Loe raamatut: «Disrupción tecnológica, transformación y sociedad », lehekülg 17
GUILTINAN, J. “Creative Destruction and Destructive Creations: Environmental ethics and Planned Obsolescence”, Journal of Business Ethics, n.º 89, 2009.
GUTIÉRREZ, A. “Una mirada constitucional a la obsolescencia programada”, en J. SOTO PINEDA (coord.). Aproximaciones jurídicas a la obsolescencia programada, Bogotá, Universidad Externado de Colombia, 2017.
Haaretz Daily Newspaper. “Apple Slapped With Class Action Suit in Israel for Deliberately Slowing Older iPhones”, diciembre de 2017, disponible en [https://www.haaretz.com/israel-news/business/apple-slapped-with-class-action-in-israel-for-slowing-older-iphones-1.5629578], consultada el 12 de junio de 2019.
HALTE À L’OBSOLESCENCE PROGRAMMÉE. “Plainte au Procureur de la République contre indéterminées”, París, 18 de septiembre de 2017, disponible en [https://www.halteobsolescence.org/les-fabricants-dimprimantes-mis-en-cause-par-une-plainte/], consultada el 1.º de junio de 2019.
HALTE À L’OBSOLESCENCE PROGRAMMÉE. “Epson mis en cause par une plainte pénale en obsolescence programmée: l’enquête est ouverte”, diciembre de 2017, disponible en [https://www.halteobsolescence.org/dossier-de-presse/], consultada el 1 de junio de 2019.
HALTE À L’OBSOLESCENCE PROGRAMMÉE. “Plainte au Procureur de la République contre Apple France”, París, diciembre 2018, disponible en [https://www.droit-technologie.org/wp-content/uploads/2017/12/Plainte.pdf], consultada el 1.º de junio de 2019.
HALTE À L’OBSOLESCENCE PROGRAMMÉE. “Plaintes HOP: ça en est où?”, octubre 2018, disponible en [https://www.halteobsolescence.org/plaintes-hop/], consultada el 1.º de junio de 2019.
HANNURI LAW. “Mass Torts Suit Filed against Apple for iPhone slow down on behalf of 63,767 iPhone Users”, Press release, marzo de 2018, disponible en [https://onlinesosong.com/hannuri/eng/newsarchive/135/view?pageNo=10], consultada el 12 de junio de 2019.
HERNÁNDEZ, A. Obsolescencia programada de calidad: análisis de su juridicidad y una propuesta de regulación, tesis, Bogotá, Universidad Externado de Colombia, 2018, disponible en [https://bdigital.uexternado.edu.co/handle/001/1633].
HINDLE, T. Guide to management ideas and gurus, Londres, Londres Profile Books Ltd., Economist Books, 2008.
HODGES, A. y P. TAYLOR. “The Business fallout from the rapid obsolescence and planned obsolescence of high-tech products: downsizing of noncompetition agreements”, Columbia Science and Technology Law Review, vol. 6, n.º 3, 2005.
JAVKIN, P. et al. “Proyecto de Ley 1143-D-2014 Regulación del proceso de venta y de ofrecimiento de bienes electrónicos y de alto valor económico”, Buenos Aires, 2014, disponible en [https://www.hcdn.gob.ar/proyectos/textoCompleto.jsp?exp=1143-D-2014&tipo=LEY], consultada el 10 de agosto de 2019.
Korea Times. “Apple sued by 64,000 iPhone users”, marzo de 2018, disponible en [https://www.koreatimes.co.kr/www/tech/2018/04/133_246494.html], consultada el 12 de junio de 2019.
LONDON, B. “Ending the Depression Through Planned Obsolescence”, New York, Estados Unidos, 1932, University of Wisconsin Digital Collection, disponible en [https://babel.hathitrust.org/cgi/pt?id=wu.89097035273;view=1up;seq=1].
MACRUMORS. “Israeli Consumer Protection Bureau Launches Investigation Into Apple Over iPhone Slowdown Controversy”, abril de 2018, disponible en [https://www.macrumors.com/2018/04/10/iphone-slowdown-investigation-israel/], consultada el 12 de junio de 2019.
MINISTÊRE DE L’ÉCONOMIE, DE L’INDUSTRIE ET DU NUMÉRIQUE. “Ordonnance n.º 2016-486 du 14 mars 2016 relative á la partie législative du code de la consommation”, Journal Officiel De La République Française, París, 2016, Texte 29 sur 130, disponible en [https://www.legifrance.gouv.fr/eli/ordonnance/2016/3/14/EINC1602822R/jo], consultada el 1.º de junio de 2019.
NEW YORK EASTERN DISTRICT COURT. “Order on motion to dismiss. Lerman et Al. vs. Apple Inc. Case n.º 1: 15-cv-07381”, octubre 26 de 2017, disponible en [https://www.truthinadvertising.org/wp-content/uploads/2017/11/Lerman-v-Apple-order-denying-motion-to-dismiss.pdf], consultada el 10 de junio de 2019.
O’DOWD, R. J. “A survey of electronics obsolescence and reliability”, documento de trabajo, 2010.
PACKARD, V. Waste Makers, New York, David Mckay Company, 1960.
PARAJULY, K. et al. “Future E-waste Scenarios”, Bonn, United Nations University ViE-SCYCLE, 2019, disponible en [http://collections.unu.edu/eserv/UNU:7440/FUTURE_E WASTE_SCENARIOS_UNU_190829_low_screen.pdf], consultada el 1 de octubre de 2019.
PARLEMENT FÉDÉRAL BELGE. “Code de droit économique”, Document Parlementaire, Bruselas. A11134, 2013, disponible en [http://www.ejustice.just.fgov.be/cgi_loi/change_lg.pl?language=fr&la=F&table_name=loi&cn=2013022819], consultada el 5 de junio de 2019.
PERETZ, B. y Y. SHIMON. “Second Amendment Class Action Complaint. En el proceso de Lerman. et al. V. Apple Inc. Case n.º 1: 15-cv-07381”, (n.d), disponible en [http://www.classactionsreporter.com/sites/default/files/apple_os9_update_complaint.pdf], consultada el 12 de junio de 2019.
PETROSKI, H. The Evolution of useful things, Nueva York, Vintage Books, 1994.
PRAKASH, S. et al. “Einfluss der Nutzungsdauer von Produkten auf ihre Umweltwirkung: Schaffung einer Informationsgrundlage und Entwicklung von Strategien gegen ‘Obsoleszenz’, Bonn-Freiburg, Öko-Institut e.V. & Universität Bonn, 2016, disponible en [https://www.umweltbundesamt.de/sites/default/files/medien/378/publikationen/texte_11_2016_einfluss_der_nutzungsdauer_von_produkten_obsoleszenz.pdf], consultada el 20 de julio de 2019.
PRESIDENTE CONSTITUCIONAL DE LA REPÚBLICA. “Decreto ejecutivo 1435 de 2017”, Registro Oficial Suplemento n.º 9 del 7 de junio, Quito, 2017, disponible en [https://www.correosdelecuador.gob.ec/wp-content/uploads/downloads/2017/08/REGLAMENTO-CODIGO-CONOCIMIENTOS.pdf], consultada el 1.º de junio de 2019.
PRESIDENTE DELLE REPUBBLICA. “Decreto Legislativo n.º 206. Codice del Consumo”, Gazzetta Ufficiale, n.º 235 del 8 de octubre de 2005, Roma, disponible en [https://www.mise.gov.it/index.php/it/mercato-e-consumatori/tutela-del-consumatore/codice-del-consumo], consultada el 12 de junio de 2019.
PRÉVOT, P. et al. “Proposition de loi visant à lutter contre l’obsolescence programmée et à soutenir l’économie de la réparation”, Document parlementaire n.º 55 0193/001, Bruselas, 55K0193, 2019, disponible en [https://www.lachambre.be/FLWB/PDF/55/0193/55K0193001.pdf], consultada el 1.º de septiembre de 2019.
PRITZKER, E. y S. WILLIAMS. “First Amended Class Action Complaint. Andrew E. Westley vs. Apple Computer Inc.”, Case n.º CGC 03 427701, 2003, disponible en [https://www.plainsite.org/dockets/download.html?id=40774246&z=7631139e], consultada el 10 de agosto de 2019.
RAMÍREZ LÓPEZ, P. D. “Obsolescencia tecnológica programada”, documento de trabajo, 2013.
REGUEIRO, R. “La obsolescencia programada desde la perspectiva de la Unión Europea”, en J. SOTO PINEDA (coord.). Aproximaciones jurídicas a la obsolescencia programada, Bogotá, Universidad Externado de Colombia, 2017.
Reuters. “Israeli agency investigating Apple over handling of iPhone slowdown”, abril de 2018, disponible en [https://www.reuters.com/article/us-apple-batteries-israel/israeli-agency-investigating-apple-over-handling-of-iphone-slowdown-idUSKBN1HH1W8], consultada el 12 de junio de 2019.
Reuters. “South Korean group files complaint against Apple CEO over iPhone slowdown”, enero de 2018, disponible en [https://www.reuters.com/article/us-apple-southkorea-lawsuit/south-korean-group-files-complaint-against-apple-ceo-over-iphone-slowdown-idUSKBN1F80AG], consultada el 12 de junio de 2019.
ROBAYO, W. “Las empresas globales y la obsolescencia programada”, en J. SOTO PINEDA (coord.). Aproximaciones jurídicas a la obsolescencia programada, Bogotá, Universidad Externado de Colombia, 2017.
SENÁT DE BELGIQUE: Commission des Finances et des Affaires Économiques. “Proposition de résolution visant le développement de l’économie circulaire et la lutte contre l’obsolescence programmée”, Document législatif, Bruselas, 5-1251/4, 2012, disponible en [http://www.senate.be/www/webdriver?MItabObj=pdf&MIcolObj=pdf&MInamObj=pdfid&MItypeObj=application/pdf&MIvalObj=83888219], consultada el 5 de junio de 2019
SERPA, H. “Informe de ponencia positiva para primer debate al proyecto de ley n.º 157 de 2019, Senado, Gaceta del Congreso, n.º 971, Bogotá, 2019, disponible en [http://leyes.senado.gov.co/proyectos/images/documentos/Textos%20Radicados/Ponencias/2019/gaceta_971.pdf], consultada el 14 de octubre de 2019.
SINGH, P. y P. SANDBORN. “Obsolescence driven design refresh planning for sustainment-dominated systems”, The Engineering Economist, vol. 51, n.º 2, 2006.
SLADE, G. Made to Break: Technology and Obsolescence in America, Cambridge, Harvard University Press, 2006.
SOTO PINEDA, J. “En torno a la relevancia jurídica de una estrategia empresarial consolidada y subyacente: la obsolescencia programada”, en Colección Enrique Low Murtra: Derecho Económico, t. X, Bogotá, Universidad Externado de Colombia, 2015b.
SOTO PINEDA, J. “La obsolescencia programada y la defensa de la libre competencia”, en J. SOTO PINEDA (coord.). Aproximaciones jurídicas a la obsolescencia programada, Bogotá, Universidad Externado de Colombia, 2017.
SOTO PINEDA, J. “Reflexiones acerca de las posibles incompatibilidades de la obsolescencia programada con el sistema de defensa de los consumidores”, Actualidad Civil, n.º 6, 2015a.
SUPERIOR COURT OF CALIFORNIA. County of San Francisco. Andrew E. Westley vs. Apple Computer Inc. Case n.º CGC 03 427701, 2003, disponible en [http://www.plainsite.org/dockets/wog8xuhz/superior-court-of-california-county-of-san-francisco/andrew-e-westley-v-apple-computer-inc-et-al/], consultada el 10 de agosto de 2019.
UNIÓN EUROPEA. Comité Económico y Social Europeo. Dictamen “Por un consumo más sostenible: la duración de la vida de los productos industriales y la información al consumidor para recuperar la confianza”, Diario Oficial de la Unión Europea, Bruselas, C 67, Ponente: Thierry Libaert, coponente: Jean-Pierre Haber, 2014, disponible en [https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A52013IE1904], consultada el 10 de agosto de 2019.
UNIÓN EUROPEA. Parlamento Europeo. “Resolución sobre una vida útil más larga para los productos: ventajas para los consumidores y las empresas”, pendiente de publicación oficial, 2017, disponible en [http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P8-TA-2017-0287&language=ES&ring=A8-2017-0214], consultada el 10 de agosto de 2019.
VEGA, O. “Efectos colaterales de la obsolescencia tecnológica”, Revista de Facultad de Ingeniería, vol. 21, n.º 32, Universidad Pedagógica y Tecnológica de Colombia, 2012, disponible en [https://revistas.uptc.edu.co/index.php/ingenieria/article/view/1434], consultada el 10 de julio de 2019.
WALDMAN, M. “A new perspective on planned obsolescence”, The Quarterly Journal of Economics”, vol. 108, n.º 1, 1993.
WINCKEL, F. et al. “Proposition de loi relative á l’obsolescence programmée”, Document parlementaire n.º 54 1783/001, Bruselas, 54K1783, 2016, disponible en [http://www.lachambre.be/FLWB/PDF/54/1783/54K1783001.pdf], consultada el 1.º de junio de 2019..
XINHUANET. “Apple responds to Shanghai Consumer Council’s inquiry on iPhone slowdown”, enero de 2018, disponible en [http://www.xinhuanet.com/english/2018-01/19/c_136909003.htm], consultada el 12 de junio de 2019.
Yonhap News Agency. “Consumer group to file 1st local lawsuit against Apple over iPhone slowdown”, 2018a, disponible en [http://english.yonhapnews.co.kr/business/2018/01/10/0502000000AEN20180110001300320.html], consultada el 12 de junio de 2019.
Yonhap News Agency. “Prosecutors launch probe into iPhone slowdown scandal”, 2018b, disponible en [http://english.yonhapnews.co.kr/national/2018/01/19/0302000000AEN20180119005400315.html], consultada el 12 de junio de 2019.
TATIANA GAONA CORREDOR* DIEGO ANDRÉS SOLANO OSORIO**
Tratamiento de datos personales y aseguramiento de la responsabilidad derivada de la ocurrencia de amenazas digitales ***
Processing of personal data and liability insurance for digital threats
RESUMEN
El presente capítulo tiene por objetivo explicar las amenazas digitales, su impacto en la organización empresarial y la forma en que su ocurrencia ha tratado de ser mitigada mediante la adopción de mecanismos contractuales como la toma de seguros de responsabilidad civil extracontractual para la empresa.
PALABRAS CLAVE
Datos personales, ciberataques, amenazas digitales, seguro de responsabilidad civil, tratamiento de datos personales.
ABSTRACT
The purpose of this chapter is to explain digital threats, their impact on business organization and the way in which they have been attempt to be mitigated by adopting contractual mechanisms such as liability insurance.
KEYWORDS
Habeas data, cyber-attacks, digital hazards, liability insurance, digital threats, processing of personal data.
SUMARIO. Introducción. I. Las amenazas digitales y los riesgos que implican para una organización empresarial en el marco del tratamiento de datos personales, comerciales y financieros. II. Régimen de tratamiento de datos personales, comerciales y financieros. III. Desarrollo del principio de seguridad, acceso y circulación restringida del dato personal, e implicaciones para una organización empresarial. A. Conceptualización del principio de seguridad, acceso y circulación restringida. IV. Principio de responsabilidad demostrada o principio de accountability. V. Medidas de protección de la información. VI. Responsabilidad civil de las empresas por la ocurrencia de amenazas digitales o ciberriesgos y su aseguramiento. VII. Aseguramiento de la responsabilidad civil por la ocurrencia de amenazas digitales. Funciones del seguro de responsabilidad. VIII. Aspectos generales del aseguramiento de amenazas digitales. Conclusiones. Bibliografía.
INTRODUCCIÓN
En la primera parte de este capítulo se estudian las amenazas digitales que normalmente se presentan en el ciberespacio, así como aquellas que se pueden materializar en las instalaciones físicas de las organizaciones empresariales. Estas amenazas digitales representan grandes desafíos para las organizaciones que manejan y administran datos personales de sus usuarios, sus clientes y los consumidores de sus bienes y servicios; posteriormente se presenta el régimen actual de tratamiento de datos personales y de información de carácter comercial, financiera y crediticia, los sujetos que intervienen en ella y las obligaciones que la ley ha impuesto para llevar a cabo un adecuado tratamiento de los datos. Finalmente se expone el principio de responsabilidad demostrada, así como las medidas de prevención, detección y evaluación de las amenazas digitales que deben ser adoptadas por las organizaciones, en aras de exculpar su responsabilidad de carácter administrativo ante las autoridades de protección de datos personales.
En la segunda parte se aborda el régimen de responsabilidad civil aplicable a las empresas en relación con las transacciones que realizan en el ciberespacio y, en especial, con el tratamiento de datos personales. Igualmente, se explica la importancia de que las empresas que realicen operaciones cibernéticas contemplen como parte de su gobierno corporativo políticas y procedimientos para la detección, prevención y gestión de los riesgos asociados a amenazas digitales. Estas reglas juegan un papel fundamental en el funcionamiento de la empresa, y por supuesto en la prevención de posibles hechos dañosos derivados de la responsabilidad civil por el indebido tratamiento de datos personales. Para finalizar, se exponen los principales elementos del seguro de responsabilidad civil extracontractual, cuyos amparos protegen al empresario frente a la indemnización de terceros por la vulneración del régimen de protección de datos.
Desde ya manifestamos que bajo los postulados del régimen de responsabilidad civil extracontractual no hay duda de que las empresas tienen la obligación de reparar los perjuicios causados a terceros por la vulneración del régimen legal de tratamiento de datos. De esa forma, el seguro juega un papel fundamental en la protección del patrimonio del empresario frente a la materialización de las amenazas digitales.
I. LAS AMENAZAS DIGITALES Y LOS RIESGOS QUE IMPLICAN PARA UNA ORGANIZACIÓN EMPRESARIAL EN EL MARCO DEL TRATAMIENTO DE DATOS PERSONALES, COMERCIALES Y FINANCIEROS
Con la utilización masiva de la tecnología la sociedad actual ha venido adaptándose al funcionamiento de un nuevo orden económico y social. El uso de las Tecnologías de la Información y Comunicación (TIC) ha instaurado un nuevo paradigma relacional entre las interacciones personales y sociales1. Esta nueva realidad no solo ha impactado el relacionamiento entre las personas físicas, sino que se ha convertido en pieza esencial y fundamental para el debido funcionamiento de las organizaciones empresariales. De esa forma ha surgido un nuevo espacio de interacción en el que participan organizaciones empresariales y usuarios. Este espacio, en el que se produce un intercambio de información que en muchos casos resulta ser privada y confidencial de los usuarios, ha sido denominado por la doctrina y por distintas autoridades ciberespacio.
El ciberespacio ha sido concebido como un entorno donde interactúan personas, softwares y servicios en Internet mediante el uso de dispositivos tecnológicos que se encuentran enlazados a una red común2. Este ciberespacio se caracteriza por no presentarse en una forma física concreta, sino que se entiende como un ambiente donde los intervinientes intercambian información en busca de la satisfacción de sus necesidades, y en muchas ocasiones para la prestación de servicios. Así las cosas, el ciberespacio se instituye en un ambiente en el que se intercambia información de carácter personal, comercial y financiera, y en el cual se debe brindar seguridad con el fin de dotar de confianza a los usuarios. De esa forma, para el caso colombiano, la regulación decidió situar en cabeza de las organizaciones empresariales la responsabilidad de brindar seguridad y protección a sus clientes, usuarios y consumidores en las operaciones que se puedan realizar en el ciberespacio. Esa obligación de garantía de seguridad se materializa mediante la exigencia de que las organizaciones empresariales adopten medidas físicas y administrativas ante la ocurrencia de lo que hemos denominado amenazas digitales.
Las amenazas digitales se entienden como toda acción, omisión o elemento que tiene la potencialidad de afectar la seguridad de la información, tanto en los espacios físicos y operativos de las organizaciones empresariales, como en el ciberespacio. Este concepto de amenazas digitales engloba los distintos medios que afectan directamente la seguridad de la información de una organización empresarial, por lo cual el ordenamiento colombiano ha agrupado los eventos correspondientes en ataques cibernéticos, eventos de ciberseguridad, incidentes de ciberseguridad e incidentes de seguridad3. Estas amenazas digitales pueden representar distintos riesgos para las organizaciones, y de acuerdo con su gravedad se han clasificado técnicamente en amenazas terciarias, secundarias y primarias.
Las amenazas terciarias normalmente se categorizan a su vez en ataques (referidos a un actuar determinado de un agente específico con capacidad y determinación para hacerlo), accidentes (relacionados con fallas físicas o lógicas del hardware por defecto o uso prologado) y errores (referidos a los posibles defectos de configuración, programación o respuesta del software); las amenazas secundarias disminuyen o eliminan el grado de éxito de las medidas que adopta la organización empresarial para mitigar las amenazas primarias, por ejemplo, la eliminación de la efectividad de firewalls, y las amenazas primarias evitan que se mantengan o se lleguen a establecer las medidas que mitigan las amenazas terciarias o secundarias. Al final estas amenazas digitales pueden consistir en ataques al sistema de seguridad, espionaje, sabotaje, fraudes, inserción de códigos maliciosos, y/o comprometer los medios de autenticación de los usuarios, entre otros.
En muchos casos las amenazas digitales no solo están dirigidas a afectar el funcionamiento de una organización empresarial, sino que pueden consistir en un ataque dirigido a la obtención de información de carácter personal de sus usuarios y clientes, ya sea un dato personal, o información comercial y financiera. Cuando la amenaza digital afecta específicamente los datos personales de sus usuarios, puede derivar en una responsabilidad de carácter administrativo y civil para la organización empresarial. Sin embargo, la adopción de un sistema adecuado de gestión de seguridad de los datos personales puede conllevar la exoneración de la compañía de la responsabilidad civil o administrativa. De esa forma, es necesario analizar el régimen de tratamiento de datos personales y de información comercial y financiera, y las medidas que pueden conllevar la exoneración de responsabilidad de la organización empresarial4.
II. RÉGIMEN DE TRATAMIENTO DE DATOS PERSONALES, COMERCIALES Y FINANCIEROS
La Ley 1266 de 2008 (conocida comúnmente como Ley de habeas data financiero) y la Ley 1581 de 2012 (conocida comúnmente como Ley de protección de datos personales) se han encargado de delimitar los conceptos base en materia de tratamiento y administración de datos personales, y aunque ambas regulaciones establecen una definición común para el concepto de dato personal como “Cualquier información vinculada o que pueda asociarse a una o varias personas determinadas o determinables”, presentan un matiz diferenciador: la Ley 1266 de 2008 construye el dato personal como un derecho personal5 cuya titularidad corresponde tanto a las personas naturales como a las jurídicas, es decir, el derecho al habeas data financiero; y en un sentido más limitado, la Ley 1581 de 2012 reconoce la existencia de este derecho personal exclusivamente a la persona natural, el habeas data personal.
La diferencia en la construcción del concepto de dato personal en ambas regulaciones se explica por la naturaleza de las relaciones que impactan, lo que también se refleja en la delimitación del concepto de las personas que intervienen en el tratamiento del dato personal. La ley de habeas data financiero se encamina a la protección de aquella información crediticia, comercial y financiera contenida en centrales de información públicas o privadas, que recopilan, tratan y circulan esos datos con el fin de establecer el nivel de riesgo financiero de su titular6. Así, la operación que ampara esta ley es el análisis del perfil financiero de cualquier participante como tomador de servicios comerciales y/o financieros, donde la naturaleza del titular le es indiferente al mercado.
De esa forma, en el régimen de habeas data financiero quienes intervienen en la relación de tratamiento del dato personal son el titular de la información, la fuente de información, el operador de información y el usuario, donde se resalta la labor de la fuente y del operador cuyas calidades pueden confluir en un solo agente7. La fuente y el operador son las personas que reciben, conocen, administran y ponen en conocimiento de un tercero (usuario) la información suministrada por el titular8. De ese modo, las principales obligaciones en el tratamiento de los datos personales en este régimen son predicables de estos dos agentes. Siendo las obligaciones de la fuente de información más de tipo formal y de verificación de la veracidad, exactitud y actualidad de la información suministrada9. Por su parte, si bien en el operador de la información recaen obligaciones similares, se le agregan obligaciones de carácter material, como la de garantizar el acceso a la información únicamente a las personas autorizadas o habilitadas, enfocándose principalmente en el principio de seguridad y de responsabilidad10.
De otra parte, la ley de protección de datos personales se enfoca en la protección del derecho de las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido de ellas en bases de datos o archivos, siendo esta una concepción más amplia del dato personal11, y con menos especificidad que la contenida en la ley de habeas data financiero12. Consecuentemente, se entiende el dato personal como un bien personalísimo13, predicable solo de la persona natural, de forma que esta normativa se acerca al doble carácter que puede tener el dato personal, como derecho personal14 y como activo o bien comercial utilizable en una organización empresarial15. Así las cosas, la ley de datos personales se preocupa del trato que se le pueda dar a la información suministrada, recolectada y estudiada al interior de una determinada organización16, el uso que esta pueda realizar de ella y la posibilidad de transferir esa información a otros agentes que intervienen en el mercado17.
En consecuencia, la ley de protección de datos personales establece un sistema de roles distinto al propuesto en la ley de habeas data financiero, por cuanto menciona al titular del dato personal, a los responsables del tratamiento del dato personal y a los encargados del tratamiento del dato personal18. Entendiendo el tratamiento como cualquier operación que implique la recolección, almacenamiento, uso, circulación o supresión del dato personal19. Consecuentemente, la ley establece que el rol de responsable lo ocupa aquella persona que decide respecto del tratamiento, siendo el encargado el colaborador del responsable que materialmente realiza el tratamiento. De esa forma, al encontrarse el encargado en una situación de delegación, como un administrador a nombre de un tercero responsable, les son predicables a ambas partes obligaciones de carácter formal y material en desarrollo de su labor, y su responsabilidad se encuentra intrínsecamente ligada, destacándose para nuestro interés los principios de circulación restringida y de seguridad del dato personal20.
III. DESARROLLO DEL PRINCIPIO DE SEGURIDAD, ACCESO Y CIRCULACIÓN RESTRINGIDA DEL DATO PERSONAL, EIMPLICACIONES PARA UNA ORGANIZACIÓN EMPRESARIAL
En el apartado anterior se mencionó que en el tratamiento de los datos personales intervienen diversos sujetos a quienes la ley les ha impuesto una serie de obligaciones de carácter formal y material. Corresponde exponer en este acápite la participación del operador de la información (régimen de habeas data financiero) y del responsable y encargado del tratamiento de la información (régimen de habeas data personal), particularmente la descripción de los principios de seguridad, circulación restringida y de responsabilidad predicable a estos sujetos involucrados en el tratamiento de los datos personales, comerciales y financieros.
A. CONCEPTUALIZACIÓN DEL PRINCIPIO DESEGURIDAD, ACCESO Y CIRCULACIÓN RESTRINGIDA
Tanto la Ley 1266 de 2008 como la Ley 1581 de 2012 consagran principios que son comunes para realizar un adecuado tratamiento de los datos personales. En el artículo 4.º común a ambas normativas se consagra el principio de seguridad consistente en la garantía que se debe brindar al tratamiento de datos, lo que demanda adoptar las medidas necesarias para garantizar la seguridad de los registros con el fin de evitar la adulteración, pérdida, consulta o uso no autorizado o fraudulento de los datos personales21. De igual forma, en el artículo 4.º de la Ley 1581 de 2012, y de la mano del principio de seguridad, encontramos el principio de acceso y circulación restringida, el cual le da el derecho al titular de la información de decidir quiénes pueden acceder a su información, así como el derecho de que sus datos personales no se den a conocer en medios de divulgación masiva a terceros no autorizados22.
De esa forma, estos principios consagran unos parámetros de garantía de uso adecuado para la información suministrada por el titular en cabeza de los responsables y encargados del tratamiento de datos personales. El titular está legitimado para saber cuáles datos han sido suministrados, conocidos y deducidos por una determinada organización empresarial, y el uso que se hace de ellos, así como su transferencia a terceros ajenos a su organización. Estos datos se convierten en un activo intangible cuyo uso y aprovechamiento otorgan una ventaja competitiva que se transforma en ingresos para la organización empresarial que los explota23, como ocurre con la predicción de los comportamientos del consumidor para fines de marketing comercial o político24.
En ese tipo de actividades de análisis de datos se presenta una mayor ocurrencia de amenazas digitales que incluyen el acceso a información caracterizada como dato personal, y que se traducen en su uso para fines distintos a los autorizados por el titular25. Así se refleja en el conocido caso de Cambridge Analytica, en el que, según la autoridad de protección de datos colombiana, a través de la aplicación thisisyourdigitallife se pudieron haber utilizado indebidamente los datos personales de más de 50 millones de usuarios de Facebook. En la misma decisión la autoridad colombiana de protección de datos advirtió que, a través del uso de aplicaciones en la plataforma social, se pudo haber influenciado y manipulado el comportamiento de los titulares de datos personales con las llamadas noticias falsas26.
De esa forma, los principios de seguridad, acceso y circulación restringida son los mecanismos idóneos para exigir a los operadores de información, responsables y encargados del tratamiento personales27, la adopción de acciones afirmativas de prevención, protección y detección de amenazas digitales, destacando las autoridades de protección de datos que el principio de seguridad debe operar por la simple realización del tratamiento de datos28. En ese sentido, el principio de seguridad demanda la adopción de medidas que no estén condicionadas a la existencia de un daño o perjuicio para los derechos de los titulares de los datos personales –deber de prevención en el tratamiento de los datos personales–29.
