En líneas generales, los abogados especializados en protección de datos consideran que Colombia cuenta con un marco legal sólido para abordar las malas prácticas relacionadas con el uso de información financiera y personal. No obstante, es evidente la necesidad de una evolución en este ámbito, y se espera un mayor compromiso de las empresas privadas en la gestión de la información obtenida de sus clientes.
Para comprender detalladamente la situación en el país, Dinero entrevistó a seis expertos a fin de plantearles dos preguntas clave:
1. ¿Cuál es su opinión sobre la efectividad de la regulación colombiana en materia de protección de datos y privacidad?
2. ¿Cuáles son los avances significativos y las áreas en las que se han cometido errores en cuanto a la protección de datos en Colombia?
A continuación, presentamos sus respuestas:
Nelson Remolina Angarita, director del GECTI y del Observatorio Ciro Angarita Barón de la Universidad de los Andes
1. La regulación colombiana de datos expresamente prohíbe la recolección, el uso y el tratamiento fraudulento, engañoso e ilegal de datos personales, pero no basta expedir regulación si no existe ética y compromiso de quienes usan los datos personales. A las normas se les escapa el comportamiento humano, particularmente el uso indebido o abusivo que realizan algunas personas respecto de los datos personales de los demás. 2. Aciertos: la creación en marzo de 2019 de alternativas de solución de controversias en materia de protección de datos por parte de la Delegatura de Protección de Datos de la Superintendencia de Industria y Comercio (SIC). Desacierto: no proveer a la autoridad de datos de suficientes recursos económicos, humanos y tecnológicos para que pueda cumplir debidamente sus funciones.
Felipe Serrano Pinilla Abogado y socio en Serrano Martínez
1. Muchas empresas aún no cuentan con políticas e instrumentos de protección de datos a pesar de estar obligadas a ello. Esto es especialmente grave cuando se trata de datos sensibles, como los de la salud, que manejan ciertas instituciones, o los biométricos. Es necesario que todas las organizaciones revisen su nivel de cumplimiento en esta materia. 2. Acierto: haber entregado la vigilancia y control de las normas sobre protección de datos a la SIC, que es una entidad seria y comprometida y, además, ha procurado dar claridad a los ciudadanos mediante guías y actuaciones administrativas. Desacierto: crear el registro nacional de bases de datos; es un costo de transacción para las empresas con una utilidad muy baja y poco práctica.
José Alejandro Bermúdez Socio en Bermúdez & Esguerra
1. Tenemos una ley exigente y una autoridad técnica que durante más de diez años ha logrado desplegar acciones de concientización y enforcement (aplicación), que han generado una cultura de respeto a la privacidad. Sin embargo, Colombia debe buscar la forma de modernizar su legislación de datos personales y su enfoque de vigilancia y control. 2. Acierto: la SIC ha hecho un trabajo valioso desde hace más de diez años y los resultados son muy visibles. No obstante, la SIC debería buscar la forma de modificar la aproximación excesivamente formalista de los últimos años hacia un modelo de vigilancia estratégico basado en los impactos reales de la mala gestión de la información para los titulares. Desacierto: las empresas tienen que continuar fortaleciendo su área de protección de datos.
Lina María Díaz, abogada asociada de Cavelier Abogados
1. De manera inmediata se vislumbra un interesante debate con el proyecto de ley estatutaria presentado recientemente ante la Cámara de Representantes que busca actualizar la normativa vigente. Esto, para evitar que la dispersión normativa dificulte la efectividad de la protección de los datos personales y para responder a las características de las nuevas tecnologías. De aprobarse este proyecto, derogaría la Ley 1581 y sus decretos reglamentarios. 2. El mayor acierto, sin duda, fue la expedición de la Ley 1581 de 2012. La ley de protección de datos personales estableció un marco legal general aplicable a todos los datos que permiten identificar a una persona y no solo para aquellos de carácter financiero, crediticio y comercial, como sucedía con la Ley 1266 de 2008. Para mejorar: la protección de los datos personales por entidades públicas.
Juanita Acosta Socia de la práctica de TMT, Tecnología y Protección de Datos de Dentons Cárdenas & Cárdenas
1. La protección de datos personales es un tema que tiene desarrollos cada día a medida que las herramientas tecnológicas avanzan. Nuestro esquema legal data de 2012 y hace que sea esta una legislación, si bien madura, que admite actualizaciones en vista de los nuevos desarrollos tecnológicos, jurisprudenciales y doctrinarios a nivel global. 2. Frente a los desafíos que representa la privacidad, la mayor fortaleza de la normativa de protección de datos, en nuestra opinión, es que obedece y reconoce unos principios básicos para el tratamiento de datos personales, dándole flexibilidad para afrontar las novedades tecnológicas ante nuevos procesamientos de datos. Desaciertos: hay elementos en la norma que ya no resultan tan aplicables y/o necesarios como se previeron en un principio; es el caso de las bases que legitiman el tratamiento de datos.
José Miguel de la Calle Socio de Garrigues
1. En materia de protección de datos, Colombia cuenta con dos regímenes: la Ley 1266 de 2008 y la Ley 1581 de 2012. La Ley 1266 de 2008 es un régimen especializado en el tratamiento de datos financieros, crediticios y comerciales que sean utilizados para el análisis de riesgo crediticio (administración de datos por centrales de riesgo). Por su parte, la Ley 1581 de 2012 implementa el régimen general de protección de datos personales, el cual resulta aplicable a todo tratamiento de información personal que no esté cobijado por la Ley 1266 de 2008. 2. En materia de datos personales, uno de los mayores aciertos ha sido la inclusión del principio de responsabilidad demostrada (accountability). Este principio tiene por objeto que todos los actores que procesen datos estén en capacidad de demostrar que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en cada uno de los regímenes. Desaciertos: mantener dos regímenes diferentes (Leyes 1266 de 2008 y 1581 de 2012), ya que esto ha generado una enorme confusión respecto de la aplicabilidad.