Disrupción tecnológica, transformación y sociedad

En el apartado anterior se mencionó que en el tratamiento de los datos personales intervienen diversos sujetos a quienes la ley les ha impuesto una serie de obligaciones de carácter formal y material. Corresponde exponer en este acápite la participación del operador de la información (régimen de habeas data financiero) y del responsable y encargado del tratamiento de la información (régimen de habeas data personal), particularmente la descripción de los principios de seguridad, circulación restringida y de responsabilidad predicable a estos sujetos involucrados en el tratamiento de los datos personales, comerciales y financieros.

A. CONCEPTUALIZACIÓN DEL PRINCIPIO DESEGURIDAD, ACCESO Y CIRCULACIÓN RESTRINGIDA

Tanto la Ley 1266 de 2008 como la Ley 1581 de 2012 consagran principios que son comunes para realizar un adecuado tratamiento de los datos personales. En el artículo 4.º común a ambas normativas se consagra el principio de seguridad consistente en la garantía que se debe brindar al tratamiento de datos, lo que demanda adoptar las medidas necesarias para garantizar la seguridad de los registros con el fin de evitar la adulteración, pérdida, consulta o uso no autorizado o fraudulento de los datos personales 21. De igual forma, en el artículo 4.º de la Ley 1581 de 2012, y de la mano del principio de seguridad, encontramos el principio de acceso y circulación restringida , el cual le da el derecho al titular de la información de decidir quiénes pueden acceder a su información, así como el derecho de que sus datos personales no se den a conocer en medios de divulgación masiva a terceros no autorizados 22.

De esa forma, estos principios consagran unos parámetros de garantía de uso adecuado para la información suministrada por el titular en cabeza de los responsables y encargados del tratamiento de datos personales. El titular está legitimado para saber cuáles datos han sido suministrados, conocidos y deducidos por una determinada organización empresarial, y el uso que se hace de ellos, así como su transferencia a terceros ajenos a su organización. Estos datos se convierten en un activo intangible cuyo uso y aprovechamiento otorgan una ventaja competitiva que se transforma en ingresos para la organización empresarial que los explota 23, como ocurre con la predicción de los comportamientos del consumidor para fines de marketing comercial o político 24.

En ese tipo de actividades de análisis de datos se presenta una mayor ocurrencia de amenazas digitales que incluyen el acceso a información caracterizada como dato personal, y que se traducen en su uso para fines distintos a los autorizados por el titular 25. Así se refleja en el conocido caso de Cambridge Analytica, en el que, según la autoridad de protección de datos colombiana, a través de la aplicación thisisyourdigitallife se pudieron haber utilizado indebidamente los datos personales de más de 50 millones de usuarios de Facebook. En la misma decisión la autoridad colombiana de protección de datos advirtió que, a través del uso de aplicaciones en la plataforma social, se pudo haber influenciado y manipulado el comportamiento de los titulares de datos personales con las llamadas noticias falsas 26.

De esa forma, los principios de seguridad, acceso y circulación restringida son los mecanismos idóneos para exigir a los operadores de información, responsables y encargados del tratamiento personales 27, la adopción de acciones afirmativas de prevención, protección y detección de amenazas digitales, destacando las autoridades de protección de datos que el principio de seguridad debe operar por la simple realización del tratamiento de datos 28. En ese sentido, el principio de seguridad demanda la adopción de medidas que no estén condicionadas a la existencia de un daño o perjuicio para los derechos de los titulares de los datos personales –deber de prevención en el tratamiento de los datos personales– 29.

Los principios de seguridad, circulación y acceso restringido constituyen la base de la exigencia de acciones positivas de carácter preventivo y reactivo a los operadores de información, responsables y encargados del tratamiento de datos ante una eventual o actual amenaza digital que afecte datos personales, comerciales y financieros 30. De la misma forma, son el fundamento del régimen de responsabilidad administrativa en materia de tratamiento de datos personales, comerciales y financieros, conocido como principio de responsabilidad demostrada o principio de accountability .

IV. PRINCIPIO DE RESPONSABILIDAD DEMOSTRADA O PRINCIPIO DE ACCOUNTABILITY

El principio de responsabilidad demostrada, o principio de accountability 31, está consagrado en el artículo 26 del Decreto 1377 de 2013 [ 32 ]y se traduce en la exigencia de que:

[…] los responsables y encargados del tratamiento de datos, implementen medidas apropiadas, efectivas y verificables que les permitan probar el correcto cumplimiento de las normas sobre tratamiento de datos personales ( Remolina y Álvarez, 2018: 28).

A pesar de ser una prerrogativa predicable de todas las organizaciones empresariales, su aplicación no es predicable en igual medida de todas ellas. El artículo 26 citado establece criterios de graduación de las medidas a adoptar y de la responsabilidad exigible a los responsables del tratamiento 33. En los términos del artículo mencionado, para juzgar la responsabilidad de las personas que realicen el tratamiento se debe tener en cuenta el tamaño empresarial de la organización, la naturaleza de los datos personales, el tipo de tratamiento y los riesgos potenciales que el tratamiento pueda causar a sus titulares. De esa forma, las medidas de protección dependen del riesgo que implique el tratamiento de los datos personales al interior de la organización, y demandará que estén documentadas para demostrar su adopción, siendo necesario también poder demostrar su aplicación 34.

V. MEDIDAS DE PROTECCIÓN DE LA INFORMACIÓN

Como se ha visto, el principio de accountability demanda la implementación de medidas concretas y efectivas para la prevención y defensa de las amenazas digitales en materia de protección de datos personales. Sin embargo, hasta el momento no se ha mencionado cuáles son esas medidas y qué naturaleza tienen. Fue en desarrollo de esa preocupación, y con la idea de generar uniformidad y estandarización de las medidas técnicas, administrativas y humanas para los responsables del tratamiento de datos personales, que la Superintendencia de Industriay Comercioexpidió una guía para el desarrollo del principio de responsabilidad, la cual contiene medidas básicas y estructurales para la debida protección de los datos personales, entre ellas, la construcción de un Programa Integral de Gestión de Datos Personales (PIGD) que deben implementar las organizaciones empresariales con el fin de mitigar, detectar y solucionar las amenazas digitales que afecten los datos personales 35.

El PIGD, en concordancia con el artículo 27 del Decreto 1377 de 2013 y con otras recomendaciones de entidades de vigilancia, exige adoptar varias medidas 36que se pueden clasificar en tres grandes grupos: i) medidas administrativas tendientes a establecer una estructura interna administrativa y de políticas y mecanismos para el funcionamiento del programa de gestión de protección de datos; ii) medidas técnicas y operacionales que conllevan a la protección física y jurídica de los datos personales, y iii) medidas tendientes a verificar el cumplimiento del plan de gestión de datos y su actualización conforme a las necesidades que surjan al interior de la organización y a los riesgos identificados con anterioridad 37.

De esa forma, el primer grupo de medidas administrativas y de adopción de políticas para el adecuado funcionamiento del programa incluye: