deberes y
obligaciones que la normatividad estatutaria predica de los usuarios de la
informacin.
Finalmente, en cuanto al ordinal c) que establece la posibilidad de la
entrega de la informacin a "los terceros autorizados por el Titular o por
la ley", la Corte tambin reiterar lo sealado en la Sentencia C-l O11 de
2008. Para el Tribunal, esas autorizaciones podran "prestarse a
equvocos, en el entendido que establecera una clusula genrica, con
base en la cual una ley posterior pudiera permitir la divulgacin de
informacin personal a otras personas, sin consideracin de las
garantas propias del derecho fundamental al hbeas data y de la
vigencia de los principios de administracin de datos personales. Al
respecto, la extensin irrestricta de las posibilidades de divulgacin de
la informacin contradira el principio de circulacin restringida,
comprendido por el legislador estatutario como la imposicin de
224
Expediente PE-032
restricciones a la divulgacin de datos en razn de su naturaleza, de la
finalidad del banco de datos y de la vigencia de los citados principios."
En consecuencia, esa prerrogativa dada al legislador debe entenderse en
el entendido que se encuentra supeditada a la vigencia de las
prerrogativas que se derivan del derecho al hbeas data y, en especial, a
los principios de administracin de datos personales.
2.16. EXAMEN DEL TITULO V. PROCEDIMIENTOS. ARTCULOS
14, 15 Y 16: CONSULTA, RECLAMOS Y REQUISITO DE
PROCEDIBILIDAD
2.16.1. Texto de las disposiciones
"TITULO V
PROCEDIMIENTOS
Articulo 14. Consultas. Los titulares o causahabientes podrn
consultar la informacin personal del Titular que repose en
cualquier base de datos, sea esta del sector pblico o privado.
El responsable del Tratamiento o Encargado del Tratamiento
debern suministrar a estos toda la informacin contenida en
el registro individual que est vinculada con la identificacin
del Titular.
La consulta se formulara por el medio habilitado por el
Responsable del Tratamiento o Encargado del Tratamiento,
siempre y cuando se pueda mantener prueba de esta.
La consulta ser atendida en un trmino mximo de diez (J O)
das hbiles contados a partir de la fecha de recibo de la
misma. Cuando no fuere posible atender la consulta dentro de
dicho termino, se informar al interesado, expresando los
motivos de la demora y sealando la fecha en que se atender
su consulta, la cual en ningn caso podr superar los cinco
(5) das hbiles siguientes al vencimiento del primer termino.
Pargrafo. Las disposiciones contenidas en leyes especiales o
los reglamentos expedidos por el Gobierno Nacional podrn
establecer trminos inferiores, atendiendo a la naturaleza del
dato personal.
Articulo 15. Reclamos. El titular o sus causahabientes que
consideren que la informacin contenida en una base de datos
debe ser objeto de correccin, actualizacin o supresin, o
cuando adviertan el presunto incumplimiento de cualquiera de
225
Expediente PE-032
los deberes contenidos en esta ley, podrn presentar un
reclamo ante el Responsable del Tratamiento o el Encargado
del Tratamiento el cual ser tramitado bajo las siguientes
reglas:
l. el reclamo se formular mediante solicitud dirigida al
Responsable del tajamiento a al Encargado del Tratamiento,
con la identificacin del Titular, la descripcin de los hechos
que dan lugar al reclamo, la direccin y acompaando los
documentos que se quiera hacer valer. Si el reclamo resulta
incompleto, se requerir al interesado dentro de los cinco (5)
das siguientes a la recepcin del reclamo para que subsane
las fallas. Transcurridos dos (2) meses desde la fecha del
requerimiento, sin que el solicitante presente la informacin
En caso de que quien reciba el reclamo no sea competente
para resolverlo, dar traslado a quien corresponda en un
trmino mximo de dos (2) das hbiles e informar de la
situacin al interesado.
2. una vez recibido el reclamo completo, se incluir en la base
de datos una leyenda que diga" reclamo en tramite" y el
motivo del mismo, en un termino no mayor a dos (2) das
hbiles. Dicha leyenda deber mantenerse hasta que el
3. el termino mximo para atender el reclamo ser de quince
(15) das hbiles contados a partir del da siguiente a la fecha
de su recibo, cuando no fuere posible atender el reclamo
dentro de dicho termino, se informar al interesado los
motivos de la demora y la fecha en que se atender su
reclamo, la cual en ningn caso podr superar los ocho (58)
das hbiles siguientes al vencimiento del primer termino.
Articulo 16. Requisito de procedibilidad. El titular o
causahabiente slo podr elevar queja ante la
Superintendencia de Industria y Comercio una vez haya
agotado el tramite de consulta o reclamo ante el Responsable
del Tratamiento o Encargado del Tratamiento. "
2.16.2.1.La Secretara Jurdica de la Presidencia manifiesta, respecto a los
artculos 14 y 15 que resulta necesario y conveniente fijar trminos y
procedimientos para atender las consultas y reclamos presentados por los
226
Expediente PE-032
titulares de la informacin, asunto que fue tratado por la Corte
Constitucional cuando analiz la exequibilidad del proyecto de ley que
dio origen a la Ley 1266 de 2008. Frente al artculo 16 seala que la
Superintendencia debe actuar de oficio o a peticin de parte, para
exigir del responsable o del encargado del tratamiento el cumplimiento
de la legislacin en materia de proteccin de datos, as como para
adoptar las medidas administrativas correspondientes.
Por lo anterior, es til establecer un procedimiento para hacer ms
expedita la resolucin de la consulta o reclamo presentada por el
titular o causahabiente ante quien tiene el deber de recolectar,
almacenar, usar, circular o suprimir sus datos personales, sin que ello
releve a la autoridad de control de actuar a travs de los mecanismos
legales otorgados para velar por el respeto por los derechos del titular.
2.16.2.2. La Defensora del pueblo, solicita exequibilidad condicionada del
artculo 15, por cuanto se deben incorporar otras garantas como la
supresin de la informacin o la disociacin de datos, cuando el dato
haya cumplido la finalidad de su tratamiento o se trate de datos sensibles
que imponen la reserva de identidad del titular. En consecuencia, a partir
del artculo 93 de la Carta en concordancia con el inciso 2 del artculo
15, la no enunciacin expresa de otras garantas propias del derecho
fundamental a la proteccin de los datos, no puede entenderse como su
negacinPor lo anterior, la Defensora solicita a la Corte Constitucional
hacer una interpretacin amplia de los derechos a que da lugar el trmite
de reclamos del artculo 15, de manera que se entienda que las garantas
derivadas del derecho a la proteccin de los datos incluyen, adems de la
rectificacin y la actualizacin, la supresin y la disociacin de la
informacin.
2.16.2.3. El Ministerio Pblico guard silencio.
2.16.3. La consulta ante los agentes que participan del tratamiento de los
datos es un mecanismo necesario para hacer efectivo el derecho al
habeas data
El articulo 14 del proyecto de ley regula el mecanismo de la consulta al
sealar: (i) que los titulares o sus causahabientes podrn consultar la
informacin personal del titular que repose en cualquier base de datos
pblica o privada, (ii) responsables y encargados del tratamiento deben
suministrar al titular toda la informacin contenida en la base de datos
bien porque se tenga un registro individual o exista alguna asociada a su
identificacin, (iii) el responsable y el encargado del tratamiento deben
tener algn medio habilitado para que la consulta se pueda realizar, el
cual debe permitir dejar prueba de ello, (iv) la consulta se debe resolver
en un trmino mximo de 10 das hbiles a partir de la fecha de recibo de
285
Expediente PE-032
. ~
. ~ ~
MARTHA
T
-'
TORIA CALLE CORREA
Magistrada
ao
Expediente PE-032
284
Noveno.- Declarar INEXEQUIBLE el artculo 27 del proyecto de ley objeto
de revisin.
Cpiese, notifquese, comunquese, publquese, cmplase y archvese el
expediente.

y
1 "
....... P... ../
Magistrado
283
Expediente PE-032
3. DECISIN
En mrito de lo expuesto, la Corte Constitucional, administrando justicia, en
nombre del pueblo y por mandato de la Constitucin,
RESUELVE
Primero.- Declarar EXEQUIBLE, por su aspecto formal, el proyecto de ley
Estatutaria No. 046/1 O Cmara -'- 184/1 O Senado "por la cual se dictan
disposiciones generales para la proteccin de datos personales", salvo los
artculos 29, 30 y 31 que se declaran INEXEQUIBLES por vicios de
procedimiento en su aprobacin.
Segundo.- Declarar EXEQUIBLES los artculos 1,2,3,4,5,7,9, 10, 11, 12,
13,14,15,16,17,18,21,22,24,25,28,32,33 y 34 del proyecto de ley, de
conformidad con lo expuesto en la parte motiva de esta providencia.
Tercero.- Declarar EXEQUIBLE el artculo 6 del proyecto de ley objeto de
revisin, excepto la expresin "el Titular haya hecho manifiestamente pblicos
o" del literal d) que se declara INEXEQUIBLE.
Cuarto.- Declarar EXEQUIBLE ,el artculo 8 del proyecto de ley objeto de
revisin, excepto la expresin "slo", del literal e) que se declara
. De la misma manera, el literal e) debe entenderse en el
sentido que el Titular tambin podr revocar la autorizacin y solicitar la
supresin del dato, cuando no exista un deber legal o contractual que le
imponga el deber de permanecer en la referida base de datos.

Quinto.- Declarar EXEQUIBLE el artculo 19 del proyecto de ley objeto de
revisin, bajo el entendido que la Delegatura de Proteccin de Datos
Personales, en ejercicio de sus funciones deber actuar de manera autnoma e
independiente.
Sexto.- Declarar EXEQUIBLE el artculo 20 del proyecto de ley, a excepcin
del literal a) que se declara INEXEQUIBLE.
Sptimo.- Declarar EXEQUIBILE el artculo 23 del proyecto de ley, salvo la
expresin Ha favor de la Superintendencia de Industria y Comercio", del literal
a) que se declara INEXEQUIBLE.
Octavo.- Declarar EXEQUIBLE el artculo 26 del proyecto de ley, salvo la
expresin "necesarias o" contenida en el literal f), que se declara
INEXEQUIBLE.
282
Expediente PE-032
adecuadas para transferencias o categoras de transferencias de datos
personales entre empresas que forman parte del mismo grupo
corporativo. En consecuencia, la Corte considera que para que estas
normas cumplan su objetivo, una vez el Gobierno Nacional las
reglamente y las organizaciones las implementen, deben ser revisadas
por la autoridad de proteccin, funcin que no fue enlistada en las
funciones que se le van a asignar al mencionado ente.
En los trminos expuestos y bajo la condicin que dichas normas las
revise la autoridad de proteccin, el artculo 28 ser declarado exequible.
2.28. EXAMEN DE LOS ARTCULOS 32, 33 Y 34: VIGENCIA Y
RGIMEN DE TRANSICIN
"Artculo 32. Rgimen de transicin. Las personas que a la
fecha de entrada en vigencia de la presente ley ejerzan alguna
de las actividades ac reguladas tendrn un plazo de hasta seis
(6) meses para adecuarse a las disposiciones contempladas en
esta ley.
Artculo 33. Derogatorias. La presente ley deroga todas las
disposiciones que le sean contrarias a excepcin de aquellas
contempladas en el artculo segundo.
Artculo 34. Vigencia. La presente ley rige a partir de su
promulgacin. "
2.28.3. Intervenciones ciudadanas y del Ministerio Pblico
No se presentaron observaciones especficas frente al punto.
2.28.4. Constitucionalidad de los artculo 32, 33 Y 34
Los cuerpos normativos que crean nuevas reglas sobre determinados
asuntos, establecen un rgimen de transicin para que a quienes les sean
aplicables, adopten las medidas necesarias para adaptarse a los cambios.
De igual manera, se estipula la entrada en vigencia y las derogatorias.
Estos artculos no contraran ninguna disposicin constitucional en tanto
que se limitan a fijar los mecanismos de entrada en rigor del cuerpo
normativo, as como los medios de solucin de controversias en materia
de trnsito legislativo.
281
Expediente PE-032
2.27.4. Constitucionalidad del artculo 28
Este artculo seala que el Gobierno Nacional expedir la
reglamentacin correspondiente sobre normas corporativas vinculantes
para la certificacin de buenas prcticas en proteccin de datos
personales y su transferencia a terceros pases.
Como se desprende de las discusiones del proyecto de ley y de la
intervencin de la Secretara de la Presidencia de la Repblica, estas
normas hacen referencia a principios de buen gobierno o regulaciones de
buenas prcticas creadas directamente por las organizaciones, con un
carcter vinculante para sus miembros.
En el mbito europeo, antes que se dictaran los estndares en materia de
proteccin, la autorregulacin se convirti en un mecanismo para la
proteccin de los datos personales, en la medida en que son
codificaciones sustanciales y procesales en procura de un adecuado
modelo de proteccin de los datos.
En la prctica internacional, los datos tambin se protegen a travs de
estos cdigos internacionales de conducta. En ese sentido, son un
complemento a la regulacin de los Estados para la efectiva proteccin
de datos personales en especial en su flujo.
El Grupo de Trabajo del artculo 29 ha sealado que las normas
corporativas vinculantes (BCR), que se utilizan en el contexto de las
transferencias de datos internacionales, son una manifestacin clara del
principio de responsabilidad, en la medida que son autorregulaciones de
conducta que redactan y siguen las organizaciones multinacionales y que
deben contener las medidas para poner en prctica y hacer realizable los
principios para la proteccin de datos, tales como la auditora, programas
de formacin, red de funcionarios de privacidad, sistema de tratamiento
de quejas, etc.
En consecuencia, la delegacin que hace la norma para que sea el
Gobierno Nacional el que reglamente los contenidos mnimos que deben
contener estas normas cooperativas se ajusta a la Constitucin, pues en
desarrollo de los principios que rigen la administracin de los datos
personales, estos cdigos de conducta para las buenas prcticas en esta
materia, se convierten en un instrumento adicional para la efectiva
garanta del derecho al habeas data.
Esas normas de autorregulacin en la prctica internacional son
generalmente revisadas por las autoridades nacionales de proteccin de
datos, que deben vigilar que se consagren y garanticen salvaguardias
280
Expediente PE-032
habilitacin legal, como reiteradamente lo ha sealado la jurisprudencia
de esta Corporacin, al sealar que la potestad reglamentaria es
ordinaria y no requiere de habilitacin legislativa, dado que si una norma
legal requiere ser reglamentada para su debida ejecuclOn e
implementacin, corresponde al Presidente de la Repblica ejercer esa
potestad sin que pueda otra autoridad dentro del Estado, como lo es la
rama legislativa del poder pblico, fijarle trminos para su ejercicio, por
cuanto es una competencia permanente. Lo anterior no puede
interpretarse como una competencia omnmoda pues encuentra sus
lmites naturales en la ley que se pretende reglamentar y por supuesto en
la Constitucin, por ejemplo, cuando la materia que se pretender normar
va reglamentaria es objeto de reserva legal, como es el caso en anlisis.
En ese orden de ideas, la Corte debe declarar la inexequibilidad del
artculo 27 del proyecto de ley en revisin.
2.27. EXAMEN DEL ARTCULO 28: NORMAS CORPORATIVAS
VINCULANTES
"Artculo 28. Normas corporativas vinculantes. El Gobierno
Nacional expedir la reglamentacin correspondiente sobre
Normas Corporativas Vinculantes para la certificacin de
buenas prcticas en proteccin de datos personales y su
transferencia a terceros pases. "
2.27.3. Intervenciones ciudadanas y del Ministerio Publico
2.27.3.1. La Secretaria Jurdica de la Presidencia de la Repblica solicita la
declaracin de exequibilidad de esta norma por las siguientes razones:
El proyecto se refiere a las normas corporativas vinculantes que son
cdigos de buenas prcticas para inyectar dinamismo en el intercambio
de datos y agilizar las relaciones internacionales, normas que no se
pueden entender ni como la posibilidad de hacer regulaciones propias del
legislador estatutario, ni que puedan contrariar las dictadas con el
propsito de proteger los datos personales.
Las normas cooperativas deben ser revisadas por la Superintendencia de
Industria y Comercio, para obtener la certificacin de buenas prcticas.
Adicionalmente, estas tendrn un filtro que es la certificacin emitida
por entidades debidamente acreditadas ante el Organismo Nacional de
Acreditacin (ONAC) para completar el proceso de aprobacin.
Expediente PE-032
279
sectoriales", regulaciones que sin lugar a dudas deben ser expedidas
exclusivamente por el legislador y no por el Ejecutivo. Por tanto, el
Gobierno Nacional carece de competencia para expedir regulaciones
segn la tipologa del dato. En ese sentido, corresponde al legislador su
ordenacin, tal como lo hizo para la administracin de datos de ndole
comercial o financiera, destinada al clculo del riesgo crediticio de
servicios, en donde adems de observar los principios generales que en
otro acpite de esta providencia se han enunciado, cualquier excepcin
frente a ellos tendr que ser razonable y proporcional.
Lo anterior permite concluir que es inadmisible que mediante la
autorizacin que se prev en la norma en revisin, el legislador
estatutario resulte vaciando su competencia en una autoridad que, por
disposicin constitucional, no tiene la facultad para ello. Sobre este
particular, no podemos dejar de mencionar que el Comit de Derechos
Humanos en la Observacin General No. 16, interpretativa del artculo
17 del Pacto Internacional de Derechos Civiles y Polticos, seal
expresamente que "La recopilacin y el registro de informacin
personal en computadoras, bancos de datos y otros dispositivos, tanto
por las autoridades pblicas como por las particulares o entidades
privadas, deben estar reglamentados por la ley" (subraya fuera de
texto).
En ese sentido, debe insistir la Sala que existe una clara reserva legal en
lo que hace a la regulacin del tratamiento de los datos personales, que el
Gobierno Nacional no puede soslayar ni por expresa delegacin que le
haga el legislador sobre el particular, toda vez que cuando el
Constituyente asign en cabeza de aqul esa explicita funcin, lo hizo
entre otras para garantizar el pleno ejercicio del derecho. Sobre el
particular, en la sentencia T-396 de 1998 reiterada en la C-295 de
2002 frente a un acto que se dict para regular un aspecto de la ley
estatutaria de la administracin de justicia, se seal expresamente que
"No es admisible ... que se pueda expedir un acto reglamentario no para
desarrollar, ejecutar o hacer aplicables los mandatos de dicha ley
estatutaria, sino para regular materias sobre las cuales ella misma no se
ha ocupado". Aspecto similar al que es objeto de estudio, porque el
hecho que el proyecto de ley en revisin no regule aspectos esenciales de
lo que el mismo proyecto denomina "datos especiales" y que segn lo
explicado a lo largo de esta providencia, requieren de regulaciones
sectoriales, no faculta al Gobierno Nacional para su reglamentacin por
ser ste un aspecto reservado exclusivamente al legislador.
Finalmente, debe entenderse que la facultad a la que se refiere el
precepto acusado no se relaciona con la competencia constitucional del
Presidente de la Repblica de reglamentacin a la que alude el artculo
189, numeral 11 de la Constitucin. Dicha potestad no requiere de
- - ---------- -
278
Expediente PE-032
M.P. Jorge Ignacio Pretelt Chaijub
los recientes estndares internacionales sobre la materia "es cualquier
operacin o conjunto de operaciones, sean a no automatizadas, que se
apliquen a datos de carcter personal, en especial su recogida,
conservacin, utilizacin, revelacin o supresin,,299. Ese proceso de
tratamiento de datos personales, que puede ser pblico o privado,
requiere, en los trminos de la jurisprudencia de esta Corporacin,
definiciones claras sobre "el objeto o la actividad de las entidades
administradoras de bases de datos, las regulaciones internas, los
mecanismos tcnicos para la recopilacin, procesamiento,
almacenamiento, seguridad y divulgacin de los datos personales y la
reglamentacin sobre usuarios de los servicios de las administradoras
de las bases de datos. ,,300.
Entendido as el tratamiento sobre datos personales, es claro que su
regulacin es una competencia que tiene reserva del legislador, porque
toca aspectos del derecho al habeas data y que es un deber estatal en
cabeza del legislador "impedir que los procesos de administracin de
datos personales se conviertan en escenarios excluidos de la vigencia de
los derechos, lo que para el caso significa el establecimiento de reglas
de proteccin jurdica de la libertad del individuo ante los actos de
gestin de informacin,,301 y que de ninguna manera pueden quedar
librados a que sea el Ejecutivo quien haga su ordenacin, pues
corresponde al rgano de representacin popular como escenario propio
de la democracia deliberativa, establecer regulaciones claras y precisas
que impidan intervenciones lesivas tanto del Estado como de
particulares, en los derechos de los individuos a travs dela posibilidad
que tienen stos, como consecuencia de los avances de las nuevas
tecnologas de la informacin de acceder y manipular los datos
personales.
Es necesario insistir que con el proyecto objeto de revisin, que es una
normativa de principios, el legislador no agot su obligacin de seguir
desarrollando mediante lo que se han denominado "leyes sectoriales" el
tratamiento de datos segn su especificidad V.gr. inteligencia y
seguridad; salud, seguridad social, etc., tal como se examin en acpites
precedentes.
Entiende la Sala que cuando el artculo en revisin se refiere a los "datos
personales que requieran de disposiciones especiales", estos no son
otros que aquellos que por sus caractersticas requieren de lo que la
doctrina en materia de proteccin del habeas data ha denominado "leyes
299 Estndares internacionales sobre proteccin de datos personales y privacidad, aprobados el 5 de noviembre
de 2009 en Madrid en el marco de la 31 Conferencia Internacional de Autoridades de Proteccin de Datos y
Privacidad. Definicin que coincide en gran parte con la contenida en la Directiva 9546 del Parlamento
Europeo y del Consejo del 24 de octubre de 1995.
)00 Cfr. sentencia T-729 de 2002
)01 Sentencia C-I 01 1 de 2008. P. 106
277
Expediente PE-032
2.26.3.2. La Fundacin para la libertad de prensa seala que la regulacin
que se haga debe ajustarse no solo a las regulaciones que son objeto de
examen, sino a la Constitucin, a la jurisprudencia constitucional en
materia de habeas data y acceso a la informacin, al bloque de
constitucionalidad y a los tratados y acuerdos internacionales.
solicita declarar exequible el artculo, en el entendido que: i) las leyes y
actos administrativos especiales sobre datos personales emitidos antes de
que se sancione esta ley deben ajustarse, revisarse y actualizarse de
manera que sean consistentes con los principios y reglas generales
contenidos en el proyecto bajo estudio y con la jurisprudencia de la
Corte Constitucional y ii) las leyes y actos administrativos especiales
sobre datos personales emitidos con posterioridad a la sancin de la ley
en revisin deben respetar e incorporar los principios y reglas generales
contenidos en ella y con la jurisprudencia de esta Corporacin.
2.26.3.4. La Secretaria Jurdica de la Presidencia de la Repblica seala
que el anlisis constitucional sobre este artculo debe hacerse con
fundamento en: i) el carcter general de la ley y ii) la regulacin del
contenido esencial de la ley. En consecuencia, debe entenderse que el
proyecto de ley en revisin es una regulacin general del derecho de
habeas data, que tiene su fundamento en la facultad que tiene el
Gobierno Nacional para tratar una ley general en esta materia, pues no es
funcin del legislador definir situaciones determinadas, sino dar un
marco general sobre el tema.
2.26.4. Inexequibilidad del artculo 27
Esta norma seala que el Gobierno Nacional regular lo concerniente al
tratamiento sobre datos personales que requieran de disposiciones
especiales y agrega que, en todo caso, dicha reglamentacin no podr ser
contraria a las disposiciones contenidas en la presente ley
Le corresponde a la Sala, frente a este precepto, determinar su alcance y
si como lo sealan algunas de las intervenciones, el Gobierno Nacional
puede ejercer su facultad reglamentaria en esa materia.
El artculo 27 se refiere a: (i) el tratamiento sobre datos personales; (ii)
que requieran disposiciones especiales; (iii) regulacin que
corresponder al gobierno nacional; (iv) siempre y cuando se respeten
las disposiciones contenidas en el proyecto de ley objeto de revisin.
El tratamiento de datos personales, en los trminos que fueron definidos
en el artculo 3, literal g) del proyecto en estudio, de conformidad con
276
Expediente PE-032
M.P. Jorge Ignacio PreteIt Chaljub
En consecuencia, teniendo en consideracin que se trata de la regulacin
del derecho fundamental al habeas data, debe recordarse que las
limitaciones impuestas a su ejercicio a travs de la consagracin de
excepciones, han de ser precisas sin emplear conceptos que por su grado
de indeterminacin pueden comprometer el ejercicio o el goce de otros
derechos constitucionales.
Se trata de una defensa del principio de legalidad que pretende ofrecer
seguridad jurdica a las personas y, en esta medida, conocer con certeza
cundo sera viable la transferencia de datos personales a pases que no
otorgan garantas de proteccin adecuados. En concordancia con lo
anterior, lo dispuesto por el literal f) presenta un grado de
indeterminacin que puede afectar la proteccin de los datos personales,
motivo por el cual, se declarar su inexequibilidad.
2.26. EXAMEN DEL ARTCULO 27: DISPOSICIONES ESPECIALES
"TITULO IX
OTRAS DISPOSICIONES
Articulo 27. Disposiciones Especiales. El Gobierno Nacional
regular lo concerniente al Tratamiento sobre datos
personales que requieran de disposiciones especiales. En todo
caso, dicha reglamentacin no podr ser contraria a las
dispos iciones contenidas en la presente ley. "
2.26.3.1. La Defensora del Pueblo considera que la norma es inexequible
por su imprecisin y generalidad, en la medida que permite que por
medio de la potestad reglamentaria, se introduzcan regulaciones que
podran afectar el ncleo esencial del derecho a la proteccin de datos,
materia que, segn el artculo 152 Superior, literal a), tiene reserva legal
de carcter estatutario.
El Proyecto de Leyes bastante general, de manera que el mbito de
regulacin que quedara a disposicin del Ejecutivo resultara excesivo e
inadmisible, tratndose de una materia reservada al legislador, por
cuanto no queda claro qu tipo de datos seran objeto de reglamentacin.
En ltimas, si bien hay materias de carcter tcnico que podran dejarse a
la potestad reglamentaria o a las facultades de control y supervisin, la
competencia "general" de reglamentacin del tratamiento de datos que
requieran "disposiciones especiales", excede el mbito tcnico y
presupone la atribucin de una facultad indelegable.
275
Expediente PE-OJ2
Por su parte, el literal e) hace referencia a las transferencias necesarias
para la ejecucin de un contrato entre el Titular y el Responsable del
Tratamiento, o para la ejecucin de medidas precontractuales siempre y
cuando se cuente con la autorizacin del Titular. Esta excepcin prev
aquellas transferencias que se realizan teniendo como fundamento una
relacin de tipo contractual, la cual se regir bajo lo estipulado en el
respectivo contrato y conforme a los deberes y derechos estipulados en
cabeza de los extremos contractuales, siendo en esta medida el
Responsable del Tratamiento del dato, quien debe velar por el adecuado
manejo de la informacin, sin olvidar que para su transferencia se
requiere de la autorizacin del titular, autorizacin que, conforme a lo
reiteradamente expuesto, se entender debe ser previa y expresa.
As, siguiendo la misma lnea de la sentencia C-l O11 de 2008, se
advierte que en las mencionadas excepciones, salvo la consagrada en el
literal b), debe existir necesariamente autorizacin previa y expresa del
titular que permita trasmitir sus datos personales, descartando aS,
cualquier posibilidad de transferencia de datos a un tercer pas sin contar
con el consentimiento del titular. En este sentido, sern declarados
exequibles los literales c), d) Y e), en el entendido que slo procedern
cuando medie la autorizacin previa y expresa del titular de los datos.
Finalmente, en relacin con el literal 1) la Corte encuentra que lo all
estipulado maneja trminos que pueden ser objeto de imprecisiones y
que dada su naturaleza amplia y ambigua generan inconvenientes al
momento de su aplicacin.
Coincide la Corte con lo conceptuado por la Defensora del Pueblo en el
sentido de que las expresiones "necesarias" y "o para el
reconocimiento, ejercicio o defensa de un derecho en un proceso
judicial",no ofrecen suficiente claridad sobre su mbito de aplicacin y
si, por el contrario, van en contra de los principios de finalidad,
autorizacin y circulacin restringida de los datos personales. La anterior
consideracin, tiene fundamento en las siguientes observaciones:
Por una parte, la expresin "necesarias" resulta abierta, ambigua y
general en el sentido de que no establece respecto de quien se reputa
dicha necesidad, ni quien la define, ni cmo se establece. Por otro lado,
la expresin "o para el reconocimiento, ejercicio o defensa de un
derecho en un proceso judicial" no especifica si el proceso judicial
involucra al titular de los datos directamente como encausado o como
testigo; en qu calidad y bajo qu circunstancias se hace imperiosa la
transmisin, o si, por otro lado, se refiere a los derechos de un tercero.
274
Expediente PE-032
e) Transferencias necesarias para la ejecuclOn de un
contrato entre el Titular y el Responsable del Tratamiento, o
para la ejecucin de medidas precontractuales siempre y
cuando se cuente con la autorizacin del Titular.
f) Transferencias necesarias o legalmente exigidas para la
En relacin con estas excepciones, la Corte har algunas precisiones
concretas de cara a determinar su constitucionalidad. En este orden,
respecto al literal a) no se percibe ningn inconveniente, en tanto para
su procedencia se prescribe la autorizacin expresa e inequvoca del
titular del dato, lo anterior, en desarrollo del principio de la libre
voluntad del titular de autorizar la circulacin de la informacin. Por lo
tanto, es claro que aunque se permite la transferencia de datos a un pas
que no brinda estndares de proteccin adecuados, la misma se realiza
bajo la responsabilidad de su titular.
De esta manera, desde ya se deja establecido que la premisa de contar
con la autorizacin del titular de la informacin que es objeto de
transferencia, es el presupuesto que permite la circulacin de los datos
consagrados en las otras excepciones previstas en el presente artculo del
Proyecto de Ley y que ser su condicin para la respectiva declaratoria
de constitucionalidad.
El literal b) por su parte, hace referencia al tratamiento de datos de
carcter mdico, cuando se requiera a favor del titular por razones de
salud o higiene pblica Encuentra este Tribunal que la excepcin se
justifica, puesto que en este caso se trata de preservar y garantizar
derechos de rango fundamental. Es pertinente precisar que en esta
oportunidad, la facultad de autorizar la transferencia del dato mdico
recae no slo en su titular sino tambin en sus familiares o representante
legal, ya que dicho dato puede ser requerido en circunstancias donde su
titular no se encuentre en capacidad de otorgar la autorizacin.
En relacin con las transferencias bancarias o burstiles previstas en el
literal e), las mismas se regirn de conformidad a lo dispuesto por la Ley
1266 de 2008, la cual reglamenta el manejo de la informacin financiera,
crediticia y comercial, pero bajo el entendido que la transferencia se har
contando con la autorizacin previa y expresa del titular del dato.
De igual manera, se admite la procedencia de la excepcin consagrada
en el literal d), pues tal cual como se indica, dicha transferencia se rige
por lo establecido en los tratados internacionales suscritos por Colombia.
273
Expediente PE-032
M.P. Jorge [gnacio Pretelt Chaljub
pas respectivo o el receptor otorguen garantas suficientes para la
proteccin de los derechos del titular, este Tribunal condicion la
mencionada verificacin realizada por los operadores, a los parmetros
determinados por las Superintendencias de Industria y Comercio y
Financiera, quienes debern analizar el cumplimiento de los estndares
de garanta de derechos predicables del titular del dato personal, en la
legislacin del banco de datos extranjero de destino. As, dichas
entidades podrn, inclusive, identificar expresamente los ordenamientos
legales extranjeros respecto de los cuales, luego de un anlisis
suficiente, pueda predicarse dicho grado de proteccin suficiente de los
derechos del sujeto concernido.
En este sentido, y con sujecin a lo indicado por el referido Grupo de
Trabajo de Proteccin de Datos de la Unin Europea, se entender que
un pas cuenta con los elementos o estndares de garanta necesarios para
garantizar un nivel adecuado de proteccin de datos personales, si su
legislacin cuenta; con unos principios, que abarquen las obligaciones y
derechos de las partes (titular del dato, autoridades pblicas, empresas,
agencias u otros organismos que efecten tratamientos de datos
personales), y de los datos (calidad del dato, seguridad tcnica) y; con un
procedimiento de proteccin de datos que involucre mecanismos y
autoridades que efectivicen la proteccin de la informacin. De lo
anterior se deriva que el pas al que se transfiera los datos, no podr
proporcionar un nivel de proteccin inferior al contemplado en este
cuerpo normativo que es objeto de estudio.
2.25.4.3. Ahora bien, el artculo 26 del Proyecto de Ley crea, por otra parte, un
conjunto de excepciones a la regla general que prohbe la transferencia
de datos personales a un pas tercero que no garantice un nivel de
proteccin adecuado. Es decir, permite la transferencia de datos a pases
que pueden no garantizar un nivel adecuado de proteccin, en los
siguientes casos:
b) Intercambio de datos de carcter mdico, cuando as lo exija
el Tratamiento del Titular por razones de salud o higiene
pblica.
272
Expediente PE-032
En este orden de ideas, se tiene como pnnclplOs mnimos segn el
estndar europeo:
la limitacin de la finalidad;
calidad de los datos y proporcionalidad;
transparencia;
seguridad;
acceso, rectificacin y oposicin;
restricciones a las trasferencias sucesivas a otros pases y;
disposiciones sectoriales o adicionales para el tratamiento de datos
de tipo especial donde se incluye, datos sensibles, mercadeo directo
y decisin individual automatizada.
En este orden, se entender que un pas cuenta con un nivel adecuado de
proteccin de datos personales, si consagra una norma general sobre
proteccin de datos personales que incorpore los principios mnimos
mencionados, as como las disposiciones sectoriales o adicionales que
deben rodear el tratamiento de esa informacin.
2.25.4.2.En relacin con el ahora proyecto de Ley que es objeto de estudio, debe
decirse en primer lugar que difiere de lo sealado en la Ley 1266 de
2008
297
, pero coincide con el modelo europeo, en cuanto otorga la
competencia de determinar qu pases proporcionan un nivel adecuado
de proteccin de datos en el rgano de control, esto es, la
Superintendencia de Industria y Comercio, y no en los operadores que
manejan los datos.
En consecuencia, e inclusive, integrando lo contemplado en la Ley 1266
de 2008, por del pargrafo 2 del artculo 26 del Proyecto de
Ley en estudi0
2
8, ser la Superintendencia de Industria y Comercio la
encargada de determinar si un pas otorga garantas de proteccin de
datos.
A propsito de la Ley 1266 de 2008, no debe perderse de vista que la
Corte Constitucional mediante Sentencia C-l O11 de 2008, declar
inexequible algunas disposiciones y aval la constitucionalidad de otras
pero bajo ciertos condicionamientos:
Especficamente, en relacin con el literal t) del artculo 5, el cual
otorga la posibilidad de entregar informacin a un operador
extranjeroprevia verificacin por parte del operador de que las leyes del
297 Ley 1266 de 2008, Por la cual se dictan las disposiciones generales del hbeas data y se regula el manejo de
la informacin contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de
servicios y la proveniente de terceros pases y se dictan otras disposiciones.
298ARTCULO 26. PARGRAFO 2: las disposiciones contenidas en el presente artculo sern aplicables para
todos los datos personales, incluyendo aquellos contemplados en la Ley 1266 de 2008.
271
Expediente PE-032
Universidad de los Andes, Nelson Remolina Angarita, ha sealado que
el nivel adecuado de proteccin de los datos personales se refiere a que
el Estado importador tenga un grado de proteccin superior, igual,
similar o equivalente al del Estado exportador
295
, dndole aplicacin al
principio de continuidad en la proteccin de datos.
De igual manera, la Organizacin de las Naciones Unidas (ONU), el
Consejo de Europa, el Parlamento Europeo y el Consejo de la Unin
Europea han sealado que la transferencia internacional de datos es
viable si se establece que el pas importador ofrece garantas
comparables de proteccin a las ofrecidas por el pas exportador.
Tal como se indic precedentemente, Europa ha sido precursora en el
manejo de datos, estableciendo reglas para su transferencia a terceros
pases. De esta manera, el Grupo de Proteccin de las Personas en lo que
respecta al Tratamiento de Datos Personales
296
, en el marco de la
Comisin Europea adopt dos documentos de relevante importancia, a
saber: Las primeras orientaciones sobre la transferencia de datos
personales a pases terceros: posibles formas de evaluar la adecuacin
(Bruselas, 1997) y, transferencias de datos personales a terceros
pases: aplicacin de los artculos 25 y 26 de la Directiva sobre
proteccin de datos de la UE (Bruselas 1998.)
En sntesis, se determin que el nivel de proteccin adecuado se
encuentra sujeto al cumplimiento de dos factores; el primero, de
naturaleza regulatoria, consistente en la existencia de normas que
contengan derechos en cabeza del titular de los datos, y obligaciones
respecto de quienes procesan la informacin personal o ejercen control
sobre ese tratamiento y; el segundo, relacionado con los mecanismos
para garantizar la efectiva aplicacin del contenido normativo, lo cual
implica un conjunto de sanciones apropiadas para los infractores y un
rgano de control.
Teniendo en consideracin que los pases no tienen un rgimen de
proteccin de datos uniforme, el mencionado Grupo a partir de lo
contenido en la Directiva 95/46/CE, el Convenio 108 de 1981, las
directrices de la Organizacin para la Cooperacin y el Desarrollo
Econmico OCDE de 1980 y los principios de la ONU de 1990, fij una
serie de principios comunes para determinar si las normas de un
determinado pas brindan un nivel adecuado de proteccin.
295Nelson Remolina-Angarita, Tiene Colombia un nivel adecuado de proteccin de datos personales a la luz
del estndar europeo? 16 International Law, Revista Colombiana de Derecho Internacional, 489-524 (20 I O).
296EI Grupo de Trabajo fue creado por el artculo 29 de la Directiva 95/46/CE. Es un rgano consultivo
independiente de la VE sobre proteccin de datos y vida privada. Sus funciones son definidas en el artculo 30
de la citada Directiva y en el artculo 14 de la Directiva 97/66/CE.
270
Expediente PE-032
generalidad y vaguedad que contradicen el derecho fundamental de
proteccin de datos; en particular los prInCIpIOS de finalidad,
autorizacin, circulacin restringida.
Adicional a lo anterior, refiere que si se trata del reconocImIento,
ejercicio o defensa de un derecho del titular de la informacin, ser ste
el ms interesado en posibilitar la transferencia internacional de sus
datos. En caso de que se trate de los derechos de un tercero, debe
contarse con la autorizacin del titular de la informacin. En cualquier
caso, siempre se regresa a la excepcin que contempla el literal a) del
artculo 26.
2.25.4. Examen de constitucionalidad
2.25.4.1.La transferencia internacional de datos personales ha surgido como
consecuencia de la globalizacin y los fenmenos de integracin
econmica y social, en los que tanto las empresas como las entidades
gubernamentales requieren transferir datos personales destinados a
d
C. ,.
l1erentes proposltos
294
.
Debido a la necesidad de circular internacionalmente datos personales se
han dispuesto reglas que deben observarse con miras a que los esfuerzos
internos de proteccin de cada pas no sean intiles al momento de su
exportacin a otros pases.
Europa ha sido considerada pionera en establecer frmulas jurdicas
tendientes a la proteccin de datos cuando se transfieren a terceros
pases. As, uno de los presupuestos exigidos para que se pueda realizar
la transferencia es que el pas receptor cuente con un adecuado nivel de
proteccin a la luz del estndar europeo.
En este sentido, es acertado lo establecido por el artculo 26 del Proyecto
de Ley, en la medida que establece la premisa general de prohibir la
transferencia de datos personales de cualquier tipo a pases que no
proporcionen niveles adecuados de proteccin de datos. Lo anterior, con
el objetivo de no impedir el tratamiento de los datos pero evitando
lesionar derechos de las personas con ocasin del mismo, derechos
constitucionales como el derecho a la intimidad.
Sobre este punto, surge el cuestionamiento sobre qu es un nivel
adecuado de proteccin. El Director del Grupo de Estudios en internet,
Comercio electrnico, Telecomunicaciones e Informtica (GECTI) de la
294 Para los Estados es recurrente justificar la transferencia internacional de datos por motivos de seguridad
pblica, seguridad nacional, investigaciones contra el terrorismo, labores de inteligencia militar o policial,
cooperacin judicial, controles de inmigracin, etc. En el plano empresarial, las multinacionales necesitan
circular informacin entre las diferentes sucursales que poseen en varios pases del mundo, o requieren
informacin para brindar atencin telefnica a los clientes por medio de cal! centers internacionales.
269
Expediente PE-032
superintendencias y que esta es razn suficiente para otorgarles el poder
para fijar criterios para los operadores de informacin y calificar si existe
o no seguridad en el tratamiento que le dan terceros pases a los datos
transferidos por Colombia. En el ltimo pargrafo se hace alusin a que
la disposicin dada por el pargrafo 10 tiene que hacerse extensiva a la
ley 1266, pues la ley estatutaria encuentra una situacin inequitativa y
violatoria de derecho fundamental ya que en la ley ya nombrada quien
tiene la funcin que es otorgada a la Superintendencia en esta nueva ley
es desarrollada por el mismo operador nacional dando esto un nivel de
inseguridad en el manejo de los datos.
2.25.3.2. Por su parte, la Defensora del Pueblo, frente al literal b) solicita se
declare la exequibilidad condicionada, bajo el entendido que la
transmisin por las razones de que trata el literal b) no exime al operador
de recabar la autorizacin del titular de la informacin.
Respecto al literal f) realiza las siguientes precisiones:
Expone que el carcter "necesario" de una transferencia queda abierto,
en el sentido de que no establece respecto de quin se reputa dicha
necesidad, ni quin la define ni cmo se establece. Adems, dicho
carcter contraviene los principios de legalidad y de finalidad del
tratamiento, ya que no est condicionado al consentimiento previo y
expreso del titular. Adems, la definicin de "necesidad" se har en cada
caso particular, con lo cual el arbitrio para su definicin resulta
excesivamente vago y general.
De otro lado, sostiene que si a la expresin "necesarias" se adiciona la
expresin "salvaguarda del inters pblico", la eficacia de los derechos
fundamentales queda reducida a su mnima expresin. En efecto, el
"inters pblico" es una concepcin, en principio, carente de contenidos
jurdicos concretos, y por lo mismo, no puede esgrimirse como frmula
infalible para limitar o restringir los derechos fundamentales del
ciudadano. El eventual retiro de dichas expresiones "necesarias" y
"salvaguarda del inters pblico" no afectara el sentido de la norma
restante, ya que el literal f) limitara la excepcin que ella consagra a las
transferencias "legalmente exigidas". Por tanto, la Defensora solicita se
declaren contrarias a la Constitucin dichas expresiones.
Por otro parte, considera que la expresin "o para el reconocimiento,
ejercicio o defensa de un derecho en un proceso judicial" es ambigua en
tato no especifica si el proceso judicial involucra al titular de los datos
directamente como encausado o como testigo; en qu calidad y bajo qu
circunstancias se hace imperiosa la transmisin, o si, por otro lado, se
refiere a los derechos de un tercero. Es decir, que las circunstancias que
justificaran la cesin internacional de datos caen nuevamente en la
268
Expediente PE-032
Constitucin pues se est buscando el amparo de derechos
fundamentales como el de la vida y la salud del titular, sin importar que
no exista su autorizacin. Se requiere para hacer efectiva esta excepcin
la solicitud mdica o, en caso extraordinario, que provenga dicha
solicitud de autoridad administrativa o judicial; la Corte debe atender
esta excepcin pues lo que se busca en ltimas, como lo dijo en la
sentencia C-l O11 de 2008, es el cumplimiento de un objetivo de carcter
constitucional y proporcionado.
La tercera excepcin se refiere a las transferencias bancarias y burstiles,
que se hace til para el comercio internacional, pero esta excepcin no es
absoluta, pues para que se considere constitucional se debe cumplir con
el requisito de la existencia de la autorizacin del titular de la
informacin.
La cuarta excepcin hace referencia a la transferencia en razn de
tratados internacionales suscritos por Colombia, esta excepcin no trae
un mayor problema de constitucionalidad pues para la aprobacin de
dichos tratados es necesario un trmite que pasa por manos del Congreso
de la Republica y por la Corte Constitucional como parte del control de
constitucionalidad.
La quinta excepcin contempla las transferencias entre el titular y el
responsable del tratamiento, aduce que pareciera que esta es muy amplia
pero se limita y se comprueba su lealtad a la Constitucin, adems para
su aplicacin deben concurrir dos elementos que son: la autorizacin por
parte del titular de los datos y la prueba de necesidad, es decir que se
compruebe que realmente el dato objeto de transferencia es
indispensable para la ejecucin de la actividad contractual.
La ultima excepcin, plantea dos situaciones. La primera, que plantea el
literal f), es la que tiene como fin primordial y encuentra su justificacin
en la salvaguarda de intereses pblicos, pero esto teniendo en cuenta que
la autoridad administrativa tenga la facultad legal de no requerir la
autorizacin del titular y, en el segundo evento, se quiere lograr el
ejercicio legal y necesario de la defensa de derechos legales y por tanto,
se tiene por entendido no la autorizacin sino que exista la orden
judicial, todo esto para determinar que dicha excepcin se justifica a
nivel legal y constitucional.
El pargrafo primero del artculo en anlisis determina que es la
Superintendencia la encargada de dar los parmetros por los cuales
deben realizar las transferencias al igual que el otorgamiento de nivel de
adecuacin a los terceros pases; la constitucionalidad de dicho pargrafo
se da por el anlisis que hizo la Corte en la sentencia C-l O11 de 2008, en
la que reitera el carcter autnomo e independiente que ostentan las
267
Expediente PE-032
j) Transferencias necesarias o legalmente exigidas para la
Pargrafo 1. En los casos no contemplados como excepcin
en el presente artculo, corresponder a la Superintendencia
de Industria y Comercio, proferir la declaracin de
conformidad relativa a la transferencia internacional de datos
personales. Para el efecto, el Superintendente queda facultado
para requerir informacin y adelantar las diligencias
tendientes a establecer el cumplimiento de los presupuestos
que requiere la viabilidad de la operacin.
Pargrafo 2. Las disposiciones contenidas en el presente
artculo sern aplicables para todos los datos personales,
incluyendo aquellos contemplados en la Ley 1266 de 2008. "
2.25.3.1. La Secretara Jurdica de la Presidencia advierte que para poder
realizar un anlisis de constitucionalidad del artculo 26 de la Ley
Estatutaria, se deben tener presentes tanto los derechos del titular como
la obligacin de quienes tienen a su cargo el manejo de los datos. Afirma
que dentro de la globalizacin es importante darle reconocimiento a los
estndares internacionales que se convierten de obligatorio cumplimiento
para garantizar la proteccin de los datos personales del titular y asegurar
la eficacia de dichas normas.
En este sentido, el anlisis de proteccin debe hacerse teniendo en cuenta
el contenido de las normas aplicables y los medios para asegurar su
aplicacin eficaz. Todo esto crea la necesidad de la existencia de una
prohibicin de la transferencia de datos personales a terceros pases, pues
es dificil llegar a establecer como titular si al pas al que se est haciendo
la transferencia cumple con los mnimos de seguridad y proteccin de los
datos; de esto se desprende la necesidad de estipular dichas excepciones
sobre el tema como son:
La que hace referencia a la autorizacin expresa, informada e inequvoca
que debe hacer el titular para que se realice la transferencia a un tercer
pas, pero si por alguna razn el consentimiento no est completo, la
excepcin no ser aplicable. Todo este anlisis para concluir que esta
excepcin no representa una limitacin al derecho del artculo 15 de la
Constitucin.
La excepcin que hace referencia a la transferencia por razones mdicas,
de salud o higiene pblica, se encuentra justificada y acorde con la
266
Expediente PE-032
poder conocer clara y certeramente en qu bases se manejan sus datos
personales. Por ende, el Gobierno Nacional tendr en su labor de
reglamentacin que acudir a los estndares internacionales y a la
experiencia de otros Estados en la materia
293
para lograr que la finalidad
antes descrita de este registro se cumpla.
2.25. EXEQUIBILIDAD CONDICIONADA DEL ARTCULO 26 E
INEXEQUIBILIDAD PARCIAL DEL LITERAL F)
"Artculo 26. Prohibicin. Se prohbe la transferencia de
datos personales de cualquier tipo a pases que no
proporcionen niveles adecuados de proteccin de datos. Se
entiende que un pas ofrece un nivel adecuado de proteccin
de datos cuando cumpla con los estndares fijados por la
Superintendencia de Industria y Comercio sobre la materia,
los cuales en ningn caso podrn ser inferiores a los que la
presente ley exige a sus destinatarios.
b) Intercambio de datos de carcter mdico, cuando as lo
exija el Tratamiento del Titular por razones de salud o higiene
pblica.
e) Transferencias necesarias para la ejecucin de un contrato
entre el Titular y el Responsable del Tratamiento, o para la
ejecucin de medidas precontractuales siempre y cuando se
cuente con la autorizacin del Titular.
]9J Argentina, por ejemplo, mediante Decisin del 30 de junio de 2003, fue certificada por garantizar un nivel
adecuado de proteccin en lo que respecta a datos personales transferidos desde la Comunidad con arreglo a la
Directiva 95/46/CE del Parlamento y del Consejo Europeo, entre otros por contar con un registro pblico de
base de datos.
265
Expediente PE-032
proyecto en revisin, polticas que como se explic en precedencia, son
obligatorias y le permiten al ente de control imponer las sanciones
correspondiente por su inobservancia.
El pargrafo de esta norma estipula que el Gobierno Nacional
reglamentar dentro del ao siguiente a la promulgacin de la ley
estatutaria en revisin, la informacin mnima que debe contener el
Registro y los trminos y condiciones bajo los cuales se deben inscribir
en ste los Responsables del Tratamiento.
En princlplO este precepto no ofrece reparos frente a su
constitucionalidad. Sin embargo, se impone hacer algunas presiones que
no se evidencian de su literalidad. Veamos.
En el marco internacional se observa que esta clase de registros tienen
por objeto permitir que todas las personas, como una forma de
materializar su derecho al habeas data, puedan conocer con exactitud
qu bases de datos hacen tratamiento sobre sus datos personales y de esa
forma ejercitar todo el plexo de derechos que se derivan del habeas data:
actualizacin, rectificacin, oposicin, supresin, etc. En consecuencia,
ha de entenderse que el registro al que se refiere el precepto en revisin
no busca llevar simplemente un registro pblico de bases de datos, como
parecera deducirse de su texto, sino el permitir a cualquier ciudadano
establecer con exactitud quines son los responsables y encargados del
tratamiento de sus datos, como otra forma de materializar el principio de
transparencia que gua la administracin de las bases de datos. En otros
trminos, el objetivo de la centralizacin de esta clase de informacin
por parte de un rgano del Estado, es facilitar el ejercicio de uno de los
mbitos esenciales del habeas data: conocer quin est haciendo
tratamiento de datos personales, a fin de que pueda existir un control
efectivo de stos por su titular, hecho que explica por qu dicho registro
es abierto a la consulta del pblico en general. En ese orden ideas, la
inscripcin en l se debe imponer como una obligacin tanto para las
bases pblicas como privadas, pues este es un instrumento que permitir
que el Estado efectivamente garantice que el titular del dato pueda tener
un control efectivo sobre sus datos personales. Es decir, es sta otra
forma que en un instrumento puede ayudar a materializar el ejercicio de
un derecho fundamental como lo es el habeas data.
En ese sentido, cuando el pargrafo acusado seala que el Gobierno
Nacional reglamentar la informacin. mnima que debe contener este
registro y los trminos y condiciones en que se deben inscribir los
responsables del tratamiento, lo debe hacer teniendo en cuenta que ste
debe permitir a cualquier persona determinar quin est haciendo
tratamiento de sus datos personales para de esa forma garantizar que la
persona pueda tener un control efectivo sobre sus datos personales al
264
Expediente PE-032
El registro ser administrado por la Superintendencia de
Industria y Comercio y ser libre de consulta par los
ciudadanos.
Para realizar el registro de bases de datos, los interesados
Comercio las polticas de tratamiento de la informacin, las
cuales obligaran a los responsables y encargados del mismo, y
correspondientes. Las polticas de Tratamiento en ningn caso
podrn ser inferiores a los deberes contenidos en la presente
ley.
Pargrafo. El Gobierno nacional reglamentar, dentro del
ao siguiente a la promulgacin de la presente Ley, la
informacin mnimo que debe contener el registro, y los
trminos y condiciones bajo los cuales se deben inscribir en
este los Responsables del tratamiento. "
2.24.3. Intervenciones ciudadanas y concepto del Ministerio Publico
2.24.3.1. La Secretaria Jurdica la Presidencia solicita declarar la
exequibilidad de esta norma argumentando que la creacin del
Registro Nacional de Bases de Datos, encuentra sustento en los
artculos 150 y 152 de la Carta Poltica; afirma que con su creacin se
buscan herramientas que ayuden a la proteccin del derecho de
habeas data, y se convierte en un elemento que complementa las
funciones de vigilancia y control por parte de la superintendencia,
para as asegurar el cumplimiento del principio de transparencia en el
manejo y tratamiento de datos personales.
2.24.4. Constitucionalidad condicionada del artculo 25
El artculo 25 define el Registro Nacional de Datos como el directorio
pblico de las bases de datos sujetas a tratamiento que operan en el pas.
Registro administrado por la Superintendencia de Industria y Comercio
que tiene por objeto: (i) que todos los ciudadanos conozcan cules son
las bases de datos que funcionan en el pas; (ii) que la Superintendencia
tenga un control preciso sobre stas, en la medida que podr establecer
quin y cmo se trata la informacin en el territorio colombiano; (iii) el
conocimiento por parte del ente de control y vigilancia para la proteccin
del dato, sobre las polticas de tratamiento de la informacin que tienen
los responsables y encargados del tratamiento de datos personales, las
cuales deben, como mnimo, contener los deberes que estipula el
263
Expediente PE-032
M.P. Jorge [gnacio Pretelt Chaljub
a) La dimensin del dao o peligro a los intereses jurdicos
tutelados por la presente ley.
b) El beneficio econmico obtenido por el infractor o terceros,
en virtud de la comisin de la infraccin.
c) la reincidencia en la comisin de la infraccin.
d) La resistencia, negativa u obstruccin a la acczan
investigadora o de vigilancia de la Superintendencia de
e) La renuencia o desacato a cumplir las rdenes impartidas
j) El reconocimiento o aceptacin expresos que haga el
investigado sobre la comisin de la infraccin antes de la
imposicin de la sancin a que hubiere lugar.
No hubo ninguna intervencin y el Ministerio Pblico guard silencio.
2.23.4. La constitucionalidad del artculo 24
Este precepto se ajusta a la Constitucin, en la medida en que
corresponde al legislador establecer parmetros para que las autoridades,
al momento de aplicar determinada sancin, puedan hacer graduaciones
dependiendo de factores o circunstancias del investigado o de su
actuacin. En ese sentido, el precepto analizado consagra en los
primeros 5 literales, circunstancias de agravacin de la sancin, mientras
el ltimo, el literal f) consagra una causal de disminucin.
2.24. EXAMEN DEL ARTCULO 25: REGISTRO NACIONAL DE
BASES DE DATOS
"CAPITULO 3
Del Registro Nacional de Bases de Datos
Articulo 25. Definicin. El registro Nacional de Bases de
Datos es el directorio pblico de las bases de datos sujetas a
Tratamiento que operan en el pas.
Expediente PE-032
262
normas con fuerza material de ley; y (v) determina los rganos
encargados del ejercicio de la potestad sancionatoria ,,291.
De la misma manera como se manifest en aquella oportunidad, se
considera que el artculo 23 del proyecto de ley estatutaria tambin
cumple con estos requisitos, pues por va de reenvo es claro que las
sanciones establecidas se impondrn por la violacin de las normas sobre
el manejo de datos.
En segundo lugar, la norma debe cumplir con los princIpIOs de
proporcionalidad y razonabilidad, frente al cual el proyecto establece una
serie de criterios en su artculo 24 para determinar la sancin aplicable,
tales como: "a) La dimensin del dao o peligro a los intereses jurdicos
tutelados por la presente ley. b) El beneficio econmico obtenido por el
infractor o terceros, en virtud de la comisin de la infraccin. c) La
reincidencia en la comisin de la infraccin. d) La resistencia, negativa
u obstruccin a la accin investigadora o de vigilancia de la
Superintendencia de Industria y Comercio. e) La renuencia o desacato a
cumplir las rdenes impartidas por la Superintendencia de Industria y
Comercio. j) El reconocimiento o aceptacin expresos que haga el
investigado sobre la comisin de la infraccin antes de la imposicin de
. , h b' 1 ,,292
1a sanClOn a que u lere ugar .
En este sentido, se estima que existen los suficientes criterios para
determinar la sancin especficamente imponible, los cuales han sido
sealados por el propio proyecto de ley estatutaria.
Por ltimo cabe destacar que la norma respeta claramente el debido
proceso al remitirse al Cdigo Contencioso Administrativo en relacin
con los procedimientos aplicables. En consecuencia, se declarar la
exequibilidad del artculo 23, salvo la expresin "a favor de la
Superintendencia de Industria y Comercio" contenida en el literal a) del
artculo 23 que se declarar INEXEQUIBLE como consecuencias de la
declaratoria de inexequibilidad del literal a) del artculo 20
2.23. EXMEN DEL ARTCULO 24: CRITERIOS PARA GRADUAR
LAS SANCIONES
Articulo 24. Criterios para graduar las sanciones. Las
sanciones por infracciones a las que se refieren el artculo
anterior, se graduarn atendiendo los siguientes criterios, en
cuanto resulten aplicables:
291 Sentencia C-l 011 de 2008, M.P. Jaime Crdoba Trivio.
292 Sentencia C-IOll de 2008, M.P. Jaime Crdoba Trevio.
261
Expediente PE-032
que establece la posibilidad de interponer sanciones cuando se hayan
incumplido las disposiciones de esta ley. En este sentido, el supuesto de
hecho que completa la norma jurdica sancionatoria est constituido por
la infraccin de las disposiciones de la futura ley estatutaria por la cual
se dictan disposiciones generales para la proteccin de datos personales.
Por otro lado, esta Corporacin se pronunci en la sentencia C-1 O11 de
2008 sobre la constitucionalidad de una norma similar al artculo 23, la
cual sealaba que la Superintendencia de Industria y Comercio y la
Superintendencia Financiera podrn imponer a los operadores, fuentes o
usuarios de informacin financiera, crediticia, comercial, de servicios y
la proveniente de terceros pases previas explicaciones de acuerdo con el
procedimiento aplicable las sanciones de Multas, Suspensin de las
actividades del Banco de Datos, Cierre o clausura de operaciones del
Banco de Datos y Cierre inmediato y definitivo de la operacin de
Bancos de Datos
29o

En esa oportunidad, esta Corporacin declar la constitucionalidad de la
norma considerando que la norma cumpla con los elementos bsicos de
tipicidad:
"El rgimen sancionatorio previsto en la Ley de hbeas data
respeta los principios de reserva legal, legalidad y tipicidad, en
el grado de rigurosidad exigible en el derecho administrativo
sancionador. Los preceptos examinados, con las remisiones y
concordancias sealadas, (i) definen los elementos bsicos de
las infracciones que generan sancin y los criterios para su
determinacin; (ii) establecen el contenido material de la
sancin; (iii) permiten establecer una correlacin entre el
contenido de la norma de conducta y la norma de sancin,' (iv)
establecen - va remisin - un procedimiento establecido en
290 Artculo 18 del Proyecto de Ley Estatutaria numero 221 de 2007 Cmara, 027 de 2006 senado acumulado
con el numero 05 de 2006 Senado: "Sanciones. La Superintendencia de Industria y Comercio y la
Superintendencia Financiera podrn imponer a los operadores, fuentes o usuarios de informacin financiera,
crediticia, comercial, de servicios y la proveniente de terceros pases previas explicaciones de acuerdo con el
procedimiento aplicable, las siguientes sanciones:
Multas de carcter personal e institucional hasta por el equivalente a mil quinientos (1.500) salarios mfnimos
mensuales legales vigentes al momento de la imposicin de la sancin, por violacin a la presente ley, normas
que la reglamenten, as como por la inobservancia de las rdenes e instrucciones impartidas por dicha
Superintendencia. Las multas aqu previstas podrn ser sucesivas mientras subsista el incumplimiento que las
origin.
Suspensin de las actividades del Banco de Datos, hasta por un trmino de seis (6) meses, cuando se estuviere
llevando a cabo la administracin de la informacin en violacin grave de las condiciones y requisitos
previstos en la presente ley, as como por la inobservancia de las rdenes e instrucciones impartidas por las
Superintendencias mencionadas para corregir tales violaciones.
Cierre o clausura de operaciones del Banco de Datos cuando, una vez transcurrido el trmino de suspensin, no
hubiere adecuado su operacin tcnica y logstica, y sus normas y procedimientos a los requisitos de ley, de
conformidad con lo dispuesto en la resolucin que orden la suspensin.
Cierre inmediato y definitivo de la operacin de Bancos de Datos que administren datos prohibidos".
260
Expediente PE-032
2.22.3. Violacin de los principios de tipicidad y correlacin o
proporcionalidad entre la infraccin y la sancin.
El artculo 23 del proyecto establece las sanciones que puede aplicar la
Superintendencia de Industria y Comercio a los responsables del
tratamiento y encargados del tratamiento, dentro de las cuales contempla
las multas, la suspensin de las actividades relacionadas con el
tratamiento, el cierre temporal de las operaciones relacionadas con el
tratamiento y finalmente el cierre inmediato y definitivo de la operacin:
Esta norma constituye una disposicin de carcter sancionatorio y por
ello debe cumplir con todos los principios propios del debido proceso
sancionador contemplados en la Constitucin Poltica y reconocidos por
la jurisprudencia de esta Corporacin:
En primer lugar, el principio de legalidad, de acuerdo con el cual: "las
conductas sancionables no slo deben estar descritas en norma previa
sino que, adems, deben tener un fundamento legal, por lo cual su
definicin no puede ser delegada en la autoridad administrativa" 288,
Este axioma tiene una interpretacin menos rigurosa en el Derecho
administrativo sancionador que en el Derecho penal, pues es posible una
flexibilizacin razonable de la descripcin tpica:
"Ha reiterado la Corte, que en el derecho administrativo
sancionador "aunque la tipicidad hace parte del derecho al
debido proceso en toda actuacin administrativa, no es
demandable en este campo el mismo grado de rigurosidad que
se exige en materia penal ", por cuanto la naturaleza de las
conductas reprimidas, los bienes jurdicos involucrados y la
teleologa de las facultades sancionadoras en estos casos,
hacen posible tambin una flexibilizacin razonable de la
descripcin tpica, en todo caso, siempre erradicando e
impidiendo la arbitrariedad y el autoritarismo, que se haga
prevalecer los principios de legalidad y de justicia social, as
como los dems principios y fines del Estado, y que se asegure
los derechos constitucionales, los intereses legtimos y los
derechos de origen legal o convencional de todas las personas"
289
Esta norma cumple con el princIpIo de tipicidad, para lo cual debe
interpretarse conjuntamente con el artculo 22 de la futura ley estatutaria,
288 Sentencia C-406 de 2004, M.P. Clara Ins Vargas Hemndez.
289 Sentencia C-406 de 2004, M.P. Clara Ins Vargas Hemndez.
259
Expediente PE-032
M.P. Jorge Ignacio Pretelt ChaJjub
esfuerzo por regular de forma sistemtica y clara los procedimientos
sancionatorios, sin necesidad de remisiones que en ocasiones dificultan
su aplicacin.
2.22. EXMEN DEL ARTCULO 23: SANCIONES
Articulo 23. Sanciones. La Superintendencia de Industria y
Comercio podr imponer a los Responsables del Tratamiento
y Encargados del tratamiento las siguientes sanciones:
a) Multas de carcter personal e institucional a favor de la
Superintendencia de Industria y Comercio hasta por el
equivalente de dos mil (2000) salarios mnimos mensuales
legales vigentes en el momento de la imposicin de la sancin.
Las multas podrn ser sucesivas mientras subsista el
incumplimiento que las origin.
b) Suspensin de las actividades relacionadas con el
tratamiento hasta por un trmino de seis (6) meses. En el acto
de suspensin se indicarn los correctivos que se debern
adoptar.
c) Cierre temporal de las operaciones relacionadas con el
tratamiento una vez transcurrido el trmino de suspensin sin
que se hubieran adoptado los correctivos ordenados por la
d) Cierre inmediato y definitivo de la operacin que involucre
el tratamiento de datos sensibles.
Pargrafo. Las sanciones indicadas en el presente artculo
slo aplican para las personas de naturaleza privada. En el
evento en el cual la Superintendencia de Industria y Comercio
advierta en presunto incumplimiento de una autoridad pblica
a las disposiciones de la presente ley, remitir la actuacin a
la Procuradura General De la Nacin para que adelante la
investigacin respectiva.
En relacin en con esta norma no se present ninguna intervencin ni el
Ministerio Pblico conceptu.
258
Expediente PE-032
El procedimiento para la imposicin de las sanciones de carcter
administrativa, en los trminos de la jurisprudencia de esta Corporacin
impone la "certeza sobre las reglas de juego aplicables para la
investigacin, efectuar la respectiva imputacin de responsabilidad, e
imponer la correspondiente sancin al infractor, si a ello hubiere lugar.
Este procedimiento debe garantizar, a travs de mecanismos idneos, un
adecuado ejercicio del derecho de defensa ,,287.
Corresponde ahora a la Corte determinar si el procedimiento que regula
el Cdigo Contencioso Administrativo, satisface el derecho al debido
proceso y defensa. En ese sentido, encontramos que en el artculo 28 y
siguientes de esa codificacin, se regula un procedimiento que en criterio
de la Sala garantiza los derechos al debido proceso y defensa de las
personas sujetas al control de la autoridad de proteccin del dato.
Veamos:
El artculo 28 seala el deber de comunicar las actuaciones cuando de
una actuacin se desprenda que hay particulares que pueden resultar
afectados, en este orden, ha de entenderse esa comunicacin debe
garantizar que efectivamente el responsable o encargado del tratamiento
sea efectivamente enterado de la mlClaClOn de la actuacin
administrativa, razn por la que se impone su notificacin personal.
El artculo 30 establece la garanta de imparcialidad y en consecuencia,
establece las causales de recusacin para el funcionario que deba dirigir
una investigacin, con este precepto se garantiza la transparencia y el
principio de imparcialidad para la funcin pblica. El artculo 34 seala
que se podrn pedir y decretar pruebas sin requisitos ni trminos
especiales, con este precepto se garantiza el derecho a la defensa y
contradiccin y el 35 regula la adopcin de decisiones, previendo que
antes de adoptar las medidas correspondientes, se tendr que escuchar a
los interesados y motivar, as sea sumariamente la resolucin. La
notificacin, en los trminos del artculo 44, debe ser personal.
Finalmente, el artculo 47 prev que se informar sobre los recursos que
proceden contra la decisin, reposicin y apelacin.
El anterior recorrido normativo, le permite a la Sala concluir que el
procedimiento que consagra el Cdigo Contencioso Administrativo
garantiza los derechos al debido proceso y defensa, razn por la que se
declarar exequible el artculo 22 del proyecto de ley en revisin
No obstante lo anterior, la Corte concuerda con la intervencin de la
Defensora del Pueblo, en el sentido que el legislador debe hacer un
287 Cfr sentencia C-IOll de 2008. Considerando 3.6.2.
257
Expediente PE-032
2.21.3.2. El artculo 22, inciso primero, cumple con el pnnClpIO del debido
proceso, en la medida en que seala que le corresponder a la
Superintendencia de Industria y Comercio adoptar las medidas y
sancionar a los responsables y encargados del tratamiento de datos. Por
tanto, se cumple con la obligacin de designar la autoridad competente
para imponer las sanciones por el desconocimiento de las normas de
proteccin del dato.
En relacin con el principio de tipicidad, encuentra la Sala que pese a la
generalidad de la ley, es determinable la infraccin administrativa en la
medida en que se seala que la constituye el incumplimiento de las
disposiciones de la ley, esto es, en trminos especficos, la regulacin
que hacen los artculos 17 y 18 del proyecto de ley, en los que se sealan
los deberes de los responsables y encargados del tratamiento del dato.
De esta misma generalidad adoleca el proyecto que dio origen a la Ley
1266 de 2008, y la Corte, en la sentencia C-1 O11 de 2008, interpret que
la infraccin administrativa la constitua el desconocimiento de los
deberes de los usuarios, fuentes y operadores. Esa interpretacin ser la
misma que emplear en esta oportunidad la Sala para declarar la
exequibilidad del inciso primero del artculo 22, cuando se refiere al
"incumplimiento de las disposiciones de la presente ley por parte del
Responsable del Tratamiento o el Encargado del Tratamiento ".
En ese momento, la Sala advirti que:
"Por ltimo debe insistirse que en el mbito propio del
derecho administrativo sancionador, la tipicidad de la falta se
acredita cuando la conducta sancionable est descrita de
manera especfica y precisa, bien porque la misma est
determinada en el mismo cuerpo normativo o sea
determinable, a partir de la aplicacin de otras normas
jurdicas. En el caso propuesto, el listado de obligaciones y
deberes predicables de los operadores, las fuentes y los
usuarios, que ofrece la legislacin estatutaria otorgan un
marco suficientemente definido para la identificacin precisa
de las faltas n.
En relacin con el inciso segundo, la Sala encuentra que hace un reenvo
al Cdigo Contencioso Administrativo en lo que hace al procedimiento
que debe aplicarse para la imposicin de las sanciones. Es decir, pese a
que el legislador estatutario expresamente no consagr "el
procedimiento" para la aplicacin de las sanciones contempladas en el
artculo 23, ese reenvi permite sealar que el inciso se ajusta al artculo
29 de la Constitucin, toda vez que s existe un procedimiento especfico
que debe aplicar la autoridad de proteccin del dato.
256
Expediente PE-032
2.21.2.3. El Ministerio Pblico no hizo pronunciamiento alguno en relacin
con este artculo.
2.21.3. Constitucionalidad del rgimen sancionatorio administrativo
aplicado a la proteccin del dato
2.21.3.1. Sin lugar a dudas la regulacin que hace el legislador estatutario en el
capitulo 2, se inscribe en lo que se ha denominado la potestad
sancionadora del Estado, en este caso, en cabeza de una entidad de
carcter administrativo como la Superintendencia de Industria y
Comercio, a travs de la nueva delegada que crea el legislador estatutario
para cumplir la funcin de autoridad de proteccin del dato personal, en
observancia del principio de control y sancin de la Resolucin 45/95 de
la Asamblea General de la ONU.
Este poder sancionador estatal ha sido definido como "un instrumento de
autoproteccin, en cuanto contribuye a preservar el orden jurdico
institucional mediante la as ignac 10n de competencias a la
administracin que la habilitan para imponer a sus propios funcionarios
y a los particulares el acatamiento, inclusive por medios punitivos, de
una disciplina cuya observancia contribuye a la realizacin de sus
cometidos ".
Esa potestad es una manifestacin del jus punendi, razn por la que est
sometida a los siguientes principios: (i) el principio de legalidad, que se
traduce en la existencia de una ley que la regule; es decir, que
corresponde slo al legislador ordinario o extraordinario su definicin.
(ii) El principio de tipicidad que, si bien no es igual de riguroso al
penal, s obliga al legislador a hacer una descripcin de la conducta o del
comportamiento que da lu&ar a la aplicacin de la sancin y a determinar
expresamente la sancin
2
5. (iii) El debido proceso que exige entre
otros, la definicin de un procedimiento, as sea sumario, que garantice
el debido proceso y, en especial, el derecho de defensa, lo que incluye la
designacin expresa de la autoridad competente para imponer la sancin.
(iv) El principio de proporcionalidad que se traduce en que la sancin
debe ser proporcional a la falta o infraccin administrativa que se busca
sancionar
286
. (v) La independencia de la sancin penal; esto significa
que la sancin se puede imponer independientemente de si el hecho que
da lugar a ella tambin puede constituir infraccin al rgimen penal.
Estos principios son los que debe cumplir cada una de las normas del
captulo en revisin.
285 Cfr. Sentencia SU-lO 10 de 2008.
286 Cfr. sentencia C-401 de 2010. M.P. Lus Ernesto Vargas Silva.
255
Expediente PE-032
2.21. EXAMEN DEL ARTCULO 22: PROCEDIMIENTO Y
SANCIONES
2.21.1. Texto de la disposicin.
CAPITULO 2
Procedimiento y Sanciones
Articulo 22. Trmite. La superintendencia de Industria y
Comercio, una vez establecido el incumplimiento de las
disposiciones de la presente ley por parte del Responsable del
tratamiento o el Encargado del Tratamiento, adoptara las
En lo no reglado por la presente ley y los procedimientos
correspondientes se seguirn las normas pertinentes del
Cdigo Contencioso Administrativo.
2.21.2.1. La Defensora del Pueblo seala que el proyecto no contempla un
procedimiento especfico para el trmite de las sanciones, de manera que
siempre ser necesario acudir a los procedimientos internos y /0 a lo
previsto en el Cdigo Contencioso Administrativo. Sin embargo, la
Defensora consider que el legislador no puede soslayar su
responsabilidad de diseo y consagracin de los mecanismos procesales
requeridos para hacer efectivo el derecho reglamentado. Por tanto, con
fundamento en el artculo 152 de la Constitucin, seala que el
procedimiento que al que remite el artculo 22 ha debido regularlo
expresamente el legislador estatutario sin hacer las remisiones que
aparecen en el inciso segundo. En consecuencia, considera que la
remisin es contraria a la Constitucin. Seala que ante la ausencia de
esas normas, la Corte Constitucional en desarrollo de su atribucin de
modular los fallos puede: (i) exhortar al Congreso para que expida una
Ley Estatutaria contentiva de los mecanismos y recursos que deben
adelantarse ante la autoridad de proteccin de datos, esto es, ante la
Superintendencia de Industria y Comercio; y (ii) mientras se adelanta ese
trmite, podran aplicarse las normas de la Ley Estatutaria 1266 de 2008,
pese a que presenta los mismos problemas respecto a los procedimientos
especiales.
2.21.2.2. La Universidad de los Andes. Considera que al no estar regulado el
usuario, las normas de este captulo devienen en inexequible por cuanto
las sanciones y el procedimiento tambin han debido contemplar a este
sujeto.
254
Expediente PE-032
k) Las dems que le sean asignadas por ley. "
Ningn ciudadano ni el Procurador se pronunciaron sobre la
constitucionalidad de esta disposicin
2.20.3. Exequibilidad el artculo 21.
Esta disposicin enlista las funciones que ejercer la nueva Delegatura
de proteccin de datos personales. Al estudiar las funciones a ella
asignadas, encuentra esta Sala que todas corresponden y despliegan los
estndares internacionales establecidos sobre la autoridad de vigilancia.
En efecto, desarrollan las funciones de vigilancia del cumplimiento de la
normativa, de investigacin y sancin por su incumplimiento, de
vigilancia de la transferencia internacional de datos y de promocin de la
proteccin de datos.
Adems, debe afirmarse que, tal como lo estableci la Corte en la
Sentencia C-l O11 de 2008, la naturaleza de las facultades atribuidas a la
Superintendencia -a travs de la Delegatura-, "caen dentro del mbito
de las funciones de polica administrativa que corresponden a esos
rganos tcnicos adscritos al ejecutivo (Art. 115 c.p.), en tanto
expresin de la potestad de direccin e intervencin del Estado en la
economa (Art.334), y de intervencin reforzada del Gobierno en las
actividades financiera, burstiles y aseguradoras (Art. 335 c.P.). "
Finalmente, tal como lo aclaraba la sentencia en cita, la asignacin de
facultades de vigilancia, promoclOn y sancionatorias a la
Superintendencia de Industria y Comercio, "no puede interpretarse
como el desplazamiento o la reasignacin de competencias que
constitucional o legalmente le han sido atribuidas a otros rganos
institucionales de control. En tal sentido, sin perjuicio de las funciones
de vigilancia asignadas a las Superintendencias a que alude el proyecto,
rganos como la Defensora del Pueblo, por ejemplo, conservan a
plenitud sus competencias constitucionales (Art. 282 c.P.) y legales (Ley
24 de 1992) que le imponen velar por la promocin, ejercicio y
divulgacin de los derechos humanos, y por ende, del derecho
fundamental al hbeas data".
En hilo de lo expuesto, se declarar exequible el artculo 21 del
proyecto de ley estatutaria en estudio.
253
Expediente PE-032
b) Adelantar las investigaciones del caso, de oficio o a
peticin de parte y, como resultado de ellas, ordenar las
medidas que sean necesarias para hacer efectivo el derecho de
hbeas data. Para el efecto, siempre que se desconozca el
derecho, podr disponer que se conceda el acceso y
suministro de los datos, la rectificacin, actualizacin o
supresin de los mismos.
e) Disponer el bloqueo temporal de los datos cuando, de la
fundamentales, y dicho bloqueo sea necesario para
protegerlos mientras se adopta una decisin definitiva.
implementare: campaas pedaggicas para capacitar e
Responsables del Tratamiento y Encargados del Tratamiento a
j) Solicitar a los Responsables del Tratamiento y Encargados
h) Administrar el Registro Nacional Pblico de Bases de
Datos y emitir las rdenes y los actos necesarios para su
i) Sugerir o recomendar los ajustes, correctivos o
adecuaciones a la normatividad que resulten acordes con la
evolucin tecnolgica, informtica o comunicacional.
252
Expediente PE-032
artculo 359 de la Constitucin, el cual consagra que "No habr rentas
de destinacin especifica ".
Ahora bien, dicho principio constitucional guarda estrecha relacin con
el principio de unidad de caja, estipulado en el Decreto 111 de 1996
(Estatuto Orgnico del Presupuesto), el cual sostiene que "Con el
recaudo de todas las rentas y recursos de capital se entender el pago
oportuno de todas las apropiaciones autorizadas en el Presupuesto
General de la Nacin ", es decir, que la totalidad de los ingresos pblicos
deben ingresar sin previa destinacin a un fondo comn desde donde se
asignan a la financiacin del gasto pblico.
Por otro lado, el artculo 27 del Decreto 111 de 1996 consagra la
clasificacin de los ingresos corrientes de la Nacin, sealando que se
dividen entre "tributarios" y "no tributarios". Los primeros a su vez, se
clasifican en "impuestos directos e indirectos" y los segundos en "tasas"
y "multas". Entonces, tenemos que las multas se consideran ingresos no
tributarios pero que pertenecen al ingreso corriente de la nacin, que son
destinados al presupuesto nacional. Lo anterior, es consecuente con la
norma constitucional que define el significado de ingresos corrientes
como "los constituidos por ingresos tributarios y no tributarios con
excepcin de los recursos de capital".
Por lo anterior, concluye esta Sala que destinar al funcionamiento de la
Superintendencia de Industria y Comercio, las multas generadas con
ocasin del ejercicio de las funciones que le otorga el proyecto en
revisin, contradice la prohibicin de destinacin de rentas especficas y
el de unidad de caja establecido por el Estatuto Orgnico del Presupuesto
Nacional, sobre el cual la Corte ha dicho que es desarrollo de la
Constitucin econmica. Por lo tanto, la Sala declarar inexequible el
literal a) del artculo 20 del proyecto de ley.
En este orden, la financiacin de esta nueva dependencia depender de
los recursos del presupuesto nacional sealados en el literal b) del
artculo 20 en revisin, que en consecuencia ser declarado exequible
pues se establece en cumplimiento del principio del gasto pblico
consagrado en el artculo 345.
2.20. EXAMEN DE CONSTITUCIONALIDAD DEL ARTCULO 21:
FUNCIONES DEL ORGANO DE VIGILANCIA
"Artculo 21. Funciones. La Superintendencia de Industria y
251
Expediente PE-OJ2
i) Sugerir o recomendar los ajustes, correctivos o
adecuaciones a la normatividad que resulten acordes con la
evolucin tecnolgica, informtica o comunicacional.
k) Las dems que le sean asignadas por ley. "
2.19.2.1. ASOBANCARIA solicita la inexequibilidad del articulo 20 por
considerar que los recursos producto de las sanciones que se impongan
en aplicacin de la ley deben ir a la Superintendencia de Industria y
Comercio, vulnera la Constitucin, ya que habra una violacin al debido
proceso por el hecho de que quien sancione sea en ltimas el beneficiario
de la sancin, ostentando una condicin privilegiada que puede resultar
vulneratoria de los derechos de los beneficiarios de la norma. Solicit a
la Corte analizar si este tipo de regulaciones exceden la libertad de
configuracin del legislador, ya que por la naturaleza del recaudo
multas- deben estar destinadas al Tesoro Pblico.
2.19.2.2. La Secretara Jurdica explica que las atribuciones otorgadas a la
Superintendencia se encuentran enmarcadas dentro de la Constitucin
Poltica en el articulo 150; por esta razn, dentro del presupuesto de la
superintendencia ya se encuentran incluidos los dineros recaudados por
concepto de multas impuestas que servirn para el funcionamiento de
dicho ente, pero aclara que todas las actuaciones de la superintendencia
deben estar ajustadas a principios generales del derecho y de ley,
facultando a las personas que han sido multadas para interponer recursos
o acudir ante la jurisdiccin contenciosa para resolver las controversias
que susciten las decisiones adoptadas.
2.19.3. Anlisis de constitucionalidad del artculo 20
El artculo 20 se refiere a los recursos con los cuales ha de funcionar esa
Delegada. ASOBANCARIA plantea que si los dineros producto de las
multas son un factor vlido de financiacin para que la nueva delegatura
que se crea en la Superintendencia de Industria y Comercio pueda ejercer
las funciones que le son atribuidas por la ley. En este sentido, debe
responderse si la destinacin de esta renta se encuentra conforme con el
250
Expediente PE-032
b) Los recursos que le sean destinados en el Presupuesto
General de la Nacin.
Artculo 21. Funciones. La Superintendencia de Industria y
b) Adelantar las investigaciones del caso, de oficio o a
peticin de parte y, como resultado de ellas, ordenar las
medidas que sean necesarias para hacer efectivo el derecho de
hbeas data. Para el efecto, siempre que se desconozca el
derecho, podr disponer que se conceda el acceso y
suministro de los datos, la rectificacin, actualizacin o
supresin de los mismos.
c) Disponer el bloqueo temporal de los datos cuando, de la
fundamentales, y dicho bloqueo sea necesario para
protegerlos mientras se adopta una decisin definitiva.
implementara campaas pedaggicas para capacitar e
Responsables del Tratamiento y Encargados del Tratamiento .a
j) Solicitar a los Responsables del Tratamiento y Encargados
h) Administrar el Registro Nacional Pblico de Bases de
Datos y emitir las rdenes y los actos necesarios para su
249
Expediente PE-032
ninguna de las actuaciones de la Delegatura, se condicionar la
exequibilidad del primer prrafo del artculo 19 a que dicha autoridad
siempre deber actuar de acuerdo con esas caractersticas. De igual
manera, el Gobierno Nacional, al momento de reglamentar esta
dependencia, debe asegurarse de que se conforme por personas con un
conocimiento tcnico y que hagan parte de carrera administrativa de la
entidad.
2.18.3.4. En cuanto al pargrafo primero, encuentra esta Sala que otorgarle al
ejecutivo la funcin de crear la Delegatura de proteccin de datos dentro
de la estructura de la Superintendencia, se enmarca dentro de los
establecido por el numeral 16 del artculo 189 Superior: "corresponde al
Presidente de la Repblica (. . .): Modificar la estructura de los
ministerios, departamentos administrativos y dems entidades u
organismos administrativos nacionales, con sujecin a los principios y
reglas generales que defina la ley". De manera que se declarar
exequible pues no se observa reparo alguno de constitucionalidad sino
que, por el contrario, desarrolla la citada disposicin constitucional.
Finalmente, en cuanto al pargrafo segundo, se observa que mantener lo
previsto por la Ley 1266 de 2008 sobre la vigilancia de los datos
financieros, se compadece con el carcter general de la regulacin
adoptada por el proyecto de ley, lo que se refleja en la consagracin de
excepciones al mbito del proyecto de ley en el artculo 2 del proyecto,
ya analizado en esta providencia, que precisamente exceptu -por su
especialidad y carcter sectorial- el tratamiento de los datos regulados en
la Ley 1266 de 2008, lo cual incluye, por supuesto, lo relacionado con su
vigilancia y con la autoridad que la ejerce -Superintendencia Financiera
. De lo anterior no se deriva ningn problema de inconstitucionalidad y
se enmarca dentro de la libertad de configuracin del legislador, teniendo
en cuenta adems que la Ley 1266 de 2008 -a la que remite la
disposicin en comento- fue declarada exequible en lo que se refiere a la
autoridad de vigilancia, siempre y cuando sta acte autnoma e
independientemente, tal como se ratific en la presente providencia ..
2.19. EXAMEN DEL ARTCULO 20: RECURSOS DEL ORGANO DE
VIGILANCIA
"Artculo 20. Recursos para el ejercicio de sus funciones. La
Superintendencia de Industria y Comercio contar con los
siguientes recursos para ejercer las funciones que le son
atribuidas por la presente ley:
a) Las multas que se impongan a los sometidos a vigilancia.
248
Expediente PE-032
condiciones stas que concurren en la garanta de
imparcialidad e independencia, necesarias para la proteccin
adecuada de los derechos fundamentales del titular del dato
1
,,283
persona
Se acept s, que la autoridad de proteccin de datos deba ser autnoma
e independiente razn por la que se condicion la norma que estaba en
revisin a que las mencionadas autoridades actuaran de esa forma. Sobre
el particular se puntualizo: " .. .la concurrencia de condiciones de
autonoma e independencia de las Superintendencias de Industria y
Comercio y Financiera, es imprescindible para la adecuada proteccin
de las prerrogativas constitucionales predicables del sujeto concernido,
en especial el derecho fundamental al hbeas data. En consecuencia, la
Corte considera necesario condicionar la exequibilidad del artculo 17
del Proyecto de Ley Estatutaria, en el entendido que las
Superintendencias, en todo caso, deben actuar con independencia y
, ., d "l . ,,284
autonomla en suunclOn e Vlgl anCla.
Finalmente, la Sala precis que esas nuevas facultades para las
superintendencias no implicaban un desplazamiento de competencias
que constitucional o legalmente le han sido asignadas a otros rganos
dentro del Estado colombiano como la Defensora del Pueblo, en
especial para la promocin de los derechos humanos.
2.18.3.3. Las consideraciones expuestas por la Corporacin en aquella
oportunidad resultan vlidas en el marco del proyecto de ley bajo
revisin, porque tambin en esta ocasin se est procurando, y con
mayor razn por tratarse de la regulacin de los estndares mnimos de
la proteccin general de los datos personales, que la autoridad encargada
de esa funcin de proteccin tenga carcter independiente y autnomo
frente a las personas que tratan estos datos, adems de su carcter
tcnico, especializado y sancionador. Lo anterior ya se encuentra
garantizado con la creacin de una Delegatura para la proteccin de
datos personales dentro de la Superintendencia de Industria y Comercio,
adems, con la reafirmacin de que, a pesar de hacer parte del ejecutivo,
la ley le ha otorgado a la superintendencia caractersticas de autonoma e
independencia que garantizan el cumplimiento de los antes explicados
estndares internacionales fijados sobre la autoridad encargada de la
proteccin de datos.
Sin embargo, tal como lo dispuso la Corte en la citada sentencia, para
efectos de asegurar que esa autonoma e independencia no se disipe en
administrativa y financiera y patrimonio propio. Igualmente, el artculo 10 del Decreto 2153/92 define a la
Superintendencia de Industria y Comercio como un organismo de carcter tcnico adscrito al Ministerio de
Desarrollo Econmico, que goza de autonomla administrativa, financiera y presupuesta!.
283 Cfr. Sentencia C-l O11 de 2008. P.p . 233 Y 234
284 P. 236
247
Expediente PE-032
puedan verificar si la legislacin del banco de datos de
destino otorga garantas suficientes para la proteccin de los
derechos del titular. "
Igualmente, se argument que dada la naturaleza de los agentes
econmicos regulados por esas entidades, cada una ejercera el control
de ellos dependiendo de su actividad. En ese sentido, se indic, con
fundamento en los artculos 333 y siguientes de la Constitucin, que el
Estado est obligado a intervenir en la economa y ejercer a travs de sus
entidades tcnicas -las superintendencias- el control y la regulacin
sobre los distintos agentes econmicos, actuando para el efecto como
una polica administrativa con un conocimiento tcnico del sector, hecho
que ''justifica la asignacin de potestad de regulacin y sancionadora,
en materia de manejo y administracin de datos, a la Superintendencia
Financiera, y a la Superintendencia de Industria y Comercio, en
relacin con los agentes sometidos a su control y vigilancia ".
Para concluir lo siguiente:
"No obstante, debe anotarse que el ejercicio de cada una de
estas funciones implica, necesariamente, que las
Superintendencias de Industria y Comercio y Financiera,
acten de manera autnoma e independiente, a efectos de
asegurar la eficacia de los derechos fundamentales del
titular de la informacin financiera y crediticia, interferidos
en los procesos de administracin de datos personales ...
dicha pertenencia orgnica de las superintendencias al poder
Ejecutivo no es incompatible con que respecto de esas
entidades se predique un margen de autonomia suficiente,
que permita la adecuada proteccin de los derechos
fundamentales del titular. Esta conclusin se basa en dos
consideraciones diferenciadas. La primera est relacionada
con el deber que tienen las superintendencias de ejercer la
funcin administrativa con base en los principios de igualdad,
moralidad, eficacia, economa, celeridad, imparcialidad y
publicidad (Art. 209 c.p.), condiciones todas ellas que
propugnan por la existencia de organismos de control,
vigilancia y sancin que lleven a cabo sus funciones bajo las
premisas de la proteccin del inters general y la vigencia de
los derechos constitucionales (Art. 2 c.P.). La segunda, tiene
que ver con el hecho que el ordenamiento jurdico colombiano
ha dotado a las Superintendencias de Industria y Comercio y
Financiera de un carcter eminentemente tcnico y de
, d . fi . 1
282
autonomla a mlnzstratlva, znanclera y presupuesta,
282 El artculo 2 del Decreto 4327/05 establece que la Superintendencia Financiera de Colombia, es un
organismo tcnico adscrito al Ministerio de Hacienda y Crdito Pblico, con personera jurdica, autonoma
246
Expediente PE-032
En ese sentido, los lineamientos europeos trados a colacin, en concepto
de la Sala, no solo son una excelente herramienta para lograr una
proteccin ms efectiva del derecho fundamental al habeas data, que es
un propsito que se impuso claramente el Constituyente en el articulo
15, sino una gua que el Gobierno Nacional debe seguir para cumplir los
retos de un mercado global izado, en el cual el individuo cada vez ms,
va perdiendo espacios de libertad y autodeterminacin.
2.18.3.2. Esta Corporacin, en la sentencia C-l O11 de 2008 analiz la
constitucionalidad de que las superintendencias Financiera y la de
Industria y Comercio, fungieran como autoridades de proteccin de
datos en lo concerniente al dato financiero, comercial o crediticio con
fines de control de riesgo.
En esa oportunidad, se argument que, pese a que las superintendencias
estn en el mbito de la rama ejecutiva del poder pblico y dependen del
Presidente de la Repblica, no es posible desconocer su carcter
independiente y autnomo por tratarse de organismos tcnicos con
autonoma administrativa y obligados a satisfacer en ejercicio de sus
competencias los principios que, en los trminos del artculo 209 de la
Constitucional, rigen la funcin administrativa. Se seal expresamente:
"Aunque de conformidad con el artculo 115 c.P. las
Superintendencias integran la Rama Ejecutiva y, por ende,
dependen del Presidente de la Repblica en tanto suprema
autoridad administrativa, ello no desvirta su naturaleza de
organismos tcnicos y la autonoma administrativa que les es
predicable. Al respecto, debe tenerse en cuenta que de
conformidad con las normas que establecen la naturaleza
jurdica de la Superintendencia de Industria y Comercio y
F
. 281 b ' d .
znanclera, se trata en am os casos e organismos
tcnicos, que cuentan con autonoma administrativa.
Adems, estas entidades estn obligadas a dar cumplimiento
estricto a los principios que guan la funcin administrativa,
esto es, los de igualdad, moralidad, eficacia, economa,
celeridad, imparcialidad y publicidad, fijados por el artculo
209 Superior. En tal sentido, las entidades en comento son
instancias imparciales, investidas del grado de independencia
suficiente para fijar criterios objetivos para que los
operadores de informacin de contenido crediticio, comercial,
financiero, de servicios y proveniente de terceros pases
28\ Sobre este particular, el artculo 2 del Decreto 4327/05 establece que la Superintendencia Financiera de
Colombia, es un organismo tcnico adscrito al Ministerio de Hacienda y Crdito Pblico, con personera
jurdica, autonoma administrativa y financiera y patrimonio propio. Del mismo modo, el artculo l del
Decreto 2153/92 define a la Superintendencia de Industria y Comercio como un organismo de carcter tcnico
adscrito al Ministerio de Desarrollo Econmico, que goza de autonoma administrativa, financiera y
presupuestal.
245
Expediente PE-032
derechos como el habeas data de un entramado de mecamsmos,
instituciones y acciones que permitan su real satisfaccin.
Precisamente, dentro de esa idea de garanta institucional del derecho al
habeas data y con fundamento en los estndares internacionales, se han
creado instituciones autnomas e independientes para la proteccin de
los datos personales, entes centralizados que solo pueden fijar polticas
en clave de proteccin del derecho al habeas data y con poder coercitivo
suficiente para lograr su efectiva proteccin, sin injerencias por parte de
autoridades o personas que puedan limitar su correcta funcionalidad
279
,
en especial frente a los agentes privados que tienen hoy una alta
capacidad para el manejo de datos personales. Obviamente en lo pblico,
la automatizacin de datos se ha convertido en algo esencial para el
cumplimiento de las funciones asignadas al Estado, por ejemplo, en
materias como la salud y la hacienda, por sealar slo algunas que
requieren por parte del ciudadano de mecanismos de proteccin claros,
por entes pblicos y privadas estn tratando sus datos.
En ese sentido, en el ao 2001, en el marco de la 23 Conferencia
Internacional de Comisarios de Proteccin de Datos celebrada en Pars,
se acordaron unas caractersticas que deben ostentar estas autoridades
para ser acreditadas ante dicha conferencia, teniendo en cuenta la
importancia que stas cumplen en la proteccin del dato personal. Esas
peculiaridades se pueden resumir ase
80
: i) organismo pblico de creacin
legal; (ii) una base jurdica que garantice su independencia y
compromiso con la efectiva proteccin de este derecho. Para el efecto, se
dice que este rgano debe tener la tipologa de los organismos pblicos
encargados dentro del Estado de la proteccin de los derechos. (iii) En
relacin con la autonoma e independencia, seala que stas deben
permitir el adecuado cumplimiento de la funcin.
Los lineamientos expuestos, le permiten a la Sala hacer el examen de
constitucionalidad del artculo 19, aclarando que esos estndares no son
obligatorios para el Estado colombiano, pero s una fuente valiosa para el
juez constitucional a la hora de tomar una decisin, pues precisamente lo
que se pretende con el proyecto en estudio, adems de lograr una
proteccin del dato personal en los trminos en que lo exige la
Constitucin, es lograr que el pas cumpla con los estndares
internacionales en la materia para lograr las certificaciones necesarias
para insertarse en el mercado, como un territorio con niveles adecuados
de proteccin de los datos personales.
279 Segn TRONCOSO REGAIDA, una de los mayores inconvenientes de las agencias de proteccin de datos
en Europa es su falta de coercibilidad. Por su parte, en el modelo americano y sus caractersticas de leyes
sectoriales, se echa de menos la existencia de un ente central encargado de la vigilancia, regulacin y
proteccin de los datos personales.
280 Traduccin libre del ingls al espaol.
244
Expediente PE-032
control de los registros, archivos, bases o bancos de datos, cuya funcin
principal es velar por el cumplimiento de los derechos consagrados en la
Ley 25.326. Adems, con funciones correctivas y sancionatorias. Es un
rgano descentralizado adscrito al Ministerio de Justicia y Derechos
Humanos de la Nacin, que debe contar con un perfil tcnico y con
funciones sancionatorias.
En Uruguay, la Ley N 18.331 cre la Agencia para el Desarrollo del
Gobierno de Gestin Electrnica y la Sociedad de la Informacin y del
Conocimiento -AGESIC-, rgano que depende de la Presidencia de la
Repblica, con autonoma tcnica. Como rgano desconcentrado de esta
agencia, se cre la Unidad Reguladora y de Control de Datos Personales,
dirigida por un Consejo integrado por tres miembros: el Director
Ejecutivo de AGESIC y dos miembros designados por el Poder
Ejecutivo entre personas que por sus antecedentes personales,
profesionales y de conocimiento en la materia, aseguren independencia
de criterio, eficiencia, objetividad e imparcialidad en el desempeo de
sus funciones.
En ese sentido, es claro que la proteccin de los datos personales
requiere no solo de una regulacin que consagre los principios que rigen
el tratamiento del dato, los derechos de su titular, los deberes y
responsabilidades de los sujetos que intervienen en su tratamiento, sea
cual sea la denominacin que stos reciban, sino de un rgimen
sancionatorio expreso, como de una institucionalidad que permita un
control y mbito de garanta efectivo del derecho al habeas data.
La anterior afirmacin se precisa, por cuanto es necesario entender que
este derecho, como fundamental autnomo, requiere para su efectiva
proteccin de mecanismos que lo garanticen, los cuales no slo deben
pender de los jueces, sino de una institucionalidad administrativa que
adems del control y vigilancia tanto para los sujetos de derecho pblico
como privado, aseguren la observancia efectiva de la proteccin de datos
y, en razn de su carcter tcnico, tenga la capacidad de fijar poltica
pblica en la materia, sin injerencias polticas para el cumplimiento de
esas decisiones.
Algunos doctrinantes, siguiendo a Ferrajoli, sealan que el concepto de
garanta impone al legislador dar los instrumentos "adecuados para
procurar la satisfaccin de las expectativas generadas por los derechos"
porque sin ella los derechos son simples enunciados sin vocacin de
coercin
278
. Esa garanta, en concepto de la Sala, requiere para ciertos
por el PODER EJECUTIVO NACIONAL, por el plazo de CUATRO (4) aos, debiendo ser seleccionado
entre personas con antecedentes en la materia." (Negritas fuera del texto original).
www.jus.gov.ar/datospersonales.aspx .
278 BRUNO J GAIRO E IGNACIO M SOBA. "La regulacin procesal del Habeas Data". Editorial lB de F.
Montevideo-Buenos Aires, citando a Ibez, Perfecto Andrs, Pg. 28
243
Expediente PE-032
territorio de las disposiciones adoptadas por ellos ... Estas autoridades
ejercern las funciones que le son atribuidas con total independencia".
En el mismo sentido, la Carta Europea de Derechos Fundamentales
estipula en el artculo 8.3 "el respeto al derecho fundamental a la
proteccin de datos ' personales quedar sujeto al control de una
autoridad independiente" y la fracasada Constitucin Europea
consagraba prescripcin similar en el articulo 1.5.1.3., al sealar que "el
respeto de dichas normas estar sometido al control de autoridades
. d d' ,,274
In epen lentes .
En ese contexto existe un Supervisor Europeo de Proteccin de Datos,
autoridad supervisora independiente que tiene como objetivo principal
garantizar que las instituciones y rganos europeos respeten el derecho a
la intimidad y la proteccin de datos de carcter personal y se desarrollen
nuevas polticas en el mbito de proteccin
275
.
A nivel de los pases europeos, se observa que casi todos cumplen con el
estndar de la autoridad independiente. Espaa, por ejemplo, regul las
Agencias Autonmicas de Proteccin de Datos como rganos
independientes, constituidas como un ente de derecho pblico con
personalidad jurdica propia y plena capacidad pblica y privada, que
funcionan en las Autonomas, y un ente central denominado Agencia
Espaola de Proteccin de Datos.
Esta Agencia acta de forma independiente frente a las administraciones
pblicas en el ejercicio de sus funciones, entre las cuales estn las de: (i)
velar por el cumplimiento de la legislacin sobre proteccin del dato, en
especial, que se cumpla el acceso, rectificacin, oposicin y cancelacin
de datos; (ii) atender las reclamaciones y peticiones de los afectados; (iii)
ejercer la potestad sancionatoria; (iv) ordenar el cese en el tratamiento y
la cancelacin de los datos; (v) autorizar las transferencias
internacionales de datos; (vi) hacer recomendaciones normativas en
materia de seguridad y control a las bases de datos.
En Portugal existe un Consejo de Proteccin de Datos que tiene
funciones parecidas a las de la Agencia Espaola
276
.
En Latinoamrica encontramos que en Argentina existe la Direccin
Nacional de proteccin de datos
277
creada en el 2002 como organismo de
274 Este recuento normativo se encuentra en TRONCOSO REGAIDA, pgs. 1737-1739
275 www.ec.europa.eu
276 Ley 67 de 1998. Ley de Proteccin de Datos Personales, articulo 25.
277Ley 25.326 de 2000. Artculo 29. Articulo 29. " 1) Crase la DIRECCION NACIONAL DE PROTECCION
DE DATOS PERSONALES, en el mbito de la SECRETARIA DE JUSTICIA Y ASUNTOS
LEGISLATIVOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, como rgano de control de
la Ley N 25.326. El Director tendr dedicacin exclusiva en su funcin, ejercer sus funciones con plena
independencia y no estar sujeto a instrucciones. 2) La DIRECCION NACIONAL DE PROTECCION DE
DATOS PERSONALES se integrar con un Director Nacional, Nivel "A" con Funcin Ejecutiva 1, designado
242
Expediente PE-032
tener un control mnimo a las personas y empresas que tratan los datos
personales.
2.18.2.2. La Defensora del Pueblo solicita declarar la exequibilidad
condicionada de este artculo, teniendo en cuenta que la sentencia C
1011 de 2008 seal que las superintendencias, como autoridades de
proteccin de datos, deben actuar con independencia y autonoma,
mxime cuando el pargrafo 2 mantiene el control dual para la
proteccin de datos.
2.18.3. Exequibilidad del artculo 19
2.18.3.1. El artculo 19 regula la autoridad de proteccin de datos, y se designa
como tal a la Superintendencia de Industria y Comercio, a travs de una
Delegatura para la proteccin de datos personales que implica la
creacin dentro de la estructura de la superintendencia, de un despacho
para un Superintendente Delegado para ejercer las funciones de
Autoridad de Proteccin de Datos.
En los principios rectores para la reglamentacin de los ficheros
computarizados de datos personales, adoptado por la Asamblea General
de la ONU, Resolucin 45/95 del 14 de diciembre de 1990, al sealar los
principios mnimos que deben preverse en la legislacin nacional, se
encuentra el de control y sancin. Para el efecto, se seala que cada
Estado debera establecer en su legislacin interna una autoridad
independiente e imparcial con respecto a las personas y organismos
responsables del procesamiento de datos o de su aplicacin, con una
competencia tcnica. Igualmente, la legislacin debera prever
sanciones penales y de otro tipo cuando se incumplan los principios
que regulan el tratamiento de los datos.
En Europa, el Convenio 108 no estableca algo similar, no obstante, la
libre circulacin de datos, entre otros, en asuntos de justicia, producto
del Convenio Schengen, impuso la necesidad de administraciones o
agencias independientes para la proteccin de datos con una capacidad
sancionatoria
273
. Ese hecho y la creciente necesidad de proteccin de
datos, hicieron que en la Directiva 95/46/CE se estipulara la importancia
de la existencia de una entidad independiente para la garanta efectiva
del dato personal al sealar expresamente en su artculo 28 que "una o
ms autoridades pblicas se encarguen de vigilar la aplicacin en su
27J TRONCOSO REGAIDA, Antonio "La Proteccin de Datos Personales. En busca del equilibrio" Editorial
Tiralt to blanchtratados" Valencia 2010. Pgs. 1727 y siguientes. Segn este autor, este convenio de
cooperacin forz a algunos Estado europeos a regular internamente en sus legislaciones el tema de la
proteccin de datos. Seala que especficamente en Espaa ste fue un motor para la aprobacin de la ley
orgnica que regula el tema, la LORTAD.
241
Expediente PE-032
En primer lugar, la Superintendencia de Industria y Comercio como
mxima autoridad de vigilancia y control para el tratamiento y
proteccin de Datos Personales. Sobre el particular, se refiri a la
sentencia C-l O11 de 2008, en la cual la Corte efectu un detallado
estudio del tema y describi condiciones de autonoma e independencia
de esta superintendencia, y la importancia que tiene que se le asigne a
dicho ente la potestad de regular y sancionar el manejo y administracin
de datos.
Afirma adems que el hecho que esta superintendencia, sin importar que
dependa del poder ejecutivo, tenga carcter autnomo, desarrolla el
principio de especialidad, pues est radicando en este organismo tcnico,
funciones que garantizan mayor efectividad la tarea de control,
regulacin y vigilancia sobre los datos financieros, crediticios,
comerciales y de servicios.
Por ltimo, concluye sobre este primer punto que, segn la ley, las
superintendencias son independientes y autnomas en su funcin de
vigilancia; las facultades atribuidas por la ley estatutaria a estos entes
tcnicos estn dentro de las funciones de polica administrativa; y, todos
los lineamientos dados a las Superintendencias de Industria y Comercio,
y Financiera estn acordes con la Constitucin y se encuentran
enmarcados dentro de los fines de un estado social de derecho.
En segundo lugar, estudia la creacin de la Delegatura para la Proteccin
de Datos y su incorporacin en la estructura de la Superintendencia de
Industria y Comercio. Manifest que dentro del proyecto se establece un
trmino de 6 meses para la incorporacin de dicho despacho a la SIC, lo
que encuentra fundamento constitucional en la funcin atribuida al
Congreso en el artculo 150 de la Carta Poltica.
En tercer lugar, sobre la remisin a la Ley 1266 de 2008, seala que esta
remisin se concatena con lo establecido en el mismo proyecto de ley en
su artculo 33 que dispone la derogatoria de toda la normativa que le sea
contraria, salvo las exceptuadas en el artculo 2, dentro de las que se
encuentra la Ley de 2008. Lo anterior, afirm, tiene sustento en el
numeral 7 del artculo 150 Superior, pues en este caso el objetivo del
legislador fue mantener el control de datos personales de contenido
comercial, financiero y crediticio en cabeza de la Superintendencia
Financiera y de la Superintendencia de Industria y Comercio cuando el
agente regulado no hace parte del sector financiero.
Finalmente, se refiere a la decisin de centralizar las competencias
administrativas en cabeza de la SIC, encuentra su fundamento no solo en
la Constitucin, sino que lo considera altamente conveniente con miras a
240
Expediente PE-032
No obstante, la lista de deberes enunciados en estos artculos, desde el
punto de vista sancionatorio y en virtud del principio de legalidad, s
operan como una lista taxativa, es decir, los encargados y responsables
no pueden ser sancionados por incumplimiento de deberes que no se
hallen en las disposiciones bajo estudio, por lo menos en lo que respecta
a las sanciones administrativas previstas por el mismo proyecto de ley.
Por las anteriores, la Corte declarar la exequibilidad de los artculos 17
y 18 del proyecto de ley.
2.18. EXAMEN DEL ARTCULO 19: AUTORIDAD DE PROTECCION
DE DATOS
"TITULO VII
DE LOS MECANISMOS DE VIGILANCIA Y SANCION
Capitulo 1
De la A utoridad de Proteccin de Datos
Articulo 19. Autoridad de Proteccin de Datos. La
Superintendencia de Industria y Comercio, a travs de una
Delegatura para la Proteccin de Datos personales, ejercer
la vigilancia para garantizar que en el Tratamiento de datos
personales se respeten los Principios, derechos, garantas y
procedimientos previstos en la presente ley.
Pargrafo 1. El gobierno Nacional en el plazo de seis (6)
meses contados a partir de la fecha de entrada en vigencia de
la presente ley incorporar dentro de la estructura de la
Superintendencia de Industria y Comercio un despacho de
Superintendente Delegado para ejercer las funciones de
Autoridad de proteccin de datos.
Pargrafo 2. La vigilancia del tratamiento de los datos
personales regulados en la Ley 1266 de 2008 se sujetar a lo
previsto en dicha norma.
2.18.2.1. La Secretaria Jurdica de la Presidencia asegura que el artculo 19
tiene 3 puntos que se deben considerar de manera separada para realizar
el estudio de constitucionalidad, as:
239
Expediente PE-032
M.P. Jorge 19nacio Pretelt Chaljub
As, por ejemplo, si bien es cierto que el artculo 17 seala que el
responsable del tratamiento es quien debe solicitar y conservar la
autorizacin en la que conste el consentimiento expreso del titular para
el tratamiento de sus datos, as como informar con claridad la finalidad
del mismo, tambin lo es que, en cumplimiento de los principios de
libertad y finalidad, el encargado del tratamiento al recibir la delegacin
para tratar el dato en los trminos en que lo determine el responsable,
debe cerciorarse de que aquel tiene la autorizacin para su tratamiento y
que el tratamiento se realizar para las finalidades informadas y
aceptadas por el titular del dato. Esto significa que en razn de la
posicin que cada uno de estos sujetos ocupa en las etapas del proceso
del tratamiento del dato, es al responsable al que le corresponde
obtener y conservar la autorizacin del titular, asunto que no impide al
encargado solicitar a su mandante exhibir la autorizacin
correspondiente y verificar que se cumpla la finalidad informada y
aceptada por el titular de dato.
En consecuencia, pese a que el artculo 18 no enlista este deber por parte
del encargo del tratamiento, ha de entenderse que en virtud del literal a)
omnicomprensivo de todos las potestades que se derivan del derecho al
habeas data, el encargado del tratamiento tambin ha de responder por la
existencia de la autorizacin para tratar el dato como por asegurar la
finalidad del mismo, pues para poder desarrollar el objeto de su
actividad, debe cerciorarse que el titular extendi el consentimiento para
el efecto. Lo anterior no significa que el encargado deba ser quien recabe
la autorizacin. Su deber en relacin con sta consiste en verificar su
existencia y alcance.
Lo anterior significa que corresponder a la autoridad de proteccin de
datos como a las autoridades judiciales en el mbito de su competencia,
garantizar al titular del dato o sus causahabientes, la proteccin que
exige el ejercicio de su derecho al habeas data, el cual no puede quedar
sujeto a limitaciones basadas en la exclusin de la responsabilidad frente
a los deberes que cada sujeto involucrado en el tratamiento del dato
pueda argumentar, con fundamento en la ley. Es cierto que ellegisladpr
estatutario hizo un esfuerzo por describir los deberes que le asiste a uno
y otro sujeto que participan en el tratamiento del dato, pero ello no
significa que el titular del derecho no pueda exigir otros que puedan
resultar para la plena garanta del mismo en concordancia con los
principios que regulan la administracin de datos. En otras palabras, los
deberes enunciados en los artculos bajo estudio, respecto del titular del
derecho al habeas data, no son taxativos sino enunciativos, lo que
significa que responsables y encargados tendrn otros deberes derivados
del derecho al habeas data, que correspondern a las prerrogativas que
otorga el derecho, en tanto sujetos pasivos de dicha garanta
constitucional.
238
Expediente PE-032
En consecuencia, tal como se seal en el acpite de definiciones, es
posible que un encargado del tratamiento resulte convirtindose en
responsable al definir la finalidad y los elementos esenciales del medio,
razn por la que sus deberes no solo sern los que seala el proyecto
para su condicin inicial sino para la que llegue a ostentar. En ese
sentido, se ajusta al texto constitucional el pargrafo del artculo 18
cuando expresamente establece que en el evento en que concurran las
calidades de responsable y encargado del tratamiento en la misma
persona, le ser exigible el cumplimiento de los deberes previstos para
cada uno. En el mismo sentido, cuando esa calidad llegue a mudar por el
tratamiento que uno de ellos llegue a dar al dato personal.
Igualmente, es necesario insistir en que pese a la dificultad que pueda
causar el uso de una terminologa diversa a la que emplea la Ley 1266 de
2008, lo cierto es que tanto el responsable como el encargado del
tratamiento tienen responsabilidades claras, concretas y precisas frente al
titular del dato, por cuanto ambos sujetos, en los trminos de los
preceptos en anlisis, estn obligados a garantizar el ejercicio pleno y
efectivo del derecho al habeas data, el cual se irradia por todos los
principios que rigen el tratamiento de datos, en donde el titular dispone
de todos los medios para lograr la actualizacin, rectificacin y
supresin o cancelacin de la informacin, segn lo analizado en el
acpite anterior.
En ese orden de ideas, es necesario reiterar como lo hizo la Sala en la
sentencia C-l O11 de 2008, que tanto el responsable como el encargado
del tratamiento tienen una responsabilidad concurrente frente a la
veracidad, integridad, finalidad e incorporacin del dato, si se tiene en
cuenta que la recoleccin y procesamiento de datos no es una actividad
neutra que impida al encargado del tratamiento responder, incluso por la
veracidad de la informacin sujeta a proceso, pues a ste le corresponde
cerciorarse que se cumplan los requisitos para que un dato personal
pueda ser objeto de tratamiento.
En consecuencia, la Sala advierte que si no se puede identificar de forma
clara la posicin de uno y otro, tendrn que responder de forma solidaria
y no podrn excusar sus deberes de actualizacin, rectificacin y
exclusin o supresin del dato.
En ese sentido, se debe entender que cuando los literales a) de los
artculos 17 y 18 imponen como deberes tanto del responsable o como
del encargado del tratamiento, garantizar al titular en todo tiempo, el
pleno y efectivo derecho de habeas data, ello incluye que se cumplan los
principios para la administracin de datos y los derechos de los titulares.
237
Expediente PE-032
M.P. Jorge Ignacio Pretelt Cbaljub
(vi) Tramitar las consultas y reclamos, hecho que lo obliga a dar a
conocer al encargado esas eventualidades para que ste incluya la
informacin correspondiente en la base de datos, con anotaciones que
permitan identificar fcilmente el estado de la informacin, es decir, para
que siempre se encuentre actualizada -literales j) y 1), e igualmente
adoptar reglamentos claros para que el titular del dato pueda hacer
exigible sus derechos a consultar y reclamar -literal k).
(vii) Informar el uso del dato al titular cuando este lo requiera -literal
m), en virtud de los principios de finalidad y libertad.
(viii) Cumplir todas las instrucciones y requerimientos de la
Por su parte, el artculo 18 seala que los encargados del tratamiento del
dato, al igual que los responsables, estn obligados a garantizar el
derecho al habeas data al titular. En consecuencia, tiene deberes de: (i)
actualizar, rectificar y suprimir los datos cuando a ello haya lugar y en
los tiempos indicados para el efecto, literales c) y d). Por tanto, como
una forma de cumplir con estos deberes, se le impone (ii) la obligacin
de incluir en la informacin que suministre, leyendas tales como
"informacin en discusin judicial" cuando la autoridad judicial lo
notifique sobre el particular, o "reclamo en trmite ", tal como lo indica
el artculo 15, numeral 2 del proyecto en revisin, literales g) y h), (iii)
no circular informacin que por orden la autoridad de control este
bloqueada mientras se adopta la decisin definitiva; (iv) tramitar los
reclamos y consultas. Para el efecto, debe adoptar un manual que no solo
le permita el adecuado cumplimiento de la ley sino responder en forma
eficaz y eficiente a los reclamos y a las consultas que se le efecten en
los trminos indicados en el ttulo IV de la ley; (v) al igual que los
responsables, informar cualquier violacin a los cdigos de seguridad y
administracin de la informacin y (vi) cumplir las instrucciones y
requerimientos del rgano de vigilancia y control del dato personal.
Estos deberes en cabeza del responsable y del encargado del tratamiento,
permiten garantizar, prima facie, el mbito de proteccin del derecho de
habeas data, por cuanto, como lo precis esta Corporacin en la
sentencia C-1011 de 2008, todos "los principios de administracin de
datos personales identificados por la jurisprudencia constitucional, son
oponibles a todos los sujetos involucrados en los procesos de
recoleccin, tratamiento V circulacin de datos" (negrillas y subraya
fuera de texto) ,se agrega ahora, independientemente de la posicin que
ocupen en el tratamiento del dato.
236
Expediente PE-032
encargados del tratamiento. Los deberes enumerados, en trminos
generales, buscan garantizar el pleno ejercicio del derecho al habeas data
por parte de los titulares, como los principios de la administracin de
datos personales analizados en otro captulo de esta providencia. Estos
deberes hacen referencia, segn el sujeto concernido, a lo siguiente:
En relacin con el responsable del tratamiento, es decir, aquel que
define los fines y medios esenciales para el tratamiento del dato,
incluidos quienes fungen como fuente y usuario, se establecen deberes
que responden a los principios de la administracin de datos y a los
derechos -intimidad y habeas data- del titular del dato personal.
Especficamente se dispone que son deberes de esta parte de la relacin:
(i) Solicitar y conservar la autorizacin para el tratamiento del dato -en
los trminos descritos previamente, lo que se ajusta plenamente al
principio de libertad y consentimiento expreso del titular del dato.
(ii) Informar al titular la finalidad de esa autorizacin y actuar en
consecuencia; por tanto, el responsable no puede conducirse por fuera de
los lineamientos de la autorizacin, lo que significa que,por ejemplo, no
puede suministrar al encargado del tratamiento ms datos que los que
fueron objeto de autorizacin, ni puede someterlos a un tratamiento con
finalidades diferentes a las informadas. En este orden de ideas, los
deberes establecidos en los literales a), b) Y h) son desarrollo del
principio de finalidad.
(iii) Adoptar las medidas para garantizar la seguridad del dato, a
efectos de que no se pierda, no se adultere, no se utilice o acceda por
fuere de la autorizacin, lo cual es desarrollado en el literal d) en
concordancia con el principio de seguridad en la transferencia del dato.
Por tanto, el responsable est obligado a exigir y controlar las
condiciones de seguridad que est empleando el encargado del
tratamiento -literal a), como informar oportunamente a la autoridad
encargada de la proteccin del dato sobre violaciones a los cdigos de
seguridad y la existencia de riesgos en la administracin de la
informacin de los titulares- literal n); siendo estos deberes, sin lugar a
dudas, tambin desarrollo del principio de seguridad jurdica.
(iv) Actualizar el dato, hecho que lo obliga a informar oportunamente al
encargado del tratamiento para hacer la actualizacin -literal f), deber
que corresponde al principio de veracidad y calidad, como al derecho del
titular del dato a actualizar toda informacin que sobre l se tenga en las
bases de datos pblicas o privadas.
(v) Rectificar e informar de forma oportuna al encargado del tratamiento
sobre ese particular -literal g), para efectos de actualizacin.
235
Expediente PE-032
proyecto ninguna razn cierta o valida para explicar el silencio del
legislador respecto de los deberes de los usuarios
2.17.2.4. La Secretara Jurdica de la Presidencia manifiesta respecto al
artculo 17, que en ste no se incluye ninguna obligacin expresa en
cabeza del encargado para exigir al responsable del tratamiento
certificacin sobre la autorizacin del titular. No obstante, resulta
conveniente interpretar de acuerdo con la jurisprudencia constitucional,
que el encargado del tratamiento tiene, adems de los deberes fijados en
el proyecto de ley, el de exigir al responsable copia o evidencia de la
autorizacin expresa e informada del titular de los datos objeto de
tratamiento.
Estima que del prinCIpIO de libertad establecido en el literal c) del
artculo 4, tanto el responsable como el encargado del tratamiento
deben garantizar que la informacin de los titulares que es objeto de
tratamiento sea obtenida, administrada, almacenada y puesta en
circulacin con el consentimiento expreso del titular, razn por la cual es
deber del encargado exigir al responsable copia o evidencia de la
autorizacin previa y del responsable de suministrrsela, como medio
para reforzar y garantizar efectivamente los derechos de los titulares.
Por ltimo, advierte que resulta de la mayor trascendencia determinar los
deberes en uno u otro caso, con miras a delimitar la esfera de
responsabilidad de cada uno de ellos con respecto a los titulares y que
debiendo ser establecida en funcin del grado de control sobre el dato y
la relacin que existe entre cada uno de ellos y el titular.
artculo 17 aduciendo que los artculos 17 y 18 establecen regmenes de
responsabilidad diferenciados para cada uno de los agentes, lo cual
obliga a los titulares de los datos, en muchos casos, a tener que usar la
intermediacin del responsable del dato para ejercer sus derechos frente
al encargado. Afirma que un contexto de responsabilidad difuminada
como el que produce el esquema del Proyecto de Ley Estatutaria, impide
el ejercicio de "las facultades de conocimiento, actualizacin y
rectificacin de la informacin personal contenida en las bases de datos"
que son componentes estructurales del derecho al habeas data.
2.17.2.6. El Ministerio P blico no se pronuncio sobre estos preceptos.
2.17.3. Constitucionalidad de los artculos 17 y 18
En el ttulo VI, "DE LOS DEBERES DE LOS RESPONSABLES Y
ENCARGADOS DEL TRATAMIENTO DEL DATO", el legislador
enlist en preceptos separados los deberes de los responsables y de los
234
Expediente PE-032
2.17.2.1. La Defensora, respecto del artculo 17 del proyecto, seala que no
incluy ninguna obligacin expresa en cabeza del encargado del
tratamiento para exigir al responsable certificacin sobre la autorizacin
del titular. De conformidad con la jurisprudencia constitucional el
encargado del tratamiento tiene, adems de los deberes fijados en el
proyecto de ley, el de exigir al responsable copia o evidencia de la
autorizacin expresa e informada del titular de los datos objeto de
tratamiento. Por ltimo, advierte que resulta de la mayor trascendencia
determinar los deberes en uno u otro caso, con miras a delimitar la esfera
de responsabilidad de cada uno de ellos con respecto a los titulares y que
debe ser establecida, en funcin del grado de control sobre el dato y la
relacin que existe entre cada uno de ellos y el titular.
2.17.2.2. ASOBANCARIA solicita la exequibilidad condicionada del literal
n) del artculo 17 y del k) del articulo 18, por cuanto se puede
desconocer el artculo 33 Superior. Por tanto, si se obliga a los
encargados y responsables del tratamiento a declarar contra ellos mismos
o contra sus familiares, ello se constituye en el desconocimiento de una
garanta fundamental.
2.17.2.3. La U niversidad de los Andes solicita la exequibilidad
condicionada de los literales a), b), d), m) y o) del artculo 17, bajo el
entendido de que en virtud del artculo 15 de la Constitucin, las
obligaciones incorporadas en dichos literales tambin deben cumplirlas
los usuarios de los datos personales y precisa que para que el tratamiento
sea consistente con las exigencias mnimas de la Constitucin es
necesario que los usuarios cumplan una serie de obligaciones de manera
que su accin u omisin no comprometa, vulnere, lesione o ponga en
riesgo los derechos y libertades de los titulares de los datos personales.
Por esta razn, es necesario que la Corte precise que los usuarios deben
cumplir las obligaciones de los literales a), b), d), m) yo) del articulo 17
del proyecto.
Agrega que dicha precisin debe realizarse por razones de igualdad, pues
el artculo 9 de la ley 1266 de 2008 impuso a los usuarios deberes como
sujetos del tratamiento de datos personales, contenido que fue declarado
exequible por la Corte. En este orden de ideas, de no entenderse que el
Proyecto de Ley tambin involucra a los usuarios, se estara generando
una situacin de desigualdad violatoria del artculo 13 de la Constitucin
entre los usuarios de los datos personales comerciales y financieros
regidos por la Ley 1266 de 2008, y los usuarios de los otros tipos de
datos personales que se regirn por la nueva ley. Esta discriminacin no
es justificable constitucionalmente, ni existen en los antecedentes del
Expediente PE-OJ2
2JJ
e) Realizar oportunamente la actualizacin, rectificacin o
supresin de los datos en los trminos de la presente ley.
d) Actualizar la informacin reportada por los Responsables
del Tratamiento dentro de los cinco (5) das hbiles, contados
a partir de su recibo.
e) Tramitar las consultas y los reclamos formulados por los
Titulares en los trminos sealados en la presente ley.
j) Adoptar un manual interno de polticas y procedimientos
para garantizar el adecuado cumplimiento de la presente ley
y, en especial, para la atencin de consultas y reclamos por
parte de los Titulares.
g) Registrar en la base de datos la leyenda "reclamo en
trmite" en la forma en que se regula en la presente ley.
h) Insertar en la base de datos la leyenda "informacin en
discusin judicial" una vez notificado por parte de la
autoridad competente sobre procesos judiciales relacionados
con la calidad del dato personal.
i) Abstenerse de circular informacin que est siendo
controvertida por el Titular y cuyo bloqueo haya sido
ordenado por la Superintendencia de Industria y Comercio.
j) Permitir el acceso a la informacin nicamente a las
personas que pueden tener acceso a ella.
k) Informar a la Superintendencia de Industria y Comercio
cuando se presenten violaciones a los cdigos de seguridad y
existan riesgos en la administracin de la informacin de los
Titulares.
Pargrafo. En el evento en que concurran las calidades de
Responsable del Tratamiento y Encargado del Tratamiento en
la misma persona, le ser exigible el cumplimiento de los
deberes previstos para cada uno. "
232
Expediente PE-032
g) Rectificar la informacin cuando sea incorrecta y
comunicar lo pertinente al Encargado del Tratamiento.
h) Suministrar al Encargado del Tratamiento, segn el caso,
nicamente datos cuyo Tratamiento est previamente
autorizado de conformidad con lo previsto en la presente ley.
i) Exigir al Encargado del Tratamiento en todo momento, el
respeto a las condiciones de seguridad y privacidad de la
j) Tramitar las consultas y reclamos formulados en los
k) Adoptar un manual interno de polticas y procedimientos
para garantizar el adecuado cumplimiento de la presente ley
y, en especial, para la atencin de consultas y reclamos.
1) Informar al Encargado del Tratamiento cuando
determinada informacin se encuentra en discusin por parte
del Titular, una vez se haya presentado la reclamacin y no
haya finalizado el trmite respectivo.
m) Informar a solicitud del Titular sobre el uso dado a sus
datos.
n) Informar a la autoridad de proteccin de datos cuando se
presenten violaciones a los cdigos de seguridad y existan
riesgos en la administracin de la informacin de los
Titulares.
Artculo 18. Deberes de los Encargados del Tratamiento. Los
Encargados del Tratamiento debern cumplir los siguientes
deberes, sin perjuicio de las dems disposiciones previstas en
la presente ley y en otras que rijan su actividad:
b) Conservar la informacin bajo las condiciones de
seguridad necesarias para impedir su adulteracin, prdida,
231
Expediente PE-032
ejercicio de su derecho, y en el evento en que as suceda, pues ello ser
suficiente para acudir ante la autoridad de proteccin del dato.
Lo expuesto aqu sin perjuicio de acudir a la accin de tutela como
mecanismo judicial de proteccin del derecho fundamental al habeas
data.
Por lo expuesto, se declarar exequible el artculo 16 en revisin.
2.17. EXAMEN DE LOS ARTCULOS 17 Y 18: DEBERES DE LOS
RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO DEL
DATO PERSONAL
2.17.1. Texto de las disposiciones
"Artculo 17. Deberes de los Responsables del Tratamiento.
Los Responsables del Tratamiento debern cumplir los
siguientes deberes, sin perjuicio de las dems disposiciones
previstas en la presente ley y en otras que rijan su actividad:
b) Solicitar y conservar, en las condiciones previstas en la
presente ley, copia de la respectiva autorizacin otorgada por
el Titular.
e) Informar debidamente al Titular sobre la finalidad de la
recoleccin y los derechos que le asisten por virtud de la
autorizacin otorgada.
d) Conservar la informacin bajo las condiciones de
seguridad necesarias para impedir su adulteracin, prdida,
e) Garantizar que la informacin que se suministre al
Encargado del Tratamiento sea veraz, completa, exacta,
actualizada, comprobable y comprensible.
j) Actualizar la informacin, comunicando de forma oportuna
al Encargado del Tratamiento, todas las novedades respecto de
los datos que previamente le haya suministrado y adoptar las
dems medidas necesarias para que la informacin
suministrada a este se mantenga actualizada.
230
Expediente PE-032
peticin, en aras de pennitir al titular del dato ejercer las facultades que
se derivan del habeas data.
En esa lnea, a diferencia de la intervencin de la Defensora del Pueblo,
la Sala considera que el mecanismo del reclamo le pennitir al titular del
dato o a sus causahabientes solicitar al encargado o responsable del
tratamiento, el cumplimiento de todos los principios que rigen a los
administradores de datos y los derechos del titular del dato, razn por la
que no considera necesario condicionar el precepto en revisin en el
sentido en que lo solicita esa entidad, por cuanto si bien la norma slo se
refiere a la actualizacin, correccin o supresin, no significa que no se
puedan solicitar otras dimensiones de este derecho si a ello hay lugar.
Por tanto, ningn problema de constitucionalidad se observa en este
precepto, razn por la cual ser declarado exequible, por cuanto este
mecanismo se considera expedito para la atencin de los requerimientos
del titular del dato y su oportuna respuesta.
2.16.5. Constitucionalidad del requisito de procedibilidad del articulo 16
Este precepto establece que slo se podr elevar queja ante la
Superintendencia de Industria y Comercio como la autoridad de
proteccin del dato, una vez se haya agotado el trmite de consulta o
reclamo ante el responsable o encargado del tratamiento.
Lo dispuesto en este artculo no rie con la Constitucin, por el
contrario pennite al titular del dato agotar las instancias correspondientes
de una forma lgica, dado que no tiene sentido acudir al rgano de
proteccin del dato para que active sus facultades de vigilancia, control y
sancin, por sealar solo algunas, en relacin con el responsable o
encargado del dato, cuando ste ni siquiera conoce las pretensiones del
titular y no ha tenido la oportunidad de decidir si le asiste o no razn,
porque no ha hecho uso de los mecanismos para consulta y reclamo que
debe implementar todo responsable y encargado del tratamiento, segn
los artculos 17 y 18, literales k) y f), respectivamente.
Adicionalmente, porque la mayora de deberes que el legislador le fij a
cada uno de estos sujetos se fundamenta en el hecho de que el titular del
dato acuda ante ellos para la efectiva proteccin de sus derechos. En ese
orden de ideas, se encuentra proporcional y razonable la salvedad que
hace la norma en estudio, puesto que (i) no fija trminos o plazos
irrazonables para que los agentes del tratamiento respondan las consultas
y reclamos, (ii) se regula con detalle el procedimiento a seguir, lo que le
garantiza al titular del dato que para obtener la respuesta a una consulta o
a un reclamo, el sujeto requerido no podr ponerle trabas que impidan el
229
Expediente PE-03 2
impide al Gobierno Nacional hacer reglamentaciones por fuera de su
facultad reglamentaria constitucional.
2.16.4. El reclamo: otro mecanismo para hacer efectivos, entre otros, la
rectificacin, actualizacin, correccin, oposicin y supresin
El articulo 15 regula los reclamos que puede efectuar el titular del dato o
sus causahabientes al responsable o encargado del tratamiento con el fin
de corregir, actualizar o suprimir la informacin contenida en la base de
datos o cuando se considere que se ha incumplido con cualquiera de los
deberes reseados en los artculos 17 y 18 del proyecto en anlisis.
Igualmente fija las reglas que se deben observar para tal efecto, las
cuales se pueden resumir as: (i) solicitud que pese a que no se enuncia,
parece ser escrita por cuanto seala que debe contener la identificacin y
direccin del solicitante, la descripcin de los hechos que originan el
reclamo, y los soportes documentales que se quieren hacer valer, (ii) si la
solicitud no es completa, se debe requerir al solicitante dentro de los
cinco das de recibida la solicitud para que subsane las falencias. Si
transcurridos dos meses del requerimiento no se presenta los
requerimientos exigidos se entiende que se ha desistido de la
reclamacin.
En el evento de la falta de competencia de quien recibe la solicitud, debe
enviarla al competente en el trmino mximo de dos das.
En cuanto al trmite, se consagra que: i) una vez se recibe el reclamo
debe incluirse la expresin "reclamo en trmite" y el motivo del mismo
en el registro que se tenga, anotacin que se debe mantener hasta que el
mismo se resuelva, ii) se fija un trmino mximo de quince das hbiles
contados a partir del da siguiente de la fecha de solicitud para atender el
reclamo, prorrogable hasta por ocho ms, cuando no fuere posible
atender la solicitud en el plazo inicial, previa informacin motivada de
tal hecho al interesado.
Este articulo regula un procedimiento similar al que contempla el
articulo 16, II, numerales 1,2, y 3 de la Ley 1266 de 2008, hallado
exequible por la Corte en la sentencia C-1 O11 de 2008.
Sobre este mecanismo de reclamo que se consagra ante los responsables
y encargados del dato, se puede advertir que los trminos que se dieron
para que el obligado conteste los requerimientos hechos son los mismos
que se consagran para el derecho de peticin en el Cdigo Contencioso
Administrativo, razn por la que se pueden transpolar los comentarios
que se dejaron consignados sobre el carcter instrumental del derecho de
228
Expediente PE-032
En ese sentido, el legislador estatutario al regular de forma general la
proteccin del dato personal, estaba facultado para sealar los trminos
en que los responsables y encargados del tratamiento del dato, pblicos y
privados, deben responder las consultas o peticiones que les eleve el
titular del dato o sus causahabientes, con el fin de hacer exigibles entre
otros, el derecho a conocer qu datos personales tiene un determinado
bancos de datos y la forma como stos son manejados. Compatible con
esto, los artculos 17, literal k) y 18 literal f) del proyecto, establecen
como uno de los deberes del responsable y encargado del dato el de
adoptar un manual interno de polticas y procedimiento especialmente
para la atencin de las consultas y reclamos por parte de los titulares.
Igualmente, como una forma de lograr un mayor conocimiento por parte
del titular de las bases de datos que operan en el pas y cules pueden
estar tratado su informacin, el proyecto crea el registro nacional de
bancos de datos, artculo 25, el cual ser objeto de anlisis
posteriormente.
En consecuencia, el precepto acusado resulta ajustado a la Constitucin.
No obstante, la Sala debe advertir que la jurisprudencia constitucional
272
ha perfilado unas caractersticas que debe tener la respuesta para que se
entienda satisfecho el derecho de peticin. En ese orden, tanto los
responsables como los encargados del tratamiento estn obligados a
observar esos parmetros que en trminos generales se pueden resumir
de la siguiente manera: (i) la respuesta debe ser de fondo, es decir, no
puede evadirse el objeto de la peticin, (ii) que de forma completa y
clara se respondan a los interrogantes planteados por el solicitante, (iii)
oportuna, asunto que obliga a respetar los trminos fijados en la norma
acusada.
En relacin con el pargrafo, basta sealar que en l se confirma que
atendiendo la naturaleza del dato, el legislador tiene claro que se
expedirn regulaciones sectoriales, las cuales podrn establecer lapsos
ms cortos para que los encargados y responsables del tratamiento den
respuesta a las solicitudes que pueda presentar el titular del dato,
reduccin de tnninos que en nada afecta el ordenamiento
constitucional, por cuanto es claro que lo que est fijando la ley en
revisin es el mximo que puede tomarse uno de los agentes del
tratamiento del dato para responder a los titulares o causahabientes.
Respecto a la posibilidad de que el Gobierno Nacional expida
reglamentos segn la naturaleza del dato personal y en ellos se reduzcan
los trminos para responder, es necesario remitirnos al anlisis que har
la Sala del artculo 27 del proyecto relacionado con las disposiciones
especiales, en el que se concluye que en relacin con el tratamiento de
datos segn su naturaleza o especialidad existe una reserva legal, que
272 Cfr. sentencias T-220 de 1994, T-158 de 2005 y T - J 160A/0 1, entre otras.
227
Expediente PE-032
la solicitud y (v) en el evento de no poder responderse en ese trmino, se
le debe informar al titular sobre las razones. De todas maneras la
respuesta la debe recibir dentro de los 5 das siguientes al vencimiento
del primer plazo.
Por su parte, el pargrafo seala que leyes especiales o los reglamentos
expedidos por el Gobierno podrn establecer trminos inferiores,
atendiendo la naturaleza del dato.
La Sala encuentra que este artculo guarda cierta similitud con el
articulo 16, numeral 1 de la Ley 1266 de 2008, encontrado ajustado a la
Constitucin en la sentencia C-I011 de 2008.
Esta norma hace una regulacin tpica del derecho de peticin que
consagra el artculo 23 de la Constitucin tanto en el inciso primero
como en el segundo, por cuanto el primero seala que todas las personas
tienen derecho a presentar peticiones respetuosas ante las autoridades por
motivos de inters general o particular, hecho que en el caso en estudio
se traduce en el derecho que tienen los titulares del habeas data o sus
causahabientes para presentar ante los bancos de datos que manejen las
autoridades publicas, peticiones para establecer que informacin o datos
poseen sobre ellos.
En el segundo inciso del mencionado artculo 23 seala que el legislador
podr reglamentar su ejercicio ante organizaciones privadas para
garantizar los derechos fundamentales. Es precisamente esta regulacin
la que hace el artculo 14, al estipular que los responsables y/o
encargados del tratamiento de datos, en este caso los privados, deben
atender en los precisos trminos las consultas que eleven ante ellos los
titulares del derecho al habeas data, como una forma de hacer exigibles
el derecho consagrado en el literal a) del articulo 8 del proyecto en
revisin, especficamente el de conocer.
En este orden de ideas, el derecho de peticin que se regula en la norma
objeto de anlisis se convierte en un instrumento con el que cuenta el
titular del dato para hacer exigible o realizable el derecho autnomo de
habeas data. Es por ello que la jurisprudencia constitucional ha definido
el derecho de peticin como un derecho instrumental a travs del cual el
ciudadano se acerca a la administracin o a aquellos privados que en
razn de la actividad que desarrollan ostentan una posicin de privilegio
sobre el resto de particulares, que obliga al Estado a regular mecanismos
que le permitan a estos ltimos tener una herramienta que los obligue a
responder a las inquietudes e inconformidades que se puedan generar
por razn de la actividad que stos desplieguen, en procura de lograr la
satisfaccin de otros derechos fundamentales.

Ley 1581 de 2012 Protección de Datos Personales - Iceda

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Ley 1581 de 2012 Protección de Datos Personales - Iceda

Încărcat de

Drepturi de autor:

Formate disponibile

LEY 1581 1 lti l i

"POR EL CUAL SE DICTAN DISPOSICIONES GENERALES PARA

S-ar putea să vă placă și