A pesar de que en Colombia existen obligaciones legales para utilizar el cruce de contrapartes en listas vinculantes como parte de los sistemas de gestión de lavado de activos y de financiación del terrorismo, se ha dado un interesante debate acerca de la integración de dicha exigencia legal con el derecho fundamental al habeas data.

 

El derecho al habeas data se encuentra consagrado en el artículo 15 de la Constitución  de Colombia. Según esta disposición, “todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas”.

Sin embargo, ha sido a través de fallos judiciales de la Corte Constitucional que el habeas data se ha reconocido como un derecho fundamental independiente del derecho a la intimidad personal y familiar, puesto que se manifiesta a través de las facultades de toda persona de conocer, actualizar y rectificar la información que sobre ellos conste en bases de datos.

De acuerdo con esto, surge una pregunta compleja para todos los que día a día se dedican al cumplimiento ALA/CFT: ¿cómo se armoniza la exigencia legal de utilización de listas y bases de datos de sanción en los sistemas de prevención del riesgo de LA/FT con el derecho fundamental al habeas data?

 

De dónde surge el derecho de habeas data en Colombia

La primera aproximación legal al derecho al habeas data surge con la expedición de la Ley 1266 de 2008, que reguló el manejo de información financiera, crediticia y comercial enfocada en el cálculo del riesgo de crédito.

Posteriormente, en el año 2012, el Congreso expidió la Ley 1581 de 2012, que, junto con el Decreto Reglamentario 1377 de 2012, constituyen el régimen general aplicable en materia de protección de datos personales en Colombia.

Según este marco jurídico, el dato personal objeto de protección es toda información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables, lo que significa que el criterio para establecer la existencia de datos personales es su vinculación con una o varias personas naturales (como el nombre, el número de identificación, los datos de contacto y la información biométrica, entre otros).

Esto significa que cualquier información es susceptible de ser considerada un dato personal puesto que el criterio es la mera vinculación a una persona natural y permitir su identificación.

También vale la pena aclarar que, si bien el principal objetivo de la normatividad en materia de protección de datos es el de salvaguardar el derecho a la privacidad, el hecho de que cierta información constituya un dato personal no significa que de forma automática se trate de información privada, reservada o confidencial.

Por el contrario, ciertos datos personales, debido a su naturaleza o finalidad, son información pública y de libre circulación, lo que releva a quien la utiliza de buscar la autorización del titular para su tratamiento. Por ejemplo, se considera pública la información de identificación personal (como el número, lugar y fecha de expedición de documentos de identidad) al igual que la información periodística.

 

¿La información contenida en listas de prevención de LA/FT está sujeta a protección?

De acuerdo con la Ley de Transparencia y del Derecho de Acceso a la Información Pública  (Ley 1712 de 2014), existe un principio de máxima publicidad que dice que toda la información consignada por una autoridad en listas o bases de datos restrictivas destinadas a la prevención de actividades ilícitas es de carácter público porque esto es esencial en la protección del interés general y la seguridad nacional.

En este sentido, y por regla general, los registros destinados a la prevención de LA/FT son de carácter público.

No obstante, esto no significa que la utilización de estos datos sea arbitraria, pues la legislación conmina a que todas las personas que realicen operaciones sobre datos personale, incluidos los proveedores de listados y bases de datos y los sujetos obligados, respeten 13 principios rectores del tratamiento de datos personales:

 

  1. Principio de legalidad: es una actividad reglada que debe sujetarse a lo establecido por las leyes vigentes.
  2. Principio de finalidad: el suministro de datos personales debe realizarse en la medida en que obedezca a una finalidad legítima de acuerdo con la Constitución y la ley. Este principio es el que ampara la actividad de los proveedores de listas y bases de datos.
  3. Principio de libertad: requiere del consentimiento previo, expreso e informado del titular de dichos datos. Por lo mismo, se prohíbe la obtención y divulgación de datos personales sin previa autorización.
  4. Principio de veracidad o calidad: Los datos personales deben corresponder a situaciones reales. La información tiene que ser veraz, completa, exacta, actualizada, comprobable y comprensible.
  5. Principio de transparencia: el titular de los datos personales debe poder conocer, en cualquier momento y sin restricciones, la información acerca de la existencia de datos que le conciernan.
  6. Principio de acceso y circulación restringida: solo puede hacerse por personas autorizadas por su titular o por quienes se encuentren avalados por la ley para autorizar.
  7. Principio de seguridad: debe contar con medidas técnicas, humanas y administrativas que permitan otorgar seguridad a la información e impidan la adulteración, pérdida, o acceso no autorizado o fraudulento.
  8. Principio de confidencialidad: es necesario garantizar la reserva de la información.
  9. Principio de necesidad: los datos personales objeto de tratamiento deben ser los estrictamente necesarios para cumplir las finalidades que persigue la base de datos.
  10. Principio de utilidad: es menester cumplir con una función determinada que debe ser acorde con la finalidad para la cual se han consignado los datos personales.
  11. Principio de integridad en el manejo de datos: se prohíbe el manejo incompleto de datos personales que puedan distorsionar la veracidad de la información.
  12. Principio de incorporación: durante la recolección de información personal se deben incluir tanto los aspectos negativos como los hechos que sean ventajosos para su titular.
  13. Principio de caducidad: los datos personales no deben ser conservados de forma perpetua o indefinida.

 

Respecto a la prevención de lavado de activos y financiación del terrorismo hay que señalar que son únicamente estos principios generales derivados de la Ley 1581 de 2012 y de la jurisprudencia los que rigen la materia.

Esto significa que, si bien las bases de datos para la prevención de LA/FT se encuentran excluidas parcialmente del régimen general de protección de datos personales (pues es información que se considera pública), la norma ha establecido la obligación general a los responsables y encargados de datos personales en materia LA/FT de dar aplicación a todos los principios legales contenidos en el ordenamiento.

 

¿Y el derecho al olvido?

En Colombia el derecho al olvido inicia a través del desarrollo jurisprudencial del concepto del habeas data en la Sentencia T-414 de 1992 en la que la Corte Constitucional señaló que las sanciones o informaciones negativas acerca de una persona no tienen vocación de perennidad y, en consecuencia, después de algún tiempo tales personas son titulares de un verdadero derecho al olvido.

En relación con este pronunciamiento, en agosto de 2015 la Sala Penal de la Corte Suprema de Justicia enfatizó que las providencias judiciales abiertas al público deben borrar o suprimir los nombres de las personas condenadas cuyas penas se hayan cumplido o prescrito, puesto que el fin de la publicidad de las sentencias no es el acceder a datos personales de las partes de los procesos, sino el del conocimiento del sentido de las decisiones de los jueces.

Nathanaelginting

Con la expedición de la Ley 1266 de 2008 (Ley de habeas data financiero), el legislador incluyó el principio de temporalidad de la información como una vía indirecta para consagrar el derecho al olvido con las siguientes palabras: “la información del titular no podrá ser suministrada a usuarios o terceros cuando deje de servir para la finalidad del banco de datos”.

Si bien en esa ley no existe un término general para la caducidad de datos personales, esta norma efectivamente incluye un principio de temporalidad de la información que, aunque inicialmente aplicaba solamente para los datos personales financieros, fue extendido por la Corte a otros ámbitos al señalar que en cada una de las actividades de gestión de datos personales deberá cumplirse con el plexo de derechos, libertades y garantías propias del derecho fundamental al habeas data, según las consideraciones expresadas por la jurisprudencia constitucional. 

En este orden de ideas, es obligación de los responsables de la información establecer términos prudenciales que permitan respetar la caducidad de la información, atendiendo a la necesidad y la finalidad para la cual han sido recolectados los datos personales.

En materia de listas, esta obligación se manifiesta a través de la constante actualización de la información por parte de responsables y encargados, de forma tal que refleje únicamente la información necesaria y proporcional para cumplir la finalidad de prevenir el LA/FT. Esto a su vez implica la supresión de información antigua no aplicable, la inclusión de información de la salida de los titulares de las listas, la referencia sobre absolución en procesos y la rectificación de información negativa, entre otros.

 

Estos son los sujetos que participan en el tratamiento de datos personales

De acuerdo con la norma, existen tres sujetos relevantes para el tratamiento de datos personales: el titular, que es la persona natural cuyos datos personales son objeto de tratamiento; el responsable, que es la persona natural o jurídica pública o privada que decide sobre las bases de datos que contienen datos personales o sobre su tratamiento; y el encargado, que es cualquier persona natural o jurídica, pública o privada, que realice el tratamiento de datos personales por cuenta de un responsable.

Este último caso, por ejemplo, se da en el almacenamiento de bases de datos en la nube que implica tanto la existencia de un responsable (quien recolecta y almacena las bases de datos) como de un encargado, que generalmente es la compañía que administra el almacenamiento virtual.