Beruflich Dokumente
Kultur Dokumente
Lectura fundamental
Principios e internacional
Contenido
1 Principios
2 Internacional
Ahora, en caso de conflicto o enfrentamiento entre los precitados derechos, para poder evaluar
correctamente cuando se debe usar cada uno de ellos o cual debe primar sobre otro, es necesario
referirse a las sentencias proferidas por las altas cortes (Corte Constitucional, Corte Suprema de
Justicia, Consejo de Estado) y a ciertos principios generales que también son referentes importantes
en la aplicación de esos derechos.
Los principios en este aspecto son tan importantes que algunos de ellos se encuentran taxativamente
enunciados en la Ley 1581 en su artículo 4 (les recomiendo su lectura).
En términos generales, los principios relacionados con la administración de datos personales son los
siguientes, de acuerdo con lo previsto en la jurisprudencia vigente sobre la materia:
Este principio nos indica que los datos personales pueden ser recaudados y almacenados únicamente
con el consentimiento libre, previo y expreso del titular y, en consecuencia, es ilegal la obtención y
procesamiento de esos datos sin dicha autorización; a menos que haya una excepción legal para que
no sea necesaria esta autorización.
En este sentido, es claro que ustedes como titulares de la información deben dar la autorización necesaria
para que su información sea recaudada y procesada y, por otro lado, como administradores de bases de
datos, deben estar seguros de contar con las respectivas autorizaciones de los titulares de la información.
La falta de autorización tiene como consecuencia directa la ilegalidad de los datos recaudados y,
obviamente, la imposibilidad de tratar dichos datos de la manera en que su negocio lo requiere.
POLITÉCNICO
POLITÉCNICO GRANCOLOMBIANO
GRANCOLOMBIANO 2
Lo anterior fue dispuesto preliminarmente hace más de 20 años por la Corte Constitucional en la
Sentencia SU-082 de 1995, en la cual se afirma:
“Los datos conseguidos, por ejemplo, por medios ilícitos no pueden hacer parte de los bancos de datos
y tampoco pueden circular, obsérvese la referencia especial que la norma hace a la libertad no solo
económica, sino en todos los órdenes. Por esto, con razón se ha dicho que la libertad, referida no solo al
aspecto económico, hace parte del núcleo esencial del habeas data”.
Así la Corte Constitucional, en el desarrollo jurisprudencial que le ha dado a la actividad que realizan
los propietarios de bases de datos, incluyó la necesidad de una autorización, previa y escrita mediante
la cual el titular de la información permita expresamente a las entidades financieras registrar su
nombre y comportamiento crediticio en las bases de datos.
Por otro lado, hace más de 15 años, también la Corte Constitucional se manifestó expresamente
frente a este principio mediante Sentencia T-729 de 2002 y definió el principio de libertad de la
siguiente manera:
“Según el principio de libertad, los datos personales sólo pueden ser registrados y divulgados con el
consentimiento libre, previo y expreso del titular, de tal forma que se encuentra prohibida la obtención y
divulgación de los mismos de manera ilícita (ya sea sin la previa autorización del titular o en ausencia de
mandato legal o judicial). En este sentido, por ejemplo, se encuentra prohibida su enajenación o cesión
por cualquier tipo contractual”.
En contraposición a la necesidad de una autorización expresa del titular, vemos cómo el Artículo
10 de la Ley 1581 de 2012 señala expresamente las excepciones en las cuales no se requiere de la
mencionada autorización; estos casos excepcionales son los siguientes:
A. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones
legales o por orden judicial.
D. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
POLITÉCNICO
POLITÉCNICO GRANCOLOMBIANO
GRANCOLOMBIANO 3
En consecuencia, vemos claramente cómo en el manejo de bases de datos, la autorización del titular
de la información es primordial para la conformación y custodia de las bases de datos legales en
Colombia. Dicha autorización es calificada, es decir, no se puede tomar como una autorización un
simple silencio o inactividad del titular de la información, como ocurre en otros países.
En virtud de este principio, los datos personales registrados deben ser los estrictamente necesarios
para el cumplimiento de las finalidades perseguidas con la base de datos específica, de tal forma que
se encuentra prohibido el registro y divulgación de datos que no guarden estrecha relación con el
objetivo de la base de datos.
De esta manera, es claro que si damos una autorización para el manejo y procesamiento de algunos
de nuestros datos (como el comportamiento financiero), esa autorización no incluye el manejo de
información que no corresponda a nuestro comportamiento financiero, tal como nuestra orientación
sexual, nuestra religión o nuestras preferencias políticas (en caso de que por cualquier razón, la base
de datos tuviera acceso a dicha información).
“(…) el principio de necesidad involucra que "los datos personales registrados deben ser los
estrictamente necesarios para el cumplimiento de las finalidades perseguidas con la base de datos de
que se trate, de tal forma que se encuentra prohibido el registro y divulgación de datos que no guarden
estrecha relación con el objetivo de la base de datos"” (Sentencia C-748, 2011).
Para concluir, es claro que este principio implica que los datos almacenados en las bases de datos
son solo aquellos necesarios para el fin con el que fueron recaudados, lo cual debe coincidir con la
autorización que se solicitó al titular de la información.
POLITÉCNICO
POLITÉCNICO GRANCOLOMBIANO
GRANCOLOMBIANO 4
1.3. Principio de veracidad
Las bases de datos deben contener únicamente datos que sean reales y verdaderos. Una vez superada
y cumplida la barrera de la autorización requerida para el recaudo de la información de los titulares
de la información, es necesario que la información que se recauda sea verdadera. Esto implica que
como resultado de este principio, el ejercicio del habeas data se hace efectivo a favor del titular de
la información y le otorga a éste ultimo la facultad de solicitar la modificación o eliminación de la
información que no corresponda con la realidad.
En el siguiente Escenario (habeas data) vamos a ver como la veracidad de los datos financieros no
solo son hechos que deben reflejarse, sino una prerrogativa que todos podemos y debemos exigir,
ya que las sanciones contempladas están limitadas a reflejar la realidad de la persona al momento de
la consulta y no pueden perjudicar toda la vida por una falla que ya ha sido superada (porque se hizo
el pago o porque ha pasado el tiempo previsto en la ley). Ningún dato negativo puede permanecer
indefinidamente en dichas bases de datos. (Por favor ver más adelante el principio de caducidad en
conjunto con este principio de veracidad).
“Sobre el principio de veracidad, en las sentencias SU-082 de 1995 y SU-089 de 1995, la Corte
afirmó como contenido del derecho al habeas data, la facultad de solicitar la rectificación de la
información que no corresponda a la verdad (consideración quinta). Así mismo afirmó que no existe
derecho alguno a "divulgar información que no sea cierta" (consideración sexta). Reiterada en la
sentencia T-097 de 1995. Véase igualmente sentencias T-527 de 2000 y T-578 de 2001, entre otras.
En la sentencia T-1085 de 2001, la Corte tuteló el derecho al habeas data al considerar que la entidad
administradora vició de parcialidad la información, al suministrar datos negativos sin haber atendido la
petición de dación en pago que presentara el actor”.
Es claro que un desarrollo normativo de este principio viene a ser el acápite del habeas data contenido
en el artículo 15 de la Constitución, que nos indica que todos tenemos el derecho a rectificar la
información que se haya recogido en bancos de datos. Entonces como administradores de bases de
datos ustedes tienen la obligación de propender porque la información allí contenida corresponda a
la verdad o de diseñar mecanismos que garanticen que la fuente de la información es el titular de la
misma.
POLITÉCNICO
POLITÉCNICO GRANCOLOMBIANO
GRANCOLOMBIANO 5
1.4. Principio de integralidad
Este principio nos indica que la recolección de datos debe ser completa, se prohíbe utilizar los datos
de manera fraccionada o incompleta.
Así como la autorización debe existir y debe ser previa, es apenas obvio que toda la información que
reposa en dichas bases de datos debe ser integral es decir que no puede ser fraccionada para mostrar
solo una parte de la misma. Por eso la Corte Constitucional también nos ha indicado que el principio
de integridad se encuentra estrechamente ligado al de veracidad. La información que se registre o se
divulgue a partir del suministro de datos personales debe ser completa, de tal forma que se encuentra
prohibido el registro y divulgación de datos parciales, incompletos o fraccionados. Con todo, salvo
casos excepcionales, la integridad no significa que una única base de datos pueda compilar datos que,
sin valerse de otras bases de datos, permitan realizar un perfil completo de las personas.
Este principio nos indica que la recolección y procesamiento de datos deben obedecer a un fin
específico y que deben ser utilizados para el fin inicialmente previsto, bien sea el de ley o el propio
titular de la información. El literal b) del artículo 4 de la Ley 1581 de 2012 nos indica que “el
Tratamiento debe obedecer a una finalidad legítima [,] de acuerdo con la Constitución y la ley (…)”.
La Corte ha resaltado en repetidas ocasiones, que las entidades receptoras en cumplimiento de sus
funciones de protección y garantía deben aplicar con especial atención este principio, junto con los de
utilidad y circulación restringida. En consecuencia, ustedes como administradores de bases de datos
deberían establecer claramente las reglas internas en sus compañías o entidades con el objetivo de
cumplir este mandato jurisprudencial.
POLITÉCNICO
POLITÉCNICO GRANCOLOMBIANO
GRANCOLOMBIANO 6
Por último, es necesario que las bases de datos tengan claramente definida una finalidad, que la
misma sea legal (es decir que cumpla con los parámetros establecidos en la ley) y que la información
contenida en las mismas responda a esa finalidad. No cumplir con este principio, es decir, utilizar la
información con una finalidad diferente a la inicialmente prevista o autorizada, se convierte en un
uso indebido de la misma y le otorga el derecho a su titular para revocar la autorización otorgada
inicialmente.
Esta finalidad debe corresponder al objeto social de la empresa que recauda la información o a la
función pública de la entidad estatal.
En este principio observamos que tanto el recaudo como el procesamiento y la circulación de los
datos del titular de la información deben tener una utilidad clara y determinable.
“Según el principio de utilidad, tanto el acopio, el procesamiento y la divulgación de los datos personales,
debe cumplir una función determinada, como expresión del ejercicio legítimo del derecho a la
administración de los mismos; por ello, está prohibida la divulgación de datos que, al carecer de función,
no obedezca a una utilidad clara o determinable”.
De acuerdo con este principio, la utilidad de la información no solo está dada por el administrador
de la base de datos, sino que su utilidad viene a ser determinada directamente por el titular de la
información, en la medida en que el titular está en capacidad de determinar si la información que le
están solicitando realmente es útil para el fin que él busca al entregar esa información. Esto quiere
decir que todos, como titulares de la información, tenemos el poder de determinar qué información
entregamos y con cuál fin.
Por otro lado, los administradores de bases de datos deben tener la habilidad de determinar la utilidad
de la información que pretenden recaudar de los titulares de la misma, con el fin de cumplir con los
objetivos propuestos por la empresa o entidad a la cual prestan sus servicios.
POLITÉCNICO
POLITÉCNICO GRANCOLOMBIANO
GRANCOLOMBIANO 7
1.7. Principio de acceso y circulación restringida
De acuerdo con este principio, la divulgación y circulación de la información está restringida por:
(i) el objeto y/o fin con el cual se creó la base de datos; (ii) por la autorización del titular y, como
consecuencia, (iii) por el principio de finalidad. Por lo tanto, ningún tercero, que no tenga un interés
legítimo (bien sea otorgado por la ley o por el propio titular de la información), puede acceder a las
bases de datos del titular de la información.
Este principio claramente indica que unos datos, que por su naturaleza son privados o semiprivados, no
pueden convertirse en públicos simplemente por decisión de una de las partes, ya que sus límites han sido
fijados por el titular de la información y por la finalidad para la cual fue entregada dicha información.
Esto significa que este principio posee dos aspectos a tener en cuenta. Por un lado, la circulación de la
información se encuentra restringida por voluntad del titular de la información y, por otro, la información
se restringe por el tipo de información contenida en la base de datos, de tal manera que existe cierta
información que no puede circular aun con la autorización del titular.
Una de las formas más comunes de violación de este principio sucede cuando las bases de datos contienen
información negativa que se hace disponible a terceros sin interés legítimo o de manera indiscriminada a
toda la población. Por ejemplo, reportes negativos financieros o sentencias penales condenatorias.
Este principio es de vital importancia para el mantenimiento y defensa de la honra y buen nombre de las
personas, puesto que esa información negativa en muchos casos contiene datos sensibles o reservados y
por lo tanto su circulación se encuentra restringida.
Este principio ha sido defendido en muchas ocasiones en la Corte Constitucional. Uno de los principales
pronunciamientos es el siguiente:
“Como se explicó en la citada Sentencia C-748 de 2011, de la norma transcrita se derivan dos
importantes consecuencias, en primer lugar, el principio de circulación restringida implica que "la
divulgación y circulación de la información está sometida a los límites específicos determinados por el
objeto de la base de datos, por la autorización del titular y por el principio de finalidad, de tal forma que
queda prohibida la divulgación indiscriminada de los datos personales".
Y, en segundo lugar, en lo que respecta al acceso de datos personales por internet u otro medio de
divulgación o comunicación masiva, salvo la información pública, no podrá estar disponible o de ser consulta
generalizada, pues su conocimiento se limita a los titulares o terceros autorizados conforme a la ley.
POLITÉCNICO
POLITÉCNICO GRANCOLOMBIANO
GRANCOLOMBIANO 8
Como se observa la única excepción se encuentra en los datos públicos, entre otras razones, porque
a través de ellos se garantiza el derecho de todas las personas a la información, conforme se establece
en el artículo 20 del Texto Superior, así como la posibilidad de acceder a los documentos públicos, que
contengan información distinta a aquella que sea reservada o semiprivada, en los términos del artículo
74 de la Constitución” (Sentencia T-020, 2014).
Este principio nos indica que es obligación de los administradores de bases de datos incluir en las
mismas cualquier situación ventajosa para el titular. La Sentencia T-729 de 2012, lo definió de la
siguiente manera:
Es claro que según este principio, lo que busca la jurisprudencia es que haya un balance entre los
aspectos negativos reportados y los positivos, cuando existan. La idea es que las bases de datos no
tengan un carácter meramente excluyente o discriminatorio, sino que también tengan en cuenta toda
la información de la persona cuyos datos se están analizando, incluyendo obviamente los buenos. En
la Unidad 2 de esta materia vamos a ver como se manejan legalmente los reportes negativos de las
personas en las bases de datos financieras.
Según este principio, la información desfavorable al titular debe ser retirada de la base de datos siguiendo
los criterios de razonabilidad y oportunidad, de tal forma que queda prohibida la conservación indefinida
de los datos después de que han desaparecido las causas que justificaron su acopio y administración.
Según el principio de razonabilidad, la Corte, en la Sentencia SU-82 de 1995, fijó las reglas de
jurisprudencia sobre los términos de caducidad de los datos personales negativos, relativos a la
información financiera, para evitar el “abuso de poder informático”.
POLITÉCNICO
POLITÉCNICO GRANCOLOMBIANO
GRANCOLOMBIANO 9
La Corte tuteló el derecho del habeas data tras haber trascurrido un tiempo razonable de permanencia
de la información adversa y ordenó a la entidad administradora la cancelación inmediata de los datos
negativos.
Así mismo, la Corte, en la Sentencia T-414 de 1992, afirmó la existencia del llamado “derecho al
olvido”, fundado en los principios de vigencia limitada en el tiempo del dato personal y de integridad y
veracidad de las informaciones. Estos principios imponen a los administradores de datos, entre otros,
la obligación de permanente actualización o de eliminación según la circunstancia del caso. Eso no
implica de manera alguna la negación o la supresión de la historia de las personas, sino que, en cuanto
a los principios de libertad y de no discriminación, se impone la necesidad de supresión de las bases de
datos del dato negativo, ante el riesgo de futuras privaciones a diversos derechos de su titular.
Los administradores propios de la administración deben tener un actuar diligente con el manejo de la
información.
Este principio nos indica que la diligencia de las personas y entidades que manejan bases de
datos debe ser de los más altos estándares de ética y seriedad, con el fin de no afectar negativa e
injustificadamente a los individuos que autorizan a dichas entidades a manejar sus datos personales. Lo
anterior implica la presunción de buena fe de los administradores de bases de datos, pero también su
especial cuidado al manipular la información contenida en las bases de datos bajo su responsabilidad.
2. Internacional
POLITÉCNICO
POLITÉCNICO GRANCOLOMBIANO
GRANCOLOMBIANO 10
Como consecuencia, dicha directiva fija límites claros para recaudar información personal y exige la
creación de un organismo nacional independiente encargado de la protección de los mencionados datos.
La directiva tiene como objetivo proteger los derechos y las libertades de las personas, en lo que
respecta al tratamiento de datos personales, al establecer principios de orientación para determinar la
licitud de dicho tratamiento. Estos principios se refieren a:
1. La calidad de los datos: los datos personales serán tratados de manera leal y lícita, y recogidos
con fines determinados, explícitos y legítimos. Además, serán exactos y, cuando sea necesario,
actualizados.
b. el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o
En lo que se refiere a la información a los afectados por dicho tratamiento se establece que el
responsable del mismo deberá facilitar cierta cantidad de información (identidad del responsable del
tratamiento, fines del tratamiento, destinatarios de los datos, etc.) a la persona de quien se recaben
los datos concernientes.
POLITÉCNICO
POLITÉCNICO GRANCOLOMBIANO
GRANCOLOMBIANO 11
En cuanto al derecho de acceso del interesado a los datos se dispone que todos los interesados
tengan el derecho de obtener del responsable del tratamiento:
Al igual que en la mayoría de países democráticos, las libertades, principios y derechos, que protegen
la intimidad de los ciudadanos contra injerencias abusivas o injustificadas de terceros o del mismo
Estado, tienen excepciones frente al interés general, representado, entre otros, por la investigación
de delitos, la Defensa Nacional, la seguridad pública, o en general por cualquier otro motivo que
beneficie a la población en general, sobre el interés particular.
Existe también el derecho del interesado a oponerse al tratamiento: el interesado deberá tener
derecho a oponerse, por razones legítimas, a que los datos que le conciernen sean objeto de
tratamiento. Igualmente, deberá tener la posibilidad de oponerse, previa petición y sin gastos, al
tratamiento de los datos respecto de los cuales se prevea un tratamiento destinado a la prospección.
Por último, deberá ser informado antes de que los datos se comuniquen a terceros a efectos de
prospección y tendrá derecho a oponerse a dicha comunicación.
Con respecto a la confidencialidad y la seguridad del tratamiento, las personas que actúen bajo la
autoridad del responsable o del encargado del tratamiento, incluido este último, sólo podrán tratar
datos personales a los que tengan acceso, cuando se lo encargue el responsable del tratamiento. Por
otra parte, el responsable del tratamiento deberá aplicar las medidas adecuadas para la protección de
los datos personales contra la destrucción (accidental o ilícita), la pérdida accidental, la alteración, la
difusión o el acceso no autorizados.
POLITÉCNICO
POLITÉCNICO GRANCOLOMBIANO
GRANCOLOMBIANO 12
2.2. Principios de la administración de datos en Europa
2. Principio de finalidad.
6. Principio de la seguridad.
7. Principio de la confidencialidad.
Como observamos, la legislación europea y la colombiana protegen casi los mismos principios en
la protección de datos. Esto demuestra la vital importancia de la Directiva 95/46/CE, es hasta el
momento la referencia de mayor importancia en todo el mundo, no solo por su actualidad, sino por su
integralidad, por lo que ha servido de guía para la realización de casi todas las regulaciones de países de
occidente.
POLITÉCNICO
POLITÉCNICO GRANCOLOMBIANO
GRANCOLOMBIANO 13
Referencias
Directiva 95/46/CE (1995). Directiva del Parlamento Europeo y del Consejo, de 24 de octubre de 1995,
relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la
libre circulación de estos datos.
Ley 1581 de 2012. Por la cual se dictan disposiciones generales para la protección de datos personales, 17
de octubre de 2012.
Sentencia T-414 (1992). Corte Constitucional, Sentencia de Tutela T-414 de 16 de junio de 1992.
M.P. Ciro Angarita Barón.
Sentencia T-020 (2014). Corte Constitucional, Sentencia de Tutela T-020 de 27 de enero de 2014.
M.P. Luis Guillermo Guerrero
POLITÉCNICO
POLITÉCNICO GRANCOLOMBIANO
GRANCOLOMBIANO 14
INFORMACIÓN TÉCNICA
POLITÉCNICO
POLITÉCNICO GRANCOLOMBIANO
GRANCOLOMBIANO 15