Art�culo 1�. Objeto. La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los dem�s derechos, libertades y garant�as constitucionales a que se refiere el art�culo 15 de la Constituci�n Pol�tica; as� como el derecho a la informaci�n consagrado en el art�culo 20 de la misma.�

��

Art�culo 2�. �mbito de aplicaci�n. Los principios y disposiciones contenidas en la presente ley ser�n aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza p�blica o privada.�

��

La presente ley aplicar� al tratamiento de datos personales efectuado en territorio colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio nacional le sea aplicable la legislaci�n colombiana en virtud de normas y tratados internacionales.�

��

El r�gimen de protecci�n de datos personales que se establece en la presente ley no ser� de aplicaci�n:�

��

a) A las bases de datos o archivos mantenidos en un �mbito exclusivamente personal o dom�stico.�

��

Cuando estas bases de datos o archivos vayan a ser suministrados a terceros se deber�, de manera previa, informar al Titular y solicitar su autorizaci�n. En este caso los Responsables y Encargados de las bases de datos y archivos quedar�n sujetos a las disposiciones contenidas en la presente ley;�

��

b) A las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, as� como la prevenci�n, detecci�n, monitoreo y control del lavado de activos y el financiamiento del terrorismo;�

��

c) A las Bases de datos que tengan como fin y contengan informaci�n de inteligencia y contrainteligencia;�

��

d) A las bases de datos y archivos de informaci�n period�stica y otros contenidos editoriales;�

��

e) A las bases de datos y archivos regulados por la Ley 1266 de 2008;�

��

f) A las bases de datos y archivos regulados por la Ley 79 de 1993.�

��

Par�grafo. Los principios sobre protecci�n de datos ser�n aplicables a todas las bases de datos, incluidas las exceptuadas en el presente art�culo, con los l�mites dispuestos en la presente ley y sin re�ir con los datos que tienen caracter�sticas de estar amparados por la reserva legal. En el evento que la normatividad especial que regule las bases de datos exceptuadas prevea principios que tengan en consideraci�n la naturaleza especial de datos, los mismos aplicar�n de manera concurrente a los previstos en la presente ley.�

��

Art�culo 3�. Definiciones. Para los efectos de la presente ley, se entiende por:�

��

a) Autorizaci�n: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales;�

��

b) Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento;�

��

c) Dato personal: Cualquier informaci�n vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;�

��

d) Encargado del Tratamiento: Persona natural o jur�dica, p�blica o privada, que por s� misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento;�

��

e) Responsable del Tratamiento: Persona natural o jur�dica, p�blica o privada, que por s� misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos;�

��

f) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento;�

��

g) Tratamiento: Cualquier operaci�n o conjunto de operaciones sobre datos personales, tales como la recolecci�n, almacenamiento, uso, circulaci�n o supresi�n.�

��

Art�culo 5�. Datos sensibles. Para los prop�sitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminaci�n, tales como aquellos que revelen el origen racial o �tnico, la orientaci�n pol�tica, las convicciones religiosas o filos�ficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido pol�tico o que garanticen los derechos y garant�as de partidos pol�ticos de oposici�n as� como los datos relativos a la salud, a la vida sexual y los datos biom�tricos.�

��

Art�culo 4�. Principios para el Tratamiento de datos personales. En el desarrollo, interpretaci�n y aplicaci�n de la presente ley, se aplicar�n, de manera arm�nica e integral, los siguientes principios:�

��

a) Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las dem�s disposiciones que la desarrollen;�

��

b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad leg�tima de acuerdo con la Constituci�n y la Ley, la cual debe ser informada al Titular;�

��

c) Principio de libertad: El Tratamiento s�lo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podr�n ser obtenidos o divulgados sin previa autorizaci�n, o en ausencia de mandato legal o judicial que releve el consentimiento;�

��

d) Principio de veracidad o calidad: La informaci�n sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se proh�be el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error;�

��

e) Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, informaci�n acerca de la existencia de datos que le conciernan;�

��

f) Principio de acceso y circulaci�n restringida: El Tratamiento se sujeta a los l�mites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constituci�n. En este sentido, el Tratamiento s�lo podr� hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley;�

��

Los datos personales, salvo la informaci�n p�blica, no podr�n estar disponibles en Internet u otros medios de divulgaci�n o comunicaci�n masiva, salvo que el acceso sea t�cnicamente controlable para brindar un conocimiento restringido s�lo a los Titulares o terceros autorizados conforme a la presente ley;�

��

g) Principio de seguridad: La informaci�n sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deber� manejar con las medidas t�cnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteraci�n, p�rdida, consulta, uso o acceso no autorizado o fraudulento;�

��

h) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de p�blicos est�n obligadas a garantizar la reserva de la informaci�n, inclusive despu�s de finalizada su relaci�n con alguna de las labores que comprende el Tratamiento, pudiendo s�lo realizar suministro o comunicaci�n de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los t�rminos de la misma.�

��

��

Art�culo 6�. Tratamiento de datos sensibles. Se proh�be el Tratamiento de datos sensibles, excepto cuando:�

��

a) El Titular haya dado su autorizaci�n expl�cita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorizaci�n;�

��

b) El Tratamiento sea necesario para salvaguardar el inter�s vital del Titular y este se encuentre f�sica o jur�dicamente incapacitado. En estos eventos, los representantes legales deber�n otorgar su autorizaci�n;�

��

c) El Tratamiento sea efectuado en el curso de las actividades leg�timas y con las debidas garant�as por parte de una fundaci�n, ONG, asociaci�n o cualquier otro organismo sin �nimo de lucro, cuya finalidad sea pol�tica, filos�fica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por raz�n de su finalidad. En estos eventos, los datos no se podr�n suministrar a terceros sin la autorizaci�n del Titular;�

��

d) El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;�

��

e) El Tratamiento tenga una finalidad hist�rica, estad�stica o cient�fica. En este evento deber�n adoptarse las medidas conducentes a la supresi�n de identidad de los Titulares.�

��

Art�culo 7�. Derechos de los ni�os, ni�as y adolescentes. En el Tratamiento se asegurar� el respeto a los derechos prevalentes de los ni�os, ni�as y adolescentes.�

��

Queda proscrito el Tratamiento de datos personales de ni�os, ni�as y adolescentes, salvo aquellos datos que sean de naturaleza p�blica.�

��

Es tarea del Estado y las entidades educativas de todo tipo proveer informaci�n y capacitar a los representantes legales y tutores sobre los eventuales riesgos a los que se enfrentan los ni�os, ni�as y adolescentes respecto del Tratamiento indebido de sus datos personales, y proveer de conocimiento acerca del uso responsable y seguro por parte de ni�os, ni�as y adolescentes de sus datos personales, su derecho a la privacidad y protecci�n de su informaci�n personal y la de los dem�s. El Gobierno Nacional reglamentar� la materia, dentro de los seis (6) meses siguientes a la promulgaci�n de esta ley.�

��

��

Art�culo 8�. Derechos de los Titulares. El Titular de los datos personales tendr� los siguientes derechos:�

��

a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podr� ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento est� expresamente prohibido o no haya sido autorizado;�

��

b) Solicitar prueba de la autorizaci�n otorgada al Responsable del Tratamiento salvo cuando expresamente se except�e como requisito para el Tratamiento, de conformidad con lo previsto en el art�culo 10 de la presente ley;�

��

c) Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales;�

��

d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las dem�s normas que la modifiquen, adicionen o complementen;�

��

e) Revocar la autorizaci�n y/o solicitar la supresi�n del dato cuando en el Tratamiento no se respeten los principios, derechos y garant�as constitucionales y legales. La revocatoria y/o supresi�n proceder� cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constituci�n;�

��

f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.�

��

Art�culo 10. Casos en que no es necesaria la autorizaci�n. La autorizaci�n del Titular no ser� necesaria cuando se trate de:�

��

a) Informaci�n requerida por una entidad p�blica o administrativa en ejercicio de sus funciones legales o por orden judicial;�

��

b) Datos de naturaleza p�blica;�

��

c) Casos de urgencia m�dica o sanitaria;�

��

d) Tratamiento de informaci�n autorizado por la ley para fines hist�ricos, estad�sticos o cient�ficos;�

��

e) Datos relacionados con el Registro Civil de las Personas.�

��

Quien acceda a los datos personales sin que medie autorizaci�n previa deber� en todo caso cumplir con las disposiciones contenidas en la presente ley.�

��

Art�culo 9�. Autorizaci�n del Titular. Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorizaci�n previa e informada del Titular, la cual deber� ser obtenida por cualquier medio que pueda ser objeto de consulta posterior.�

��

Art�culo 11. Suministro de la informaci�n. La informaci�n solicitada podr� ser suministrada por cualquier medio, incluyendo los electr�nicos, seg�n lo requiera el Titular. La informaci�n deber� ser de f�cil lectura, sin barreras t�cnicas que impidan su acceso y deber� corresponder en un todo a aquella que repose en la base de datos.�

��

El Gobierno Nacional establecer� la forma en la cual los Responsables del Tratamiento y Encargados del Tratamiento deber�n suministrar la informaci�n del Titular, atendiendo a la naturaleza del dato personal, Esta reglamentaci�n deber� darse a m�s tardar dentro del a�o siguiente a la promulgaci�n de la presente ley.�

��

Art�culo 12. Deber de informar al Titular. El Responsable del Tratamiento, al momento de solicitar al Titular la autorizaci�n, deber� informarle de manera clara y expresa lo siguiente:�

��

a) El Tratamiento al cual ser�n sometidos sus datos personales y la finalidad del mismo;�

��

b) El car�cter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las ni�as, ni�os y adolescentes;�

��

c) Los derechos que le asisten como Titular;�

��

d) La identificaci�n, direcci�n f�sica o electr�nica y tel�fono del Responsable del Tratamiento.�

��

Par�grafo. El Responsable del Tratamiento deber� conservar prueba del cumplimiento de lo previsto en el presente art�culo y, cuando el Titular lo solicite, entregarle copia de esta.�

��

Art�culo 13. Personas a quienes se les puede suministrar la informaci�n. La informaci�n que re�na las condiciones establecidas en la presente ley podr� suministrarse a las siguientes personas:�

��

a) A los Titulares, sus causahabientes o sus representantes legales;�

��

b) A las entidades p�blicas o administrativas en ejercicio de sus funciones legales o por orden judicial;�

��

c) A los terceros autorizados por el Titular o por la ley.�

��

Art�culo 14. Consultas. Los Titulares o sus causahabientes podr�n consultar la informaci�n personal del Titular que repose en cualquier base de datos, sea esta del sector p�blico o privado. El Responsable del Tratamiento o Encargado del Tratamiento deber�n suministrar a estos toda la informaci�n contenida en el registro individual o que est� vinculada con la identificaci�n del Titular.�

��

La consulta se formular� por el medio habilitado por el Responsable del Tratamiento o Encargado del Tratamiento, siempre y cuando se pueda mantener prueba de esta.�

��

La consulta ser� atendida en un t�rmino m�ximo de diez (10) d�as h�biles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho t�rmino, se informar� al interesado, expresando los motivos de la demora y se�alando la fecha en que se atender� su consulta, la cual en ning�n caso podr� superar los cinco (5) d�as h�biles siguientes al vencimiento del primer t�rmino.�

��

Par�grafo. Las disposiciones contenidas en leyes especiales o los reglamentos expedidos por el Gobierno Nacional podr�n establecer t�rminos inferiores, atendiendo a la naturaleza del dato personal.�

��

Art�culo 15. Reclamos. El Titular o sus causahabientes que consideren que la informaci�n contenida en una base de datos debe ser objeto de correcci�n, actualizaci�n o supresi�n, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta ley, podr�n presentar un reclamo ante el Responsable del Tratamiento o el Encargado del Tratamiento el cual ser� tramitado bajo las siguientes reglas:�

��

1. El reclamo se formular� mediante solicitud dirigida al Responsable del Tratamiento o al Encargado del Tratamiento, con la identificaci�n del Titular, la descripci�n de los hechos que dan lugar al reclamo, la direcci�n, y acompa�ando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerir� al interesado dentro de los cinco (5) d�as siguientes a la recepci�n del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la informaci�n requerida, se entender� que ha desistido del reclamo.�

��

En caso de que quien reciba el reclamo no sea competente para resolverlo, dar� traslado a quien corresponda en un t�rmino m�ximo de dos (2) d�as h�biles e informar� de la situaci�n al interesado.�

��

2. Una vez recibido el reclamo completo, se incluir� en la base de datos una leyenda que diga "reclamo en tr�mite" y el motivo del mismo, en un t�rmino no mayor a dos (2) d�as h�biles. Dicha leyenda deber� mantenerse hasta que el reclamo sea decidido.�

��

3. El t�rmino m�ximo para atender el reclamo ser� de quince (15) d�as h�biles contados a partir del d�a siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho t�rmino, se informar� al interesado los motivos de la demora y la fecha en que se atender� su reclamo, la cual en ning�n caso podr� superar los ocho (8) d�as h�biles siguientes al vencimiento del primer t�rmino.�

��

Art�culo 16. Requisito de procedibilidad. El Titular o causahabiente s�lo podr� elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el tr�mite de consulta o reclamo ante el Responsable del Tratamiento o Encargado del Tratamiento.�

��

��

Art�culo 17. Deberes de los Responsables del Tratamiento. Los Responsables del Tratamiento deber�n cumplir los siguientes deberes, sin perjuicio de las dem�s disposiciones previstas en la presente ley y en otras que rijan su actividad:�

��

a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de h�beas data;�

��

b) Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorizaci�n otorgada por el Titular;�

��

c) Informar debidamente al Titular sobre la finalidad de la recolecci�n y los derechos que le asisten por virtud de la autorizaci�n otorgada;�

��

d) Conservar la informaci�n bajo las condiciones de seguridad necesarias para impedir su adulteraci�n, p�rdida, consulta, uso o acceso no autorizado o fraudulento;�

��

e) Garantizar que la informaci�n que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;�

��

f) Actualizar la informaci�n, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las dem�s medidas necesarias para que la informaci�n suministrada a este se mantenga actualizada;�

��

g) Rectificar la informaci�n cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento;�

��

h) Suministrar al Encargado del Tratamiento, seg�n el caso, �nicamente datos cuyo Tratamiento est� previamente autorizado de conformidad con lo previsto en la presente ley;�

��

i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la informaci�n del Titular;�

��

j) Tramitar las consultas y reclamos formulados en los t�rminos se�alados en la presente ley;�

��

k) Adoptar un manual interno de pol�ticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atenci�n de consultas y reclamos;�

��

l) Informar al Encargado del Tratamiento cuando determinada informaci�n se encuentra en discusi�n por parte del Titular, una vez se haya presentado la reclamaci�n y no haya finalizado el tr�mite respectivo;�

��

m) Informar a solicitud del Titular sobre el uso dado a sus datos;�

��

n) Informar a la autoridad de protecci�n de datos cuando se presenten violaciones a los c�digos de seguridad y existan riesgos en la administraci�n de la informaci�n de los Titulares.�

��

o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.�

��

Art�culo 18. Deberes de los Encargados del Tratamiento. Los Encargados del Tratamiento deber�n cumplir los siguientes deberes, sin perjuicio de las dem�s disposiciones previstas en la presente ley y en otras que rijan su actividad:�

��

a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de h�beas data;�

��

b) Conservar la informaci�n bajo las condiciones de seguridad necesarias para impedir su adulteraci�n, p�rdida, consulta, uso o acceso no autorizado o fraudulento;�

��

c) Realizar oportunamente la actualizaci�n, rectificaci�n o supresi�n de los datos en los t�rminos de la presente ley;�

��

d) Actualizar la informaci�n reportada por los Responsables del Tratamiento dentro de los cinco (5) d�as h�biles contados a partir de su recibo;�

��

e) Tramitar las consultas y los reclamos formulados por los Titulares en los t�rminos se�alados en la presente ley;�

��

f) Adoptar un manual interno de pol�ticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atenci�n de consultas y reclamos por parte de los Titulares;�

��

g) Registrar en la base de datos las leyenda "reclamo en tr�mite" en la forma en que se regula en la presente ley;�

��

h) Insertar en la base de datos la leyenda "informaci�n en discusi�n judicial" una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal;�

��

i) Abstenerse de circular informaci�n que est� siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;�

��

j) Permitir el acceso a la informaci�n �nicamente a las personas que pueden tener acceso a ella;�

��

k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los c�digos de seguridad y existan riesgos en la administraci�n de la informaci�n de los Titulares;�

��

l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.�

��

Par�grafo. En el evento en que concurran las calidades de Responsable del Tratamiento y Encargado del Tratamiento en la misma persona, le ser� exigible el cumplimiento de los deberes previstos para cada uno.�

��

Art�culo 19. Autoridad de Protecci�n de Datos. La Superintendencia de Industria y Comercio, a trav�s de una Delegatura para la Protecci�n de Datos Personales, ejercer� la vigilancia para garantizar que en el Tratamiento de datos personales se respeten los principios, derechos, garant�as y procedimientos previstos en la presente ley.�

��

Par�grafo 1�. El Gobierno Nacional en el plazo de seis (6) meses contados a partir de la fecha de entrada en vigencia de la presente ley incorporar� dentro de la estructura de la Superintendencia de Industria y Comercio un despacho de Superintendente Delegado para ejercer las funciones de Autoridad de Protecci�n de Datos.�

��

Par�grafo 2�. La vigilancia del tratamiento de los datos personales regulados en la Ley 1266 de 2008 se sujetar� a lo previsto en dicha norma.�

��

Art�culo 20. Recursos para el ejercicio de sus funciones. La Superintendencia de Industria y Comercio contar� con los siguientes recursos para ejercer las funciones que le son atribuidas por la presente ley:�

��

a) Los recursos que le sean destinados en el Presupuesto General de la Naci�n.�

��

Art�culo 21. Funciones. La Superintendencia de Industria y Comercio ejercer� las siguientes funciones:�

��

a) Velar por el cumplimiento de la legislaci�n en materia de protecci�n de datos personales;�

��

b) Adelantar las investigaciones del caso, de oficio o a petici�n de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de h�beas data. Para el efecto, siempre que se desconozca el derecho, podr� disponer que se conceda el acceso y suministro de los datos, la rectificaci�n, actualizaci�n o supresi�n de los mismos;�

��

c) Disponer el bloqueo temporal de los datos cuando, de la solicitud y de las pruebas aportadas por el Titular, se identifique un riesgo cierto de vulneraci�n de sus derechos fundamentales, y dicho bloqueo sea necesario para protegerlos mientras se adopta una decisi�n definitiva;�

��

d) Promover y divulgar los derechos de las personas en relaci�n con el Tratamiento de datos personales e implementar� campa�as pedag�gicas para capacitar e informar a los ciudadanos acerca del ejercicio y garant�a del derecho fundamental a la protecci�n de datos;�

��

e) Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuaci�n de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley;�

��

f) Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento la informaci�n que sea necesaria para el ejercicio efectivo de sus funciones.�

��

g) Proferir las declaraciones de conformidad sobre las transferencias internacionales de datos;�

��

h) Administrar el Registro Nacional P�blico de Bases de Datos y emitir las �rdenes y los actos necesarios para su administraci�n y funcionamiento;�

��

i) Sugerir o recomendar los ajustes, correctivos o adecuaciones a la normatividad que resulten acordes con la evoluci�n tecnol�gica, inform�tica o comunicacional;�

��

j) Requerir la colaboraci�n de entidades internacionales o extranjeras cuando se afecten los derechos de los Titulares fuera del territorio colombiano con ocasi�n, entre otras, de la recolecci�n internacional de datos personajes;�

��

k) Las dem�s que le sean asignadas por ley.�

��

Art�culo 22. Tr�mite. La Superintendencia de Industria y Comercio, una vez establecido el incumplimiento de las disposiciones de la presente ley por parte del Responsable del Tratamiento o el Encargado del Tratamiento, adoptar� las medidas o impondr� las sanciones correspondientes.�

��

En lo no reglado por la presente ley y los procedimientos correspondientes se seguir�n las normas pertinentes del C�digo Contencioso Administrativo.�

��

Art�culo 23. Sanciones. La Superintendencia de Industria y Comercio podr� imponer a los Responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones:�

��

a) Multas de car�cter personal e institucional hasta por el equivalente de dos mil (2.000) salarios m�nimos mensuales legales vigentes al momento de la imposici�n de la sanci�n. Las multas podr�n ser sucesivas mientras subsista el incumplimiento que las origin�;�

��

b) Suspensi�n de las actividades relacionadas con el Tratamiento hasta por un t�rmino de seis (6) meses. En el acto de suspensi�n se indicar�n los correctivos que se deber�n adoptar;�

��

c) Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el t�rmino de suspensi�n sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio;�

��

d) Cierre inmediato y definitivo de la operaci�n que involucre el Tratamiento de datos sensibles;�

��

Par�grafo. Las sanciones indicadas en el presente art�culo s�lo aplican para las personas de naturaleza privada. En el evento en el cual la Superintendencia de Industria y Comercio advierta un presunto incumplimiento de una autoridad p�blica a las disposiciones de la presente ley, remitir� la actuaci�n a la Procuradur�a General de la Naci�n para que adelante la investigaci�n respectiva.�

��

Art�culo 24. Criterios para graduar las sanciones. Las sanciones por infracciones a las que se refieren el art�culo anterior, se graduar�n atendiendo los siguientes criterios, en cuanto resulten aplicables:�

��

a) La dimensi�n del da�o o peligro a los intereses jur�dicos tutelados por la presente ley;�

��

b) El beneficio econ�mico obtenido por el infractor o terceros, en virtud de la comisi�n de la infracci�n;�

��

c) La reincidencia en la comisi�n de la infracci�n;�

��

d) La resistencia, negativa u obstrucci�n a la acci�n investigadora o de vigilancia de la Superintendencia de Industria y Comercio;�

��

e) La renuencia o desacato a cumplir las �rdenes impartidas por la Superintendencia de Industria y Comercio;�

��

f) El reconocimiento o aceptaci�n expresos que haga el investigado sobre la comisi�n de la infracci�n antes de la imposici�n de la sanci�n a que hubiere lugar.�

��

Art�culo 25. Definici�n. El Registro Nacional de Bases de Datos es el directorio p�blico de las bases de datos sujetas a Tratamiento que operan en el pa�s.�

��

El registro ser� administrado por la Superintendencia de Industria y Comercio y ser� de libre consulta para los ciudadanos.�

��

Para realizar el registro de bases de datos, los interesados deber�n aportar a la Superintendencia de Industria y Comercio las pol�ticas de tratamiento de la informaci�n, las cuales obligar�n a los responsables y encargados del mismo, y cuyo incumplimiento acarrear� las sanciones correspondientes. Las pol�ticas de Tratamiento en ning�n caso podr�n ser inferiores a los deberes contenidos en la presente ley.�

��

Par�grafo. El Gobierno Nacional reglamentar�, dentro del a�o siguiente a la promulgaci�n de la presente ley, la informaci�n m�nima que debe contener el Registro, y los t�rminos y condiciones bajo los cuales se deben inscribir en este los Responsables del Tratamiento.�

��

Art�culo 26. Prohibici�n. Se proh�be la transferencia de datos personales de cualquier tipo a pa�ses que no proporcionen niveles adecuados de protecci�n de datos. Se entiende que un pa�s ofrece un nivel adecuado de protecci�n de datos cuando cumpla con los est�ndares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ning�n caso podr�n ser inferiores a los que la presente ley exige a sus destinatarios.�

��

Esta prohibici�n no regir� cuando se trate de:�

��

a) Informaci�n respecto de la cual el Titular haya otorgado su autorizaci�n expresa e inequ�voca para la transferencia;�

��

b) Intercambio de datos de car�cter m�dico, cuando as� lo exija el Tratamiento del Titular por razones de salud o higiene p�blica;�

��

c) Transferencias bancarias o burs�tiles, conforme a la legislaci�n que les resulte aplicable;�

��

d) Transferencias acordadas en el marco de tratados internacionales en los cuales la Rep�blica de Colombia sea parte, con fundamento en el principio de reciprocidad;�

��

e) Transferencias necesarias para la ejecuci�n de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecuci�n de medidas precontractuales siempre y cuando se cuente con la autorizaci�n del Titular;�

��

f) Transferencias legalmente exigidas para la salvaguardia del inter�s p�blico, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.�

��

Par�grafo 1�. En los casos no contemplados como excepci�n en el presente art�culo, corresponder� a la Superintendencia de Industria y Comercio, proferir la declaraci�n de conformidad relativa a la transferencia internacional de datos personales. Para el efecto, el Superintendente queda facultado para requerir informaci�n y adelantar las diligencias tendientes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de la operaci�n.�

��

Par�grafo 2�. Las disposiciones contenidas en el presente art�culo ser�n aplicables para todos los datos personales, incluyendo aquellos contemplados en la Ley 1266 de 2008.�

��

Art�culo 27. Normas Corporativas Vinculantes. El Gobierno Nacional expedir� la reglamentaci�n correspondiente sobre Normas Corporativas Vinculantes para la certificaci�n de buenas pr�cticas en protecci�n de datos, personales y su transferencia a terceros pa�ses.�

��

Art�culo 28. R�gimen de transici�n. Las personas que a la fecha de entrada en vigencia de la presente ley ejerzan alguna de las actividades ac� reguladas tendr�n un plazo de hasta seis (6) meses para adecuarse a las disposiciones contempladas en esta ley.�

��

Art�culo 29. Derogatorias. La presente ley deroga todas las disposiciones que le sean contrarias a excepci�n de aquellas contempladas en el art�culo 2�.�

��

Art�culo 30. Vigencia. La presente ley rige a partir de su promulgaci�n.�

��

Referencia: expediente PE-032�

��

Control constitucional al Proyecto de Ley Estatutaria No. 184 de 2010 Senado; 046 de 2010 C�mara, "por la cual se dictan disposiciones generales para la protecci�n de datos personales"�

��

Magistrado Ponente:�

��

JORGE IGNACIO PRETELT CHALJUB�

��

Bogot� D. C., seis (6) de octubre de dos mil once (2011).�

��

La Sala Plena de la Corte Constitucional, conformada por los magistrados Juan Carlos Henao P�rez -quien la preside, Mar�a Victoria Calle Correa, Mauricio Gonz�lez Cuervo, Gabriel Eduardo Mendoza Martelo, Jorge Iv�n Palacio Palacio, Nilson Pinilla Pinilla, Jorge Ignacio Pretelt Chaljub, Humberto Antonio Sierra Porto y Luis Ernesto Vargas Silva, en ejercicio de sus atribuciones constitucionales y en cumplimiento de los requisitos y tr�mites establecidos en el Decreto 2067 de 1991, ha proferido la presente sentencia con fundamento en los siguientes,�

��

1 ANTECEDENTES�

��

1.1 Mediante oficio del 17 de enero de 2011, el Presidente del Senado de la Rep�blica, Dr. Armando Benedetti Villaneda, remiti� a la Corte Constitucional el texto del Proyecto de Ley Estatutaria No. 184 de 2010 Senado; 046 de 2010 C�mara, "por la cual se dictan disposiciones generales para la protecci�n de datos personales", con el fin de que la Corte adelante el estudio oficioso a que hace referencia el art�culo 241-8 de la Constituci�n Pol�tica.�

��

1.2 TEXTO DEL PROYECTO DE LEY:�

��

"TEXTO CONCILIADO DEL PROYECTO DE LEY ESTATUTARIA N�MERO 184 DE 2010 SENADO, 046 DE 2010 C�MARA�

��

"por la cual se dictan disposiciones generales para la protecci�n de datos personales"�

��

El Congreso de Colombia�

��

DECRETA:�

��

T�TULO I�

��

OBJETO, �MBITO DE APLICACI�N Y DEFINICIONES.�

��

Art�culo 1�.Objeto. La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los dem�s derechos, libertades y garant�as constitucionales a que se refiere el art�culo 15 de la Constituci�n Pol�tica; as� como el derecho a la informaci�n consagrado en el art�culo 20 de la misma.�

��

Art�culo 2�.�mbito de aplicaci�n. Los principios y disposiciones contenidas en la presente ley ser�n aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza p�blica o privada.�

��

La presente ley aplicar� al Tratamiento de datos personales efectuado en territorio colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio nacional le sea aplicable la legislaci�n colombiana en virtud de normas y tratados internacionales.�

��

El r�gimen de protecci�n de datos personales que se establece en la presente ley no ser� de aplicaci�n:�

��

a)A las bases de datos o archivos mantenidos en un �mbito exclusivamente personal o dom�stico.�

��

Cuando estas bases de datos o archivos vayan a ser suministrados a terceros se deber�, de manera previa, informar al Titular y solicitar su autorizaci�n. En este caso los Responsables y Encargados de las bases de datos y archivos quedar�n sujetos a las disposiciones contenidas en la presente ley.�

��

b)A las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, as� como la prevenci�n, detecci�n, monitoreo y control del lavado de activos y el financiamiento del terrorismo.�

��

c)A las bases de datos que tengan como fin y contengan informaci�n de inteligencia y contrainteligencia.�

��

d)A las bases de datos y archivos de informaci�n period�stica y otros contenidos editoriales.�

��

e)A las bases de datos y archivos regulados por la Ley 1266 de 2008.�

��

f)A las bases de datos y archivos regulados por la Ley 79 de 1993.�

��

Par�grafo.Los principios sobre protecci�n de datos ser�n aplicables a todas las bases de datos, incluidas las exceptuadas en el presente art�culo, con los l�mites dispuestos en la presente ley y sin re�ir con los datos que tienen caracter�sticas de estar amparados por la reserva legal. En el evento que la normatividad especial que regule las bases de datos exceptuadas prevea principios que tengan en consideraci�n la naturaleza especial de datos, los mismos aplicar�n de manera concurrente a los previstos en la presente ley.�

��

Art�culo 3�.Definiciones. Para los efectos de la presente ley, se entiende por:�

��

a) Autorizaci�n:Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.�

��

b) Base de datos:Conjunto organizado de datos personales que sea objeto de Tratamiento.�

��

c) Dato personal:Cualquier informaci�n vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.�

��

d) Encargado del tratamiento:Persona natural o jur�dica, p�blica o privada, que por s� misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.�

��

e) Responsable del tratamiento:Persona natural o jur�dica, p�blica o privada, que por s� misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.�

��

f) Titular:Persona natural cuyos datos personales sean objeto de Tratamiento.�

��

g) Tratamiento:Cualquier operaci�n o conjunto de operaciones sobre datos personales, tales como la recolecci�n, almacenamiento, uso, circulaci�n o supresi�n.�

��

T�TULO II�

��

PRINCIPIOS RECTORES�

��

Art�culo 4�.Principios para el tratamiento de datos personales. En el desarrollo, interpretaci�n y aplicaci�n de la presente ley, se aplicar�n, de manera arm�nica e integral, los siguientes principios:�

��

a) Principio de legalidad en materia de tratamiento de datos:el tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las dem�s disposiciones que la desarrollen.�

��

b) Principio de finalidad:el tratamiento debe obedecer a una finalidad leg�tima de acuerdo con la Constituci�n y la ley, la cual debe ser informada al titular.�

��

c) Principio de libertad:el tratamiento s�lo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podr�n ser obtenidos o divulgados sin previa autorizaci�n, o en ausencia de mandato legal o judicial que releve el consentimiento.�

��

d) Principio de veracidad o calidad:la informaci�n sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se proh�be el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.�

��

e) Principio de transparencia:en el tratamiento debe garantizarse el derecho del titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, informaci�n acerca de la existencia de datos que le conciernan.�

��

f) Principio de acceso y circulaci�n restringida:el tratamiento se sujeta a los l�mites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constituci�n. En este sentido, el tratamiento s�lo podr� hacerse por personas autorizadas por el titular y/o por las personas previstas en la presente ley.�

��

Los datos personales, salvo la informaci�n p�blica, no podr�n estar disponibles en internet u otros medios de divulgaci�n o comunicaci�n masiva, salvo que el acceso sea t�cnicamente controlable para brindar un conocimiento restringido s�lo a los titulares o terceros autorizados conforme a la presente ley.�

��

g) Principio de seguridad:la informaci�n sujeta a tratamiento por el responsable del tratamiento o encargado del tratamiento a que se refiere la presente ley, se deber� manejar con las medidas t�cnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteraci�n, p�rdida, consulta, uso o acceso no autorizado o fraudulento.�

��

h) Principio de confidencialidad:todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de p�blicos est�n obligadas a garantizar la reserva de la informaci�n, inclusive despu�s de finalizada su relaci�n con alguna de las labores que comprende el tratamiento, pudiendo s�lo realizar suministro o comunicaci�n de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los t�rminos de la misma.�

��

T�TULO III�

��

CATEGOR�AS ESPECIALES DE DATOS�

��

Art�culo 5�.Datos sensibles. Para los prop�sitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminaci�n, tales como aquellos que revelen el origen racial o �tnico, la orientaci�n pol�tica, las convicciones religiosas o filos�ficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido pol�tico o que garanticen los derechos y garant�as de partidos pol�ticos de oposici�n, as� como los datos relativos a la salud, a la vida sexual y los datos biom�tricos.�

��

Art�culo 6�.Tratamiento de datos sensibles. Se proh�be el Tratamiento de datos sensibles, excepto cuando:�

��

a)El Titular haya dado su autorizaci�n expl�cita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorizaci�n.�

��

b)El Tratamiento sea necesario para salvaguardar el inter�s vital del Titular y este se encuentre f�sica o jur�dicamente incapacitado. En estos eventos, los representantes legales deber�n otorgar su autorizaci�n.�

��

c)El Tratamiento sea efectuado en el curso de las actividades leg�timas y con las debidas garant�as por parte de una fundaci�n, ONG, asociaci�n o cualquier otro organismo sin �nimo de lucro, cuya finalidad sea pol�tica, filos�fica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por raz�n de su finalidad. En estos eventos, los datos no se podr�n suministrar a terceros sin la autorizaci�n del Titular.�

��

d)El Tratamiento se refiera a datos que el Titular haya hecho manifiestamente p�blicos o sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.�

��

e)El Tratamiento tenga una finalidad hist�rica, estad�stica o cient�fica. En este evento deber�n adoptarse las medidas conducentes a la supresi�n de identidad de los Titulares.�

��

Art�culo 7�.Derechos de los ni�os, ni�as y adolescentes. En el Tratamiento se asegurar� el respeto a los derechos prevalentes de los ni�os, ni�as y adolescentes.�

��

Queda proscrito el Tratamiento de datos personales de ni�os, ni�as y adolescentes, salvo aquellos datos que sean de naturaleza p�blica.�

��

Es tarea del Estado y las entidades educativas de todo tipo proveer informaci�n y capacitar a los representantes legales y tutores sobre los eventuales riesgos a los que se enfrentan los ni�os, ni�as y adolescentes respecto del Tratamiento indebido de sus datos personales, y proveer de conocimiento acerca del uso responsable y seguro por parte de ni�os, ni�as y adolescentes de sus datos personales, su derecho a la privacidad y protecci�n de su informaci�n personal y la de los dem�s. El Gobierno Nacional reglamentar� la materia, dentro de los seis (6) meses siguientes a la promulgaci�n de esta ley.�

��

T�TULO IV�

��

DERECHOS Y CONDICIONES DE LEGALIDAD PARA EL TRATAMIENTO DE DATOS�

��

Art�culo 8�.Derechos de los titulares. El Titular de los datos personales tendr� los siguientes derechos:�

��

a)Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podr� ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento est� expresamente prohibido o no haya sido autorizado.�

��

b)Solicitar prueba de la autorizaci�n otorgada al Responsable del Tratamiento salvo cuando expresamente se except�e como requisito para el Tratamiento, de conformidad con lo previsto en el art�culo 10 de la presente ley.�

��

c)Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales.�

��

d)Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las dem�s normas que la modifiquen, adicionen o complementen.�

��

e)Revocar la autorizaci�n y/o solicitar la supresi�n del dato cuando en el Tratamiento no se respeten los principios, derechos y garant�as constitucionales y legales. La revocatoria y/o supresi�n s�lo proceder� cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constituci�n.�

��

f)Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.�

��

Art�culo 9�.Autorizaci�n del titular. Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorizaci�n previa e informada del Titular, la cual deber� ser obtenida por cualquier medio que pueda ser objeto de consulta posterior.�

��

Art�culo 10.Casos en que no es necesaria la autorizaci�n. La autorizaci�n del Titular no ser� necesaria cuando se trate de:�

��

a)Informaci�n requerida por una entidad p�blica o administrativa en ejercicio de sus funciones legales o por orden judicial.�

��

b)Datos de naturaleza p�blica.�

��

c)Casos de urgencia m�dica o sanitaria.�

��

d)Tratamiento de informaci�n autorizado por la ley para fines hist�ricos, estad�sticos o cient�ficos.�

��

e)Datos relacionados con el Registro Civil de las Personas.�

��

Quien acceda a los datos personales sin que medie autorizaci�n previa deber� en todo caso cumplir con las disposiciones contenidas en la presente ley.�

��

Art�culo 11.Suministro de la informaci�n. La informaci�n solicitada podr� ser suministrada por cualquier medio, incluyendo los electr�nicos, seg�n lo requiera el Titular. La informaci�n deber� ser de f�cil lectura, sin barreras t�cnicas que impidan su acceso y deber� corresponder en un todo a aquella que repose en la base de datos.�

��

El Gobierno Nacional establecer� la forma en la cual los Responsables del Tratamiento y Encargados del Tratamiento deber�n suministrar la informaci�n del Titular, atendiendo a la naturaleza del dato personal. Esta reglamentaci�n deber� darse a m�s tardar dentro del a�o siguiente a la promulgaci�n de la presente ley.�

��

Art�culo 12.Deber de informar al titular. El Responsable del Tratamiento, al momento de solicitar al Titular la autorizaci�n, deber� informarle de manera clara y expresa lo siguiente:�

��

a)El Tratamiento al cual ser�n sometidos sus datos personales y la finalidad del mismo.�

��

b)El car�cter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las ni�as, ni�os y adolescentes.�

��

c)Los derechos que le asisten como Titular.�

��

d)La identificaci�n, direcci�n f�sica o electr�nica y tel�fono del Responsable del Tratamiento.�

��

Par�grafo.El Responsable del Tratamiento deber� conservar prueba del cumplimiento de lo previsto en el presente art�culo y, cuando el Titular lo solicite, entregarle copia de esta.�

��

Art�culo 13.Personas a quienes se les puede suministrar la informaci�n. La informaci�n que re�na las condiciones establecidas en la presente ley podr� suministrarse a las siguientes personas:�

��

a)A los Titulares, sus causahabientes o sus representantes legales.�

��

b)A las entidades p�blicas o administrativas en ejercicio de sus funciones legales o por orden judicial.�

��

c)A los terceros autorizados por el Titular o por la ley.�

��

T�TULO V�

��

PROCEDIMIENTOS�

��

Art�culo 14.Consultas. Los Titulares o sus causahabientes podr�n consultar la informaci�n personal del Titular que repose en cualquier base de datos, sea esta del sector p�blico o privado. El Responsable del Tratamiento o Encargado del Tratamiento deber�n suministrar a estos toda la informaci�n contenida en el registro individual o que est� vinculada con la identificaci�n del Titular.�

��

La consulta se formular� por el medio habilitado por el Responsable del Tratamiento o Encargado del Tratamiento, siempre y cuando se pueda mantener prueba de esta.�

��

La consulta ser� atendida en un t�rmino m�ximo de diez (10) d�as h�biles, contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho t�rmino, se informar� al interesado, expresando los motivos de la demora y se�alando la fecha en que se atender� su consulta, la cual en ning�n caso podr� superar los cinco (5) d�as h�biles siguientes al vencimiento del primer t�rmino.�

��

Par�grafo.Las disposiciones contenidas en leyes especiales o los reglamentos expedidos por el Gobierno Nacional podr�n establecer t�rminos inferiores, atendiendo a la naturaleza del dato personal.�

��

Art�culo 15.Reclamos. El Titular o sus causahabientes que consideren que la informaci�n contenida en una base de datos debe ser objeto de correcci�n, actualizaci�n o supresi�n, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta ley, podr�n presentar un reclamo ante el Responsable del Tratamiento o el Encargado del Tratamiento el cual ser� tramitado bajo las siguientes reglas:�

��

1.El reclamo se formular� mediante solicitud dirigida al Responsable del Tratamiento o al Encargado del Tratamiento, con la identificaci�n del Titular, la descripci�n de los hechos que dan lugar al reclamo, la direcci�n, y acompa�ando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerir� al interesado dentro de los cinco (5) d�as siguientes a la recepci�n del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la informaci�n requerida, se entender� que ha desistido del reclamo.�

��

En caso de que quien reciba el reclamo no sea competente para resolverlo, dar� traslado a quien corresponda en un t�rmino m�ximo de dos (2) d�as h�biles e informar� de la situaci�n al interesado.�

��

2.Una vez recibido el reclamo completo, se incluir� en la base de datos una leyenda que diga "reclamo en tr�mite" y el motivo del mismo, en un t�rmino no mayor a dos (2) d�as h�biles. Dicha leyenda deber� mantenerse hasta que el reclamo sea decidido.�

��

3.El t�rmino m�ximo para atender el reclamo ser� de quince (15) d�as h�biles, contados a partir del d�a siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho t�rmino, se informar� al interesado los motivos de la demora y la fecha en que se atender� su reclamo, la cual en ning�n caso podr� superar los ocho (8) d�as h�biles siguientes al vencimiento del primer t�rmino.�

��

Art�culo 16.Requisito de procedibilidad. El Titular o causahabiente s�lo podr� elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el tr�mite de consulta o reclamo ante el Responsable del Tratamiento o Encargado del Tratamiento.�

��

T�TULO VI�

��

DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO Y ENCARGADOS DEL TRATAMIENTO�

��

Art�culo 17.Deberes de los Responsables del Tratamiento. Los Responsables del Tratamiento deber�n cumplir los siguientes deberes, sin perjuicio de las dem�s disposiciones previstas en la presente ley y en otras que rijan su actividad:�

��

a)Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de h�beas data.�

��

b)Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorizaci�n otorgada por el Titular.�

��

c)Informar debidamente al Titular sobre la finalidad de la recolecci�n y los derechos que le asisten por virtud de la autorizaci�n otorgada.�

��

d)Conservar la informaci�n bajo las condiciones de seguridad necesarias para impedir su adulteraci�n, p�rdida, consulta, uso o acceso no autorizado o fraudulento.�

��

e)Garantizar que la informaci�n que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.�

��

f)Actualizar la informaci�n, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las dem�s medidas necesarias para que la informaci�n suministrada a este se mantenga actualizada.�

��

g)Rectificar la informaci�n cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.�

��

h)Suministrar al Encargado del Tratamiento, seg�n el caso, �nicamente datos cuyo Tratamiento est� previamente autorizado de conformidad con lo previsto en la presente ley.�

��

i)Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la informaci�n del Titular.�

��

j)Tramitar las consultas y reclamos formulados en los t�rminos se�alados en la presente ley.�

��

k)Adoptar un manual interno de pol�ticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atenci�n de consultas y reclamos.�

��

l)Informar al Encargado del Tratamiento cuando determinada informaci�n se encuentra en discusi�n por parte del Titular, una vez se haya presentado la reclamaci�n y no haya finalizado el tr�mite respectivo.�

��

m)Informar a solicitud del Titular sobre el uso dado a sus datos.�

��

n)Informar a la autoridad de protecci�n de datos cuando se presenten violaciones a los c�digos de seguridad y existan riesgos en la administraci�n de la informaci�n de los Titulares.�

��

o)Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.�

��

Art�culo 18.Deberes de los Encargados del Tratamiento. Los Encargados del Tratamiento deber�n cumplir los siguientes deberes, sin perjuicio de las dem�s disposiciones previstas en la presente ley y en otras que rijan su actividad:�

��

a)Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de h�beas data.�

��

b)Conservar la informaci�n bajo las condiciones de seguridad necesarias para impedir su adulteraci�n, p�rdida, consulta, uso o acceso no autorizado o fraudulento.�

��

c)Realizar oportunamente la actualizaci�n, rectificaci�n o supresi�n de los datos en los t�rminos de la presente ley.�

��

d)Actualizar la informaci�n reportada por los Responsables del Tratamiento dentro de los cinco (5) d�as h�biles, contados a partir de su recibo.�

��

e)Tramitar las consultas y los reclamos formulados por los Titulares en los t�rminos se�alados en la presente ley.�

��

f)Adoptar un manual interno de pol�ticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atenci�n de consultas y reclamos por parte de los Titulares.�

��

g)Registrar en la base de datos la leyenda "reclamo en tr�mite" en la forma en que se regula en la presente ley.�

��

h)Insertar en la base de datos la leyenda "informaci�n en discusi�n judicial" una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.�

��

i)Abstenerse de circular informaci�n que est� siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.�

��

j)Permitir el acceso a la informaci�n �nicamente a las personas que pueden tener acceso a ella.�

��

k)Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los c�digos de seguridad y existan riesgos en la administraci�n de la informaci�n de los Titulares.�

��

l)Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.�

��

Par�grafo.En el evento en que concurran las calidades de Responsable del Tratamiento y Encargado del Tratamiento en la misma persona, le ser� exigible el cumplimiento de los deberes previstos para cada uno.�

��

T�TULO VII�

��

DE LOS MECANISMOS DE VIGILANCIA Y SANCI�N�

��

CAP�TULO I�

��

DE LA AUTORIDAD DE PROTECCI�N DE DATOS�

��

Art�culo 19.Autoridad de protecci�n de datos. La Superintendencia de Industria y Comercio, a trav�s de una Delegatura para la Protecci�n de Datos Personales, ejercer� la vigilancia para garantizar que en el Tratamiento de datos personales se respeten los principios, derechos, garant�as y procedimientos previstos en la presente ley.�

��

Par�grafo 1�.El Gobierno Nacional en el plazo de seis (6) meses, contados a partir de la fecha de entrada en vigencia de la presente ley incorporar� dentro de la estructura de la Superintendencia de Industria y Comercio un despacho de Superintendente Delegado para ejercer las funciones de Autoridad de Protecci�n de Datos.�

��

Par�grafo 2�.La vigilancia del tratamiento de los datos personales regulados en la Ley 1266 de 2008 se sujetar� a lo previsto en dicha norma.�

��

Art�culo 20.Recursos para el ejercicio de sus funciones. La Superintendencia de Industria y Comercio contar� con los siguientes recursos para ejercer las funciones que le son atribuidas por la presente ley:�

��

a)Las multas que se impongan a los sometidos a vigilancia.�

��

b)Los recursos que le sean destinados en el Presupuesto General de la Naci�n.�

��

Art�culo 21.Funciones. La Superintendencia de Industria y Comercio ejercer� las siguientes funciones:�

��

a)Velar por el cumplimiento de la legislaci�n en materia de protecci�n de datos personales.�

��

b)Adelantar las investigaciones del caso, de oficio o a petici�n de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de h�beas data. Para el efecto, siempre que se desconozca el derecho, podr� disponer que se conceda el acceso y suministro de los datos, la rectificaci�n, actualizaci�n o supresi�n de los mismos.�

��

c)Disponer el bloqueo temporal de los datos cuando, de la solicitud y de las pruebas aportadas por el Titular, se identifique un riesgo cierto de vulneraci�n de sus derechos fundamentales, y dicho bloqueo sea necesario para protegerlos mientras se adopta una decisi�n definitiva.�

��

d)Promover y divulgar los derechos de las personas en relaci�n con el Tratamiento de datos personales e implementara campa�as pedag�gicas para capacitar e informar a los ciudadanos acerca del ejercicio y garant�a del derecho fundamental a la protecci�n de datos.�

��

e)Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuaci�n de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley.�

��

f)Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento la informaci�n que sea necesaria para el ejercicio efectivo de sus funciones.�

��

g)Proferir las declaraciones de conformidad sobre las transferencias internacionales de datos.�

��

h)Administrar el Registro Nacional P�blico de Bases de Datos y emitir las �rdenes y los actos necesarios para su administraci�n y funcionamiento.�

��

i)Sugerir o recomendar los ajustes, correctivos o adecuaciones a la normatividad que resulten acordes con la evoluci�n tecnol�gica, inform�tica o comunicacional.�

��

j)Requerir la colaboraci�n de entidades internacionales o extranjeras cuando se afecten los derechos de los Titulares fuera del territorio colombiano con ocasi�n, entre otras, de la recolecci�n internacional de datos personales.�

��

k)Las dem�s que le sean asignadas por ley.�

��

CAP�TULO II�

��

PROCEDIMIENTO Y SANCIONES�

��

Art�culo 22.Tr�mite. La Superintendencia de Industria y Comercio, una vez establecido el incumplimiento de las disposiciones de la presente ley por parte del Responsable del Tratamiento o el Encargado del Tratamiento, adoptar� las medidas o impondr� las sanciones correspondientes.�

��

En lo no reglado por la presente ley y los procedimientos correspondientes se seguir�n las normas pertinentes del C�digo Contencioso Administrativo.�

��

Art�culo 23.Sanciones. La Superintendencia de Industria y Comercio podr� imponer a los Responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones:�

��

a)Multas de car�cter personal e institucional a favor de la Superintendencia de Industria y Comercio hasta por el equivalente de dos mil (2.000) salarios m�nimos mensuales legales vigentes al momento de la imposici�n de la sanci�n. Las multas podr�n ser sucesivas mientras subsista el incumplimiento que las origin�.�

��

b)Suspensi�n de las actividades relacionadas con el Tratamiento hasta por un t�rmino de seis (6) meses. En el acto de suspensi�n se indicar�n los correctivos que se deber�n adoptar.�

��

c)Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el t�rmino de suspensi�n sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio.�

��

d)Cierre inmediato y definitivo de la operaci�n que involucre el Tratamiento de datos sensibles.�

��

Par�grafo.Las sanciones indicadas en el presente art�culo solo aplican para las personas de naturaleza privada. En el evento en el cual la Superintendencia de Industria y Comercio advierta un presunto incumplimiento de una autoridad p�blica a las disposiciones de la presente ley, remitir� la actuaci�n a la Procuradur�a General de la Naci�n para que adelante la investigaci�n respectiva.�

��

Art�culo 24.Criterios para graduar las sanciones. Las sanciones por infracciones a las que se refieren el art�culo anterior, se graduar�n atendiendo los siguientes criterios, en cuanto resulten aplicables:�

��

a)La dimensi�n del da�o o peligro a los intereses jur�dicos tutelados por la presente ley.�

��

b)El beneficio econ�mico obtenido por el infractor o terceros, en virtud de la comisi�n de la infracci�n.�

��

c)La reincidencia en la comisi�n de la infracci�n.�

��

d)La resistencia, negativa u obstrucci�n a la acci�n investigadora o de vigilancia de la Superintendencia de Industria y Comercio.�

��

e)La renuencia o desacato a cumplir las �rdenes impartidas por la Superintendencia de Industria y Comercio.�

��

f)El reconocimiento o aceptaci�n expresos que haga el investigado sobre la comisi�n de la infracci�n antes de la imposici�n de la sanci�n a que hubiere lugar.�

��

CAP�TULO III�

��

DEL REGISTRO NACIONAL DE BASES DE DATOS�

��

Art�culo 25.Definici�n. El Registro Nacional de Bases de Datos es el directorio p�blico de las bases de datos sujetas a Tratamiento que operan en el pa�s.�

��

El registro ser� administrado por la Superintendencia de Industria y Comercio y ser� de libre consulta para los ciudadanos.�

��

Para realizar el registro de bases de datos, los interesados deber�n aportar a la Superintendencia de Industria y Comercio las pol�ticas de tratamiento de la informaci�n, las cuales obligar�n a los responsables y encargados del mismo, y cuyo incumplimiento acarrear� las sanciones correspondientes. Las pol�ticas de Tratamiento en ning�n caso podr�n ser inferiores a los deberes contenidos en la presente ley.�

��

Par�grafo.El Gobierno Nacional reglamentar�, dentro del a�o siguiente a la promulgaci�n de la presente ley, la informaci�n m�nima que debe contener el Registro, y los t�rminos y condiciones bajo los cuales se deben inscribir en este los Responsables del Tratamiento.�

��

T�TULO VIII�

��

TRANSFERENCIA DE DATOS A TERCEROS PA�SES�

��

Art�culo 26.Prohibici�n. Se proh�be la transferencia de datos personales de cualquier tipo a pa�ses que no proporcionen niveles adecuados de protecci�n de datos. Se entiende que un pa�s ofrece un nivel adecuado de protecci�n de datos cuando cumpla con los est�ndares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ning�n caso podr�n ser inferiores a los que la presente ley exige a sus destinatarios.�

��

Esta prohibici�n no regir� cuando se trate de:�

��

a)Informaci�n respecto de la cual el Titular haya otorgado su autorizaci�n expresa e inequ�voca para la transferencia.�

��

b)Intercambio de datos de car�cter m�dico, cuando as� lo exija el Tratamiento del Titular por razones de salud o higiene p�blica.�

��

c)Transferencias bancarias o burs�tiles, conforme a la legislaci�n que les resulte aplicable.�

��

d)Transferencias acordadas en el marco de tratados internacionales en los cuales la Rep�blica de Colombia sea parte, con fundamento en el principio de reciprocidad.�

��

e)Transferencias necesarias para la ejecuci�n de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecuci�n de medidas precontractuales siempre y cuando se cuente con la autorizaci�n del Titular.�

��

f)Transferencias necesarias o legalmente exigidas para la salvaguardia del inter�s p�blico, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.�

��

Par�grafo 1�.En los casos no contemplados como excepci�n en el presente art�culo, corresponder� a la Superintendencia de Industria y Comercio, proferir la declaraci�n de conformidad relativa a la transferencia internacional de datos personales. Para el efecto, el Superintendente queda facultado para requerir informaci�n y adelantar las diligencias tendientes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de la operaci�n.�

��

Par�grafo 2�.Las disposiciones contenidas en el presente art�culo ser�n aplicables para todos los datos personales, incluyendo aquellos contemplados en la Ley 1266 de 2008.�

��

T�TULO IX�

��

OTRAS DISPOSICIONES�

��

Art�culo 27.Disposiciones especiales. El Gobierno Nacional regular� lo concerniente al Tratamiento sobre datos personales que requieran de disposiciones especiales. En todo caso, dicha reglamentaci�n no podr� ser contraria a las disposiciones contenidas en la presente ley.�

��

Art�culo 28.Normas corporativas vinculantes. El Gobierno Nacional expedir� la reglamentaci�n correspondiente sobre Normas Corporativas Vinculantes para la certificaci�n de buenas pr�cticas en protecci�n de datos personales y su transferencia a terceros pa�ses.�

��

Art�culo 29.Certificaci�n de antecedentes judiciales. El Departamento Administrativo de Seguridad, DAS, o quien ejerza esta funci�n, mantendr� y actualizar� los registros delictivos y de identificaci�n nacional de acuerdo con los informes y avisos que para el efecto deber�n remitirle las autoridades judiciales, conforme a la Constituci�n Pol�tica y la ley.�

��

Al expedir certificados judiciales por petici�n ciudadana, el Departamento Administrativo de Seguridad o quien ejerza esta funci�n, se abstendr� de incluir como antecedente penal los registros delictivos del solicitante cuando este haya cumplido su pena o la misma haya prescrito.�

��

Par�grafo 1�.Los archivos del Departamento Administrativo de Seguridad, o de quien ejerza esta funci�n en esta materia, tendr�n car�cter reservado y en consecuencia solo se expedir�n certificados o informes de los registros contenidos en ellos.�

��

Par�grafo 2�.El Departamento Administrativo de Seguridad, DAS, o quien ejerza esta funci�n, garantizar� la disponibilidad de manera gratuita y permanente la informaci�n electr�nica sobre el Certificado de Antecedentes Judiciales para ser consultados por el titular, interesado o por terceros a trav�s de la p�gina web de la entidad y los mismos gozar�n de plena validez y legitimidad.�

��

Par�grafo 3�.El certificado judicial expedido a solicitud de los peticionarios de sus propios registros, no ser� v�lido en aquellos cargos donde se requiera la carencia total de antecedentes.�

��

En este caso, cuando las entidades de la Administraci�n P�blica requieran la presentaci�n de los antecedentes judiciales, deber�n dar cumplimiento estricto a lo se�alado en el art�culo 17 del Decreto 2150 de 1995 o la norma que la modifique, complemente, adicione o aclare.�

��

Art�culo 30.Bases de datos de inteligencia y contrainteligencia. Las bases de datos o archivos de las entidades que desarrollan actividades de inteligencia y contrainteligencia deber�n guiarse estrictamente por los par�metros de tratamiento de datos establecidos en el Plan Nacional de Inteligencia y por la Junta de Inteligencia Conjunta, as� como en las dem�s normas legales.�

��

En todo caso la autorizaci�n de una orden de operaciones o misi�n de trabajo, no podr� ser emitida por un servidor p�blico que ostente un nivel distinto al de directivo, comando o su equivalente.�

��

Los documentos, informaci�n y equipos t�cnicos de los organismos que desarrollen labores de inteligencia o contrainteligencia estar�n amparados por la reserva legal por un t�rmino m�ximo de 40 a�os y tendr�n car�cter de informaci�n reservada seg�n el grado de clasificaci�n que corresponda en cada caso.�

��

Par�grafo.El servidor p�blico que decida ampararse en la reserva legal para no suministrar informaci�n a un titular, deber� hacerlo motivadamente, se�alando la razonabilidad y proporcionalidad de su decisi�n al requirente. En cualquier caso, frente a las decisiones se�aladas proceder�n los recursos y acciones legales y constitucionales pertinentes.�

��

No se podr� oponer la reserva legal a los requerimientos de los jueces y otras autoridades competentes.�

��

Art�culo 31.Valor probatorio y reserva de los informes de inteligencia y contrainteligencia. En ning�n caso los informes de inteligencia tendr�n valor probatorio dentro de los procesos judiciales, pero su contenido podr� constituir criterio orientador para el desarrollo de los actos urgentes que desarrolla la polic�a judicial en materia penal. En todo caso se garantizar� la reserva para proteger la identidad de quienes son objeto de dichos informes, de los funcionarios de inteligencia y contrainteligencia, sus m�todos y fuentes.�

��

Art�culo 32.R�gimen de transici�n. Las personas que a la fecha de entrada en vigencia de la presente ley ejerzan alguna de las actividades ac� reguladas tendr�n un plazo de hasta seis (6) meses para adecuarse a las disposiciones contempladas en esta ley.�

��

Art�culo 33.Derogatorias. La presente ley deroga todas las disposiciones que le sean contrarias a excepci�n de aquellas contempladas en el art�culo segundo.�

��

Art�culo 34.Vigencia. La presente ley rige a partir de su promulgaci�n.�

��

Senador,�

��

Luis Fernando Velasco Chaves.�

��

Representante a la C�mara,�

��

Alfredo Deluque Zuleta."�

��

1.3 INTERVENCIONES CIUDADANAS�

��

Dentro del proceso se presentaron intervenciones de las siguientes personas y entidades: el Ministerio de Industria, Comercio y Turismo, la Secretar�a Jur�dica de la Presidencia de la Rep�blica, la Defensor�a del Pueblo, los ciudadanos Juanita Dur�n V�lez, Santiago Diazgranados Mesa, Alejandro Salas Pretelt, Rolfe Hernando Gonz�lez Sosa y Mar�a Lorena Fl�rez Rojas, la Universidad de los Andes, la Fundaci�n para la Libertad de Prensa (FLP), Computec S.A. - Datacr�dito, la Asociaci�n Colombiana de Empresas de Medicina Integral (ACEMI), la Asociaci�n Bancaria de Colombia y Entidades Financieras de Colombia (ASOBANCARIA).�

��

La Sala har� referencia al contenido de cada una de las intervenciones al realizar el an�lisis de constitucionalidad tanto formal como material de cada una de las disposiciones del proyecto de ley bajo estudio.�

��

1.4 CONCEPTO DEL PROCURADOR El Procurador General de la Naci�n solicita a la Corte declarar exequible el Proyecto de Ley Estatutaria 046 de 2010 C�mara- 184 de 2010 Senado, con las siguientes precisiones:�

��

1.4.1. Respecto al proceso de formaci�n del proyecto de ley estatutaria, manifiesta lo siguiente:�

��

1.4.1.1. Asegura que el proyecto cumple con lo previsto en el art�culo 160 de la Constituci�n, pues (i) entre la aprobaci�n en primer y en segundo debate en cada una de las c�maras transcurri� un tiempo no inferior a ocho d�as, y (ii) entre la aprobaci�n surtida en una c�mara y el inicio del debate en la otra hubo un lapso no inferior a quince d�as. En particular, explica que (a) la Comisi�n Primera de la C�mara aprob� el proyecto el 14 de septiembre de 2010 y la plenaria emiti� su aprobaci�n el 19 de octubre de 2010; (b) la Comisi�n Primera del Senado aprob� el proyecto el 6 de diciembre de 2010 y de la misma forma procedi� la plenaria el 15 de diciembre de 2010; (c) el proyecto fue aprobado por la C�mara de Representantes el 19 de octubre de 2010 y su debate en el Senado inici� el 6 de diciembre de 2010.�

��

1.4.1.2. De otra parte, afirma que el proyecto cumpli� con lo establecido en el art�culo 153 de la Carta que exige la mayor�a absoluta de los miembros del Congreso para aprobar proyectos de leyes estatutarias, como tambi�n que su tr�mite se efect�e dentro de una sola legislatura. En el caso espec�fico, indica que se radic� el proyecto de ley el 3 de agosto de 2010 y su tr�mite culmin� el 16 de diciembre de 2010, lo que evidencia que su tr�mite se surti� dentro de la legislatura que inici� el 20 de julio de ese mismo a�o y que culmin� el 20 de junio de 2011.�

��

1.4.2. Respecto al an�lisis jur�dico y material del proyecto de ley estatutaria, expresa lo siguiente:�

��

1.4.2.1. Considera que la decisi�n de limitar el recaudo y tratamiento de datos personales, as� como el uso y el acceso a las bases de datos que contienen esa informaci�n, es razonable, pues su finalidad es preservar del conocimiento p�blico los datos que pertenecen la intimidad de su titular.�

��

1.4.2.2. Sostiene que el literal c) del art�culo 5 es exequible, bajo el entendido que siempre debe mediar autorizaci�n por parte del titular.�

��

1.4.2.3. Por otra parte, indica que las excepciones a la prohibici�n de circulaci�n de datos sensibles, previstas en el art�culo 6, por fundarse en el consentimiento del titular o en finalidades importantes, son razonables. Sin embargo, refiere que en el caso del ejercicio de actividades leg�timas de un grupo de personas, organizado sin �nimo de lucro, como es el caso de las fundaciones, las ONG, las asociaciones, los sindicatos o cualquier otra; el hecho de pertenecer a dicho grupo no es raz�n para obviar la necesidad de obtener la autorizaci�n previa del titular de los datos.�

��

1.4.2.4. Sostiene que la especial protecci�n que se da a los datos personales de ni�os, ni�as y adolescentes en el art�culo 7 es razonable, ya que se desprende de su condici�n de sujetos de especial protecci�n constitucional. No obstante, indica que la excepci�n prevista en este precepto respecto de los datos que son de "naturaleza p�blica", puede generar dos situaciones conflictivas: en primer lugar, parte de que los ni�os, ni�as y adolescentes no tienen capacidad plena para otorgar su consentimiento, lo que se pretende superar con la exigencia de autorizaci�n de sus padres o tutores; y en segundo lugar, no tiene en cuenta que esta poblaci�n, al tener acceso sin restricciones a Internet, en especial a las redes sociales, puede publicar de manera irreflexiva sus datos personales y su intimidad. Por lo anterior, el Ministerio P�blico considera que la expresi�n "naturaleza p�blica", en tanto excepci�n a la prohibici�n de tratamiento de datos sensibles de los ni�os, ni�as y adolescentes, debe declararse inexequible.�

��

1.4.2.5. Sobre el art�culo 10 del proyecto, en el cual se encuentran establecidos los sucesos en los cuales no es necesaria la autorizaci�n del titular, espec�ficamente en relaci�n con el tercer evento referido a "que se trate de un caso de urgencia m�dica o sanitaria", estima que es una excepci�n razonable, pues busca salvaguardar la vida e integridad f�sica del titular del dato. No obstante, aclara que esta excepci�n s�lo puede cobijar al personal m�dico o cient�fico que atiende la urgencia.�

��

1.4.2.6. Con respecto al inciso del art�culo 10 que establece que "(�) quien acceda a los datos personales sin que medie autorizaci�n previa deber� en todo caso cumplir con las disposiciones contenidas en la presente ley (�)", el Procurador considera que deja abierta la puerta a graves transgresiones, en tanto invalida la prohibici�n de tratar los datos personales sin consentimiento del titular, lo cual es irrazonable e inaceptable en t�rminos constitucionales. Agrega que si un dato se obtiene sin el consentimiento previo de su titular, salvo las excepciones previstas en la ley, se est� vulnerando el art�culo 15 de la Constituci�n. La misma consecuencia puede aplicarse cuando dicho dato se hace circular. Por estas razones solicita que el precepto sea declarado inexequible.�

��

1.4.2.7. Manifiesta que el par�grafo del art�culo 14, espec�ficamente en lo referente a que "(�) el Gobierno Nacional podr� establecer t�rminos inferiores a los se�alados en los procedimientos contemplados en la ley", aunque en principio podr�a concluirse que es una medida favorable para los intereses de los titulares de los datos y, por tanto, no existir�a una restricci�n a sus derechos, es una medida inconstitucional. Aduce que no puede pasarse por alto que la competencia para regular los mecanismos de protecci�n de los derechos fundamentales que tienen que ver con el n�cleo esencial de los mismos, corresponde exclusivamente al legislador estatutario. Por lo anterior, cualquier modificaci�n de los mecanismos de protecci�n, as� beneficie al titular del derecho, le corresponde realizarlo al Congreso a trav�s de una ley estatutaria.�

��

1.4.2.8. En relaci�n con el art�culo 27, teniendo en cuenta las razones expuestas precedentemente, recuerda que la competencia para regular los mecanismos de protecci�n de los derechos fundamentales, en la medida en que afecten el n�cleo esencial de los mismos, goza de reserva de ley estatutaria. Por tanto, concluye que este precepto es inexequible.�

��

1.4.2.9. Tambi�n pone de presente que la expresi�n "podr� constituir criterio orientador para el desarrollo de los actos urgentes que desarrolla la polic�a judicial en materia penal", contenida en el art�culo 31, es exequible bajo el entendido que para llevar a cabo esas actividades se requiere orden judicial. En su criterio, si no se trata de prevenir un grave riesgo inminente, sino de investigar delitos, esto es, el desarrollo de la tarea propia de polic�a judicial en materia penal, siempre debe existirse una orden judicial previa.�

��

1.4.2.10. Por �ltimo, alega que la expresi�n "o los reglamentos expedidos por el Gobierno Nacional"contenida en el par�grafo del art�culo 14, es inexequible.�

��

1.5 METODOLOG�A La revisi�n integral del proyecto de ley estatutaria se desarrollar� de la siguiente manera. En primer lugar, y de manera previa al estudio de constitucionalidad, la Sala har� una referencia al origen hist�rico y el alcance del derecho fundamental al habeas data. En segundo lugar, determinar� cu�l fue el modelo de regulaci�n adoptada por el legislador estatutario y sus implicaciones en el an�lisis de constitucionalidad de las disposiciones del Proyecto. Establecido el marco general de protecci�n de datos en Colombia, la Corporaci�n realizar� el an�lisis tanto formal como material del articulado del proyecto.�

��

2 CONSIDERACIONES�

��

2.1 CONSIDERACIONES PRELIMINARES�

��

2.1.1 La materia del proyecto de ley estatutaria: regulaci�n de algunos contenidos m�nimos del derecho fundamental al habeas data�

��

El t�tulo del proyecto de ley -"Por el cual se dictan disposiciones generales para la protecci�n de datos personales"- indica que su objetivo principal es regular de manera general las garant�as del derecho fundamental a la protecci�n de los datos personales, derecho que en la jurisprudencia constitucional ha sido con frecuencia denominado derecho al habeas data y en algunas oportunidades derecho a la autodeterminaci�n inform�tica o informativa[1]. Para determinar si, en efecto, el proyecto regula al menos algunos de los contenidos m�nimos de este derecho, a continuaci�n la Sala examinar� su origen y alcance:�

��

2.1.1.1 Origen del derecho al habeas data�

��

2.1.1.1.1 La protecci�n de los datos personales surgi� ligada al derecho a la intimidad, reconocido en varios instrumentos del derecho internacional de los derechos humanos.�

��

En el plano internacional, el derecho a la intimidad fue reconocido por primera vez en 1948, en la Declaraci�n Universal de los Derechos Humanos, cuyo art�culo 12 dispone que toda persona debe ser protegida contra injerencias arbitrarias en su vida privada, familia, domicilio o correspondencia, as� como de ataques contra su honra y reputaci�n.[2]Posteriormente, en 1966, este precepto fue reproducido por el art�culo 17 del Pacto Internacional de Derechos Civiles y Pol�ticos (PIDCP), con lo cual se le dio naturaleza vinculante entre los estados partes.�

��

En el �mbito regional, tambi�n en 1948, se reconoci� el derecho a la intimidad con el art�culo V de la Declaraci�n Americana de Derechos y Deberes del Hombre. El derecho fue nuevamente introducido en el art�culo 11 de la Convenci�n Americana de Derechos Humanos de 1969, el cual en t�rminos generales reproduce el art�culo 12 de la Declaraci�n Universal de los Derechos Humanos.�

��

En el sistema europeo de protecci�n, el derecho a la intimidad fue reconocido por primera vez en el art�culo 8 del Convenio para la Protecci�n de los Derechos Humanos y de las Libertades Fundamentales, en 1950. Este art�culo, adem�s de proteger la vida privada y familiar, y el domicilio y la correspondencia, proscribe toda injerencia de las autoridades p�blicas en el ejercicio de este derecho, salvo "(�) cuanto esta injerencia est� prevista por la ley y constituya una medida que, en una sociedad democr�tica, sea necesaria para la seguridad nacional, la seguridad p�blica, el bienestar econ�mico del pa�s, la defensa del orden y la prevenci�n del delito, la protecci�n de la salud o de la moral, o la protecci�n de los derechos y las libertades de los dem�s."[3]�

��

2.1.1.1.2 Fue en Europa precisamente donde, con fundamento en esta �ltima disposici�n y en vista de los riesgos a los que se enfrenta la intimidad en la sociedad de la informaci�n, comenz� a labrarse el camino para el reconocimiento del habeas data como un derecho fundamental aut�nomo. As�, en 1967, el Consejo de Europa convoc� una comisi�n consultiva para estudiar los riesgos que las tecnolog�as de la informaci�n generan sobre los derechos de las personas. Como consecuencia de esta comisi�n, se expidi� en 1968, la Resoluci�n 509 sobre los derechos humanos y los nuevos logros cient�ficos y t�cnicos, en la que se hizo un llamado a la protecci�n de la privacidad frente a las nuevas tecnolog�as.�

��

En la d�cada de los 70, la Comisi�n de Ministros del Consejo de Europa adopt� la resoluci�n relativa a "la protecci�n de la vida privada de las personas f�sicas frente a los bancos de datos electr�nicos en el sector privado", y la resoluci�n sobre "la protecci�n de la vida privada de las personas f�sicas frente a los bancos de datos electr�nicos en el sector p�blico", en las que recomienda a los pa�ses miembros implementar una serie de principios de protecci�n. Posteriormente, varios pa�ses introdujeron legislaciones destinadas establecer garant�as para los datos personales; varias de estas legislaciones crearon reglas espec�ficas con miras a proteger no solamente la intimidad, sino tambi�n otros valores como la integridad, la autonom�a y la dignidad de las personas.[4]�

��

En 1981, el Convenio 108 del Consejo de Europa sobre la protecci�n de las personas en lo relativo al tratamiento automatizado de datos de car�cter personal, brind� protecci�n expl�cita a este tipo de informaci�n y fij� las pautas del modelo com�n de protecci�n. El Convenio ampli� el cat�logo de garant�as con la introducci�n de los principios de lealtad, exactitud, finalidad, pertinencia, utilizaci�n no abusiva, olvido, publicidad, acceso individual y seguridad, y con la prohibici�n de tratamiento autom�tico de datos que revelen el origen racial de las personas, sus opiniones pol�ticas, convicciones religiosas o de otro tipo, as� como datos sobre su salud o vida sexual[5]. Adem�s, introdujo definiciones sobre datos personales, ficheros automatizados, tratamientos automatizados y autoridades que manejan la informaci�n. [6]El Convenio 108 dio paso a una segunda generaci�n de leyes nacionales de protecci�n de datos que incorporaron varios de los principios reconocidos en �l.[7]�

��

En 1983, una sentencia del Tribunal Constitucional alem�n denomin� por primera vez el derecho a la protecci�n de los datos personales como derecho a la autodeterminaci�n informativa, con fundamento en el derecho al libre desarrollo de la personalidad.[8]Para este tribunal, tal derecho comprende la facultad de decidir por s� mismo cuando y dentro de qu� l�mites procede revelar situaciones referentes a la propia vida. Adem�s, el tribunal se�al� que la garant�a del derecho requiere especiales medidas de protecci�n, teniendo en cuenta que la interconexi�n de varias bases de datos puede dar lugar a la elaboraci�n de un perfil de la personalidad que limite la libertad de decisi�n. Este ejemplo fue seguido por el Tribunal Constitucional espa�ol, el cual, en 1993, precis� que el art�culo 18.4 de la constituci�n espa�ola consagra un derecho fundamental aut�nomo al disponer que la ley debe limitar el uso de la inform�tica para garantizar la intimidad, el honor y el pleno ejercicio de los derechos de los ciudadanos.[9]�

��

A�os m�s tarde, en el plano comunitario, mediante la Directiva 95/46/CE de 1995 sobre la protecci�n de personas f�sicas respecto al tratamiento y circulaci�n de datos personales, el Parlamento Europeo y el Consejo de Europa, si bien ligan la protecci�n de los datos personales al derecho a la intimidad, precisan varias definiciones e introducen directrices sobre las garant�as espec�ficas que rigen la circulaci�n de este tipo de datos, por ejemplo, en materia de principios de tratamiento y requisitos procedimentales.[10]�

��

La configuraci�n de la autodeterminaci�n informativa como derecho aut�nomo culmina con la Carta de los Derechos Fundamentales de la Uni�n Europea de 1999, cuyo art�culo 8 reconoce expl�citamente el derecho de toda persona a "la protecci�n de los datos de car�cter personal que la conciernan" y dispone que "[e]stos datos se tratar�n de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento leg�timo previsto por la ley." Adem�s, indica que "[t]oda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificaci�n", y se�ala que la verificaci�n del cumplimiento de estas garant�as debe encargarse en cada estado a un �rgano independiente.�

��

2.1.1.1.3 En el seno de las Naciones Unidas tambi�n se han presentado iniciativas importantes dirigidas a reforzar la protecci�n de los datos personales y a dotar de contenido aut�nomo al derecho al habeas data. Por ejemplo, mediante la Resoluci�n 45/95 de 14 de diciembre de 1990, "Principios rectores aplicables a los ficheros computarizados de datos personales", se reconocieron varias garant�as m�nimas que deben prever las legislaciones nacionales para el tratamiento de este tipo de informaci�n.�

��

Por otra parte, el Comit� de Derechos Humanos, en su Observaci�n General 16 sobre el art�culo 17 del PIDCP, si bien es cierto conecta la protecci�n de los datos personales con el derecho a la intimidad, por v�a interpretativa fija una serie de pautas importantes que deben guiar la protecci�n de tales datos, como que "[l]a recopilaci�n y el registro de informaci�n personal en computadoras, bancos de datos y otros dispositivos, tanto por las autoridades p�blicas como por lasparticulares o entidades privadas, deben estar reglamentados por la ley",o que todas las personas tienen derecho a verificar "(�) si hay datos personales suyos almacenados en archivos autom�ticos de datos y, en caso afirmativo, de obtener informaci�n inteligible sobre cu�les son esos datos y con qu� fin se han almacenado", garant�as que hacen parte de los contenidos del habeas data.[11]�

��

2.1.1.1.4 A nivel del sistema regional de protecci�n, el derecho al habeas data o a la autodeterminaci�n informativa sigue siendo interpretado a partir del art�culo 11 de la Convenci�n Americana de Derechos Humanos sobre el derecho a la intimidad. Sin embargo, mediante la Resoluci�n AG/RES.1395 (XXVI-O/96), la Asamblea General de la OEA solicit� al Comit� Jur�dico Interamericano que iniciara un estudio de los contextos jur�dicos de los estados miembros en relaci�n con dos temas: acceso a la informaci�n y a la protecci�n de los datos personales. Este estudio condujo a que el 13 de junio de 2011, la Asamblea General aprobara una resoluci�n sobre el acceso a informaci�n p�blica y la protecci�n de datos personales. En este documento, encomend� al Comit� Jur�dico Interamericano que, antes del cuadrag�simo segundo per�odo ordinario de sesiones de la Asamblea General, presente un documento de principios de privacidad y protecci�n de datos personales en la regi�n. Adem�s, desde hace varios a�os existe un anteproyecto de convenci�n americana sobre autodeterminaci�n informativa, que reconoce expresamente el derecho al habeas data.�

��

2.1.1.1.5 En el caso colombiano, si bien el art�culo 15 de la Constituci�n de 1991 reconoci� por primera vez y expl�citamente el derecho al habeas data, desde a�os atr�s ya exist�a una preocupaci�n en el Congreso y el Ejecutivo por proteger los datos personales. Entre las iniciativas en la materia, vale la pena destacar la Ley 23 de 1981 "Por la cual se dictan normas en materia de �tica m�dica", cuyo art�culo 34 dispone que la historia cl�nica "[e]s un documento privado sometido a reserva que �nicamente puede ser conocido por terceros previa autorizaci�n del paciente o en los casos previstos por la Ley", y la Ley 96 de 1985, cuyo art�culo 51 reconoce la naturaleza p�blica de los datos sobre n�mero de identificaci�n personal y lugar y fecha de expedici�n, pero otorga car�cter reservado a los archivos que reposan en la Registradur�a ligados a la identificaci�n, como datos biogr�ficos, filiaci�n y f�rmula dactilosc�pica.�

��

2.1.1.1.6 Finalmente, como ya se mencion�, el art�culo 15 de la Constituci�n de 1991 reconoci� expl�citamente el "(�) derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades p�blicas y privadas" y adem�s dispuso que "[e]n la recolecci�n, tratamiento y circulaci�n de datos se respetar� la libertad y dem�s garant�as consagradas en la Constituci�n". Estos preceptos le�dos en conjunto con la primera parte del mismo art�culo 15 -sobre el derecho a la intimidad, el art�culo 16 -que reconoce el derecho al libre desarrollo de la personalidad- y el art�culo 20 -sobre el derecho a la informaci�n activo y pasivo y el derecho a la rectificaci�n- de la Carta, han dado lugar al reconocimiento de un derecho fundamental aut�nomo catalogado como derecho al habeas data, y en algunas oportunidades, como derecho a la autodeterminaci�n informativa o inform�tica.�

��

2.1.1.1.7 En la jurisprudencia constitucional, el derecho al habeas data fue primero interpretado como una garant�a del derecho a la intimidad, de all� que se hablara de la protecci�n de los datos que pertenecen a la vida privada y familiar, entendida como la esfera individual impenetrable en la que cada cual puede realizar su proyecto de vida y en la que ni el Estado ni otros particulares pueden interferir.[12]�

��

Desde los primeros a�os de la nueva Carta, tambi�n surgi� al interior de la Corte una segunda l�nea interpretativa que consideraba el habeas data una manifestaci�n del libre desarrollo de la personalidad. Seg�n esta l�nea, el habeas data tiene su fundamento �ltimo "(�) en el �mbito de autodeterminaci�n y libertad que el ordenamiento jur�dico reconoce al sujeto como condici�n indispensable para el libre desarrollo de la personalidad y en homenaje justiciero a su dignidad"[13].�

��

A partir de 1995, surge una tercera l�nea interpretativa que apunta al habeas data como un derecho aut�nomo y que es la que ha prevalecido desde entonces.[14]As�, seg�n la sentencia SU-082 de 1995[15], el n�cleo del derecho al habeas data est� compuesto por la autodeterminaci�n inform�tica y la libertad -incluida la libertad econ�mica. Adem�s, este derecho comprende al menos las siguientes prerrogativas: "a) El derecho a conocer las informaciones que a ella se refieren; || b) El derecho a actualizar tales informaciones, es decir, a ponerlas al d�a, agreg�ndoles los hechos nuevos; || c) El derecho a rectificar las informaciones que no correspondan a la verdad.", e incluye el derecho a la caducidad del dato negativo.�

��

En esta misma direcci�n, en la sentencia T-176 de 1995[16], la Corte indic� que el derecho al habeas data es violado cuando se desconoce alguna de las prerrogativas enunciadas en la sentencia SU-082 de 1995, es decir, cuando la informaci�n contenida en el archivo o base de datos es "(�) recogida de manera ilegal, sin el consentimiento del titular del dato",es err�nea o recae "(�) sobre aspectos �ntimos de la vida de su titular no susceptibles de ser conocidos p�blicamente".�

��

Posteriormente, en la sentencia T-729 de 2002[17], la Corte explic� que es importante diferenciar y delimitar el habeas data respecto de otros derechos como el buen nombre y la intimidad, por lo menos por tres razones: "(�) (i) por la posibilidad de obtener su protecci�n judicial por v�a de tutela de manera independiente; (ii) por la delimitaci�n de los contextos materiales que comprenden sus �mbitos jur�dicos de protecci�n; y (iii) por las particularidades del r�gimen jur�dico aplicable y las diferentes reglas para resolver la eventual colisi�n con el derecho a la informaci�n".[18]A continuaci�n, la Corte defini� el derecho de la siguiente forma:�

��

"El derecho fundamental al habeas data, es aquel que otorga la facultad[19]al titular de datos personales, de exigir a las administradoras de datos personales el acceso, inclusi�n, exclusi�n, correcci�n, adici�n, actualizaci�n, y certificaci�n de los datos, as� como la limitaci�n en la posibilidades de divulgaci�n, publicaci�n o cesi�n de los mismos, conforme a los principios[20]que informan el proceso de administraci�n de bases de datos personales".�

��

M�s recientemente, en la sentencia C-1011 de 2008[21], la Corte nuevamente reconoci� la autonom�a del derecho al habeas data y lo conceptualiz� as�:�

��

"El h�beas data confiere, (�), un grupo de facultades al individuo para que, en ejercicio de la cl�usula general de libertad, pueda controlar la informaci�n que de s� mismo ha sido recopilada por una central de informaci�n. En ese sentido, este derecho fundamental est� dirigido a preservar los intereses del titular de la informaci�n ante el potencial abuso del poder inform�tico".�

��

2.1.1.1.8 En resumen, como lo muestra el anterior recuento, el reconocimiento del derecho al habeas data -identificado como un derecho fundamental aut�nomo tanto en el plano nacional como internacional- persigue la protecci�n de los datos personales en un mundo globalizado en el que el poder inform�tico es creciente. Esta protecci�n responde a la importancia que tales datos revisten para la garant�a de otros derechos como la intimidad, el buen nombre y el libre desarrollo de la personalidad. Sin embargo, el que exista una estrecha relaci�n con tales derechos, no significa que no sea un derecho diferente, en tanto comprende una serie de garant�as diferenciables y cuya protecci�n es directamente reclamable por medio de la acci�n de tutela, sin prejuicio del principio de subsidiariedad que rige la procedencia de la acci�n.�

��

2.1.1.2 El contenido del derecho al habeas data�

��

De conformidad con la jurisprudencia de esta Corporaci�n, dentro de las prerrogativas -contenidos m�nimos- que se desprenden de este de este derecho encontramos por lo menos las siguientes: (i) el derecho de las personas a conocer -acceso- la informaci�n que sobre ellas est� recogidas en bases de datos, lo que conlleva el acceso a las bases de datos donde se encuentra dicha informaci�n; (ii) el derecho a un incluir nuevos datos con el fin de se provea una imagen completa del titular; (iii) el derecho a actualizar la informaci�n, es decir, a poner al d�a el contenido de dichas bases de datos; (iv) el derecho a que la informaci�n contenida en bases de datos sea rectificada o corregida, de tal manera que concuerde con la realidad; (v) el derecho a excluir informaci�n de una base de datos, bien por que se est� haciendo un uso indebido de ella, o por simple voluntad del titular -salvo las excepciones previstas en la normativa.�

��

2.1.1.3 La ley desarrolla algunos contenidos del derecho al habeas data y por ello deb�a tramitarse por ley estatutaria�

��

2.1.1.3.1 El art�culo 152 de la Constituci�n prev� una modalidad especial de leyes con un tr�mite m�s riguroso -especialmente en t�rminos de mayor�as-[22]debido al tipo de materias destinadas a regular, estas son: (i) los derechos y deberes fundamentales, y los procedimientos y recursos para su protecci�n; (ii) la administraci�n de justicia; (iii) la organizaci�n y r�gimen de los partidos y movimientos pol�ticos, el estatuto de la oposici�n y las funciones electorales; (iv) las instituciones y mecanismos de participaci�n ciudadana; (v) los estados de excepci�n; y (vi) la igualdad electoral entre candidatos a la Presidencia de la Rep�blica.�

��

Esta corporaci�n ha defendido la tesis de que la reserva de ley estatutaria no debe interpretarse de manera restrictiva, en el sentido de que cualquier regulaci�n que se ocupe de las materias contempladas por el art�culo 152 constitucional requiere ser expedida por medio de dicho tipo de ley.[23]�

��

Adem�s, la Corte ha sostenido que el tipo de desarrollo y el grado de detalle de la regulaci�n que la Constituci�n exige al legislador estatutario depende de la clase de materia. As�, para el caso de las funciones electorales, la Corte han defendido un especie de reserva reforzada, seg�n la cual corresponde al legislador estatutario no solamente establecer los lineamientos b�sicos de tales funciones, sino desarrollarlas con un mayor detalle con una pretensi�n de exhaustividad y sistematizaci�n. Al respecto, esta Corporaci�n expres� lo siguiente en la sentencia C-226 de 1994[24]:�

��

"Por consiguiente, conforme a los anteriores argumentos, concluye la Corte Constitucional que a diferencia de lo que ocurre con los derechos fundamentales, en el caso de las funciones electorales, la ley estatutaria debe regular no s�lo los elementos esenciales de las mismas sino todos aquellos aspectos permanentes para el ejercicio adecuado de tales funciones por los ciudadanos, lo cual incluye asuntos que podr�an en apariencia ser considerados potestades menores o aspectos puramente t�cnicos, pero que tienen efectos determinantes en la din�mica electoral, como la fijaci�n de las fechas de elecciones, el establecimiento de los t�rminos de cierre de las inscripciones de candidatos o registro de votantes, la organizaci�n de las tarjetas electorales o de los sistemas de escrutinio, etc. Por su propia naturaleza, la ley estatutaria de funciones electorales es entonces de contenido detallado. Esto no impide que de manera excepcional ciertas materias electorales puedan ser reguladas mediante leyes ordinarias. As�, hay disposiciones que corresponden a aspectos puramente operativos para facilitar la realizaci�n de una elecci�n concreta y guardan conexidad con el tema electoral sin ser en s� mismas funciones electorales, como la autorizaci�n de una apropiaci�n presupuestal para financiar unas elecciones determinadas. Tales materias pueden ser reguladas mediante estatutaria." (negrilla fuera del texto)�

��

Para la hip�tesis de la administraci�n de justicia, la Corte ha se�alado que son materia de las leyes estatutarias "los elementos estructurales esenciales de la funci�n p�blica de justicia"[25],los cuales han sido identificados como "los principios que informan la administraci�n de justicia, as� como los �rganos encargados de ejercerla y sus competencias generales"[26].�

��

En relaci�n con los mecanismos de participaci�n ciudadana, la Corte ha se�alado que aquellas disposiciones que comprometen el n�cleo esencial del derecho de participaci�n deben ser tramitadas como estatutarias. Por consiguiente, "aquel reducto esencial que es absolutamente necesario para que tal derecho pueda ser ejercido y sea efectivamente tutelado, debe ser regulado mediante este tr�mite especial. En este sentido, las disposiciones que tengan el significado de introducir l�mites, restricciones, excepciones, prohibiciones o condicionamientos al ejercicio del derecho"[27], est�n sometidas a los procedimientos especiales.�

��

Respecto de los derechos fundamentales, en concordancia con el primer criterio explicado, la Corte ha indicado que la reserva de ley estatuaria no se predica de la regulaci�n de "todo evento ligado a los derechos fundamentales"[28]sino "solamente los elementos estructurales esenciales de los derechos fundamentales"[29],de modo que las leyes estatutarias no deben regular en detalle cada variante o cada manifestaci�n de dichos derechos o todos aquellos aspectos que tengan que ver con su ejercicio. En este sentido, la Corte afirm� lo siguiente en la sentencia C-145 de 1994:�

��

"(�) la competencia legislativa ordinaria est� directamente habilitada por la Carta para regular derechos fundamentales y si no se presentara tal evento, la mencionada competencia ordinaria se transformar�a en exceptiva, ya que directa o indirectamente gran parte de las leyes tocan alg�n o algunos derechos fundamentales. En materia de derechos fundamentales debe efectuarse 'una interpretaci�n restrictiva de la reserva de ley estatutaria porque una interpretaci�n extensiva convertir�a la excepci�n -las leyes estatutarias basadas en mayor�as cualificadas y procedimientos m�s r�gidos- en regla, en detrimento del principio de mayor�a simple que es el consagrado por la Constituci�n'. Esto significa que las leyes estatutarias est�n encargadas de regular �nicamente los elementos estructurales esenciales de los derechos fundamentales y de los mecanismos para su protecci�n, pero no tienen como objeto regular en detalle cada variante de manifestaci�n de los mencionados derechos o todos aquellos aspectos que tengan que ver con su ejercicio, porque ello conducir�a a una petrificaci�n del ordenamiento jur�dico".(negrilla fuera del texto)�

��

Para definir los elementos estructurales esenciales, la jurisprudencia constitucional se ha valido de la teor�a del n�cleo esencial. Seg�n esta teor�a, los derechos fundamentales tienen (i) un n�cleo o contenido b�sico que no puede ser limitado por las mayor�as pol�ticas ni desconocido en ning�n caso, ni siquiera cuando un derecho fundamental colisiona con otro de la misma naturaleza o con otro principio constitucional, y (ii) un contenido adyacente objeto de regulaci�n. Las preguntas que genera esta teor�a son: si el n�cleo es una garant�a contramayoritaria, �a qui�n compete su delimitaci�n y �cu�l es el reparto de competencias entre la ley estatutaria, la ley ordinaria y el reglamento respecto del contenido adyacente �

��

Una respuesta que se dio en los primeros a�os de la Corte es que el n�cleo esencial es definido por la Constituci�n y corresponde a la ley estatutaria desarrollar el contenido adyacente m�s cercano al n�cleo[30]; sin embargo, en esta l�nea jurisprudencial no se define cu�l es el contenido adyacente m�s cercano al n�cleo.[31]Adem�s, como ha reconocido la propia Corte, las cl�usulas constitucionales sobre derechos fundamentales tienden a ser abstractas y generales, lo que hace dif�cil extraer de ellas un contenido m�nimo de los derechos.�

��

Una segunda respuesta que se ha expuesto en la jurisprudencia constitucional es que es competencia del legislador estatutario desarrollar aspectos importantes del n�cleo esencial, con lo que parece sugerirse que tal n�cleo es delineado tanto por el constituyente como por el legislador estatutario.[32]Algunos de los asuntos importantes del n�cleo esencial que son propios de las leyes estatutarias y que han sido se�alados por la Corte son: (i) la consagraci�n de l�mites, restricciones, excepciones y prohibiciones de alcance general[33], y (ii) los principios b�sicos que gu�an su ejercicio[34]. Otro elemento que puede deducirse a partir de un examen de la estructura de los derechos fundamentales es la definici�n de las prerrogativas b�sicas que se desprenden del derecho para los titulares y que se convierten en obligaciones para los sujetos pasivos.�

��

La segunda respuesta parece ser la m�s coherente con los recientes desarrollos de la jurisprudencia constitucional, en los que se evidencia la adopci�n de un criterio hist�rico de construcci�n de los derechos fundamentales. Seg�n este criterio, los derechos fundamentales se ampl�an con el paso del tiempo y dependen de lo que en una sociedad considera fundamental en un momento hist�rico y a partir del concepto de dignidad humana.[35]Por tanto, el contenido de los derechos cambia y se expande, para lo cual es importante la labor de actualizaci�n del legislador estatutario y del juez constitucional.[36]�

��

Ahora bien, la tesis que se defiende no desvirt�a la funci�n contramayoritaria del n�cleo esencial, pues, de un lado, la labor del legislador estatutario es definir su contenido en lo no dispuesto expresamente por el constituyente, lo que significa que no puede desconocer lo establecido en el texto superior, y de otro, en tanto las leyes estatutarias tienen control previo de la Corte Constitucional, el juez constitucional cumple la funci�n contramayoritaria de examinar que el legislador no haya excedido sus competencias en la materia.�

��

Por otra parte, la Sala observa que en varios pronunciamientos la Corte ha sostenido que las leyes estatutarias, cuando se ocupan de los derechos fundamentales, deben pretender regularlos de manera integral, estructural y completa.[37]Para la Sala, esta afirmaci�n debe ser interpretada en conjunto con la doctrina antes analizada sobre contenido material de la ley estatutaria, es decir, con la tesis seg�n la cu�l el legislador estatutario, junto con el constituyente, delimitan los elementos esenciales de los derechos. Por tanto, la pretensi�n de integralidad y exhaustividad debe limitarse a los elementos estructurales del derecho, es decir, en concordancia con lo expresado previamente, (i) a las prerrogativas b�sicas que se derivan del derecho y que se convierten en obligaciones para los sujetos pasivos, (ii) a los principios que gu�an su ejercicio -cuando haya lugar, y (iii) a las excepciones a su r�gimen de protecci�n y otras limitaciones de orden general[38].�

��

Por �ltimo, respecto de los procedimientos y recursos para la protecci�n de los derechos fundamentales, es necesario hacer las siguientes precisiones:�

��

En primer t�rmino, tales procedimientos y recursos, si bien son mencionados en el literal a) del art�culo 152 superior junto a los derechos y deberes fundamentales, constituyen una materia separada, pues no son elementos de la estructura de los derechos sino una herramienta para hacerlos efectivos[39]; por tanto, pueden o no ser desarrollados en una misma ley estatutaria.�

��

En segundo t�rmino, la jurisprudencia constitucional ha indicado que es objeto de las leyes estatutarias solamente la regulaci�n de forma directa del ejercicio de los derechos.[40]Por tanto, es competencia del legislador estatutario �nicamente el desarrollo de los procedimientos y recursos para la protecci�n directa de los derechos.�

��

Ahora bien, tales herramientas pueden ser tanto de naturaleza judicial como administrativa, es decir, el literal a) hace referencia (i) tanto a acciones o recursos que permiten reclamar la satisfacci�n de un derecho ante un juez y que implican la existencia de un proceso, (ii) como a mecanismos administrativos tales como �rganos de vigilancia y control y procesos administrativos dirigidos a resolver controversias relacionadas con la realizaci�n de los derechos fundamentales.�

��

En relaci�n con los recursos judiciales, es necesario traer a colaci�n la clasificaci�n empleada en la sentencia C-372 de 2011[41], seg�n la cual un derecho fundamental debe gozar de mecanismos de justiciabilidad ordinarios y otros reforzados dirigidos a la protecci�n directa e inmediata de los derechos; de estos �ltimos debe ocuparse la ley estatutaria.�

��

2.1.1.3.2 Conforme a estas consideraciones, la Sala observa que efectivamente, como el t�tulo y el art�culo 1� lo indican, el proyecto desarrolla los contenidos m�nimos o el n�cleo esencial del derecho al habeas data y, en consecuencia, su aprobaci�n deb�a seguir el tr�mite de las leyes estatutarias.�

��

El art�culo segundo define las excepciones generales a la aplicaci�n de las disposiciones del proyecto, salvo los principios -como se desarrollar� m�s adelante.�

��

El t�tulo segundo consagra los principios rectores, los cuales establecen las pautas m�nimas que deben seguir tanto las autoridades p�blicas como los particulares que se relacionan con el tratamiento de datos personales. Estos principios limitan el alcance del tratamiento y definen las pautas para que procedan las reclamaciones de acceso, inclusi�n, actualizaci�n, correcci�n y exclusi�n.�

��

El t�tulo tercero establece como regla general la prohibici�n de tratamiento de datos sensibles, como modalidad de dato personal merecedor de especial protecci�n, prev� excepciones puntuales a tal prohibici�n, y hace �nfasis en la protecci�n de los datos personales - especialmente los sensibles- de los ni�os, ni�as y adolescentes.�

��

El t�tulo cuarto desarrolla las facultades b�sicas que otorga el habeas data a los titulares de los datos personales, as� como las condiciones de legalidad para el tratamiento de datos como la autorizaci�n del titular, el suministro de la informaci�n solicitada y sus implicaciones, es decir, dota de un contenido mayor las prerrogativas m�nimas derivadas del derecho al habeas data.�

��

El t�tulo quinto hace referencia a los procedimientos a seguir para las consultas y reclamos, y define el competente para resolver tales solicitudes. Este t�tulo es complementado por el t�tulo s�ptimo que regula, mediante tres cap�tulos, los mecanismos de vigilancia, control y sanci�n, la autoridad administrativa responsable de la protecci�n de datos y el registro nacional de bases de datos.�

��

El t�tulo sexto, que contiene los deberes de los responsables y encargados del tratamiento, es la contra cara de las facultades reconocidas para el titular del dato en el t�tulo cuarto; en otras palabras, este t�tulo re�ne -sin ser taxativo- los deberes que el derecho impone a algunos de los sujetos pasivos. Estos deberes, adem�s, son indispensables para la imposici�n de las sanciones administrativas a las que hace referencia el t�tulo s�ptimo, sanciones que a su vez constituyen un mecanismo adicional de protecci�n del habeas data.�

��

El t�tulo octavo regula la transferencia de datos a terceros pa�ses y establece algunos requisitos m�nimos que deben satisfacerse con el fin de extender la protecci�n a los datos incluso fuera de las fronteras nacionales.�

��

Finalmente, el t�tulo noveno comprende varias materias, entre ellas, (i) la facultad del gobierno para regular lo concerniente al tratamiento de datos que requieran de disposiciones especiales; (ii) la expedici�n de normas corporativas vinculantes a cargo del gobierno; (iii) la certificaci�n de antecedentes judiciales; (iv) lineamientos de las bases de datos de inteligencia y contrainteligencia; y (v) el valor probatorio y la reserva de los informes de inteligencia y contrainteligencia, todos asuntos relacionados con modalidades especiales de datos personales.�

��

En vista de que el proyecto regula algunos de los contenidos m�nimos del derecho, era necesario -como en efecto lo hizo el Congreso- tramitar la iniciativa a trav�s del procedimiento de ley estatutaria.�

��

2.1.2 El modelo de regulaci�n que introduce el proyecto de ley: modelo de protecci�n h�brido�

��

2.1.2.1 En el derecho comparado existen dos modelos de protecci�n de datos ampliamente reconocidos: un modelo centralizado y un modelo sectorial.�

��

El primer modelo, implementado en los pa�ses europeos y, con algunas modificaciones, en la propia Uni�n Europea, parte de una categor�a general de datos personales y de la idea de que cualquier tratamiento de ellos es considerado per se potencialmente problem�tico, raz�n por la cual debe sujetarse a unos principios y garant�as m�nimas comunes, susceptibles de ser complementadas con regulaciones especiales -seg�n el tipo de dato y los intereses involucrados, pero que de ninguna manera suponen una derogaci�n de los est�ndares de protecci�n generales.[42]Adem�s, estos est�ndares generales, as� como los especiales, son aplicables tanto al sector p�blico como al privado.�

��

As�, nivel de la Uni�n, (i) se prev�n una serie de principios generales de obligatorio cumplimiento en todos los estados y aplicables a todo dato personal -salvo las excepciones se�aladas expresamente, (ii) as� como garant�as para los interesados, como la notificaci�n previa frente a la recolecci�n y tratamiento de datos personales y el derecho a acceder y a oponerse al recaudo y circulaci�n. Tales reglas garantizan niveles adecuados de protecci�n, lo que a su vez facilita el flujo transfronterizo de datos.�

��

Tambi�n es propio de este modelo la existencia de una entidad central, aut�noma e independiente, que supervisa la instrumentaci�n, cumplimiento normativo y ejecuci�n de los est�ndares de protecci�n generales, y que est� facultada para autorizar o prohibir las transferencias de datos internacionales atendiendo a la equivalencia de la protecci�n que ofrece el pa�s de destino[43]. Esta entidad se especializa en la protecci�n de datos personales, lo que le permite generar memoria y producir conocimiento que son reempleados en el dise�o de pol�ticas p�blicas en la materia.[44]Esto no impide la existencia de entes especializados para �mbitos que requieren una regulaci�n complementaria.�

��

En contraste, el modelo sectorial no parte de una categor�a com�n de datos personales y por ello no se considera que todos estos datos deban estar sometidos a la misma regulaci�n m�nima.[45]Es por ello que bajo este modelo se adoptan regulaciones especiales y diferentes para cada tipo de dato personal, dependiendo de su relaci�n con la intimidad -o privacidad como se denomina en el sistema anglosaj�n- y con la protecci�n de intereses superiores -como la seguridad y la defensa nacional, es decir, la regulaci�n sectorial se basa en una especie de ponderaci�n de intereses que da lugar a reglas diferenciadas seg�n el tipo de dato y que otorga m�s o menos poderes de intervenci�n a las autoridades. La verificaci�n del cumplimiento de las reglas tambi�n es asignada a autoridades sectoriales, las cuales son dotadas de distintos poderes de vigilancia y control, seg�n el nivel de intervenci�n previsto por el legislador.�

��

Este modelo tambi�n se inspira en la idea de la autorregulaci�n[46]de los mercados, raz�n por la cual el Estado solamente participa en la protecci�n de ciertos datos en �mbitos en los que se presenta un alto riesgo de lesi�n de la intimidad, como la esfera financiera, la salud y los derechos de los ni�os.�

��

As�, en Estados Unidos, aunque existe una ley federal de protecci�n general de datos personales -Privacy Actde 1974[47], la regulaci�n de los datos personales es regida principalmente por leyes sectoriales como la Electronic Communications Privacy Act(1986), que se relaciona con la protecci�n de datos personales en comunicaciones electr�nicas; la Cable Communications Policy Act(1994), que regula la protecci�n de datos personales en archivos de televisi�n por cable; la Fair Credit Reporting Act-modificada de manera reiterada entre 1996 y 2001, que se refiere a los informes crediticios; la Bank Secrecy Act(1994), relativa a los registros bancarios; la Telephone Consumer Privacy Act(1994), sobre registros telef�nicos; la Drivers Privacy Protection Act(1994), relacionada con la protecci�n de los archivos de los permisos para conducir; la Health Insurance Portability and Accountability Act(1996), que regula la transferencia de seguros m�dicos; y la Children's Online Privacy Protection Act(1998), sobre el control parental de los ni�os en sus actividades en Internet.[48]�

��

2.1.2.2 En el caso colombiano, el proyecto de ley que dio lugar a la Ley 1266 de 2008 buscaba convertirse en una ley de principios generales aplicable a todas las categor�as de datos personales. Sin embargo, como observ� esta Corporaci�n en la sentencia C-1011 de 2008[49], pese a su pretensi�n de generalidad, el proyecto de ley en realidad solamente establec�a est�ndares b�sicos de protecci�n para el dato financiero y comercial destinado a calcular el nivel de riesgo crediticio de las personas. Por ello en la referida sentencia, la Corte dej� claro que la materia de lo que luego se convertir�a en la Ley 1266 es solamente el dato financiero y comercial.[50]Por tanto, la Ley 1266 solamente puede ser considerada una regulaci�n sectorial del habeas data.�

��

Este nuevo proyecto de ley busca llenar el vac�o de est�ndares m�nimos de protecci�n de todos los datos personales -anunciado por la Corte Constitucional en la sentencia C-1011 de 2008[51], de ah� que su t�tulo sea precisamente "Por el cual se dictan disposiciones generales para la protecci�n de datos personales". Esa intenci�n tambi�n fue anunciada por el gobierno en la exposici�n de motivos, en la que afirm�: "(�) es necesario que el pa�s cuente con una legislaci�n integral y transversal que garantice la protecci�n efectiva de los datos personales en todo el proceso de tratamiento".Como se ver� m�s adelante, pese a varias deficiencias que presenta el proyecto, puede concluirse que efectivamente introduce principios y reglas generales destinadas a garantizar algunos contenidos m�nimos del derecho al habeas data, entendido de la forma como se expuso previamente.�

��

En consecuencia, con la introducci�n de esta reglamentaci�n general y m�nima aplicable en mayor o menor medida a todos los datos personales, el legislador ha dado paso a un sistema h�brido de protecci�n en el que confluye una ley de principios generales con otras regulaciones sectoriales, que deben leerse en concordancia con la ley general, pero que introduce reglas espec�ficas que atienden a la complejidad del tratamiento de cada tipo de dato.�

��

En este contexto es que debe entenderse, por ejemplo, el art�culo 2, el cual establece una serie de �mbitos exceptuados de la aplicaci�n de las disposiciones del proyecto, salvo en materia de principios. Tales �mbitos deben ser regulados de manera espec�fica por el legislador a trav�s de una ley sectorial en la que se introduzcan principios complementarios, as� como otras reglas particulares dependiendo del tipo de dato, como ya ocurri� con los datos financieros y comerciales destinados a calcular el riesgo crediticio. Esta es la raz�n por la cual en el par�grafo del art�culo 2 se indica expresamente "[e]n el evento que la normatividad especial que regule las bases de datos exceptuadas prevea principios que tengan en consideraci�n la naturaleza especial de datos, los mismos aplicar�n de manera concurrente a los previstos en la presente ley."�

��

Entendido el modelo de protecci�n al que da lugar este nuevo proyecto de ley, le�do en conjunto con la Ley 1266, pasa la Sala a estudiar la constitucionalidad del articulado.�

��

2.2 EX�MEN DEL PROCEDIMIENTO LEGISLATIVO�

��

2.2.1 Intervenciones ciudadanas y concepto del Ministerio P�blico�

��

2.2.1.1 La Secretar�a Jur�dica de la Presidencia manifiesta que en cumplimiento de lo dispuesto en el art�culo 153 de la Constituci�n Pol�tica, el proyecto de ley Estatutaria objeto de revisi�n se aprob� dentro de una sola legislatura y por la mayor�a absoluta de los miembros de una y otra c�mara. As� mismo, se cumplieron los requisitos generales enunciados en el art�culo 157 de la Constituci�n para que un proyecto pueda convertirse en Ley de la Republica.�

��

Afirma que el Proyecto de Ley fue presentado el 3 de agosto de 2010 por los se�ores Ministros de Interior y de Justicia, Dr. Fabio Valencia Cossio; de Comercio, Industria y Turismo, Dr. Luis Guillermo Plata P�ez y de Tecnolog�as de la Informaci�n y las Comunicaciones, Dr. Daniel Enrique Medina Velandia, ante la Secretaria General de la C�mara de Representantes y le correspondi� en ese momento el No. 046 de 2010 de C�mara.�

��

Este proyecto de Ley Estatutaria, con la correspondiente exposici�n de motivos, fue publicado el 4 de agosto en la gaceta del Congreso No. 488 de 2010, dando cumplimiento al requisito constitucional consistente en la publicaci�n oficial del proyecto por el Congreso antes de darle curso en la Comisi�n respectiva (CP Art.157-1).�

��

De conformidad con lo establecido en el numeral 2� del art�culo 157 de la Constituci�n Pol�tica, este proyecto fue aprobado en primer debate en la correspondiente Comisi�n Permanente de cada c�mara, inicialmente por la Comisi�n Primera de la C�mara el 14 de Septiembre de 2010, seg�n consta en Acta No. 12 de la misma fecha, publicada en la Gaceta 958 de 2010. En esta oportunidad, tanto el informe de ponencia como el articulado fueron votados afirmativamente por 29 de los 35 Honorables Representantes que componen esta comisi�n, por lo que el articulado fue aprobado con la mayor�a necesaria.�

��

Posteriormente, fue aprobada por la Comisi�n Primera del Senado el 6 de diciembre de 2010, tal como consta en Acta No. 33 de esa fecha, publicada en la Gaceta 39 de 2011. En esta oportunidad, el proyecto fue votado en bloque con un total de 13 votos afirmativos de un total de 19 miembros que componen esta Comisi�n.�

��

De igual manera, en cumplimiento del numeral 3 del mismo art�culo. 157 de la Carta Pol�tica, el Proyecto de Ley Estatutaria fue aprobado por las plenarias de cada c�mara, inicialmente en la C�mara de Representantes el 19 de octubre de 2010, como consta en Acta No. 24, publicada en la Gaceta 868 de 2010. En este debate fue aprobado el informe de ponencia con una mayor�a de 89 Representantes. Se abri� una nueva votaci�n sobre art�culos varios, obteni�ndose una mayor�a de 104 Representantes. Ning�n parlamentario vot� negativamente, ni se excus� o abstuvo de votar. Finalmente, se abri� el registro para votaciones y se formul� la pregunta sobre si se quer�a que el proyecto se convirtiera en Ley de la Republica a lo cual respondieron afirmativamente 102 Representantes. Ninguno vot� negativamente, ninguno se excus� o se abstuvo de votar.�

��

Posteriormente, en el Senado de la Republica el 15 de diciembre de 2010, seg�n consta en el Acta No. 34, publicada en la Gaceta No. 80 de 2011, fue aprobado el proyecto de ley, con el siguiente procedimiento. El informe de ponencia fue aprobado afirmativamente por 60 Senadores. A rengl�n seguido, la presidencia someti� a consideraci�n de la plenaria el articulado en bloque del proyecto siendo aprobado por 56 senadores y votado negativamente por un senador. La omisi�n de la lectura del articulado, el articulado en bloque, el t�tulo y que sea ley de la Republica, el proyecto de ley n�mero 184 de 2010 Senado, 046 de 2010 C�mara.�

��

As� mismo, el proyecto de ley Estatutaria fue aprobado por la mayor�a absoluta requerida por la Constituci�n en su art�culo 153, este procedimiento se puede verificar en las Actas de plenaria tanto de C�mara como de Senado referenciadas as�:�

��

Dentro de la plenaria de la C�mara de Representantes el d�a 19 de octubre de 2010 un primer bloque de art�culos fue aprobado por 97 de 166 miembros que componen la C�mara, dentro de la misma sesi�n, lo que restaba del articulado fue aprobado por 106 Representantes, en cuanto a la pregunta de si quieren que el proyecto sea ley fue aprobado por 113 miembros de la C�mara.�

��

En la sesi�n del Senado de la Republica el proyecto de ley estatutaria se aprob� por la mayor�a reglamentaria con un total de 60 votos de 102 senadores, la omisi�n de la lectura del articulado, el articulado en bloque, el t�tulo y que sea Ley de la Republica, fue aprobado por 56 senadores.�

��

Concluye sosteniendo que los requisitos constitucionales para el tr�mite de las leyes estatutarias se cumplieron a cabalidad, dando por entendido que no se advierte vicio de forma que conlleve a la inconstitucionalidad del proyecto de ley, por la cual se dictan disposiciones generales para la protecci�n de datos personales. Igualmente, destaca que de conformidad con el art�culo 158 de la Constituci�n pol�tica, el proyecto cumple con el prop�sito de unidad y coherencia en la materia del derecho al "habeas data".�

��

2.2.1.2. El Ministerio de Comercio, Industria y Turismo sostiene que la Constituci�n Pol�tica no impone al legislador estatutario el deber de regular de manera integral la materia sujeta a dicha reserva, pues conforme con las reglas sentadas por la Corte Constitucional en dicha materia, "si sobre una materia sujeta a ley estatutaria se dicta una regulaci�n integral, ello s�lo puede hacerse a trav�s de una ley estatutaria, independientemente de que en esa regulaci�n, se incorporen disposiciones que podr�an haberse abordado a trav�s de una ley ordinaria". Igualmente, se refiere a una segunda regla en este sentido, seg�n la cual "la regulaci�n de elementos que pertenecen o comprometen el n�cleo esencial de un derecho o materia sujeta a la ley estatutaria, �nicamente puede contenerse en una ley de ese tipo, independientemente de que la regulaci�n sea o no integral."�

��

2.2.1.3. ASOBANCARIA advierte que el par�grafo del art�culo 2� es inconstitucional por vicios de forma, ya que viola el principio de consecutividad. Lo anterior, por cuanto al efectuar una revisi�n de las sucesivas transformaciones que recibi� el art�culo 2 del proyecto de Ley a lo largo del tr�mite legislativo y al realizar un recuento de la jurisprudencia constitucional relacionada con dicho principio, se encuentra que la inclusi�n del par�grafo 2 constituye un art�culo nuevo, dado que la integridad de su contenido no fue previamente debatido y mucho menos, aprobado en instancias anteriores. As�, por ejemplo, la previsi�n seg�n la cual "Los principios sobre protecci�n de datos ser�n aplicables a todas las bases de datos, incluidas las exceptuadas en el presente art�culo, con los l�mites dispuestos en la presente ley y sin re�ir con los datos que tienen caracter�sticas de estar amparadas por la reserva legal" no fue una constante en el Congreso; al igual que tampoco lo fue el hecho de que "En el evento que la normatividad especial que regule las bases de datos exceptuadas prevea principios que tengan en consideraci�n la naturaleza especial de datos, los mismos aplicar�n de manera concurrente a los previstos en la presente ley". Por el contrario, en las diferentes etapas del tr�mite de la discusi�n del proyecto se abog� por la aplicaci�n de las disposiciones especiales, como la Ley 1266 de 2008, en aquellos eventos donde fuere aplicable, con el fin de evitar traumatismos hermen�uticos y as� garantizar la especificidad de las regulaciones legislativas previstas para situaciones particulares.�

��

2.2.1.4. La ciudadana Mar�a Lorena Fl�rez Rojas resalta que el principio de consecutividad establecido como la obligaci�n a que todo proyecto, para convertirse en ley, deba ser aprobado en primer debate en la correspondiente comisi�n permanente de cada c�mara y en segundo por la plenaria tanto del Senado como de la C�mara de Representantes no puede ser violentado para introducir nuevos textos que no guardan relaci�n alguna con el proyecto discutido. De esta manera, hace alusi�n a lo se�alado por la Corte Constitucional en el entendido que "no basta con establecer que un determinado texto aprobado en plenaria es nuevo respecto de lo aprobado en la comisi�n, puesto que ello puede responder a una modificaci�n o adici�n producida en los t�rminos de las normas superiores citadas. Es necesario adem�s, para que el cargo de inconstitucionalidad pueda prosperar, que se acredite, que tal novedad no guarda relaci�n de conexidad con lo aprobado en el primer debate o que es contraria a lo all� decidido".�

��

En este sentido, afirma que en la introducci�n del art�culo 29 del proyecto referente al antecedente judicial no se cumpli� con el requisito de consecutividad, pues el tema incluido en dicho art�culo no fue debatido por ambas c�maras, por lo menos en segundo debate. En suma, se�ala que "Dentro de la ponencia de segundo debate en C�mara (Gaceta Judicial 706 de 2010), no se evidencia la discusi�n referente al antecedente judicial y la eliminaci�n de los antecedentes penales, es decir, que el tema fue incluido por el Senado sin que se surtiera el tr�mite legislativo completo lo que indica la inconstitucionalidad del art�culo en menci�n. Adem�s, seg�n el art�culo 178 de la Ley 5 de 1992, las modificaciones, adiciones o supresiones se pueden introducir en el segundo debate siempre y cuando el tema haya sido debatido en primer debate, cosa que en este caso se present� (sic)".Si se analiza la Gaceta Judicial 625 de 2010, ponencia para primer debate en C�mara, el tema no es debatido ni analizado por esta c�mara (sic)".�

��

Por lo tanto, el texto del art�culo 29 introducido por el Senado no se ajusta al principio de consecutividad ya que altera la esencia del proyecto por no guardar identidad con el tema discutido en primer debate y en comisiones, adem�s por no guardar identidad con el tema discutido, tampoco es conexo como el tema inicial del proyecto, pues la eliminaci�n de los antecedentes penales dentro del certificado judicial no guarda relaci�n con el objeto de la ley que es el de desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que sobre ellas figuren en bases de datos o archivos.�

��

2.2.1.5. Por su parte, la ciudadana Juanita Duran V�lez resalta que el Proyecto de Ley no cumple con la integralidad que exige la Constituci�n para leyes estatutarias, y de esta manera, vulnera el principio de ley estatutaria.�

��

2.2.1.6. El Procurador General de la Naci�n sostiene que el proyecto cumple con lo previsto en el art�culo 160 de la Constituci�n, pues (i) entre la aprobaci�n en primer y en segundo debate en cada una de las c�maras transcurri� un tiempo no inferior a ocho d�as, y (ii) entre la aprobaci�n surtida en una c�mara y el inicio del debate en la otra hubo un lapso no inferior a los quince d�as.�

��

En el caso particular: (i) la Comisi�n Primera de la C�mara aprob� el proyecto el 14 de septiembre de 2010 y la plenaria emiti� su aprobaci�n el 19 de octubre de 2010; la Comisi�n Primera del Senado aprob� el proyecto el 6 de diciembre de 2010 y de la misma forma procedi� la plenaria el 15 de diciembre de 2010. (ii) El proyecto fue aprobado por la C�mara de Representantes el 19 de octubre de 2010 y su debate en el Senado inici� el 6 de diciembre de 2010.�

��

De otra parte, afirma que el proyecto cumpli� con lo establecido en el art�culo 153 de la Constituci�n que exige la mayor�a absoluta de los miembros del Congreso para aprobar proyectos de leyes estatutarias como tambi�n que su tr�mite debe efectuarse dentro de una sola legislatura. En el caso espec�fico, se radic� el proyecto de ley el 3 de agosto de 2010 y su tr�mite culmin� el 16 de diciembre de 2010, lo que evidencia que su tr�mite se surti� dentro de la legislatura que inici� el 20 de julio de ese mismo a�o y que culmina el 20 de junio de 2011.�

��

2.2.2. La especialidad del tr�mite aprobatorio de las leyes estatutarias (art�culos 152 y 153 Superiores)�

��

2.2.2.1. Por cuanto se trata del estudio de un proyecto de ley estatutaria, es necesario que la Corte verifique el cumplimiento de los rigurosos requisitos establecidos en la Constituci�n para la aprobaci�n de este tipo de leyes de especial jerarqu�a. Sea lo primero se�alar que el particular tr�mite dispuesto por el art�culo 153 Superior para las leyes estatutarias tiene como fin esencial salvaguardar la entidad de las materias que regula, estas son, los derechos y deberes fundamentales, as� como los procedimientos y recursos para su protecci�n; la administraci�n de justicia; la organizaci�n y r�gimen de los partidos y movimientos pol�ticos, el estatuto de la oposici�n y las funciones electorales; las instituciones y mecanismos de participaci�n ciudadana; los estados de excepci�n, y la igualdad electoral entre candidatos a la Presidencia de la Rep�blica (art�culo 152).�

��

Como se observa, se trata de materias que comportan una importancia cardinal para el desarrollo de los art�culos 1 y 2 de la Carta, pues su regulaci�n especial garantiza la vigencia de principios b�sicos constitucionales y propende por la consecuci�n de los fines esenciales del Estado. De modo que imprimirle rigurosidad a la aprobaci�n de la regulaci�n de dichas materias y, adem�s, mayor jerarqu�a a las leyes que las consagren, son medios id�neos para lograr la efectividad de los derechos constitucionales, la salvaguarda de un orden justo, as� como la existencia de un sistema democr�tico y participativo.�

��

As� las cosas, el constituyente decidi� crear una categor�a especial de leyes que, en ese orden, requieren atributos formales m�s estrictos para ser aprobadas que los fijados para las leyes ordinarias, as� como un control constitucional previo, autom�tico e integral, todo con el objetivo de otorgarles mayor estabilidad y especial jerarqu�a en virtud de la trascendencia de las materias que regula. Bajo tal entendido, la jurisprudencia constitucional, desde sus inicios, ha establecido:�

��

"La Constituci�n Pol�tica de 1991 introdujo la modalidad de las leyes estatutarias para regularalgunas materias respecto de las cuales quiso el Constituyente dar cabida al establecimiento de conjuntos normativos arm�nicos e integrales, caracterizados por una mayor estabilidad que la de las leyes ordinarias, por un nivel superior respecto de �stas, por una m�s exigente tramitaci�n y por la certeza inicial y plena acerca de su constitucionalidad.�

��

La propia Carta ha diferenciado esta clase de leyes no solamente por los especiales asuntos de los cuales se ocupan y por su jerarqu�a, sino por el tr�mite agravado que su aprobaci�n, modificaci�n o derogaci�n demandan"[52]�

��

2.2.2.2. Cualquier proyecto para convertirse en ley (Constituci�n, art�culos 157 y 158) debe cumplir con los siguientes requisitos:�

��

(i) Ser publicado oficialmente por el Congreso antes de darle curso en la comisi�n respectiva;�

��

(ii) Surtir los correspondientes debates en las comisiones y plenarias de las C�maras, luego de que se hayan efectuado las ponencias respectivas y respetando los qu�rum previstos por los art�culos 145 y 146 de la Constituci�n;�

��

(iii) Realizar los anuncios del proyecto de ley previo a la discusi�n y votaci�n en cada una de las comisiones y plenarias (art�culo 160 Constituci�n Pol�tica). Debe anotarse que el art�culo 9 del Acto Legislativo 1 de 2003 (Constituci�n Pol�tica, art�culo. 161) dispuso que esta exigencia tambi�n se aplica a los debates sobre los informes de las comisiones de conciliaci�n, los cuales deber�n ser publicados por lo menos un d�a antes de darse su discusi�n y aprobaci�n;�

��

(iv) Respetar los t�rminos para los debates previstos por el art�culo 160, ocho d�as entre el primer y segundo debate en cada C�mara, y quince d�as entre la aprobaci�n del proyecto en una de las C�maras y la iniciaci�n del debate en la otra;�

��

(v) Respetar los principios de unidad de materia, de identidad y consecutividad (Constituci�n Pol�tica, art�culos 158, 157, 160 y 16); y�

��

(vi) Haber obtenido la sanci�n gubernamental. Como es obvio, en el caso de las leyes estatutarias, dicha sanci�n se surte despu�s de que la Corte Constitucional haya efectuado la revisi�n previa y oficiosa de constitucionalidad y declarado, en consecuencia, que las disposiciones del proyecto se ajustan a la Carta[53].�

��

Adem�s de lo anterior, por tratarse de un proyecto de ley estatutaria (Constituci�n Pol�tica art�culo 153), es necesario que el proyecto: (i) haya sido aprobado por mayor�a absoluta y (ii) haya sido tramitado en una sola legislatura.�

��

Al respecto, conviene aclarar que conforme a reiterada jurisprudencia de esta Corte, la Constituci�n ordena que dentro de la legislatura el proyecto haga tr�nsito en el Congreso, esto es, que sea modificado y aprobado por las C�maras en ese lapso, pero la revisi�n constitucional por la Corte y la sanci�n presidencial pueden ocurrir por fuera de la legislatura[54]. Y es que como se explic� en la sentencia C-011 de 1994, si el tr�mite que debe ser surtido en una sola legislatura incluyese la revisi�n por la Corte, o las objeciones y sanci�n presidenciales, ser�a pr�cticamente imposible aprobar, modificar o derogar leyes estatutarias, o �stas tendr�an que ser tramitadas en el Congreso con excesiva celeridad, sin una adecuada discusi�n democr�tica, e incluso con improvisaci�n.�

��

2.2.2.3. Ahora bien, dado que en la sentencia C-702 de 2010[55], la Corte Constitucional precis� que la consulta previa a las comunidades �tnicas que puedan resultar afectadas directamente por cualquier medida legislativa, constituye un requisito de procedimiento que debe surtirse antes del tr�mite legislativo respectivo, la Sala estudiar� en esta instancia si en esta ocasi�n deb�a surtirse ese proceso consultivo.�

��

Debe se�alarse que la consulta previa solamente es necesaria en el caso de decisiones que conciernen directamente a una o varias comunidades �tnicas. Sobre este punto la Corte afirm� lo siguiente en la sentencia C- 030 de 2008[56]:�

��

"(�) cabe distinguir dos niveles de afectaci�n de los pueblos ind�genas y tribales: el que corresponde a las pol�ticas y programas que de alguna manera les conciernan, evento en el que debe hacerse efectivo un derecho general de participaci�n, y el que corresponde a las medidas administrativas o legislativas que sean susceptibles de afectarlos directamente, caso para el cual se ha previsto un deber de consulta."�

��

En el caso bajo estudio, un examen del contenido del proyecto de ley permite concluir que las medidas que mediante �l se pretenden adoptar no conciernen directamente a ninguna comunidad �tnica asentada en el territorio nacional, de modo que la consulta previa no era un requisito previo. En efecto, el proyecto solamente establece un r�gimen general para la protecci�n de datos en Colombia y no define un tratamiento espec�fico directamente destinado a comunidades �tnicas, lo que impide establecer qu� grupos �tnicos o en qu� medida se hallar�an dentro del �mbito de influencia de los mandatos del proyecto.�

��

La definici�n de disposiciones especiales -donde podr�a entrar la regulaci�n de datos de comunidades �tnicas- quedar�a en manos del gobierno nacional en caso de declararse exequible el art�culo 27 del proyecto. De modo que es en el momento en que se cree dicha regulaci�n, cuando surgir�a el requisito de consulta previa.�

��

En conclusi�n, dado que en el presente caso el proyecto en examen no afecta de manera directa comunidades �tnicas colombianas, sino que se trata de una legislaci�n destinada a la sociedad en general, no era necesario realizar procesos de consulta antes de dar inicio al tr�mite legislativo.�

��

A continuaci�n la Corte examinar� el tr�mite de aprobaci�n del proyecto de ley bajo revisi�n en el Congreso, para as� verificar si atendi� los requisitos del tr�mite legislativo antes mencionados.�

��

2.2.3. Radicaci�n y publicaci�n del proyecto de ley�

��

El proyecto de ley estatutaria "por la cual se dictan disposiciones generales para la protecci�n de datos personales", fue presentado ante el Congreso de la Rep�blica el 3 de agosto de 2010, por el entonces Ministro del Interior y de Justicia, Fabio Valencia Cossio; el Ministro de Comercio, Industria y Turismo, Luis Guillermo Plata P�ez; y el Ministro de Tecnolog�as de la Informaci�n y las Comunicaciones, Daniel Enrique Medina Velandia. El proyecto de ley se radic� con los n�meros 046 de 2010 C�mara, 184 de 2010 Senado.�

��

El texto del proyecto, junto con la exposici�n de motivos, fue publicado en la Gaceta del Congreso No. 488 del 4 de agosto de 2010[57]. El tr�mite inici� ante la C�mara de Representantes y, en raz�n a que se trata de una norma estatutaria, fue repartido a la Comisi�n Primera Constitucional permanente de esa c�lula legislativa.�

��

2.2.4. Tr�mite en la C�mara de Representantes�

��

2.2.4.1. Publicaci�n de la ponencia para primer debate�

��

La ponencia para primer debate en la Comisi�n Primera de la C�mara de Representantes, en la que se solicit� aprobar la iniciativa con modificaciones, fue presentada por los Representantes Alfredo Deluque Zuleta, �scar Fernando Bravo Realpe, Orlando Velandia Sep�lveda, Germ�n Var�n Cotrino, Efra�n Torres Monsalve. El informe de ponencia para primer debate fue publicado en la Gaceta del Congreso 625 del 9 de septiembre de 2010[58].�

��

El pliego de modificaciones propuesto por los Representantes ponentes al texto del proyecto de ley presentado por el Gobierno[59], consisti� en lo siguiente:�

��

"PLIEGO MODIFICATORIO�

��

Modificaciones al texto publicado en la Gaceta n�mero 488 del 4 de agosto de 2010�

��

1. Se elimina el par�grafo primero del art�culo 2� y se unifica con el par�grafo 2�.�

��

Existe una contradicci�n entre los dos par�grafos de este art�culo que se puede prestar para interpretaciones equ�vocas. El �mbito de aplicaci�n excluye directamente a los datos financieros que ya se encuentran regulados por la Ley 1266 de 2008. Como consecuencia de esta situaci�n, los datos de car�cter financiero se regir�n bajo las disposiciones contempladas exclusivamente en la Ley 1266 de 2008.�

��

2. Se introduce en el art�culo 3� Definiciones el literal h) Autoridad de Control: Enti�ndase por Autoridad de Control para los efectos de esta ley a la Superintendencia de Industria y Comercio�

��

A lo largo del proyecto de ley se habla y se le asignan funciones a la Autoridad de Control de datos personales, y s�lo hasta el art�culo 19 se define esta. Para mayor comprensi�n de los Responsables, Encargados y Titulares de la informaci�n, se incorpora la definici�n en el art�culo respectivo.�

��

3. Introducir en el art�culo 7�, derechos de los ni�os, ni�as y adolescentes, que la reglamentaci�n que har� el Gobierno Nacional de esta materia no exceder� los seis meses despu�s de sancionada la ley.�

��

El citado art�culo proh�be el tratamiento, uso, divulgaci�n publicaci�n o circulaci�n de datos personales de ni�os, ni�as y adolescentes cuyo fin sea su comercializaci�n, tr�fico, venta o cesi�n a terceros. Deja en cabeza del Gobierno Nacional la reglamentaci�n de la materia. Siendo el tema de la divulgaci�n de datos de este segmento de la poblaci�n de vital importancia se considera prudente dejar el plazo antes dicho.�

��

4. Aclarar el alcance de la revocatoria del consentimiento en el literal e) del art�culo 8�.�

��

El literal e) establece que la revocatoria del consentimiento proceder� cuando en el tratamiento no se respeten los derechos, garant�as y principios legales y constitucionales. Sin embargo es importante aclarar que esta revocatoria no procede de manera inmediata y que para ser efectiva debe existir una resoluci�n por parte de la Autoridad de Control donde se establezca que efectivamente en el tratamiento se violaron las disposiciones legales y constitucionales.�

��

5. Se elimina el literal c) del art�culo 10 y se modifica el literal a) de la siguiente manera: Cuando la informaci�n sea requerida por una autoridad p�blica, siempre y cuando medie una autorizaci�n legal.�

��

El art�culo 10 trae las excepciones en las cuales no es necesaria la autorizaci�n del titular para el tratamiento de datos. El literal a) enuncia los casos de autorizaci�n legal para fines hist�ricos, estad�sticos, cient�ficos u otros, por su parte el literal c) preve�a que cuando la informaci�n fuera requerida por una autoridad p�blica en ejercicio de sus funciones que se encontraran consagradas en la ley.�

��

La taxatividad del literal a) no es necesaria ya que es claro por los principios constitucionales y por el desarrollo que hace de los mismos el proyecto de ley, que la excepci�n a la autorizaci�n previa del titular para la entrega y tratamiento de datos personales puede s�lo estar autorizada por ley. Ahora bien en cuanto al literal c), el mismo no resulta claro y puede generar confusiones, lo que se pretende indicar es lo mismo del literal a), por eso se propone que se manejen en uno s�lo, dejando claro adem�s que las autoridades p�blicas no pueden solicitar y tratar datos personales para el ejercicio de sus funciones, sino solamente cuando una ley lo permita.�

��

6. Incluir en el art�culo 11 plazo de un a�o para la reglamentaci�n para el suministro de la informaci�n.�

��

7. Modificar el literal b) del art�culo 13 en el sentido de indicar que el suministro de informaci�n de que trata el proyecto de ley s�lo puede entregarse a una autoridad p�blica siempre y cuando medie una autorizaci�n legal.�

��

Al igual que en el art�culo 10 debe hacerse claridad que la autoridad p�blica por el simple hecho de serlo no puede ni tratar ni solicitar ni ser destinataria de datos personales, s�lo en el evento en el que haya una disposici�n legal que as� lo disponga.�

��

8. Incluir un par�grafo en el art�culo 23 sanciones, indicando que las mismas s�lo aplican para personas privadas que incumplan las disposiciones contenidas en la presente ley, y que para las autoridades p�blicas la Superintendencia de Industria y Comercio una vez realizada la investigaci�n respectiva y de encontrar violaci�n a la ley remitir� el expediente a la Procuradur�a General de la Naci�n para lo de su competencia.�

��

El art�culo 23 contiene las sanciones que puede imponer la Autoridad de Control a los responsables del tratamiento y manejo de los datos personales, las cuales van desde multas hasta cierre definitivo de la operaci�n, es claro que estas, por su naturaleza, por el procedimiento para imponerlas y por el ente que las impone, que para el presente caso la Superintendencia de Industria y Comercio no pueden aplicar a autoridades p�blicas, ya que no hay competencia para ello. De tal manera, se espec�fica esta situaci�n y se aclara que una vez adelantada la investigaci�n por parte de la Autoridad de Control en caso de identificar alguna falta de una autoridad p�blica se debe remitir el expediente a la Procuradur�a General de la Naci�n para lo de su competencia."�

��

2.2.4.2. Anuncio y aprobaci�n en primer debate�

��

Seg�n comunicaci�n suscrita por el Secretario de la Comisi�n Primera de la C�mara de Representantes[60], el proyecto de ley fue anunciado para su discusi�n y aprobaci�n en primer debate en la sesi�n del 8 de septiembre de 2010, seg�n consta en el Acta No. 11 de esa fecha, publicada en la Gaceta del Congreso No. 957 del 24 de noviembre de 2010. El anuncio se realiz� en los siguientes t�rminos[61]:�

��

"Por instrucciones del se�or Presidente se anuncian para discusi�n y votaci�n en lapr�xima sesi�nlos siguientes proyectos que estar�n integrando el Orden del D�a:�

��

(�)�

��

Proyecto de ley Estatutaria n�mero 46 de 2010 C�mara, por la cual se dictan disposiciones generales para la protecci�n de datos personales.�

��

Se�or Presidente por instrucciones suyas se han anunciado en cumplimiento de la Constituci�n, los proyectos que en lapr�xima sesi�nse discutir�n y votar�n.�

��

Agradecemos a los televidentes el seguimiento a esta sesi�n, agradecemos a los Parlamentarios. Se levanta la sesi�n,se convoca para el pr�ximo martesa las nueve de la ma�ana, de igual manera el mi�rcoles a la misma hora. Por favor".�

��

En efecto, el proyecto de ley, con las modificaciones propuestas en el informe de ponencia, fue aprobado en primer debate en la sesi�n del 14 de septiembre de 2010, seg�n consta en el Acta No. 12 de esa misma fecha, publicada en la Gaceta del Congreso No. 958 del 24 de noviembre de 2010.�

��

En relaci�n con el qu�rum y las mayor�as obtenidas, el Secretario informa en la certificaci�n arriba mencionada (folios 542 a 546 del cuaderno de pruebas No. 2), que el informe de ponencia, el articulado propuesto y el t�tulo del proyecto fueron aprobados con la mayor�a absoluta requerida por el art�culo 153 Superior. Narra que se dio con votaci�n nominal, con el voto afirmativo de 31 Representantes de los 35 que conforman la Comisi�n. Lo anterior pudo verificarse al leer el Acta No. 12 del 14 de septiembre de 2010, en la que se plasma el desarrollo de la discusi�n y la votaci�n del proyecto de ley bajo estudio, coincidiendo con lo afirmado por el Secretario General de la Comisi�n[62]y en la que adem�s puede observarse que el informe con que termina la ponencia fue aprobado con 29 votos positivos, el articulado tambi�n con 29 votos a favor y el t�tulo con 30 votos afirmativos.�

��

El texto definitivo del proyecto de ley aprobado por la Comisi�n Primera de la C�mara de Representantes fue publicado en la Gaceta del Congreso No. 706 del 28 de septiembre de 2010, en el que esta Sala encuentra que los miembros de dicha Comisi�n acogieron completamente la propuesta del informe de ponencia, sin agregar nuevas disposiciones y sin modificar las existentes.�

��

2.2.4.3. Publicaci�n de la ponencia para segundo debate en la C�mara de Representantes�

��

La ponencia positiva para segundo debate con pliego de modificaciones, fue presentada por los Representantes Alfredo Deluque Zuleta, �scar Fernando Bravo Realpe, Orlando Velandia Sep�lveda, Germ�n Var�n Cotrino, Efra�n Torres Monsalve, Miguel G�mez Mart�nez y Humphrey Roa Sarmiento. El documento fue publicado en la Gaceta del Congreso 706 del 28 de septiembre de 2010[63].�

��

Las modificaciones propuestas son las que a continuaci�n se citan[64]:�

��

"PLIEGO MODIFICATORIO�

��

MODIFICACIONES AL TEXTO PUBLICADO EN LA GACETA N�MERO 625 de 2010�

��

1. Se suprime el t�rmino soporte por el de base de datos (art�culo 2�)Para brindar una mayor uniformidad en el texto se suprime el t�rmino soporte, el cual hace referencia directa al t�rmino base de datos, el cual se encuentra definido en el art�culo 3� del proyecto.�

��

2. Se aclara que los datos personales hacen referencia a las personas naturales (art�culo 3�)�

��

Es importante aclarar que el derecho contenido en el art�culo 15 de la Constituci�n Pol�tica hace referencia a los datos de personas naturales ya que son estas las que son objeto directo de las posibles vulneraciones en el Tratamiento.�

��

La Corte Constitucional ha se�alado que las personas jur�dicas tienen derecho a la protecci�n de su informaci�n, ello lo ha precisado refiri�ndose a la informaci�n sobre la morosidad o cumplimiento de obligaciones dinerarias, tema que ya qued� regulado en la Ley 1266 de 2008.�

��

La legislaci�n colombiana cuenta con diferentes normas que ya protegen la informaci�n de las empresas, como entre otras, las siguientes: Los secretos empresariales (Decisi�n Andina 486 de 2000); La informaci�n privilegiada (C�digo Penal y Ley 45 de 1990); los libros y papeles del comerciante (C�digo de Comercio). As� las cosas, conferir m�s protecci�n equivaldr�a a dar m�s importancia a la informaci�n de las personas jur�dicas (sobreprotecci�n) que a la de las personas naturales.�

��

3. Se elimina la definici�n de Autoridad de Control (art�culo 3�)�

��

Para aclarar los posibles inconvenientes que se puedan derivar de la concurrencia de Autoridades como consecuencia de la Ley 1266 de 2008 se suprime el concepto de Autoridad de Control y se define en el articulado que para prop�sitos de esta ley se debe entender como Autoridad de Protecci�n de Datos a la Superintendencia de Industria y Comercio.�

��

4. Se aclara que solo la informaci�n que tenga naturaleza p�blica podr� ser objeto de Tratamiento en el caso de las ni�as, ni�os y adolescentes (art�culo 7�)�

��

Aunque el principio general de este art�culo establece que queda proscrito el Tratamiento de datos personales de ni�os, ni�as y adolescentes cuyo fin sea su comercializaci�n, tr�fico, venta o cesi�n a terceros, es importante aclarar que la informaci�n p�blica no es objeto de esta prohibici�n dada su naturaleza.�

��

5. Se elimina el verbo suprimir del literal a) y se modifica el literal e) del art�culo 8��

��

Es importante aclarar que el Titular no tiene la facultad de suprimir sus datos ya que el art�culo 15 de la Constituci�n establece que estos podr�n conocer, rectificar o actualizar la informaci�n. Asimismo Revocar la autorizaci�n y/o solicitar la supresi�n del dato cuando en el Tratamiento no se respeten los principios, derechos y garant�as constitucionales y legales. La revocatoria y/o supresi�n s�lo proceder� cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constituci�n.�

��

6. Se modifica el t�tulo del art�culo 13 ya que es el mismo del art�culo 11�

��

Tanto el art�culo 11 como el 13 ten�an el mismo nombre, por consiguiente se establece que para el caso del art�culo 13 el t�tulo ser� "Personas a quienes se les puede suministrar la informaci�n".�

��

7. Se modifica el nombre de Autoridad de Control por el de Autoridad de Protecci�n de Datos (art�culo 19).�

��

La Superintendencia de Industria y Comercio no tiene la facultad de control a la que hace referencia y por consiguiente se podr�a interpretar que se le est� asignando esta nueva facultad. Por consiguiente se aclara que la Superintendencia de Industria y Comercio ser� la Autoridad en Protecci�n de Datos y no la de Control.�

��

2.2.4.4. Anuncio y aprobaci�n del proyecto en segundo debate�

��

En principio, el proyecto de ley fue anunciado el 12 de octubre de 2010 para el d�a siguiente, tal como consta en el Acta No. 22 de la misma fecha, publicada en la Gaceta del Congreso 925 del 18 de noviembre de 2010[65]. El anuncio se realiz� as�:�

��

"Direcci�n de la Presidencia doctor Roosvelt Rodr�guez Rengifo:�

��

Se�or Secretario, leamos los proyectos de leypara ma�ana.�

��

Secretario General doctor Jes�s Alfonso Rodr�guez C.:Anunciar Proyectos,para ma�ana mi�rcoles 13 de octubreo para la pr�xima Sesi�n en la que se debatan proyectos de ley o de acto legislativo.�

��

Subsecretaria General doctora Flor Marina Daza Ram�rez:Proyectos para segundo debate.�

��

(�)�

��

Proyecto de ley Estatutaria n�mero 046 de 2010 C�mara�

��

Se�or Presidente, han sido anunciados los proyectos de leypara el d�a trece de octubre de 2010, de acuerdo al Acto Legislativo 1 de julio 3 de 2003, en su art�culo 8�."�

��

Sin embargo, en la sesi�n del d�a 13 de octubre de 2010 se inici� la discusi�n del proyecto pero la Plenaria decidi� realizar su votaci�n en la siguiente sesi�n, tal como consta en el Acta No. 23 de la misma fecha, publicada en la Gaceta del Congreso 849 del 2 de noviembre de 2010, en la que se lee:�

��

"Direcci�n de la Presidencia, doctor Carlos Alberto Zuluaga D�az:�

��

Le he pedido al se�or coordinador de ponentes que vamos a empezar hoy a hacer el gran debate para que todas las bancadas y todos los partidos y todos los Representantes opinen frente al proyecto, como se necesitan 85 votos a favor, el proyecto voy a solicitar es debatir hoy el proyecto y vamos a votar el proyecto, doctor Deluque el martes,pero por favor hoy debatimos con todas las garant�as, con toda la tranquilidad y el martes entramos a votar el proyecto de ley." [66]�

��

Ahora bien, en el acta mencionada puede observarse que el proyecto fue debidamente anunciado de nuevo, de la siguiente manera[67]:�

��

"Se anuncian los Proyectos para la Sesi�n Plenaria del d�a19 de octubreo para la siguiente Sesi�n Plenaria en la cual se debatan Proyectos de Ley o Actos Legislativos:�

��

(...)�

��

Proyecto de ley n�mero 046 de 2010 C�mara�

��

(�)�

��

Se�or Presidente han sido anunciados los proyectos de ley para la Sesi�n Plenaria para el d�a19 de octubrepara la siguiente Sesi�n Plenaria en la cual se debatan Proyectos Actos de Ley o Actos Legislativos de acuerdo al Acto Legislativo 01 de julio 3 de 2003 en su art�culo 8�."[68]�

��

En efecto, el proyecto de ley fue aprobado en la plenaria de la C�mara de Representantes, en la sesi�n del 19 de octubre de 2010, seg�n consta en el Acta No. 24 de la misma fecha, publicada en la Gaceta del Congreso 868 del 4 de noviembre de 2010[69].�

��

Acerca del qu�rum y las mayor�as obtenidas, seg�n certificaci�n suscrita por el Secretario General de la C�mara de Representantes[70], se cumpli� con el requisito de ser aprobado por la mitad m�s uno de los integrantes de dicha c�lula legislativa, esto es, con mayor�a absoluta. Afirm� el Secretario que "en la Sesi�n Plenaria de la H. C�mara de Representantes del d�a 19 de octubre de 2010, a la cual se hicieron presentes ciento cincuenta y cinco (155) Honorables Representantes, fue considerado y aprobado pormayor�a absolutade los presentes envotaci�n nominal Informe de Ponencia para segundo debate, el t�tulo y el articulado del Proyecto de Ley". Las votaciones se desarrollaron de la siguiente manera:�

��

"Proposici�n con que termina el informe de Ponencia para Segundo Debate: por el S�: 89 por el No: 0. Tal y como consta en la p�gina 25 de la Gaceta del Congreso No. 868 de 2010 (Aprobado).�

��

Los art�culos 1, 3, 6, 7, 9, 12, 13, 14, 15, 16, 17, 18, 20, 22, 24 y el 29 no tienen proposiciones. Por el s�: 97 por el No: 0 (Ver p�gina 26 y 27 de la Gaceta No. 868 de 2010).�

��

Votaci�n en Bloque de los siguientes art�culos con y sin proposici�n y unos art�culos nuevos: proposici�n para el art�culo 2, proposici�n para el art�culo 10, proposici�n para el art�culo 19, proposici�n para el art�culo 21, proposici�n para el art�culo 23, proposici�n para el art�culo 25, proposici�n para el art�culo 26, proposici�n para el art�culo 27, proposici�n para el art�culo 28. Los art�culos 4, 5, 8 que no tienen proposici�n y el 23. Por el S�: 106 por el No: 0 (Ver p�ginas 28 a 32)"�

��

El texto definitivo aprobado en la C�mara de Representantes, fue publicado en la Gaceta del Congreso No. 833 del 29 de octubre de 2010[71], donde es posible verificar que la Plenaria adopt� los cambios propuestos en el informe de ponencia -arriba reproducidos- y, adem�s, se aprobaron las proposiciones de diferentes Representantes para eliminar o adicionar el contenido de algunos art�culos, a saber:�

��

i) Se incluy� la frase "as� como el derecho a la informaci�n consagrado en el art�culo 20 de la misma" al final del art�culo 1�[72].�

��

ii) Se agregaron cinco literales al art�culo 2�[73]:�

��

"El r�gimen de protecci�n de datos personales que se establece en la presente ley no ser� de aplicaci�n:�

��

(�)�

��

c) A las bases de datos y archivos de informaci�n period�stica y otros contenidos editoriales;�

��

d) A las bases de datos y archivos regulados por la Ley 1266 de 2008;�

��

e) A las bases de datos y archivos regulados por la Ley 79 de 1993;�

��

f) A las bases de datos y archivos regulados por la Ley 594 de 2000;�

��

g) Las bases de datos y archivos relacionados con el Registro Civil de las Personas."�

��

iii) Se modific� el literal a) del art�culo 10 y se agrega un literal d) a esa disposici�n[74]:�

��

"La autorizaci�n del titular no ser� necesaria en los siguientes casos:�

��

a) Cuando la informaci�n sea requerida por una entidad p�blica o administrativa en ejercicio de sus funciones legales o por orden judicial.�

��

(�)�

��

d) Cuando sea autorizado por la ley para fines hist�ricos, estad�sticos, cient�ficos u otros."�

��

iv) Se modific� el primer inciso del art�culo 19 y se agreg� un par�grafo[75]:�

��

"Art�culo 19.Autoridad de protecci�n de datos. La Superintendencia de Industria y Comercio ejercer� la vigilancia para garantizar que en el tratamiento de datos personales se respeten los principios, derechos, garant�as y procedimientos previstos en la ley.�

��

Par�grafo.La vigilancia, el tratamiento de los datos, personas reguladas en la Ley 1266 del 2008, se ajustar� en lo previsto en dicha norma".�

��

v) Se elimin� el literal f) del art�culo 21[76].�

��

vi) Se agrega un p�rrafo al art�culo 25, se�alando[77]:�

��

"Para realizar el registro de base de datos, los interesados deber�n aportar a la Superintendencia de Industria y Comercio, las pol�ticas de tratamiento de la informaci�n, las cuales obligar�n a los responsables y encargados del mismo y cuyo incumplimiento acarrear� las sanciones correspondientes.�

��

Las pol�ticas de tratamiento en ning�n caso podr�n ser inferiores a los deberes contenidos en la presente ley."�

��

vii) Se crea el par�grafo segundo al art�culo 26[78].�

��

viii) Se elimina el inicial art�culo 27[79].�

��

ix) Agrega la frase "con excepci�n de aquellas contempladas en el art�culo 2� de la presente ley" al final del art�culo 28 sobre derogatorias[80].�

��

x) Se crea un nuevo art�culo, que establece[81]:�

��

"Normas corporativas vinculantes. El Gobierno Nacional expedir� la reglamentaci�n correspondiente sobre las normas corporativas vinculantes para la certificaci�n de buenas pr�cticas en protecci�n de datos personales y su transferencia a terceros pa�ses."�

��

xi) Se crea otro nuevo art�culo, que dispone[82]:�

��

"R�gimen de transici�n. Las personas que a la fecha entrada en vigencia la presente ley ejerzan alguna de las actividades aqu� reguladas, tendr�n un plazo de 6 meses para adecuarse a las disposiciones contempladas en esta ley."�

��

2.2.5. Tr�mite en el Senado de la Rep�blica�

��

2.2.5.1. Audiencia p�blica�

��

Mediante Resoluci�n No. 04 de noviembre 18 de 2010, se convoc� a audiencia p�blica para la discusi�n del proyecto de ley en estudio. �sta se llev� a cabo el d�a 25 de noviembre de ese mismo a�o, tal como consta en la Gaceta del Congreso No. 60 del 28 de febrero de 2011[83]. Participaron en ella los ciudadanos Ra�l Antonio Vargas Camargo y Andr�s Eduardo Cubillos Benavides, estudiantes de Derecho de la Universidad Libre.�

��

El primero de ellos propuso al Senado de la Rep�blica incluir un art�culo relacionado con el certificado de antecedentes judiciales expedido por el Departamento Administrativo de Seguridad -DAS-, en cuanto ello implica el manejo de datos sensibles, sobretodo cuanto expide certificados indicando que una persona "registra antecedentes pero no es requerido por autoridad judicial".�

��

El segundo interviniente plante� algunas inquietudes sobre el �mbito de aplicaci�n y la finalidad de la ley.�

��

2.2.5.2. Publicaci�n de la ponencia para primer debate�

��

Para primer debate ante la Comisi�n Primera del Senado, rindieron ponencia favorable los Senadores Luis Fernando Velasco Ch�ves, Carlos E. Soto, Luis Carlos Avellaneda Hemel Hurtado Angulo, Jorge Eduardo Londo�o y Juan Manuel Corzo. La ponencia fue publicada en la Gaceta del Congreso 1023 del 2 de diciembre de 2010[84].�

��

Los Senadores Ponentes sugirieron las siguientes modificaciones al texto del proyecto de ley aprobado por la C�mara de Representantes (subrayas, vi�etas y numeraci�n, fuera de texto original):�

��

"Justificaci�n de los cambios al texto aprobado por la C�mara de Representantes�

��

El cumplimiento de los principios antes mencionados, m�s los ya expuestos en la Ley 1266 de 2008 y la regulaci�n internacional de protecci�n de datos, permite tener un filtro para analizar algunos art�culos del proyecto que a nuestra consideraci�n deben ser estudiados y modificados en busca de un real reconocimiento de la protecci�n de datos en Colombia.�

��

En el art�culo 2�. �mbito de Aplicaci�n se debe tener en cuenta justificaciones en la excepci�n de algunas bases de datos�

��

1. Se propone excluir del literal a) "y aquellos que circulan internamente, esto es, que no se suministran a otras personas jur�dicas o naturales".�

��

Lo anterior porque no guarda congruencia el pretender generar una ley estatutaria que podr�a violar el principio de igualdad al excepcionar de su aplicaci�n a una buena parte de operadores de datos, pues si se permite que mientras el dato circule internamente este no sea objeto de la ley se estar�a sesgando no solo el derecho de H�beas Data sino los conexos como acceso a la informaci�n, debido proceso y dem�s derechos conexos al manejo de la informaci�n. Ya que es bien sabido que para que una decisi�n judicial o la aplicaci�n de una ley eximan a unos o a otros esta excepci�n debe responder a los conceptos constitucionales argumentativos de igualdad y razonabilidad sentido en el cual la Corte dice.�

��

1.En el literal b) se proponedefinir la necesidadde que exista una finalidad para exceptuar del �mbito de aplicaci�n a las bases de datos y archivos que tengan por objeto la seguridad y defensa nacional, lavado de activos y terrorismo.�

��

2.Asimismo sepropone eliminar de esta excepci�n a las bases de datos y archivos sobre investigaciones judiciales y penalesya que estas no necesariamente tienen una finalidad directa con la seguridad y defensa nacional.�

��

El tema de la aplican de las leyes correspondientes a protecci�n de datos personales incluidos en bases de datos que tengan relaci�n con inteligencia o seguridad debe estar siempre sujeto a las directivas constitucionales y si el legislativo pretende regular el tema mediante ley esta no puede estar en contra de los principios constitucionales de acceso a la informaci�n y h�beas Data " En efecto, al menos en la actualidad, s�lo este tipo de datos tiene reserva legal frente a su titular. En consecuencia, dado que la reserva de datos de inteligencia frente al titular del dato, s�lo podr�a existir si as� lo establece una ley espec�fica, clara y compatible con la Constituci�n y que las disposiciones existentes amparan �nicamente la reserva de datos que hacen parte de investigaciones judiciales, s�lo esta informaci�n puede permanecer oculta a su titular"[85].�

��

4.Adem�s del anterior cambio seadicionan dos par�grafos al literal b)�

��

Par�grafo.El literal anterior se aplicar� solo cuando los datos contenidos en estas bases de datos cumplan con las caracter�sticas de reserva de datos que hacen parte de investigaciones judiciales.�

��

Par�grafo 2�.Los datos all� contenidos solo se har�n p�blicos cuando se justifique por su naturaleza.�

��

Lo anterior en consecuencia de que la informaci�n y datos personales contenidos en bases de datos del estado deben cumplir con los principios de la administraci�n de datos y por ello deben ser de libre acceso por parte del Titular, mientras medie como justificaci�n alg�n tipo de reserva legal.�

��

El segundo par�grafo promueve el respeto de los datos por la naturaleza que los contiene; es decir que los datos privados deber�n ser respetados y no hacerse p�blicos a menos que el Titular lo autorice o que el dato presente alg�n tipo de peligro real y justificado a la seguridad y defensa nacional, lavado de activos, terrorismo como lo contiene el literal b).�

��

Art�culo 4�.Principios para el tratamiento de datos personales.�

��

1.Se adiciona al literal b), al principio de finalidad, el deproporcionalidadagregando en su parte final el texto "No podr�n realizarse tratamientos de datos personales incompatibles con la finalidad autorizada por el titular o la ley, a menos que se cuente con el consentimiento inequ�voco del titular".�

��

2.Se adiciona al literal f) al principio de finalidad del primer p�rrafo el texto"De igual forma, los datos personales �nicamente pueden utilizarse para los fines autorizados por el titular o la ley."�

��

Estos principios que se adicionan hacen parte de los est�ndares internacionales, aprobados, entre otros en la Resoluci�n de Madrid de 2009 (anexo) y han sido establecidos en la Jurisprudencia de la Corte Constitucional como fundamentales para dar un tratamiento debido a los datos personales. Espec�ficamente estos se sintetizaron y aglutinaron en la Sentencia C-1011 de 2008.�

��

Art�culo 6�.Tratamiento de datos sensibles.�

��

1.Se modifica gramaticalmente la frase "a excepci�n de los siguientes eventos" por"excepto cuando".�

��

2.Se modifica en el literal b) el t�rmino de "padres" por el de"representantes legales".�

��

3.Se incorpora en el literal c) la palabra"una"antes de la palabra "fundaci�n" y adicionalmente se incorpora el termino "ONG"luego de la palabra "fundaci�n".�

��

Art�culo 7�.Derechos de los ni�os, ni�as y adolescentes.�

��

1.Se modifica el t�rmino "padres" por el de"representantes legales o tutores".�

��

2.Se suprime los t�rminos"comercializaci�n, tr�fico, venta o cesi�n a terceros" con el objetivo de impedir que se realicen interpretaciones literales que afecten los derechos fundamentales de los ni�os, ni�as y adolescentes.�

��

Art�culo 9�.Autorizaci�n del titular.�

��

Se elimina la frase "se requiere la autorizaci�n previa, escrita o verbal" por"la cual deber� ser obtenida por cualquier medio que pueda ser objeto de consulta posterior"con el objetivo de establecer mecanismos din�micos de autorizaci�n siempre y cuando exista un medio o soporte para comprobar la autorizaci�n del Titular.�

��

Art�culo 10.Casos en que no es necesaria la autorizaci�n.�

��

1.Se modifica la frase "cuando se trate de datos recogidos de fuentes de acceso irrestricto al p�blico" por"datos de naturaleza p�blica"para evitar confusiones sobre el alcance de "irrestrictos al p�blico".�

��

2.Se elimina del literal d) la palabra"u otros"para evitar que por medio de interpretaci�n se except�e la autorizaci�n del Titular.�

��

3.Se traslada la excepci�n contemplada sobre registro civil del art�culo 2� a este art�culo como nuevo literal e)ya que si bien es cierto que los datos relativos al registro civil de las personas son p�blicos, no por esto significa que no queden sujetos a las disposiciones contenidas en esta ley.�

��

4.En el p�rrafo final de este art�culo se aclara que las disposiciones contenidas en esta ley son de aplicaci�n para todos los tipos de datos que esta regula, aun cuando no sea necesaria laautorizaci�n previa del Titular, quedando:"Quien acceda a los datos personales sin que medie autorizaci�n previa deber� en todo caso cumplir con las disposiciones contenidas en la presente ley."�

��

Art�culo 12.Deber de informar.�

��

Se incorpora la posibilidad deinformar al Titular de la direcci�n electr�nica del Responsableen el momento de solicitar su informaci�n personal, en el literal d).�

��

Art�culo 13.Personas a quienes se les puede suministrar la informaci�n.�

��

Se modifica la redacci�n del literal b) para establecer un criterio de unidad de t�rminos en relaci�n con el art�culo 10 del proyecto, as�:"A las entidades p�blicas o administrativas en ejercicio de sus funciones legales o por orden judicial."�

��

Art�culo 15.Reclamos.�

��

Se elimina el requerimiento del reclamo por medio escrito y se establece la posibilidad de que el Responsable o Encargado establezca cu�l es la forma m�s id�nea de recibir los reclamos por parte de los Titulares.En este sentido es importante aclarar que este procedimiento no puede ser restrictivo para el acceso de los Titulares a interponer los correspondientes reclamos.�

��

Art�culo 17.Deberes de los responsables del tratamiento.�

��

Se adiciona en un literal n) eldeber de los Responsables de informar a la Superintendencia de Industria y Comercio cuando existan riesgos o violaciones de la seguridad de la bases de datos por parte de terceros.�

��

Esta medida le permite evaluar de manera objetiva a la Superintendencia de industria y Comercio los riesgos eminentes de violaciones a la seguridad y establecer procedimientos y mecanismos para informar a los Titulares de esta situaci�n.�

��

Art�culo 18.Deberes de los encargados del tratamiento.�

��

1.Se elimina laprimera parte del el literal j)ya que este deber es una funci�n de la Superintendencia de Industria y Comercio y no del Encargado del Tratamiento. Por consiguiente se traslada al art�culo 21 del proyecto.�

��

2.Se adiciona el literal k) con eldeber de los Encargados de informar a la Superintendencia de Industria y Comercio cuando existan riesgos o violaciones de la seguridad de la bases de datos por parte de terceros.Esta medida le permite evaluar de manera objetiva a la Superintendencia de industria y Comercio los riesgos eminentes de violaciones a la seguridad y establecer procedimientos y mecanismos para informar a los Titulares de esta situaci�n.�

��

Art�culo 19.Autoridad de protecci�n de datos.�

��

1.Se establece lacreaci�n de una Delegatura de Protecci�n de Datos dentro de la Superintendencia de Industria y Comercio. Asimismo se incorpora un nuevo par�grafo en el cual se establece que el Gobierno Nacional deber� reglamentar esta materia en un plazo no superior a seis meses.Esta medida permite tener una Delegatura espec�fica y especializada sobre el tema de protecci�n de datos personales.�

��

2.Asimismo se corrige en el par�grafo segundo la palabra "vigencia" por"vigilancia".�

��

Art�culo 21.Funciones.�

��

Se incorporala funci�n de requerir la colaboraci�n de entidades internacionales o extranjeras cuando se afecten los derechos de los Titulares fuera del territorio colombiano (literal j)con ocasi�n, entre otras, de la recolecci�n internacional de datos personales que se hab�a incluido como responsabilidad de los Encargados pero que realmente es una funci�n exclusiva de la Superintendencia de Industria y Comercio.�

��

Art�culo 26.Transferencia de datos a terceros pa�ses.�

��

Se elimina del par�grafo segundo la posibilidad que dos entidades (Superintendencia Financiera y Superintendencia de Industria y Comercio) tengan la competencia de determinar el nivel adecuado de protecci�n de datos de un tercer pa�s.Esta facultad queda exclusivamente en manos de la Superintendencia de Industria y Comercio.�

��

Art�culo 27.Disposiciones especiales.�

��

Se crea unnuevo art�culo donde se le otorga la facultad al Gobierno de reglamentar por v�a de decreto lo concerniente al Tratamiento de datos personales especiales que requieran de disposiciones espec�ficas dada la naturaleza del dato.�

��

Esta facultad le permite al Gobierno regular de manera m�s expedita datos especiales que requieran de modificaciones constantes dada la din�mica en su tratamiento.�

��

Art�culo 29(art�culo nuevo)�

��

Se adiciona un nuevo art�culo luego del art�culo 28 dentro del T�tulo "OTRAS DISPOSICIONES" el cual contempla como disposici�n especial el manejo que debe darse espec�ficamente con el hecho de no publicar en el registro de antecedentes la informaci�n referente a penas cumplidas y penas prescritas como antecedente judicial.�

��

En ese orden de ideas, la iniciativa no pretende que se ordene al DAS que de sus bases de datos desaparezcan los registros de las condenas ya cumplidas, s�lo que frente al manejo de tal informaci�n se haga un llamado a la cautela y que s�lo para prop�sitos que realmente lo demanden sea revelada, pues no se puede perder de vista que uno de los fines de la pena es la reinserci�n social de quien fue sujeto activo de una conducta punible.�

��

2.2.5.3. Anuncio y aprobaci�n en primer debate del Senado de la Rep�blica�

��

En sesi�n del 2 de diciembre de 2010, se anunci� la discusi�n y aprobaci�n del proyecto de ley, sesi�n contenida en el Acta No. 32 de esa fecha, publicada en la Gaceta del Congreso No. 38 del 11 de febrero de 2011. El anunci� se llev� a cabo en los siguientes t�rminos[86]:�

��

"Por Secretar�a, se da lectura a los proyectos que por disposici�n de la Presidencia se someter�n a discusi�n y votaci�n en lapr�xima sesi�n:�

��

2. Proyecto de ley n�mero 184 de 2010 Senado, 46 de 2010 C�mara, por la cual se dictan disposiciones generales para la protecci�n de datos personales".�

��

Al finalizar se lee:�

��

"Siendo la 3:30 p. m., la Presidencia levanta la sesi�n y convoca para el lunes 6 de diciembre de 2010, a partir de las 10:00 a. m., en el sal�n Guillermo Valencia del Capitolio Nacional."�

��

Efectivamente, seg�n certificaci�n expedida por el Secretario de la Comisi�n Primera del Senado el 14 de marzo de 2011[87], el proyecto de ley fue discutido y aprobado por la Comisi�n Primera del Senado, con las modificaciones propuestas en el informe de ponencia, el 6 de diciembre de 2010, seg�n consta en el Acta No. 33 de la misma fecha, publicada en la Gaceta del Congreso 39 del 11 de febrero de 2011.�

��

En certificaci�n adicional, suscrita en la misma fecha, el Secretario de la Comisi�n Primera constata que la discusi�n y votaci�n se realiz� "con la mayor�a requerida por la Constituci�n y la Ley para el tr�mite de leyes estatutarias", esto es, con mayor�a absoluta y votaci�n nominal, de la siguiente manera[88]:�

��

� "En la sesi�n del d�a 06 de diciembre de 2010, Acta N�mero 33, se discuti� y vot� esta iniciativa,asistieron 17 Honorables Senadores. Al iniciar la sesi�n se registr� qu�rum deliberatorio.�

��

� En relaci�n con laproposici�n con la que termina el informe de ponencia:�

��

Para esta iniciativa se radic� un informe de ponencia, el cual solicitaba dar primer debate a esta iniciativa.�

��

Sometida avotaci�n nominal, en la sesi�n del d�a 06 de diciembre de 2010 - Acta N� 33, la proposici�n con que termina el informe de ponencia, junto con la pregunta si consideran que este proyecto de ley se le debe dar el tr�mite de Ley Estatutaria, fue aprobado mediante votaci�n nominal por el siguiente resultado: VOTOS POR EL SI: 13, VOTOS POR EL NO:00.�

��

� Votaci�n del Articulado Aprobado por la Comisi�n Primera�

��

TITULO DEL PROYECTO:�

��

Votado en el siguiente texto: "POR LA CUAL SE DICTAN DISPOSICIONES GENERALES PARA LA PROTECCI�N DE DATOS PERSONALES"�

��

Aprobado mediante votaci�n Nominal que obtuvo el siguiente resultado:�

��

VOTOS EMITIDOS: 15�

��

VOTOS POR EL SI: 15�

��

VOTOS POR EL NO: 0�

��

ARTICULADO DE LA INICIATIVA:�

��

Sometido a votaci�n en bloque en el texto del pliego de modificaciones.�

��

Aprobado mediante votaci�n Nominal que obtuvo el siguiente resultado:�

��

VOTOS EMITIDOS: 13�

��

VOTOS POR EL SI: 13�

��

VOTOS POR EL NO: 0"�

��

El texto definitivo aprobado en la Comisi�n Primera del Senado de la Rep�blica, contenido en la Gaceta del Congreso No. 39 del 11 de febrero de 2011 (folio 64 del cuaderno No. 4 - p�gina 5 y siguientes de la Gaceta), da cuenta de que esta c�lula legislativa adopt� las modificaciones propuestas en el informe de ponencia, salvo las siguientes[89]:�

��

En el art�culo 2, no se defini� la necesidad de que exista una finalidad para exceptuar del �mbito de aplicaci�n a las bases de datos y archivos que tengan por objeto la seguridad y defensa nacional, lavado de activos y terrorismo.�

��

En el art�culo 2, no se incluy� el par�grafo segundo.�

��

Adem�s, puede observarse que durante la discusi�n no se propusieron ni aprobaron otras modificaciones.�

��

2.2.5.4. Ponencia para segundo debate en el Senado de la Rep�blica�

��

Para segundo debate la ponencia fue presentada por los senadores Luis Fernando Velasco Ch�ves, Carlos E. Soto, Luis Carlos Avellaneda Hemel Hurtado Angulo, Jorge Eduardo Londo�o y Juan Manuel Corzo, y fue publicada en la Gaceta del Congreso No. 1080 de 13 de diciembre de 2010[90].�

��

El informe de ponencia propone nuevos cambios al proyecto de ley proveniente de la Comisi�n Primera del Senado. As�, se expone:�

��

"Justificaci�n de los cambios al texto aprobado por la Comisi�n Primera de Senado en primer debate�

��

El cumplimiento de los principios de acceso a la informaci�n y circulaci�n reservada que regula la protecci�n de datos se considera pertinente hacer las siguientes modificaciones al texto en busca de un real reconocimiento de la protecci�n de datos en Colombia.�

��

Art�culo 2�.�mbito de aplicaci�n.�

��

1.Se elimina el par�grafo del literal b):�

��

Par�grafo.el literal anterior se aplicara solo cuando los datos contenidos en estas bases de datos cumplan con las caracter�sticas de reserva de datos que hacen parte de investigaciones judiciales.�

��

Lo anterior ya que de dejarse su interpretaci�n puede causar conflicto por dejar la puerta abierta a que cualquier persona pudiera acceder a informaci�n clasificada por temas de seguridad nacional que no se encuentren sujetas a investigaci�n judicial.�

��

2.Se adiciona un literal d) y par�grafo nuevo al final del art�culo 2:�

��

2.1."d) bases de datos que tengan como fin informaci�n de inteligencia y contrainteligencia."�

��

El nuevo literal d) se incluye dado a que si bien se sostiene en el literal c) del mismo art�culo una descripci�n de bases de datos relacionadas con el tema de seguridad del Estado, es bien sabido que el tema de inteligencia y contrainteligencia debe tratarse con sumo cuidado ya que aunque guarda estrecha relaci�n con la seguridad del Estado, su manejo y fines son aut�nomos, motivo por el cual y respetando la jurisprudencia vigente se prefiere identificar de manera clara la exclusi�n condicionada de este tipo de bases de datos.�

��

2.2.Par�grafo.Los principios sobre protecci�n de datos ser�n aplicables a todas las bases de datos, incluidas las exceptuadas en el presente art�culo, con los l�mites dispuestos en la presente ley y sin re�ir con los datos que tienen caracter�sticas de estar amparados por la reserva legal. En el evento que la normatividad especial que regule las bases de datos exceptuadas prevea principios que tengan en consideraci�n la naturaleza especial de datos, los mismos aplicar�n de manera concurrente a los previstos en la presente ley.�

��

La inclusi�n del par�grafo obedece a que sin importar la finalidad que tenga la base de datos, mientras esta contenga informaci�n y datos personales se deber� respetar los principios generales que regulan el tratamiento y protecci�n de datos; as� lo ha sostenido en reiteradas ocasiones la Corte Constitucional al enunciar el desarrollo y alcance que deben tener los principios que regulan el tema de la protecci�n de la informaci�n. Una legislaci�n unificada y clara sobre el tema en desarrollo se hace completamente necesaria respondiendo siempre a los principios de necesidad y proporcionalidad, motivo por el cual pretender dejar bases de datos sin que les sea aplicable los principios de la administraci�n de datos, solo deber�a hacerse en respuesta a un estudio particular de cada caso que sobre fundamentos ver�dicos y con argumentaci�n suficiente que permita, a trav�s del test de razonabilidad, decidir y motivar por qu� no se aplicar�n los principios b�sicos que desarrolla un derecho fundamental, basta con analizar desde la �ptica de la Corte los principios de libertad, necesidad,, veracidad, integridad, finalidad. Y su importancia en el desarrollo del derecho fundamental al H�beas Data, la protecci�n de datos personales y la autodeterminaci�n inform�tica.�

��

Art�culo 5�"Datos sensibles"�

��

Se adiciona lo que se subraya:�

��

"Para los prop�sitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminaci�n, tales como aquellos que revelen el origen racial o �tnico, la orientaci�n pol�tica, las convicciones religiosas o filos�ficas, la pertenencia a sindicatos,organizaciones sociales, de Derechos Humanos, o que promueva intereses de cualquier partido pol�tico o que garanticen los derechos y garant�as de partidos pol�ticos de oposici�n, as� como los datos relativos a la salud, a la vida sexual y los datos biom�tricos".�

��

La inclusi�n de las definiciones al texto para que se consideren estos como datos sensibles se hace motivados por la importancia que resguarda la informaci�n que se relaciona con posiciones pol�ticas o trabajo en Derechos Humanos, ejemplo de lo anterior son los innumerables casos de colombianos que por pertenecer a un sindicato o ser defensores de Derechos Humanos han terminado siendo v�ctimas de innumerables delitos, all� radica el hecho de darle protecci�n especial a este tipo de informaci�n.�

��

Art�culo 29.�

��

1.Se modifica la frase "haga sus veces" por "ejerza esta funci�n", se adicionan las frases"o quien ejerza esta funci�n"y "o de quien ejerza esta funci�n" despu�s de la palabra Departamento Administrativo de Seguridad.�

��

2.Se adiciona un par�grafo No. 2�

��

La adici�n del par�grafo busca que los antecedentes judiciales expedidos por el Departamento Administrativo de Seguridad, DAS, o la entidad que ejerza la funci�n de expedirlo lo haga usando los medios tecnol�gicos necesarios para que al igual que otras entidades como la Procuradur�a General de la Naci�n, o la Personer�a el interesado pueda consultar de manera gratuita y a trav�s de la p�gina de la entidad encargada, el registro de antecedentes judiciales donde se pueda saber si existe o no antecedentes judiciales sin que se haga necesario que se estipule en esta informaci�n el prontuario o el motivo del antecedente, esto en pos del derecho a la igualdad, el acceso a la informaci�n y el H�beas Data.�

��

2.Un tercer par�grafo nuevo al art�culo 29�

��

La expedici�n del certificado judicial afirmando que no tiene antecedentes penales para las personas que han cumplido su pena o les ha sido declarada prescrita, si bien es respetuosa del derecho al H�beas Data, puede generar el error en los nominadores de las entidades p�blicas de dar posesi�n a una persona violando los art�culos 122, 179 numeral 1, 197, 232, 249, 264 y 267 de la Constituci�n Pol�tica de Colombia.�

��

Por lo anterior y para armonizar las dos disposiciones, se incluye el par�grafo 2� afirmando que el certificado judicial expedido a solicitud de los peticionarios de sus propios registros, no ser� v�lido en aquellos cargos donde se requiera la carencia total de antecedentes. En estos casos, deber�n dar cumplimiento estricto a lo se�alado en el art�culo 17 del Decreto-ley 2150 de 1995:�

��

Cuando las entidades de la Administraci�n P�blica requieran la presentaci�n de los antecedentes judiciales o de polic�a, disciplinarios o profesionales acerca de un ciudadano en particular deber�n, previa autorizaci�n escrita del mismo, solicitarlos directamente a la entidad correspondiente. Para este efecto, el interesado deber� cancelar los derechos pertinentes si es del caso.�

��

3.El nombre de este art�culo en el T�tulo IX otras disposiciones.�

��

T�tulo del art�culo 29�

��

Art�culo 29.Certificaci�n de antecedentes judiciales.�

��

Se incluyen 2 art�culos nuevos, el art�culo 30 y 31Art�culo 30 (nuevo)�

��

Se adiciona un art�culo titulado Datos con fines de inteligencia y contrainteligencia; con el cual se busca que la captura, archivo, tratamiento, divulgaci�n y uso de datos e informaci�n sensible y personal del titular en bases de datos relacionadas con inteligencia y contrainteligencia; sean manejados con los criterios propios de la protecci�n de datos sensibles, determin�ndose responsabilidad sobre los funcionarios que est�n encargados no solo del tratamiento y recopilaci�n de la informaci�n sino de aquellos que ordenan su captura y tratamiento tales como jefes, directores y subdirectores de las unidades especiales, seccionales, divisiones y dem�s delegaciones que por autorizaci�n, por su naturaleza o misionalidad ejerzan estas funciones; as� como quienes est�n autorizados en los respectivos manuales de dichas dependencias y quienes autoricen u ordenen operaciones o misiones de trabajo desde los organismos que realizan actividades de inteligencia y contrainteligencia o que hagan parte de la Junta de Inteligencia Conjunta.�

��

Se adiciona un art�culo titulado Datos con fines de inteligencia y contrainteligencia; con el cual se busca que la captura,archivo, tratamiento, divulgaci�n y uso de datos e informaci�n sensible y personal del titular en bases de datos relacionadas con inteligencia y contrainteligencia; sean manejados con los criterios propios de la protecci�n de datos sensibles, determin�ndose responsabilidad sobre los funcionarios que est�n encargados no solo del tratamiento y recopilaci�n de la informaci�n sino de aquellos que ordenan su captura y tratamiento tales como jefes, directores y subdirectores de las unidades especiales, seccionales, divisiones y dem�s delegaciones que por autorizaci�n, por su naturaleza o misionalidad ejerzan estas funciones; as� como quienes est�n autorizados en los respectivos manuales de dichas dependencias y quienes autoricen u ordenen operaciones o misiones de trabajo desde los organismos que realizan actividades de inteligencia y contrainteligencia o que hagan parte de la Junta de Inteligencia Conjunta.�

��

Propiciando siempre que la captura, archivo, tratamiento, divulgaci�n y uso de datos e informaci�n sensible y personal del titular se haga atendiendo la Constituci�n y la ley y sin vulnerar derechos fundamentales como el H�beas Data, el buen nombre y la honra cumpliendo estrictos lineamientos, guardando y manteniendo absoluta reserva frente a terceros y dando a conocer al titular aquella parte de la informaci�n que pueda conocer, actualizar o rectificar en virtud del art�culo 15 de la Constituci�n siempre que con el ejercicio de este no se vulnere la reserva judicial o la ley. Evitando que estos datos puedan hacerse p�blicos o difundirse salvo, existencia de un antecedente penal o contravenciones y ojal� nunca antes de la etapa de juzgamiento.�

��

Ya que en concordancia con la jurisprudencia vigente, la Corte sostiene estos mismos postulados en sinn�mero de sentencias"�

��

2.2.5.5. Anuncio y aprobaci�n en cuarto debate�

��

De acuerdo con lo comunicado por el Secretario General del Senado de la Rep�blica[91], en sesi�n plenaria del 14 de diciembre de 2010 se anunci� la discusi�n y aprobaci�n del proyecto de ley, como puede leerse en el Acta No. 33 de esa fecha, publicada en la Gaceta del Congreso No. 78 del 10 de marzo de 2011. El anuncio se realiz� como a continuaci�n se cita[92]:�

��

"Por instrucciones de la Presidencia y, de conformidad con el Acto legislativo 01 de 2003, por Secretar�a se anuncian los proyectos que se discutir�n y aprobar�n en lapr�xima sesi�n.�

��

Se�or Presidente, los siguientes son los proyectos para la sesi�n del d�a de ma�ana:�

��

Proyectos con ponencia para Segundo Debate�

��

(�)�

��

Proyecto de ley n�mero 184 de 2010 Senado, 046 de 2010 C�mara, por la cual se dictan disposiciones generales para la protecci�n de datos personales.�

��

(�)�

��

Todos estos proyectos est�n debidamente publicados en la Gaceta del Congreso, est�n le�dos se�or Presidente los proyectos y anunciados para la pr�xima sesi�n"�

��

Al finalizar se lee:�

��

"Siendo las 8:30 p. m., la Presidencia levanta la sesi�n y convoca para el d�ami�rcoles 15 de diciembre de 2010, a las 9:00 a. m."�

��

En efecto, el proyecto de ley fue aprobado con votaci�n nominal, en sesi�n plenaria del 15 de diciembre de 2010, contenida en el Acta No. 34 de la misma fecha, publicada en la Gaceta del Congreso No. 80 del 11 de marzo de 2011.�

��

En relaci�n con el qu�rum y las mayor�as, el Secretario General del Senado de la Rep�blica se�al� en certificaci�n suscrita el 24 de marzo del presente a�o, que "[l]a votaci�n fue de 57 votos as�: 56 votos por el SI y un 1 voto por el NO"[93] . En el Acta No. 34 del 15 de diciembre de 2010, se observa que el informe con que termina la ponencia fue aprobado con 60 votos a favor; y el articulado en bloque y el t�tulo fueron aprobados con 56 votos positivos y un (1) voto en contra[94].�

��

El texto definitivo aprobado en el Senado de la Rep�blica, fue publicado en la Gaceta del Congreso No. 1118 del 22 de diciembre de 2010. En �l es posible identificar que se acogieron todas las modificaciones propuestas en el informe de ponencia para segundo debate en el Senado, y en el Acta No. 34 del 15 de diciembre de 2010 tambi�n se observa que durante la discusi�n del proyecto no se propusieran ni aprobaran cambios adicionales.�

��

2.2.6. Conciliaci�n del proyecto de ley�

��

Tal como lo verific� la Sala Plena al realizar el recuento del tr�mite de aprobaci�n del proyecto de ley en estudio y al evidenciar las transformaciones en el contenido del mismo durante las diferentes etapas, los textos aprobados por la C�mara de Representantes y por el Senado de la Rep�blica terminaron siendo distintos, de manera que en virtud de los dispuesto por el art�culo 161 Superior, fue necesario conformar una comisi�n accidental de conciliaci�n en b�squeda de superar las discrepancias existentes, Comisi�n de la que hicieron parte el Senador Lu�s Fernando Velasco y el Representante a la C�mara Alfredo Deluque Zuleta.�

��

Dichas discrepancias se encuentran en los art�culos 2, 4, 5, 10, 12, 15, 17, 18, 19, 21 y 26 y con la creaci�n de los art�culos 27, 28, 29, 30, 31 y 32.�

��

2.2.6.1. Contenido del informe de conciliaci�n al proyecto de ley bajo an�lisis y su publicaci�n en la Gaceta del Congreso�

��

La Comisi�n Accidental de Conciliaci�n adopt�, en general, el texto aprobado por el Senado de la Rep�blica, salvo los cambios hechos por esa c�lula legislativa al texto de los literales b) y f) del art�culo 4, quedando tal como fue aprobado por la C�mara de Representantes.�

��

Adicionalmente, se corrigieron algunos errores mecanogr�ficos y gramaticales que se encontraron en los art�culos 2 y 29.�

��

El informe de conciliaci�n fue publicado en las Gacetas del Congreso No. 1101 y 1102 del 15 de diciembre de 2010.�

��

2.2.6.2. Aprobaci�n del informe de conciliaci�n en la C�mara de Representantes En sesi�n plenaria de la C�mara de representantes del 15 de diciembre de 2011, fue anunciada la discusi�n y aprobaci�n del informe de conciliaci�n, tal como consta en el Acta No. 42 de esa fecha, publicada en la Gaceta del Congreso No. 287 del 20 de mayo de 2011. El anuncio se realiz� de la siguiente forma[95]:�

��

"Se anuncian los siguientes proyectos para Sesi�n Plenaria del d�a16 de diciembre del 2010, seg�n el Acto Legislativo n�mero 1 de julio 3 de 2003 en su art�culo 8�.�

��

Informes de conciliaci�n:�

��

Proyecto de Ley Estatutaria n�mero 046 de 2010 C�mara - 184 de 2010 Senado, por la cual se dictan disposiciones generales para la protecci�n de datos personales.�

��

(�)�

��

Se�or Presidente, han sido anunciados los proyectos de ley para la Sesi�n Plenaria del d�a dema�ana 16 de diciembre del 2010."�

��

Y al finalizar la sesi�n, se lee:�

��

"Se le se levanta la sesi�n yse convoca ma�anaa las nueve y media de la ma�ana."�

��

El informe de conciliaci�n fue aprobado al d�a siguiente, en la sesi�n del 16 de diciembre de 2010, tal como se verifica en el Acta No. 43 de esa fecha, contenida en la Gaceta del Congreso No. 237 del 6 de mayo de 2011.�

��

De acuerdo con lo afirmado por el Secretario General de esa corporaci�n en certificaci�n expedida el 26 de mayo del presente a�o[96], el informe de conciliaci�n fue aprobado en votaci�n nominal con la mayor�a absoluta exigida constitucionalmente, con 98 votos positivos, tal como se observa en las p�ginas 20 y 21 de la Gaceta No. 237 de 2011[97]:�

��

"Secretario General, doctor Jes�s Alfonso Rodr�guez C.:�

��

Proyecto de Ley 46 de 2010 C�mara, 184 de 2010 Senado, por la cual se dicta n disposiciones generales para la protecci�n de los datos personales, se�or Presidente.�

��

Direcci�n de la Presidencia doctor Carlos Alberto Zuluaga D�az:�

��

Est� le�do el informe de conciliaci�n por el se�or Secretario, se abre su discusi�n, contin�a su discusi�n, va a cerrarse, queda cerrado. Abra el registro.�

��

Secretario General, doctor Jes�s Alfonso Rodr�guez C.:�

��

Se abre el registro, se les recuerda que este es un proyecto de ley estatutaria y requiere mayor�a absoluta para su aprobaci�n, este informe.�

��

Roosvelt Rodr�guez vota S�.�

��

Madrid Hodeg vota S�.�

��

Joaqu�n Camelo vota S�.�

��

Humphrey Roa vota S�.�

��

Buenaventura Le�n vota S�.�

��

Raimundo M�ndez vota S�.�

��

Laureano Acu�a vota S�.�

��

A los que votan verbalmente, les pido el favor, con el mayor respeto, que no lo vuelvan a hacer electr�nicamente, porque nos arroja un resultado equivocado.�

��

Direcci�n de la Presidencia doctor Carlos Alberto Zuluaga D�az:�

��

Se cierra, se�or Secretario.�

��

Secretario General, doctor Jes�s Alfonso Rodr�guez C.:�

��

Se cierra la votaci�n. Por el S� 97. Ha sido aprobado, doctor. Deja constancia de su voto positivo, s�, ha sido aprobado el informe de conciliaci�n del Proyecto de Ley 046 de 2010 C�mara, 184 de 2010 Senado.�

��

(�)�

��

NOTA ACLARATORIA�

��

Acta n�mero 43 del 16 de diciembre de 2010�

��

Se aclara por parte de la Secretar�a General de la C�mara de Representantes que el resultado de la votaci�n electr�nica y manual adjunto, Informe de Conciliaci�n al Proyecto de Ley Estatutaria, disposiciones generales para la protecci�n de datos personales, es:Por el S� 98con el voto positivo del honorable Representante Rafael Antonio Madrid Hodeg."�

��

2.2.6.3. Anuncio y aprobaci�n del informe de conciliaci�n en el Senado de la Rep�blica�

��

El informe de conciliaci�n fue anunciado en la sesi�n plenaria del senado del 15 de diciembre de 2011, como consta en el Acta No. 34 de esa misma fecha, publicada en la Gaceta del Congreso No. 80 del 11 de marzo de 2011. La aprobaci�n del informe fue anunciada como a continuaci�n de lee:�

��

"Por instrucciones de la Presidencia y, de conformidad con el Acto Legislativo 01 de 2003, por Secretar�a se da lectura a los proyectos que se discutir�n y aprobar�n en lapr�xima sesi�n.�

��

Se�or Presidente, son los proyectospara ma�ana,�

��

Con informe de Conciliaci�n�

��

Proyecto de ley n�mero 184 de 2010 Senado, 046 de 2010 C�mara"�

��

En efecto, la Plenaria del Senado de la Rep�blica aprob� el informe de conciliaci�n al d�a siguiente, 16 de diciembre de 2010, como se observa en el Acta No. 35 de la misma fecha, contenida en la Gaceta del Congreso No. 81 del 14 de marzo de 2011[98].�

��

Mediante comunicaci�n fechada 24 de marzo de 2011[99], el Secretario General del Senado, certific� que el informe de conciliaci�n se aprob� nominalmente con "61 votos por el s�". En el Acta No. 36 del 16 de diciembre de 2010, se lee:�

��

"La Presidencia somete a consideraci�n de la plenaria el Informe de Conciliaci�n al Proyecto de ley n�mero 184 de 2010 Senado, 046 de 2010 C�mara; cierra su discusi�n y, de conformidad con el Acto Legislativo 01 de 2009, abre la votaci�n e indica a la Secretar�a abrir el registro electr�nico para proceder a la votaci�n nominal.�

��

La Presidencia cierra la votaci�n e indica a la Secretar�a cerrar el registro e informar el resultado de la votaci�n.�

��

Por Secretar�a, se informa el siguiente resultado:�

��

Por el S�: 61�

��

Total: 61 votos"�

��

2.2.7. Constitucionalidad del tr�mite legislativo del proyecto de ley Estatutaria bajo estudio�

��

2.2.7.1. Cumplimiento de los requisitos especiales para la aprobaci�n de leyes estatutarias en el caso concreto: cumplimiento del requisito de mayor�a absoluta�

��

La aprobaci�n del proyecto de ley durante todas las etapas se dio con el voto positivo de la mitad m�s uno de los miembros de cada c�lula legislativa, tal como lo exige el art�culo 153 Superior y, adem�s, de conformidad con lo previsto en el art�culo 133 de la Carta, modificado por el art�culo 5� del Acto Legislativo 1 de 2009, el voto de los miembros del Congreso ser� nominal y p�blico. Veamos:�

��

i) La aprobaci�n del proyecto de ley en primer debate en la C�mara de Representantes se dio con el voto afirmativo de 31 Representantes de los 35 que conforman la Comisi�n[100].�

��

ii) La aprobaci�n en la plenaria de la C�mara de Representantes se dio con 89 votos positivos[101].�

��

iii) En la Comisi�n Primera del Senado de la Rep�blica el proyecto de ley se aprob� con el voto positivo de 13 Senadores de los 18 que conforman la Comisi�n[102].�

��

iv) En la plenaria del Senado votaron afirmativamente 56 Senadores y negativamente un (1) Senador[103].�

��

v) El informe de conciliaci�n fue aprobado por la plenaria de la C�mara de Representantes con el voto positivo de 98 Representantes[104].�

��

vi) La plenaria del Senado de la Rep�blica aprob� el informe de conciliaci�n con el voto afirmativo de 61 Senadores[105].�

��

2.2.7.2. Aprobaci�n dentro de una sola legislatura�

��

El proyecto de ley estatutaria fue radicado en el Congreso de la Rep�blica el 3 de agosto de 2010, public�ndose su texto con la exposici�n de motivos el 4 de agosto de 2010, en la Gaceta del Congreso No. 488 de esa fecha. El proyecto de ley fue finalmente aprobado por las plenarias de las c�maras con informe de conciliaci�n, en sesiones del 16 de diciembre de 2010. As� las cosas, esta Sala verifica que el proyecto de ley bajo estudio fue aprobado dentro de una sola legislatura, en este caso, dentro de la que se inici� el 20 de julio de 2010 y finaliz� el 20 de junio de 2011, cumpli�ndose con lo dispuesto en el art�culo 153 de la Carta.�

��

2.2.8. Cumplimiento de los requisitos generales para la aprobaci�n de leyes�

��

2.2.8.1. Publicaci�n del proyecto de ley, antes de darle curso en la Comisi�n respectiva (numeral 1 del art�culo 157 de la Carta)�

��

Tal como lo demostr� esta Sala al describir las etapas surtidas durante el tr�mite del proyecto de ley bajo examen, �ste fue publicado previo a darle curso en cada una de las comisiones y c�maras. En efecto:�

��

i) El proyecto de ley presentado por el Gobierno ante el Congreso de la Rep�blica fue publicado el 4 de agosto de 2010 (Gaceta del Congreso No. 488 de esa fecha) y se dio inicio al primer debate en la Comisi�n Primera de la C�mara de Representantes, el 14 septiembre de 2010[106].�

��

ii) La publicaci�n del informe de ponencia para segundo debate en la C�mara de Representantes, se dio el 28 de septiembre de 2010 (Gaceta del Congreso No. 706 de esa fecha), y se inici� la discusi�n del proyecto de ley en la plenaria de dicha c�lula legislativa, el 13 de octubre de 2010[107].�

��

iii) As� mismo, el informe de ponencia para primer debate en el Senado de la Rep�blica, fue publicado el 2 de diciembre de 2010 (Gaceta del Congreso No. 1023 de igual fecha) y el primer debate en la Comisi�n Primera ocurri� el 6 de diciembre de 2010[108].�

��

iv) De igual forma, la publicaci�n de la ponencia para segundo debate en el Senado de la Rep�blica se realiz� el 13 de diciembre de 2010 (Gaceta del Congreso No. 1080 de esa fecha), y el debate se llev� a cabo el 15 de diciembre de 2010[109].�

��

v) Finalmente, el informe de la Comisi�n Accidental de Conciliaci�n fue publicado el 15 de diciembre de 2010 (Gacetas del Congreso No. 1101 y 1102 de esa fecha), y el mismo fue discutido y aprobado en las plenarias de ambas c�maras el 16 de diciembre de ese mismo a�o[110]�

��

2.2.8.2. Cumplimiento de los t�rminos para la iniciaci�n de los debates�

��

El primer inciso del art�culo 160 Superior establece que entre el primero y el segundo debate deber� mediar un lapso no inferior a ocho d�as, y entre la aprobaci�n del proyecto en una de las c�maras y la iniciaci�n del debate en la otra, deber� transcurrir por lo menos quince d�as.�

��

En el procedimiento del proyecto de ley bajo estudio observa esta Sala que se cumpli� con los t�rminos constitucionales arriba indicados. As�, entre la aprobaci�n del proyecto de ley en la Comisi�n Primera de la C�mara de Representantes (14 de septiembre de 2010) y la fecha del segundo debate en esa c�lula legislativa (13 de octubre) transcurrieron m�s de ocho d�as. De igual forma, entre el primer debate en el Senado de la Rep�blica (6 de diciembre de 2010) y el debate en su Plenaria (15 de diciembre), pas� un tiempo mayor a ocho d�as.�

��

Adem�s, entre la aprobaci�n del proyecto de ley en la C�mara de Representantes (13 de octubre de 2010) y la iniciaci�n del debate en el Senado de la Rep�blica -Comisi�n Primera- (6 de diciembre), sucedieron m�s de 15 d�as.�

��

2.2.8.3. Anuncio previo a la votaci�n del proyecto de ley�

��

El art�culo 8 del Acto Legislativo 1 de 2003, que adicion� el �ltimo inciso del art�culo 160 de la Carta, dispone que ning�n proyecto de ley podr� someterse a votaci�n en sesi�n diferente a aquella para la cual fue anunciado previamente y, adem�s, el aviso deber� realizarse en sesi�n distinta a aquella en que se debata y vote el proyecto de ley.�

��

Seg�n lo establece la jurisprudencia pertinente, esta disposici�n busca evitar la votaci�n sorpresiva de los proyectos de ley y actos legislativos, en aras de permitir que los congresistas se enteren de los proyectos que van a ser discutidos y votados en las sesiones siguientes[111].�

��

Desde el punto de vista de la defensa de los valores democr�ticos, la jurisprudencia sostiene que el anuncio "facilita a los ciudadanos y organizaciones sociales que tengan inter�s en influir en la formaci�n de la ley y en la suerte de �sta, ejercer sus derechos de participaci�n pol�tica (Art�culo 40 C. P.) con el fin de incidir en el resultado de la votaci�n, lo cual es importante para hacer efectivo el principio de democracia participativa (Art�culos 1 y 3 C.P.)"[112]�

��

La exigencia del anuncio previo se trata entonces de una exigencia de rango constitucional, para afianzar el principio democr�tico, el respeto por las minor�as parlamentarias, y la publicidad y transparencia del proceso legislativo.�

��

As� las cosas, del texto de la disposici�n constitucional se desprende que el anuncio debe cumplir con los siguientes requisitos[113]:�

��

"a) El anuncio debe estar presente en la votaci�n de todo proyecto de ley.�

��

b) El anuncio debe darlo la presidencia de la c�mara o de la comisi�n en una sesi�n distinta y previa a aquella en que debe realizarse la votaci�n del proyecto.�

��

c) La fecha de la votaci�n debe ser cierta, es decir, determinada o, por lo menos, determinable.�

��

d) Un proyecto de ley no puede votarse en una sesi�n distinta a aquella para la cual ha sido anunciado".�

��

Tal como lo evidenciaba esta providencia en apartes anteriores, en el caso concreto esta Corporaci�n encuentra que durante todas las etapas del procedimiento del proyecto de ley, se cumpli� con los requisitos mencionados para que se entienda surtido el anuncio previo. Veamos:�

��

i) El proyecto de ley fue anunciado para su discusi�n y aprobaci�n en primer debate en la Comisi�n Primera de la C�mara de Representantes, para el "pr�ximo martes", en la sesi�n del mi�rcoles 8 de septiembre de 2010[114]. Y, en efecto, el proyecto de ley fue aprobado en primer debate el siguiente martes, 14 de septiembre de 2010[115].�

��

ii) Durante el segundo debate en la C�mara de Representantes, en principio, el proyecto de ley fue anunciado el 12 de octubre de 2010 para el d�a siguiente, "mi�rcoles 13 de octubre"[116].�

��

Sin embargo, si bien en la sesi�n del d�a 13 de octubre de 2010 se inici� la discusi�n del proyecto, la Plenaria decidi� realizar su votaci�n en la siguiente sesi�n, anunci�ndolo de nuevo en debida forma "para la Sesi�n Plenaria del d�a 19 de octubre"[117].�

��

Efectivamente, el proyecto de ley fue aprobado en la sesi�n plenaria del 19 de octubre de 2010, seg�n consta en el Acta No. 24 de la misma fecha, publicada en la Gaceta del Congreso 868 del 4 de noviembre de 2010.�

��

iii) En sesi�n del 2 de diciembre de 2010, se anunci� la discusi�n y aprobaci�n del proyecto de ley en primer debate en la Comisi�n Primera del Senado de la Rep�blica, "para el lunes 6 de diciembre de 2010"[118].�

��

As� ocurri�, pues el proyecto de ley fue discutido y aprobado en dicha Comisi�n, el 6 de diciembre de 2010, seg�n consta en el Acta No. 33 de la misma fecha, publicada en la Gaceta del Congreso 39 del 11 de febrero de 2011.�

��

iv) En sesi�n plenaria del 14 de diciembre de 2010 se anunci� la discusi�n y aprobaci�n del proyecto de ley "para el d�a mi�rcoles 15 de diciembre de 2010", como puede leerse en el Acta No. 33 de esa fecha, publicada en la Gaceta del Congreso No. 78 del 10 de marzo de 2011.�

��

En efecto, el proyecto de ley fue aprobado en sesi�n plenaria del 15 de diciembre de 2010, contenida en el Acta No. 34 de la misma fecha, publicada en la Gaceta del Congreso No. 80 del 11 de marzo de 2010.�

��

v) El informe de conciliaci�n fue anunciado para discusi�n en la plenaria de la C�mara de Representantes, el d�a 15 de diciembre de 2011 "para la Sesi�n Plenaria del d�a de ma�ana 16 de diciembre del 2010"[119].�

��

Tal como se anunci�, el informe de conciliaci�n fue aprobado al d�a siguiente, en la sesi�n del 16 de diciembre de 2010, lo que se verifica en el Acta No. 43 de esa fecha, contenida en la Gaceta del Congreso No. 237 del 6 de mayo de 2011.�

��

vi) El informe de conciliaci�n fue anunciado para el d�a siguiente en la sesi�n plenaria del senado del 15 de diciembre de 2011, como consta en el Acta No. 34 de esa misma fecha, publicada en la Gaceta del Congreso No. 80 del 11 de marzo de 2011.�

��

En efecto, la Plenaria del Senado de la Rep�blica aprob� el informe de conciliaci�n al d�a siguiente, 16 de diciembre de 2010, como se observa en el Acta No. 35 de la misma fecha, contenida en la Gaceta del Congreso No. 81 del 14 de marzo de 2011.�

��

2.2.8.4. Vulneraci�n de los principios de consecutividad e identidad flexible en la aprobaci�n de los art�culos 29, 30 y 31�

��

2.2.8.4.1. Caracterizaci�n de los principios�

��

En relaci�n con el principio de unidad de materia, debe aclararse que si bien la jurisprudencia constitucional ha entendido que la violaci�n de este principio constituye un vicio material[120], lo cierto es que tambi�n ha explicado que el mismo tiene un papel decisivo en la racionalizaci�n del proceso de elaboraci�n de la ley y surge con ocasi�n de la aprobaci�n de la norma objeto de estudio a pesar de que �sta no guarde unidad de materia con el n�cleo tem�tico de la ley que la contiene[121]; por esa raz�n, esta Sala considera pertinente, para efectos de organizaci�n y coherencia de la sentencia, abordar desde ahora el cumplimiento de este principio.�

��

En segundo lugar, el art�culo 158 de la Carta dispone que "(t)odo proyecto de ley debe referirse a una misma materia y ser�n inadmisibles las disposiciones o modificaciones que no se relacionen con ella"y el art�culo 169 se�ala que "(e)l t�tulo de las leyes deber� corresponder precisamente a su contenido".�

��

De la lectura de estas disposiciones, es posible definir que el principio de unidad de materia consiste en que cada una de las disposiciones que conforman un ordenamiento legal, pertenezcan a su n�cleo tem�tico, el cual puede precisarse, entre otros, con lo establecido en su t�tulo. Esto no se refiere s�lo a aquellas disposiciones que sean introducidas durante su tr�mite de aprobaci�n, sino que se predica de cualquiera de sus normas, incluso si estuvo presente desde que el proyecto de ley inici� su tr�mite en el Congreso -por esto, entre otras razones, no puede entenderse como un vicio procedimental-.�

��

Esta �ltima caracter�stica es muy ilustrativa para diferenciarlo del principio de identidad relativa - con el que suele confundirse-, en tanto este �ltimo s�lo se predica de las enmiendas que se realicen durante el tr�mite legislativo al proyecto inicialmente presentado ante el legislativo, prohibiendo que �stas hagan del proyecto uno totalmente distinto al concebido hasta ese momento.�

��

Adem�s, el principio de unidad de materia se distingue del principio de identidad flexible, en que el primero busca evitar que la tem�tica regulada por una disposici�n sea absolutamente ajena al n�cleo tem�tico de la ley que la contiene. En cambio, el principio de identidad propende por impedir que una norma creada durante el proceso legislativo, cambie sustancialmente el proyecto de ley que hasta esa etapa se ten�a. Entonces, la unidad de materia proscribe las normas que no tengan relaci�n alguna con la materia de la ley de la que hacen parte; y, por su parte, la identidad proh�be la creaci�n de normas o la modificaci�n de aspectos del proyecto de ley que hagan de �l uno absolutamente diferente. Por tanto, puede existir violaci�n a la unidad de materia porque lo regulado en un art�culo no tenga relaci�n alguna con el tema del cuerpo legal que lo contiene, sin que con ello se vulnere la identidad, pues puede que la existencia o aprobaci�n de ese art�culo no se traduzca en la creaci�n de un nuevo proyecto de ley, distinto al inicialmente concebido. Y viceversa, puede ocurrir que se presente la violaci�n del principio de identidad por la enmienda introducida al proyecto de ley, al cambiar su esencia, sin que implique la violaci�n de la unidad de materia en tanto lo consagrado con la enmienda se circunscribe al n�cleo tem�tico del proyecto de ley, pero haci�ndolo esencialmente distinto.�

��

En tercer lugar, conforme a reiterada jurisprudencia de esta Corporaci�n, �ntegramente explicada por la Sentencia C-400 de 2010[122], los art�culos 158 y 169 de la Carta, buscan racionalizar y tecnificar el proceso legislativo, tanto en el momento de discusi�n de los proyectos en el Congreso, como respecto del producto final, es decir de la ley que finalmente llega a ser aprobada.[123]�

��

La Corte ha explicado que las anteriores exigencias constitucionales obedecen a la necesidad de hacer efectivo el principio de seguridad jur�dica, que impone "darle un eje central a los diferentes debates que la iniciativa suscita en el �rgano legislativo"[124], y porque luego de expedida la ley, su cumplimiento reclama un m�nimo de coherencia interna, que permita a los destinatarios de las normas identificarse como tales y conocer las obligaciones que de ella se derivan.[125]�

��

En efecto, refiri�ndose al alcance constitucional del principio de unidad de materia, la Corte ha se�alado que con �l se pretende "asegurar que las leyes tengan un contenido sistem�tico e integrado, referido a un solo tema, o eventualmente, a varios temas relacionados entre s�. La importancia de este principio radica en que a trav�s de su aplicaci�n se busca evitar que los legisladores, y tambi�n los ciudadanos, sean sorprendidos con la aprobaci�n subrepticia de normas que nada tienen que ver con la(s) materia(s) que constituye(n) el eje tem�tico de la ley aprobada, y que por ese mismo motivo, pudieran no haber sido objeto del necesario debate democr�tico al interior de las c�maras legislativas. La debida observancia de este principio contribuye a la coherencia interna de las normas y facilita su cumplimiento y aplicaci�n al evitar, o al menos reducir, las dificultades y discusiones interpretativas que en el futuro pudieran surgir como consecuencia de la existencia de disposiciones no relacionadas con la materia principal a la que la ley se refiere"[126].�

��

Adicionalmente, la jurisprudencia ha precisado que el principio de unidad de materia se respeta cuando existe conexidad tem�tica, teleol�gica, causal o sistem�tica entre la norma acusada y la ley que la contiene. [127]�

��

Ahora bien, ha estimado que por respeto a la libertad de configuraci�n del legislador, el estudio de la existencia de la conexidad en los aspectos mencionados no debe ser excesivamente r�gido[128]. En el mismo orden de ideas, la Corte ha considerado que la unidad de materia no significa simplicidad tem�tica, por lo que una ley bien puede referirse a varios asuntos, siempre y cuando entre los mismos exista una relaci�n de conexidad objetiva y razonable[129]. As� pues, la Corte ha rescatado el car�cter flexible del control de constitucionalidad que debe ejercerse cuando se trata de verificar el cumplimiento del principio de unidad de materia[130].�

��

Respecto del principio de identidad relativa, en primer lugar, debe indicarse que este principio se deriva del an�lisis sistem�tico del segundo inciso del art�culo 160 Superior con los numeral 2 y 3 del art�culo 157. As�, surge del mandato constitucional seg�n el cual durante el segundo debate cada c�mara podr� introducir las enmiendas que considere pertinentes (art�culo 160[131]), siempre y cuando ellas no cambien la esencia del proyecto de ley hasta ese momento aprobado, pues, en ese caso, deber�n surtir todos los debates requeridos de acuerdo al art�culo 157[132].�

��

Para mayor ilustraci�n, es preciso recordar que, en contraste con el actual car�cter flexible del principio de identidad, en la Constituci�n Pol�tica de 1886, se consagraba un principio de identidad de car�cter absoluto, de acuerdo con el cual los proyectos de ley presentados al Congreso no pod�an ser modificados por el legislador durante su tr�mite y, entonces, deb�an ser aprobados id�nticos a como fueron radicados en su origen.�

��

El constituyente consider� necesario, en virtud del principio democr�tico, deliberativo y pluralista, transversal a la Carta de 1991 y rotundamente aplicable a la actividad parlamentaria, que dicho principio se relativizara en funci�n de la posibilidad de enmienda de los proyectos para mejor proveer el contenido, efectividad y racionalizaci�n de la legislaci�n y, por supuesto, de la actividad legislativa. Pero, claro est�, cumpli�ndose los cuatro debates cuando �stos se entiendan esenciales para el proyecto, en garant�a de la iniciativa legislativa. De manera que en esos eventos, las modificaciones, adiciones o supresiones deben ser trasladadas a la respectiva comisi�n constitucional permanente para que agote el tr�mite ordinario de aprobaci�n desde el primer debate (art�culo 179 de la Ley Org�nica de Reglamento del Congreso)[133].�

��

En sentencia C-401 de 2010[134], la Corte determin� como n�cleo conceptual del principio de identidad relativa, "la idea que a lo largo de los cuatro debates semantenga sustancialmente el mismo proyecto, es decir, que las modificaciones que en ejercicio de los principios de pluralismo y decisi�n mayoritaria pueden hacerse al proyecto, no sean de tal envergadura que terminen por convertirlo en otro completamente distinto".�

��

Se�al�, adem�s, que esta regla b�sica debe estudiarse en relaci�n con cada caso en particular, de acuerdo con sus caracter�sticas concretas, pero partiendo de que la regla general es el respeto por el principio democr�tico (art�culo 133 Superior).�

��

Por otra parte, es preciso referir que cuando se explica el principio de identidad relativa, usualmente se relaciona de manera autom�tica, e incluso se identifica, con el principio de consecutividad, que consiste en la obligaci�n de que todo asunto incluido en el proyecto de ley sea discutido durante los cuatro debates. Ahora bien, esa relaci�n no es siempre ineludible pues puede ocurrir que una disposici�n no haya sido aprobada en cuatro debates sin que su contenido convierta al proyecto de ley en uno totalmente distinto. Sin embargo, s� debe afirmarse que siempre que se identifique un vicio por violaci�n del principio de identidad con la introducci�n de una enmienda, se traduce en la vulneraci�n de la consecutividad pues, precisamente, dichos cambios, a pesar de ser esenciales, no fueron aprobados o siquiera discutidos con todos los debates reglamentarios. As� que, no toda trasgresi�n de la consecutividad implica la violaci�n de la identidad pero, en cambio, toda violaci�n a la identidad involucra una vulneraci�n a la consecutividad.�

��

Finalmente, sobre el principio de consecutividad, en primer lugar, como se explicaba venido explicando, el principio es derivado del art�culo 157 Superior, el cual consagra la obligaci�n de que todos los asuntos aprobados en una ley hayan sido debatidos por las comisiones permanentes de ambas c�maras y por sus plenarias. Esto no significa que cada una de las variaciones surgidas durante el tr�mite legislativo deban devolverse a primer debate para que surtan todo el proceso, sino que aquellos asuntos no tratados en lo absoluto durante las etapas previas, deban devolverse para que sean aprobados o discutidos por la comisi�n y/o plenaria que estudi� el proyecto con anterioridad. Si ello no ocurre, entonces se entiende que esas disposiciones se encuentran viciadas de inconstitucionalidad por violaci�n del art�culo 157 de la Carta. De manera que el principio de consecutividad no se predica de los contenidos exactos de los art�culos, sino de los asuntos o temas regulados en la ley que los contienen.�

��

As� las cosas, para establecer si determinado asunto fue discutido desde el principio del procedimiento legislativo, ser� necesario estudiar en cada caso concreto si, ya sea en la exposici�n de motivos, en el informe de ponencia para primer debate o en el acta que consigna la discusi�n y aprobaci�n en esa etapa, se encuentran referencias, discusiones o propuestas que se ocupen del mismo, esto es, sin tener que comprobar que cada disposici�n haya sido propuesta a redactada desde el inicio, tal cual como se aprob� finalmente.�

��

En segundo lugar, bajo este entendido y haciendo referencia a la jurisprudencia constitucional relacionada con este principio, la sentencia C-141 de 2010 explic�:�

��

"Por otra parte, respecto del principio de consecutividad resulta enunciativa la sentencia C-539 de 2008, en la cual, citando a la sentencia C-208 de 2005, se expresa "en desarrollo del principio de consecutividad se impone tanto a las comisiones como a las plenarias de las C�marasla obligaci�n de examinar y debatir la totalidad de los temas que han sido propuestos, raz�n por la cual les resulta prohibido renunciar a dicho deber o declinar su competencia para diferirla a otrac�lula legislativa con el objetivo de postergar el debate de un determinado asunto"[135]. Al respecto, ha se�alado la Corte, que '�En efecto, la totalidad del articulado propuesto en la ponencia presentada debe ser discutido, debatido y aprobado o improbado por la comisi�n constitucional permanente o por la plenaria, seg�n sea el caso. En cuanto a las proposiciones modificatorias o aditivas que se planteen en el curso del debate, as� como las supresiones, deben igualmente ser objeto de discusi�n, debate y votaci�n, salvo que el autor de la propuesta decida retirarla antes de ser sometida a votaci�n o ser objeto de modificaciones, conforme a lo dispuesto en el art�culo 111 de la Ley 5� de 1992. Es preciso que se adopte una decisi�n y no se eluda la misma respecto de un tema, so pena de que se propicie un vac�o en el tr�mite legislativo que vulnere el principio de consecutividad.'[136]".�

��

De manera que el principio de consecutividad debe entenderse como (i) la obligaci�n de que tanto las comisiones como las plenarias deben estudiar y debatirtodos los temasque ante ellas hayan sido propuestos durante el tr�mite legislativo; (ii) que no se posponga para una etapa posterior el debate de un determinado asuntoplanteado en comisi�n o en plenaria; y (iii) que la totalidad del articulado propuesto para primer o segundo debate, al igual que las proposiciones que lo modifiquen o adicionen, deben discutirse, debatirse, aprobarse o improbarse al interior de la instancia legislativa en la que son sometidas a consideraci�n."�

��

Tambi�n as� lo entendi� la Corte en Sentencia C-277 de 2011[137], al declarar exequible el par�grafo del art�culo 8 de la Ley 1340 de 2009, que hab�a sido demandado por supuesta vulneraci�n de los principios de identidad flexible y consecutividad, en cuanto durante el cuarto debate se dispuso que adem�s de la Superintendencia de Industria y Comercio, establecida como autoridad �nica en materia de protecci�n de la competencia, la Aeron�utica Civil conservar� sus facultades de protecci�n de la competencia en su sector. Dijo la Corte en esa oportunidad que tal como se observa en la descripci�n hecha al tr�mite de la ley, durante los cuatro debates y, especialmente, durante las discusiones dadas en la C�mara de Representantes, se debati� la necesidad, pertinencia, conveniencia y constitucionalidad de centralizar la vigilancia, control e inspecci�n de la libre competencia en cabeza de un solo ente, en este caso, de la Superintendencia de Industria y Comercio, con posiciones a favor y en contra de esa medida. Concluy� entonces que si bien con anterioridad al cuarto debate no se habl� espec�ficamente de la Aeron�utica Civil como autoridad en materia de competencia, la inclusi�n de la norma acusada responde a las discusiones surgidas durante el tr�mite sobre la centralizaci�n o no de esas facultades en materia de vigilancia, inspecci�n y control de la libre competencia econ�mica.�

��

2.2.8.4.2. Enmiendas introducidas durante el tr�mite del proyecto de ley bajo estudio y su concordancia con los principios explicados.�

��

De la descripci�n realizada por esta Sala sobre la evoluci�n del proyecto de ley durante su tr�mite en el Congreso, es posible identificar que los cambios de contenido[138]introducidos al proyecto inicial que quedaron consignados en el proyecto definitivo, fueron los que se se�alar�n a continuaci�n. Como metodolog�a, esta providencia analizar� frente a cada uno de ellos, si en su aprobaci�n se respetaron los principios de unidad de materia, de identidad relativa y de consecutividad. Veamos:�

��

2.2.8.4.2.1. Adici�n de la frase "as� como el derecho a la informaci�n consagrado en el art�culo 20 de la misma" al final del art�culo 1� "Objeto", durante el segundo debate.�

��

Podr�a pensarse que la inclusi�n del art�culo 20 Superior como parte del objeto de protecci�n del proyecto de ley vulnera el principio de unidad de materia en cuanto esa disposici�n constitucional se refiere al derecho a la informaci�n, y lo que busca proteger el proyecto de ley es el derecho a la intimidad a trav�s de la salvaguarda del uso y acceso de sus datos. Sin embargo, tal como se explicar� m�s adelante, el derecho que se est� protegiendo con la expedici�n de este proyecto de ley estatutaria es el derecho aut�nomo a la protecci�n de datos, que se relaciona y tiene lugares comunes tanto con el derecho a la intimidad como con el derecho a la veracidad y acceso a la informaci�n, los cuales se encuentran consagrados en el art�culo 20 constitucional. Si bien no desarrolla completamente este derecho, las normas s� regulan asuntos relativos a la informaci�n cuando �sta se refiere a datos personales. De manera que no se vulnera la unidad de materia.�

��

Tampoco la identidad flexible pues no se vari� lo regulado hasta ese momento haciendo del proyecto uno distinto, y tampoco el principio de consecutividad dado que si bien se agreg� durante el segundo debate, no se trata de la regulaci�n de un tema o asunto que no haya sido discutido con anterioridad, pues desde un principio se incluyeron y debatieron asuntos relacionados con el derecho a la informaci�n.�

��

Por ejemplo, el proyecto de ley presentado por el gobierno prescrib�a el principio de veracidad o calidad: "La informaci�n sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se proh�be el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error"(literal d) del art�culo 4)[139]. Adem�s, en la ponencia para primer debate en la C�mara de Representantes, se se�alaba sobre el derecho al habeas data: "Este derecho tiene naturaleza aut�noma y notas caracter�sticas que lo diferencian de otras garant�as con las que, empero, est� en permanente relaci�n, como los derechos a la intimidady a la informaci�n"[140]�

��

2.2.8.4.2.2. En relaci�n con el art�culo 2�, adici�n de los literales e), f) y g); adici�n de la frase "as� como la prevenci�n, detecci�n, monitoreo y control del lavado de activos y el financiamiento del terrorismo" en el literal b); adici�n del literal c) y el par�grafo.�

��

En el segundo debate se adicionaron los literales d), e) y f) y durante el cuarto debate se agreg� el literal c). Los literales hacen referencia a los tipos de datos a los que no le son aplicables las disposiciones del proyecto de ley -salvo las que establecen los principios-. Al inicio del proceso legislativo, s�lo se exceptuaba el tratamiento de datos realizado por una persona natural en un �mbito exclusivamente personal o dom�stico y aquel que tuviera por objeto la seguridad y defensa nacional.�

��

Sin embargo, el legislador, durante el segundo y el cuarto debate, consider� que deb�a exceptuarse el tratamiento de otros datos consignados en los literales mencionados: c) a las bases de datos que tengan como fin y contengan informaci�n de inteligencia y contrainteligencia; d) a las bases de datos y archivos de informaci�n period�stica y otros contenidos editoriales; e) a las bases de datos y archivos regulados por la Ley 1266 de 2008 (financieros) ; f) a las bases de datos y archivos regulados por la Ley 79 de 1993 (censo de poblaci�n y vivienda).�

��

La creaci�n de estas excepciones no rompe con ninguno de los principios arriba explicados. Por el contrario, se trata de una leg�tima manifestaci�n del principio democr�tico y de la libertad de configuraci�n normativa del legislador. �stas se circunscriben al �mbito tem�tico del proyecto de ley en cuanto excepciones para su alcance, respetando la unidad de materia. Con su introducci�n no se convirti� al proyecto de ley en uno distinto, al tratarse de normas accesorias y no principales para los dem�s art�culos hasta ese momento aprobados, atendiendo el mandato del principio de identidad flexible. Y, finalmente, no se contravino el principio de consecutividad pues si bien la literalidad de las excepciones fue formulada durante el segundo y el cuarto debate, el asunto de exceptuar algunos datos del �mbito de aplicaci�n, fue abordado desde que el proyecto de ley fue radicado en el Congreso (Gaceta del Congreso No. 488 de 2010). Recu�rdese que este principio se refiere a la aprobaci�n de todos los asuntos o temas en cuatro debates, no al contenido textual de cada una de las disposiciones.�

��

La anterior conclusi�n y la argumentaci�n de la que se deriva, son v�lidas para encontrar que la inclusi�n de la frase "as� como la prevenci�n, detecci�n, monitoreo y control del lavado de activos y el financiamiento del terrorismo"en el literal b), tampoco vulner� los principios estudiados.�

��

Adem�s, en el cuarto debate se agreg� el par�grafo del art�culo, que, en esencia se sigue refiriendo al �mbito de aplicaci�n de la ley, espec�ficamente frente a las excepciones, previendo para su eventual regulaci�n un est�ndar m�nimo. As� que de acuerdo con los anteriores par�metros, tambi�n la inclusi�n de este par�grafo resulta respetar los principios de unidad de materia, identidad y consecutividad: no es un tema ajeno al n�cleo tem�tico del proyecto, es realmente una norma accesoria a la regulaci�n ya prescrita, y desde que se present� el proyecto de ley se pretendi� fijar su alcance o �mbito de aplicaci�n.�

��

2.2.8.4.2.3. Inclusi�n de nuevos datos sensibles en el art�culo 5 durante el cuarto debate: "organizaciones sociales, de Derechos Humanos, o que promueva intereses de cualquier partido pol�tico o que garanticen los derechos y garant�as de partidos pol�ticos de oposici�n".�

��

El proyecto de ley presentado al Congreso preve�a como datos sensibles aquellos que revelen el origen racial o �tnico, la orientaci�n pol�tica, las convicciones religiosas o filos�ficas, la pertenencia a sindicatos, as� como los datos relativos a la salud, a la vida sexual y los datos biom�tricos. En cuarto debate el legislador decidi� ampliar la definici�n, lo que en nada afecta la unidad de materia, no se aparta de la esencia del proyecto y, si bien estas espec�ficas categor�as fueron incluidas en esa etapa, el asunto de los datos sensibles fue abordado desde el principio del tr�mite, quedando dentro del marco de libertad de configuraci�n la ampliaci�n de lo que deb�a entenderse como dato sensible.�

��

2.2.8.4.2.4. Sobre el art�culo 7, durante el primer debate, se estableci� un t�rmino de 6 meses para que el Gobierno reglamente el tratamiento de datos personales de ni�os, ni�as y adolescentes. Y en el segundo debate se aclar� que s�lo la informaci�n que tenga naturaleza p�blica podr� ser objeto de Tratamiento en el caso de las ni�as, ni�os y adolescentes (art�culo 7�)�

��

Frente a la primera de las enmiendas, debe precisarse que s�lo procede analizar el respeto por el principio de unidad de materia, en cuanto fue aprobado en cuatro debates (consecutividad), de manera que as� su contenido variara la esencia del proyecto (identidad), habr�a surtido todas las etapas exigidas constitucionalmente.�

��

En este orden de ideas, esta Sala encuentra que la fijaci�n de un t�rmino para que el gobierno reglamente los datos de los ni�os, no se aparta del n�cleo tem�tico del proyecto. Al contrario, la orden de reglamentaci�n es una cl�usula com�n a los ordenamientos legales, cuando el legislador prev� que �stos requieren de un desarrollo en su aplicaci�n por parte del ejecutivo. Adem�s, de todas maneras su ausencia no impide el ejercicio de una facultad que es propia del Presidente de la Rep�blica, seg�n el art�culo 189 de la Carta.�

��

En relaci�n con la inclusi�n de una excepci�n para la regla general de prohibici�n del tratamiento de datos personales de los ni�os, cuando la informaci�n sea p�blica, se tiene que dicha excepci�n hace parte del r�gimen de protecci�n de datos, en este punto, pertenecientes a ni�os, ni�as y adolescentes, circunscribi�ndose al n�cleo tem�tico del proyecto de ley. Se trata adem�s de una norma que accede a lo ya dispuesto en el art�culo 7 sobre los datos de los menores de 18 a�os, creando una excepci�n a la prohibici�n, sin cambiar el proyecto por uno distinto. Y, finalmente, en la medida que el tema de la salvaguardia especial de los datos de los ni�os como sujetos de especial protecci�n constitucional, fue previsto y abordado desde que se inici� el tr�mite del proyecto de ley, esta enmienda respet� el principio de consecutividad.�

��

Frente a esta �ltima cuesti�n, se anticipa que el mismo an�lisis ser� empleado para las dem�s normas que ordenan la reglamentaci�n de ciertos asuntos, haciendo la salvedad que ello no refleja la posici�n de la Sala frente a la constitucionalidad material de dichas disposiciones, espec�ficamente, sobre la constitucionalidad del otorgamiento de facultades reglamentarias en determinados asuntos.�

��

2.2.8.4.2.5. Adici�n de la segunda parte del literal e) del art�culo 8, durante el primer debate, que se�ala las condiciones para que sea procedente la revocatoria de la autorizaci�n del titular: "La revocatoria y/o supresi�n solo proceder� cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constituci�n".�

��

Tal como se explic� en el numeral anterior, dado que esta inclusi�n se present� en el primer debate, es la unidad de materia lo �nico que debe estudiarse ahora. Tampoco esta enmienda se encuentra ajena al tema del proyecto que es la protecci�n de los datos personales y, de hecho, desarrolla lo establecido en ese literal e) sobre la posibilidad de revocatoria de la autorizaci�n de suministrar los datos, se�alando las condiciones para su procedencia.�

��

2.2.8.4.2.6. Durante el primer debate, en el art�culo 11 se establece el plazo de un a�o para la reglamentaci�n del Gobierno sobre la forma en la cual los Responsables y Encargados del Tratamiento deber�n suministrar la informaci�n del Titular.�

��

Frente a esta enmienda vale la misma argumentaci�n en cuanto a la no pertinencia de referirse a los principios de identidad y consecutividad, as� como a la no violaci�n de la unidad de materia por tratarse de la orden al gobierno de reglamentar el asunto dentro de un t�rmino espec�fico, facultad consagrada en el art�culo 189 Superior.�

��

2.2.8.4.2.7. Con el tercer debate, se incluye la direcci�n electr�nica como informaci�n obligatoria que el Responsable del Tratamiento deber� suministrar al titular, en el art�culo 12.�

��

La inclusi�n de esta obligaci�n para los responsables de los datos, es un claro ejemplo de una norma accesoria al proyecto de ley que en cuanto ser un requisito adicional para una de las prerrogativas dispuestas hasta ese momento. No sale del n�cleo tem�tico, ni cambia el proyecto por otro, y tampoco desconoce la consecutividad pues el asunto de las obligaciones de los responsables del tratamiento de los datos, se trat� desde el inicio del tr�mite con el proyecto de ley radicado en el Congreso (P�gina 5 de la Gaceta del Congreso No. 488 de 2010)[141].�

��

2.2.8.4.2.8. Durante el tercer debate, se adiciona el literal n) en el art�culo 17, y el literal k) en el art�culo 18, que se�alan el deber de los Responsables y Encargados de informar a la Superintendencia de Industria y Comercio cuando existan riesgos o violaciones de la seguridad de la bases de datos por parte de terceros.�

��

La introducci�n de estos literales y, con ellos, del deber de los responsables y encargados de los datos de informar a la SIC sobre los riesgos o violaciones a la seguridad de los datos, no se aleja del n�cleo tem�tico del proyecto -por el contrario, lo llena de efectividad-, ni var�a la substancia de lo hasta ese momento aprobado. Y el hecho de haberse aprobado durante el tercer debate no desconoce el principio de consecutividad, al encontrarse por esta Sala que el asunto de los deberes de estos sujetos se regul� desde los inicios del tr�mite legislativo[142], por lo que la inclusi�n de esta obligaci�n s�lo representa el desarrollo del principio democr�tico dentro de la actividad parlamentaria.�

��

2.2.8.4.2.9. En el segundo debate, en el art�culo 19, se cre� el segundo par�grafo; en el tercer debate, se establece la creaci�n de una Delegatura de Protecci�n de Datos dentro de la Superintendencia de Industria y Comercio. As� mismo se incorpor� el primer par�grafo.�

��

El primer par�grafo, se�ala un t�rmino de seis meses para que se reglamenten las funciones de la Superintendencia de Industria y Comercio. El segundo par�grafo, establece que la vigilancia del tratamiento de los datos personales regulados en la Ley 1266 de 2008 - financieros- se sujetar� a lo previsto en dicha norma. Sobre estas inclusiones, esta Sala encuentra que no existe violaci�n a los principios bajo an�lisis, sino que meramente desarrollan y fijan el alcance de las normas ya aprobadas.�

��

En cuanto a la creaci�n de la delegatura de protecci�n de datos durante el tercer debate, debe afirmarse que se circunscribe a la materia y objeto del proyecto -se trata de la entidad que vigila la protecci�n de los datos-; no se est� variando la esencia del proyecto pues simplemente se especifica c�mo la Superintendencia de Industria y Comercio, en su funci�n de vigilancia de la protecci�n de datos, va a ejercerla org�nicamente; y, finalmente, se respet� la consecutividad en cuanto el establecimiento y caracterizaci�n de la autoridad encargada de la protecci�n de los datos se dio desde el principio del tr�mite legislativo y, durante la natural evoluci�n de las discusiones, se fue fijando m�s claramente la forma en que deb�a actuar dicha autoridad.�

��

2.2.8.4.2.10. En segundo debate, se agreg� un p�rrafo al art�culo 25, se�alando:�

��

"Para realizar el registro de base de datos, los interesados deber�n aportar a la Superintendencia de Industria y Comercio, las pol�ticas de tratamiento de la informaci�n, las cuales obligar�n a los responsables y encargados del mismo y cuyo incumplimiento acarrear� las sanciones correspondientes.�

��

Las pol�ticas de tratamiento en ning�n caso podr�n ser inferiores a los deberes contenidos en la presente ley."�

��

Como se observa, se trata de una disposici�n accesoria a lo ya dispuesto en el art�culo 25 sobre el registro de las bases de datos as� como al proyecto de ley en general que, por ello, no puede considerarse ajena al n�cleo tem�tico, ni d�rsele el alcance de variar la esencia del proyecto.�

��

Tampoco vulnera la consecutividad en tanto el tema de la regulaci�n del registro de base de datos se incluy� desde que se radic� el proyecto en el Congreso (Gaceta del Congreso No. 488 de 2010).�

��

2.2.8.4.2.11. En el segundo debate se agrega el segundo par�grafo del art�culo 26: "Las disposiciones contenidas en el presente art�culo ser�n aplicables para todos los datos personales, incluyendo aquellos contemplados en la Ley 1266 de 2008."�

��

Con este par�grafo simplemente se fija el �mbito de aplicaci�n de lo regulado sobre la transferencia de datos a terceros pa�ses, precisando que la misma es aplicable a los datos financieros. De modo que se circunscribe a la materia del proyecto, guarda identidad con lo aprobado hasta el segundo debate y al ser accesorio al tema de la transferencia internacional de datos, ya discutido y aprobado en primer debate, cumpli� con el requisito de consecutividad en su aprobaci�n.�

��

2.2.8.4.2.12. En el tercer debate se adicion� el art�culo 27 "El Gobierno Nacional regular� lo concerniente al Tratamiento sobre datos personales que requieran de disposiciones especiales. En todo caso, dicha reglamentaci�n no podr� ser contraria a las disposiciones contenidas en la presente ley."�

��

Sobre la orden de reglamentaci�n ya se explicaba que se trata de una cl�usula com�n a los ordenamientos legales, y que es en s� misma accesoria a lo all� establecido. Por tanto, con su inclusi�n no se menoscabaron los principios bajo examen. Se circunscribe al n�cleo tem�tico del proyecto, esto es, a la protecci�n de datos personales, se�alando la necesidad de que el gobierno, atendiendo los mandatos del proyecto de ley, establezca disposiciones especiales para los datos que as� lo requieran. As� fue concebido por los senadores ponentes: "Esta facultad le permite al Gobierno regular de manera m�s expedita datos especiales que requieran de modificaciones constantes dada la din�mica en su tratamiento"[143].�

��

En cuanto al respeto por el principio de identidad flexible, se observa que con ordenarle al gobierno que regule la protecci�n de datos que deban preverse en normas especiales, no cambi� la esencia del proyecto de ley, sobretodo porque el mismo art�culo establece que esa regulaci�n del gobierno debe siempre atenerse a lo por �l dispuesto. Y, tampoco desconoce la consecutividad pues no se trata de un asunto nuevo, alejado de lo que se ven�a discutiendo y aprobando durante el tr�mite y, adem�s, es propio de la legislaci�n que no en pocas ocasiones deja en manos del ejecutivo el desarrollo de las normas o la tarea de crear reglas de mayor especificidad para darle aplicaci�n a la norma general implantada por el legislador.�

��

Al respecto, recu�rdese que ya se aclaraba que esta afirmaci�n no est� anticipando el an�lisis material de constitucionalidad sobre el otorgamiento de esta facultad al ejecutivo en este caso en particular. �nicamente se est� afirmando que frente a los principios de identidad flexible y consecutividad, no encuentra esta Sala que la cl�usula bajo examen est� creando un r�gimen distinto al hasta entonces aprobado, ni se trata de un asunto nuevo que requiriera ser aprobado en los debates previos.�

��

2.2.8.4.2.13. Durante el segundo debate se cre� el art�culo 28 sobre reglamentaci�n de las normas corporativas vinculantes.�

��

Las normas corporativas vinculantes, como se estudiar� m�s adelante al analizar el contenido material de la disposici�n, son aquellas conocidas tambi�n como principios de buen gobierno o c�digos de buenas pr�cticas empresariales, creadas por instituciones privadas a partir de su mayor conocimiento en el sector donde act�an, se�alando las reglas m�nimas para lograr mayor calidad en su funcionamiento. Varios documentos que ser�n referenciados por esta providencia dan cuenta de la importancia de estas reglas para la protecci�n de los datos personales, de manera que no puede tomarse como un tema ajeno a la materia del proyecto de ley.�

��

En relaci�n con los principios de identidad y consecutividad, vale la misma argumentaci�n del numeral anterior, al tratarse de una norma accesoria que �nicamente busca el desarrollo reglamentario de las disposiciones sobre las reglas de buen gobierno en el manejo de los datos personales.�

��

2.2.8.4.2.14. Durante el tercer debate se cre� el art�culo 29 relacionado con los datos relativos al certificado de antecedentes judiciales.�

��

La inclusi�n de esta disposici�n no vulnera la unidad de materia. El manejo de los datos por parte del Departamento Administrativo de Seguridad -DAS- para efectos de la expedici�n de los certificados judiciales, as� como el acceso a ellos, no es un tema ajeno a la materia del proyecto de ley. Se trata al fin y al cabo de la protecci�n de datos personales, en este caso, en un sector espec�fico y para efectos particulares. Lo anterior puede comprobarse, adem�s, con lo establecido en el t�tulo: "por la cual se dictan disposiciones generales para la protecci�n de datos personales". Igualmente, al leer el objeto del proyecto: "desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos y los dem�s derechos, libertades y garant�as constitucionales a que se refiere el art�culo 15 de la Constituci�n Pol�tica, as� como el derecho a la informaci�n consagrado en el art�culo 20 de la misma."�

��

Se observa entonces que la materia de la ley es la protecci�n general de los datos personales como derecho fundamental, sin establecer una destinaci�n exclusiva a tipos de datos espec�ficos, que prescinda ineludiblemente de los datos relacionados con los antecedentes judiciales.�

��

Tampoco contraviene el principio de identidad flexible, pues al incluir este art�culo no se cambia el proyecto por otro, lo all� consagrado no tiene una incidencia tal para la esencia del proyecto de ley hasta ese momento aprobado. S� es un tema no regulado con anterioridad -aunque no ajeno- pero puede entenderse accesorio en cuanto no var�a la sustancia del proyecto de ley. En efecto, con la inclusi�n de la regulaci�n espec�fica de los datos a que tiene acceso el DAS, no se cambi� ninguna de las disposiciones aprobadas con anterioridad, ni se supli� el sentido de lo prescrito hasta entonces. Si bien durante el segundo debate en C�mara se decidi� excepcionar del �mbito de aplicaci�n de la ley, las bases de datos en materia penal e investigaci�n judicial, con incluir una regulaci�n al respecto no se reemplaz� el proyecto aprobado en C�mara por uno esencialmente distinto.�

��

No obstante, esta Sala encuentra que existe una palmaria violaci�n al principio de consecutividad en cuanto el asunto en �l tratado no fue siquiera mencionado en los debates previos. No se surtieron ni el primer y ni el segundo debate, necesarios para aprobar un asunto que no hab�a sido tratado previamente. No es que el asunto de los datos de antecedentes judiciales sea ajeno al n�cleo tem�tico del proyecto de ley, pero s� es un asunto que no fue tratado en lo absoluto en los debates de la C�mara de Representantes.�

��

Lo anterior fue verificado por la Sala al leer las gacetas que comprenden el tr�mite legislativo del proyecto de ley, sobretodo, aquellas que contienen sus discusiones en las diferentes c�lulas legislativas[144]. As� las cosas, pudo establecer que el tema se trat� por primera vez en la audiencia p�blica celebrada antes de darse inicio a la discusi�n del proyecto en la Comisi�n Primera del Senado de la Rep�blica. Fue el ciudadano Ra�l Antonio Vargas Camargo, interviniente en dicha audiencia, quien propuso la inclusi�n de una disposici�n que se ocupara de los datos sobre antecedentes judiciales y su manejo en los certificados expedidos por el DAS, se�alando: "por qu� no admitir que la informaci�n contenida en el certificado judicial, 'registra antecedentes, pero no es requerido por autoridad judicial', expedido por el Departamento Administrativo de Seguridad (DAS) a muchos colombianos a los que la sanci�n penal impuesta ha sido cumplida o ha prescrito, constituye un dato necesariamente sensible."[145]�

��

Adem�s, el informe de ponencia para primer debate en el Senado, da cuenta de que se trata de un asunto nuevo cuando justifica su inclusi�n en el proyecto de ley as�: "En ese orden de ideas,la iniciativano pretende que se ordene al DAS que de sus bases de datos desaparezcan los registros de las condenas ya cumplidas, s�lo que frente al manejo de tal informaci�n se haga un llamado a la cautela y que s�lo para prop�sitos que realmente lo demanden sea revelada, pues no se puede perder de vista que uno de los fines de la pena es la reinserci�n social de quien fue sujeto activo de una conducta punible."[146]�

��

Justamente as� lo consign� el informe de conciliaci�n[147]al explicar las razones para incluir esta regulaci�n dentro del proyecto de ley, a saber: "Lo anterior [lo regulado en el art�culo 29] se recogi� depropuestas hechas por ciudadanos en la audiencia p�blicarealizada el 25 de noviembre con el objetivo de discutir p�blicamente el proyecto de ley radicado en la Comisi�n Primera del Senado".Lo que comprueba - adem�s de la lectura de lo ocurrido en las sesiones de la C�mara de Representantes- que fue en este momento cuando por primera vez se mencion� y discuti� el asunto de la informaci�n que aparece publicada en los registros de antecedentes judiciales emitidos por el Departamento Administrativo de Seguridad (DAS), para que quienes hayan cumplido una pena o �sta les haya prescrito, esta informaci�n no se haga p�blica en el antecedente judicial que solicita el titular.�

��

Ahora bien, debe precisarse que este an�lisis no contradice lo se�alado por la Sala en relaci�n con la violaci�n del principio de identidad relativa cuando afirm� que ya exist�a una excepci�n en el �mbito de aplicaci�n sobre los datos de seguridad y defensa nacional, donde se ubican los relacionados con antecedentes judiciales. Ello no significa que entonces con anterioridad -desde el inicio del tr�mite legislativo- s� se hab�a discutido el asunto. Por el contrario se hab�a discutido y aprobado como excepci�n, en cambio, en el tercer debate se incluy� una regulaci�n espec�fica sobre el sector, lo que no hab�a sido siquiera propuesto previamente. Es decir, lo que se hab�a discutido, establecido y aprobado era que los sectores espec�ficos deb�an regularse en un cuerpo normativo distinto al del proyecto de ley, no el asunto de la inclusi�n de una regulaci�n especial sobre los datos relacionados con el certificado de antecedentes judiciales, siendo entonces un asunto nuevo que debi� surtir los cuatro debates reglamentarios. Y es el incumplimiento de ese mandato lo que se deriva en la vulneraci�n del principio de consecutividad.�

��

En efecto, si bien durante el segundo debate en la C�mara de Representantes, se propuso exceptuar del �mbito de aplicaci�n de la ley, expresamente en el literal b) del art�culo 2, las bases de datos en materia penal e investigaci�n judicial, lo que justamente ello comprueba es que nunca se debati� incluir una regulaci�n especial sobre antecedentes judiciales. En efecto, lo que aprob� la C�mara fue NO regularlo. As� que, en realidad, de ning�n modo hubo debate al respecto. Y, de hecho, durante el debate en que se aprob� esa excepci�n, ni siquiera se debati� si se excepcionaba o no, simplemente se propuso la nueva excepci�n y se vot� afirmativamente.�

��

Ve�moslo en el acta No. 24 del 19 de octubre de 2010, publicada en la Gaceta del Congreso No. 868 de 2010:�

��

Hay otra proposici�n para el art�culo 2�, que le agrega 5 literales (C, D, E, F y G) y a los literales A y B les agregan igual que al �ltimo inciso del art�culo 2� lo siguiente, se va a leer lo que se le agrega.�

��

El r�gimen de protecci�n de datos personales que se establece en la presente ley no ser� de aplicaci�n, y trae el listado de excepciones.�

��

No s�lo se agrega, se cambia, entonces vamos a leerlo todo.�

��

"Los principios y disposiciones contenidos en la presente ley ser�n aplicables a los datos personales registrados en cualquier base de datos, o que los haga susceptibles de tratamiento por entidades de naturaleza p�blica o privada.�

��

La presente ley aplicar� al tratamiento de datos personales efectuado en territorio colombiano, cuando el responsable del tratamiento o encargado de tratamiento no establecido en territorio nacional, le sea aplicable la legislaci�n colombiana en virtud de normas y tratados internacionales.�

��

El r�gimen de protecci�n de datos personales que se establece en la presente leyno tendr� aplicaci�n:�

��

(�)�

��

b. A las bases de datos y archivos que tenga por objeto la seguridad y defensa nacional, lavado de archivos, terrorismoy las bases de datos en materia penal e investigaci�n judicial."�

��

Firman: Carlos Correa, Miguel G�mez, Alfredo Deluque y otras firmas ilegibles.�

��

Esa es para el art�culo 2�.�

��

Luego la votaci�n de las proposiciones se dio de la siguiente manera:�

��

Se�or Presidente, los art�culos le�dos con y sin proposiciones y los art�culos nuevos le�dos se podr�an someter en bloque, y se someter�a en una votaci�n separada, la propuesta del doctor Pablo Salamanca, que es una proposici�n aditiva al art�culo 11, y vamos a votar los art�culos que no tienen proposici�n a esta altura del tr�mite, que son el 4�, 5�, 8�, 23,m�s todas las proposiciones le�das a todos los art�culos le�dos, se�or Presidente, y quedar�a pendiente por votar una proposici�n del doctor Pablo Salamanca.�

��

Puede usted abrir la discusi�n y votaci�n de este cuerpo de art�culos le�dos, con los nuevos,las proposicionesy los que no tienen proposici�n.�

��

Direcci�n de la sesi�n por la Presidencia (doctor Carlos Alberto Zuluaga): En consideraci�n las proposiciones le�das por el se�or Secretario, fruto de los art�culos nuevos, art�culos que no tienen proposici�n y totalmente avalados por la ponencia,se abre la discusi�n, contin�a la discusi�n, va a cerrarse, queda cerrada. Abramos el registro.�

��

La Secretar�a General informa (doctor Jes�s Alfonso Rodr�guez):�

��

Nadie pidi� la palabra, se abre el registro.�

��

Direcci�n de la sesi�n por la Presidencia (doctor Carlos Alberto Zuluaga):�

��

Se cierra el registro.�

��

La Secretar�a General informa (doctor Jes�s Alfonso Rodr�guez):�

��

Est� cerrado el registro.�

��

Por el s�: 106.�

��

Por el no: 0.�

��

Han sido aprobados los art�culos sin proposici�n que estaban pendientes, los art�culos nuevos y los art�culos con sus respectivas proposiciones que fueron le�das por la Secretar�a.�

��

De la lectura del acta, surge una clara conclusi�n: el asunto de las bases de datos en materia penal e investigaci�n judicial se mencion� y aprob� de manera general e incluso determinando que las mismas se encontraban exceptuadas del �mbito de aplicaci�n de la ley, esto es, se incluy� dentro del debate para no regularlo en el proyecto. As� las cosas, con una menci�n general de un asunto no puede entenderse cumplido el principio de consecutividad, o que s� existi� debate sobre la regulaci�n espec�fica del mismo, en la medida que se vaciar�a la raz�n de ser de la consagraci�n de dicho principio constitucional, el cual busca la garant�a de una actividad legislativa regida por el principio democr�tico que depende, entre otras prerrogativas, de la publicidad, que no solo opera para el conocimiento de los ciudadanos, sino tambi�n para que los mismos congresistas, desde que inicia el tr�mite, puedan prever qu� se va a aprobar en cuarto debate, es decir, qu� regulaci�n va a convertirse en ley de la rep�blica.�

��

Para la C�mara de Representantes hab�a algo claro, el tema no ser�a regulado en el proyecto en tr�mite, y por tanto nunca se debati� su regulaci�n, es por ello que se incluyo como �mbito exceptuado de la ley. En consecuencia, no se puede admitir como propio del tr�mite legislativo que el cuarto debate se hiciera una regulaci�n espec�fica y absoluta sobre todas las aristas del manejo de los datos relacionados con el certificado de antecedentes judiciales, y no solo eso, tambi�n de c�mo deben expedirse dichos certificados, c�mo debe consignarse esa informaci�n, la gratuidad de los mismos, en fin, la regulaci�n sectorial del tratamiento de estos datos, los derechos de los titulares, los deberes del encargado, los medios de acceso, etc.�

��

La Sala en este punto debe ser estricta, pues entender que en un proyecto de ley estatutaria, por sus condiciones, con lo propuesto y aprobado en segundo debate en C�mara, se asegur� el respeto por el principio de consecutividad, es vaciar su contenido y desconocer de paso el principio democr�tico, particularmente en su dimensi�n de deber de publicidad de todo el proceso legislativo, seg�n el cual, los legisladores, en todas las etapas del tr�mite, deben tener la posibilidad de conocer qu� es lo que se est� regulando o, mejor, qu� se va a regular cuando el proyecto de ley sea finalmente aprobado en cuarto debate.�

��

En cuanto al conocimiento real de lo debatido, t�ngase en cuenta lo establecido por la jurisprudencia constitucional sobre el significado del t�rmino "debate", descrito �ntegramente por la sentencia C-473 de 2004[148]. En esa providencia, la Corte acudi� al sentido que esa palabra tiene en el idioma castellano para ilustrar su alcance, pero tambi�n se�al� que "la interpretaci�n correcta de los t�rminos "discusi�n y debate" es la que se ajusta a las definiciones legales establecidas por el Reglamento del Congreso y no la del sentido natural y obvio de dichas expresiones seg�n su uso general."[149]�

��

As� por ejemplo, ha reconocido que es inherente al debate parlamentario "la exposici�n de ideas, criterios y conceptos diversos y hasta contrarios y la confrontaci�n seria y respetuosa entre ellos; el examen de las distintas posibilidades y la consideraci�n colectiva, razonada y fundada, acerca de las repercusiones que habr� de tener la decisi�n puesta en tela de juicio,[150]pero tambi�n ha aceptado que existe "debate" aun cuando no haya controversia.[151]�

��

En ese mismo sentido, al revisar el tr�mite seguido en la adopci�n de un acto legislativo, la Corte se�al� en la sentencia C-222 de 1997 que "trat�ndose de la adopci�n de decisiones que habr�n de afectar a toda la poblaci�n, en el caso de las leyes y con mayor raz�n en el de las reformas constitucionales, que comprometen nada menos que la estructura b�sica del orden jur�dico en su integridad, el debate exige deliberaci�n, previa a la votaci�n e indispensable para llegar a ella, lo que justamente se halla impl�cito en la distinci�n entre los qu�rum, deliberatorio y decisorio, plasmada en el art�culo 145 de la Carta."[152]�

��

La Sala entiende que en este caso, el principio de consecutividad se rompe pese a que la cuesti�n que se introdujo tenga alguna relaci�n con el tema objeto del proyecto. La raz�n, en C�mara de Representantes no se debati� el tema que despu�s fue regulado por el Senado, porque para ellos esa cuesti�n no ser�a objeto de regulaci�n, en consecuencia, nunca fue objeto de debate. Cosa distinta hubiese acontecido si en las deliberaciones la C�mara se hubiera abordado la forma c�mo esas bases tratar�an los datos y finalmente acordaran que ese asunto quedase exceptuado del �mbito de aplicaci�n.�

��

En hilo de lo expuesto, la Sala Plena declarar� la inexequibilidad del art�culo 29 del proyecto de ley, por violaci�n de los art�culos 157 y 160 de la Carta, por cuanto surti� s�lo dos debates de los cuatro ordenados por la Constituci�n.�

��

Debe precisarse que estos vicios no pueden entenderse saneados cuando la plenaria de la C�mara de Representantes aprob� el informe de conciliaci�n con la inclusi�n de esta disposici�n, en tanto el requisito constitucional consiste es en que para la aprobaci�n de cada tema deben darse los debates tanto de las comisiones permanentes como de las plenarias. Adem�s, en cuanto la jurisprudencia[153]ha sido clara en establecer que el objeto de las comisiones accidentales de conciliaci�n y de la aprobaci�n de sus informes, se circunscribe a superar las discrepancias en el texto de una y otra c�mara teniendo en cuenta que dada la naturaleza meramente accidental de las comisiones de conciliaci�n, no pueden suplir la funci�n legislativa asignada por la Constituci�n y la ley, a las comisiones constitucionales permanentes y a las plenarias de cada C�mara, pues es en �stas, en donde debe surtirse el proceso de deliberaci�n y aprobaci�n de las distintas normas jur�dicas.�

��

En este orden de ideas, lo imperativo era remitir a la Comisi�n Primera de la C�mara de Representantes el contenido de este nuevo art�culo para que tanto ella como la plenaria de la C�mara, lo debatieran y aprobaran (art�culo 179 de la Ley Org�nica de Reglamento del Congreso).�

��

Debe precisarse adem�s, que la violaci�n del principio de consecutividad es en s� mismos insubsanables por cuanto se configura cuando se han omitido alguno o algunos de los debates reglamentarios -porque una enmienda supli� la esencia del proyecto de ley y/o porque el asunto no fue debatido con anterioridad[154]. As� que si se devolviera a la autoridad que dej� de discutir el asunto con anterioridad, ello se traducir�a necesariamente en volver a realizar el tr�mite legislativo con los cuatro debates exigidos por el art�culo 157 de la Carta. Y es justamente esto �ltimo lo que produce la imposibilidad de sanear un vicio de forma seg�n lo explicado por la jurisprudencia[155], la cual ha se�alado que ning�n vicio formal podr� sanearse si ello implica la realizaci�n de un nuevo tr�mite legislativo.�

��

2.2.8.4.2.15. Durante el cuarto debate se incluyeron los art�culos 30 y 31, relacionados con el manejo de datos de inteligencia y contrainteligencia.�

��

Igual argumentaci�n se aplica a la inclusi�n en cuarto debate de los art�culos 30 y 31 del proyecto de ley. As�, el contenido de estas disposiciones no es ajeno a la materia del proyecto de ley que las comprende, pues se trata de la regulaci�n de la protecci�n de datos, ahora, en un sector especial que es el de inteligencia y contrainteligencia.�

��

De igual manera, incluir una regulaci�n especial sobre datos de inteligencia y contrainteligencia, no tiene incidencia en la esencia del proyecto hasta ahora aprobado por la C�mara de Representantes y por la Comisi�n Primera del Senado. No contradice ninguna de las disposiciones hasta ese momento adoptadas. Si bien en un principio se decidi� regular la protecci�n de datos de manera general, no puede ser esa inicial intenci�n el par�metro de control para determinar si se viol� el principio de identidad, sino, como lo explicaba anteriormente esta providencia, el punto a establecer es si con la inclusi�n de una enmienda durante el tr�mite legislativo se vari� la esencia de lo que hasta entonces se hab�a aprobado, lo que no ocurri� en esta ocasi�n.�

��

No obstante, tal como ocurri� con el art�culo 29, s� se desconoci� el principio de consecutividad en tanto fue en el cuarto debate en la Plenaria del Senado de la Rep�blica, cuando por primera vez se trat� este asunto de la inclusi�n de una regulaci�n especial para los datos de inteligencia y contrainteligencia.�

��

As� puede verificarse al leer las gacetas que contienen el tr�mite y, sobretodo, la Gaceta No. 1080 de 1080 de 2010 (folios 42 del cuaderno de pruebas No. 4), donde se public� el informe de ponencia para segundo debate en el Senado, en el que se afirm� que para mayor protecci�n del derecho fundamental de habeas data, era necesario incluir una regulaci�n especial de protecci�n de datos en este sector y que "se adiciona un art�culo con el cual se busca que la captura, archivo, tratamiento, divulgaci�n y uso de datos e informaci�n sensible y personal del titular en bases de datos relacionadas con inteligencia y contrainteligencia, sean manejados con los criterios propios de la protecci�n de datos sensibles, determin�ndose responsabilidad sobre los funcionarios que est�n encargados no solo del tratamiento y recopilaci�n de la informaci�n sino de aquellos que ordenan su captura y tratamiento tales como jefes, directores y subdirectores de las unidades especiales, seccionales, divisiones y dem�s delegaciones que por autorizaci�n, por su naturaleza o misionalidad ejerzan estas funciones; as� como quienes est�n autorizados en los respectivos manuales de dichas dependencias y quienes autoricen u ordenen operaciones o misiones de trabajo desde los organismos que realizan actividades de inteligencia y contrainteligencia o que hagan parte de la Junta de Inteligencia Conjunta."�

��

Resulta ser entonces un asunto nuevo frente a lo que en aquel momento fue discutido y aprobado. Adem�s, no es posible identificar con nada de lo dispuesto en el proyecto de la C�mara, pues si bien se hab�a discutido y aprobado el tema de la seguridad y defensa nacional, �sta se hab�a concebido y establecido como un sector exceptuado, y lo que hizo la Plenaria del Senado fue incluirlo dentro del �mbito de aplicaci�n del proyecto, una regulaci�n sobre ese mismo sector, espec�ficamente sobre inteligencia y contrainteligencia, asunto que, bajo esa perspectiva, no hab�a sido tratado en lo absoluto ni por la C�mara de Representantes ni por la Comisi�n Primera del Senado, transgredi�ndose el principio de consecutividad.�

��

De manera que, por vulneraci�n de los principios de identidad flexible y de consecutividad, consagrados en los art�culos 157 y 160 de la Carta, la Sala Plena declarar� inexequibles los art�culos 30 y 31 del proyecto de ley estatutaria bajo revisi�n.�

��

2.2.8.4.2.16. Durante el segundo debate se cre� el art�culo 32 que establece el r�gimen de transici�n.�

��

Generalmente, los cuerpos normativos que crean nuevas reglas sobre determinados asuntos, establecen un r�gimen de transici�n para que a quienes les sean aplicables, adopten las medidas necesarias para adaptarse a los cambios. De manera que no podr�a concebirse esta enmienda como ajena al tema del proyecto, ni modificatoria de su esencia, ni creadora de un tema nuevo no tratado con anterioridad. Es, como ya hemos dicho, el reflejo la din�mica de la actividad parlamentaria dentro de los l�mites constitucionales y legales, que, en esta ocasi�n, dio como resultado la inclusi�n de la necesidad de prever de un plazo de hasta seis (6) meses para que las personas que a la fecha de entrada en vigencia del proyecto de ley ejerzan alguna de las actividades en ella reguladas, se adecuen a las disposiciones contempladas, lo que se circunscribe dentro de la regulaci�n del tema de la protecci�n de datos personales.�

��

2.2.8.4.2.17. Durante el segundo debate se adiciona la frase "a excepci�n de aquellas contempladas en el art�culo segundo" en el art�culo 33 sobre derogatorias.�

��

Por tratarse de la creaci�n de una excepci�n a la regla general ya establecida sobre la derogatoria de todas las normas que le sean contrarias al proyecto de ley, debe entenderse como una disposici�n accesoria que, por ello, no transgrede ninguno de los principios en menci�n, sobretodo porque refleja lo ya estatuido en el art�culo 2� del proyecto sobre el tratamiento de datos excluido del �mbito de aplicaci�n, siendo necesaria esta enmienda por t�cnica y coherencia legislativa.�

��

2.2.9. Conclusi�n sobre la constitucionalidad del tr�mite legislativo del proyecto de ley bajo revisi�n.�

��

En hilo de lo expuesto, se tiene que, en general, la aprobaci�n del proyecto de ley cumpli� con los requisitos constitucionales previstos para cualquier decisi�n legislativa y, particularmente, para este tipo de leyes de especial jerarqu�a. Ahora bien, no puede decirse lo mismo sobre la aprobaci�n de sus art�culos 29, 30 y 31, en cuanto la forma en que fueron incluidos no atendi� los mandatos del principio de consecutividad -art. 157 y 160 C.P., raz�n por la cual, esta Sala los declarar� inexequibles.�

��

2.3. EXAMEN DEL ART�CULO 1: OBJETO DEL PROYECTO DE LEY�

��

2.3.1. Texto de la disposici�n�

��

"Art�culo 1�. Objeto.La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los dem�s derechos, libertades y garant�as constitucionales a que se refiere el art�culo 15 de la Constituci�n Pol�tica; as� como el derecho a la informaci�n consagrado en el art�culo 20 de la misma."�

��

2.3.2. Intervenciones ciudadanas y concepto del Ministerio P�blico�

��

2.3.2.1. La Defensor�a del Pueblo solicita que la frase final del art�culo 1� - "as� como el derecho a la informaci�n consagrado en el art�culo 20 de la misma"- sea declarada inexequible, pues considera que la pretensi�n del legislador de desarrollar el contenido del derecho a la informaci�n por medio del proyecto bajo estudio es "antit�cnica y asistem�tica", pues (i) el derecho a la informaci�n es aut�nomo y diferente al derecho al habeas data; (ii) en caso de aceptarse que el derecho a la informaci�n pudiera ser regulado en una ley sobre habeas data, dicha incorporaci�n se justificar�a solo en la medida en que el primer derecho se desarrollara de manera amplia y conveniente, lo que no ocurre en el presente caso; y (iii) no puede pasarse por alto que una cosa es el "derecho a la informaci�n"como derecho fundamental, y otra diferente "la informaci�n" como bien susceptible de apropiaci�n y transacci�n comercial por parte de poderosos agentes del mercado. En resumen, se�ala que una revisi�n del texto del proyecto permite concluir que el legislador no se ocup� en absoluto de "desarrollar"el derecho a la informaci�n. Por tanto, al no existir una relaci�n con el tema central del proyecto, asegura que la expresi�n referida vulnera el principio de unidad de materia.�

��

Por otra parte, aduce que aunque el articulo 1 recoge los par�metros normativos que establece la Carta Pol�tica sobre el derecho del habeas data, en especial las garant�as de "conocer, actualizar, y rectificar"la informaci�n, no incorpora importantes garant�as, como (i) la disociaci�n de datos personales, en virtud de la cual una persona puede solicitar que el tratamiento de informaci�n de la que es titular se lleve a cabo mediante procedimientos que garanticen la reserva de su identidad, y (ii) la supresi�n de datos, es decir, el "derecho al olvido"o la caducidad del dato, garant�a de conformidad con la cual ninguna informaci�n tiene vocaci�n de perennidad, raz�n por la cual, una vez cumplida su finalidad o transcurrido el t�rmino previsto para su uso o verificada la ilegalidad del tratamiento o el desconocimiento de la finalidad, el titular puede solicitar su supresi�n. Por estas razones, la Defensor�a solicita que se precise que el art�culo 1� no tiene pretensiones taxativas.�

��

2.3.2.2. La ciudadana Juanita Dur�n V�lez solicita la exequibilidad condicionada del art�culo 1�, bajo el entendido que el �mbito del proyecto se circunscribe a datos de inter�s comercial, no �ntimos ni privados que se encuentren circulando de manera transitoria.�

��

2.3.2.3. El Ministerio P�blico no se pronunci� al respecto.�

��

2.3.3. Exequibilidad del art�culo 1�: no debe hacerse una lectura taxativa de las garant�as que enuncia�

��

2.3.3.1. El art�culo 1� se�ala que el proyecto de ley tiene tres prop�sitos: desarrollar (i) "(�) el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos", (ii) "(�) los dem�s derechos, libertades y garant�as constitucionales a que se refiere el art�culo 15 de la Constituci�n Pol�tica", y (iii) "(�) el derecho a la informaci�n consagrado en el art�culo 20 de la misma [la Constituci�n]".�

��

2.3.3.2. En relaci�n con el primer objetivo, la Sala encuentra que es plenamente compatible con el t�tulo del proyecto y su contenido, pues se trata del desarrollo del derecho fundamental al habeas data.�

��

No obstante, la Sala precisa, como bien lo indica la Defensor�a del Pueblo, que las garant�as del habeas data enunciadas en este art�culo no son las �nicas que comprende el derecho. Ciertamente, del derecho al habeas data se desprenden no solamente las facultades de conocer, actualizar y rectificar las actuaciones que se hayan recogido sobre el titular, sino tambi�n otras como autorizar el tratamiento, incluir nuevos datos, o excluirlos o suprimirlos de una base de datos o archivo. Por tanto, si bien la disposici�n se ajusta a la Carta, no debe entenderse como una lista taxativa de las garant�as adscritas al derecho.�

��

2.3.3.3. Sobre el segundo y tercer objetivos, la Corte encuentra que son demasiado amplios si se comparan, por una parte, con el t�tulo del proyecto y el contenido del articulado y, por otra, con las garant�as comprendidas en los art�culos 15 y 20 superiores.�

��

En efecto, el art�culo 15 de la Carta reconoce tres derechos: (i) el derecho a la intimidad, (ii) el derecho al buen nombre y (iii) el derecho al habeas data.[156]La Sala observa que si bien el derecho al habeas data est� estrechamente ligado con los derechos a la intimidad y al buen nombre, todos los anteriores son derechos con contenidos aut�nomos y diferentes. En este caso, la Sala encuentra que el proyecto solamente pretende desarrollar el habeas data y no los otros derechos, por lo que debe si bien la disposici�n no desconoce la Carta por ser amplia en este respecto, debe entenderse que solamente desarrolla indirectamente los derechos a la intimidad y al buen nombre, es decir, no puede considerarse una regulaci�n comprensiva y sistem�tica de tales derechos.�

��

Lo mismo ocurre con la menci�n del art�culo 20 superior sobre el derecho a la informaci�n. Ciertamente, el derecho a la informaci�n, tanto en su dimensi�n activa y pasiva, es decir, el derecho a expresar y difundir informaci�n -incluidas las propias opiniones- y el derecho a recibir informaci�n veraz e imparcial, converge en algunos aspectos con el derecho al habeas data, en tanto, por ejemplo, (i) el derecho a la informaci�n puede recaer sobre datos personales y, (ii) en su faceta activa comprende el derecho a la rectificaci�n que puede versar sobre datos personales. Sin embargo, el derecho a la informaci�n comprende todo tipo de datos, no solamente el dato personal, de ah� que deba concluirse que los dos derechos comprenden �mbitos de protecci�n diferentes y que el proyecto de ley sujeto a revisi�n no desarrolla comprensivamente el derecho a la informaci�n.�

��

En este punto tambi�n debe tenerse en cuenta que si bien el art�culo 2 except�a de la aplicaci�n de algunas de las disposiciones del proyecto a las bases de datos de contenido period�stico y editorial, como se desarrollar� m�s adelante, tales bases deben sujetarse como m�nimo a los principios previstos en el art�culo 4, lo que significa que el derecho a la informaci�n s� es regulado en algunos aspectos por el proyecto.�

��

En resumen, a juicio de la Sala, el proyecto de ley no pretende una regulaci�n exhaustiva del derecho a la informaci�n; la regulaci�n se limita al punto en que convergen o entran en tensi�n los derechos al habeas data y a la informaci�n. Bajo este entendimiento, pese a la amplitud del precepto, �ste se ajusta al texto constitucional.�

��

2.4. EXAMEN DEL ART�CULO 2: �MBITO DE APLICACI�N�

��

2.4.1. Texto de la disposici�n�

��

"Art�culo 2�. �mbito de aplicaci�n.Los principios y disposiciones contenidas en la presente ley ser�n aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza p�blica o privada.�

��

La presente ley aplicar� al Tratamiento de datos personales efectuado en territorio colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio nacional le sea aplicable la legislaci�n colombiana en virtud de normas y tratados internacionales.�

��

El r�gimen de protecci�n de datos personales que se establece en la presente ley no ser� de aplicaci�n:�

��

a)A las bases de datos o archivos mantenidos en un �mbito exclusivamente personal o dom�stico.�

��

Cuando estas bases de datos o archivos vayan a ser suministrados a terceros se deber�, de manera previa, informar al Titular y solicitar su autorizaci�n. En este caso los Responsables y Encargados de las bases de datos y archivos quedar�n sujetos a las disposiciones contenidas en la presente ley.�

��

b)A las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, as� como la prevenci�n, detecci�n, monitoreo y control del lavado de activos y el financiamiento del terrorismo.�

��

c)A las bases de datos que tengan como fin y contengan informaci�n de inteligencia y contrainteligencia.�

��

d)A las bases de datos y archivos de informaci�n period�stica y otros contenidos editoriales.�

��

e)A las bases de datos y archivos regulados por la Ley 1266 de 2008.�

��

f)A las bases de datos y archivos regulados por la Ley 79 de 1993.�

��

Par�grafo.Los principios sobre protecci�n de datos ser�n aplicables a todas las bases de datos, incluidas las exceptuadas en el presente art�culo, con los l�mites dispuestos en la presente ley y sin re�ir con los datos que tienen caracter�sticas de estar amparados por la reserva legal. En el evento que la normatividad especial que regule las bases de datos exceptuadas prevea principios que tengan en consideraci�n la naturaleza especial de datos, los mismos aplicar�n de manera concurrente a los previstos en la presente ley."�

��

2.4.2. Intervenciones ciudadanas y concepto del Ministerio P�blico�

��

2.4.2.1. La Defensor�a del Pueblo solicita que se declare la exequibilidad condicionada del art�culo 2�, bajo el entendido que el tratamiento de datos que se realiza en el marco de las actividades a que se refieren los literales b), c) y f) debe someterse a los principios de protecci�n previstos en el proyecto, y que para verificar su apego a los mismos, la reserva de los datos no debe ser oponible al titular.�

��

2.4.2.2. La Secretar�a Jur�dica de la Presidencia de la Rep�blica solicita la inexequibilidad del par�grafo del art�culo 2�, por las siguientes razones:�

��

Asegura que una interpretaci�n rigurosa de par�grafo podr�a dejar sin efectos las excepciones. Por ejemplo, en el caso de las bases de datos de inteligencia o contrainteligencia, ser�a complejo aplicar el principio de transparencia, pues podr�a llevar a que el titular del dato pudiera tener acceso a la informaci�n recaudada, en perjuicio de otros derechos y libertades. Por lo anterior, sostiene que se requiere hacer una diferenciaci�n entre dos clases de excepciones que se encuentran dentro del proyecto: (i) la excepci�n relativa a informaci�n que nace del ejercicio de derechos personal�simos constitucionales, y (ii) la excepci�n referente a bases de datos reservadas o secretas; esta distinci�n pone de presente que las excepciones depender�n de la naturaleza de los datos, pues si esto no se tuviese en cuenta, se llegar�a a atentar contra mecanismos de protecci�n y defensa de la seguridad nacional.�

��

Por otro lado, indica que se debe cuestionar si la incorporaci�n del par�grafo atiende a la voluntad del legislador, ya que analizando el tramite, en un principio se ten�an solo establecidas excepciones absolutas y luego, con la presentaci�n de la ponencia para debate en la plenaria del Senado, se adicion� este par�grafo, lo que cambi� todo el contexto de las excepciones.�

��

Agrega que la aplicaci�n de los principios del habeas data a los archivos o bases de datos que no circulan, ni salen de la esfera de la persona, arruinar�a la autonom�a, libertad personal, intimidad y el derecho a la reserva documentaria.�

��

Finalmente, en lo que respecta a los archivos para la seguridad y los de naturaleza reservada, sostiene que la aplicaci�n de los principios generales del habeas data configurar�a un peligro y un da�o constitucional, adem�s de restarles toda eficacia.�

��

2.4.2.3. ACEMI solicita la exequibilidad condicionada del art�culo 2� en el sentido de que "se excluya del �mbito de su aplicaci�n las bases de datos de afiliaci�n del Sistema General de Seguridad Social en Salud y en general, del Sistema de la Protecci�n Social". Expone las siguientes razones:�

��

Sostiene que los individuos deben suministrar datos personales al Sistema General de Seguridad Social en Salud para poder afiliarse, ya sea al r�gimen contributivo o al r�gimen subsidiado, as� como para acceder a la prestaci�n efectiva de los servicios de salud. Recuerda, con sustento en el numeral 1� del art�culo 15 de la Ley 100 de 1993 y el inciso 2 del art�culo 25 del Decreto 806 de 1998, que la afiliaci�n al Sistema es obligatoria, por lo que "el conocimiento y divulgaci�n de esta informaci�n a [por] las entidades del sector salud y de pensiones, a diferencia de cualquier tipo de informaci�n que reposa en otras bases de datos, no es potestativa."Conforme a esto, considera que los datos requeridos por el Sistema para la afiliaci�n no pueden ocultarse, en tanto la afiliaci�n es una obligaci�n legal, expresa, razonable y justificada, por lo que no debe hablarse del derecho a dar y conocer esa informaci�n, "sino de la obligaci�n que tiene toda persona de darla con la finalidad leg�tima de acceder a la garant�a de derechos fundamentales de mayor importancia".�

��

Otra particularidad por la que considera que las bases de datos de las administradoras del Sistema de Seguridad Social en Salud son especiales, es porque la negativa a suministrar los datos, el reporte defectuoso o la imposibilidad de acceder a los datos obstruyen la prestaci�n del servicio de salud en general. Por ejemplo, el no registro de novedades limita el ejercicio de derechos dentro del sistema. Adem�s, el no suministro de informaci�n veraz y oportuna afecta la destinaci�n de recursos para la prestaci�n del servicio; es por ello que los administradores deben reportar mensualmente al Ministerio de la Protecci�n Social la informaci�n sobre el estado de afiliaci�n de las personas para efectos de garantizar la adecuada destinaci�n de los recursos, mediante el control la doble afiliaci�n y las situaciones de evasi�n y elusi�n.�

��

Finalmente, sostiene que "(�) de no declararse la exequibilidad condicionada del (�) se crear�an mecanismos de peticiones, consultas y reclamos m�s dispendiosos en el tiempo que en �ltimas abren las puertas para demorar 'injustificadamente' la efectividad de los derechos de los titulares de datos personales, en perjuicio de derechos de mayor preponderancia como el derecho a la seguridad social."�

��

2.4.2.4. ASOBANCARIA solicita, en primer lugar, la exequibilidad condicionada del literal a), en el entendido que el r�gimen de protecci�n de datos no se aplica a aquellos que circulan internamente, esto es, que no se suministran a terceros.�

��

Sostiene que dada la redacci�n final del literal a), quien reciba un dato tendr� que asumir las obligaciones y cargas contenidas en el articulado para el tratamiento de la informaci�n. Aunque la Corte Constitucional ha reconocido que el derecho al h�beas data puede admitir restricciones siempre que sean adecuadas para la protecci�n de otros derechos o bienes constitucionales como el derecho a la informaci�n, posibilitar que se impongan est�s cargas de protecci�n a informaci�n que no est� sujeta a flujo, esto es, que no ha sido o no tiene vocaci�n de ser suministrada a terceros, constituye un trato desproporcionado que rompe el equilibrio pretendido por la propia jurisprudencia entre los derechos de los titulares, de las fuentes de informaci�n, de los operadores de las bases de datos y de los usuarios.�

��

Con respecto al aparte del literal a) que establece "[c]uando estas bases de datos o archivos vayan a ser suministrados a terceros se deber�, de manera previa, informar al titular y solicitar su autorizaci�n", precisa que la redacci�n conduce a una disposici�n violatoria de los est�ndaresconstitucionales relacionados con el flujo de la informaci�n. En su criterio, esta redacci�n establece una restricci�n desproporcionada, ya que no distingue los tipos de datos que de acuerdo con la jurisprudencia no requieren autorizaci�n para su circulaci�n, es decir, la norma no diferencia entre datos p�blicos, privados, semiprivados y reservados, ni entre informaci�n personal e impersonal. De modo que, a menos que la Corte determine que la norma es constitucional en el entendido que no se aplica a datos de car�cter p�blico, ni a los establecidos en el numeral 1.4 del art�culo 6 de la Ley 1266 de 2008, considera que debe ser declarada inexequible.�

��

En segundo lugar, en relaci�n con el par�grafo, manifiesta que la aplicaci�n de los principios establecidos en el proyecto a las excepciones configura una carga excesiva que podr�a desconocer derechos y principios constitucionales como el derecho a la informaci�n, la libertad de prensa y/o el derecho a acceder a documentos p�blicos.�

��

Agrega que el par�grafo no respeta la especificidad de la regulaci�n de la Ley 1266 de 2008, cuando establece: "[e]n el evento que la normatividad especial que regule las bases de datos exceptuadas prevea principios que tengan en consideraci�n la naturaleza especial de datos, los mismos aplicar�n de manera concurrente a los previstos en la presente ley". De modo que -a juicio de ASOANCARIA- el proyecto desconoce que el legislador estatutario "contempl� el dise�o de dispositivos normativos dirigidos a asegurar la especificidad y la naturaleza del campo donde se aplicar�an las disposiciones correspondientes a los diferentes escenarios donde es posible reivindicar el respeto del derecho al habeas data, como ocurri� con la Ley 1266 de 2008, dise�ada espec�ficamente para establecer disposiciones generales del h�beas data para ser aplicadas en el manejo de la informaci�n contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros pa�ses". Concluye que desconocer esta especificidad, al exigir la aplicaci�n de principios generales de manera "concurrente", configura un vicio de fondo.�

��

2.4.2.5. El profesor Nelson Remolina de la Universidad de los Andes solicita, en primer lugar, declarar exequible el inciso primero, bajo el entendido que el proyecto no s�lo es aplicable al tratamiento de datos personales contenidos en bases de datos, sino tambi�n en archivos de entidades p�blicas y privadas. En su sentir, es importante que la Corte Constitucional se pronuncie sobre este punto no s�lo porque el art�culo 15 menciona expl�citamente los archivos sino porque no toda base de datos es un archivo ni viceversa. Se trata de figuras diferentes que en algunos casos pueden coincidir, pero no necesariamente. Agrega que en todo caso frente a las dos figuras, y no s�lo respecto de las bases de datos, es procedente el ejercicio del derecho fundamental al habeas data.�

��

En segundo lugar, solicita declarar exequibles los literales a), b), c), d) y f), bajo el entendido que los tratamientos exceptuados, as� como las normas previas y posteriores a la expedici�n de la ley estatutaria general, deben respetar y garantizar los elementos del n�cleo esencial del derecho al habeas data.�

��

En tercer lugar, solicita declarar exequible el par�grafo junto con el art�culo 27, (i) bajo el entendido que las leyes y actos administrativos especiales sobre datos personales emitidos antes de que se profiera la nueva ley deben ajustarse, revisarse y actualizarse de manera que sean consistentes con los principios y reglas generales contenidos en el proyecto y con la jurisprudencia de la Corte Constitucional; y (ii) bajo el entendido que las leyes y actos administrativos especiales sobre datos personales emitidos con posterioridad a que se profiera la nueva ley, deben respetar e incorporar los principios y reglas generales contenidos en el proyecto y la jurisprudencia constitucional.�

��

2.4.2.6. La ciudadana Juanita Dur�n V�lez solicita la inexequibilidad del par�grafo o, en su defecto, su exequibilidad condicionada, en el entendido que los principios solo se aplican concurrentemente ante un vac�o en la regulaci�n especial adoptada por el legislador estatutario.�

��

2.4.2.7. El ciudadano Santiago Diazgranados Mesa solicita la exequibilidad condicionada del literal a), para que se entienda que incluye los datos personales que "circulan internamente, esto es, que no se suministran a otras personas jur�dicas o naturales".�

��

2.4.3. Exequibilidad del inciso primero: condiciones que definen el �mbito de aplicaci�n de la ley�

��

El inciso primero del art�culo 2 establece tres condiciones para la aplicaci�n de la ley: (i) la existencia de datos personales (ii) registrados en una base de datos que los haga susceptibles de tratamiento (iii) por entidades p�blicas o privadas.�

��

2.4.3.1. En relaci�n con la primera condici�n, la Sala estima que se ajusta a la Carta, teniendo en cuenta, en primer lugar, que el objeto del derecho al habeas data es la protecci�n de los datos personales y, en segundo lugar, que efectivamente el proyecto contiene regulaciones generales dirigidas a la protecci�n de todo tipo de dato personal. Por tanto, esta condici�n guarda relaci�n con la unidad tem�tica del proyecto.�

��

2.4.3.2. En relaci�n con la segunda condici�n, uno de los intervinientes solicita que sea declarada exequible siempre y cuando se entienda que comprende los archivos en virtud del texto del art�culo 15 superior, seg�n el cual el habeas data comprende el "(�) derecho [de las personas] a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades p�blicas y privadas."En criterio del interviniente, los archivos son espacios diferentes a las bases de datos, pero tienen en com�n que pueden contener datos personales susceptibles de ser tratados de alguna manera.[157]�

��

Para la Sala, la preocupaci�n del ciudadano es muy importante, pues ciertamente los archivos contienen datos personales susceptibles de ser tratados y, por tanto, que requieren medidas de protecci�n; sin embargo, la Sala observa que los archivos s� hacen parte del �mbito de aplicaci�n de la ley, por las siguientes razones:�

��

El art�culo 3 del proyecto define las base de datos de una manera muy amplia como el "[c]onjunto organizado de datos personales que sea objeto de Tratamiento".El tratamiento, por su parte, es definido como "[c]cualquier operaci�n o conjunto de operaciones sobre datos personales, tales como recolecci�n, almacenamiento, uso, circulaci�n o supresi�n".�

��

El proyecto no contiene una definici�n de archivo; sin embargo, �ste es definido por la Real Academia de la Lengua como el "[c]onjunto ordenado de documentos que una persona, una sociedad, una instituci�n, etc., producen en el ejercicio de sus funciones o actividades"o como el "[l]ugar donde se custodian uno o varios archivos." Los archivos tambi�n son definidos por la Ley 594 de 2000 "por medio de la cual se dicta la Ley General de Archivos y se dictan otras disposiciones", como el "[c]onjunto de documentos, sea cual fuere su fecha, forma y soporte material, acumulados en un proceso natural por una persona o entidad p�blica o privada, en el transcurso de su gesti�n, conservados respetando aquel orden para servir como testimonio e informaci�n a la persona o instituci�n que los produce y a los ciudadanos, o como fuentes de la historia (�)"(art�culo 3). Finalmente, los archivos tambi�n han sido conceptualizados por esta Corporaci�n as�:"(�) un conjunto org�nico de documentos, unidos por un v�nculo originario o de procedencia, que sirven para recuperar con agilidad y en tiempo oportuno toda la informaci�n almacenada por una oficina o instituci�n en el curso de su actividad.".[158]�

��

De acuerdo con estas definiciones, los archivos -para efectos exclusivamente del proyecto-, en tanto son (i) dep�sitos ordenados de datos, incluidos datos personales, y (ii) suponen, como m�nimo, que los datos han sido recolectados, almacenadosy, eventualmente, usados- modalidades de tratamiento, son una especie de base de datos que contiene datos personales susceptibles de ser tratados y, en consecuencia, ser�n cobijados por la ley una vez entre en vigencia.�

��

Esta parece adem�s haber sido la intenci�n del legislador estatutario, toda vez que varios art�culos del proyecto se refieren a los archivos (i) como sin�nimos de bases de datos o modalidades del mismo g�nero al que pertenecen las bases de datos, y (ii) como �mbitos a los que son aplicables las regulaciones del proyecto. Por ejemplo, el literal a) del inciso tercero del art�culo 2 dispone que uno de los casos exceptuados de la aplicaci�n de algunas regulaciones de la ley son "(�) las bases de datos o archivos mantenidos en un �mbito excluidamente personal o dom�stico."En tanto -como se ver� m�s adelante- las hip�tesis del art�culo 3 no est�n exceptuadas de la aplicaci�n de los principios, los archivos mantenidos en un �mbito exclusivamente personal o dom�stico son cobijados por lo menos por el art�culo 4 del proyecto. Lo mismo se puede concluir de los archivos "(�) que tengan por finalidad la seguridad y defensa nacional"y de los archivos "(�) de informaci�n period�stica y otros contenidos editoriales", previstos en los literal b) y d), respectivamente, del inciso tercero del art�culo 3, es decir, a tales archivos se aplican los principios del art�culo 4.�

��

Vale la pena mencionar que si bien la definici�n de base de datos que trae el proyecto puede diferir del uso com�n del t�rmino, no por ello es inconstitucional, pues el legislador goza de discrecionalidad para hacer clasificaciones y fijar definiciones, como ocurri� en este caso.�

��

En este orden de ideas, teniendo en cuenta que el concepto de bases de datos es suficientemente amplio para cobijar los archivos, la Sala concluye que la segunda condici�n es exequible.�

��

2.4.3.3. Por �ltimo, respecto de la tercera condici�n -posibilidad de tratamiento de los datos por entidades p�blicas o privadas, para la Sala surge la duda de si el empleo del t�rmino entidadessupone una restricci�n inconstitucional, pues podr�a limitar el �mbito de aplicaci�n a datos personales susceptibles de ser tratados solamente por personas jur�dicas, lo que excluir�a los casos de tratamiento por personas naturales.�

��

Sin embargo, la Sala observa que el t�rmino entidad tienen varias acepciones, una de la cuales incluye a las personas naturales. En efecto, seg�n el Diccionario de la Real Academia de la Lengua, una entidad puede ser una "[c]olectividad considerada como unidad. Especialmente, cualquier corporaci�n, compa��a, instituci�n, etc., tomada como persona jur�dica", pero tambi�n puede ser un "[e]nte o ser"; esta segunda definici�n -m�s amplia- cobija a las personas naturales.�

��

As�, en atenci�n a los principios de interpretaci�n conforme a la Constituci�n y de conservaci�n del derecho, la Sala concluye que debe entenderse -sin necesidad de condicionar la exequibilidad del precepto-que la interpretaci�n del inciso que se ajusta a la Carta es aquella seg�n el cual el t�rmino entidades comprende tanto las personas natrales como jur�dicas. De modo que as� entendida la condici�n, la Sala tambi�n concluye que es compatible con la Carta, pues cobija las hip�tesis necesarias para que el proyecto cumpla su finalidad de brindar protecci�n a lo datos personales.�

��

Para terminar, resalta la Sala la importancia de esta disposici�n, en tanto reconoce que el tratamiento de datos personales tambi�n puede ser efectuado por personas privadas; de hecho, en el mundo globalizado, el sector privado lleva a cabo una parte muy considerable del tratamiento de datos, lo que lo dota de un poder inform�tico a gran escala y lo convierte en un potencial vulnerador del derecho al habeas data. De ah� que uno de los grandes retos de la protecci�n de los datos personales es la creaci�n de mecanismos para hacer responsables a los particulares por el tratamiento inadecuado y abusivo de datos personales.�

��

2.4.4. Exequibilidad del inciso segundo: �mbito de aplicaci�n territorial y subjetivo�

��

El inciso segundo indica que la ley se aplicar� al tratamiento de datos personales (i) efectuado en el territorio colombiano o (ii) que tiene lugar fuera del territorio, pero es llevado a cabo por un responsable o encargado del tratamiento al que le es aplicable la legislaci�n colombiana en virtud de normas y tratados internacionales.�

��

Para la Sala, esta disposici�n se ajusta a la Carta, pues ampl�a el �mbito de protecci�n a algunos tratamientos de datos personales que ocurren fuera del territorio nacional, en virtud del factor subjetivo. En un mundo globalizado en el que el flujo transfronterizo de datos es constante, la aplicaci�n extraterritorial de los est�ndares de protecci�n es indispensable para garantizar la protecci�n adecuada de los datos personales de los residentes en Colombia, pues muchos de los tratamientos, en virtud de las nuevas tecnolog�as, ocurren precisamente fuera de las fronteras. Por tanto, para la Sala se trata de una medida imperiosa para garantizar el derecho al habeas data. Esta disposici�n debe adem�s leerse en conjunto con los art�culos sobre transferencia de datos a terceros pa�ses, de los cuales se ocupar� la Sala m�s adelante.�

��

2.4.5. Exequibilidad del inciso tercero y del par�grafo: casos exceptuados�

��

2.4.5.1. Interpretaci�n de los preceptos�

��

El inciso tercero se�ala que el r�gimen de protecci�n del proyecto de ley "no ser� de aplicaci�n" a los siguientes �mbitos: a) bases de datos o archivos mantenidos en un �mbito exclusivamente personal o dom�stico; b) bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, as� como la prevenci�n, detecci�n, monitoreo y control de lavado de activos y financiamiento del terrorismo; c) bases de datos que tengan como fin y contengan informaci�n de inteligencia y contrainteligencia; d) bases de datos y archivos de informaci�n period�stica y otros contenidos editoriales; e) bases de datos y archivos regulados por la Ley 1266 de 2008 -datos financieros y comerciales para calcular riesgo crediticio; y f) bases de datos y archivos regulados por la Ley 79 de 1993 -informaci�n estad�stica.�

��

Adem�s, el par�grafo precisa que los principios de protecci�n contenidos en el proyecto "(�) ser�n aplicables a todas las bases de datos, incluidas las exceptuadas en el presente art�culo, con los l�mites dispuestos en la presente ley y sin re�ir con los datos que tienen caracter�sticas de estar amparados por la reserva legal."Tambi�n dispone que los principios que se establezcan en la normativa que regule los datos exceptuados, se deber�n aplicar de manera concurrente con los estipulados en el proyecto.�

��

Una lectura conjunta del inciso tercero y del par�grafo permite concluir que el primero prev� una serie de casos exceptuados de las reglas del proyecto de ley, debido a que requieren reglas especiales, como las que se introdujeron en la Ley 1266 para datos personales financieros y comerciales destinados a calcular el riesgo crediticio. Estas hip�tesis requieren una regulaci�n especial, por cuanto son �mbitos en los que existe una fuerte tensi�n entre el derecho al habeas data y otros principios constitucionales (como el derecho a la informaci�n, la seguridad nacional y el orden p�blico), tensi�n que para ser resuelta requiere reglas especiales y complementarias. Sin embargo, de conformidad con la primera parte del par�grafo, estas hip�tesis no est�n exceptuadas de los principios, como garant�as m�nimas de protecci�n del habeas data. En otras palabras, las hip�tesis enunciadas en el inciso tercero son casos exceptuados -no excluidos- de la aplicaci�n de las disposiciones de la ley, en virtud del tipo de intereses involucrados en cada uno y que ameritan una regulaci�n especial y complementaria, salvo respecto de las disposiciones que tienen que ver con los principios. Varias razones soportan esta interpretaci�n:�

��

En primer lugar, como se indic� en el informe de ponencia para segundo debate en Senado, este par�grafo se introdujo con el fin de precisar que el art�culo 2 no introduce un r�gimen de exclusi�n sino de excepci�n para �mbitos que requieren regulaciones especiales, pero a los que le son aplicables los principios generales contenidos en el proyecto de ley. Al respecto, se indic�:�

��

"La inclusi�n del par�grafo obedece a que sin importar la finalidad que tenga la base de datos, mientras esta contenga informaci�n y datos personales se deber� respetar los principios generales que regulan el tratamiento y protecci�n de datos; as� lo ha sostenido en reiteradas ocasiones la Corte Constitucional al enunciar el desarrollo y alcance que deben tener los principios que regulan el tema de la protecci�n de la informaci�n. Una legislaci�n unificada y clara sobre el tema en desarrollo se hace completamente necesaria respondiendo siempre a los principios de necesidad y proporcionalidad, motivo por el cual pretender dejar bases de datos sin que les sea aplicable los principios de la administraci�n de datos, solo deber�a hacerse en respuesta a un estudio particular de cada caso que sobre fundamentos ver�dicos y con argumentaci�n suficiente que permita, a trav�s del test de razonabilidad, decidir y motivar por qu� no se aplicar�n los principios b�sicos que desarrolla un derecho fundamental, basta con analizar desde la �ptica de la Corte los principios de libertad, necesidad, veracidad, integridad, finalidad. Y su importancia en el desarrollo del derecho fundamental al H�beas Data, la protecci�n de datos personales y la autodeterminaci�n inform�tica."�

��

En segundo lugar, desde el punto de vista teleol�gico, estos preceptos deben interpretarse dentro del prop�sito del proyecto de ley: introducir en el ordenamiento una serie de principios b�sicos aplicables al tratamiento de todos los datos personales, independientemente de su clasificaci�n, lo que es incompatible con la existencia de reg�menes excluidos.�

��

En tercer lugar, y como se analizar� m�s adelante, las garant�as previstas en el articulo 4 son principios que ya hab�an sido recogidos por la jurisprudencia constitucional como garant�as derivadas del derecho fundamental al habeas data y, por tanto, incluso en ausencia de una ley que lo disponga, son de aplicaci�n obligatoria al tratamiento de todo tipo de dato personal.�

��

En consecuencia, una interpretaci�n del inciso tercero del art�culo 2 consonante con la Constituci�n y el contenido y finalidad del proyecto de ley es que aqu�l no prev� reg�menes excluidos de la aplicaci�n de la ley sino exceptuados de algunas de sus disposiciones en virtud de los intereses que se hallan en tensi�n. Esos casos exceptuados deben ser regulados por leyes estatutarias especiales y complementarias, las cuales deber�n sujetarse a las exigencias del principio de proporcionalidad.�

��

En este orden de ideas, las leyes especiales que se ocupen de los �mbitos exceptuados deber�n (i) perseguir una finalidad constitucional, (ii) prever medios id�neos para lograr tal objetivo, y (iii) establecer una regulaci�n que en aras de la finalidad perseguida, no sacrifique de manera irrazonable otros derechos constitucionales, particularmente el derecho al habeas data. Adem�s, de conformidad con los principios que se examinar�n m�s adelante, el cumplimiento de las garant�as y la limitaci�n del habeas data dentro de los l�mites de la proporcionalidad debe ser vigilada y controlada por un �rgano independiente, bien sea com�n o sectorial.�

��

Antes de terminar, tal como se hizo en la sentencia C-1011 de 2008[159], la Sala se permite recordar que aunque en principio es constitucional la consagraci�n de algunas excepciones a la aplicaci�n de algunas disposiciones de la ley, ello no significa que aquellos �mbitos, as� como todos los dem�s en los que se lleva a cabo tratamiento de datos personales, est�n excluidos de las garant�as b�sicas del derecho al habeas data, as� como de las garant�as de otros derechos fundamentales que en cada caso puedan resultar lesionados con el tratamiento de datos personales.[160]�

��

2.4.5.2. Las excepciones efectivamente son previstas por la ley, como lo exige la Constituci�n, y deben ser interpretadas de manera restrictiva�

��

El Comit� de Derechos Humanos, en su Observaci�n General 16 sobre el art�culo 17 del PIDCP -sobre el derecho a la intimidad, indic� que "(�) no puede producirse injerencia alguna, salvo en los casos previstos por la ley. La injerencia autorizada por los Estados s�lo puede tener lugar en virtud de la ley, que a su vez debe conformarse a las disposiciones, prop�sitos y objetivos del Pacto" (negrilla fuera del texto)[161]. De esta afirmaci�n se sigue, como ha tambi�n indicado esta Corporaci�n, que, en principio, las excepciones a la aplicaci�n de las garant�as de los derechos fundamentales, en este caso del derecho al habeas data, deben estar previstas en la ley, como efectivamente lo hace el proyecto bajo examen. Ciertamente, a juicio de esta Corporaci�n, en tanto tales excepciones son una fuerte limitaci�n de los derechos, es un asunto que corresponde regular al legislador estatutario.[162]Adem�s, las excepciones que se introduzcan, aunque est�n contenidas en una ley, deben sujetarse a las exigencias del principio de proporcionalidad.[163]�

��

El Comit� de Derechos Humanos tambi�n ha indicado que "[i]ncluso con respecto a las injerencias que sean conformes al Pacto, en la legislaci�n pertinente se deben especificar con detalle las circunstancias precisas en que podr�n autorizarse esas injerencias.". De ah� la necesidad de que las excepciones previstas en este art�culo sean desarrolladas por el legislador estatutario en otras leyes, en las que precise las condiciones en las que debe aplicarse el r�gimen excepcional.�

��

Finalmente, el Comit� asegura que "[e]l cumplimiento del art�culo 17 exige que la integridad y el car�cter confidencial de la correspondencia est�n protegidos de jure y de facto. La correspondencia debe ser entregada al destinatario sin ser interceptada ni abierta o le�da de otro modo. Debe prohibirse la vigilancia, por medios electr�nicos o de otra �ndole, la intervenci�n de las comunicaciones telef�nicas, telegr�ficas o de otro tipo, as� como la intervenci�n y grabaci�n de conversaciones. Los registros en el domicilio de una persona deben limitarse a la b�squeda de pruebas necesarias y no debe permitirse que constituyan unhostigamiento." Es decir, las excepciones previstas en este art�culo deben, en todo caso, cumplir con las anteriores prohibiciones.�

��

2.4.5.3. Constitucionalidad del literal a): la excepci�n "las bases de datos o archivos mantenidos en un �mbito exclusivamente personal o dom�stico".�

��

El literal a) ofrece tres contenidos normativos: (i) se�ala que uno de los casos exceptuados de la reglas del proyecto es el de "las bases de datos o archivos mantenidos en un �mbito exclusivamente personal o dom�stico".(ii) A continuaci�n, indica que "cuando estas bases de datos vayan a ser suministradas a terceros se deber�, de manera previa, informar al Titular y solicitar su autorizaci�n."Por �ltimo, (iii) precisa que en este �ltimo caso, es decir, cuando los datos son suministrados a un tercero, el respetivo responsable o encargado de las bases de datos y archivos quedar� sujeto a las disposiciones de la ley.�

��

2.4.5.3.1. En relaci�n con el primer contenido normativo, uno de los intervinientes asegura que la excepci�n debe cobijar todo dato que circula internamente, es decir, no solamente a nivel personal y dom�stico, sino tambi�n, por ejemplo, a nivel de una empresa, y entiende que lo que delimita la circulaci�n interna es el tratamiento del dato sin la intenci�n de suministrarlo a terceros. La Sala, por el contrario, encuentra que la regla, tal cual est� redactada en el proyecto, es compatible con la Constituci�n y que la Corte no puede extender el �mbito de la excepci�n a hip�tesis que no fueron previstas por el legislador, por las razones que a continuaci�n se exponen:�

��

El primer contenido normativo del literal a) tiene tres elementos: (i) hace referencia a datos personales, (ii) contenidos en bases de datos (iii) "mantenidos en un �mbito exclusivamente personal o dom�stico".El �ltimo elemento, que es el cuestionado por el interviniente, se refiere al �mbito de la intimidad de las personas naturales; ciertamente, los �mbitos personal y dom�stico son las esferas con las que tradicionalmente ha estado ligado el derecho a la intimidad, el cual, en tanto se relaciona con la posibilidad de autodeterminaci�n como un elemento de la dignidad humana, no puede predicarse de las personas jur�dicas. Por tanto, esta excepci�n busca resolver la tensi�n entre el derecho a la intimidad y el derecho al habeas data.�

��

As�, en tanto los datos mantenidos en estas esferas (i) no est�n destinados a la circulaci�n ni a la divulgaci�n, y (ii) su tratamiento tampoco puede dar lugar a consecuencias adversas para el titular, tiene sentido que su tratamiento est� exceptuado de algunas disposiciones del proyecto. Por ejemplo, no ser�a razonable que la protecci�n de los datos personales mantenidos en estos �mbitos (por ejemplo, un directorio telef�nico dom�stico) estuviera a cargo de la Superintendencia de Industria y Comercio o que quien trata los datos estuviera sometido al r�gimen sancionatorio que prev� el proyecto.�

��

Ahora bien, no puede entenderse que el primer contenido normativo del literal a) se extienda al tratamiento de cualquier dato cuando circule internamente, como pretende ASOBANCARIA. En primer lugar, si bien es cierto una de las razones por las cuales la excepci�n del literal a) es razonable es porque los datos "mantenidos en un �mbito exclusivamente personal o dom�stico"no est�n destinados a circular, de ah� no se sigue que todo dato que no circula o circula internamente deba ser exceptuado, pues para que opere la excepci�n, por voluntad del legislador, se requiere adem�s que los datos sean mantenidos por una persona natural en su esfera �ntima. Ciertamente, se trata de dos hip�tesis diferentes, raz�n por la cual, por ejemplo, en el texto de la Ley 1266, si bien fueron tratadas conjuntamente, fueron unidas por la conjunci�n "y", lo que significa que son dos ideas distintas.[164]�

��

En segundo lugar, no hay razones para concluir que, en el contexto de una regulaci�n general y m�nima del habeas data[165], el tratamiento de datos que circulan internamente merezca las mismas consecuencias jur�dicas del tratamiento de datos "mantenidos en un �mbito exclusivamente personal o dom�stico"; en otras palabras, no hay argumentos constitucionales que lleven a concluir que las dos hip�tesis deben recibir el mismo trato legal. El que los datos no circulen o circulen internamente, no asegura que su tratamiento no pueda tener consecuencias adversas para su titular. Pi�nsese por ejemplo en las hojas de vida de los empleados de una empresa mantenidas en el �mbito interno; si bien no van a ser divulgadas a terceros, su tratamiento y circulaci�n interna s� puede traer consecuencias negativas para el titular del dato (por ejemplo, en t�rminos sancionatorios o de ascensos), raz�n por la cual deben estar sujetas a las reglas generales que consagra el proyecto de ley.�

��

En este orden de ideas, siempre y cuando se cumplan las condiciones mencionadas previamente y se entienda que, en todo caso, esta hip�tesis s� se encuentra sujeta a los principios del art�culo 4, para la Sala la excepci�n prevista en la primera regla del literal a) se ajusta a la Carta.�

��

2.4.5.3.2. En relaci�n con el segundo contenido normativo, este es que "cuando estas bases de datos vayan a ser suministradas a terceros se deber�, de manera previa, informar al Titular y solicitar su autorizaci�n", la Sala encuentra que no solamente es compatible con la Constituci�n, sino que es desarrollo del principio de libertad -cuyo contenido ser� examinado m�s adelante, con mayor raz�n si se tiene en cuenta que al salir de la esfera personal o dom�stica, la circulaci�n de los datos pueden empezar a crear riesgos sobre los derechos de los titulares.�

��

2.4.5.3.3. Por �ltimo, la Sala estima que el tercer contenido normativo seg�n el cual "[e]n este caso los Responsables y Encargados de las bases de datos y los archivos quedar�n sujetos a las disposiciones contenidas en la presente ley", no solo es compatible con la Carta, sino que es una manifestaci�n del principio de responsabilidad. La Sala observa que cuando los datos que eran mantenidos en la esfera personal o dom�stica son puestos en circulaci�n externa, se crea un riesgo para el titular, lo que justifica que el encargado y responsable del tratamiento deban someterse a las reglas de responsabilidad que prev� el proyecto, con la finalidad de evitar posibles abusos. La Sala entonces declarar� exequible tambi�n esta parte del literal a).�

��

2.4.5.4. Constitucionalidad del literal b): la excepci�n "las bases de datos o archivos que tengan por finalidad la seguridad y defensa nacional, as� como la prevenci�n, detecci�n, monitoreo y control del lavado de activos y el financiamiento del terrorismo"�

��

2.4.5.4.1. Como se indic� en la sentencia C-251 de 2002[166], "[u]na de las finalidades b�sicas de las autoridades colombianas es la defensa de la integridad nacional y la preservaci�n del orden p�blico y de la convivencia pac�fica, no s�lo porque as� lo establece expresamente el art�culo 2� de la Carta, sino adem�s porque esos elementos son condiciones materiales para que las personas puedan gozar de sus derechos y libertades".�

��

Las labores de defensa y seguridad, a diferencia de las de inteligencia y contrainteligencia -como se ver� m�s adelante- tienen lugar con ocasi�n de la existencia de amenazas actuales y graves contra el orden p�blico y la soberan�a, y solamente pueden ser ejecutadas por la Fuerza P�blica.[167]�

��

Amenazas de tal magnitud justifican el tratamiento de datos personales para los prop�sitos de defensa y seguridad nacional; es m�s, esta Corporaci�n ha indicado que el tratamiento de datos personales para esos prop�sitos "(�) es un elemento importante para el logro de sus fines constitucionales de mantenimiento del orden constitucional y de las condiciones necesarias para el ejercicio adecuado de los derechos y libertades previstos en la Carta"[168], es decir, se trata de una herramienta importante de la que disponen las autoridades para cumplir sus funciones de defensa.�

��

Sin embargo, como lo ha indicado esta Corporaci�n, la defensa del orden p�blico y de la integridad de la soberan�a no pueden servir de excusa para desconocer las garant�as b�sicas del estado social de derecho e implementar un estado totalitario en el que las personas se conviertan en objetos al servicio del Estado.[169]Por ello, toda labor de seguridad y defensa nacional debe ser compatible con la dignidad y los derechos fundamentales de las personas que puedan resultar afectadas. En este orden de ideas, la Sala reitera que el tratamiento de datos personales con estas finalidades debe sujetarse de manera estricta a las exigencias del principio de proporcionalidad.�

��

2.4.5.4.2. Consideraciones similares deben realizarse para las excepciones de "prevenci�n, detecci�n, monitoreo y control del lavado de activos y el financiamiento del terrorismo",pues tanto el lavado de activos como el terrorismo son amenazas importantes contra la seguridad y el orden p�blico.�

��

Por ejemplo, en la sentencia C-537 de 2008[170], la Corte reconoci� que el delito de terrorismo conlleva una grave afectaci�n "(�) de derechos y libertades de primer orden, lo que impone la obligatoriedad para el Estado de establecer medidas suficientes y eficaces, tanto en el �mbito internacional como del derecho interno, para prevenir, combatir y sancionar esas conductas."Dada la gravedad del delito, la Corte agreg� que "(�) las decisiones que adopte el legislador dirigidas a implementar medidas para la prevenci�n, represi�n y sanci�n del terrorismo son prima facie arm�nicas con el Estatuto Superior."[171]La Sala tambi�n observa que la adopci�n de medidas para combatir efectivamente el terrorismo es una obligaci�n internacional del Estado colombiano derivada de instrumentos tales como el Convenio Internacional para la Represi�n de los Atentados Terroristas Cometidos con Bombas, el Convenio Internacional para la Represi�n de la Financiaci�n del Terrorismo y la Convenci�n Interamericana contra el Terrorismo, todos ratificados por Colombia y sus leyes aprobatorias declaradas exequibles por esta Corporaci�n.�

��

En materia de lavado de activos, la Corte ha se�alado que el establecimiento de medidas para prevenir y sancionar esta conducta es un aspecto inseparable del �xito de las medidas para la represi�n del crimen organizado. Adem�s, ha reconocido que dada la sofisticaci�n de las redes dedicadas a este delito y su naturaleza transfronteriza, se requieren medidas especiales y el uso de la tecnolog�a.[172]�

��

En este orden de ideas, dada la entidad de la amenaza que para el orden constitucional representan las conductas delictivas de terrorismo y lavado de activos, la Corte considera razonable que el tratamiento de datos para su prevenci�n, detecci�n, monitoreo y control sea exceptuado de la aplicaci�n del proyecto bajo revisi�n, salvo en materia de principios.[173]�

��

2.4.5.5. Constitucionalidad del literal c): la excepci�n "las bases de datos que tengan como fin y contengan informaci�n de inteligencia y contrainteligencia"�

��

En informe de ponencia para segundo debate en el Senado[174], se propuso la inclusi�n del literal c), por las siguientes razones:�

��

"El nuevo literal d) se incluye dado a que si bien se sostiene en el literal c) del mismo art�culo una descripci�n de bases de datos relacionadas con el tema de seguridad del Estado, es bien sabido que el tema de inteligencia y contrainteligencia debe tratarse con sumo cuidado ya que aunque guarda estrecha relaci�n con la seguridad del Estado, su manejo y fines son aut�nomos, motivo por el cual y respetando la jurisprudencia vigente se prefiere identificar de manera clara la exclusi�n condicionada de este tipo de bases de datos."�

��

La jurisprudencia constitucional ha indicado que la inteligencia y contrainteligencia, pese a que se relacionan con la seguridad nacional y la defensa, son conceptos distintos que ameritan una regulaci�n especial y diferente.�

��

Como se se�al� en la sentencia C-592 de 1997[175], el t�rmino inteligencia es definido por la Real Academia de la Lengua Espa�ola como una"[o]rganizaci�n secreta en un Estado para dirigir y organizar el espionaje". Esta actividad, por tanto, est� reservada para los organismos del Estado y no se puede delegar por razones de seguridad nacional.�

��

M�s recientemente, en la sentencia C-913 de 2010[176], la Corte record� que los t�rminos inteligencia y contrainteligencia tienen la siguiente definici�n: "(�) el Diccionario de la Real Academia de la Lengua Espa�ola menciona dentro de las distintas acepciones del t�rmino inteligencia, el 'trato y correspondencia secreta de dos o m�s personas o naciones entre s�', y m�s adelante sugiere el concepto de servicio de inteligencia, el cual es definido como una 'organizaci�n secreta de un Estado para dirigir y organizar el espionaje'. De otro lado, en lo que respecta a la contrainteligencia, se remite al concepto de contraespionaje, que se define como un 'servicio de defensa de un pa�s contra el espionaje de potencias extranjeras'."�

��

Luego, a partir de estas definiciones y de un sondeo de definiciones adoptadas en otras legislaciones, la Corte concluy� que estas labores tienen las siguientes caracter�sticas:�

��

"De los anteriores conceptos pueden destacarse, entre otros, los siguientes elementos comunes acerca de las labores de inteligencia y contrainteligencia: i) se trata de actividades de acopio, recopilaci�n, clasificaci�n y circulaci�n de informaci�n relevante para el logro de objetivos relacionados con la seguridad del Estado y de sus ciudadanos; ii) el prop�sito de esas actividades y el de la informaci�n a que se ha hecho referencia es prevenir, controlar y neutralizar situaciones que pongan en peligro tales intereses leg�timos, as� como hacer posible la toma de decisiones estrat�gicas que permitan la defensa y/o avance de los mismos; iii) es inherente a estas actividades el elemento de la reserva o secreto de la informaci�n recaudada y de las decisiones que en ella se sustentan, dado que la libre circulaci�n y el p�blico conocimiento de las mismas podr�a ocasionar el fracaso de esas operaciones y de los objetivos perseguidos; iv) dado que se trata de detectar y prevenir posibles hechos il�citos y/o actuaciones criminales, la informaci�n de inteligencia y contrainteligencia es normalmente recaudada y circulada sin el conocimiento, ni menos a�n el consentimiento de las personas concernidas."�

��

A esto cabe agregar que (i) la inteligencia tiene una funci�n preventiva, lo que significa que, en principio, los datos personales que son tratados con este prop�sito no pueden servir para la privaci�n de la libertad de las personas. Adem�s, (ii) este tipo de labores solamente se puede realizar para prevenir atentados contra bienes jur�dicos de alta importancia - como el orden p�blico y la soberan�a nacional, de manera que no puede emplearse como herramienta de prevenci�n de cr�menes menores y de incidencia netamente individual. (iii) Por �ltimo, las actividades de inteligencia y contrainteligencia pueden realizarse hasta la comisi�n o tentativa de comisi�n de un hecho punible; en este punto, es obligaci�n de los entes de inteligencia poner el asunto en conocimiento de las autoridades judiciales y de polic�a, para que, en el marco de un proceso penal, con respeto del principio de presunci�n de inocencia y previo recaudo de la evidencia seg�n los par�metros legales y constitucionales, adopten las medidas del caso.�

��

Por tanto, la inteligencia y la contrainteligencia deben ser vistas como herramientas al servicio del Estado social de derecho y no como fines en s� mismos, lo que explica que deban sujetarse de manera estricta a las exigencias del principio de proporcionalidad. Entendidas de esta manera, excepcionar de la aplicaci�n de las disposiciones del proyecto al tratamiento de datos que tiene lugar con ocasi�n de actividades de inteligencia y contrainteligencia no resulta inconstitucional, pues se trata de labores importantes para mantener el orden p�blico y la integridad de las fronteras nacionales.[177]�

��

Ahora bien, en virtud de la jurisprudencia constitucional y los est�ndares internacionales de protecci�n de derechos humanos, los cuales adem�s se desprenden de las exigencias del principio de proporcionalidad que debe guiar cualquier limitaci�n de un derecho fundamental, la regulaci�n especial que se introduzca en materia de inteligencia y contrainteligencia deber� ce�irse a las siguientes pautas:[178](i) el tratamiento de datos personales para estas labores debe estar justificada en una amenaza seria, real e inminente contra la seguridad nacional y el orden p�blico; (ii) los datos objeto de tratamiento para estos fines no pueden ser revelados sino hasta que se d� inicio al proceso penal[179]y, en todo caso, no pueden tener valor probatorio en su interior. La revelaci�n de esta informaci�n sin una debida justificaci�n acarrea responsabilidad penal.[180](iii) No se pueden deducir consecuencias adversas para el titular del dato de los informes de inteligencia y contrainteligencia, por ejemplo en materia de acceso a ciertos cargos p�blicos, a menos que previamente se informe al titular la informaci�n que ha sido recaudadas y se le brinde oportunidad de controvertir las conclusiones de los respetivos informes.�

��

Estas mayores exigencias que existen en comparaci�n con, por ejemplo, las limitaciones a las que se ve expuesto el habeas data en un proceso judicial, se explican en que (i) a diferencia de lo que ocurre en los procesos judiciales, en materia de inteligencia y contrainteligencia no existen mecanismos procesales para asegurar los derechos del titular ni tampoco existe una funci�n de verificaci�n por una autoridad jurisdiccional que, adem�s de ser imparcial e independiente, tenga como uno de sus funciones velar por la garant�a de los derechos fundamentales de las partes; y (ii) cuando se realizan labores de inteligencia y contrainteligencia, los titulares de los datos no llegan a conocer que est�n siendo vigilados sino hasta el momento que, por ejemplo, se pretende adjudicar una consecuencia adversa a la informaci�n recaudada, de hecho en muchos eventos el titular del dato nunca se entera de que su informaci�n fue objeto de tratamiento por organismos de inteligencia y contrainteligencia.[181]�

��

2.4.5.6. Constitucionalidad del literal d): la excepci�n de "datos y archivos de informaci�n period�stica y otros contenidos editoriales"�

��

Esta restricci�n es necesaria en la medida en que a trav�s de ella se est� asegurando el respeto a la libertad de prensa. La jurisprudencia ha sido enf�tica en se�alar que el "�mbito de protecci�n de la libertad de expresi�n en sentido gen�rico consagrada en el art�culo 20 Superior, es la libertad de prensa, que se refiere no solo a los medios impresos sino a todos los medios masivos de comunicaci�n.".�

��

La jurisprudencia constitucional ha otorgado una protecci�n reforzada a la libertad de expresi�n, en virtud del importante papel que esta garant�a desempe�a en una democracia participativa. Ha dicho la Corte que aquella, a semejanza de los dem�s derechos, no es absoluta, es decir, puede eventualmente estar sujeta a limitaciones, adoptadas legalmente para preservar otros derechos, valores e intereses constitucionalmente protegidos con los cuales puede llegar a entrar en conflicto. Sin embargo, "el car�cter privilegiado de la libertad de expresi�n tiene como efecto directo la generaci�n de una serie de presunciones constitucionales - la presunci�n de cobertura de toda expresi�n por el �mbito de protecci�n constitucional, la sospecha de inconstitucionalidad de toda limitaci�n de la libertad de expresi�n, la presunci�n de primac�a de la libertad de expresi�n sobre otros derechos, valores o intereses constitucionales con los cuales pueda llegar a entrar en conflicto y la presunci�n de que los controles al contenido de las expresiones constituyen censura."�

��

Por otro lado, por mandato expreso del art�culo 13-2 de la Convenci�n Americana de Derechos Humanos, el ejercicio del derecho a la libertad de expresi�n "no puede estar sujeto a previa censura sino a responsabilidades ulteriores". Esta misma Convenci�n se�ala que la �nica excepci�n a esta regla es la establecida en el numeral 4 del mismo art�culo, que se refiere al sometimiento de espect�culos p�blicos a clasificaciones "con el exclusivo objeto de regular el acceso a ellos para la protecci�n moral de la infancia y la adolescencia". De esta forma, en Colombia son inadmisibles todas las formas de limitaci�n previa a la expresi�n, salvo por la posibilidad de establecer normas legales que regulen el acceso de menores de 18 a�os a espect�culos p�blicos.�

��

En virtud de tal postulado, en la Sentencia T-391 de 2007[182], se dijo que la prohibici�n de la censura, tambi�n consagrada en el art�culo 20 Superior, es absoluta y, por tanto, se encuentra prohibido "el control previo de lo que se va a expresar y el veto de ciertos contenidos expresivos antes de que la informaci�n, opini�n, idea, pensamiento o imagen sea difundida, impidiendo tanto al individuo, cuya expresi�n ha sido censurada, como a la totalidad de la sociedad potencialmente receptora del mensaje censurado ejercer su derecho a la libertad de expresi�n. La prohibici�n constitucional e internacional de la censura es absoluta. Dice el art�culo 20 Superior, en t�rminos tajantes, que "No habr� censura."-, y no deja margen de regulaci�n al legislador ni admite interpretaciones que reduzcan su alcance. La prohibici�n de la censura se establece en el art�culo 20 de la Carta de manera perentoria, sin matices, sin excepciones y sin confiar al legislador la regulaci�n de la materia."�

��

En concordancia, el literal d) del art�culo 2 pretende evitar que las bases de datos y archivos de car�cter period�sticos se vean sometidos a los mismos l�mites que la informaci�n general, lo que podr�a traducirse en una limitaci�n desproporcionada de la libertad de prensa, e incluso en censura -pi�nsese por ejemplo en la posibilidad de la obligaci�n de revelar las fuentes. No obstante, debe esta Sala reiterar que en raz�n de la especial consideraci�n que el constituyente otorg� a la libertad de expresi�n, las posibles colisiones con el derecho al habeas data deben ser resueltas por una regulaci�n especial.�

��

Debe tambi�n aclararse que las bases de datos a las que se refiere el literal d) del art�culo 2, son aquellas de contenido eminentemente period�stico, y no aquellas que est�n en poder del medio de comunicaciones en virtud de otras actividades, como aquellas encaminadas a fines comerciales o publicitarios. As�, las bases de datos con la informaci�n de los suscriptores de un peri�dico s� estar�n sujetas a la regulaci�n de la futura ley estatutaria.�

��

2.4.5.7. Constitucionalidad del literal e): la excepci�n de "datos y archivos regulados por la Ley 1266 de 2008"�

��

La Ley 1266 de 2008 es la ley estatutaria de protecci�n de datos personales comerciales y financieros para el c�lculo de riesgo crediticio, como fue definido en la sentencia C-1011 de 2008. Estos datos requieren una regulaci�n especial -como la adoptada en la Ley 1266 y declarada exequible por esta Corporaci�n, debido a que en este �mbito se presenta una tensi�n entre el habeas data y el desarrollo de la actividad financiera y burs�til, actividad de inter�s p�blico en virtud del impacto que puede tener sobre todo el sistema econ�mico y, por esta v�a, sobre la garant�a de derechos fundamentales y el mantenimiento del orden p�blico. En vista de la necesidad de regular el tratamiento de estos datos de manera especial, deb�an exceptuados de la aplicaci�n del proyecto bajo estudio. Por tanto, la Sala declarar� exequible el literal e), de conformidad con lo expuesto en la sentencia C-1011 de 2008. Sin embargo, la Sala advierte que, seg�n el par�grafo del art�culo 2, los principios que prev� el proyecto bajo estudio deben aplicarse de manera complementaria con los establecidos en la Ley 1266.�

��

2.4.5.8. Constitucionalidad del literal f): la excepci�n de "datos y archivos regulados por la Ley 79 de 1993"�

��

La Ley 79 de 1993 "Por la cual se regula la realizaci�n de los Censos de Poblaci�n y Vivienda en todo el territorio nacional" establece reglas especiales para el tratamiento de datos estad�sticos; en estas reglas se prev� que los datos personales suministrados para fines estad�sticos son reservados y no pueden ser empelados por otras autoridades p�blicas para fines diferentes. Para la Sala, esta excepci�n tambi�n es compatible con la Carta, pues para garantizar la exactitud de los censos y datos estad�sticos, es indispensable la reserva. Si entidades como el DANE pudieran revelar la informaci�n personal de quienes participan en los procesos, podr�an alterar los datos, lo que conducir�a a afectar la exactitud de los an�lisis. La exactitud de la informaci�n estad�stica - recuerda la Sala- es fundamental para el dise�o de pol�ticas p�blicas y programas sociales.�

��

2.4.5.9. Otros �mbitos que requieren regulaciones especiales, aunque no constituyan �mbitos exceptuados�

��

Ahora bien, en ejercicio de su libertad de configuraci�n y atendiendo a las caracter�sticas especiales de cierto tipo de datos personales, el legislador puede tambi�n establecer reglas especiales para otro tipo de datos, pero que en ning�n caso se entender�n como excepciones, salvo que la futura ley estatutaria sea modificada para incluir nuevas excepciones.�

��

Un ejemplo de otros �mbitos que requieren regulaciones especiales se halla en la secci�n B de la Resoluci�n 45/95 de 14 de diciembre de 1990, de la Asamblea General de las Naciones Unidas (documento E/CN.4/1990/72.20 de febrero de 1990) sobre "Directrices para la regulaci�n de los archivos de datos personales informatizados". Este documento, despu�s de se�alar una serie de principios m�nimos que deben guiar el tratamiento de datos personales en todos los pa�ses y que tambi�n son aplicables a las organizaciones internacionales gubernamentales, dispone que:�

��

"(�) puede preverse espec�ficamente una excepci�n a estos principios cuando la finalidad del archivo sea la protecci�n de los derechos humanos y las libertades fundamentales de la persona afectada, o la ayuda humanitaria. Debe preverse una excepci�n similar en la legislaci�n nacional para las organizaciones internacionales gubernamentales cuyo acuerdo organizativo no impida la puesta en pr�ctica de la referida legislaci�n nacional, as� como para las organizaciones internacionales no gubernamentales a las que sea aplicable esta ley."�

��

El legislador podr�a entonces, en virtud de esta disposici�n, establecer un r�gimen de protecci�n especial para los datos administrados por organizaciones no gubernamentales de defensa de derechos humanos.�

��

Lo mismo puede ocurrir en el caso de los datos salud -teniendo en cuenta que una parte importante de ellos son sensibles y las historias cl�nicas son reservadas, el tratamiento de datos para fines de construcci�n de memoria y garant�a del derecho colectivo a la verdad, o de los datos sensibles que son tratados en las redes sociales.�

��

2.5. EXAMEN DEL ART�CULO 3: DEFINICIONES�

��

2.5.1. Texto de la disposici�n�

��

"Art�culo 3�. Definiciones. Para los efectos de la presente ley, se entiende por:�

��

a) Autorizaci�n:Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.�

��

b) Base de datos:Conjunto organizado de datos personales que sea objeto de Tratamiento.�

��

c) Dato personal:Cualquier informaci�n vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.�

��

d) Encargado del tratamiento:Persona natural o jur�dica, p�blica o privada, que por s� misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.�

��

e) Responsable del tratamiento:Persona natural o jur�dica, p�blica o privada, que por s� misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.�

��

f) Titular:Persona natural cuyos datos personales sean objeto de Tratamiento.�

��

g) Tratamiento:Cualquier operaci�n o conjunto de operaciones sobre datos personales, tales como la recolecci�n, almacenamiento, uso, circulaci�n o supresi�n."�

��

2.5.2. Intervenciones ciudadanas y concepto del Ministerio P�blico�

��

2.5.2.1. La Defensor�a del Pueblo solicita declarar exequible el art�culo 3�; sin embargo, sostiene que a nivel de definiciones, el proyecto en estudio es a�n m�s limitado que la Ley Estatutaria 1266 de 2008. Por ejemplo, explica que la Ley 1266 trae definiciones de conceptos tales como "fuente de informaci�n", "usuario", "dato p�blico", "dato semiprivado", y "dato privado", las cuales est�n ausentes del proyecto actual. Agrega que si bien el hecho de que no exista congruencia entre una ley de car�cter sectorial y una de car�cter general que pretenden regular el mismo derecho, no es en s� mismo un vicio de constitucionalidad, s� puede conducir a situaciones de contradicci�n que dejan en evidencia la falta de adecuada t�cnica legislativa en una materia compleja y delicada. Para ilustrar lo anterior, asegura que existen disposiciones de la ley sectorial que pueden resultar m�s beneficiosas que las de la ley general y a cuya aplicaci�n podr�a aspirar leg�timamente el titular de los datos, pese a que su caso no se enmarque dentro del tratamiento de datos financieros o crediticios. Expresa que tambi�n puede suceder lo contrario, esto es que en un caso que involucra esta clase de datos, se busque la aplicaci�n de las normas generales del proyecto de ley. En consecuencia, afirma la Defensor�a, ser�n los jueces los encargados de fijar los l�mites y alcances de los respectivos �mbitos de aplicaci�n, en la medida en que se vayan resolviendo los casos, aunque �ste no es en realidad el escenario adecuado, pues tales precisiones deber�an hacerse en sede legislativa.�

��

2.5.2.2. El profesor Nelson Remolina de la Universidad de los Andes solicita declarar la exequibilidad condicionada del literal e) del art�culo 3, pues se interroga sobre si la definici�n all� contenida versa sobre la persona que hace las veces de fuente u operador en los t�rminos de la Ley 1266 de 2008. Considera entonces que la definici�n del literal e) es confusa e incompleta porque genera vac�os legales sobre el sujeto que seg�n la ley debe cumplir una serie de obligaciones. Adem�s, en su sentir, pareciera que en el nuevo proyecto la fuente y el operador de la Ley 1266 de 2008 se fusionan en la figura del responsable del tratamiento. Ante esta falta de certeza, cree necesario que la Corte precise el alcance de dichas definiciones, pues los conceptos son importantes para establecer los derechos y responsabilidades de los diferentes sujetos involucrados en el tratamiento de los datos personales.�

��

2.5.2.3. El ciudadano Santiago Diazgranados Mesa expresa en relaci�n con la exigencia de consentimiento "previo, expreso e informado" del literal a), que constituye un requisito excesivo y contrario a la Constituci�n. Considera que, en cada caso, debe ponderarse la salvaguarda del derecho a la intimidad con el amparo a la prensa libre, a la libertad de opini�n y a la libre circulaci�n de ideas, con el fin de evitar la censura previa y propender por el libre flujo del pensamiento y el fortalecimiento de un Estado respetuoso del libre desarrollo de la personalidad. Explica que el requerimiento del consentimiento expreso, sin importar el tipo de dato personal, implica una exigencia irrazonable que conlleva la vulneraci�n del derecho a la informaci�n y a la libertad de expresi�n. Indica que la Corte Constitucional ha contemplado el requisito de la manifestaci�n del consentimiento expreso para unas circunstancias particulares en las que los datos personales son de car�cter sensible o reservado; as�, menciona a manera de ejemplo, el dato personal crediticio, la informaci�n relacionada con la orientaci�n sexual, los h�bitos del individuo y el credo religioso o pol�tico. Con fundamento en estas consideraciones, se�ala que la definici�n del principio de libertad (art�culo 4 literal C) y la calificaci�n del consentimiento del titular del dato personal (art�culo 3 literal a) contenidos en el proyecto de Ley objeto de revisi�n, deben ser declarados parcialmente inconstitucionales, con el objetivo de no limitar otras libertades de manera injustificada o irrazonable.�

��

2.5.2.4. El ciudadano Alejandro Salas Pretelt solicita la inconstitucionalidad del t�rmino "expreso" del literal a). En su sentir, constituye una exigencia injustificada. Expone que la jurisprudencia constitucional ha reconocido que la gesti�n de ciertos datos personales no debe necesariamente estar sujeta a consentimiento expreso, pues basta el consentimiento t�cito. Afirma que frente a datos sensibles o reservados se requiere el consentimiento expreso, pero que ante otro tipo de datos, el consentimiento puede ser t�cito. Concluye que el proyecto de ley, al calificar como expreso el consentimiento para cualquier disposici�n de los datos personales, va en contra de los art�culos 15 y 20 de la Constituci�n.�

��

2.5.2.5. De forma similar, el ciudadano Rolfe Hernando Gonz�lez Sosa solicita la inconstitucionalidad parcial del literal a), espec�ficamente de la palabra "expreso", en la medida que es una exigencia excesiva. Sostiene que, de conformidad con la jurisprudencia constitucional, la interpretaci�n del proyecto debe ser compatible con el ejercicio del derecho a la libertad de expresi�n y de informaci�n. Aduce que exigir el consentimiento "expreso" por parte del titular del dato personal o para cualquier especie de tratamiento no es proporcionado, por cuanto el flujo de informaci�n a que puede estar sometido cualquier dato personal es tan din�mico y se encuentra en tantas facetas de la vida diaria, "que har�a realmente imposible este flujo de informaci�n si cada vez que se requiera el consentimiento expreso como si cualquier dato personal fuera un dato sensible, vulnerando de manera grave el derecho a la liberta de expresi�n y de informaci�n".�

��

Afirma que en la sentencia C-1011 de 2008, la Corte determin� que el consentimiento expreso es necesario solamente frente a datos de car�cter crediticio, de lo cual deduce que para otros tipos de datos, el consentimiento t�cito es v�lido dentro del principio de libertad. Adem�s, destaca que en dicha sentencia se estableci� que era competencia del juez determinar en cada caso "el contenido de la autorizaci�n que el usuario de los sistemas inform�ticos obtiene del titular del dato, con miras a establecer su alcance, considerando, adem�s del inter�s general que demanda la utilizaci�n del documento, especialmente, las condiciones en que dicha autorizaci�n fue otorgada, como quiera que si al aquiescencia del otorgante estuvo condicionada por el acceso al servicio o a la operaci�n de cr�dito". En este sentido, sostiene que el propio juez es quien debe entrar a analizar si conforme a la informaci�n requerida, es necesario o no el consentimiento expreso del titular.�

��

2.5.3. Precisiones generales sobre la constitucionalidad del art�culo�

��

Las definiciones de los vocablos "t�cnicos" que se emplean para regular el objetivo del proyecto de ley, son elementos indispensables para la protecci�n del habeas data, en tanto permiten una correcta y apropiada interpretaci�n de la ley y contribuyen a determinar las responsabilidades de los involucrados en el tratamiento de datos personales. Ahora bien, al igual que se se�al� en la sentencia C-1011 de 2008[183], la fijaci�n de tales definiciones hace parte de la libre configuraci�n del legislador, de modo que en este punto el Congreso goza de un importante margen de discreci�n. Sin embargo, es necesario hacer algunas precisiones sobre la terminolog�a por la que se opt� el legislador y examinar si ella se ajusta a la Constituci�n.�

��

Lo primero que advierte la Sala, al igual que lo hicieron algunas intervenciones, es que a diferencia de lo que ocurri� en la Ley 1266, el legislador recurri� en esta oportunidad a conceptos propios del modelo europeo para referirse a las personas vinculadas al tratamiento del dato personal. Para algunos intervinientes este hecho no s�lo es un problema de t�cnica legislativa (en la medida en que conduce a la coexistencia de dos modelos normativos que tienen por objeto hacer una regulaci�n completa de una materia tan importante como el habeas data, pero con una terminolog�a diversa), sino un problema constitucional, porque esa diferencia en los vocablos conlleva la diluci�n de la responsabilidad de quienes participan en el tratamiento del dato.�

��

La Corte encuentra que, efectivamente, en el proyecto bajo revisi�n, el legislador dej� de lado conceptos como el de fuente, operador y usuario, y no defini� las subcategor�as de dato personal, definiciones que s� fueron incluidas en la Ley 1266. No obstante, lo cierto es que, en principio, esa diferencia en los conceptos no es suficiente para que se declare la inexequibilidad del precepto, por cuanto el legislador en su libertad de configuraci�n puede elegir cambiar la terminolog�a que emple� en la Ley 1266.�

��

Para determinar si ese cambio en la terminolog�a constituye realmente un vicio de constitucionalidad, corresponde a la Sala hacer un an�lisis de cada uno de las definiciones que trae el proyecto y su incidencia en el r�gimen de responsabilidad de los agentes que participan en el tratamiento del dato, en contraste con las exigencias constitucionales en materia de garant�a del derecho al habeas data.�

��

2.5.4. Constitucionalidad del literal a): definici�n de "autorizaci�n"�

��

El literal a) hace alusi�n a la autorizaci�n y la define como el consentimiento previo, expreso e informadodel titular para llevar a cabo el tratamiento de datos personales. Sobre estas caracter�sticas de la autorizaci�n nos referiremos al analizar los principios rectores, aparte en el que estudiaremos a profundidad el tema relativo al consentimiento y sus caracter�sticas para el tratamiento del dato. En consecuencia, basta por ahora se�alar que el consentimiento es un aspecto medular del derecho al habeas data y que pese a las m�ltiples intervenciones que solicitan la inexequibilidad del vocablo "expreso", la definici�n ser� declarara ajustada a la Constituci�n, por las razones que ser�n expuestas en los considerandos 2.7.4.2.2. y 2.10.6 de esta providencia.�

��

2.5.5. Constitucionalidad del literal b): definici�n de "base de datos"�

��

El literal b) define las bases de datos como un "(�) conjunto organizado de datos personales que sea objeto de tratamiento". Pese a que esta definici�n es bastante amplia y parece coincidir m�s con la de banco de datosempleada en la Ley 1266, en tanto el legislador goza de libertad de configuraci�n en la materia, puede adoptar definiciones diferentes dependiendo de la regulaci�n.�

��

Ahora bien, la definici�n se ajusta a la Carta, pues cobija todo espacio donde se haga alguna forma de tratamiento del dato, desde su simple recolecci�n, lo que permite extender la protecci�n del habeas data a todo tipo de hip�tesis. En concordancia, la Sala recuerda, como se indic� en la consideraci�n 2.4.3.2., que el concepto de base de datos cobija los archivos, entendidos como dep�sitos ordenados de datos, lo que significa que los archivos est�n sujetos a las garant�as previstas en el proyecto de ley.�

��

2.5.6. Constitucionalidad del literal c): definici�n de "datos personales"�

��

El literal c) del art�culo 3 define los datos personales como "[c]ualquier informaci�n vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables". Esta definici�n, aunque es amplia, concuerda en t�rminos generales con la l�nea jurisprudencial que esta Corte ha desarrollado en la materia, as� como con la definici�n adoptada en la Ley 1266 sobre el dato personal financiero. Adicionalmente, la fijaci�n de una definici�n de dato personal es un ejercicio leg�timo de la libertad de configuraci�n de la que goza el legislador, cuyos l�mites en este caso no han sido desconocidos.�

��

2.5.6.1. En efecto, la jurisprudencia constitucional ha precisado que las caracter�sticas de los datos personales -en oposici�n a los impersonales[184]- son las siguientes: "i) estar referido a aspectos exclusivos y propios de una persona natural, ii) permitir identificar a la persona, en mayor o menor medida, gracias a la visi�n de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situaci�n que no se altera por su obtenci�n por parte de un tercero de manera l�cita o il�cita, y iv) su tratamiento est� sometido a reglas especiales (principios) en lo relativo a su captaci�n, administraci�n y divulgaci�n."[185]�

��

Por su parte, la Ley 1266, con el aval de esta Corporaci�n, aunque en un contexto diferente, defini� los datos personales de forma similar: "Dato personal: es cualquier pieza de informaci�n vinculada a una o varias personas natural o jur�dica. (�)"(literal e del art�culo 3).�

��

Los datos personales, a su vez, suelen ser clasificados en los siguientes grupos despendiendo de su mayor o menor grado de aceptabilidad de divulgaci�n: datos p�blicos, semiprivados y privados o sensibles.[186]�

��

2.5.6.2. Se pregunta la Sala si la omisi�n de estas clasificaciones en el literal c) constituye un vicio de constitucionalidad. Para la Sala la respuesta es negativa, ya que estas definiciones no son un ingrediente indispensable para la aplicaci�n de las garant�as de la ley y, en todo caso, la ausencia de definiciones puede ser llenada acudiendo a la jurisprudencia constitucional y a otros preceptos legales.�

��

En primer lugar, la clasificaci�n de los datos personales en p�blicos, semiprivados y privados o sensibles, es solamente una posible forma de categorizar los datos, pero no la �nica; otras clasificaciones podr�an ser producto de criterios diferentes al grado de aceptabilidad de la divulgaci�n del dato. El legislador, por tanto, tiene libertad para elegir o no elegir una categorizaci�n.�

��

Ahora bien, es cierto que el propio legislador estatutario adopt� algunas de estas clasificaciones, como la de datos sensibles, cuyo tratamiento se proh�be con algunas excepciones en el art�culo 6 del proyecto. Para poder dar sentido a este precepto, a juicio de la Sala, basta con acudir a las definiciones elaboradas por la jurisprudencia constitucional o a las definiciones de otros preceptos legales, como la Ley 1266, cuyo art�culo 3 dispone:�

��

"f) Dato p�blico. Es el dato calificado como tal seg�n los mandatos de la ley o de la Constituci�n Pol�tica y todos aquellos que no sean semiprivados o privados, de conformidad con la presente ley. Son p�blicos, entre otros, los datos contenidos en documentos p�blicos, sentencias judiciales debidamente ejecutoriadas que no est�n sometidos a reserva y los relativos al estado civil de las personas;�

��

g) Dato semiprivado. Es semiprivado el dato que no tiene naturaleza �ntima, reservada, ni p�blica y cuyo conocimiento o divulgaci�n puede interesar no s�lo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el T�tulo IV de la presente ley.�

��

h) Dato privado. Es el dato que por su naturaleza �ntima o reservada s�lo es relevante para el titular."�

��

En este orden de ideas, dado que la clasificaci�n de los datos personales no es un elemento indispensable de la regulaci�n y, dicho vac�o en todo caso puede ser remediado acudiendo a la jurisprudencia constitucional y a otras definiciones legales, especialmente al art�culo 3 de la Ley 1266, en virtud del principio de conservaci�n del derecho, el literal c) ser� declarado exequible en este respecto.�

��

2.5.6.3. Por otra parte, llama la atenci�n de la Sala que la definici�n del literal c) se restrinja a los datos de las personas naturales. Por tanto, la definici�n pareciera re�ir, en principio, con algunos pronunciamientos de esta Corporaci�n en los que se ha admitido que las personas jur�dicas tambi�n pueden ser titulares del derecho al habeas data, como la sentencia T-462 de 1997[187]y C-1011 de 2008[188].�

��

Sin embargo, en sentir de la Sala, no se trata de una restricci�n que desconozca la doctrina constitucional sobre la protecci�n del habeas data en cabeza de las personas jur�dicas, ni el principio de igualdad. Ciertamente, la garant�a del habeas data a las personas jur�dicas no es una protecci�n aut�noma a dichos entes, sino una protecci�n que surge en virtud de las personas naturales que las conforman. Por tanto, a juicio de la Sala, es leg�tima la referencia a las personas naturales, lo que no obsta para que, eventualmente, la protecci�n se extienda a las personas jur�dicas cuando se afecten los derechos de las personas que la conforman.�

��

2.5.7. Constitucionalidad de los literales d) y e): definiciones de encargado y responsable de tratamiento del dato�

��

2.5.7.1. En los literales d) y e) del art�culo 3, se hace expresa menci�n al encargado y al responsable del dato, respectivamente. La Sala observa que la diferenciaci�n de estos dos sujetos era determinante, por cuanto de ello depende el �mbito de sus deberes, enumerados en el t�tulo VI del proyecto, de modo que dichas definiciones est�n ligadas al principio de legalidad en materia sancionatoria y son una garant�a para el titular del dato respecto de qui�n es obligado a cumplir diferentes prerrogativas que se desprenden del habeas data.�

��

Sin embargo, se debe se�alar desde ahora, al igual que se indic� en la sentencia C-1011 de 2008, que todos los principios de la administraci�n de datos personales identificados en este proyecto -los cuales ser�n estudiados en otro ac�pite- son oponibles a todos los sujetos involucrados en el tratamiento del dato, enti�ndase en la recolecci�n, circulaci�n, uso, almacenamiento, supresi�n, etc., sin importar la denominaci�n que los sujetos adquieran, es decir, ll�mense fuente, responsable del tratamiento, operador, encargado del tratamiento o usuario, entre otros. Hechas estas aclaraciones, pasa la Sala a examinar la constitucinalidad de las definiciones.�

��

2.5.7.2. El proyecto define al encargado del tratamiento como la persona natural o jur�dica, p�blica o privada, que por s� misma o en asocio con otros, realiza el tratamiento de datos personales por cuenta del responsable del tratamiento. Por otro lado, el responsable del tratamiento es definido como la persona natural o jur�dica, p�blica o privada, que por s� misma o en asocio con otros, decide sobre la base de datos y/o el tratamiento de los datos[189].�

��

Estas definiciones parecen inspirarse en el derecho comunitario europeo, especialmente en la Directiva 95/46/CE y en el Dictamen 1/2010 del Grupo Consultivo sobre Protecci�n de Datos[190], a las que vale la pena remitirnos por razones meramente ilustrativas y con el fin de acercamos al correcto entendimiento de uno y otro concepto, labor que a veces se torna dif�cil por el avance de las tecnolog�as de la informaci�n y otros retos que impone la globalizaci�n.[191]�

��

El Dictamen 1/2010 se�ala que lo que permite identificar al responsable de otros agentes que participan en el proceso, es que �l es el que determina los fines y los medios esenciales del tratamiento de los datos. Tambi�n indica en relaci�n con los medios, que se hablar� de responsable cuando el sujeto realice un control o determine elementos esenciales de los medios, tales como el tiempo que los datos deben permanecer almacenados, la forma c�mo se har� su uso o se pondr�n en circulaci�n, el acceso a los mismos etc. Por su parte, precisa que el encargado es quien realiza el tratamiento por cuenta del responsable, es decir, por delegaci�n y, por tanto, es natural y jur�dicamente distinto del responsable.[192].�

��

Los criterios de (i) definici�n de los fines y medios del tratamiento del dato personal y (ii) existencia de delegaci�n, tambi�n resultan �tiles en nuestro caso para establecer la diferencia entre responsable y encargado. Ciertamente, el concepto "decidir sobre el tratamiento" empleado por el literal e) parece coincidir con la posibilidad de definir -jur�dica y materialmente- los fines y medios del tratamiento. Usualmente, como reconocen varias legislaciones, el responsable es el propietario de la base de datos[193]; sin embargo, con el fin de no limitar la exigibilidad de las obligaciones que se desprenden del habeas data, la Sala observa que la definici�n del proyecto de ley es amplia y no se restringe a dicha hip�tesis. As�, el concepto de responsable puede cobijar tanto a la fuente[194]como al usuario[195], en los casos en los que dichos agentes tengan la posibilidad de decidir sobre las finalidades del tratamiento y los medios empleados para el efecto, por ejemplo, para ponerlo en circulaci�n o usarlo de alguna manera.�

��

De otro lado, el criterio de delegaci�n coincide con el t�rmino "por cuenta de"utilizado por el literal e), lo que da a entender una relaci�n de subordinaci�n del encargado al responsable, sin que ello implique que se exima de su responsabilidad frente al titular del dato.�

��

As�, por ejemplo, ser� responsable del dato el hospital que crea la historia cl�nica de su paciente, la universidad o las instituciones educativas en relaci�n con los datos de sus alumnos, pues estos determinan la finalidad (en raz�n de su objeto que, puede estar se�alado en una ley o por el giro normal de la actividad que se desarrolla) para la recolecci�n de los datos, as� como la forma en que los datos ser�n procesados, almacenados, circulados, etc.�

��

Ahora bien, vale la pena advertir que el encargado del tratamiento no puede ser el mismo responsable, pues se requiere que existan dos personas identificables e independientes, natural y jur�dicamente, entre las cuales una -el responsable- le se�ala a la otra -el encargado- como quiere el procesamiento de unos determinados datos. En este orden, el encargado recibe unas instrucciones sobre la forma como los datos ser�n administrados. Volvamos al ejemplo de la historia cl�nica, en el que la instituci�n de salud contrata con una compa��a el procesamiento de las historias para que con un programa especial que puede determinar el responsable o la empresa contratada, le organice la informaci�n contenida en ellas, siguiendo las indicaciones que establece el hospital. En este caso, el encargado del tratamiento de los datos es la persona jur�dica que se contrata para el procesamiento de las hojas de vida.�

��

Tambi�n necesario precisar, como lo se�ala la directiva en cita, que no basta con que una ley o un contrato se�alen expresamente que una determinada persona o grupo de personas son responsables del tratamiento, por cuanto en cada caso corresponder� analizar el contexto de las actuaciones de los agentes concernidos en el tratamiento del dato para establecer su verdadera posici�n y, en este orden, sus obligaciones y r�gimen de responsabilidad.[196]En ese orden de ideas, corresponder� a la autoridad competente de asegurar la vigilancia, control y garant�a del dato personal, examinar la posici�n que ocupa cada agente en el tratamiento del dato, en especial, porque como lo se�ala la misma definici�n de responsable y de encargado del tratamiento, �stos pueden estar constituidos por una pluralidad de sujetos que pueden tener distintos grados de responsabilidad[197].�

��

Finalmente, como ejemplifica la Directiva referida -ejemplos que la Sala considera tambi�n son aplicables a nuestro caso, el responsable del tratamiento puede surgir: (i) cuando en el cumplimiento de una determinada funci�n, se impone la recolecci�n datos, por ejemplo, en el caso de la seguridad social; la directiva en comento denomina esta situaci�n competencia legal expl�cita; (ii) cuando en el �mbito propio de la actividad se produce el tratamiento, se trata del caso de los empleadores frente a sus trabajadores, lo que se denomina competencia jur�dica impl�cita; y (iii) cuando sin existir las competencias anteriores, se tiene la capacidad de determinaci�n, hecho que se denomina capacidad de influencia de hecho.�

��

2.5.7.3. Establecida la diferencia entre responsable y encargado, la Sala observa, en primer lugar, que las definiciones de los literales d) y e) representan ejercicio leg�timo de la libertad de configuraci�n del legislador estatutario justificada en la forma c�mo se desarrolla el tratamiento del dato, y en segunda lugar, que la clasificaci�n tiene adem�s utilidad desde el punto de vista constitucional, esta es, definir el r�gimen de responsabilidades y obligaciones de quienes participan en el tratamiento del dato personal.�

��

En efecto, de acuerdo con las definiciones acogidas por el proyecto de ley, los responsables del tratamiento tienen mayores compromisos y deberes frente al titular del dato, pues son los llamados a garantizar en primer lugar el derecho fundamental al habeas data, as� como las condiciones de seguridad para impedir cualquier tratamiento il�cito del dato. La calidad de responsable igualmente impone un haz de responsabilidades, espec�ficamente en lo que se refiere a la seguridad y a la confidencialidad de los datos sujetos a tratamiento.�

��

En la sentencia C-1011 de 2008[198], se se�al� que en la administraci�n de datos personales es posible identificar varias etapas, cuya diferenciaci�n permite adscribir determinados niveles de responsabilidad a los sujetos que participan de �l. As�, por ejemplo, sobre la calidad de la informaci�n, el encargado del tratamiento tendr� deberes de diligencia y cuidado en la medida en que como lo consagra el proyecto de ley, est� obligado a realizar de forma oportuna, la actualizaci�n, rectificaci�n o supresi�n del dato, seg�n el caso, literal c) del art�culo 18.�

��

En esa l�nea, lo importante para una verdadera garant�a del derecho al habeas data, es que se pueda establecer de manera clara la responsabilidad de cada sujeto o agente en el evento en que el titular del dato decida ejercer sus derechos. Cuando dicha determinaci�n no exista o resulte dif�cil llegar a ella, las autoridades correspondientes habr�n de presumir la responsabilidad solidaria de todos, aspecto �ste sobre el que guarda silencio el proyecto de ley y que la Corte debe afirmar como una forma de hacer efectiva la protecci�n a la que se refiere el art�culo 15 de la Carta[199].�

��

Las anteriores aclaraciones, le permiten a la Sala declarar la exequibilidad de los literales d) y e) del art�culo 3.�

��

2.5.8. Constitucionalidad del literal f): definici�n de "titular"�

��

El proyecto establece que el titular es la persona natural cuyos datos personales sean objeto de tratamiento. A juicio de la Sala, esta definici�n se ajusta a la Carta y no desconoce la jurisprudencia de esta corporaci�n[200]en la que se ha indicado que las personas jur�dicas tambi�n son titulares del derecho al habeas data, pues como se explic� en la consideraci�n 2.5.6.3, la protecci�n que se brinda a las personas jur�dicas en este respecto es en virtud de las personas naturales que la conforman. Por tanto, eventualmente, la protecci�n del habeas data se podr� extender a las personas jur�dicas cuando se afecten los derechos de las personas naturales que la conforman.�

��

2.5.9. Constitucionalidad del literal g): definici�n de "tratamiento"�

��

El tratamiento es definido como cualquier operaci�n o conjunto de operaciones sobre datos personales, tales como la recolecci�n, almacenamiento, uso, circulaci�n o supresi�n. Este vocablo, al igual que los dos analizados en precedencia, es de uso en el �mbito europeo y se encuentra tanto en la Directiva 95/46 del Parlamento Europeo como en los Est�ndares dictados en la reciente conferencia que se dio en Madrid (Espa�a), en la que se defini� tratamiento como "cualquier operaci�n o conjunto de operaciones, sean a no automatizadas, que se apliquen a datos de car�cter personal, en especial su recogida, conservaci�n, utilizaci�n, revelaci�n o supresi�n"[201]�

��

El vocablo tratamiento para los efectos del proyecto en an�lisis es de suma importancia por cuanto su contenido y desarrollo se refiere precisamente a lo que debe entenderse por el "tratamiento del dato personal". En ese orden, cuando el proyecto se refiere al tratamiento, hace alusi�n a cualquier operaci�n que se pretenda hacer con el dato personal, con o sin ayuda de la inform�tica, pues a diferencia de algunas legislaciones[202], la definici�n que aqu� se analiza no se circunscribe �nicamente a procedimientos automatizados. Es por ello que los principios, derechos, deberes y sanciones que contempla la normativa en revisi�n incluyen, entre otros, la recolecci�n, la conservaci�n, la utilizaci�n y otras formas de procesamiento de datos con o sin ayuda de la inform�tica. En consecuencia, no es v�lido argumentar que la ley de protecci�n de datos personales cobija exclusivamente el tratamiento de datos que emplean las nuevas tecnolog�as de la informaci�n, dejando por fuera las bases de datos manuales, lo que resultar�a il�gico, puesto que precisamente lo que se pretende con este proyecto es que todas las operaciones o conjunto de operaciones con los datos personales quede regulada por las disposiciones del proyecto de ley en menci�n, con las salvedades que ser�n analizadas en otro apartado de esta providencia. En este orden de ideas, esta definici�n no genera problema alguno de constitucionalidad y por tanto ser� declarada exequible.�

��

2.6. EXAMEN DEL ART�CULO 4: PRINCIPIOS�

��

2.6.1. Texto de la disposici�n�

��

"Art�culo 4�. Principios para el tratamiento de datos personales.En el desarrollo, interpretaci�n y aplicaci�n de la presente ley, se aplicar�n, de manera arm�nica e integral, los siguientes principios:�

��

a) Principio de legalidad en materia de tratamiento de datos:el tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las dem�s disposiciones que la desarrollen.�

��

b) Principio de finalidad:el tratamiento debe obedecer a una finalidad leg�tima de acuerdo con la Constituci�n y la ley, la cual debe ser informada al titular.�

��

c) Principio de libertad:el tratamiento s�lo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podr�n ser obtenidos o divulgados sin previa autorizaci�n, o en ausencia de mandato legal o judicial que releve el consentimiento.�

��

d) Principio de veracidad o calidad:la informaci�n sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se proh�be el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.�

��

e) Principio de transparencia:en el tratamiento debe garantizarse el derecho del titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, informaci�n acerca de la existencia de datos que le conciernan.�

��

f) Principio de acceso y circulaci�n restringida:el tratamiento se sujeta a los l�mites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constituci�n. En este sentido, el tratamiento s�lo podr� hacerse por personas autorizadas por el titular y/o por las personas previstas en la presente ley.�

��

Los datos personales, salvo la informaci�n p�blica, no podr�n estar disponibles en internet u otros medios de divulgaci�n o comunicaci�n masiva, salvo que el acceso sea t�cnicamente controlable para brindar un conocimiento restringido s�lo a los titulares o terceros autorizados conforme a la presente ley.�

��

g) Principio de seguridad:la informaci�n sujeta a tratamiento por el responsable del tratamiento o encargado del tratamiento a que se refiere la presente ley, se deber� manejar con las medidas t�cnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteraci�n, p�rdida, consulta, uso o acceso no autorizado o fraudulento.�

��

h) Principio de confidencialidad:todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de p�blicos est�n obligadas a garantizar la reserva de la informaci�n, inclusive despu�s de finalizada su relaci�n con alguna de las labores que comprende el tratamiento, pudiendo s�lo realizar suministro o comunicaci�n de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los t�rminos de la misma."�

��

2.6.2. Intervenciones ciudadanas y concepto del Ministerio P�blico�

��

2.6.2.1. La Secretar�a Jur�dica de la Presidencia de la Rep�blica manifiesta que como consecuencia de la interdependencia entre los principios plasmados, los de "temporalidad" e "interpretaci�n integral de derechos constitucionales", igualmente estar�an llamados a integrar la nueva ley estatutaria. Sostiene que los dos principios referidos no solamente deben regir para el tratamiento de datos comerciales, financieros y crediticios sino tambi�n para aquellos datos personales que incluso son dignos de mayor reserva. Entre dos leyes estatutarias, la presente y la Ley 1266 de 2008 no puede generarse una disparidad de tanta trascendencia. Por lo anterior, considera necesario que la Corte realice una interpretaci�n integradora.�

��

2.6.2.2. La Defensor�a del Pueblo manifiesta que no encuentra objeciones que formular a las definiciones de los principios que consagra este art�culo, pues considera que en general se trata de conceptos coherentes con las normas y criterios que han presidido el �mbito de protecci�n de los datos de car�cter personal.�

��

Sin embargo, advierte que la Ley Estatutaria 1266 de 2008 consagra adicionalmente a los principios ya rese�ados, los de temporalidad de la informaci�n y de interpretaci�n integral de los derechos constitucionales, los cuales, en atenci�n a lo expresado frente al par�grafo del art�culo 2 del proyecto, deber�an entenderse como aplicables de manera concurrente con lo normado en �ste.�

��

2.6.2.3. ASOBANCARIA afirma con respecto al literal g) del art�culo 4 del Proyecto de Ley la expresi�n "que sean necesarias" genera dos interrogantes: �Qui�n determina que las medidas para asegurar la protecci�n del dato, en un evento determinado, fueron las necesarias para garantizar la seguridad de los registros y �Con base en qu� criterios se puede determinar esto La norma no ofrece respuesta a estos interrogantes. Esa ambig�edad en la regulaci�n es la que permite advertir que una determinaci�n abierta expone los Responsable a los criterios de una autoridad administrativa.�

��

2.6.2.4. La Universidad de los Andes solicita declarar la exequibilidad condicionada del literal b) del art�culo 4�, entendiendo que de conformidad con el art�culo 15 de la Constituci�n el principio de finalidad tambi�n debe observarse en el tratamiento, uso y circulaci�n de los datos personales, lo cual implica que no podr�n realizarse tratamientos de datos personales incompatibles con la finalidad autorizada por el titular o la ley, a menos que se cuente con el consentimiento un�voco del titular.�

��

Tambi�n solicita declarar exequible el inciso segundo del literal f) del art�culo 4 del proyecto, que establece: "Los datos personales, salvo la informaci�n p�blica, no podr�n estar disponibles en Internet u otros medios de divulgaci�n o comunicaci�n masiva, salvo que el acceso sea t�cnicamente controlable para brindar un conocimiento restringido s�lo a los titulares o terceros autorizados conforme a la presente ley", siempre y cuando se entienda que la informaci�n p�blica que figure en Internet sobre una persona debe ce�irse a los siguientes par�metros: (i) se debe evitar el posible acceso a los datos personales del titular o de terceros que sean privados, semiprivados, reservados o secretos que pueden estar junto con los datos p�blicos. Esto implica publicar en Internet �nicamente la informaci�n que estrictamente sea p�blica y (ii) se debe eliminar cualquier posibilidad de acceso indiscriminado, mediante la digitaci�n del n�mero de identificaci�n a los datos personales del ciudadano.�

��

2.6.2.5. La ciudadana Juanita Dur�n V�lez solicita la inexequibilidad del art�culo 4�, por no respetar las exigencias de integralidad. Espec�ficamente, refiere que el proyecto (i) excluye contenidos normativos esenciales del art�culo 15 de la Constituci�n, por ejemplo, la inviolabilidad de la correspondencia y dem�s formas de comunicaci�n privada, las exigencias para interceptaciones o registro de comunicaciones privadas, y especialmente el derecho a la intimidad, teniendo en cuenta que se trata de una Ley Estatutaria que incluye reglas sobre datos personales o �ntimos. Agrega que �sta (ii) omite la regulaci�n del habeas data aditivo, (iii) carece de una tipolog�a de los datos que permita hacer un tratamiento adecuado y garantista para cada uno de ellos, (iv) excluye principios que hacen parte del componente estructural del derecho al habeas data, (v) se abstiene de establecer directamente las reglas sobre datos personales en varios aspectos y las delega en el Gobierno Nacional, (vi) no contiene la regulaci�n sobre la caducidad del dato negativo y la permanencia del dato general.�

��

2.6.2.6. Los ciudadano Santiago Diazgranados Mesa, Alejandro Pretelt Salas y Rolfe Hernando Gonz�lez Sosa, solicitan la exequibilidad condicionada del literal c) del art�culo 4, espec�ficamente el t�rmino "expreso", con fundamento en las mismas consideraciones se�aladas para atacar la constitucionalidad del art�culo 3 del presente proyecto de ley.�

��

2.6.3. Consideraciones generales sobre el art�culo 4�

��

El desarrollo tecnol�gico ha redimensionado la relaci�n del hombre con su entorno. Ahora "la recolecci�n, el almacenamiento de informaci�n que antes s�lo pod�a formar parte de la vida �ntima de cada ser humano-o bien, era conocido por un m�nimo sector-, ha ido variando paulatinamente su entorno y estructura. Esto es, los datos personales de toda persona se han convertido en una pr�ctica habitual de control y almacenamiento por parte de los sectores tanto p�blicos como privados"[203]. Esto ha implicado el reconocimiento de nuevos derechos con particularidades propias que "intentan dar respuesta a las nuevas necesidades hist�ricas, mientras que en otras supone la redefinici�n de viejos derechos"[204]�

��

Como se explic� en precedencia, en principio, el derecho al habeas data fue considerado como una manifestaci�n del derecho a la intimidad. Sin embargo, esta garant�a estaba marcada por un matiz individualista destinada a proteger un espacio privado sin posibilidades de injerencias ajenas o del Estado, y por tanto, las limitaciones propias del derecho a la intimidad no son suficientes para responder a las necesidades del flujo de la informaci�n moderna. Por el contrario, se est� ante el nacimiento de un nuevo derecho, el de habeas data, en el que la privacidad "no implica sencillamente la falta de informaci�n sobre nosotros por parte de los dem�s, sino m�s bien el control que tenemos sobre las informaciones que nos conciernen"[205]�

��

Esta reciente garant�a requiere entonces del reentendimiento de instrumentos de tutela jur�dica y de ciertos principios que respondan a las necesidades del control del manejo de datos. En efecto, se enfrentan dos intereses, por un lado, la especial necesidad de disponibilidad de informaci�n mediante la conformaci�n de bases de datos personales, por otro, el requerimiento de proteger los derechos fundamentales de los posibles riesgos del proceso de administraci�n de datos. En consecuencia, se torna indispensable someter este proceso a ciertos principios jur�dicos, con el fin de garantizar la armon�a entre las relaciones jur�dicas.�

��

Para la Corte, el tratamiento de datos, si bien es imprescindible para el normal desarrollo de m�ltiples �mbitos de la vida social, puede lesionar derechos fundamentales. En consecuencia, tanto en la jurisprudencia como en el �mbito internacional se han fijados una serie de principios para la administraci�n de datos personales, que como mandatos de optimizaci�n, tiendan a facilitar la labor de ponderaci�n entre las prerrogativas constitucionales en tensi�n.�

��

Sobre la naturaleza de los principios en la Sentencia C-228 de 2011[206]se dijo que los principios "en la terminolog�a de Robert Alexy se trata de un mandato de optimizaci�n que ordena que se realice algo en la mayor medida de lo posible de acuerdo con las posibilidades jur�dicas y f�cticas, pero cuando colisiona con otros principios como el de salvaguarda de los sistemas de protecci�n social o la sostenibilidad financiera, dicho conflicto tiene que ser ponderado en el caso concreto para determinar si se justifica o no de manera razonable la limitaci�n"�

��

Estos principios, buscan impedir el uso abusivo y arbitrario de la facultad inform�tica. As� mismo, deben ser interpretados en concordancia con el segundo inciso del art�culo 15 de la Carta, que establece que "(e)n la recolecci�n, tratamiento y circulaci�n de los datos se respetar�n la libertad y dem�s garant�as consagradas en la Constituci�n".�

��

Es decir, el art�culo 4 de la Ley Estatutaria define el contexto axiol�gico dentro del cual debe moverse, el proceso inform�tico. Seg�n este marco general, existen unos par�metros generales que deben ser respetados para poder afirmar que el proceso de acopio, uso y difusi�n de datos personales sea constitucionalmente leg�timo.�

��

Desde el a�o 1994, la Corte Constitucional ha ido desarrollando una serie de principios que debe informar el proceso de administraci�n, entre los que encontramos, los principios de libertad, necesidad, veracidad, integridad, incorporaci�n, finalidad, utilidad, circulaci�n restringida, caducidad e individualidad, y que fueron sistematizados en la Sentencia T-729 de 2002.[207]�

��

En la sentencia T-022 de 1993, se estableci� por primera vez el principio de libertad. En dicha oportunidad, la Corte resolvi� el caso de la circulaci�n de datos personales de contenido crediticio sin el consentimiento del titular de los datos. Es as� como la Corte, bajo la necesidad de "favorecer una plena autodeterminaci�n de la persona" y ante la "omisi�n de obtener la autorizaci�n expresa y escrita del titular para la circulaci�n de sus datos econ�micos personales", resolvi� conceder la tutela de los derechos a la intimidad y al debido proceso y orden� a la central de informaci�n financiera el bloqueo de los datos personales del actor.�

��

Desde all�, se ha dicho entonces que los datos personales s�lo pueden ser registrados y divulgados con el consentimiento[208]libre, previo y expreso del titular. La Corporaci�n ha relacionado el principio de libertad, con la prohibici�n del manejo de la informaci�n adquirida de manera il�cita, de tal forma que se encuentra prohibida la obtenci�n y divulgaci�n de los mismos, sin la previa autorizaci�n del titular o en ausencia de mandato legal o judicial. As�, en la sentencia SU-082 de 1995, afirm�: "los datos conseguidos, por ejemplo, por medios il�citos no pueden hacer parte de los bancos de datos y tampoco pueden circular."En el mismo sentido, en la Sentencia T-176 de 1995, se consider� como una de las hip�tesis de la vulneraci�n del derecho al habeas data el de la recolecci�n de la informaci�n "de manera ilegal, sin el consentimiento del titular de dato."�

��

En relaci�n con el principio de necesidad, los datos personales registrados deben ser los estrictamente necesarios para el cumplimiento de las finalidades perseguidas con la base de datos de que se trate, de tal forma que se encuentra prohibido el registro y divulgaci�n de datos que no guarden estrecha relaci�n con el objetivo de la base de datos. Sobre el particular, la Sentencia T-307 de 1999, afirm�: "la informaci�n solicitada por el banco de datos, debe ser la estrictamente necesaria y �til, para alcanzar la finalidad constitucional perseguida. Por ello, los datos s�lo pueden permanecer consignados en el archivo mientras se alcanzan los objetivos perseguidos. Una vez esto ocurra, deben desaparecer".�

��

Al abrigo de este principio, la Corte en sentencia SU-082 de 1995 consider� prohibida la inclusi�n de informaci�n que vulnere el derecho a la intimidad del titular. En estos mismos t�rminos, ya en la sentencia T- 176 de 1995, la Corte dej� sentado como una de la hip�tesis de transgresi�n del derecho al habeas data, que la informaci�n recaiga "sobre aspectos �ntimos de la vida de su titular no susceptibles de ser conocidos p�blicamente".�

��

Para estructurar el principio de finalidad, la Corte ha perfilado la llamada teor�a de los �mbitos, de tal forma que se admite que el suministro de datos personales se realiza en un contexto m�s o menos delimitado. En consecuencia, "la referida informaci�n se destinar� a realizar los fines exclusivos para los cuales fue entregada por el titular, en relaci�n con el objeto de la base de datos y con el contexto en el cual estos son suministrados".[209]As�, en sentencia T-552 de 1997, la Corte consider� como derivaci�n del derecho a la autodeterminaci�n informativa, la facultad de poder exigir "el adecuado manejo de la informaci�n que el individuo decide exhibir a los otros". Por lo tanto, seg�n este principio "tanto el acopio, el procesamiento y la divulgaci�n de los datos personales, debe obedecer a una finalidad[210]constitucionalmente leg�tima, definida de manera clara, suficiente y previa; de tal forma que queda prohibida la recopilaci�n de datos sin la clara especificaci�n acerca de la finalidad de los mismos, as� como el uso o divulgaci�n de datos para una finalidad diferente a la inicialmente prevista."[211]�

��

Como una consecuencia de esta �ltima directriz, se encuentra el principio de utilidad. En virtud de �ste, la ausencia de la misma se traduce en un abuso del derecho. En este sentido, en la sentencia T-119 de 1995, la Corte consider� que la sola autorizaci�n de funcionamiento de las entidades administradoras de datos, no constitu�a garant�a de la legitimidad de sus conductas.". En consecuencia, tanto el acopio, el procesamiento y la divulgaci�n de los datos personales, "debe cumplir una funci�n determinada, como expresi�n del ejercicio leg�timo del derecho a la administraci�n de los mismos; por ello, est� prohibida la divulgaci�n de datos que, al carecer de funci�n, no obedezca a una utilidad clara o determinable."�

��

Seg�n el principio de veracidad[212], los datos personales deben obedecer a situaciones reales, deben ser ciertos, de tal forma que se encuentra prohibida la administraci�n de datos falsos o err�neos.�

��

En la sentencia SU-082 de 1995, esta Corporaci�n fij� el principio de integridad en el manejo de los datos. Bajo su amparo, se prohibi� que el manejo de los datos fuese incompleto, en raz�n a que esta situaci�n puede distorsionar la veracidad de la informaci�n. En dicha oportunidad, la Corte decidi� tutelar los derechos de un usuario del sistema financiero que hab�a sido afectado con una informaci�n incompleta. Por lo tanto, se orden� a la entidad administradora de datos, completar la informaci�n acerca del comportamiento comercial del actor. En consecuencia, en virtud de aqu�l principio "la informaci�n que se registre o se divulgue a partir del suministro de datos personales debe ser completa, de tal forma que se encuentra prohibido el registro y divulgaci�n de datos parciales, incompletos o fraccionados. Con todo, salvo casos excepcionales, la integridad no significa que una �nica base de datos pueda compilar datos que, sin valerse de otras bases de datos, permitan realizar un perfil completo de las personas."[213]�

��

Del principio de circulaci�n restringida, se exige que "la divulgaci�n y circulaci�n de la informaci�n est� sometida a los l�mites espec�ficos determinados por el objeto de la base de datos, por la autorizaci�n del titular y por el principio de finalidad, de tal forma que queda prohibida la divulgaci�n indiscriminada de los datos personales".�

��

En la sentencia T-307 de 1999 la Corte determin� el alcance del principio de la incorporaci�n. All�, se estudi� el caso de una actora que despu�s de intentar infructuosamente durante varios a�os su inclusi�n al r�gimen subsidiado de salud mediante el sistema SISBEN, nunca pudo disfrutar de los beneficios en raz�n del mal manejo de la informaci�n. Por ello, a partir de la existencia del llamado habeas data aditivo, se dijo cuando de la inclusi�n de datos personales en determinadas bases, deriven situaciones ventajosas para el titular, la entidad administradora de datos estar� en la obligaci�n de incorporarlos, si el titular re�ne los requisitos que el orden jur�dico exija para tales efectos, de tal forma que queda prohibido negar la incorporaci�n injustificada a la base de datos.�

��

Seg�n el principio de caducidad, la informaci�n desfavorable al titular "debe ser retirada[214]de las bases de datos siguiendo criterios de razonabilidad y oportunidad, de tal forma que queda prohibida la conservaci�n indefinida de los datos despu�s que han desaparecido las causas que justificaron su acopio y administraci�n."�

��

Finalmente, la jurisprudencia ha desarrollado el principio de individualidad seg�n el cual queda prohibida la conducta dirigida a facilitar cruce de datos a partir de la acumulaci�n de informaciones provenientes de diferentes bases de datos[215]�

��

2.6.4. Los est�ndares internacionales en materia de principios que rigen el derecho a la autodeterminaci�n inform�tica�

��

El sistema de protecci�n Europeo fue el primero, en el a�o de 1981, en instar a los miembros de la Comunidad a adoptar en sus legislaciones internas unos principios m�nimos de protecci�n, ante el surgimiento de grandes bases de informaci�n que pod�an poner en riego los derechos de los ciudadanos. El art�culo 5 del Convenio No. 108 del 28 de agosto establece que los datos deben regirse al amparo de las siguientes directrices:�

��

a)"ser obtenidos legalmente y tratados de la misma forma,�

��

b) ser registrados para finalidades espec�ficas y l�citas, por lo que no podr�n ser utilizados con distintos fines,�

��

c) ser adecuados, pertinentes y acordes con las finalidades para las cuales fueron previstas,�

��

d) ser exactos y puestos al d�a,�

��

e) ser conservados de tal forma que permita la identificaci�n de las personas que fueron concernidas durante un periodo de tiempo que no exceda del necesario para el cual fue registrado."�

��

�ste �ltimo literal, guarda relaci�n con lo que podr�a llamarse el principio de temporalidad, entendido �ste como aqu�l que ordena que el dato no podr� ser utilizado m�s all� del tiempo para el que fue previsto, y por lo tanto, la consecuencia natural de ello, es su exclusi�n de la base de datos dentro de la cual fue registrado, con el fin de evitar que la informaci�n all� consignada pueda ser usada para fines distintos, como aquellos con prop�sitos il�citos o fraudulentos o de car�cter comercial.�

��

En los a�os noventa fueron adoptados dos instrumentos internacionales relacionados con el manejo de los datos. El primero, la Resoluci�n 45/95 del 14 de diciembre de 1990 de la Organizaci�n de las Naciones Unidas, y el segundo, la Directiva 95/46/CE del Parlamento Europeo y del Consejo de la Uni�n.�

��

La Resoluci�n 45/95 de la ONU, "principios rectores sobre la reglamentaci�n de ficheros computarizados de datos personales" desarrolla los siguientes:�

��

1. Principio de la licitud y lealtad. Est� dirigido concretamente a que la informaci�n de las personas no sea recolectada en forma il�cita ni utilizarse para fines contrarios a los prop�sitos y principios de la Carta de las Naciones Unidas.�

��

2. Principio de exactitud. Pretende que las personas encargadas del tratamiento deben verificar la exactitud y certeza de los datos, procurando la actualizaci�n peri�dica de los mismos.�

��

3. Principio de finalidad: La finalidad para la cual es utilizada la informaci�n contenida en ficheros, debe ser espec�fica y clara. Igualmente, debe comunic�rsele al titular de la informaci�n sobre su utilizaci�n, para que pueda asegurarse que:�

��

a)"Todos los datos personales reunidos y registrados siguen siendo pertinentes a la finalidad perseguida"�

��

b)Ninguno de esos datos personales es utilizado o revelado sin el consentimiento de la persona interesada, con un prop�sito incompatible con el que se haya especificado.�

��

c)El periodo de conservaci�n de los datos personales no excede del necesario para alcanzar la necesidad con que se han registrado."�

��

4. Principio de acceso a la persona interesada. Permite al usuario, una vez identificado, conocer si la informaci�n que se relaciona con su informaci�n personal est� siendo utilizada y a obtener las correcciones necesarias cuando la informaci�n es inexacta y a que se le informe si los datos han sido transmitidos a terceros. En este sentido, el propio mandato se�ala una posibilidad para que en cada ordenamiento se cree una herramienta jur�dica que le permita al usuario ejercer un recurso. Se�ala expresamente la Resoluci�n:�

��

"Deber�a preverse una v�a de recurso, en su caso, ante la autoridad encargada del control de conformidad con el principio 8 infra. En caso de rectificaci�n, el costo deber�a rectificarlo el responsable del fichero[quien trata la informaci�n]. Es conveniente que las disposiciones de este principio s e apliquen a todas las personas, cualquiera que sea su nacionalidad o su residencia"�

��

5. Principio de no discriminaci�n. Proh�be el registro de datos que puedan generar en la persona alg�n tipo de discriminaci�n, en particular sobre el origen racial o �tnico, color, vida sexual, opiniones pol�ticas, convicciones religiosas, filos�ficas o de otro tipo, o sobre la participaci�n en una asociaci�n o la afiliaci�n a un sindicato.�

��

6. Facultad de establecer excepciones: Permite establecer excepciones respecto de los principios 1 a 4, cuando se trate de: i) proteger la seguridad nacional, ii) el orden p�blico, iii) la salud o la moral p�blica y iv)"en particular, los derechos y libertades de los dem�s, especialmente de personas perseguidas (cl�usula humanitaria), a reserva de que estas excepciones se hayan previsto expresamente por la ley o por una reglamentaci�n equivalente, adoptada de conformidad con el sistema jur�dico nacional, en que se definan expresamente los l�mites y se establezcan las garant�as apropiadas".�

��

7. Principio de seguridad: Se deber�n adoptar medidas necesarias para proteger los ficheros contra riesgos naturales, como la p�rdida accidental o la destrucci�n por siniestro, y contra los riesgos humanos, como el acceso sin autorizaci�n, la utilizaci�n encubierta de datos o la contaminaci�n por virus inform�tico.�

��

8. Principio relativo a los controles y sanciones: "Cada legislaci�n deber�a designar a la autoridad que, de conformidad con el sistema jur�dico interno, se encarga de controlar el respeto de los principios anteriormente enunciados". Conforme este postulado, la autoridad debe ofrecer garant�a de imparcialidad, independencia respecto de organismos o personas responsables del procesamiento de datos y su aplicaci�n. Igualmente, se�ala que deber�a preverse sanciones penales o de otro tipo, cuando se violen las disposiciones de cada legislaci�n.�

��

9. Principio sobre el flujo de datos a trav�s de las fronteras. El flujo de informaci�n entre dos pa�ses o m�s, puede darse siempre y cuando sus legislaciones sean comparables respecto de la garant�a de protecci�n de la vida privada, para que la informaci�n pueda correr libremente como en el pa�s de origen. Finalmente dispone que "cuando no haya garant�as comparables, no se podr�n obtener limitaciones injustificadas a dicha circulaci�n, y solo en la medida que as� lo exija la protecci�n de la vida privada".�

��

Por su parte, la Directiva 95/46/CE, sistematiza las directrices del manejo de los datos y reconoce que tales disposiciones se encuentran encaminadas a "la protecci�n de las libertades y de los derechos fundamentales a las personas f�sicas y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de datos personales" (art�culo 1). El instrumento divide los principios en dos categor�as: (i) los relativos a la calidad del dato y (ii) los concernientes a la legitimidad en el manejo de la informaci�n.�

��

En relaci�n con los primeros dispone (art�culo 6) que los datos personales sean: "(i) Tratados de manera leal y l�cita, (ii) Recogidos con fines determinados, expl�citos y leg�timos, y no sean tratados posteriormente de manera incompatible con dichos fines; no se considerar� incompatible el tratamiento posterior de datos con fines hist�ricos, estad�sticos o cient�ficos, siempre y cuando los Estados miembros establezcan las garant�as oportunas, (iii) Adecuados, pertinentes y no excesivos con relaci�n a los fines para los que se recaben y para los que se traten posteriormente, (iv) Exactos y, cuando sea necesario, actualizados; deber�n tomarse las medidas razonables para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados, (v) Conservados en una forma que permita la identificaci�n de los interesados durante un periodo no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente. Los Estados miembros establecer�n las garant�as apropiadas para los datos personales archivados por u periodo m�s largo al mencionado, con fines hist�ricos, estad�sticos o cient�ficos."�

��

En cuanto a los segundos, la Directiva establece que el manejo de los datos s�lo puede realizarse con el consentimiento inequ�voco del titular y cuando es necesario : (i) "para la ejecuci�n de un contrato en el que el interesado sea parte o para la aplicaci�n de medidas precontractuales.",(ii)"para el cumplimiento de una obligaci�n jur�dica a la que est� sujeto el responsable del tratamiento", (iii) "para proteger el inter�s vital del interesado",(iv) para el cumplimiento de una misi�n de inter�s p�blico o inherente al ejercicio del poder p�blico conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos" y (v) para la satisfacci�n del inter�s leg�timo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos siempre que no prevalezca el inter�s o los derechos y libertades fundamentales del interesado que requieran protecci�n con arreglo al apartado 1 de la presente directiva".�

��

Del literal b) al f) se presentan una serie de eventos en que es efectivo y s� pueden tratarse los datos personales, sin autorizaci�n del titular. No obstante, dicha libertad para usar datos por parte de quien los trata siempre va a tener un componente que la limite, esto es "el inter�s vital del interesado". El inter�s vital del interesado puede asociarse con la no afectaci�n de su esfera de intimidad o que la informaci�n tratada ponga en riesgo su integridad f�sica o mental. En todo caso, la protecci�n del individuo prima sobre cualquier otro derecho que se genere a partir del tratamiento de datos, es decir, podr�a decirse que las medidas adoptadas por la Directiva 95 de la Uni�n Europea, responde a una filosof�a garantista de los derechos individuales de sus conciudadanos.�

��

Finalmente, el Convenio establece la prohibici�n de crear un perfil con base en el cruce de datos. Esto se traduce en la proscripci�n que las personas sean sometidas a efectos jur�dicos adversos, a trav�s de la evaluaci�n de su personalidad, mediante un tratamiento automatizado de datos destinados a evaluar determinados aspectos de su personalidad, es lo que normalmente se denomina un "perfil del individuo", con base en el cruce de datos almacenados en bases de informaci�n. El art�culo 15 de la directiva prev� esta situaci�n en la siguiente forma:�

��

"Art�culo 15�

��

1. Los Estados miembros reconocer�n a las personas el derecho a la no verse sometidas a una decisi�n con efectos jur�dicos sobre ellas o que les afecte de manera significativa, que se base �nicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, como su rendimiento laboral, cr�dito, fiabilidad, conducta, etc."�

��

Finalmente, en el �mbito interamericano, la Organizaci�n de los Estados Americanos, OEA, encarg� al Comit� Jur�dico Interamericano elaborar varios informes sobre el acceso y protecci�n de la informaci�n y los datos personales. En noviembre de 2010, se expide el "Proyecto de principios y recomendaciones preliminares sobre la protecci�n de datos". El trabajo realizado por el Comit� Jur�dico Interamericano se�al� que existen dos sistemas de protecci�n de bases de datos "el europeo es hoy el sistema m�s estricto de regulaciones estatales, con una legislaci�n que rige la recolecci�n de datos personales por el gobierno y las entidades privadas. El sistema de Estados Unidos sigue un criterio bifurcado, que permite que los sectores econ�micos regulen los datos personales recabados por el Estado. Por �ltimo, varios pa�ses de Am�rica Latina han elaborado mecanismos de protecci�n de datos basados en el concepto de habeas data, que permite a las personas acceder a sus propios datos personales y otorga el derecho".�

��

Ahora bien, teniendo como referente los documentos expedidos tanto a nivel de la Uni�n Europea como los generados en el entorno regional por algunos pa�ses en el continente americano, la OEA, dise�� un cat�logo de 15 directrices, los cuales defini� como "la base de la legislaci�n sobre protecci�n de datos en todo el mundo y que podr�an servir de base para un instrumento internacional o una legislaci�n modelo sobre protecci�n de datos".�

��

Los principios son: el principio de legitimidad y justicia -la legitimidad est� relacionada a la licitud en el procesamiento de datos y la justicia, con base en la Resoluci�n de Madrid[216], se refiere a que es injusto que al procesar los datos personales se d� lugar a discriminaci�n contra la persona. El principio de prop�sito espec�fico, de limitaci�n y necesidad[217], el de transparencia[218], el de rendici�n de cuentas[219]. El principio de condiciones para el procesamiento de datos, que a su vez contiene las reglas para que se considere v�lido el procesamiento de datos, esto es que exista "a) consentimiento, b) inter�s leg�timo del controlador, c) las obligaciones contractuales, d) una autoridad legal y e) circunstancias excepcionales, como cuando la informaci�n es necesaria para atenuar o evitar un perjuicio irremediable.".�

��

El proyecto tambi�n se�ala como principios el de la revelaci�n de informaci�n a los procesadores de datos, en virtud del cual el controlador puede usar tales sistemas si :a) asegure el nivel de protecci�n y b) que el nivel de protecci�n sea establecido por una relaci�n contractual, el principio sobre las transferencias internacionales de datos,[220]el relativo al derecho a la persona al acceso a la informaci�n[221], el derecho de la persona para corregir y suprimir sus datos personales[222], el principio de garant�a a objetar el procesamiento de datos personales[223], el derecho de correcci�n y supresi�n de datos personales[224], el principio sobre medidas de seguridad para proteger los datos personales[225]el de confidencialidad[226], el principio de control, cumplimiento y responsabilidad en el manejo de datos por parte del operador o principio de autoridad independiente que garantice la aplicaci�n de la normatividad.[227]�

��

Se observa entonces que los distintos sistemas de protecci�n de los derechos, tanto el universal, como los regionales instan a los Estados a establecer dentro de sus ordenamientos unos principios m�nimos que han de regir el manejo de la informaci�n de datos, y por tanto, la interpretaci�n de las directrices debe hacerse de conformidad con estos est�ndares de protecci�n.�

��

2.6.5. Los principios establecidos en el proyecto que se revisa y el an�lisis de su constitucionalidad�

��

2.6.5.1. Alcance del control�

��

El art�culo 4 del proyecto establece, los principios de legalidad en materia de tratamiento de datos, el de finalidad, de libertad, de veracidad o calidad, de transparencia, de acceso y circulaci�n restringida, de seguridad y el principio de confidencialidad.�

��

En primer lugar, cabe se�alar que el proyecto acoge una clasificaci�n especial de principios que no incluye la totalidad de los principios predicables de la administraci�n de datos y que han sido desarrollados tanto por la jurisprudencia de esta Corporaci�n, como por las normas internacionales sobre la materia. Sin embargo, tal y como se consider� en la Sentencia C-1011 de 2008, al estudiar la constitucionalidad de los principios predicables a la administraci�n de datos del sistema financiero y crediticio, las previsiones que integran el art�culo 4 deben interpretarse de forma tal que resulten compatibles con la Carta Pol�tica. En consecuencia, si la Corte -int�rprete autorizado de la Constituci�n-, ha definido a trav�s de los principios de administraci�n de datos personales el contenido y alcance del derecho fundamental al h�beas data, las normas estatutarias deber�n interpretarse en armon�a con el plexo de garant�as y prerrogativas que integran ese derecho. Adem�s, tambi�n ser�n analizados a la luz de los est�ndares internacionales sobre la materia.�

��

Por otra parte, debe entenderse que la enunciaci�n de estos principios no puede entenderse como la negaci�n de otros que integren o lleguen a integrar el contenido del derecho fundamental al habeas data.�

��

2.6.5.2. An�lisis de la constitucionalidad de los preceptos�

��

2.6.5.2.1. Principio de legalidad en materia de tratamiento de datos: La Ley Estatutaria se�ala que el Tratamiento es una actividad reglada que debe sujetarse a lo establecido en ella y en las dem�s disposiciones que la desarrollen.�

��

El principio encierra el principal objetivo de la regulaci�n estatutaria: someter el tratamiento de datos a lo establecido en las normas, fijar l�mites frente a los responsables y encargados del tratamiento y garantizar los derechos de los titulares de los mismos. En estos t�rminos, tal y como se explic� anteriormente, a partir del principio de libertad, la jurisprudencia constitucional se�al� que el dato deb�a ser adquirido, tratado y manejado de manera l�cita. Adem�s, responde al llamado principio de licitud y lealtad al que se refieren los est�ndares internacionales sobre la materia.�

��

2.6.5.2.2. Principio de finalidad: En virtud de tal principio, el tratamiento debe obedecer a una finalidad leg�tima de acuerdo con la Constituci�n y la ley, la cual debe ser informada al titular.�

��

La definici�n establecida por el legislador estatutario responde a uno de los criterios establecidos por la Corporaci�n para el manejo de las bases de datos. Sin embargo, debe hacerse algunas precisiones.�

��

Por una parte, los datos personales deben ser procesados con un prop�sito espec�fico y expl�cito. En ese sentido, la finalidad no s�lo debe ser leg�tima sino que la referida informaci�n se destinar� a realizar los fines exclusivos para los cuales fue entregada por el titular. Por ello, se deber� informar al Titular del dato de manera clara, suficiente y previa acerca de la finalidad de la informaci�n suministrada y por tanto, no podr� recopilarse datos sin la clara especificaci�n acerca de la finalidad de los mismos. Cualquier utilizaci�n diversa, deber� ser autorizada en forma expresa por el Titular.�

��

Esta precisi�n es relevante en la medida que permite un control por parte del titular del dato, en tanto le es posible verificar si est� haciendo usado para la finalidad por �l autorizada. Es una herramienta �til para evitar arbitrariedades en el manejo de la informaci�n por parte de quien trata el dato.�

��

As� mismo, los datos personales deben ser procesados s�lo en la forma que la persona afectada puede razonablemente prever. Si, con el tiempo, el uso de los datos personales cambia a formas que la persona razonablemente no espera, debe obtenerse el consentimiento previo del titular.�

��

Por otro lado, de acuerdo la jurisprudencia constitucional y los est�ndares internacionales relacionados previamente, se observa que el principio de finalidad implica tambi�n: (i) un �mbito temporal, es decir que el periodo de conservaci�n de los datos personales no exceda del necesario para alcanzar la necesidad con que se han registrado y (ii) un �mbito material, que exige que los datos recaudados sean los estrictamente necesarios para las finalidades perseguidas.�

��

En raz�n de lo anterior, el literal b) debe ser entendido en dos aspectos.�

��

Primero, bajo el principio de necesidad se entiende que los datos deber�n ser conservados en una forma que permita la identificaci�n de los interesados durante un periodo no superior al necesario para los fines para los que fueron recogidos. Es decir, el periodo de conservaci�n de los datos personales no debe exceder del necesario para alcanzar la necesidad con que se han registrado.�

��

En la Sentencia C-1011 de 2008[228], la Corporaci�n reiter� la importancia de la existencia de unos criterios razonables sobre la permanencia de datos personales en fuentes de informaci�n. Adem�s, sostuvo que este periodo se encuentra en una estrecha relaci�n con la finalidad que pretende cumplir. As�, a partir del estudio de la jurisprudencia, construy� una doctrina constitucional comprehensiva sobre la caducidad del dato negativo en materia financiera y concluy� que dentro de las prerrogativas mismas del derecho al habeas data, se encuentra esta garant�a, como una consecuencia del derecho al olvido. Sobre el particular observ� la providencia:�

��

"De acuerdo con lo se�alado en el art�culo 15 Superior, la Corte identifica como facultades que conforman el contenido del derecho al h�beas data, las de (i) conocer la informaci�n personal contenida en las bases de datos, (ii) solicitar la actualizaci�n de dicha informaci�n a trav�s de la inclusi�n de nuevos datos y (iii) requerir la rectificaci�n de la informaci�n no ajustada a la realidad.Junto con las prerrogativas expuestas, la Corte, habida cuenta los precedentes jurisprudenciales anteriores que se�alaban la necesidad de establecer un l�mite al reporte financiero negativo, estableci� un nuevo componente del derecho al h�beas data, la de la caducidad del dato negativo."�

��

(�)�

��

La Corte reitera que los procesos de administraci�n de datos personales de contenido crediticio cumplen un prop�sito espec�fico:ofrecer a las entidades que ejercen actividades de intermediaci�n financiera y, en general, a los sujetos que concurren al mercado, informaci�n relacionada con el grado de cumplimiento de las obligaciones suscritas por el sujeto concernido, en tanto herramienta importante para adoptar decisiones sobre la suscripci�n de contratos comerciales y de cr�dito con clientes potenciales. Esta actividad es compatible con los postulados superiores, pues cumple con prop�sitos leg�timos desde la perspectiva constitucional, como son la estabilidad financiera, laconfianza en el sistema de cr�dito y la protecci�n del ahorro p�blico administrado por los establecimientos bancarios y de cr�dito.�

��

Es precisamente la comprobaci�n acerca de la finalidad espec�fica que tienen los operadores de informaci�n financiera y crediticia la que, a su vez, permite determinar los l�mites al ejercicio de las actividades de acopio, tratamiento y divulgaci�n de datos."(Resaltado fuera del texto)�

��

Segundo, los datos personales registrados deben ser los estrictamente necesarios para el cumplimiento de las finalidades perseguidas con la base de datos de que se trate, de tal forma que se encuentra prohibido el registro y divulgaci�n de datos que no guarden estrecha relaci�n con el objetivo de la base de datos. En consecuencia, debe hacerse todo lo razonablemente posible para limitar el procesamiento de datos personales al m�nimo necesario. Es decir, los datos deber�n ser: (i) adecuados, (ii) pertinentes y (iii) acordes con las finalidades para las cuales fueron previstos.�

��

2.6.5.2.3. Principio de libertad: El tratamiento s�lo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podr�n ser obtenidos o divulgados sin previa autorizaci�n, o en ausencia de mandato legal o judicial que releve el consentimiento.�

��

Este principio, pilar fundamental de la administraci�n de datos, permite al ciudadano elegir voluntariamente si su informaci�n personal puede ser utilizada o no en bases de datos. Tambi�n impide que la informaci�n ya registrada de un usuario, la cual ha sido obtenida con su consentimiento, pueda pasar a otro organismo que la utilice con fines distintos para los que fue autorizado inicialmente.�

��

El literal c) del Proyecto de Ley Estatutaria no s�lo desarrolla el objeto fundamental de la protecci�n del habeas data, sino que se encuentra en �ntima relaci�n con otros derechos fundamentales como el de intimidad y el libre desarrollo de la personalidad. En efecto, el ser humano goza de la garant�a de determinar qu� datos quiere sean conocidos y tiene el derecho a determinar lo que podr�a denominarse su "imagen inform�tica".�

��

Por su parte, la Asamblea General de Naciones Unidas, en Resoluci�n 45/95 del 14 de diciembre de 1990, considero el consentimiento como el elemento esencial en el manejo de administraci�n de los datos. Por su parte, la Directiva 95/46/CE[229] del Parlamento Europeo y del Consejo Europeo se refiere espec�ficamente al consentimiento y lo define como "toda manifestaci�n de voluntad, libre, espec�fica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan." En consecuencia, dicho instrumento se�ala que los Estados miembros dispondr�n que el tratamiento de datos personales s�lo puede efectuarse si el interesado ha dado su consentimiento de forma inequ�voca.�

��

Fue en virtud del principio de libertad que la Corte Constitucional empez� a desarrollar los contenidos m�nimos del derecho fundamental del habeas data. As�, en la sentencia T-414 de 1992[230]se estableci� que en el Estado Constitucional, los procesos de administraci�n de datos personales s�lo eran leg�timos a partir de la vigencia de la libertad del individuo, que involucraba necesariamente la potestad para permitir y controlar el acceso a su informaci�n personal. La providencia se�al�:�

��

"la posibilidad de acumular informaciones en cantidad ilimitada, de confrontarlas y agregarlas entre s�, de hacerle un seguimiento en una memoria indefectible, de objetivizarlas y transmitirlas como mercanc�a en forma de cintas, rollos o discos magn�ticos, por ejemplo, permite un nuevo poder de dominio social sobre el individuo, el denominado poder inform�tico. || Como necesario contrapeso, este nuevo poder ha engendrado la libertad inform�tica. Consiste ella en la facultad de disponer de la informaci�n, de preservar la propia identidad inform�tica, es decir, de permitir, controlar o rectificar los datos concernientes a la personalidad del titular de los mismos y que, como tales, lo identifican e individualizan ante los dem�s. Es, como se ve, una nueva dimensi�n social de la libertad individual diversa, y por raz�n de las circunstancias que explican su aparici�n, de otras cl�sicas manifestaciones de la libertad.".�

��

De la misma forma, en la Sentencia T-176 de 1995[231]la Corporaci�n dijo que la falta de consentimiento se traduce en una vulneraci�n de los derechos al habeas data: "para que exista una vulneraci�n del derecho alhabeas data, debe desconocerse alguno de los tres aspectos enunciados.Es decir, la informaci�n contenida en el archivo debe haber sido recogida de manera ilegal, sin el consentimiento del titular del dato (i), ser err�nea (ii) o recaer sobre aspectos �ntimos de la vida de su titular no susceptibles de ser conocidos p�blicamente (iii). Por el contrario, el suministro de datos veraces, cuya circulaci�n haya sido previamente autorizada por su titular, no resulta, en principio, lesiva de un derecho fundamental."�

��

En igual sentido, en la Sentencia SU-082 de 1995[232], la Corte bas� toda la ratio decidendi, en el concepto de autodeterminaci�n inform�tica, cuyo elemento esencial reca�a en el consentimiento. Sobre la particular la Corte se pregunt�: "�Cu�l es el n�cleo esencial del habeas data A juicio de la Corte, est� integrado por el derecho a la autodeterminaci�n inform�tica y por la libertad, en general, y en especial econ�mica. La autodeterminaci�n inform�tica es la facultad de la persona a la cual se refieren los datos, para autorizar su conservaci�n, uso y circulaci�n, de conformidad con las regulaciones legales." Esa posici�n ha sido reiterada, entre muchas otras, en las Sentencias T-580 de 1995, T-448 de 2004, T-526 de 2004, T-657 de 2005, T-T-684 de 2006, C-1011 de 2008, T-017 de 2011.�

��

En materia de manejo de informaci�n personal, el consentimiento exigido es adem�s, calificado, por cuanto debe ser previo, expreso e informado. Sobre el particular, en la Sentencia C-1011 de 2008 se sostuvo que tales caracter�sticas concretan la libertad del individuo frente al poder inform�tico:�

��

La libertad en la administraci�n de datos personales significa que el sujeto concernido mantenga, en todo momento, las facultades de conocimiento, actualizaci�n y rectificaci�n de la informaci�n personal contenida en las bases de datos. Si ello es as�, es evidente que la libertad del individuo ante el poder inform�tico se concreta, entre otros aspectos, en la posibilidad de controlar la informaci�n personal que sobre s� reposa en las bases de datos, competencia que est� supeditada a que exprese su consentimiento para la incorporaci�n de la informaci�n en el banco de datos o archivo correspondiente.Este ejercicio de la libertad en los procesos inform�ticos, a juicio de la Corte, se concreta en la exigencia de autorizaci�n previa, expresa y suficiente por parte del titular de la informaci�n, requisito predicable de los actos de administraci�n de datos personales de contenido comercial y crediticio. La eliminaci�n del consentimiento del titular, adicionalmente, genera una desnaturalizaci�n del datofinanciero, comercial y crediticio, que viola el derecho fundamental al h�beas data, en tanto restringe injustificadamente la autodeterminaci�n del sujeto respecto de su informaci�n personal. Para la Constituci�n, la libertad del sujeto concernido significa que la administraci�n de datos personales no pueda realizarse a sus espaldas, sino que debe tratarse de un proceso transparente, en que en todo momento y lugar pueda conocer en d�nde est� su informaci�n personal, para qu� prop�sitos ha sido recolectada y qu� mecanismos tiene a su disposici�n para su actualizaci�n y rectificaci�n. La eliminaci�n de la autorizaci�n previa, expresa y suficiente para la incorporaci�n deldato en los archivos y bancos de datos administrados por los operadores permite, en �ltimas, la ejecuci�n de actos ocultos de acopio, tratamiento y divulgaci�n de informaci�n, operaciones del todo incompatibles con los derechos y garant�as propios del h�beas data. (Resaltado fuera del texto)�

��

En relaci�n con el car�cter previo, la autorizaci�n debe ser suministrada, en una etapa anterior a la incorporaci�n del dato. As� por ejemplo, en la Sentencia T-022 de 1993[233], se dijo que la veracidad del dato no implica que el Responsable del Tratamiento no tenga el deber de obtener una autorizaci�n anterior. En igual sentido, la Sentencia T-592 de 2003[234]dijo que el derecho al habeas data resulta afectado cuando los administradores de la informaci�n recogen y divulgan h�bitos de pago sin el consentimiento de su titular. La Corte expres� que el consentimiento previo del titular de la informaci�n sobre el registro de sus datos econ�micos "en los procesos inform�ticos, aunado a la necesidad de que aquel cuente con oportunidades reales para ejercer sus facultades de rectificaci�n y actualizaci�n durante las diversas etapas de dicho proceso, resultan esenciales para salvaguardar su derecho a la autodeterminaci�n inform�tica."�

��

En relaci�n con el car�cter expreso, la autorizaci�n debe ser inequ�voca, raz�n por la cual, al contrario de lo sostenido por algunos intervinientes, no es posible aceptarse la existencia, dentro del ordenamiento jur�dico colombiano, de un consentimiento t�cito. Lo anterior, por varias razones:�

��

En primer lugar, la jurisprudencia constitucional ha exigido tal condici�n y ha dicho que el consentimiento debe ser explicito y concreto a la finalidad espec�fica de la base de datos.�

��

En estos t�rminos, en la Sentencia T-580 de 1995[235], al estudiar el env�o de informaci�n a la Asociaci�n Bancaria de Colombia, sin que existiera autorizaci�n previa y expresa para ello, se concedi� el amparo al considerar que se comprometi� el derecho "a la autodeterminaci�n inform�tica o habeas data, dado que no existe autorizaci�n previa y expresa del titular del dato para hacerlo p�blico". En el mismo sentido, esta Corporaci�n en la sentencia de unificaci�n SU-089 de 1995 tutel� entre otras razones porque no se pidi� autorizaci�n expresa para reportar los datos. Sobre el particular la Sentencia T-580 de 1995 dijo: "Es requisito esencial para pasar leg�timamente informaci�n crediticia a un banco de datos, el consentimiento expreso del titular. No existe disposici�n alguna que obligue a las entidades financieras a trasladar referencias comerciales o crediticias a centrales privadas de informaci�n, al margen de la autorizaci�n previa y expresa del titular del dato."En igual sentido, la Sentencia T-657 de 2005[236], donde se analiz� el reporte negativo realizado por una inmobiliaria, se reiter� que la divulgaci�n del dato deber ser "fruto de una autorizaci�n expresa y espec�fica proveniente del titular."�

��

As� mismo, en la sentencia T-729 de 2002[237], esta Corporaci�n concedi� la tutela, al sostener que el ente accionado no ajust� su actuar al principio de libertad, ya que procedi� a publicar los datos del actor en la base en la Internet, sin su consentimiento. En dicha oportunidad se orden� a la entidad accionada hacer cesar la conducta vulneratoria del derecho, "de tal forma que en adelante se abstenga de publicar, con posibilidad de acceso indiscriminado y sin el consentimiento previo y libre, informaci�n personal".�

��

Es de resaltar la Sentencia T-592 de 2003[238], en la que se indic� que el consentimiento expreso se traduc�a tambi�n en la prohibici�n de otorgarse autorizaciones abiertas y no especificas. En este sentido, la Corporaci�n consider� que no obstante haberse otorgado autorizaciones para reportar la informaci�n crediticia, las mismas eran "abiertas y accesorias a las operaciones de cr�dito"por lo que no denotaban un real consentimiento de los otorgantes "en cuanto no estuvieron acompa�adas de la informaci�n oportuna sobre su utilizaci�n, aparejada del alcance del reporte, ni de su contenido y tampoco del nombre y ubicaci�n de la encargada de administrar la informaci�n."�

��

En segundo lugar, de una interpretaci�n arm�nica de todo el articulado se deduce que el legislador estatutario tuvo una intenci�n inequ�voca que el consentimiento siempre fuese expreso. As�, desde el art�culo 3 se dice que �ste debe ser "previo, expreso e informado". Esto mismo se repite en el art�culo 4. Posteriormente, el art�culo 8 ordinal b), garantiza al Titular el derecho de solicitar prueba de la autorizaci�n, y se�ala que �sta s�lo puede considerarse exceptuada en los casos consagrados en el art�culo 10. El art�culo 9 ordena que la autorizaci�n sea "obtenida por cualquier medio que pueda ser objeto de consulta posterior"�

��

Por otro lado, el art�culo 10 se�ala, en forma taxativa, los casos en que no se requiere autorizaci�n, y no hace referencia alguna a la existencia de un consentimiento t�cito, lo cual necesitar�a expresa autorizaci�n legal.�

��

En relaci�n con el car�cter informado, el titular no s�lo debe aceptar el Tratamiento del dato, sino tambi�n tiene que estar plenamente consciente de los efectos de su autorizaci�n. En este mismo sentido, en la Sentencia T-592 de 2003[239], la Corte se�al� que la autorizaci�n debe ser cualificada y deb�a contener una explicaci�n de los efectos de la misma. Adem�s, a pesar de que se presente la autorizaci�n, el Responsable y Encargado del Tratamiento debe actuar de buena fe. Sobre el particular se dijo:�

��

"Por tanto, as� el usuario de servicios financieros predisponga -como de ordinario acontece- que terceros sean informados sobre su situaci�n patrimonial y h�bitos de pago, el receptor de la autorizaci�n est� en el deber de informarle c�mo, ante quien, desde cu�ndo y por cu�nto tiempo su autorizaci�n ser� utilizada, porque una aquiescencia gen�rica no subsume el total contenido de la autodeterminaci�n inform�tica, prevista en la Carta Pol�tica para que a los asociados les sea respetada su facultad de intervenir activamente y sin restricciones, durante las diversas etapas del proceso inform�tico.�

��

En consecuencia el acreedor abusa de la previa autorizaci�n, impelida por �l y as� mismo otorgada por su deudor, cuando, fundado en aquella, divulga datos espec�ficos sin enterar a su titular debidamente, as� crea contar para el efecto con la aquiescencia sin l�mites del afectado, porque el postulado de la buena fe obliga a las partes a atemperar los desequilibrios contractuales, en todas las etapas de la negociaci�n, en los t�rminos del art�culo 95 constitucional."�

��

De todo lo anterior, puede entonces deducirse: (i) los datos personales s�lo pueden ser registrados y divulgados con el consentimiento libre, previo, expreso e informado del titular. Es decir, no est� permitido el consentimiento t�cito del Titular del dato y s�lo podr� prescindirse de �l por expreso mandato legal o por orden de autoridad judicial, (ii) el consentimiento que brinde la persona debe ser definido como una indicaci�n espec�fica e informada, libremente emitida, de su acuerdo con el procesamiento de sus datos personales. Por ello, el silencio del Titular nunca podr�a inferirse como autorizaci�n del uso de su informaci�n y (iii) el principio de libertad no s�lo implica el consentimiento previo a la recolecci�n del dato, sino que dentro de �ste se entiende incluida la posibilidad de retirar el consentimiento y de limitar el plazo de su validez.�

��

2.6.5.2.4. Principio de veracidad o calidad: La informaci�n sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se proh�be el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.�

��

La ley recoge dos de los principios desarrollados por la jurisprudencia: (i) el de veracidad y (ii) el principio de integridad de los datos. Seg�n el primero, los datos personales deben obedecer a situaciones reales, actualizadas y comprobables. Bajo el segundo, se proh�be que el manejo de los datos sea incompleto y pueda inducir a error.�

��

2.6.5.2.5. Principio de transparencia: El literal e) consagra que en el tratamiento debe garantizarse el derecho del titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, informaci�n acerca de la existencia de datos que le conciernan.�

��

No existe reparo de constitucionalidad sobre este principio, y por el contrario, establece el derecho del titular de acceder, en cualquier momento a la informaci�n que sobre �l reposa en una base de datos. Sin embargo, debe precisarse que la informaci�n que debe ofrecerse al Titular de los datos debe ser cualificada y por tanto cuando procese datos personales, el Responsable o Encargado del Tratamiento de datos debe ofrecer, como m�nimo, la siguiente informaci�n a la persona afectada: (i) informaci�n sobre la identidad del controlador de datos, (ii) el prop�sito del procesamiento de los datos personales, (iii) a quien se podr�n revelar los datos, (iv) c�mo la persona afectada puede ejercer cualquier derecho que le otorgue la legislaci�n sobre protecci�n de datos, y (v) toda otra informaci�n necesaria para el justo procesamiento de los datos�

��

De otra parte, debe entenderse que no s�lo existe un derecho del Titular del dato de acceder a su informaci�n, sino que esta garant�a implica que cuando de la inclusi�n de datos personales en determinadas bases, deriven situaciones ventajosas para el titular, la entidad administradora de datos estar� en la obligaci�n de incorporarlos, si el titular re�ne los requisitos que el orden jur�dico exige para tales efectos, de tal forma que queda prohibido negar la incorporaci�n injustificada a la base de datos.�

��

2.6.5.2.6. Principio de acceso y circulaci�n restringida: En raz�n de esta directriz, el Tratamiento se sujeta a los l�mites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constituci�n. En este sentido, �ste s�lo podr� hacerse por personas autorizadas por el titular y/o por las personas previstas en la presente ley. Adem�s, se proh�be que los datos personales, salvo informaci�n p�blica, se encuentren disponibles en Internet, a menos que se ofrezca un control t�cnico para asegurar el conocimiento restringido.�

��

En relaci�n con el primer inciso, deben hacerse las siguientes precisiones. Como se explic� anteriormente, esta Ley Estatutaria, al establecer las condiciones m�nimas en el manejo de la informaci�n, no agota la regulaci�n en materia de habeas data, y por tanto, el Tratamiento estar� tambi�n sujeto a la normatividad que se expida posteriormente.�

��

En cuanto al segundo inciso, la norma debe entenderse que tambi�n se encuentra prohibida toda conducta tendiente al cruce de datos entre las diferentes bases de informaci�n, excepto cuando exista una autorizaci�n legal expresa, es decir, lo que la jurisprudencia ha denominado el principio de individualidad del dato. Como consecuencia de lo anterior, queda prohibido generar efectos jur�dicos adversos frente a los Titulares, con base, �nicamente en la informaci�n contenida en una base de datos.�

��

De otra parte, y en relaci�n con ese segundo inciso, uno de los interviniente solicita a esta Corporaci�n, declarar su constitucionalidad bajo los siguientes condicionamientos: (i) se debe evitar que los datos privados, semiprivados, reservados o secretos puedan estar junto con los datos p�blicos, y por tanto, los primeros no pueden ser objeto de publicaci�n en l�nea, a menos que se ofrezcan todos los requerimientos t�cnicos y (ii) se debe eliminar cualquier posibilidad de acceso indiscriminado, mediante la digitaci�n del n�mero de identificaci�n a los datos personales del ciudadano.�

��

Considera la Sala que tales condicionamientos no son necesarios, por cuanto la misma norma elimina estas posibilidades. En efecto: (i) proh�be que los datos no p�blicos sean publicados en Internet y (ii) s�lo podr�an ser publicados si se ofrecen todas las garant�as. De lo anterior se infiere que si el sistema permite el acceso con la simple digitaci�n de la c�dula, no es un sistema que cumpla con los requerimientos del inciso segundo del literal f) del art�culo 4.�

��

Sin embargo, debe reiterarse que el manejo de informaci�n no p�blica debe hacerse bajo todas las medidas de seguridad necesarias para garantizar que terceros no autorizados puedan acceder a ella. De lo contrario, tanto el Responsable como el Encargado del Tratamiento ser�n los responsables de los perjuicios causados al Titular.�

��

De otra parte, cabe se�alar que a�n cuando se trate de informaci�n p�blica, su divulgaci�n y circulaci�n est� sometida a los l�mites espec�ficos determinados por el objeto y finalidad de la base de datos.�

��

2.6.5.2.7. Principio de seguridad: Al amparo de este principio, la informaci�n sujeta a tratamiento por el responsable o encargado, se deber� manejar con las medidas t�cnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteraci�n, p�rdida, consulta, uso o acceso no autorizado o fraudulento.�

��

De este principio se deriva entonces la responsabilidad que recae en el administrador del dato. El afianzamiento del principio de responsabilidad ha sido una de las preocupaciones actuales de la comunidad internacional, en raz�n del efecto "diluvio de datos"[240], a trav�s del cual d�a a d�a la masa de datos personales existente, objeto de tratamiento y de ulterior transferencias, no cesa de aumentar. Los avances tecnol�gicos han producido un crecimiento de los sistemas de informaci�n, ya no se encuentran s�lo sencillas bases de datos, sino que surgen nuevos fen�menos como las redes sociales, el comercio a trav�s de la red, la prestaci�n de servicios, entre muchos otros. Ello tambi�n aumenta los riegos de filtraci�n de datos, que hacen necesarias la adopci�n de medidas eficaces para su conservaci�n. Por otro lado, el mal manejo de la informaci�n puede tener graves efectos negativos, no s�lo en t�rminos econ�micos, sino tambi�n en los �mbitos personales y de buen nombre.�

��

En estos t�rminos, el Responsable o Encargado del Tratamiento debe tomar las medidas acordes con el sistema de informaci�n correspondiente. As�, por ejemplo, en materia de redes sociales, empieza a presentarse una preocupaci�n de establecer medidas de protecci�n reforzadas, en raz�n al manejo de datos reservados. En el a�o 2009, el Grupo de Trabajo Sobre Protecci�n de Datos de la Uni�n Europea se�al� que en los Servicios de Redes Sociales" o "SRS debe protegerse la informaci�n del perfil en el usuario mediante el establecimiento de "par�metros por defecto respetuosos de la intimidad y gratuitos que limiten el acceso a los contactos elegidos".[241]�

��

Existe entonces un deber tanto de los Responsables como los Encargados de establecer controles de seguridad, de acuerdo con el tipo de base de datos que se trate, que permita garantizar los est�ndares de protecci�n consagrados en esta Ley Estatutaria.�

��

2.6.5.2.8. Principio de confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de p�blicos est�n obligadas a garantizar la reserva de la informaci�n, inclusive despu�s de finalizada su relaci�n con alguna de las labores que comprende el tratamiento, pudiendo s�lo realizar suministro o comunicaci�n de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los t�rminos de la misma.�

��

Esta norma no ofrece ning�n reparo, y por el contrario, busca que los operadores de los datos sigan guardando el secreto de ciertos datos, a�n cuando haya finalizado la relaci�n con la fuente de informaci�n.�

��

2.6.6. Otros principios que se entienden incluidos en el proyecto�

��

2.6.6.1. Principios derivados directamente de la Constituci�n�

��

Adem�s de las obligaciones derivadas de los principios rectores del proceso de administraci�n de bases de datos personales, existen otros que tienen su origen directo en normas constitucionales, espec�ficamente: (i) la prohibici�n de discriminaci�n por las informaciones recaudadas en las bases de datos, (ii) el principio de interpretaci�n integral de los derechos constitucionales y (ii) la obligaci�n de indemnizar los perjuicios causados por las posibles fallas en el proceso de administraci�n de datos.�

��

As� las cosas, en virtud de la aplicaci�n del principio pro homine, propio de la interpretaci�n de las normas de la Carta Pol�tica, la administraci�n de datos personales deber�n, en todo caso, subordinarse a la eficacia de los derechos fundamentales del individuo. As� mismo, los principios deben entenderse de manera arm�nica, coordinada y sistem�tica, respetando en todo caso los contenidos b�sicos del derecho fundamental al habeas data.�

��

2.6.6.2. Principios derivados del n�cleo tem�tico del proyecto de ley estatutaria�

��

Por otra parte, advierte la Sala que existen principios que, a pesar de no encontrarse numerados en el art�culo 4, se entienden incorporados en raz�n de una lectura sistem�tica del Proyecto de Ley Estatutaria: (i) principio de la proporcionalidad del establecimiento de excepciones: La Ley consagra materias exceptuadas, m�s no excluidas, del r�gimen general de la administraci�n de datos, tal y como se explic� en el an�lisis del �mbito de aplicaci�n de la norma. Sin embargo, tal tratamiento especial debe estar justificado en t�rminos de proporcionalidad y responder a los est�ndares internacionales de protecci�n, (ii) principio de autoridad independiente: la adopci�n de una normatividad s�lo es efectiva si se garantiza que dentro de la estructura del Estado exista un �rgano encargado de garantizar el respeto de los principios anteriormente desarrollados. Esta autoridad debe garantizar imparcialidad e independencia y (iii) principio de exigencia de est�ndares de protecci�n equivalentes para la transferencia internacional de datos: Tal y como se deduce del art�culos 26 del Proyecto de Ley Estatutaria, existe una prohibici�n de transferencia internacional a cualquier tipo de pa�ses que no proporcionen niveles adecuados de protecci�n de datos.�

��

2.7. EXAMEN DEL ART�CULO 5:�

��

DEFINICI�N DE DATOS SENSIBLES�

��

2.7.1. Texto de la disposici�n�

��

"Art�culo 5�. Datos sensibles.Para los prop�sitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminaci�n, tales como aquellos que revelen el origen racial o �tnico, la orientaci�n pol�tica, las convicciones religiosas o filos�ficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido pol�tico o que garanticen los derechos y garant�as de partidos pol�ticos de oposici�n, as� como los datos relativos a la salud, a la vida sexual y los datos biom�tricos."�

��

2.7.2. Intervenciones ciudadanas y concepto del Ministerio P�blico�

��

2.7.2.1. Computec S.A. - Datacr�dito afirma que es preocupante que el proyecto permita el tratamiento de todo tipo de datos personales, incluidos los datos sensibles, cuyo alcance ofrece serios riesgos para los ciudadanos. Esto por cuanto, por esa v�a se podr�a estructurar cualquier tipo de empresa para negociar los perfiles de las personas, sin que exista control de autoridad que supervise su constituci�n y finalidad, exponiendo a los titulares de los datos a un manejo poco claro y seguro de los mismos.�

��

Agrega que si bien la Ley 1266 de 2008, en principio fue concebida para regular los datos provenientes de las actividades financieras o crediticias de los ciudadanos, tambi�n lo es que estableci� un marco suficiente a partir del cual pueden estructurarse seguridades adecuadas para la recolecci�n y administraci�n de los datos que hacen parte de las actividades comerciales (Call Centers, Contact Center y BPO & O) que se han constituido en la justificaci�n principal para impulsar esta nueva ley.�

��

2.7.2.2. El Ministerio P�blico no se pronunci� sobre este respecto.�

��

2.7.3. Constitucionalidad de la definici�n de dato sensible�

��

De conformidad con el art�culo 5, son datos sensibles para los prop�sitos del proyecto, "(�) los que afectan la intimidad del Titular y cuyo uso indebido puede generar su discriminaci�n, tales como aquellos que revelen el origen racial o �tnico, la organizaci�n pol�tica, las convicciones religiosas o filos�ficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promuevan intereses de cualquier partido pol�tico o que garanticen los derechos y garant�as de partidos pol�ticos de oposici�n as� como los datos relativos a la salud, la vida sexual y los datos biom�tricos".�

��

La Sala encuentra que esta definici�n se ajusta a la jurisprudencia Constitucional y su delimitaci�n, adem�s de proteger el habeas data, es una garant�a del derecho a la intimidad, raz�n por la cual la Sala la encuentra compatible con la Carta Pol�tica.�

��

En efecto, como explic� la Corte en la sentencia C-1011 de 2008[242], la informaci�n sensible es aquella "(�) relacionada, entre otros aspectos, con la orientaci�n sexual, los h�bitos del individuo y el credo religioso y pol�tico. En estos eventos, la naturaleza de esos datos pertenece al n�cleo esencial del derecho a la intimidad, entendido como aquella 'esfera o espacio de vida privada no susceptible de la interferencia arbitraria de las dem�s personas, que al ser considerado un elemento esencial del ser, se concreta en el derecho a poder actuar libremente en la mencionada esfera o n�cleo, en ejercicio de la libertad personal y familiar, sin m�s limitaciones que los derechos de los dem�s y el ordenamiento jur�dico.[243]"�

��

Conforme a esta explicaci�n, la definici�n del art�culo 5 es compatible con el texto constitucional, siempre y cuando no se entienda como una lista taxativa, sino meramente enunciativa de datos sensibles, pues los datos que pertenecen a la esfera intima son determinados por los cambios y el desarrollo hist�rico.�

��

2.8. EXAMEN DEL ART�CULO 6: PROHIBICI�N DEL TRATAMIENTO DE DATOS SENSIBLES Y EXCEPCIONES�

��

2.8.1. Texto de la disposici�n�

��

"Art�culo 6�. Tratamiento de datos sensibles.Se proh�be el Tratamiento de datos sensibles, excepto cuando:�

��

a)El Titular haya dado su autorizaci�n expl�cita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorizaci�n.�

��

b)El Tratamiento sea necesario para salvaguardar el inter�s vital del Titular y este se encuentre f�sica o jur�dicamente incapacitado. En estos eventos, los representantes legales deber�n otorgar su autorizaci�n.�

��

c)El Tratamiento sea efectuado en el curso de las actividades leg�timas y con las debidas garant�as por parte de una fundaci�n, ONG, asociaci�n o cualquier otro organismo sin �nimo de lucro, cuya finalidad sea pol�tica, filos�fica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por raz�n de su finalidad. En estos eventos, los datos no se podr�n suministrar a terceros sin la autorizaci�n del Titular.�

��

d)El Tratamiento se refiera a datos que el Titular haya hecho manifiestamente p�blicos o sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.�

��

e)El Tratamiento tenga una finalidad hist�rica, estad�stica o cient�fica. En este evento deber�n adoptarse las medidas conducentes a la supresi�n de identidad de los Titulares."�

��

2.8.2. Intervenciones ciudadanas y concepto del Ministerio P�blico�

��

2.8.2.1. La Defensor�a del Pueblo solicita la inexequibilidad del literal d) del art�culo 6, ya que no es clara su justificaci�n, razonabilidad o necesidad, en lo referente a que el titular haya hecho p�blicos dichos datos, por las siguientes razones:�

��

En primer lugar, expresa que el que los datos que se hagan p�blicos por el titular de la informaci�n sensible no justifica per sesu acopio y tratamiento, pues los datos se definen como p�blicos, privados o confidenciales en raz�n a su naturaleza no en raz�n de su grado de divulgaci�n, aunque sea el mismo titular quien opte por revelarlos. En este orden de ideas, se estar�a admitiendo el tratamiento sin conocimiento del titular y para una finalidad no autorizada por �l, por parte de personas, autoridades o entes que pueden no contar con habilitaci�n legal para ello.�

��

En segundo lugar, afirma que no existe una finalidad constitucional que justifique levantar la proscripci�n del tratamiento de los datos sensibles en el evento se�alado, ni puede considerarse tampoco como una medida necesaria y proporcionada. Por el contrario, por tratarse de datos que comportan un riesgo de discriminaci�n, segregaci�n o violencia en contra de determinados grupos o segmentos de la poblaci�n, es evidente para la Defensor�a que hacer p�blica una manifestaci�n de condiciones, preferencias, opiniones, or�genes, a partir de los cuales se deducen datos de naturaleza "sensible", no justifica en modo alguno la autorizaci�n para crear bases de datos de tal connotaci�n ni para llevar a cabo su tratamiento.�

��

Sumado a lo anterior, para la Defensor�a, el segundo aparte del literal d) del art�culo 6, es decir, el que excluye de la prohibici�n de tratamiento de datos sensibles a aquellos que "sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial", tambi�n es inconstitucional, por las siguientes razones:�

��

Sostiene que no resulta claro el sentido y el alcance de esta previsi�n, pues no se dice qui�n define que un dato sensible sea "necesario" para el ejercicio de un derecho en un proceso judicial y tampoco se hace referencia a la persona que ser�a titular del derecho que requiere ser garantizado o defendido. Podr�a ser el mismo titular de los datos personales o un tercero que tiene conocimiento de tales datos.�

��

Ahora bien, indica que a�n en el evento en que los datos personales de car�cter sensible lleguen a ser expuestos en un proceso p�blico por razones inherentes a la estrategia de las partes para sacar avante sus pretensiones, no por ello est� autorizado conformar una base de datos con informaci�n sensible a partir de datos que puedan ser recogidos de los procesos.�

��

Explica que aunque existan determinadas situaciones, conductas, rasgos, preferencias y dem�s asociadas a datos sensibles de personas determinadas a partir de actuaciones judiciales hechas p�blicas, otra muy distinta es elaborar un registro de individuos que comparten alg�n rasgo asociado a un factor potencialmente discriminatorio, como uno los enumerados en el art�culo 13 de la Constituci�n.�

��

En consecuencia, la Defensor�a solicita declarar inexequible el segundo aparte del literal d) del art�culo 6�.�

��

2.8.2.2. El Ministerio P�blico no se pronunci� sobre este respecto.�

��

2.8.3. Exequibilidad de la prohibici�n de tratamiento de datos sensibles�

��

El art�culo 6 ofrece dos contenidos normativos: de un lado, establece como regla general la prohibici�n de someter a tratamiento los datos sensibles, y de otro, prev� algunas excepciones a dicha regla general, que ser�n examinadas m�s adelante.�

��

En relaci�n con el primer contenido normativo, la Sala estima que no solamente es compatible con la Carta, sino que es una exigencia del derecho a la intimidad y un desarrollo de principio del habeas data de acceso y circulaci�n restringida.�

��

Ciertamente, como se explic� en la sentencia C-1011 de 2008[244], en tanto los datos sensibles pertenecen a la esfera de la intimidad de las personas, "(�) todo acto de divulgaci�n mediante los procesos gen�ricos de administraci�n de datos personales, distintos a las posibilidades de divulgaci�n excepcional descritas en el fundamento jur�dico 2.5. del presente an�lisis, se encuentra proscrita. Ello en la medida que permitir que informaci�n de esta naturaleza pueda ser objeto de procesos ordinarios de acopio, recolecci�n y circulaci�n vulnerar�a el contenido esencial del derecho a la intimidad."�

��

2.8.4. Examen de la constitucionalidad de las excepciones a la prohibici�n de tratamiento de datos sensibles�

��

El segundo contenido normativo del art�culo 6, de otro lado, establece excepciones a la proscripci�n de tratamiento de datos sensibles. Antes de examinar la constitucionalidad de cada hip�tesis, la Sala estima necesario hacer las siguientes precisiones:�

��

Como se indic� en apartes previos, la prohibici�n de tratamiento de datos sensibles es una garant�a del habeas data y del derecho a la intimidad, y adem�s se encuentra estrechamente relacionada con la protecci�n de la dignidad humana. Sin embargo, en ciertas ocasiones el tratamiento de tales datos es indispensable para la adecuada prestaci�n de servicios -como la atenci�n m�dica y la educaci�n- o para la realizaci�n de derechos ligados precisamente a la esfera �ntima de las personas -como la libertad de asociaci�n y el ejercicio de las libertades religiosas y de opini�n. Las excepciones del art�culo 6 responden precisamente a la necesidad del tratamiento de datos sensible en dichos escenarios.�

��

Ahora bien, como se trata de casos exceptuados y que, por tanto, pueden generar altos riesgos en t�rminos de vulneraci�n del habeas data, la intimidad e incluso la dignidad de los titulares de los datos, los agentes que realizan en estos casos el tratamiento tienen una responsabilidad reforzada que se traduce en una exigencia mayor en t�rminos de cumplimiento de los principios del art�culo 4 y los deberes del t�tulo VI. Esa mayor carga de diligencia se deber� tambi�n traducir en materia sancionatoria administrativa y penal.�

��

Finalmente, las excepciones, en tanto limitaciones de alcance general al derecho al habeas data, al igual que en el caso de las excepciones del art�culo 2, deben ser desarrolladas por el legislador estatutario.�

��

Pasa la Sala a examinar la constitucionalidad de estas excepciones:�

��

2.8.4.1. Constitucionalidad del literal a)�

��

La Sala considera que, de conformidad con el principio de libertad, es posible que las personas naturales den su consentimiento, por su puesto, expreso e informado, para que sus datos personales sean sometidos a tratamiento. En estos casos deber�n cumplirse con todos los principios que rigen el tratamiento de datos personales, en especial cobrar� importancia el principio de finalidad, seg�n el cual el dato sensible solamente podr� ser tratado para las finalidades expresamente autorizadas por el titular y que en todo caso deben ser importantes desde el punto de vista constitucional. En este orden de ideas, la Sala encuentra que el primer contenido normativo del literal a) se ajusta a la Constituci�n.�

��

En relaci�n con el segundo contenido normativo, este es, la posibilidad de tratar el dato sensible sin autorizaci�n expl�cita del titular cuando "(�) por ley no sea requerido el otorgamiento de dicha autorizaci�n", la Sala considera que es compatible con la Constituci�n, siempre y cuando se entienda, como se mencionar� m�s adelante, que tal autorizaci�n, adem�s de estar contenida en una ley, sea conforme a las garant�as que otorga el habeas data, por ejemplo en materia de finalidad, y cumpla las exigencias del principio de proporcionalidad.�

��

2.8.4.2. Constitucionalidad del literal b)�

��

El literal b) establece tres condiciones para que pueda operar la segunda excepci�n: (i) el tratamiento del dato sensible busque salvaguardar el inter�s vital del titular, (ii) el titular se encuentre f�sica o jur�dicamente incapacitado y (iii) la autorizaci�n sea entonces otorgada por el representante legal del titular.�

��

La Sala estima que en virtud de las condiciones que prev� el literal b) para que opere la excepci�n, �sta se ajusta a la Carta y cumple con el principio de proporcionalidad. Ciertamente, en este caso la excepci�n cumple una finalidad no solamente importante sino imperiosa, esta es salvaguardar e inter�s vital del titular del dato sensible, el cual debe entenderse en relaci�n con su vida y su salud frente a afectaciones graves. El medio elegido por el legislador es adecuado, pues ante la imposibilidad de obtener el consentimiento expreso del titular, el proyecto permite que sea otorgado por su representante legal, quien se presume es guardi�n de los intereses del titular. Finalmente, la excepci�n establece un justo balance entre los derechos al habeas data, a la intimidad, a la salud y a la vida del titular. Por estas razones, la Sala declarar� el literal b) exequible, no sin antes reiterar que las excepciones a las protecciones del habeas data, en este caso a la prohibici�n de someter a tratamiento los datos sensibles, son de interpretaci�n restrictiva.�

��

2.8.4.3. Constitucionalidad del literal c)�

��

La Sala encuentra que la excepci�n del literal c) se encuentra justificada en tanto (i) se refiere a datos que circulan solamente al interior de las organizaciones enunciadas; y (ii) es propio de tales organizaciones recoger y procesar datos sensibles de sus miembros o personas que mantienen contacto con ellas, precisamente porque la raz�n de su existencia est� ligado con alguno de los �mbitos personales que da lugar a datos sensibles. Por ejemplo, en el caso de una organizaci�n pol�tica, es natural que se recolecte y clasifique informaci�n sobre las preferencias pol�ticas de sus miembros. En el caso de una ONG que, por ejemplo, se dedique a la defensa de los derechos humanos, en virtud de su labor debe recaudar datos sensibles de quienes solicitan su intervenci�n a efectos de, entre otras cosas, preparar defensas judiciales o dise�ar programas de atenci�n.�

��

Adem�s, la reserva de los datos sensibles es garantizada en este literal, en concordancia con el principio de libertad, con la exigencia de que cualquier suministro de datos a terceros este obligatoriamente precedida por la autorizaci�n expresa del titular. Por estas razones la Sala declarar� exequible el literal c).�

��

2.8.4.4. Inexequibilidad parcial del literal d)�

��

El literal d) tiene dos contenidos normativos que en realidad representan dos excepciones diferentes: de un lado, indica que es posible el tratamiento de datos sensibles cuando su titular los ha hecho manifiestamente p�blicos y, de otro, se�ala que tambi�n es posible el tratamiento cuando sea necesario "(�) para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial".�

��

En relaci�n con el primer contenido normativo, la Sala considera que es inconstitucional, pues el hecho de que un dato sensible se haga p�blico, no lo convierte en un dato de naturaleza p�blica que cualquier persona pueda someter a tratamiento. Por tanto, pese a la divulgaci�n de un dato por su titular, la posibilidad de someterlo a tratamiento debe sujetarse a su consentimiento expreso, previo e informado -principio de libertad- y a las dem�s exigencias que imponen los principios consagrados en el art�culo 4 y dem�s garant�as del habeas data. Por estas razones se declarara inexequible la frase "el Titular haya hecho manifiestamente p�blicos o".�

��

Para la Sala, por el contrario, el segundo contenido normativo s� se ajusta a la Carta, siempre y cuando, de conformidad con una interpretaci�n sistem�tica y conforme a la Carta, se entienda que en todo caso es necesaria la autorizaci�n previa y expresa del titular de dato sensible, la existencia de una orden judicial y la garant�a de las dem�s prerrogativas derivadas del habeas data.�

��

En efecto, los datos sensibles (de las partes, los testigos y otros intervinientes) en muchos procesos judiciales son indispensables para resolver una controversia; pi�nsese por ejemplo en un proceso de tutela sobre discriminaci�n o en un proceso penal en el que una v�ctima reclama reparaci�n por violaciones a sus derechos como consecuencia de una persecuci�n pol�tica o religiosa. En estos casos los datos sensibles deben ser puestos en conocimiento de la respectiva autoridad judicial no solamente para resolver la controversia, sino incluso para la adopci�n de medidas de protecci�n.�

��

Sin embargo, en estos casos, se reitera, en virtud de los principios de libertad, finalidad, legalidad y confidencialidad, (i) el titular debe dar su consentimiento expreso, (ii) se requiere orden judicial -cuando sea del caso, (iii) los datos no podr�n ser empleados para prop�sitos diferentes a los propios del proceso judicial y (iv) las autoridades judiciales y las partes involucradas en el proceso deben garantizar la reserva y confidencialidad de los datos sensibles, entre otros requisitos.�

��

2.8.4.5. Exequibilidad del literal e)�

��

Por �ltimo, el literal e) except�a de la prohibici�n al tratamiento de datos sensibles que "(�) tenga una finalidad hist�rica, estad�stica o cient�fica".Sin embargo, la disposici�n exige que en estos casos se adopten "(�) las medidas conducentes a la supresi�n de la identidad de los titulares".�

��

La Sala encuentra que esta excepci�n cumple con las exigencias del principio de proporcionalidad, ya que (i) cumple una finalidad imperiosa, esta es, el cumplimiento de prop�sitos de reconstrucci�n hist�rica, estad�stica y cient�fica, finalidades en las existe adem�s un inter�s de toda la colectividad, toda vez que contribuyen al mejor dise�o de pol�ticas p�blicas y funcionamiento del Estado, a la satisfacci�n de derechos fundamentales como la salud y la vida, e incluso el derecho colectivo a la verdad. Adem�s, (ii) la disposici�n elige un medio adecuado, toda vez que exige en todo caso la supresi�n de la identidad del titular. (iii) De esta forma, la disposici�n establece un balance adecuado entre el derecho al habeas data y los derechos que se satisfacen con las actividades hist�ricas, estad�sticas y cient�ficas.�

��

En todo caso, la Sala reitera que en estos eventos se deben respetar las garant�as del habeas data -especialmente el principio de finalidad- y el principio de proporcionalidad.�

��

2.9. EXAMEN DEL ART�CULO 7: DERECHOS DE LOS NI�OS EN MATERIA DE PROTECCI�N DE DATOS PERSONALES�

��

2.9.1. Texto de la disposici�n�

��

"Art�culo 7�. Derechos de los ni�os, ni�as y adolescentes.En el Tratamiento se asegurar� el respeto a los derechos prevalentes de los ni�os, ni�as y adolescentes.�

��

Queda proscrito el Tratamiento de datos personales de ni�os, ni�as y adolescentes, salvo aquellos datos que sean de naturaleza p�blica.�

��

Es tarea del Estado y las entidades educativas de todo tipo proveer informaci�n y capacitar a los representantes legales y tutores sobre los eventuales riesgos a los que se enfrentan los ni�os, ni�as y adolescentes respecto del Tratamiento indebido de sus datos personales, y proveer de conocimiento acerca del uso responsable y seguro por parte de ni�os, ni�as y adolescentes de sus datos personales, su derecho a la privacidad y protecci�n de su informaci�n personal y la de los dem�s. El Gobierno Nacional reglamentar� la materia, dentro de los seis (6) meses siguientes a la promulgaci�n de esta ley."�

��

2.9.2. Intervenciones ciudadanas y concepto del Ministerio P�blico�

��

2.9.2.1. La Defensor�a del Pueblo solicita la exequibilidad condicionada de los incisos 1 y 2 del art�culo 7, pues asegura que existe una antinomia entre el inciso 1 y el inciso 2 del art�culo 7. El primero parece admitir el tratamiento de datos de ni�os, ni�as y adolescentes, mientras que el segundo proh�be de plano el tratamiento de datos referidos a las mismas categor�as de sujetos, con excepci�n de los datos que sean de "naturaleza p�blica". La interpretaci�n razonable pareciera ser que el tratamiento al que se refiere el inciso 1 es el de datos p�blicos contemplado en el inciso 2, aunque debe quedar claro que, m�s all� de esta posibilidad, no es viable realizar ning�n tratamiento que involucre datos privados de los infantes y adolescentes.�

��

2.9.2.2. La Secretar�a Jur�dica de la Presidencia solicita la exequibilidad condicionada del inciso segundo del art�culo 7 en los siguientes t�rminos:�

��

Manifiesta que de la interpretaci�n del inciso segundo no puede concluirse que todo tratamiento de la informaci�n sobre los ni�os y ni�as constituye una situaci�n que pone en peligro su integridad. Al contrario, derechos como la salud y la seguridad social, consagrados en el art�culo 44 de esta poblaci�n puede verse afectada por una interpretaci�n bajo la cual en ning�n caso resulta l�cito tratar sus datos.�

��

En este orden de ideas, la interpretaci�n que mejor consulta los intereses de los ni�os, ni�as y adolescentes y que asegura su indemnidad formativa, es aquella que en ning�n caso ponga en peligro un bien superior suyo. Por ello, cabe agregar a los datos p�blicos, los privados, cuya revelaci�n corresponda en las circunstancias concretas a un claro e inequ�voco inter�s superior del ni�o, la ni�a y el adolescente y que su tratamiento se encuentre en consonancia con este �nico fin.�

��

Expres� que el inciso segundo es exequible bajo el entendido anteriormente expuesto, de lo contrario es inexequible por vulnerar el art�culo 15 y 44 Superiores; pues la protecci�n de los ni�os, no puede llevarse al punto de negar la vigencia efectiva de sus derechos, incluido el habeas data.�

��

2.9.2.3. ASOBANCARIA manifiesta en relaci�n con el art�culo 7, que se configura una restricci�n legal demasiado fuerte al derecho a la libertad de informaci�n que, en �ltimas, no se traduce en una efectiva materializaci�n de la garant�a del inter�s superior del ni�o. La inquietud se presenta cuando se trata de informaci�n no p�blica que, dados los diferentes niveles de interacci�n social, pueden reposar en diversas entidades e instituciones cuyos titulares son ni�os, ni�as y adolescentes. El dise�o normativo por el que opt� el legislador tampoco distingui� para esta norma, las diferentes tipolog�as que la jurisprudencia ha identificado para delimitar las reglas que definen el n�cleo fundamental del derecho al h�beas data respecto del derecho de informaci�n.�

��

2.9.2.4. La Universidad de los Andes solicita la exequibilidad condicionada del art�culo 7, ya que, en primer lugar, el tratamiento de los datos personales de ni�os, ni�as y adolescentes no queda proscrito cuando el mismo es autorizado por una ley o para dar cumplimiento a la misma. En segundo lugar, en los casos que sea permitido por ley el tratamiento de los datos personales de ni�os, ni�as y adolescentes, se requiere el consentimiento previo, escrito e informado de sus representantes legales. En tercer lugar, el Estado y las entidades educativas no s�lo deben capacitar a los representantes legales y tutores sino a los ni�os, ni�as y adolescentes respecto de los temas mencionados en el p�rrafo final del art�culo 7 del proyecto.�

��

2.9.2.5. El Procurador expone que la expresi�n contenida en el inciso segundo del art�culo 7� "naturaleza p�blica" debe mantenerse siempre y cuando se entienda que no pueden afectarse los derechos de los ni�os, ni�as y adolescentes, pues aunque los datos puedan estar autorizados y expuestos p�blicamente, es posible que algunas de sus garant�as resulten afectadas, teniendo en cuenta que pertenecen a una poblaci�n vulnerable. Explica lo anterior de la siguiente manera: i) los ni�os, ni�as y adolescentes no tienen capacidad plena para otorgar su consentimiento, lo que podr�a superarse con la autorizaci�n de sus representantes legales y, ii) esta poblaci�n vulnerable al tener acceso libre a la Internet podr�a publicar de manera irreflexiva sus datos personales.�

��

2.9.3. Exequibilidad condicionada del art�culo 7�

��

El art�culo 7� del proyecto bajo estudio, establece que (i) en el tratamiento de la informaci�n se asegurar� el respeto prevalente de los ni�os, ni�as y adolescentes; (ii) queda prohibido el tratamiento de datos personales de ni�os, ni�as y adolescentes, salvo aquellos casos que sean de naturaleza p�blica; y (iii) es tarea del Estado y de todas las instituciones educativas, en sus diferentes niveles de formaci�n, proveer informaci�n y capacitar a los representantes legales y tutores acerca de los riesgos que pueden enfrentar los ni�os, ni�as y adolescentes ante el tratamiento indebido de sus datos personales. A su vez, se�ala la importancia de proveer de conocimiento a los ni�os, ni�as y adolescentes, acerca del uso responsable de sus datos personales, de su privacidad y la protecci�n de su informaci�n personal y la de los dem�s.�

��

Finalmente, refiere que (iv) el Gobierno Nacional reglamentar� la materia, dentro de los seis (6) meses siguientes a la promulgaci�n de esta ley.�

��

La Corte considera que la disposici�n objeto de estudio es de suma relevancia por referirse al tratamiento de los datos personales de ni�os, ni�as y adolescentes, sujetos de especial protecci�n constitucional. Teniendo en cuenta esta calidad, la Corte abordar� los siguientes puntos: (1) la definici�n de ni�o, ni�a y adolescente establecida en el C�digo de la Infancia y la Adolescencia; (2) el fundamento jur�dico del principio del inter�s superior de los menores de 18 a�os; (3) el derecho fundamental de los ni�os, las ni�as y adolescentes a ser escuchados; y (4) el examen de constitucionalidad del art�culo 7.�

��

2.9.3.1. La definici�n de ni�o, ni�a y adolescente�

��

Es importante referir brevemente qu� se entiende por ni�o, ni�a y adolescente en el ordenamiento jur�dico colombiano. En desarrollo de este concepto, el C�digo de la Infancia y la Adolescencia, en su art�culo 3�, estableci�: "(�) se entiende por ni�o o ni�a las personas entre los 0 y 12 a�os, y por adolescente las personas entre 12 y 18 a�os de edad". La anterior definici�n fue declarada exequible por esta Corporaci�n. Adem�s es consonante con la definici�n en sentido amplio que contiene la Convenci�n sobre los derechos del ni�o como "(�) todo ser humano menor de dieciocho a�os de edad (�)".�

��

2.9.3.2. El fundamento jur�dico del principio del inter�s superior de los menores de 18 a�os�

��

Respecto a la calidad de sujetos de especial protecci�n constitucional que ostentan los ni�os, las ni�as y los adolescentes, �sta tiene su sustento en los postulados de la Constituci�n y tambi�n en instrumentos internacionales de derechos humanos que reconocen el principio del inter�s superior del menor de dieciocho a�os y que integran el denominado bloque de constitucionalidad.�

��

Ahora, su calidad de sujetos de especial protecci�n deviene del art�culo 44 Superior, el cual establece, entre otros aspectos, que la familia, la sociedad y el Estado tienen la obligaci�n de asistir y proteger al ni�o para garantizar su desarrollo arm�nico e integral y el ejercicio pleno de sus derechos. Tambi�n, precept�a que los derechos de los ni�os prevalecen sobre los dem�s. A su vez, la Declaraci�n Universal de los Derechos del Ni�o (1959), principio II, se�ala que el ni�o gozar� de una protecci�n especial y que a trav�s de las leyes y otros medios se dispondr� lo necesario para que pueda desarrollarse f�sica, mental, moral, espiritual y socialmente, as� como en condiciones de libertad y dignidad; y tambi�n contempla que al promulgar leyes con este fin, la consideraci�n fundamental a la que se atender� ser� el inter�s superior del ni�o. Adem�s de este instrumento, existen otros tratados y convenios internacionales que consagran el principio del inter�s superior de los menores de dieciocho a�os, entre los que se encuentran: el Pacto Internacional de Derechos Civiles y Pol�ticos de 1966 (art�culo 24), la Convenci�n Americana sobre los Derechos Humanos de 1969 (art�culo 19) y la Convenci�n sobre los derechos del ni�o de 1989[245].�

��

El principio del inter�s superior del menor de dieciocho a�os, consagrado en distintos convenios de derechos humanos, se encuentra establecido expresamente en el art�culo 8� del C�digo de la Infancia y la Adolescencia, as� "(�) Se entiende por inter�s superior del ni�o, ni�a y adolescente, el imperativo que obliga a todas las personas a garantizar la satisfacci�n integral y simult�nea de todos sus Derechos Humanos, que son universales, prevalentes e interdependientes". Por otra parte, el art�culo 25 de este mismo C�digo, siguiendo el precepto superior de la prevalencia de los derechos de los menores de 18 a�os sobre los dem�s, estableci�: "(�) En todo acto, decisi�n o medida administrativa, judicial o de cualquier naturaleza que deba adoptarse en relaci�n con los ni�os, las ni�as y los adolescentes, prevalecer�n los derechos de estos, en especial si existe conflicto entre sus derechos fundamentales con los de cualquier otra persona (�)".�

��

En definitiva, la calidad de sujetos de especial protecci�n constitucional de los ni�os, las ni�as y adolescentes, deviene del (i) art�culo 44 Superior que establece que sus derechos prevalecen sobre los derechos de los dem�s, y del (ii) marco internacional, que consagra el principio del inter�s superior de los menores de dieciocho a�os.�

��

Acerca de los criterios jur�dicos que deben observarse para aplicar en concreto el principio del inter�s superior de los ni�os, las ni�as y adolescentes, en la jurisprudencia de esta Corporaci�n se han establecido los siguientes:�

��

"En este sentido, en sentencias T-510 de 2003[246]y T-572 de 2009[247], la Corte fij� reglas constitucionales, legales y jurisprudenciales aplicables para determinar el inter�s superior de cada ni�o, dependiendo de sus circunstancias particulares. Veamos:�

��

(i) Garant�a del desarrollo integral del ni�o. Se debe, como regla general, asegurar el desarrollo arm�nico, integral, normal y sano de los ni�os, desde los puntos de vista f�sico, psicol�gico, afectivo, intelectual y �tico, as� como la plena evoluci�n de su personalidad. Corresponde a la familia, la sociedad y el Estado, brindar la protecci�n y la asistencia necesarias para materializar el derecho de los ni�os a desarrollarse integralmente, teniendo en cuenta las condiciones, aptitudes y limitaciones propias de cada ni�o. El art�culo 7 del C�digo de la Infancia y la Adolescencia entiende por protecci�n integral "el reconocimiento como sujetos de derechos, la garant�a y cumplimiento de los mismos, la prevenci�n de su amenaza o vulneraci�n y la seguridad de su restablecimiento inmediato en desarrollo del principio del inter�s superior." El mandato constitucional en cuesti�n, que debe materializarse teniendo en cuenta las condiciones, aptitudes y limitaciones propias de cada ni�o, se encuentra reflejado en los art�culos 6-2 y 27-1 de la Convenci�n sobre los Derechos del Ni�o[248]y en el Principio 2 de la Declaraci�n sobre los Derechos del Ni�o.�

��

(ii) Garant�a de las condiciones para el pleno ejercicio de los derechos fundamentales del ni�o. Los derechos de los ni�os deben interpretarse de conformidad con las disposiciones de los tratados e instrumentos de derecho internacional p�blico que vinculan a Colombia. El art�culo 6 del C�digo de la Infancia y la Adolescencia contiene un mandato contundente en este sentido: "Las normas contenidas en la Constituci�n Pol�tica y en los tratados y convenios internacionales de Derechos Humanos ratificados por Colombia, en especial la Convenci�n sobre los Derechos del Ni�o, har�n parte integral de este C�digo, y servir�n de gu�a para su interpretaci�n y aplicaci�n. En todo caso, se aplicar� siempre la norma m�s favorable al inter�s superior del ni�o, ni�a o adolescente."�

��

(iii) Protecci�n del ni�o frente a riesgos prohibidos. Se debe resguardar a los ni�os de todo tipo de abusos y arbitrariedades, y protegerlos frente a condiciones extremas que amenacen su desarrollo arm�nico, tales como el alcoholismo, la drogadicci�n, la prostituci�n, la violencia f�sica o moral, la explotaci�n econ�mica o laboral, y en general, el irrespeto por la dignidad humana en todas sus formas. No en vano el art�culo 44 de la Carta se�ala que los ni�os "ser�n protegidos contra toda forma de abandono, violencia f�sica o moral, secuestro, venta, abuso sexual, explotaci�n laboral o econ�mica y trabajos riesgosos." Por su parte, el art�culo 20 del C�digo de la Infancia y la Adolescencia establece el conjunto de riesgos graves para los ni�os que deben ser evitados (�)�

��

En todo caso, se debe precisar que esta enunciaci�n no agota todas las distintas situaciones que pueden constituir amenazas para el bienestar de cada ni�o en particular, las cuales deber�n determinarse atendiendo a las circunstancias del caso concreto.�

��

(iv) Equilibrio entre los derechos de los ni�os y los derechos de sus padres, sobre la base de que prevalecen los derechos del ni�o. Es necesario preservar un equilibrio entre los derechos del ni�o y los de los padres, pero cuando quiera que dicho equilibrio se altere, y se presente un conflicto que no pueda resolverse mediante la armonizaci�n en el caso concreto, la soluci�n deber� ser la que mejor satisfaga el inter�s superior del ni�o. En este contexto, los derechos e intereses de los padres solo podr�n ser antepuestos a los del ni�o cuando ello satisfaga su inter�s prevalente. La forma en que se deben armonizar los derechos y resolver los conflictos entre los intereses de los padres y los intereses del ni�o, no se puede establecer en abstracto, sino en funci�n de las circunstancias de cada caso particular y sin que pueda, en ning�n caso, poner en riesgo la vida, salud, estabilidad o desarrollo integral del ni�o, ni generar riesgos prohibidos para su desarrollo, so pena de que el Estado intervenga para resguardar los intereses prevalecientes del ni�o en riesgo. "El sentido mismo del verbo 'prevalecer'[249] implica, necesariamente, el establecimiento de una relaci�n entre dos o m�s intereses contrapuestos en casos concretos, entre los cuales uno (el del menor) tiene prioridad en caso de no encontrarse una forma de armonizaci�n". Por lo tanto, en situaciones que se haya de determinar cu�l es la opci�n m�s favorable para un menor en particular, se deben necesariamente tener en cuenta los derechos e intereses de las personas vinculadas con tal menor, en especial los de sus padres, biol�gicos o de crianza; "s�lo as� se logra satisfacer plenamente el mandato de prioridad de los intereses de los ni�os, ya que �stos son titulares del derecho fundamental a formar parte de una familia, por lo cual su situaci�n no debe ser estudiada en forma aislada, sino en el contexto real de sus relaciones con padres, acudientes y dem�s familiares e interesados. Esta es la regla que establece el art�culo 3-2 de la Convenci�n sobre Derechos del Ni�o, seg�n el cual 'los Estados se comprometen a asegurar al ni�o la protecci�n y el cuidado que sean necesarios para su bienestar, teniendo en cuenta los derechos y deberes de sus padres, tutores u otras personas responsables de �l ante la ley'[250]."[251]�

��

(v) Provisi�n de un ambiente familiar apto para el desarrollo del ni�o. El desarrollo integral y arm�nico de los ni�os (art. 44 CP), exige una familia en la que los padres o acudientes cumplan con los deberes derivados de su posici�n, y le permitan desenvolverse adecuadamente en un ambiente de cari�o, comprensi�n y protecci�n. Al respecto el art. 22 del C�digo de la Infancia y la Adolescencia prev� que "los ni�os, las ni�as y los adolescentes tienen derecho a tener y crecer en el seno de una familia, a ser acogidos y a no ser expulsados de ella."�

��

(vi) Necesidad de razones poderosas que justifiquen la intervenci�n del Estado en las relaciones paterno/materno - filiales. El solo hecho de que el ni�o pueda estar en mejores condiciones econ�micas no justifica de por s� una intervenci�n del Estado en la relaci�n con sus padres; deben existir motivos adicionales poderosos, que hagan temer por su bienestar y desarrollo, y justifiquen las medidas de protecci�n que tengan como efecto separarle de su familia biol�gica. "Lo contrario equivaldr�a a efectuar una discriminaci�n irrazonable entre ni�os ricos y ni�os pobres, en cuanto a la garant�a de su derecho a tener una familia y a no ser separados de ella - un trato frontalmente violatorio de los art�culos 13 y 44 de la Carta." Asimismo, lo dispone el art�culo 22 del C�digo de la Infancia y la Adolescencia"[252](Negrilla fuera de texto)�

��

En definitiva, (i) el principio del inter�s superior de los ni�os, las ni�as y adolescentes se realiza en el estudio de cada caso en particular y tiene por fin asegurar su desarrollo integral; (ii) este principio, adem�s, persigue la realizaci�n efectiva de los derechos fundamentales de los menores de 18 a�os y tambi�n resguardarlos de los riesgos prohibidos que amenacen su desarrollo arm�nico. Estos riesgos no se agotan en los que enuncia la ley sino que tambi�n deben analizarse en el estudio de cada caso particular; (iii) debe propenderse por encontrar un equilibrio entre los derechos de los padres o sus representantes legales y los de los ni�os, las ni�as y adolescentes. Sin embargo, cuando dicha armonizaci�n no sea posible, deber�n prevalecer las garant�as superiores de los menores de 18 a�os. En otras palabras, siempre que prevalezcan los derechos de los padres, es porque se ha entendido que �sta es la mejor manera de darle aplicaci�n al principio del inter�s superior de los ni�os, las ni�as y adolescentes.�

��

La calidad de sujetos de especial protecci�n constitucional de los menores de dieciocho a�os tiene su fundamento en la situaci�n de vulnerabilidad e indefensi�n en la que se encuentran, pues su desarrollo f�sico, mental y emocional est� en proceso de alcanzar la madurez requerida para la toma de decisiones y participaci�n aut�noma dentro de la sociedad. El grado de vulnerabilidad e indefensi�n tiene diferentes grados y se da partir de todos los procesos de interacci�n que los menores de 18 a�os deben realizar con su entorno f�sico y social para el desarrollo de su personalidad.[253]Por lo anterior, el Estado, la sociedad y la familia deben brindar una protecci�n especial en todos los �mbitos de la vida de los ni�os, ni�as y adolescentes, en aras de garantizar su desarrollo arm�nico e integral.[254]�

��

Adicional a lo expuesto, la protecci�n constitucional reforzada de la cual son titulares los ni�os, las ni�as y adolescentes tiene su sustento en (i) el respeto de su dignidad humana, y (ii) la importancia de construir un futuro promisorio para la comunidad mediante la efectividad de todos sus derechos fundamentales.[255]�

��

En este orden de ideas, esta Sala encuentra que en el caso concreto del tratamiento de los datos de los ni�os, ni�as y adolescentes, existe un riesgo prohibido que esta poblaci�n en situaci�n de vulnerabilidad est� expuesta a sufrir, principalmente por la desbordante evoluci�n de los medios inform�ticos, entre los que se encuentran la Internet y las redes sociales. Si bien, el acceso a los distintos sistemas de comunicaci�n, les permite disfrutar de todos sus beneficios y ventajas, tambi�n su mal uso puede generar un conflicto en el ejercicio y efectividad de sus derechos fundamentales al buen nombre, al honor, a la intimidad, entre otros. El anterior planteamiento fue abordado en el Memorando sobre la protecci�n de datos personales y la vida privada en las redes sociales en Internet, en particular de ni�os, ni�as y adolescentes, adoptado en Montevideo el 28 de julio de 2009.[256]Si bien, este documento no integra el denominado bloque de constitucionalidad y por tanto sus recomendaciones no son vinculantes para el Estado colombiano, constituye un documento valioso en torno al tema de la protecci�n de datos personales de los ni�os, las ni�as y adolescentes.[257]�

��

2.9.3.3. El derecho fundamental de los ni�os, las ni�as y adolescentes a ser escuchados�

��

El principio del inter�s superior de los menores de 18 a�os se encuentra �ntimamente relacionado con su derecho a ser escuchados. El art�culo 12 de la Convenci�n sobre los derechos del Ni�o lo define en los siguientes t�rminos:�

��

"1. Los Estados Partes garantizar�n al ni�o que est� en condiciones de formarse un juicio propio el derecho de expresar su opini�n libremente en todos los asuntos que afectan al ni�o, teni�ndose debidamente en cuenta las opiniones del ni�o, en funci�n de la edad y madurez del ni�o.�

��

2. Con tal fin, se dar� en particular al ni�o oportunidad de ser escuchado, en todo procedimiento judicial o administrativo que afecte al ni�o, ya sea directamente o por medio de un representante o de un �rgano apropiado, en consonancia con las normas de procedimiento de la ley nacional".�

��

El Comit� de los Derechos del Ni�o "El Comit�", a trav�s de la Observaci�n General n�mero 12 acerca del derecho de los ni�os, las ni�as y adolescentes a ser escuchados, realiz� el siguiente an�lisis: (i) esta garant�a los reconoce como plenos sujetos de derechos, independientemente de que carezcan de la autonom�a de los adultos; (ii) este derecho debe ser tenido en cuenta para la interpretaci�n del resto de sus garant�as. (iii) Respecto al precepto de que los ni�os, ni�as y adolescentes deben ser escuchados en funci�n de su edad y madurez, el Comit� precis�: 1- Ante todo el ejercicio del derecho a emitir su opini�n es una opci�n no una obligaci�n de los menores de 18 a�os. 2- los Estados partes deben partir del supuesto de que el ni�o, ni�a o adolescente tiene capacidad para formarse su propio juicio respecto de los asuntos que afectan su vida y reconocerles el derecho a expresarse. Es decir, no les corresponde demostrar previamente que tienen esa capacidad. Es el Estado quien deber�, en concreto, evaluar su capacidad para formarse una opini�n aut�noma. 3- No existe un l�mite de edad para que los menores de 18 a�os manifiesten su libre opini�n en todos los asuntos que los afectan, a�n m�s, el Comit� desaconseja que los Estados fijen una edad para restringir su derecho a ser escuchados.[258]4- La disposici�n que se analiza no evidencia que la edad en s� misma determine la trascendencia de la opini�n que emiten los menores de 18 a�os, pues en muchos casos su nivel de comprensi�n de todo cuanto lo rodea no est� ligado a su edad biol�gica. "Se ha demostrado en estudios que la informaci�n, la experiencia, el entorno, las expectativas sociales y culturales y el nivel de apoyo contribuyen al desarrollo de la capacidad del ni�o para formarse una opini�n. Por ese motivo, las opiniones del ni�o tienen que evaluarse mediante un examen caso por caso". 5- Respecto a la madurez, va ligada con el nivel de comprensi�n de un asunto y la evaluaci�n de sus consecuencias, podr�a definirse como "la capacidad de un ni�o para expresar sus opiniones sobre las cuestiones de forma razonable e independiente (�) cuanto mayores sean los efectos del resultado en la vida del ni�o, m�s importante ser� la correcta evaluaci�n de la madurez de ese ni�o". (iv) La opini�n del ni�o, la ni�a o adolescente debe escucharse en todos los asuntos que los afecten cuando son capaces de expresar sus propias opiniones frente al mismo.�

��

Por otra parte, en concordancia con el numeral 2 del art�culo 12 de la Convenci�n, el C�digo de la Infancia y la Adolescencia de nuestro pa�s en su art�culo 26, reconoce el derecho al debido proceso en los siguientes t�rminos: "En toda actuaci�n administrativa, judicial o de cualquier otra naturaleza en que est�n involucrados los ni�os, las ni�as y los adolescentes, tendr�n derecho a ser escuchados y sus opiniones deber�n ser tenidas en cuenta". (Subraya fuera de texto)�

��

Frente al contenido de esta garant�a fundamental, en particular, el establecido en el numeral 2 del art�culo 12 de la Convenci�n, el Comit� recomienda que en lo posible se brinde al ni�o la oportunidad de ser escuchado en todo procedimiento. Es decir, si un menor de 18 a�os demuestra capacidad para emitir una opini�n con conocimiento de causa sobre su tratamiento, los Estados deber�n tomar debidamente esta opini�n.�

��

2.9.3.4. El examen de constitucionalidad del art�culo 7�

��

A la luz de lo expuesto precedentemente, esta Corporaci�n considera que el principio del inter�s superior de los ni�os, las ni�as y adolescentes se concreta, en el caso particular, en el establecimiento de condiciones que permitan garantizar los derechos de los menores de 18 a�os en la sociedad de la Informaci�n y el Conocimiento, dentro de la cual se encuentran las herramientas de Internet y redes sociales.�

��

Se concluye entonces, ante la evidencia del entorno inmediato que rodea el proceso de crecimiento y desarrollo de los ni�os, las ni�as y los adolescentes en el aspecto f�sico, mental y emocional; y la urgencia del reconocimiento de su dignidad humana, que todos los actores involucrados en el aseguramiento y efectividad de los derechos de los menores de 18 a�os deben cumplir con sus responsabilidades en la protecci�n de los mismos, concretamente, en la salvarguarda de sus datos personales.�

��

Para iniciar, los intervinientes evidencian una posible contradicci�n entre el contenido del inciso primero y el inciso segundo del art�culo 7 del proyecto porque el inciso primero establece que en el tratamiento de los datos de los ni�os, las ni�as y adolescentes se debe asegurar la prevalencia de sus derechos, y el inciso segundo indica que se proscribe el tratamiento de los datos personales de los menores de 18 a�os, salvo aquellos que sean de naturaleza p�blica. Al respecto, sostienen que una restricci�n absoluta del tratamiento de los datos personales y de cualquier �ndole se tornar�a excesiva, y que en todo caso se debe autorizar dicho tratamiento pero atendiendo al principio del inter�s superior del menor de 18 a�os y la prevalencia de sus derechos.�

��

Esta Sala observa que la interpretaci�n del inciso segundo, no debe entenderse en el sentido de que existe una prohibici�n casi absoluta del tratamiento de los datos de los menores de 18 a�os, exceptuando los de naturaleza p�blica, pues ello, dar�a lugar a la negaci�n de otros derechos superiores de esta poblaci�n como el de la seguridad social en salud, interpretaci�n �sta que no se encuentra conforme con la Constituci�n. De lo que se trata entonces, es de reconocer y asegurar la plena vigencia de todos los derechos fundamentales de esta poblaci�n, incluido el habeas data.�

��

En este mismo sentido, debe interpretarse la expresi�n "naturaleza p�blica". Es decir, el tratamiento de los datos personales de los menores de 18 a�os, al margen de su naturaleza, pueden ser objeto de tratamiento siempre y cuando el fin que se persiga con dicho tratamiento responda al inter�s superior de los ni�os, las ni�as y adolescentes y se asegure sin excepci�n alguna el respeto de sus derechos prevalentes.�

��

Sumado a la efectividad del inter�s superior de esta poblaci�n, tambi�n es importante que se les asegure su derecho a ser escuchados en todos los asuntos que los afecten; y el tratamiento de sus datos, sin duda alguna, es un asunto que les concierne directamente.�

��

En definitiva, siguiendo las recomendaciones que emiti� el Comit� acerca de esta importante garant�a, la Corte considera relevante que la opini�n del menor de 18 a�os sea siempre tenida en cuenta, pues la madurez con que expresen sus juicios acerca de los hechos que los afectan debe analizarse caso por caso. La madurez y la autonom�a no se encuentran asociadas a la edad, m�s bien est�n relacionadas con el entorno familiar, social, cultural en el cual han crecido. En este contexto, la opini�n del ni�o, ni�a, y adolescente siempre debe tenerse en cuenta, y el elemento subjetivo de la norma "madurez" deber� analizarse en concreto, es decir, la capacidad que ellos tengan de entender lo que est� sucediendo (el asunto que les concierne) y derivar sus posibles consecuencias.�

��

En definitiva, el inciso segundo del art�culo objeto de estudio es exequible, si se interpreta que los datos de los ni�os, las ni�as y adolescentes pueden ser objeto de tratamiento siempre y cuando no se ponga en riesgo la prevalencia de sus derechos fundamentales e inequ�vocamente responda a la realizaci�n del principio de su inter�s superior, cuya aplicaci�n espec�fica devendr� del an�lisis de cada caso en particular.�

��

En cuanto al inciso 3� del art�culo 7� del proyecto debe tambi�n resaltarse que no s�lo el Estado y las entidades educativas deben desarrollar acciones para evitar el uso inadecuado de los datos personales de los menores de 18 a�os sino que tambi�n son responsables en el aseguramiento de dicha garant�a (i) los progenitores u otras personas que se encuentren a cargo de su cuidado y los educadores; (ii) el legislador, quien debe asegurarse que en cumplimiento de sus funciones legislativas, espec�ficamente, en lo referente al tratamiento de los datos personales de los menores de 18 a�os, dicha normativa no deje de contener las medidas adecuadas de protecci�n para garantizar su desarrollo arm�nico e integral, y la efectividad de sus derechos fundamentales contenidos en la Constituci�n Pol�tica y en los est�ndares internacionales que existen sobre la materia; (iii) el sistema judicial; espec�ficamente los servidores p�blicos deben proteger los derechos derivados del uso de los datos personales de los menores de 18 a�os observando los est�ndares internacionales o documentos especializados sobre la materia; (iv) los medios de comunicaci�n; (v) las empresas que proveen los servicios de acceso a la Internet, desarrollan las aplicaciones o las redes sociales digitales, a quienes se advierte que deben comprometerse en la defensa de los derechos fundamentales de los ni�os, ni�as y adolescentes.�

��

En definitiva, existe una corresponsabilidad de todos los actores frente al manejo y tratamiento de la informaci�n de los ni�os, ni�as y adolescentes.�

��

Respecto al contenido del inciso 3 del art�culo 7 que establece: "El Gobierno Nacional reglamentar� la materia, dentro de los seis (6) meses siguientes a la promulgaci�n de esta ley", esta Corporaci�n encuentra que existen dos interpretaciones posibles sobre el alcance de la expresi�n "materia".�

��

La primera, es aquella que tiene que ver con la reglamentaci�n de la materia por parte del Gobierno Nacional, en el sentido de que el Gobierno podr� regular lo concerniente al tratamiento de los datos personales de los ni�os, las ni�as y adolescentes. Teniendo en cuenta que esta regulaci�n tiene reserva de ley, tal y como se expone en el estudio del art�culo 27 de este proyecto, esta interpretaci�n es contraria a la Constituci�n. Por tanto, el contenido del inciso 3 al que se hace referencia bajo este entendido ser�a inexequible.�

��

No obstante, en aplicaci�n del principio de conservaci�n del derecho[259], la Corte encuentra que existe una segunda interpretaci�n sobre el�

��

alcance de la expresi�n en cuesti�n, en el sentido de que la potestad reglamentaria que el legislador le entrega al Gobierno Nacional para que regule la materia, se encuentra relacionada con (i) todas las acciones que debe desplegar para proveer informaci�n y formar a los representantes legales y tutores sobre los riesgos que afrontan los ni�os, ni�as y adolescentes al realizar un uso indebido de sus datos personales y (ii) proveer de conocimiento a los ni�os, las ni�as y las adolescentes sobre la importancia de darle un uso responsable al manejo de su informaci�n personal, el respeto por su derecho a la privacidad y la protecci�n que deben otorgarle a sus datos personales y los de los dem�s.[260]�

��

En este orden de ideas, la constitucionalidad del contenido del inciso 3 del art�culo 7, que establece: "El Gobierno Nacional reglamentar� la materia, dentro de los seis (6) meses siguientes a la promulgaci�n de esta ley", debe ser entendida a que dicha regulaci�n se circunscriba al desarrollo del contenido del inciso 3 del art�culo en menci�n, tal y como quedo arriba expuesto.�

��

De igual manera debe entenderse que la expresi�n "(...) dentro de los seis (6) meses siguientes a la promulgaci�n de esta ley", no debe entenderse como un t�rmino de caducidad de facultad reglamentaria, pues al contrario, la jurisprudencia constitucional ha se�alado que no es posible establecer limitaciones a la misma, la cual se ejerce en forma permanente y en virtud de expreso mandato constitucional.�

��

En efecto, ha dicho la Corte que la potestad reglamentaria tiene fundamento en lo previsto por el art�culo 189-11 C.P., e implica que Ejecutivo est� revestido de la facultad para expedir decretos, resoluciones y �rdenes necesarios para la cumplida ejecuci�n de las leyes. La potestad reglamentaria, en consecuencia, tiene naturaleza "ordinaria, derivada, limitada y permanente". Es ordinaria en raz�n a que es una funci�n de la Rama Ejecutiva, sin que para su ejercicio requiera de habilitaci�n distinta de la norma constitucional que la confiere. Tiene car�cter derivado, puesto que requiere de la preexistencia de material legislativo para su ejercicio. Del mismo modo es limitada porque "encuentra su l�mite y radio de acci�n en la constituci�n y en la ley; es por ello que no puede alterar o modificar el contenido y el esp�ritu de la ley, ni puede dirigirse a reglamentar leyes que no ejecuta la administraci�n, as� como tampoco puede reglamentar materias cuyo contenido est� reservado al legislador". Por �ltimo, "la potestadreglamentaria es permanente, habida cuenta que el Gobierno puede hacer uso de la misma tantas veces como lo considere oportuno para la cumplida ejecuci�n de la ley de que se trate y hasta tanto �sta conserve su vigencia."�

��

2.10. EXAMEN DEL ART�CULO 8: DERECHOS DE LOS TITULARES�

��

2.10.1. Texto de la disposici�n�

��

"Art�culo 8�. Derechos de los titulares. El Titular de los datos personales tendr� los siguientes derechos:�

��

a)Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podr� ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento est� expresamente prohibido o no haya sido autorizado.�

��

b)Solicitar prueba de la autorizaci�n otorgada al Responsable del Tratamiento salvo cuando expresamente se except�e como requisito para el Tratamiento, de conformidad con lo previsto en el art�culo 10 de la presente ley.�

��

c)Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales.�

��

d)Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las dem�s normas que la modifiquen, adicionen o complementen.�

��

e)Revocar la autorizaci�n y/o solicitar la supresi�n del dato cuando en el Tratamiento no se respeten los principios, derechos y garant�as constitucionales y legales. La revocatoria y/o supresi�n s�lo proceder� cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constituci�n.�

��

f)Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.�

��

2.10.2. Intervenciones ciudadanas y concepto del Ministerio P�blico�

��

2.10.2.1. La Universidad de los Andes solicita declarar exequibles los literales a), b) y c) del art�culo 8 del proyecto, pero bajo el entendido de que en virtud del art�culo 15 de la Constituci�n, el titular de los datos personales tambi�n puede ejercer los derechos previstos en dichos literales frente a los usuarios de sus datos personales.�

��

Sobre el punto, advierte que de no entenderse que el proyecto de ley tambi�n involucra a los usuarios, se estar�a generando una situaci�n de desigualdad violatoria del art�culo 13 de la Constituci�n entre los titulares de los datos personales, comerciales y financieros regidos por la Ley Estatutaria 1266 de 2008 y los titulares de los otros tipos de datos personales que se regir�n por la nueva ley.�

��

En efecto, dice, a los primeros s� se les confieren derechos frente a los usuarios mientras que a los segundos no. En este orden de ideas, argument�, no existe raz�n jur�dica para dar mayor relevancia e importancia al dato comercial y financiero frente a otra clase de dato personal como los datos sobre la salud, la familia, el trabajo, el patrimonio, los datos sensibles, etc.�

��

Reitera que para que el tratamiento sea consistente con las exigencias m�nimas de la Constituci�n es necesario que los usuarios cumplan una serie de obligaciones de manera que su acci�n u omisi�n no comprometa, vulnere, lesione o ponga en riesgo los derechos y libertades de los titulares de los datos personales. Por esta raz�n, es necesario que la Corte precise que los derechos de los titulares previstos en los literales a), b), y c) del art�culo 8 del proyecto tambi�n pueden ejercerse ante los usuarios de los datos personales.�

��

Tambi�n solicita declarar exequible el literal f) del art�culo 8 del proyecto, bajo el entendido que la gratuidad total tambi�n aplica al ejercicio del habeas data sobre los datos comerciales y financieros de que trata la Ley 1266 de 2008.�

��

Aduce que el par�grafo del articulo 10 de la Ley Estatutaria 1266 de 2008 consagra una gratuidad limitada a una vez por mes calendario, es decir, a partir de la segunda consulta mensual el titular del dato debe pagar por ejercer el derecho fundamental al habeas data, respecto de sus datos personales.�

��

Teniendo en cuenta lo anterior, afirma, la gratuidad total para el ejercicio del derecho de habeas data debe imponerse respecto de cualquier tipo de dato personal, incluso el comercial y financiero de que trata la Ley 1266 de 2008. De no entenderse que la gratuidad del literal f) del art�culo 8 del proyecto se hace extensivo al ejercicio del habeas data del dato comercial y financiero se consolidar� una situaci�n real de desigualdad violatoria del art�culo 13 de la Constituci�n entre los titulares de los datos personales, comerciales y financieros regidos por la Ley 1266 de 2008 y los titulares de los otros tipos de datos personales que se regir�n por la nueva ley.�

��

Por lo anterior, por razones de igualdad y con miras a evitar situaciones abusivas contra el titular del dato personal, es imperativo aclarar que la gratuidad total que consagra el literal f) del art�culo 8 del proyecto tambi�n se aplica cuando se trate del dato comercial y financiero regulado por la Ley 1266 de 2008.�

��

2.10.2.2. El Ministerio P�blico no se pronunci� al respecto.�

��

2.10.3. Introducci�n�

��

El Consejo Permanente de la OEA, en el Proyecto de Principios y Recomendaciones Preliminares sobre la Protecci�n de Datos Personales del 19 de noviembre de 2010, se�al� que los Estados deber�an, como m�nimo, garantizar a los titulares del dato lo siguientes: (ii) a solicitar y obtener del controlador de datos informaci�n sobre sus datos personales, (ii) saber c�mo y por qu� se procesa el dato personal. Esto �ltimo incluye informaci�n sobre la fuente de los datos personales, el prop�sito del procesamiento y para qui�n se efect�a, lo cual puede incluir la categor�a de receptores a los que se divulgar�n los datos personales, (iii) a menos que los datos personales sean enmendados y/o suprimidos como rutina, el controlador de datos debe revelar los datos personales en su poder a la fecha de la solicitud. Sin embargo, si los datos personales son enmendados y/o suprimidos regularmente, el controlador de datos puede, en su defecto, revelar los datos personales que est�n en su poder en el momento de responder a la solicitud, (iv) c�mo y cu�ndo deben divulgarse los datos personales, (v) la informaci�n que debe ser suministrada a la persona debe ser clara y f�cilmente comprensible, (vi) la persona tiene derecho a solicitar que el controlador de datos corrija o suprima los datos personales que puedan ser incompletos, inexactos, innecesarios o excesivos. Si los datos personales han sido divulgados a terceros, el controlador de datos debe tambi�n notificar a estos del cambio, si los conoce y (vii) el derecho a la revocatoria del dato, o el derecho a objetar el procesamiento de los datos personales, alegando una raz�n persona y leg�tima y no podr� objetarlos si son necesarios para el cumplimiento de un deber impuesto al controlador de datos por la legislaci�n nacional o para la ejecuci�n de una obligaci�n contractual entre la persona y el controlador de datos, o si la persona expres� su consentimiento.�

��

Por su parte, la Directiva 95/46/CE del Parlamento Europeo se�ala como derechos de los Titulares del Dato:�

��

Los Estados miembros garantizar�n a todos los interesados el derecho de obtener del responsable del tratamiento:�

��

a) libremente, sin restricciones y con una periodicidad razonable y sin retrasos ni gastos excesivos:�

��

- la confirmaci�n de la existencia o inexistencia del tratamiento de datos que le conciernen, as� como informaci�n por lo menos de los fines de dichos tratamientos, las categor�as de datos a que se refieran y los destinatarios o las categor�as de destinatarios a quienes se comuniquen dichos datos;�

��

- la comunicaci�n, en forma inteligible, de los datos objeto de los tratamientos, as� como toda la informaci�n disponible sobre el origen de los datos;�

��

- el conocimiento de la l�gica utilizada en los tratamientos automatizados de los datos referidos al interesado, al menos en los casos de las decisiones automatizadas a que se refiere el apartado 1 del art�culo 15;�

��

b) en su caso, la rectificaci�n, la supresi�n o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la presente Directiva, en particular a causa del car�cter incompleto o inexacto de los datos;�

��

c) la notificaci�n a los terceros a quienes se hayan comunicado los datos de toda rectificaci�n, supresi�n o bloqueo efectuado de conformidad con la letra b), si no resulta imposible o supone un esfuerzo desproporcionado.�

��

Los Estados miembros reconocer�n al interesado el derecho a: a) oponerse, al menos en los casos contemplados en las letras e) y f) del art�culo 7, en cualquier momento y por razones leg�timas propias de su situaci�n particular, a que los datos que le conciernan sean objeto de tratamiento, salvo cuando la legislaci�n nacional disponga otra cosa. En caso de oposici�n justificada, el tratamiento que efect�e el responsable no podr� referirse ya a esos datos;�

��

b) oponerse, previa petici�n y sin gastos, al tratamiento de los datos de car�cter personal que le conciernan respecto de los cuales el responsable prevea un tratamiento destinado a la prospecci�n; o ser informado antes de que los datos se comuniquen por primera vez a terceros o se usen en nombre de �stos a efectos de prospecci�n, y a que se le ofrezca expresamente el derecho de oponerse, sin gastos, a dicha comunicaci�n o utilizaci�n.�

��

Los Estados miembros adoptar�n todas las medidas necesarias para garantizar que los interesados conozcan la existencia del derecho a que se refiere el p�rrafo primero de la letra b)."�

��

El art�culo 8 se�ala que son derechos de los titulares de los datos:�

��

"a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podr� ejercer, entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento est� expresamente prohibido o no haya sido autorizado, b) Solicitar prueba de la autorizaci�n otorgada al Responsable del Tratamiento salvo cuando expresamente se except�e como requisito para el Tratamiento, de conformidad con lo previsto en el art�culo 10 de la presente ley, c) Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales, d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las dem�s normas que la modifiquen, adicionen o complementen, e) Revocar la autorizaci�n y/o solicitar la supresi�n del dato cuando en el Tratamiento no se respeten los principios, derechos y garant�as constitucionales y legales. La revocatoria y/o supresi�n s�lo proceder� cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constituci�n. f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento."�

��

En realidad, los derechos enunciados en el Proyecto, son un desarrollo concreto de los principios enunciados en el art�culo 4. En efecto, en virtud del principio de legalidad el Titular tiene derecho a que sus datos sean tratados de conformidad con los l�mites establecidos en la normatividad vigente, especialmente tomar acciones cuando su Tratamiento est� expresamente prohibido (ordinal a). En raz�n de la finalidad, el Titular tiene el derecho a ejercer un control constante sobre el dato, con el fin de determinar si el mismo est� siendo utilizado para los fines frente a los cuales prest� su autorizaci�n y solicitar al Responsable o al Encargado informaciones sobre el uso que ha dado de sus datos personales (ordinales b, c y e). En raz�n del principio de libertad, el Titular tiene la garant�a de comprobar que los datos que circulen sobre �l, han sido previamente autorizados, solicitar prueba de ello y tambi�n puede revocar su autorizaci�n (ordinales a, b, c y e). Por el principio de veracidad o calidad, el Titular tiene el derecho a conocer, actualizar y rectificar sus datos personales en los casos en que estos sean inexactos, incompletos o fraccionados, que induzcan a error o cuyo Tratamiento se encuentre prohibido (ordinal a). Por el principio de transparencia, el Titular tiene derecho a conocer los datos que sobre �l reposan en las bases de datos, solicitar prueba de la autorizaci�n brindada, ser informado del manejo que se ha hecho de sus datos y acceder en forma gratuita a sus datos personales (ordinales a, b y f). En aras del principio de acceso y circulaci�n restringida, seguridad y confidencialidad el Titular tiene derecho a exigir que su informaci�n sea Tratado de conformidad con los l�mites impuestos por la Ley y la Constituci�n y que en caso de incumplimiento existe un recurso efectivo para lograr el restablecimiento de sus derechos (ordinales a y d).�

��

De la misma manera, cabe se�alar que al igual que los principios, no puede considerarse que esta es una lista taxativa de garant�as, sino que se encuentran incluidas todas aquellas prerrogativas que sean consecuencia de la garant�a amplia del derecho fundamental al habeas data. De la misma manera, la rapidez del surgimiento de nuevos sistemas de informaci�n tambi�n hace necesario que los derechos sean integrados a los propios de cada sistema de informaci�n.[261]�

��

2.10.4. Examen del ordinal e)�

��

Esta disposici�n establece en Colombia el llamado derecho a la oposici�n. La norma se�ala que el Titular del dato podr� revocar la autorizaci�n y/o solicitar la supresi�n del dato cuando: (i) no se respeten los principios, derechos y garant�as constitucionales y legales y (ii) siempre y cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constituci�n. Sin embargo, tal y como pasar� a explicarse estas condiciones se constituyen en una restricci�n desproporcionada para el Titular del dato.�

��

El derecho de oposici�n permite al titular del dato evitar el tratamiento de su informaci�n o solicitar el cese del mismo.[262]Esta garant�a se encuentra prevista en el art�culo 14 de la Directiva 95/46/CE en los siguientes t�rminos:�

��

"Los Estados miembros reconocer�n al interesado el derecho a:�

��

a) Oponerse, al menos en los casos contemplados en las letras a) y c) del art�culo 7, en cualquier momento y por razones leg�timas propias de su situaci�n particular, a que los datos que le conciernen sean objeto de tratamiento, salvo cuando la legislaci�n nacional disponga otra cosa. En caso de oposici�n justificada, el tratamiento que efect�e el responsable no podr� referirse ya a esos datos".�

��

b) Oponerse, previa petici�n y sin gastos, al tratamiento de los datos de car�cter personal que le conciernan respecto de los cuales el responsable prevea un tratamiento destinado a la prospecci�n; o ser informado antes de que los datos se comuniquen por primera vez a terceros y se usen en nombre de �stos a efectos de prospecci�n, y que se le ofrezca expresamente el derecho de oponerse, sin gastos, a dicha utilizaci�n o comunicaci�n."�

��

Entonces, el interesado o individuo titular del dato, bajo el est�ndar Europeo, tiene derecho a oponerse a su utilizaci�n: (i) por razones personales, si no existe ninguna obligaci�n legal que le imponga la permanencia del dato, (ii) en cualquier momento cuando el dato ha sido tratado sin su consentimiento; (iii) el tratamiento es utilizado para fines distintos a los establecidos inicialmente y, (iv) cuando es tratado con fines de prospecci�n de mercadeo por parte de terceras personas. Es decir, cuando se utiliza para fines publicitarios, y el Titular del dato ya no desea recibir m�s informaci�n sobre el producto.�

��

Las legislaciones comparadas tambi�n han establecido el derecho a la oposici�n. En M�xico, la Ley Federal de Protecci�n de Datos Personales en Posesi�n de los Particulares, del 5 de julio de 2010, permite la revocatoria del consentimiento en cualquier momento, siempre y cuando no produzca efectos retroactivos, en igual sentido se encuentra la legislaci�n argentina. La Legislaci�n espa�ola se�ala en el art�culo 34 del Real Decreto 1720/2007, que el titular podr� revocar la autorizaci�n cuando: (i) en los casos en que aunque no es necesario el consentimiento, solicita su retiro, en raz�n de una raz�n personal leg�tima y siempre cuando la ley no ordene su procesamiento, (ii) cuando la informaci�n suministrada tenga por finalidad la realizaci�n de actividades de publicidad y prospecci�n comercial y (iii) cuando el tratamiento de datos est� siendo utilizado para obtener un perfil, basado �nicamente en las fuentes de informaci�n, lo que se ha denominado, el tratamiento automatizado de sus datos.�

��

Se observa entonces que el derecho a la oposici�n implica la posibilidad, en cabeza del titular del dato, de solicitar su supresi�n incluso por razones personales, a menos que exista una disposici�n legal que lo obligue a que su dato personal permanezca en la base de datos.�

��

Por su parte, el literal e) del art�culo 8 del Proyecto en estudio, limita el derecho a la oposici�n a: (i) el uso indebido de la informaci�n por la violaci�n de los principios, derechos y garant�as constitucionales y (ii) cuando la Superintendencia de Industria y Comercio certifique que el Responsable o Encargado han incurrido en conductas contrarias a la Constituci�n y a la Ley.�

��

Es decir, tal y est� redactado el art�culo 8, una vez el Titular del dato ha prestado su consentimiento para el uso de su informaci�n, nunca podr�a revocarlo, a menos que el Responsable o Encargado, haya hecho un uso indebido del mismo. Es decir, la autorizaci�n implicar�a una p�rdida indirecta de la titularidad del dato. Ello se traduce en una limitaci�n al derecho a la autodeterminaci�n inform�tica habeas data, sin que exista una raz�n v�lida que la justifique.�

��

En efecto, el art�culo 15 de la Constituci�n Pol�tica se�ala que "En la recolecci�n, tratamiento y circulaci�n de datos se respetaran la libertad y dem�s garant�as consagradas en la Constituci�n."El h�beas data confiere en palabras de la Corporaci�n "seg�n la norma constitucional citada, un grupo de facultades al individuo para que, en ejercicio de la cl�usula general de libertad, pueda controlar la informaci�n que de s� mismo ha sido recopilada por una central de informaci�n".[263]Este control, no s�lo se predica de la autorizaci�n previa para el Tratamiento del dato, sino que el individuo tambi�n es libre de decidir cuales informaciones desea que contin�en y cu�les deben sean excluidas de una fuente de informaci�n, siempre y cuando no exista un mandato legal que le imponga tal deber, o cuando exista alguna obligaci�n contractual entre la persona y el controlador de datos, que haga necesaria la permanencia del dato.�

��

Considerar lo contrario significar�a que los administradores de la informaci�n, pudieran disponer libremente y sin t�rmino definido, a los datos personales del sujeto concernido y, en consecuencia, aquel quedar�a privado materialmente de la posibilidad de ejercer las garant�as previstas a su favor por el Texto Constitucional. Adem�s, la jurisprudencia constitucional ha establecido que existe un v�nculo necesario entre la libertad en los procesos de acopio inform�tico del dato personal y la expresi�n del consentimiento del titular. En cada una de estas decisiones se ha planteado "que el contenido concreto de la libertad del sujeto concernido y, simult�neamente, el l�mite que impide el abuso del poder inform�tico, descansa en la exigencia de la autorizaci�n del titular como presupuesto del ejercicio de las competencias constitucionales de conocimiento, actualizaci�n y rectificaci�n del dato personal."[264]�

��

Por otro lado, la Corporaci�n ha se�alado que el derecho al habeas data otorga la facultad al titular de datos personales de exigir de las administradoras de esos datos "el acceso, inclusi�n,exclusi�n, correcci�n, adici�n, actualizaci�n y certificaci�n de los datos, as� como la limitaci�n en las posibilidades de divulgaci�n, publicaci�n o cesi�n de los mismos, de conformidad con los principios que regulan el proceso de administraci�n de datos personales."[265]�

��

Por ello, y en desarrollo del art�culo 15 Superior y del principio de libertad en la administraci�n de datos, se declara inexequible la expresi�n "solo" del p�rrafo segundo del literal e), en raz�n a que esta expresi�n limita la revocatoria del consentimiento a una declaraci�n de incumplimiento de los deberes del Responsable o Encargado del Tratamiento, por parte de la Superintendencia de Industria y Comercio.�

��

En consecuencia, el literal e) debe ser entendido en el sentido que el Titular podr� revocar la autorizaci�n y solicitar la supresi�n del dato cuando: (i) no se respeten los principios, derechos y garant�as constitucionales y legales. En este caso, y en aras de garantizar el debido proceso, siempre y cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias al ordenamiento y (ii) en virtud de la solicitud libre y voluntaria del Titular del dato, cuando no exista una obligaci�n legal o contractual que imponga al Titular el deber de permanecer en la referida base de datos.�

��

2.10.5. Examen del ordinal f)�

��

La Universidad de los Andes solicita que el numeral f) sea condicionado a que el principio de gratuidad tambi�n debe ser aplicado al par�grafo 2 del art�culo 10 de la Ley 1266 de 2008 que se�ala que "La consulta de la informaci�n financiera, crediticia, comercial, de servicios y laproveniente de terceros pa�ses por parte del titular, ser� gratuita al menos una (1) vez cada mes calendario."�

��

Sin embargo, tal interpretaci�n no es posible en raz�n a que el legislador estatutario en el art�culo 2 se�ala expresamente que "El r�gimen de protecci�n de datos personales que se establece en la presente Ley no ser� de aplicaci�n: (�) e) a las bases de datos y archivos regulados por la Ley 1266 de 2008".Adem�s, a pesar de que ordena que a dichas bases exceptuadas tambi�n le sean aplicables los principios sobre la protecci�n de datos, seguidamente dispone que: "En el evento que la normatividad especial que regule las bases de datos exceptuadas prevea principios que tengan en consideraci�n la naturaleza especial de datos, los mismos aplicar�n de manera concurrente a los previstos en la presente ley".�

��

Por ello, el criterio de especialidad prima, teniendo en consideraci�n adem�s, que tal norma ya cont� con el examen previo y autom�tico de la Corte Constitucional en la Sentencia C-1011 de 2008, y que no fue derogada por el Proyecto de Ley Estatutaria que hoy se analiza. Sobre el art�culo 10 de la Ley 1266 de 2008 sostuvo la Corte en dicha oportunidad:�

��

"No obstante, encuentra la Corte que en contra de la anterior conclusi�n puede argumentarse que lo previsto por el legislador estatutario no se contrapone a la Constituci�n, en tanto est� permitido el acceso gratuito del titular, s�lo que se establece el cobro para el caso de la segunda consulta mensual; ello con el �nimo de otorgar un grado de racionalizaci�n al acceso por parte del sujeto concernido y, de esta manera, desestimular un uso desaforado de la facultad de consulta prevista por la Constituci�n.�

��

A juicio de la Sala, debe partirse de considerar que lo que proscriben las reglas anteriormente analizadas es que el acceso a la informaci�n personal est� supeditado al pago de un costo o tarifa, lo que no es incompatible con que el legislador establezca la posibilidad de cobro, siempre y cuando el mismo no constituya requisito ineludible para el acceso a los datos personales por parte de su titular. En ese sentido, la norma analizada no se opone a la Constituci�n, en la medida en que permite que el titular acceda gratuitamente a sus datos, al menos una vez al mes calendario, facultad que permite hacer efectivo el derecho de acceso a la informaci�n personal, en los t�rminos anteriormente expuestos. En ese sentido, encuentra la Corte que la restricci�n mensual a la gratuidad de acceso al dato personal no se muestra desproporcionada ni irrazonable. En efecto, (i) existe la posibilidad que el titular acceda gratuitamente a su informaci�n personal, cada mes; y (ii) la pr�ctica comercial demuestra que las obligaciones financieras y crediticias son pactadas con vencimientos de pago igualmente mensuales, raz�n por la cual resulta materialmente posible que se efect�en reportes sobre cumplimiento en el pago de obligaciones por lapsos m�s cortos. Por ende, la medida de racionalizaci�n en la consulta que prev� el legislador estatutario no afecta la facultad constitucional que tiene el titular de conocer, actualizar y rectificar sus datos personales concernidos en archivos o bancos de datos."�

��

2.11. EXAMEN DEL ART�CULO 9: AUTORIZACI�N DEL TITULAR�

��

2.11.1. Texto de la disposici�n�

��

"Art�culo 9�.Autorizaci�n del titular. Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorizaci�n previa e informada del Titular, la cual deber� ser obtenida por cualquier medio que pueda ser objeto de consulta posterior."�

��

2.11.2. Intervenciones ciudadanas y concepto del Ministerio P�blico�

��

No se presentaron intervenciones al respecto. Por otro lado, el Ministerio P�blico no se refiri� a la constitucionalidad de la disposici�n.�

��

2.11.3. Examen de constitucionalidad�

��

No se presentan reparos de constitucionalidad, y por el contrario, se reitera lo explicado en relaci�n con el consentimiento, al desarrollar el principio de libertad. En consecuencia, los datos personales s�lo puede ser registrados y divulgados con el consentimiento libre, previo, expreso e informado del titular. Las �nicas excepciones posibles ser�n las establecidas en el art�culo 10 del proyecto de ley bajo examen.�

��

En consecuencia no est� permitido el consentimiento t�cito del Titular del dato. El consentimiento que brinde la persona debe ser definido como una indicaci�n espec�fica e informada, libremente emitida, de su acuerdo con el procesamiento de sus datos personales.�

��

2.12. EXAMEN DEL ART�CULO 10: CASOS EN LOS QUE NO ES NECESARIA LA AUTORIZACI�N�

��

2.12.1. Texto de la disposici�n�

��

"Art�culo 10. Casos en que no es necesaria la autorizaci�n.La autorizaci�n del Titular no ser� necesaria cuando se trate de:�

��

a)Informaci�n requerida por una entidad p�blica o administrativa en ejercicio de sus funciones legales o por orden judicial.�

��

b)Datos de naturaleza p�blica.�

��

c)Casos de urgencia m�dica o sanitaria.�

��

d)Tratamiento de informaci�n autorizado por la ley para fines hist�ricos, estad�sticos o cient�ficos.�

��

e)Datos relacionados con el Registro Civil de las Personas.�

��

Quien acceda a los datos personales sin que medie autorizaci�n previa deber� en todo caso cumplir con las disposiciones contenidas en la presente ley."�

��

2.12.2. Intervenciones ciudadanas y concepto del Ministerio P�blico�

��

2.12.2.1. La Secretar�a Jur�dica de la Presidencia de la Rep�blica solicita la exequibilidad condicionada del art�culo 10, en el entendido de que esta disposici�n es constitucional siempre y cuando se realice una interpretaci�n arm�nica del mismo con los principios de la ley y de la constituci�n.�

��

Asegura que el literal c) del art�culo 10 es constitucional, siempre y cuando se entienda que este evento debe obedecer a la existencia de circunstancias apremiantes de urgencia m�dica, bien para el titular o para terceros que amerite que el tratamiento se realice sin autorizaci�n. Lo mismo podr�a decirse de una emergencia sanitaria. Sin embargo, estas excepciones deben interpretarse con car�cter restrictivo, s�lo ante circunstancias verdaderamente apremiantes.�

��

Afirma que el �ltimo inciso del art�culo 10, es constitucional pero advierte que su interpretaci�n debe hacerse con car�cter restrictivo y en concordancia con los principios de la ley objeto de estudio, y que han sido avalados por la Corte Constitucional.�

��

Por �ltimo, en relaci�n con el literal c) del art�culo 10, que es importante que cualquier ley que otorgue una autorizaci�n de esta �ndole debe ser respetuosa de los principios se�alados en el proyecto de ley objeto de estudio y que han sido reiterados por la Corte Constitucional en ocasiones anteriores. Refiere que la regla general es que debe mediar una autorizaci�n y la excepci�n es que no se cuente con la misma cuando existan intereses constitucionales superiores, es especial, aqu�llos que dentro de un Estado Social de Derecho importan a todo el conglomerado social.�

��

2.12.2.2. La Defensor�a del Pueblo solicita la exequibilidad condicionada del literal c) del art�culo 10. Expuso que en los casos de urgencia m�dica o sanitaria, la situaci�n puede hacer particularmente onerosa la satisfacci�n de la condici�n de la autorizaci�n.�

��

Sin embargo, dado que en estos casos pueden verse involucrados datos de car�cter "sensible", como son precisamente los referidos a la salud, esta excepci�n deber�a ser le�da no como una autorizaci�n irrestricta para prescindir del consentimiento, sino como una alternativa extrema a la que se llega cuando no ha sido posible lograr el consentimiento del titular o la premura de la situaci�n lo impide.�

��

Por lo anterior, la Defensor�a considera que la constitucionalidad de esta excepci�n debe condicionarse a que se entienda que ella opera s�lo en los casos en que dada la situaci�n concreta de urgencia, no sea posible obtener la autorizaci�n del titular o resulte particularmente problem�tico gestionarla, dadas las circunstancias de apremio, riesgo o peligro para otros derechos fundamentales, ya sea del titular o de terceras personas.�

��

De otro lado, solicita la declaratoria de inexequibilidad del �ltimo inciso del art�culo 10; pues es contraria a los derechos y garant�as inherentes al derecho fundamental a la protecci�n de datos personales. De hecho, semejante laxitud equivale a dejar sin efecto concreto, no s�lo las garant�as constitucionales previstas en el art�culo 15 de la Carta sino las previstas en la propia ley.�

��

En otras palabras, la Defensor�a consider� que de nada sirve consagrar como derecho y principio del tratamiento de datos, la autorizaci�n o el consentimiento del titular, si la ley no prev� una consecuencia adversa para quien lleva a cabo el tratamiento sin contar previamente con dicha autorizaci�n o sin estar facultado por la ley para realizarlo. En consecuencia, solicit� la declaratoria de inexequibilidad del �ltimo inciso del art�culo 10 del proyecto.�

��

2.12.2.3. El Ministerio P�blico no se pronuncio sobre la constitucionalidad de la disposici�n.�

��

2.12.3. Consideraciones de la Corte�

��

El art�culo 10 desarrolla los casos en que no es necesaria su autorizaci�n, espec�ficamente cuando: la informaci�n es requerida por una entidad p�blica o administrativa en ejercicio de sus funciones legales o por orden judicial, los datos de naturaleza p�blica, los casos de urgencia m�dica o sanitaria, tratamiento autorizado por la Ley para fines hist�ricos, estad�sticos o cient�ficos y datos relacionados con el registro civil de las personas.�

��

El consentimiento de la titular de la informaci�n es un presupuesto para la legitimidad constitucional de los procesos de administraci�n de datos personales. En concordancia con los expuesto frente al "principio de libertad", en el manejo de los datos no podr� existir una autorizaci�n t�cita.�

��

En relaci�n con la posibilidad de excepcionar el consentimiento, en estos casos existen importantes intereses constitucionales que justifican tal limitaci�n.�

��

Por su parte, tanto en el ordenamiento internacional como en el derecho comparado, se disponen causales que eximen la necesidad de la autorizaci�n. As�, en la Resoluci�n 45/95 del 14 de diciembre de 1990 de las Naciones Unidas, se consagran restricciones relacionadas con la "seguridad nacional, orden p�blico, salud p�blica o la moralidad; as� como para proteger los derechos y libertades de otros, especialmente las personas que est�n siendo perseguidas, siempre que tales excepciones est�n especificadas de forma expl�cita en una ley o norma equivalente, promulgada de acuerdo con el sistema jur�dico interno, que expresamente establezca sus l�mites y prevea las salvaguardas adecuadas"�

��

La Directiva 95/46/CE[266]del Parlamento Europeo y del Consejo Europeo, del 24 de octubre de 1995 relativa a la protecci�n de las personas f�sicas en lo que respecta al tratamiento de datos personales y a la libre circulaci�n de estos datos, tambi�n se�ala que es necesario el consentimiento salvo "que la informaci�n sea necesaria para la ejecuci�n de un contrato en el que el interesado sea parte, o para la aplicaci�n de medidas precontractuales adoptadas a petici�n del interesado, o cuando sea necesario para el cumplimiento de una obligaci�n jur�dica a la que est� sujeto el responsable del tratamiento, o sea necesario para proteger el inter�s vital del interesado, o necesario para el cumplimiento de una misi�n de inter�s p�blico, o inherente al ejercicio del poder p�blico conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o para la satisfacci�n del inter�s leg�timo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el inter�s o los derechos y libertades fundamentales del interesado que requieran protecci�n."�

��

El art�culo 10 del Proyecto de Ley bajo estudio se�ala las situaciones en las que no es necesaria la autorizaci�n, las cuales responden a la naturaleza misma del dato y al tipo de funciones que cumplen. Sin embargo, deben hacerse las siguientes precisiones:�

��

En primer t�rmino, se se�ala que se prescindir� de la autorizaci�n cuando la informaci�n sea "requerida por una autoridad p�blica o administrativa en ejercicio de sus funciones legales o por orden judicial". Sin embargo, considera la Sala que deben hacerse las mismas observaciones que las contenidas en la Sentencia C-1011 de 2008, al hacer el estudio del Proyecto de Ley Estatutaria de los datos financieros.�

��

En relaci�n, con las autoridades p�blicas o administrativas, se�al� la Corporaci�n que tal facultad "no puede convertirse en un escenario proclive al abuso del poder inform�tico, esta vez en cabeza de los funcionarios del Estado. As�, el hecho que el legislador estatutario haya determinado que el dato personal puede ser requerido por toda entidad p�blica, bajo el condicionamiento que la petici�n se sustente en la conexidad directa con alguna de sus funciones, de acompasarse con la garant�a irrestricta del derecho al h�beas data del titular de la informaci�n. En efecto, am�n de la infinidad de posibilidades en que bajo este expediente puede accederse al dato personal, la aplicaci�n del precepto bajo an�lisis debe subordinarse a que la entidad administrativa receptora cumpla con las obligaciones de protecci�n y garant�a que se derivan del citado derecho fundamental, en especial la vigencia de los principios de finalidad, utilidad y circulaci�n restringida.�

��

Para la Corte, esto se logra a trav�s de dos condiciones: (i) el car�cter calificado del v�nculo entre la divulgaci�n del dato y el cumplimiento de las funciones de la entidad del poder Ejecutivo; y (ii) la adscripci�n a dichas entidades de los deberes y obligaciones que la normatividad estatutaria predica de los usuarios de la informaci�n, habida consideraci�n que ese grupo de condiciones permite la protecci�n adecuada del derecho.�

��

En relaci�n con el primero se�al� la Corporaci�n que "la modalidad de divulgaci�n del dato personal prevista en el precepto analizado devendr� leg�tima, cuando la motivaci�n de la solicitud de informaci�n est� basada en una clara y espec�fica competencia funcional de la entidad." Respecto a la segunda condici�n, la Corte estim� que una vez la entidad administrativa accede al dato personal adopta la posici�n jur�dica de usuario dentro del proceso de administraci�n de datos personales, lo que de forma l�gica le impone el deber de garantizar los derechos fundamentales del titular de la informaci�n, previstos en la Constituci�n Pol�tica y en consecuencia deber�n: "(i) guardar reserva de la informaci�n que les sea suministrada por los operadores y utilizarla �nicamente para los fines que justificaron la entrega, esto es, aquellos relacionados con la competencia funcional espec�fica que motiv� la solicitud de suministro del dato personal; (ii) informar a los titulares del dato el uso que le est� dando al mismo; (iii) conservar con las debidas seguridades la informaci�n recibida para impedir su deterioro, p�rdida, alteraci�n, uso no autorizado o fraudulento; y (iv) cumplir con las instrucciones que imparta la autoridad de control, en relaci�n con el cumplimiento de la legislaci�n estatutaria."�

��

En relaci�n con la orden judicial, dijo la Corporaci�n que "si bien no existe una autorizaci�n expresa del titular que circunscriba la circulaci�n del dato, la posibilidad de acceso resulta justificada en la legitimidad que tienen en el Estado Constitucional de Derecho las actuaciones judiciales, �mbitos de ejercicio de la funci�n p�blica sometidos a reglas y controles, sustentados en la eficacia del derecho al debido proceso y rodeado de las garant�as anejas a �ste, en especial, los derechos de contradicci�n y defensa. As�, reconoci�ndose la importancia de esta actividad en el r�gimen democr�tico, entendida como pilar fundamental para la consecuci�n de los fines estatales de asegurar la convivencia pac�fica y la vigencia de un orden justo y advirti�ndose, del mismo modo, que el acto de divulgaci�n en este caso responde a una finalidad constitucionalmente leg�tima, el precepto examinado es exequible."�

��

En lo que se relaciona con los datos p�blicos y el registro civil de las personas, su naturaleza hace que no est�n sujetos al principio de autorizaci�n. La informaci�n p�blica es aquella que puede ser obtenida sin reserva alguna, entre ella los documentos p�blicos, habida cuenta el mandato previsto en el art�culo 74 de la Constituci�n Pol�tica. Esta informaci�n puede ser adquirida por cualquier persona, sin necesidad de autorizaci�n alguna para ello.�

��

Frente a los casos de urgencia m�dica y sanitaria, en aras de la efectividad del derecho a la libertad en el manejo de datos, la norma debe entenderse que opera s�lo en los casos en que dada la situaci�n concreta de urgencia, no sea posible obtener la autorizaci�n del titular o resulte particularmente problem�tico gestionarla, dadas las circunstancias de apremio, riesgo o peligro para otros derechos fundamentales, ya sea del titular o de terceras personas.�

��

En relaci�n con el tratamiento para fines hist�ricos, estad�sticos o cient�ficos, la norma no ofrece repara de constitucionalidad en raz�n a que delega a la Ley la manera como estos datos deben ser protegidos, adem�s, debe interpretarse en concordancia con el numeral e) del art�culo 6 que se�ala que en estos casos "deber�n adoptarse las medidas conducentes a la supresi�n de identidad de los Titulares".�

��

Finalmente, cabe se�alar que la Defensor�a del Pueblo solicita la inexequibilidad del �ltimo par�grafo del art�culo, 10 por cuanto se traducir�a en una autorizaci�n general para el acceso a los datos personales, sin consentimiento del titular. Sin embargo, una lectura de la norma permite interpretar que lo que busca el legislador estatutario es que en los casos taxativos permitidos por el art�culo 10, en los que no es necesario el consentimiento del Titular, el uso del dato tambi�n debe sujetarse a todos los principios y limitaciones consagrados en la Ley. Por el contrario, jam�s podr�a interpretarse como una autorizaci�n abierta para que se accedan a datos personales sin consentimiento de su titular.�

��

2.13. EXAMEN DEL ART�CULO 11: SUMINISTRO DE INFORMACI�N�

��

2.13.1. Texto de la disposici�n�

��

"Art�culo 11. Suministro de la informaci�n. La informaci�n solicitada podr� ser suministrada por cualquier medio, incluyendo los electr�nicos, seg�n lo requiera el Titular. La informaci�n deber� ser de f�cil lectura, sin barreras t�cnicas que impidan su acceso y deber� corresponder en un todo a aquella que repose en la base de datos.�

��

El Gobierno Nacional establecer� la forma en la cual los Responsables del Tratamiento y Encargados del Tratamiento deber�n suministrar la informaci�n del Titular, atendiendo a la naturaleza del dato personal. Esta reglamentaci�n deber� darse a m�s tardar dentro del a�o siguiente a la promulgaci�n de la presente ley."�

��

2.13.2. Intervenciones ciudadanas y concepto del Ministerio P�blico�

��

No se presentaron intervenciones al respecto. Por otro lado, el Ministerio P�blico no se refiri� a la constitucionalidad de la disposici�n.�

��

2.13.3. Constitucionalidad del art�culo 11: suministro de informaci�n�

��

El art�culo 11 regula lo relativo a los mecanismos de entrega de la informaci�n suministrada al Titular, los cuales deber�n ser reglamentados por el Gobierno Nacional. La norma ordena que �sta deber� ser de f�cil lectura, sin barreras t�cnicas y deber� tener todo la informaci�n que se encuentra relacionada en la base de datos.�

��

La constitucionalidad de esta primera parte de la disposici�n no plantea mayores inconvenientes, habida cuenta que desarrolla uno de los derechos de los Titulares: el acceso a su informaci�n.�

��

Por otra parte, no existe reparo en cuanto a la facultad otorgada al Gobierno Nacional por cuanto se trata de un asunto eminentemente t�cnico, delimitado y que no versa sobre los aspectos esenciales del derecho fundamental, ni mucho menos ofrece una regulaci�n integral del mismo. Por lo tanto, en este marco, el legislador estatutario ordena al Gobierno Nacional que, mediante su potestad reglamentaria, concrete la manera en que se entregar� la informaci�n al Titular. Sobre el particular, cabe recordar que la Corte ha admitido la constitucionalidad de este tipo de disposiciones, siempre y cuando el legislador haya establecido un contenido material legislativo que sirva de base para el ejercicio de dicha potestad. Frente al punto ha dicho la jurisprudencia:�

��

"Es posible que la rama legislativa con la utilizaci�n de un lenguaje amplio reconozca a la autoridad administrativa competente un margen suficiente para el desarrollo espec�fico de algunos de los supuestos definidos en la ley con el prop�sito de concretar la aplicaci�n de ciertos preceptos legales a circunstancias diversas y cambiantes. Eso es propio de un Estado regulador. Sin embargo, en esos eventos la acci�n de la administraci�n y el cumplimiento de las pol�ticas p�blicas que animan la ley y las regulaciones administrativas que las materializan dependen de que las disposiciones legales establezcan criterios inteligibles, claros y orientadores dentro de los cuales ha de actuar la administraci�n de tal forma que se preserven los principios b�sicos de un estado social y democr�tico de derecho."[267]�

��

De igual manera debe entenderse que la expresi�n "Esta reglamentaci�n deber� darse a m�s tardar dentro del a�o siguientes a la promulgaci�n de la presente ley", no debe entenderse como un t�rmino de caducidad de facultad reglamentaria, pues al contrario, la jurisprudencia constitucional ha se�alado que no es posible establecer limitaciones a la misma, la cual se ejerce en forma permanente y en virtud de expreso mandato constitucional.�

��

En efecto, ha dicho la Corte que la potestad reglamentaria tiene fundamento en lo previsto por el art�culo 189-11 C.P., e implica que�

��

Ejecutivo est� revestido de la facultad para expedir decretos, resoluciones y �rdenes necesarios para la cumplida ejecuci�n de las leyes. La potestad reglamentaria, en consecuencia, tiene naturaleza "ordinaria, derivada, limitada y permanente".[268]Es ordinaria en raz�n a que es una funci�n de la Rama Ejecutiva, sin que para su ejercicio requiera de habilitaci�n distinta de la norma constitucional que la confiere. Tiene car�cter derivado, puesto que requiere de la preexistencia de material legislativo para su ejercicio.[269]Del mismo modo es limitada porque "encuentra su l�mite y radio de acci�n en la constituci�n y en la ley; es por ello que no puede alterar o modificar el contenido y el esp�ritu de la ley, ni puede dirigirse a reglamentar leyes que no ejecuta la administraci�n, as� como tampoco puede reglamentar materias cuyo contenido est� reservado al legislador".[270]. Por �ltimo, "la potestad reglamentaria es permanente, habida cuenta que el Gobierno puede hacer uso de la misma tantas veces como lo considere oportuno para la cumplida ejecuci�n de la ley de que se trate y hasta tanto �sta conserve su vigencia."[271]�

��

2.14. EXAMEN DEL ART�CULO 12: DEBER DE INFORMAR AL TITULAR�

��

2.14.1. Texto de la disposici�n�

��

"Art�culo 12. Deber de informar al titular.El Responsable del Tratamiento, al momento de solicitar al Titular la autorizaci�n, deber� informarle de manera clara y expresa lo siguiente:�

��

a)El Tratamiento al cual ser�n sometidos sus datos personales y la finalidad del mismo.�

��

b)El car�cter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las ni�as, ni�os y adolescentes.�

��

c)Los derechos que le asisten como Titular.�

��

d)La identificaci�n, direcci�n f�sica o electr�nica y tel�fono del Responsable del Tratamiento.�

��

Par�grafo.El Responsable del Tratamiento deber� conservar prueba del cumplimiento de lo previsto en el presente art�culo y, cuando el Titular lo solicite, entregarle copia de esta."�

��

2.14.2. Intervenciones ciudadanas y concepto del Ministerio P�blico�

��

2.14.2.1. La Defensor�a del Pueblo solicita la inexequibilidad del aparte del literal b) del art�culo 12 que precept�a: "cuando estas versen sobre datos sensibles o sobre los datos de las ni�as, ni�os y adolescentes"por las siguientes razones:�

��

Expone que una concepci�n congruente con los principios de libertad, autorizaci�n y finalidad del tratamiento de datos, conduce necesariamente a la afirmaci�n de que las respuestas a las preguntas que le sean formuladas al titular, debe ser facultativa o potestativa, independientemente de que se trate de datos sensibles o datos que no lo sean. Limitar dicha potestad a los datos sensibles implica forzar las respuestas en los dem�s casos, con lo cual, quedan por completo desvirtuadas las garant�as inherentes a la protecci�n de datos, como la autodeterminaci�n inform�tica, la intimidad y la libertad.�

��

Por otra parte, afirma, incluir preguntas sobre datos sensibles para luego ser tratados, vulnera claramente la prohibici�n de su tratamiento.�

��

Adicional a lo anterior, la Defensor�a destac� que el tratamiento de datos de infantes y adolescentes, salvo en lo referente a los datos de naturaleza p�blica, debe entenderse proscrito por el ordenamiento superior, seg�n las previsiones relativas a la prevalencia de sus derechos y la garant�a del inter�s superior de que son titulares, prohibici�n que es recogida en el art�culo 7 del proyecto. En este sentido, no cabr�a ni siquiera la posibilidad de formular tales preguntas ni a sus padres ni a sus tutores, ni menos a�n a los propios ni�os, ni�as y adolescentes.�

��

2.14.2.2. El Ministerio P�blico no present� consideraciones particulares frente a la norma�

��

2.14.3. Consideraciones de la Corte�

��

El art�culo 12 dispone las caracter�sticas de la informaci�n que deber� ser suministrada por el Responsable del Tratamiento. La disposici�n es constitucional, pero el literal b) debe condicionarse por las siguientes razones.�

��

La norma se�ala a los Titulares deber� inform�rseles "el car�cter facultativo a las preguntas que le sean hechas, cuando �stas versensobre datos sensibles o sobre los datos de las ni�as, ni�os y adolescentes".�

��

En una primera lectura podr�a entenderse que la norma est� autorizando el Tratamiento de datos sensibles y de ni�as, ni�os y adolescentes, a pesar de encontrarse prohibida. Sin embargo, existe una forma de interpretar la disposici�n de una forma que se avenga a los postulados constitucionales.�

��

En primer lugar, el car�cter facultativo, en raz�n del principio de libertad, es predicable de todas las preguntas. Sin embargo, cuando se trate de una de las situaciones en que excepcionalmente se permite el Tratamiento de un dato sensible o de una ni�a, ni�o o adolescente, el Responsable del Tratamiento deber� informar las limitaciones y derechos que le son predicables de este tipo de dato.�

��

2.15. EXAMEN DEL ART�CULO 13: PERSONAS A QUIENES SE LES PUEDE SUMINISTRAR LA INFORMACI�N�

��

2.15.1. Texto de la disposici�n�

��

Art�culo 13.Personas a quienes se les puede suministrar la informaci�n. La informaci�n que re�na las condiciones establecidas en la presente ley podr� suministrarse a las siguientes personas:�

��

a)A los Titulares, sus causahabientes o sus representantes legales.�

��

b)A las entidades p�blicas o administrativas en ejercicio de sus funciones legales o por orden judicial.�

��

c)A los terceros autorizados por el Titular o por la ley."�

��

2.15.2. Intervenciones ciudadanas y concepto del Ministerio P�blico�

��

No se presentaron intervenciones al respecto. Por otro lado, el Ministerio P�blico no se refiri� a la constitucionalidad de la disposici�n.�

��

2.15.3. Constitucionalidad del art�culo 13�

��

La norma establece que la informaci�n podr� suministrarse a las siguientes personas: (i) a los Titulares, sus causahabientes o sus representantes legales, (ii) a las entidades p�blicas o administrativas en ejercicio de sus funciones legales o por orden judicial y (iii) a los terceros autorizados por el Titular o por la Ley.�

��

En cuanto al primero de los casos, esta posibilidad, en criterio de la Corte, es constitucional, en tanto el art�culo 15 C.P. confiere a los sujetos concernidos la facultad de conocer la informaci�n que sobre ellos se haya incorporado en un sistema automatizado de informaci�n, y dentro de los mismos se encuentran sus representantes y aquellos que los suceden en raz�n de causa de muerte.�

��

Frente al segundo escenario permitido por el legislador, esto es la entrega de informaci�n a las entidades p�blicas y en virtud de una orden judicial, se har�n las mismas observaciones que al estudiar el art�culo 10, sobre los casos exceptuados de autorizaci�n. Por lo tanto, el ordinal b) debe entenderse que la entidad administrativa receptora cumpla con las obligaciones de protecci�n y garant�a que se derivan del citado derecho fundamental, en especial la vigencia de los principios de finalidad, utilidad y circulaci�n restringida. Por lo tanto, debe encontrarse demostrado (i) el car�cter calificado del v�nculo entre la divulgaci�n del dato y el cumplimiento de las funciones de la entidad del poder Ejecutivo; y (ii) la adscripci�n a dichas entidades de los deberes y obligaciones que la normatividad estatutaria predica de los usuarios de la informaci�n.�

��

Finalmente, en cuanto al ordinal c) que establece la posibilidad de la entrega de la informaci�n a "los terceros autorizados por el Titular o por la ley", la Corte tambi�n reiterar� lo se�alado en la Sentencia C-1011 de 2008. Para el Tribunal, esas autorizaciones podr�an "prestarse a equ�vocos, en el entendido que establecer�a una cl�usula gen�rica, con base en la cual una ley posterior pudiera permitir la divulgaci�n de informaci�n personal a otras personas, sin consideraci�n de las garant�as propias del derecho fundamental al h�beas data y de la vigencia de los principios de administraci�n de datos personales. Al respecto, la extensi�n irrestricta de las posibilidades de divulgaci�n de la informaci�n contradir�a el principio de circulaci�n restringida, comprendido por el legislador estatutario como la imposici�n de restricciones a la divulgaci�n de datos en raz�n de su naturaleza, de la finalidad del banco de datos y de la vigencia de los citados principios."�

��

En consecuencia, esa prerrogativa dada al legislador debe entenderse en el entendido que se encuentra supeditada a la vigencia de las prerrogativas que se derivan del derecho al h�beas data y, en especial, a los principios de administraci�n de datos personales.�

��

2.16. EXAMEN DEL TITULO V. PROCEDIMIENTOS. ART�CULOS 14, 15 y 16: CONSULTA, RECLAMOS y REQUISITO DE PROCEDIBILIDAD�

��

2.16.1. Texto de las disposiciones�

��

"TITULO V�

��

PROCEDIMIENTOS�

��

Articulo 14. Consultas.Los titulares o causahabientes podr�n consultar la informaci�n personal del Titular que repose en cualquier base de datos, sea esta del sector p�blico o privado. El responsable del Tratamiento o Encargado del Tratamiento deber�n suministrar a estos toda la informaci�n contenida en el registro individual que est� vinculada con la identificaci�n del Titular.�

��

La consulta se formulara por el medio habilitado por el Responsable del Tratamiento o Encargado del Tratamiento, siempre y cuando se pueda mantener prueba de esta.�

��

La consulta ser� atendida en un t�rmino m�ximo de diez (10) d�as h�biles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho termino, se informar� al interesado, expresando los motivos de la demora y se�alando la fecha en que se atender� su consulta, la cual en ning�n caso podr� superar los cinco (5) d�as h�biles siguientes al vencimiento del primer termino.�

��

Par�grafo.Las disposiciones contenidas en leyes especiales o los reglamentos expedidos por el Gobierno Nacional podr�n establecer t�rminos inferiores, atendiendo a la naturaleza del dato personal.�

��

Articulo 15. Reclamos.El titular o sus causahabientes que consideren que la informaci�n contenida en una base de datos debe ser objeto de correcci�n, actualizaci�n o supresi�n, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta ley, podr�n presentar un reclamo ante el Responsable del Tratamiento o el Encargado del Tratamiento el cual ser� tramitado bajo las siguientes reglas:�

��

1. el reclamo se formular� mediante solicitud dirigida al Responsable del tajamiento a al Encargado del Tratamiento, con la identificaci�n del Titular, la descripci�n de los hechos que dan lugar al reclamo, la direcci�n y acompa�ando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerir� al interesado dentro de los cinco (5) d�as siguientes a la recepci�n del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la informaci�n requerida, se entender� que ha desistido del reclamo.�

��

En caso de que quien reciba el reclamo no sea competente para resolverlo, dar� traslado a quien corresponda en un t�rmino m�ximo de dos (2) d�as h�biles e informar� de la situaci�n al interesado.�

��

2. una vez recibido el reclamo completo, se incluir� en la base de datos una leyenda que diga" reclamo en tramite" y el motivo del mismo, en un termino no mayor a dos (2) d�as h�biles. Dicha leyenda deber� mantenerse hasta que el reclamo sea decidido.�

��

3. el termino m�ximo para atender el reclamo ser� de quince (15) d�as h�biles contados a partir del d�a siguiente a la fecha de su recibo, cuando no fuere posible atender el reclamo dentro de dicho termino, se informar� al interesado los motivos de la demora y la fecha en que se atender� su reclamo, la cual en ning�n caso podr� superar los ocho (58) d�as h�biles siguientes al vencimiento del primer termino.�

��

Articulo 16. Requisito de procedibilidad.El titular o causahabiente s�lo podr� elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el tramite de consulta o reclamo ante el Responsable del Tratamiento o Encargado del Tratamiento."�

��

2.16.2. Intervenciones ciudadanas y concepto del Ministerio P�blico�

��

2.16.2.1. La Secretar�a Jur�dica de la Presidencia manifiesta, respecto a los art�culos 14 y 15 que resulta necesario y conveniente fijar t�rminos y procedimientos para atender las consultas y reclamos presentados por los titulares de la informaci�n, asunto que fue tratado por la Corte Constitucional cuando analiz� la exequibilidad del proyecto de ley que dio origen a la Ley 1266 de 2008. Frente al art�culo 16 se�ala que la Superintendencia debe actuar de oficio o a petici�n de parte, para exigir del responsable o del encargado del tratamiento el cumplimiento de la legislaci�n en materia de protecci�n de datos, as� como para adoptar las medidas administrativas correspondientes.�

��

Por lo anterior, es �til establecer un procedimiento para hacer m�s expedita la resoluci�n de la consulta o reclamo presentada por el titular o causahabiente ante quien tiene el deber de recolectar, almacenar, usar, circular o suprimir sus datos personales, sin que ello releve a la autoridad de control de actuar a trav�s de los mecanismos legales otorgados para velar por el respeto por los derechos del titular.�

��

2.16.2.2. La Defensor�a del pueblo, solicita exequibilidad condicionada del art�culo 15, por cuanto se deben incorporar otras garant�as como la supresi�n de la informaci�n o la disociaci�n de datos, cuando el dato haya cumplido la finalidad de su tratamiento o se trate de datos sensibles que imponen la reserva de identidad del titular. En consecuencia, a partir del art�culo 93 de la Carta en concordancia con el inciso 2 del art�culo 15, la no enunciaci�n expresa de otras garant�as propias del derecho fundamental a la protecci�n de los datos, no puede entenderse como su negaci�nPor lo anterior, la Defensor�a solicita a la Corte Constitucional hacer una interpretaci�n amplia de los derechos a que da lugar el tr�mite de reclamos del art�culo 15, de manera que se entienda que las garant�as derivadas del derecho a la protecci�n de los datos incluyen, adem�s de la rectificaci�n y la actualizaci�n, la supresi�n y la disociaci�n de la informaci�n.�

��

2.16.2.3. El Ministerio P�blico guard� silencio.�

��

2.16.3. La consulta ante los agentes que participan del tratamiento de los datos es un mecanismo necesario para hacer efectivo el derecho al habeas data�

��

El articulo 14 del proyecto de ley regula el mecanismo de la consulta al se�alar: (i) que los titulares o sus causahabientes podr�n consultar la informaci�n personal del titular que repose en cualquier base de datos p�blica o privada, (ii) responsables y encargados del tratamiento deben suministrar al titular toda la informaci�n contenida en la base de datos bien porque se tenga un registro individual o exista alguna asociada a su identificaci�n, (iii) el responsable y el encargado del tratamiento deben tener alg�n medio habilitado para que la consulta se pueda realizar, el cual debe permitir dejar prueba de ello, (iv) la consulta se debe resolver en un t�rmino m�ximo de 10 d�as h�biles a partir de la fecha de recibo de la solicitud y (v) en el evento de no poder responderse en ese t�rmino, se le debe informar al titular sobre las razones. De todas maneras la respuesta la debe recibir dentro de los 5 d�as siguientes al vencimiento del primer plazo.�

��

Por su parte, el par�grafo se�ala que leyes especiales o los reglamentos expedidos por el Gobierno podr�n establecer t�rminos inferiores, atendiendo la naturaleza del dato.�

��

La Sala encuentra que este art�culo guarda cierta similitud con el articulo 16, numeral I de la Ley 1266 de 2008, encontrado ajustado a la Constituci�n en la sentencia C-1011 de 2008.�

��

Esta norma hace una regulaci�n t�pica del derecho de petici�n que consagra el art�culo 23 de la Constituci�n tanto en el inciso primero como en el segundo, por cuanto el primero se�ala que todas las personas tienen derecho a presentar peticiones respetuosas ante las autoridades por motivos de inter�s general o particular, hecho que en el caso en estudio se traduce en el derecho que tienen los titulares del habeas data o sus causahabientes para presentar ante los bancos de datos que manejen las autoridades publicas, peticiones para establecer que informaci�n o datos poseen sobre ellos.�

��

En el segundo inciso del mencionado art�culo 23 se�ala que el legislador podr� reglamentar su ejercicio ante organizaciones privadas para garantizar los derechos fundamentales. Es precisamente esta regulaci�n la que hace el art�culo 14, al estipular que los responsables y/o encargados del tratamiento de datos, en este caso los privados, deben atender en los precisos t�rminos las consultas que eleven ante ellos los titulares del derecho al habeas data, como una forma de hacer exigibles el derecho consagrado en el literal a) del articulo 8 del proyecto en revisi�n, espec�ficamente el de conocer.�

��

En este orden de ideas, el derecho de petici�n que se regula en la norma objeto de an�lisis se convierte en un instrumento con el que cuenta el titular del dato para hacer exigible o realizable el derecho aut�nomo de habeas data. Es por ello que la jurisprudencia constitucional ha definido el derecho de petici�n como un derecho instrumental a trav�s del cual el ciudadano se acerca a la administraci�n o a aquellos privados que en raz�n de la actividad que desarrollan ostentan una posici�n de privilegio sobre el resto de particulares, que obliga al Estado a regular mecanismos que le permitan a estos �ltimos tener una herramienta que los obligue a responder a las inquietudes e inconformidades que se puedan generar por raz�n de la actividad que �stos desplieguen, en procura de lograr la satisfacci�n de otros derechos fundamentales.�

��

En ese sentido, el legislador estatutario al regular de forma general la protecci�n del dato personal, estaba facultado para se�alar los t�rminos en que los responsables y encargados del tratamiento del dato, p�blicos y privados, deben responder las consultas o peticiones que les eleve el titular del dato o sus causahabientes, con el fin de hacer exigibles entre otros, el derecho a conocer qu� datos personales tiene un determinado bancos de datos y la forma como �stos son manejados. Compatible con esto, los art�culos 17, literal k) y 18 literal f) del proyecto, establecen como uno de los deberes del responsable y encargado del dato el de adoptar un manual interno de pol�ticas y procedimiento especialmente para la atenci�n de las consultas y reclamos por parte de los titulares. Igualmente, como una forma de lograr un mayor conocimiento por parte del titular de las bases de datos que operan en el pa�s y cu�les pueden estar tratado su informaci�n, el proyecto crea el registro nacional de bancos de datos, art�culo 25, el cual ser� objeto de an�lisis posteriormente.�

��

En consecuencia, el precepto acusado resulta ajustado a la Constituci�n. No obstante, la Sala debe advertir que la jurisprudencia constitucional[272]ha perfilado unas caracter�sticas que debe tener la respuesta para que se entienda satisfecho el derecho de petici�n. En ese orden, tanto los responsables como los encargados del tratamiento est�n obligados a observar esos par�metros que en t�rminos generales se pueden resumir de la siguiente manera: (i) la respuesta debe ser de fondo, es decir, no puede evadirse el objeto de la petici�n, (ii) que de forma completa y clara se respondan a los interrogantes planteados por el solicitante, (iii) oportuna, asunto que obliga a respetar los t�rminos fijados en la norma acusada.�

��

En relaci�n con el par�grafo, basta se�alar que en �l se confirma que atendiendo la naturaleza del dato, el legislador tiene claro que se expedir�n regulaciones sectoriales, las cuales podr�n establecer lapsos m�s cortos para que los encargados y responsables del tratamiento den respuesta a las solicitudes que pueda presentar el titular del dato, reducci�n de t�rminos que en nada afecta el ordenamiento constitucional, por cuanto es claro que lo que est� fijando la ley en revisi�n es el m�ximo que puede tomarse uno de los agentes del tratamiento del dato para responder a los titulares o causahabientes.�

��

Respecto a la posibilidad de que el Gobierno Nacional expida reglamentos seg�n la naturaleza del dato personal y en ellos se reduzcan los t�rminos para responder, es necesario remitirnos al an�lisis que har� la Sala del art�culo 27 del proyecto relacionado con las disposiciones especiales, en el que se concluye que en relaci�n con el tratamiento de datos seg�n su naturaleza o especialidad existe una reserva legal, que impide al Gobierno Nacional hacer reglamentaciones por fuera de su facultad reglamentaria constitucional.�

��

2.16.4. El reclamo: otro mecanismo para hacer efectivos, entre otros, la rectificaci�n, actualizaci�n, correcci�n, oposici�n y supresi�n�

��

El articulo 15 regula los reclamos que puede efectuar el titular del dato o sus causahabientes al responsable o encargado del tratamiento con el fin de corregir, actualizar o suprimir la informaci�n contenida en la base de datos o cuando se considere que se ha incumplido con cualquiera de los deberes rese�ados en los art�culos 17 y 18 del proyecto en an�lisis.�

��

Igualmente fija las reglas que se deben observar para tal efecto, las cuales se pueden resumir as�: (i) solicitud que pese a que no se enuncia, parece ser escrita por cuanto se�ala que debe contener la identificaci�n y direcci�n del solicitante, la descripci�n de los hechos que originan el reclamo, y los soportes documentales que se quieren hacer valer, (ii) si la solicitud no es completa, se debe requerir al solicitante dentro de los cinco d�as de recibida la solicitud para que subsane las falencias. Si transcurridos dos meses del requerimiento no se presenta los requerimientos exigidos se entiende que se ha desistido de la reclamaci�n.�

��

En el evento de la falta de competencia de quien recibe la solicitud, debe enviarla al competente en el t�rmino m�ximo de dos d�as.�

��

En cuanto al tr�mite, se consagra que: i) una vez se recibe el reclamo debe incluirse la expresi�n "reclamo en tr�mite" y el motivo del mismo en el registro que se tenga, anotaci�n que se debe mantener hasta que el mismo se resuelva, ii) se fija un t�rmino m�ximo de quince d�as h�biles contados a partir del d�a siguiente de la fecha de solicitud para atender el reclamo, prorrogable hasta por ocho m�s, cuando no fuere posible atender la solicitud en el plazo inicial, previa informaci�n motivada de tal hecho al interesado.�

��

Este articulo regula un procedimiento similar al que contempla el articulo 16, II, numerales 1,2, y 3 de la Ley 1266 de 2008, hallado exequible por la Corte en la sentencia C-1011 de 2008.�

��

Sobre este mecanismo de reclamo que se consagra ante los responsables y encargados del dato, se puede advertir que los t�rminos que se dieron para que el obligado conteste los requerimientos hechos son los mismos que se consagran para el derecho de petici�n en el C�digo Contencioso Administrativo, raz�n por la que se pueden transpolar los comentarios que se dejaron consignados sobre el car�cter instrumental del derecho de petici�n, en aras de permitir al titular del dato ejercer las facultades que se derivan del habeas data.�

��

En esa l�nea, a diferencia de la intervenci�n de la Defensor�a del Pueblo, la Sala considera que el mecanismo del reclamo le permitir� al titular del dato o a sus causahabientes solicitar al encargado o responsable del tratamiento, el cumplimiento de todos los principios que rigen a los administradores de datos y los derechos del titular del dato, raz�n por la que no considera necesario condicionar el precepto en revisi�n en el sentido en que lo solicita esa entidad, por cuanto si bien la norma s�lo se refiere a la actualizaci�n, correcci�n o supresi�n, no significa que no se puedan solicitar otras dimensiones de este derecho si a ello hay lugar.�

��

Por tanto, ning�n problema de constitucionalidad se observa en este precepto, raz�n por la cual ser� declarado exequible, por cuanto este mecanismo se considera expedito para la atenci�n de los requerimientos del titular del dato y su oportuna respuesta.�

��

2.16.5. Constitucionalidad del requisito de procedibilidad del articulo 16�

��

Este precepto establece que s�lo se podr� elevar queja ante la Superintendencia de Industria y Comercio como la autoridad de protecci�n del dato, una vez se haya agotado el tr�mite de consulta o reclamo ante el responsable o encargado del tratamiento.�

��

Lo dispuesto en este art�culo no ri�e con la Constituci�n, por el contrario permite al titular del dato agotar las instancias correspondientes de una forma l�gica, dado que no tiene sentido acudir al �rgano de protecci�n del dato para que active sus facultades de vigilancia, control y sanci�n, por se�alar solo algunas, en relaci�n con el responsable o encargado del dato, cuando �ste ni siquiera conoce las pretensiones del titular y no ha tenido la oportunidad de decidir si le asiste o no raz�n, porque no ha hecho uso de los mecanismos para consulta y reclamo que debe implementar todo responsable y encargado del tratamiento, seg�n los art�culos 17 y 18, literales k) y f), respectivamente.�

��

Adicionalmente, porque la mayor�a de deberes que el legislador le fij� a cada uno de estos sujetos se fundamenta en el hecho de que el titular del dato acuda ante ellos para la efectiva protecci�n de sus derechos. En ese orden de ideas, se encuentra proporcional y razonable la salvedad que hace la norma en estudio, puesto que (i) no fija t�rminos o plazos irrazonables para que los agentes del tratamiento respondan las consultas y reclamos, (ii) se regula con detalle el procedimiento a seguir, lo que le garantiza al titular del dato que para obtener la respuesta a una consulta o a un reclamo, el sujeto requerido no podr� ponerle trabas que impidan el ejercicio de su derecho, y en el evento en que as� suceda, pues ello ser� suficiente para acudir ante la autoridad de protecci�n del dato.�

��

Lo expuesto aqu� sin perjuicio de acudir a la acci�n de tutela como mecanismo judicial de protecci�n del derecho fundamental al habeas data.�

��

Por lo expuesto, se declarar� exequible el art�culo 16 en revisi�n.�

��

2.17. EXAMEN DE LOS ART�CULOS 17 Y 18: DEBERES DE LOS RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO DEL DATO PERSONAL�

��

2.17.1. Texto de las disposiciones�

��

"Art�culo 17. Deberes de los Responsables del Tratamiento.Los Responsables del Tratamiento deber�n cumplir los siguientes deberes, sin perjuicio de las dem�s disposiciones previstas en la presente ley y en otras que rijan su actividad:�

��

a)Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de h�beas data.�

��

b)Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorizaci�n otorgada por el Titular.�

��

c)Informar debidamente al Titular sobre la finalidad de la recolecci�n y los derechos que le asisten por virtud de la autorizaci�n otorgada.�

��

d)Conservar la informaci�n bajo las condiciones de seguridad necesarias para impedir su adulteraci�n, p�rdida, consulta, uso o acceso no autorizado o fraudulento.�

��

e)Garantizar que la informaci�n que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.�

��

f)Actualizar la informaci�n, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las dem�s medidas necesarias para que la informaci�n suministrada a este se mantenga actualizada.�

��

g)Rectificar la informaci�n cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.�

��

h)Suministrar al Encargado del Tratamiento, seg�n el caso, �nicamente datos cuyo Tratamiento est� previamente autorizado de conformidad con lo previsto en la presente ley.�

��

i)Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la informaci�n del Titular.�

��

j)Tramitar las consultas y reclamos formulados en los t�rminos se�alados en la presente ley.�

��

k)Adoptar un manual interno de pol�ticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atenci�n de consultas y reclamos.�

��

l)Informar al Encargado del Tratamiento cuando determinada informaci�n se encuentra en discusi�n por parte del Titular, una vez se haya presentado la reclamaci�n y no haya finalizado el tr�mite respectivo.�

��

m)Informar a solicitud del Titular sobre el uso dado a sus datos.�

��

n)Informar a la autoridad de protecci�n de datos cuando se presenten violaciones a los c�digos de seguridad y existan riesgos en la administraci�n de la informaci�n de los Titulares.�

��

o)Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.�

��

Art�culo 18. Deberes de los Encargados del Tratamiento.Los Encargados del Tratamiento deber�n cumplir los siguientes deberes, sin perjuicio de las dem�s disposiciones previstas en la presente ley y en otras que rijan su actividad:�

��

a)Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de h�beas data.�

��

b)Conservar la informaci�n bajo las condiciones de seguridad necesarias para impedir su adulteraci�n, p�rdida, consulta, uso o acceso no autorizado o fraudulento.�

��

c)Realizar oportunamente la actualizaci�n, rectificaci�n o supresi�n de los datos en los t�rminos de la presente ley.�

��

d)Actualizar la informaci�n reportada por los Responsables del Tratamiento dentro de los cinco (5) d�as h�biles, contados a partir de su recibo.�

��

e)Tramitar las consultas y los reclamos formulados por los Titulares en los t�rminos se�alados en la presente ley.�

��

f)Adoptar un manual interno de pol�ticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atenci�n de consultas y reclamos por parte de los Titulares.�

��

g)Registrar en la base de datos la leyenda "reclamo en tr�mite" en la forma en que se regula en la presente ley.�

��

h)Insertar en la base de datos la leyenda "informaci�n en discusi�n judicial" una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.�

��

i)Abstenerse de circular informaci�n que est� siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.�

��

j)Permitir el acceso a la informaci�n �nicamente a las personas que pueden tener acceso a ella.�

��

k)Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los c�digos de seguridad y existan riesgos en la administraci�n de la informaci�n de los Titulares.�

��

l)Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.�

��

Par�grafo.En el evento en que concurran las calidades de Responsable del Tratamiento y Encargado del Tratamiento en la misma persona, le ser� exigible el cumplimiento de los deberes previstos para cada uno."�

��

2.17.2. Intervenciones ciudadanas y concepto del Ministerio P�blico�

��

2.17.2.1. La Defensor�a, respecto del art�culo 17 del proyecto, se�ala que no incluy� ninguna obligaci�n expresa en cabeza del encargado del tratamiento para exigir al responsable certificaci�n sobre la autorizaci�n del titular. De conformidad con la jurisprudencia constitucional el encargado del tratamiento tiene, adem�s de los deberes fijados en el proyecto de ley, el de exigir al responsable copia o evidencia de la autorizaci�n expresa e informada del titular de los datos objeto de tratamiento. Por �ltimo, advierte que resulta de la mayor trascendencia determinar los deberes en uno u otro caso, con miras a delimitar la esfera de responsabilidad de cada uno de ellos con respecto a los titulares y que debe ser establecida, en funci�n del grado de control sobre el dato y la relaci�n que existe entre cada uno de ellos y el titular.�

��

2.17.2.2. ASOBANCARIA solicita la exequibilidad condicionada del literal n) del art�culo 17 y del k) del articulo 18, por cuanto se puede desconocer el art�culo 33 Superior. Por tanto, si se obliga a los encargados y responsables del tratamiento a declarar contra ellos mismos o contra sus familiares, ello se constituye en el desconocimiento de una garant�a fundamental.�

��

2.17.2.3. La Universidad de los Andes solicita la exequibilidad condicionada de los literales a), b), d), m) y o) del art�culo 17, bajo el entendido de que en virtud del art�culo 15 de la Constituci�n, las obligaciones incorporadas en dichos literales tambi�n deben cumplirlas los usuarios de los datos personales y precisa que para que el tratamiento sea consistente con las exigencias m�nimas de la Constituci�n es necesario que los usuarios cumplan una serie de obligaciones de manera que su acci�n u omisi�n no comprometa, vulnere, lesione o ponga en riesgo los derechos y libertades de los titulares de los datos personales. Por esta raz�n, es necesario que la Corte precise que los usuarios deben cumplir las obligaciones de los literales a), b), d), m) y o) del articulo 17 del proyecto.�

��

Agrega que dicha precisi�n debe realizarse por razones de igualdad, pues el art�culo 9 de la ley 1266 de 2008 impuso a los usuarios deberes como sujetos del tratamiento de datos personales, contenido que fue declarado exequible por la Corte. En este orden de ideas, de no entenderse que el Proyecto de Ley tambi�n involucra a los usuarios, se estar�a generando una situaci�n de desigualdad violatoria del art�culo 13 de la Constituci�n entre los usuarios de los datos personales comerciales y financieros regidos por la Ley 1266 de 2008, y los usuarios de los otros tipos de datos personales que se regir�n por la nueva ley. Esta discriminaci�n no es justificable constitucionalmente, ni existen en los antecedentes del proyecto ninguna raz�n cierta o valida para explicar el silencio del legislador respecto de los deberes de los usuarios�

��

2.17.2.4. La Secretar�a Jur�dica de la Presidencia manifiesta respecto al art�culo 17, que en �ste no se incluye ninguna obligaci�n expresa en cabeza del encargado para exigir al responsable del tratamiento certificaci�n sobre la autorizaci�n del titular. No obstante, resulta conveniente interpretar de acuerdo con la jurisprudencia constitucional, que el encargado del tratamiento tiene, adem�s de los deberes fijados en el proyecto de ley, el de exigir al responsable copia o evidencia de la autorizaci�n expresa e informada del titular de los datos objeto de tratamiento.�

��

Estima que del principio de libertad establecido en el literal c) del art�culo 4, tanto el responsable como el encargado del tratamiento deben garantizar que la informaci�n de los titulares que es objeto de tratamiento sea obtenida, administrada, almacenada y puesta en circulaci�n con el consentimiento expreso del titular, raz�n por la cual es deber del encargado exigir al responsable copia o evidencia de la autorizaci�n previa y del responsable de suministr�rsela, como medio para reforzar y garantizar efectivamente los derechos de los titulares.�

��

Por �ltimo, advierte que resulta de la mayor trascendencia determinar los deberes en uno u otro caso, con miras a delimitar la esfera de responsabilidad de cada uno de ellos con respecto a los titulares y que debiendo ser establecida en funci�n del grado de control sobre el dato y la relaci�n que existe entre cada uno de ellos y el titular.�

��

2.17.2.5. La ciudadana Juanita Dur�n V�lez solicita la inexequibilidad del art�culo 17 aduciendo que los art�culos 17 y 18 establecen reg�menes de responsabilidad diferenciados para cada uno de los agentes, lo cual obliga a los titulares de los datos, en muchos casos, a tener que usar la intermediaci�n del responsable del dato para ejercer sus derechos frente al encargado. Afirma que un contexto de responsabilidad difuminada como el que produce el esquema del Proyecto de Ley Estatutaria, impide el ejercicio de "las facultades de conocimiento, actualizaci�n y rectificaci�n de la informaci�n personal contenida en las bases de datos" que son componentes estructurales del derecho al habeas data.�

��

2.17.2.6. El Ministerio P�blico no se pronuncio sobre estos preceptos.�

��

2.17.3. Constitucionalidad de los art�culos 17 y 18�

��

En el t�tulo VI, "DE LOS DEBERES DE LOS RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO DEL DATO", el legislador enlist� en preceptos separados los deberes de los responsables y de los encargados del tratamiento. Los deberes enumerados, en t�rminos generales, buscan garantizar el pleno ejercicio del derecho al habeas data por parte de los titulares, como los principios de la administraci�n de datos personales analizados en otro cap�tulo de esta providencia. Estos deberes hacen referencia, seg�n el sujeto concernido, a lo siguiente:�

��

En relaci�n con el responsable del tratamiento, es decir, aquel que define los fines y medios esenciales para el tratamiento del dato, incluidos quienes fungen como fuente y usuario, se establecen deberes que responden a los principios de la administraci�n de datos y a los derechos -intimidad y habeas data- del titular del dato personal.�

��

Espec�ficamente se dispone que son deberes de esta parte de la relaci�n:�

��

(i) Solicitar y conservar la autorizaci�n para el tratamiento del dato -en los t�rminos descritos previamente, lo que se ajusta plenamente al principio de libertad y consentimiento expreso del titular del dato.�

��

(ii) Informar al titular la finalidad de esa autorizaci�n y actuar en consecuencia; por tanto, el responsable no puede conducirse por fuera de los lineamientos de la autorizaci�n, lo que significa que, por ejemplo, no puede suministrar al encargado del tratamiento m�s datos que los que fueron objeto de autorizaci�n, ni puede someterlos a un tratamiento con finalidades diferentes a las informadas. En este orden de ideas, los deberes establecidos en los literales a), b) y h) son desarrollo del principio de finalidad.�

��

(iii) Adoptar las medidas para garantizar la seguridad del dato, a efectos de que no se pierda, no se adultere, no se utilice o acceda por fuere de la autorizaci�n, lo cual es desarrollado en el literal d) en concordancia con el principio de seguridad en la transferencia del dato. Por tanto, el responsable est� obligado a exigir y controlar las condiciones de seguridad que est� empleando el encargado del tratamiento -literal a), como informar oportunamente a la autoridad encargada de la protecci�n del dato sobre violaciones a los c�digos de seguridad y la existencia de riesgos en la administraci�n de la informaci�n de los titulares- literal n); siendo estos deberes, sin lugar a dudas, tambi�n desarrollo del principio de seguridad jur�dica.�

��

(iv) Actualizar el dato, hecho que lo obliga a informar oportunamente al encargado del tratamiento para hacer la actualizaci�n -literal f), deber que corresponde al principio de veracidad y calidad, como al derecho del titular del dato a actualizar toda informaci�n que sobre �l se tenga en las bases de datos p�blicas o privadas.�

��

(v) Rectificar e informar de forma oportuna al encargado del tratamiento sobre ese particular -literal g), para efectos de actualizaci�n.�

��

(vi) Tramitar las consultas y reclamos, hecho que lo obliga a dar a conocer al encargado esas eventualidades para que �ste incluya la informaci�n correspondiente en la base de datos, con anotaciones que permitan identificar f�cilmente el estado de la informaci�n, es decir, para que siempre se encuentre actualizada -literales j) y l), e igualmente adoptar reglamentos claros para que el titular del dato pueda hacer exigible sus derechos a consultar y reclamar -literal k).�

��

(vii) Informar el uso del dato al titular cuando este lo requiera -literal m), en virtud de los principios de finalidad y libertad.�

��

(viii) Cumplir todas las instrucciones y requerimientos de la Superintendencia de Industria y Comercio.�

��

Por su parte, el art�culo 18 se�ala que los encargados del tratamiento del dato, al igual que los responsables, est�n obligados a garantizar el derecho al habeas data al titular. En consecuencia, tiene deberes de: (i) actualizar, rectificar y suprimir los datos cuando a ello haya lugar y en los tiempos indicados para el efecto, literales c) y d). Por tanto, como una forma de cumplir con estos deberes, se le impone (ii) la obligaci�n de incluir en la informaci�n que suministre, leyendas tales como "informaci�n en discusi�n judicial" cuando la autoridad judicial lo notifique sobre el particular, o "reclamo en tr�mite",tal como lo indica el art�culo 15, numeral 2 del proyecto en revisi�n, literales g) y h), (iii) no circular informaci�n que por orden la autoridad de control este bloqueada mientras se adopta la decisi�n definitiva; (iv) tramitar los reclamos y consultas. Para el efecto, debe adoptar un manual que no solo le permita el adecuado cumplimiento de la ley sino responder en forma eficaz y eficiente a los reclamos y a las consultas que se le efect�en en los t�rminos indicados en el t�tulo IV de la ley; (v) al igual que los responsables, informar cualquier violaci�n a los c�digos de seguridad y administraci�n de la informaci�n y (vi) cumplir las instrucciones y requerimientos del �rgano de vigilancia y control del dato personal.�

��

Estos deberes en cabeza del responsable y del encargado del tratamiento, permiten garantizar, prima facie, el �mbito de protecci�n del derecho de habeas data, por cuanto, como lo precis� esta Corporaci�n en la sentencia C-1011 de 2008, todos "los principios de administraci�n de datos personales identificados por la jurisprudencia constitucional,son oponibles a todos los sujetos involucrados en los procesos de recolecci�n, tratamiento y circulaci�n de datos"(negrillas y subraya fuera de texto) ,se agrega ahora, independientemente de la posici�n que ocupen en el tratamiento del dato.�

��

En consecuencia, tal como se se�al� en el ac�pite de definiciones, es posible que un encargado del tratamiento resulte convirti�ndose en responsable al definir la finalidad y los elementos esenciales del medio, raz�n por la que sus deberes no solo ser�n los que se�ala el proyecto para su condici�n inicial sino para la que llegue a ostentar. En ese sentido, se ajusta al texto constitucional el par�grafo del art�culo 18 cuando expresamente establece que en el evento en que concurran las calidades de responsable y encargado del tratamiento en la misma persona, le ser� exigible el cumplimiento de los deberes previstos para cada uno. En el mismo sentido, cuando esa calidad llegue a mudar por el tratamiento que uno de ellos llegue a dar al dato personal.�

��

Igualmente, es necesario insistir en que pese a la dificultad que pueda causar el uso de una terminolog�a diversa a la que emplea la Ley 1266 de 2008, lo cierto es que tanto el responsable como el encargado del tratamiento tienen responsabilidades claras, concretas y precisas frente al titular del dato, por cuanto ambos sujetos, en los t�rminos de los preceptos en an�lisis, est�n obligados a garantizar el ejercicio pleno y efectivo del derecho al habeas data, el cual se irradia por todos los principios que rigen el tratamiento de datos, en donde el titular dispone de todos los medios para lograr la actualizaci�n, rectificaci�n y supresi�n o cancelaci�n de la informaci�n, seg�n lo analizado en el ac�pite anterior.�

��

En ese orden de ideas, es necesario reiterar como lo hizo la Sala en la sentencia C-1011 de 2008, que tanto el responsable como el encargado del tratamiento tienen una responsabilidad concurrente frente a la veracidad, integridad, finalidad e incorporaci�n del dato, si se tiene en cuenta que la recolecci�n y procesamiento de datos no es una actividad neutra que impida al encargado del tratamiento responder, incluso por la veracidad de la informaci�n sujeta a proceso, pues a �ste le corresponde cerciorarse que se cumplan los requisitos para que un dato personal pueda ser objeto de tratamiento.�

��

En consecuencia, la Sala advierte que si no se puede identificar de forma clara la posici�n de uno y otro, tendr�n que responder de forma solidaria y no podr�n excusar sus deberes de actualizaci�n, rectificaci�n y exclusi�n o supresi�n del dato.�

��

En ese sentido, se debe entender que cuando los literales a) de los art�culos 17 y 18 imponen como deberes tanto del responsable o como del encargado del tratamiento, garantizar al titular en todo tiempo, el pleno y efectivo derecho de habeas data, ello incluye que se cumplan los principios para la administraci�n de datos y los derechos de los titulares.�

��

As�, por ejemplo, si bien es cierto que el art�culo 17 se�ala que el responsable del tratamiento es quien debe solicitar y conservar la autorizaci�n en la que conste el consentimiento expreso del titular para el tratamiento de sus datos, as� como informar con claridad la finalidad del mismo, tambi�n lo es que, en cumplimiento de los principios de libertad y finalidad, el encargado del tratamiento al recibir la delegaci�n para tratar el dato en los t�rminos en que lo determine el responsable, debe cerciorarse de que aquel tiene la autorizaci�n para su tratamiento y que el tratamiento se realizar� para las finalidades informadas y aceptadas por el titular del dato. Esto significa que en raz�n de la posici�n que cada uno de estos sujetos ocupa en las etapas del proceso del tratamiento del dato, es al responsable al que le corresponde obtener y conservar la autorizaci�n del titular, asunto que no impide al encargado solicitar a su mandante exhibir la autorizaci�n correspondiente y verificar que se cumpla la finalidad informada y aceptada por el titular de dato.�

��

En consecuencia, pese a que el art�culo 18 no enlista este deber por parte del encargo del tratamiento, ha de entenderse que en virtud del literal a) omnicomprensivo de todos las potestades que se derivan del derecho al habeas data, el encargado del tratamiento tambi�n ha de responder por la existencia de la autorizaci�n para tratar el dato como por asegurar la finalidad del mismo, pues para poder desarrollar el objeto de su actividad, debe cerciorarse que el titular extendi� el consentimiento para el efecto. Lo anterior no significa que el encargado deba ser quien recabe la autorizaci�n. Su deber en relaci�n con �sta consiste en verificar su existencia y alcance.�

��

Lo anterior significa que corresponder� a la autoridad de protecci�n de datos como a las autoridades judiciales en el �mbito de su competencia, garantizar al titular del dato o sus causahabientes, la protecci�n que exige el ejercicio de su derecho al habeas data, el cual no puede quedar sujeto a limitaciones basadas en la exclusi�n de la responsabilidad frente a los deberes que cada sujeto involucrado en el tratamiento del dato pueda argumentar, con fundamento en la ley. Es cierto que el legislador estatutario hizo un esfuerzo por describir los deberes que le asiste a uno y otro sujeto que participan en el tratamiento del dato, pero ello no significa que el titular del derecho no pueda exigir otros que puedan resultar para la plena garant�a del mismo en concordancia con los principios que regulan la administraci�n de datos. En otras palabras, los deberes enunciados en los art�culos bajo estudio, respecto del titular del derecho al habeas data, no son taxativos sino enunciativos, lo que significa que responsables y encargados tendr�n otros deberes derivados del derecho al habeas data, que corresponder�n a las prerrogativas que otorga el derecho, en tanto sujetos pasivos de dicha garant�a constitucional.�

��

No obstante, la lista de deberes enunciados en estos art�culos, desde el punto de vista sancionatorio y en virtud del principio de legalidad, s� operan como una lista taxativa, es decir, los encargados y responsables no pueden ser sancionados por incumplimiento de deberes que no se hallen en las disposiciones bajo estudio, por lo menos en lo que respecta a las sanciones administrativas previstas por el mismo proyecto de ley.�

��

Por las anteriores, la Corte declarar� la exequibilidad de los art�culos 17 y 18 del proyecto de ley.�

��

2.18. EXAMEN DEL ART�CULO 19: AUTORIDAD DE PROTECCION DE DATOS�

��

2.18.1. Texto de la disposici�n�

��

"TITULO VII�

��

DE LOS MECANISMOS DE VIGILANCIA Y SANCION�

��

Capitulo 1�

��

De la Autoridad de Protecci�n de Datos�

��

Articulo 19. Autoridad de Protecci�n de Datos.La Superintendencia de Industria y Comercio, a trav�s de una Delegatura para la Protecci�n de Datos personales, ejercer� la vigilancia para garantizar que en el Tratamiento de datos personales se respeten los Principios, derechos, garant�as y procedimientos previstos en la presente ley.�

��

Par�grafo 1.El gobierno Nacional en el plazo de seis (6) meses contados a partir de la fecha de entrada en vigencia de la presente ley incorporar� dentro de la estructura de la Superintendencia de Industria y Comercio un despacho de Superintendente Delegado para ejercer las funciones de Autoridad de protecci�n de datos.�

��

Par�grafo 2.La vigilancia del tratamiento de los datos personales regulados en la Ley 1266 de 2008 se sujetar� a lo previsto en dicha norma.�

��

2.18.2. Intervenciones ciudadanas y concepto del Ministerio P�blico�

��

2.18.2.1. La Secretaria Jur�dica de la Presidencia asegura que el art�culo 19 tiene 3 puntos que se deben considerar de manera separada para realizar el estudio de constitucionalidad, as�:�

��

En primer lugar, la Superintendencia de Industria y Comercio como m�xima autoridad de vigilancia y control para el tratamiento y protecci�n de Datos Personales. Sobre el particular, se refiri� a la sentencia C-1011 de 2008, en la cual la Corte efectu� un detallado estudio del tema y describi� condiciones de autonom�a e independencia de esta superintendencia, y la importancia que tiene que se le asigne a dicho ente la potestad de regular y sancionar el manejo y administraci�n de datos.�

��

Afirma adem�s que el hecho que esta superintendencia, sin importar que dependa del poder ejecutivo, tenga car�cter aut�nomo, desarrolla el principio de especialidad, pues est� radicando en este organismo t�cnico, funciones que garantizan mayor efectividad la tarea de control, regulaci�n y vigilancia sobre los datos financieros, crediticios, comerciales y de servicios.�

��

Por �ltimo, concluye sobre este primer punto que, seg�n la ley, las superintendencias son independientes y aut�nomas en su funci�n de vigilancia; las facultades atribuidas por la ley estatutaria a estos entes t�cnicos est�n dentro de las funciones de polic�a administrativa; y, todos los lineamientos dados a las Superintendencias de Industria y Comercio, y Financiera est�n acordes con la Constituci�n y se encuentran enmarcados dentro de los fines de un estado social de derecho.�

��

En segundo lugar, estudia la creaci�n de la Delegatura para la Protecci�n de Datos y su incorporaci�n en la estructura de la Superintendencia de Industria y Comercio. Manifest� que dentro del proyecto se establece un t�rmino de 6 meses para la incorporaci�n de dicho despacho a la SIC, lo que encuentra fundamento constitucional en la funci�n atribuida al Congreso en el art�culo 150 de la Carta Pol�tica.�

��

En tercer lugar, sobre la remisi�n a la Ley 1266 de 2008, se�ala que esta remisi�n se concatena con lo establecido en el mismo proyecto de ley en su art�culo 33 que dispone la derogatoria de toda la normativa que le sea contraria, salvo las exceptuadas en el art�culo 2, dentro de las que se encuentra la Ley de 2008. Lo anterior, afirm�, tiene sustento en el numeral 7 del art�culo 150 Superior, pues en este caso el objetivo del legislador fue mantener el control de datos personales de contenido comercial, financiero y crediticio en cabeza de la Superintendencia Financiera y de la Superintendencia de Industria y Comercio cuando el agente regulado no hace parte del sector financiero.�

��

Finalmente, se refiere a la decisi�n de centralizar las competencias administrativas en cabeza de la SIC, encuentra su fundamento no solo en la Constituci�n, sino que lo considera altamente conveniente con miras a tener un control m�nimo a las personas y empresas que tratan los datos personales.�

��

2.18.2.2. La Defensor�a del Pueblo solicita declarar la exequibilidad condicionada de este art�culo, teniendo en cuenta que la sentencia C- 1011 de 2008 se�al� que las superintendencias, como autoridades de protecci�n de datos, deben actuar con independencia y autonom�a, m�xime cuando el par�grafo 2� mantiene el control dual para la protecci�n de datos.�

��

2.18.2.3. El Ministerio P�blico guard� silencio.�

��

2.18.3. Exequibilidad del art�culo 19�

��

2.18.3.1. El art�culo 19 regula la autoridad de protecci�n de datos, y se designa como tal a la Superintendencia de Industria y Comercio, a trav�s de una Delegatura para la protecci�n de datos personales que implica la creaci�n dentro de la estructura de la superintendencia, de un despacho para un Superintendente Delegado para ejercer las funciones de Autoridad de Protecci�n de Datos.�

��

En los principios rectores para la reglamentaci�n de los ficheros computarizados de datos personales, adoptado por la Asamblea General de la ONU, Resoluci�n 45/95 del 14 de diciembre de 1990, al se�alar los principios m�nimos que deben preverse en la legislaci�n nacional, se encuentra el de control y sanci�n. Para el efecto, se se�ala que cada Estado deber�a establecer en su legislaci�n interna una autoridad independiente e imparcial con respecto a las personas y organismos responsables del procesamiento de datos o de su aplicaci�n, con una competencia t�cnica. Igualmente, la legislaci�n deber�a prever sanciones penales y de otro tipo cuando se incumplan los principios que regulan el tratamiento de los datos.�

��

En Europa, el Convenio 108 no establec�a algo similar, no obstante, la libre circulaci�n de datos, entre otros, en asuntos de justicia, producto del Convenio Schengen, impuso la necesidad de administraciones o agencias independientes para la protecci�n de datos con una capacidad sancionatoria[273]. Ese hecho y la creciente necesidad de protecci�n de datos, hicieron que en la Directiva 95/46/CE se estipulara la importancia de la existencia de una entidad independiente para la garant�a efectiva del dato personal al se�alar expresamente en su art�culo 28 que "una o m�s autoridades p�blicas se encarguen de vigilar la aplicaci�n en su territorio de las disposiciones adoptadas por ellos�Estas autoridades ejercer�n las funciones que le son atribuidas con total independencia". En el mismo sentido, la Carta Europea de Derechos Fundamentales estipula en el art�culo 8.3 "el respeto al derecho fundamental a la protecci�n de datos personales quedar� sujeto al control de una autoridad independiente" y la fracasada Constituci�n Europea consagraba prescripci�n similar en el articulo 1.5.1.3., al se�alar que "el respeto de dichas normas estar� sometido al control de autoridades independientes"[274].�

��

En ese contexto existe un Supervisor Europeo de Protecci�n de Datos, autoridad supervisora independiente que tiene como objetivo principal garantizar que las instituciones y �rganos europeos respeten el derecho a la intimidad y la protecci�n de datos de car�cter personal y se desarrollen nuevas pol�ticas en el �mbito de protecci�n[275].�

��

A nivel de los pa�ses europeos, se observa que casi todos cumplen con el est�ndar de la autoridad independiente. Espa�a, por ejemplo, regul� las Agencias Auton�micas de Protecci�n de Datos como �rganos independientes, constituidas como un ente de derecho p�blico con personalidad jur�dica propia y plena capacidad p�blica y privada, que funcionan en las Autonom�as, y un ente central denominado Agencia Espa�ola de Protecci�n de Datos.�

��

Esta Agencia act�a de forma independiente frente a las administraciones p�blicas en el ejercicio de sus funciones, entre las cuales est�n las de: (i) velar por el cumplimiento de la legislaci�n sobre protecci�n del dato, en especial, que se cumpla el acceso, rectificaci�n, oposici�n y cancelaci�n de datos; (ii) atender las reclamaciones y peticiones de los afectados; (iii) ejercer la potestad sancionatoria; (iv) ordenar el cese en el tratamiento y la cancelaci�n de los datos; (v) autorizar las transferencias internacionales de datos; (vi) hacer recomendaciones normativas en materia de seguridad y control a las bases de datos.�

��

En Portugal existe un Consejo de Protecci�n de Datos que tiene funciones parecidas a las de la Agencia Espa�ola[276].�

��

En Latinoam�rica encontramos que en Argentina existe la Direcci�n Nacional de protecci�n de datos[277]creada en el 2002 como organismo de control de los registros, archivos, bases o bancos de datos, cuya funci�n principal es velar por el cumplimiento de los derechos consagrados en la Ley 25.326. Adem�s, con funciones correctivas y sancionatorias. Es un �rgano descentralizado adscrito al Ministerio de Justicia y Derechos Humanos de la Naci�n, que debe contar con un perfil t�cnico y con funciones sancionatorias.�

��

En Uruguay, la Ley N� 18.331 cre� la Agencia para el Desarrollo del Gobierno de Gesti�n Electr�nica y la Sociedad de la Informaci�n y del Conocimiento -AGESIC-, �rgano que depende de la Presidencia de la Rep�blica, con autonom�a t�cnica. Como �rgano desconcentrado de esta agencia, se cre� la Unidad Reguladora y de Control de Datos Personales, dirigida por un Consejo integrado por tres miembros: el Director Ejecutivo de AGESIC y dos miembros designados por el Poder Ejecutivo entre personas que por sus antecedentes personales, profesionales y de conocimiento en la materia, aseguren independencia de criterio, eficiencia, objetividad e imparcialidad en el desempe�o de sus funciones.�

��

En ese sentido, es claro que la protecci�n de los datos personales requiere no solo de una regulaci�n que consagre los principios que rigen el tratamiento del dato, los derechos de su titular, los deberes y responsabilidades de los sujetos que intervienen en su tratamiento, sea cual sea la denominaci�n que �stos reciban, sino de un r�gimen sancionatorio expreso, como de una institucionalidad que permita un control y �mbito de garant�a efectivo del derecho al habeas data.�

��

La anterior afirmaci�n se precisa, por cuanto es necesario entender que este derecho, como fundamental aut�nomo, requiere para su efectiva protecci�n de mecanismos que lo garanticen, los cuales no s�lo deben pender de los jueces, sino de una institucionalidad administrativa que adem�s del control y vigilancia tanto para los sujetos de derecho p�blico como privado, aseguren la observancia efectiva de la protecci�n de datos y, en raz�n de su car�cter t�cnico, tenga la capacidad de fijar pol�tica p�blica en la materia, sin injerencias pol�ticas para el cumplimiento de esas decisiones.�

��

Algunos doctrinantes, siguiendo a Ferrajoli, se�alan que el concepto de garant�a impone al legislador dar los instrumentos "adecuados para procurar la satisfacci�n de las expectativas generadas por los derechos" porque sin ella los derechos son simples enunciados sin vocaci�n de coerci�n[278]. Esa garant�a, en concepto de la Sala, requiere para ciertos derechos como el habeas data de un entramado de mecanismos, instituciones y acciones que permitan su real satisfacci�n.�

��

Precisamente, dentro de esa idea de garant�a institucional del derecho al habeas data y con fundamento en los est�ndares internacionales, se han creado instituciones aut�nomas e independientes para la protecci�n de los datos personales, entes centralizados que solo pueden fijar pol�ticas en clave de protecci�n del derecho al habeas data y con poder coercitivo suficiente para lograr su efectiva protecci�n, sin injerencias por parte de autoridades o personas que puedan limitar su correcta funcionalidad[279], en especial frente a los agentes privados que tienen hoy una alta capacidad para el manejo de datos personales. Obviamente en lo p�blico, la automatizaci�n de datos se ha convertido en algo esencial para el cumplimiento de las funciones asignadas al Estado, por ejemplo, en materias como la salud y la hacienda, por se�alar s�lo algunas que requieren por parte del ciudadano de mecanismos de protecci�n claros, por entes p�blicos y privadas est�n tratando sus datos.�

��

En ese sentido, en el a�o 2001, en el marco de la 23 Conferencia Internacional de Comisarios de Protecci�n de Datos celebrada en Par�s, se acordaron unas caracter�sticas que deben ostentar estas autoridades para ser acreditadas ante dicha conferencia, teniendo en cuenta la importancia que �stas cumplen en la protecci�n del dato personal. Esas peculiaridades se pueden resumir as�[280]: i) organismo p�blico de creaci�n legal; (ii) una base jur�dica que garantice su independencia y compromiso con la efectiva protecci�n de este derecho. Para el efecto, se dice que este �rgano debe tener la tipolog�a de los organismos p�blicos encargados dentro del Estado de la protecci�n de los derechos. (iii) En relaci�n con la autonom�a e independencia, se�ala que �stas deben permitir el adecuado cumplimiento de la funci�n.�

��

Los lineamientos expuestos, le permiten a la Sala hacer el examen de constitucionalidad del art�culo 19, aclarando que esos est�ndares no son obligatorios para el Estado colombiano, pero s� una fuente valiosa para el juez constitucional a la hora de tomar una decisi�n, pues precisamente lo que se pretende con el proyecto en estudio, adem�s de lograr una protecci�n del dato personal en los t�rminos en que lo exige la Constituci�n, es lograr que el pa�s cumpla con los est�ndares internacionales en la materia para lograr las certificaciones necesarias para insertarse en el mercado, como un territorio con niveles adecuados de protecci�n de los datos personales.�

��

En ese sentido, los lineamientos europeos tra�dos a colaci�n, en concepto de la Sala, no solo son una excelente herramienta para lograr una protecci�n m�s efectiva del derecho fundamental al habeas data, que es un prop�sito que se impuso claramente el Constituyente en el articulo 15, sino una gu�a que el Gobierno Nacional debe seguir para cumplir los retos de un mercado globalizado, en el cual el individuo cada vez m�s, va perdiendo espacios de libertad y autodeterminaci�n.�

��

2.18.3.2. Esta Corporaci�n, en la sentencia C-1011 de 2008 analiz� la constitucionalidad de que las superintendencias Financiera y la de Industria y Comercio, fungieran como autoridades de protecci�n de datos en lo concerniente al dato financiero, comercial o crediticio con fines de control de riesgo.�

��

En esa oportunidad, se argument� que, pese a que las superintendencias est�n en el �mbito de la rama ejecutiva del poder p�blico y dependen del Presidente de la Rep�blica, no es posible desconocer su car�cter independiente y aut�nomo por tratarse de organismos t�cnicos con autonom�a administrativa y obligados a satisfacer en ejercicio de sus competencias los principios que, en los t�rminos del art�culo 209 de la Constitucional, rigen la funci�n administrativa. Se se�al� expresamente:�

��

"Aunque de conformidad con el art�culo 115 C.P. las Superintendencias integran la Rama Ejecutiva y, por ende, dependen del Presidente de la Rep�blica en tanto suprema autoridad administrativa, ello no desvirt�a su naturaleza de organismos t�cnicos y la autonom�a administrativa que les es predicable. Al respecto, debe tenerse en cuenta que de conformidad con las normas que establecen la naturaleza jur�dica de la Superintendencia de Industria y Comercio y Financiera,[281]se trata en ambos casos de organismos t�cnicos, que cuentan con autonom�a administrativa. Adem�s, estas entidades est�n obligadas a dar cumplimiento estricto a los principios que gu�an la funci�n administrativa, esto es, los de igualdad, moralidad, eficacia, econom�a, celeridad, imparcialidad y publicidad, fijados por el art�culo 209 Superior. En tal sentido, las entidades en comento son instancias imparciales, investidas del grado de independencia suficiente para fijar criterios objetivos para que los operadores de informaci�n de contenido crediticio, comercial, financiero, de servicios y proveniente de terceros pa�ses puedan verificar si la legislaci�n del banco de datos de destino otorga garant�as suficientes para la protecci�n de los derechos del titular."�

��

Igualmente, se argument� que dada la naturaleza de los agentes econ�micos regulados por esas entidades, cada una ejercer�a el control de ellos dependiendo de su actividad. En ese sentido, se indic�, con fundamento en los art�culos 333 y siguientes de la Constituci�n, que el Estado est� obligado a intervenir en la econom�a y ejercer a trav�s de sus entidades t�cnicas -las superintendencias- el control y la regulaci�n sobre los distintos agentes econ�micos, actuando para el efecto como una polic�a administrativa con un conocimiento t�cnico del sector, hecho que "justifica la asignaci�n de potestad de regulaci�n y sancionadora, en materia de manejo y administraci�n de datos, a la Superintendencia Financiera, y a la Superintendencia de Industria y Comercio, en relaci�n con los agentes sometidos a su control y vigilancia".�

��

Para concluir lo siguiente:�

��

"No obstante, debe anotarse que el ejercicio de cada una de estas funciones implica, necesariamente, que las Superintendencias de Industria y Comercio y Financiera, act�en de manera aut�noma e independiente, a efectos de asegurar la eficacia de los derechos fundamentales del titular de la informaci�n financiera y crediticia, interferidos en los procesos de administraci�n de datos personales� dicha pertenencia org�nica de las superintendencias al poder Ejecutivo no es incompatible con que respecto de esas entidades se predique un margen de autonom�a suficiente, que permita la adecuada protecci�n de los derechos fundamentales del titular. Esta conclusi�n se basa en dos consideraciones diferenciadas. La primera est� relacionada con el deber que tienen las superintendencias de ejercer la funci�n administrativa con base en los principios de igualdad, moralidad, eficacia, econom�a, celeridad, imparcialidad y publicidad (Art. 209 C.P.), condiciones todas ellas que propugnan por la existencia de organismos de control, vigilancia y sanci�n que lleven a cabo sus funciones bajo las premisas de la protecci�n del inter�s general y la vigencia de los derechos constitucionales (Art. 2 C.P.). La segunda, tiene que ver con el hecho que el ordenamiento jur�dico colombiano ha dotado a las Superintendencias de Industria y Comercio y Financiera de un car�cter eminentemente t�cnico y de autonom�a administrativa, financiera y presupuestal,[282]condiciones �stas que concurren en la garant�a de imparcialidad e independencia, necesarias para la protecci�n adecuada de los derechos fundamentales del titular del dato personal"[283]�

��

Se acept� s�, que la autoridad de protecci�n de datos deb�a ser aut�noma e independiente raz�n por la que se condicion� la norma que estaba en revisi�n a que las mencionadas autoridades actuaran de esa forma. Sobre el particular se puntualizo: "�la concurrencia de condiciones de autonom�a e independencia de las Superintendencias de Industria y Comercio y Financiera, es imprescindible para la adecuada protecci�n de las prerrogativas constitucionales predicables del sujeto concernido, en especial el derecho fundamental al h�beas data. En consecuencia,la Corte considera necesario condicionar la exequibilidad del art�culo 17 del Proyecto de Ley Estatutaria, en el entendido que las Superintendencias, en todo caso, deben actuar con independencia y autonom�a en su funci�n de vigilancia."[284]�

��

Finalmente, la Sala precis� que esas nuevas facultades para las superintendencias no implicaban un desplazamiento de competencias que constitucional o legalmente le han sido asignadas a otros �rganos dentro del Estado colombiano como la Defensor�a del Pueblo, en especial para la promoci�n de los derechos humanos.�

��

2.18.3.3. Las consideraciones expuestas por la Corporaci�n en aquella oportunidad resultan v�lidas en el marco del proyecto de ley bajo revisi�n, porque tambi�n en esta ocasi�n se est� procurando, y con mayor raz�n por tratarse de la regulaci�n de los est�ndares m�nimos de la protecci�n general de los datos personales, que la autoridad encargada de esa funci�n de protecci�n tenga car�cter independiente y aut�nomo frente a las personas que tratan estos datos, adem�s de su car�cter t�cnico, especializado y sancionador. Lo anterior ya se encuentra garantizado con la creaci�n de una Delegatura para la protecci�n de datos personales dentro de la Superintendencia de Industria y Comercio, adem�s, con la reafirmaci�n de que, a pesar de hacer parte del ejecutivo, la ley le ha otorgado a la superintendencia caracter�sticas de autonom�a e independencia que garantizan el cumplimiento de los antes explicados est�ndares internacionales fijados sobre la autoridad encargada de la protecci�n de datos.�

��

Sin embargo, tal como lo dispuso la Corte en la citada sentencia, para efectos de asegurar que esa autonom�a e independencia no se disipe en ninguna de las actuaciones de la Delegatura, se condicionar� la exequibilidad del primer p�rrafo del art�culo 19 a que dicha autoridad siempre deber� actuar de acuerdo con esas caracter�sticas. De igual manera, el Gobierno Nacional, al momento de reglamentar esta dependencia, debe asegurarse de que se conforme por personas con un conocimiento t�cnico y que hagan parte de carrera administrativa de la entidad.�

��

2.18.3.4. En cuanto al par�grafo primero, encuentra esta Sala que otorgarle al ejecutivo la funci�n de crear la Delegatura de protecci�n de datos dentro de la estructura de la Superintendencia, se enmarca dentro de los establecido por el numeral 16 del art�culo 189 Superior: "corresponde al Presidente de la Rep�blica (�): Modificar la estructura de los ministerios, departamentos administrativos y dem�s entidades u organismos administrativos nacionales, con sujeci�n a los principios y reglas generales que defina la ley".De manera que se declarar� exequible pues no se observa reparo alguno de constitucionalidad sino que, por el contrario, desarrolla la citada disposici�n constitucional.�

��

Finalmente, en cuanto al par�grafo segundo, se observa que mantener lo previsto por la Ley 1266 de 2008 sobre la vigilancia de los datos financieros, se compadece con el car�cter general de la regulaci�n adoptada por el proyecto de ley, lo que se refleja en la consagraci�n de excepciones al �mbito del proyecto de ley en el art�culo 2 del proyecto, ya analizado en esta providencia, que precisamente exceptu� -por su especialidad y car�cter sectorial- el tratamiento de los datos regulados en la Ley 1266 de 2008, lo cual incluye, por supuesto, lo relacionado con su vigilancia y con la autoridad que la ejerce -Superintendencia Financiera- . De lo anterior no se deriva ning�n problema de inconstitucionalidad y se enmarca dentro de la libertad de configuraci�n del legislador, teniendo en cuenta adem�s que la Ley 1266 de 2008 -a la que remite la disposici�n en comento- fue declarada exequible en lo que se refiere a la autoridad de vigilancia, siempre y cuando �sta act�e aut�noma e independientemente, tal como se ratific� en la presente providencia..�

��

2.19. EXAMEN DEL ART�CULO 20: RECURSOS DEL ORGANO DE VIGILANCIA�

��

2.19.1. Texto de la disposici�n�

��

"Art�culo 20.Recursos para el ejercicio de sus funciones. La Superintendencia de Industria y Comercio contar� con los siguientes recursos para ejercer las funciones que le son atribuidas por la presente ley:�

��

a)Las multas que se impongan a los sometidos a vigilancia.�

��

b)Los recursos que le sean destinados en el Presupuesto General de la Naci�n.�

��

Art�culo 21.Funciones. La Superintendencia de Industria y Comercio ejercer� las siguientes funciones:�

��

a)Velar por el cumplimiento de la legislaci�n en materia de protecci�n de datos personales.�

��

b)Adelantar las investigaciones del caso, de oficio o a petici�n de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de h�beas data. Para el efecto, siempre que se desconozca el derecho, podr� disponer que se conceda el acceso y suministro de los datos, la rectificaci�n, actualizaci�n o supresi�n de los mismos.�

��

c)Disponer el bloqueo temporal de los datos cuando, de la solicitud y de las pruebas aportadas por el Titular, se identifique un riesgo cierto de vulneraci�n de sus derechos fundamentales, y dicho bloqueo sea necesario para protegerlos mientras se adopta una decisi�n definitiva.�

��

d)Promover y divulgar los derechos de las personas en relaci�n con el Tratamiento de datos personales e implementara campa�as pedag�gicas para capacitar e informar a los ciudadanos acerca del ejercicio y garant�a del derecho fundamental a la protecci�n de datos.�

��

e)Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuaci�n de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley.�

��

f)Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento la informaci�n que sea necesaria para el ejercicio efectivo de sus funciones.�

��

g)Proferir las declaraciones de conformidad sobre las transferencias internacionales de datos.�

��

h)Administrar el Registro Nacional P�blico de Bases de Datos y emitir las �rdenes y los actos necesarios para su administraci�n y funcionamiento.�

��

i)Sugerir o recomendar los ajustes, correctivos o adecuaciones a la normatividad que resulten acordes con la evoluci�n tecnol�gica, inform�tica o comunicacional.�

��

j)Requerir la colaboraci�n de entidades internacionales o extranjeras cuando se afecten los derechos de los Titulares fuera del territorio colombiano con ocasi�n, entre otras, de la recolecci�n internacional de datos personales.�

��

k)Las dem�s que le sean asignadas por ley."�

��

2.19.2. Intervenciones ciudadanas y concepto del Ministerio P�blico�

��

2.19.2.1. ASOBANCARIA solicita la inexequibilidad del articulo 20 por considerar que los recursos producto de las sanciones que se impongan en aplicaci�n de la ley deben ir a la Superintendencia de Industria y Comercio, vulnera la Constituci�n, ya que habr�a una violaci�n al debido proceso por el hecho de que quien sancione sea en �ltimas el beneficiario de la sanci�n, ostentando una condici�n privilegiada que puede resultar vulneratoria de los derechos de los beneficiarios de la norma. Solicit� a la Corte analizar si este tipo de regulaciones exceden la libertad de configuraci�n del legislador, ya que por la naturaleza del recaudo - multas- deben estar destinadas al Tesoro P�blico.�

��

2.19.2.2. La Secretar�a Jur�dica explica que las atribuciones otorgadas a la Superintendencia se encuentran enmarcadas dentro de la Constituci�n Pol�tica en el articulo 150; por esta raz�n, dentro del presupuesto de la superintendencia ya se encuentran incluidos los dineros recaudados por concepto de multas impuestas que servir�n para el funcionamiento de dicho ente, pero aclara que todas las actuaciones de la superintendencia deben estar ajustadas a principios generales del derecho y de ley, facultando a las personas que han sido multadas para interponer recursos o acudir ante la jurisdicci�n contenciosa para resolver las controversias que susciten las decisiones adoptadas.�

��

2.19.2.3. El Ministerio P�blico guard� silencio.�

��

2.19.3. An�lisis de constitucionalidad del art�culo 20�

��

El art�culo 20 se refiere a los recursos con los cuales ha de funcionar esa Delegada. ASOBANCARIA plantea que si los dineros producto de las multas son un factor v�lido de financiaci�n para que la nueva delegatura que se crea en la Superintendencia de Industria y Comercio pueda ejercer las funciones que le son atribuidas por la ley. En este sentido, debe responderse si la destinaci�n de esta renta se encuentra conforme con el art�culo 359 de la Constituci�n, el cual consagra que "No habr� rentas de destinaci�n espec�fica".�

��

Ahora bien, dicho principio constitucional guarda estrecha relaci�n con el principio de unidad de caja, estipulado en el Decreto 111 de 1996 (Estatuto Org�nico del Presupuesto), el cual sostiene que "Con el recaudo de todas las rentas y recursos de capital se entender� el pago oportuno de todas las apropiaciones autorizadas en el Presupuesto General de la Naci�n", es decir, que la totalidad de los ingresos p�blicos deben ingresar sin previa destinaci�n a un fondo com�n desde donde se asignan a la financiaci�n del gasto p�blico.�

��

Por otro lado, el art�culo 27 del Decreto 111 de 1996 consagra la clasificaci�n de los ingresos corrientes de la Naci�n, se�alando que se dividen entre "tributarios" y "no tributarios". Los primeros a su vez, se clasifican en "impuestos directos e indirectos" y los segundos en "tasas" y "multas". Entonces, tenemos que las multas se consideran ingresos no tributarios pero que pertenecen al ingreso corriente de la naci�n, que son destinados al presupuesto nacional. Lo anterior, es consecuente con la norma constitucional que define el significado de ingresos corrientes como "los constituidos por ingresos tributarios y no tributarios con excepci�n de los recursos de capital".�

��

Por lo anterior, concluye esta Sala que destinar al funcionamiento de la Superintendencia de Industria y Comercio, las multas generadas con ocasi�n del ejercicio de las funciones que le otorga el proyecto en revisi�n, contradice la prohibici�n de destinaci�n de rentas espec�ficas y el de unidad de caja establecido por el Estatuto Org�nico del Presupuesto Nacional, sobre el cual la Corte ha dicho que es desarrollo de la Constituci�n econ�mica. Por lo tanto, la Sala declarar� inexequible el literal a) del art�culo 20 del proyecto de ley.�

��

En este orden, la financiaci�n de esta nueva dependencia depender� de los recursos del presupuesto nacional se�alados en el literal b) del art�culo 20 en revisi�n, que en consecuencia ser� declarado exequible pues se establece en cumplimiento del principio del gasto p�blico consagrado en el art�culo 345.�

��

2.20. EXAMEN DE CONSTITUCIONALIDAD DEL ART�CULO 21: FUNCIONES DEL ORGANO DE VIGILANCIA�

��

2.20.1. Texto de la disposici�n�

��

"Art�culo 21. Funciones.La Superintendencia de Industria y Comercio ejercer� las siguientes funciones:�

��

a)Velar por el cumplimiento de la legislaci�n en materia de protecci�n de datos personales.�

��

b)Adelantar las investigaciones del caso, de oficio o a petici�n de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de h�beas data. Para el efecto, siempre que se desconozca el derecho, podr� disponer que se conceda el acceso y suministro de los datos, la rectificaci�n, actualizaci�n o supresi�n de los mismos.�

��

c)Disponer el bloqueo temporal de los datos cuando, de la solicitud y de las pruebas aportadas por el Titular, se identifique un riesgo cierto de vulneraci�n de sus derechos fundamentales, y dicho bloqueo sea necesario para protegerlos mientras se adopta una decisi�n definitiva.�

��

d)Promover y divulgar los derechos de las personas en relaci�n con el Tratamiento de datos personales e implementara campa�as pedag�gicas para capacitar e informar a los ciudadanos acerca del ejercicio y garant�a del derecho fundamental a la protecci�n de datos.�

��

e)Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuaci�n de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley.�

��

f)Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento la informaci�n que sea necesaria para el ejercicio efectivo de sus funciones.�

��

g)Proferir las declaraciones de conformidad sobre las transferencias internacionales de datos.�

��

h)Administrar el Registro Nacional P�blico de Bases de Datos y emitir las �rdenes y los actos necesarios para su administraci�n y funcionamiento.�

��

i)Sugerir o recomendar los ajustes, correctivos o adecuaciones a la normatividad que resulten acordes con la evoluci�n tecnol�gica, inform�tica o comunicacional.�

��

j)Requerir la colaboraci�n de entidades internacionales o extranjeras cuando se afecten los derechos de los Titulares fuera del territorio colombiano con ocasi�n, entre otras, de la recolecci�n internacional de datos personales.�

��

k)Las dem�s que le sean asignadas por ley."�

��

2.20.2. Intervenciones ciudadanas y concepto del Ministerio P�blico�

��

Ning�n ciudadano ni el Procurador se pronunciaron sobre la constitucionalidad de esta disposici�n�

��

2.20.3. Exequibilidad el art�culo 21.�

��

Esta disposici�n enlista las funciones que ejercer� la nueva Delegatura de protecci�n de datos personales. Al estudiar las funciones a ella asignadas, encuentra esta Sala que todas corresponden y despliegan los est�ndares internacionales establecidos sobre la autoridad de vigilancia. En efecto, desarrollan las funciones de vigilancia del cumplimiento de la normativa, de investigaci�n y sanci�n por su incumplimiento, de vigilancia de la transferencia internacional de datos y de promoci�n de la protecci�n de datos.�

��

Adem�s, debe afirmarse que, tal como lo estableci� la Corte en la Sentencia C-1011 de 2008, la naturaleza de las facultades atribuidas a la Superintendencia -a trav�s de la Delegatura-, "caen dentro del �mbito de las funciones de polic�a administrativa que corresponden a esos �rganos t�cnicos adscritos al ejecutivo (Art. 115 C.P.), en tanto expresi�n de la potestad de direcci�n e intervenci�n del Estado en la econom�a (Art.334), y de intervenci�n reforzada del Gobierno en las actividades financiera, burs�tiles y aseguradoras (Art. 335 C.P.)."�

��

Finalmente, tal como lo aclaraba la sentencia en cita, la asignaci�n de facultades de vigilancia, promoci�n y sancionatorias a la Superintendencia de Industria y Comercio, "no puede interpretarse como el desplazamiento o la reasignaci�n de competencias que constitucional o legalmente le han sido atribuidas a otros �rganos institucionales de control. En tal sentido, sin perjuicio de las funciones de vigilancia asignadas a las Superintendencias a que alude el proyecto, �rganos como la Defensor�a del Pueblo, por ejemplo, conservan a plenitud sus competencias constitucionales (Art. 282 C.P.) y legales (Ley 24 de 1992) que le imponen velar por la promoci�n, ejercicio y divulgaci�n de los derechos humanos, y por ende, del derecho fundamental al h�beas data".�

��

En hilo de lo expuesto, se declarar� exequible el art�culo 21 del proyecto de ley estatutaria en estudio.�

��

2.21. EXAMEN DEL ART�CULO 22: PROCEDIMIENTO Y SANCIONES�

��

2.21.1. Texto de la disposici�n.�

��

CAPITULO 2�

��

Procedimiento y Sanciones�

��

Articulo 22. Tr�mite.La superintendencia de Industria y Comercio, una vez establecido el incumplimiento de las disposiciones de la presente ley por parte del Responsable del tratamiento o el Encargado del Tratamiento, adoptara las medidas o impondr� las sanciones correspondientes.�

��

En lo no reglado por la presente ley y los procedimientos correspondientes se seguir�n las normas pertinentes del C�digo Contencioso Administrativo.�

��

2.21.2. Intervenciones ciudadanas y concepto del Ministerio P�blico�

��

2.21.2.1. La Defensor�a del Pueblo se�ala que el proyecto no contempla un procedimiento espec�fico para el tr�mite de las sanciones, de manera que siempre ser� necesario acudir a los procedimientos internos y /o a lo previsto en el C�digo Contencioso Administrativo. Sin embargo, la Defensor�a consider� que el legislador no puede soslayar su responsabilidad de dise�o y consagraci�n de los mecanismos procesales requeridos para hacer efectivo el derecho reglamentado. Por tanto, con fundamento en el art�culo 152 de la Constituci�n, se�ala que el procedimiento que al que remite el art�culo 22 ha debido regularlo expresamente el legislador estatutario sin hacer las remisiones que aparecen en el inciso segundo. En consecuencia, considera que la remisi�n es contraria a la Constituci�n. Se�ala que ante la ausencia de esas normas, la Corte Constitucional en desarrollo de su atribuci�n de modular los fallos puede: (i) exhortar al Congreso para que expida una Ley Estatutaria contentiva de los mecanismos y recursos que deben adelantarse ante la autoridad de protecci�n de datos, esto es, ante la Superintendencia de Industria y Comercio; y (ii) mientras se adelanta ese tr�mite, podr�an aplicarse las normas de la Ley Estatutaria 1266 de 2008, pese a que presenta los mismos problemas respecto a los procedimientos especiales.�

��

2.21.2.2. La Universidad de los Andes. Considera que al no estar regulado el usuario, las normas de este cap�tulo devienen en inexequible por cuanto las sanciones y el procedimiento tambi�n han debido contemplar a este sujeto.�

��

2.21.2.3. El Ministerio P�blico no hizo pronunciamiento alguno en relaci�n con este art�culo.�

��

2.21.3. Constitucionalidad del r�gimen sancionatorio administrativo aplicado a la protecci�n del dato�

��

2.21.3.1. Sin lugar a dudas la regulaci�n que hace el legislador estatutario en el capitulo 2, se inscribe en lo que se ha denominado la potestad sancionadora del Estado, en este caso, en cabeza de una entidad de car�cter administrativo como la Superintendencia de Industria y Comercio, a trav�s de la nueva delegada que crea el legislador estatutario para cumplir la funci�n de autoridad de protecci�n del dato personal, en observancia del principio de control y sanci�n de la Resoluci�n 45/95 de la Asamblea General de la ONU.�

��

Este poder sancionador estatal ha sido definido como "un instrumento de autoprotecci�n, en cuanto contribuye a preservar el orden jur�dico institucional mediante la asignaci�n de competencias a la administraci�n que la habilitan para imponer a sus propios funcionarios y a los particulares el acatamiento, inclusive por medios punitivos, de una disciplina cuya observancia contribuye a la realizaci�n de sus cometidos".�

��

Esa potestad es una manifestaci�n del jus punendi, raz�n por la que est� sometida a los siguientes principios: (i) el principio de legalidad, que se traduce en la existencia de una ley que la regule; es decir, que corresponde s�lo al legislador ordinario o extraordinario su definici�n. (ii) El principio de tipicidad que, si bien no es igual de riguroso al penal, s� obliga al legislador a hacer una descripci�n de la conducta o del comportamiento que da lugar a la aplicaci�n de la sanci�n y a determinar expresamente la sanci�n[285]. (iii) El debido proceso que exige entre otros, la definici�n de un procedimiento, as� sea sumario, que garantice el debido proceso y, en especial, el derecho de defensa, lo que incluye la designaci�n expresa de la autoridad competente para imponer la sanci�n. (iv) El principio de proporcionalidad que se traduce en que la sanci�n debe ser proporcional a la falta o infracci�n administrativa que se busca sancionar[286]. (v) La independencia de la sanci�n penal; esto significa que la sanci�n se puede imponer independientemente de si el hecho que da lugar a ella tambi�n puede constituir infracci�n al r�gimen penal.�

��

Estos principios son los que debe cumplir cada una de las normas del cap�tulo en revisi�n.�

��

2.21.3.2. El art�culo 22, inciso primero, cumple con el principio del debido proceso, en la medida en que se�ala que le corresponder� a la Superintendencia de Industria y Comercio adoptar las medidas y sancionar a los responsables y encargados del tratamiento de datos. Por tanto, se cumple con la obligaci�n de designar la autoridad competente para imponer las sanciones por el desconocimiento de las normas de protecci�n del dato.�

��

En relaci�n con el principio de tipicidad, encuentra la Sala que pese a la generalidad de la ley, es determinable la infracci�n administrativa en la medida en que se se�ala que la constituye el incumplimiento de las disposiciones de la ley, esto es, en t�rminos espec�ficos, la regulaci�n que hacen los art�culos 17 y 18 del proyecto de ley, en los que se se�alan los deberes de los responsables y encargados del tratamiento del dato.�

��

De esta misma generalidad adolec�a el proyecto que dio origen a la Ley 1266 de 2008, y la Corte, en la sentencia C-1011 de 2008, interpret� que la infracci�n administrativa la constitu�a el desconocimiento de los deberes de los usuarios, fuentes y operadores. Esa interpretaci�n ser� la misma que emplear� en esta oportunidad la Sala para declarar la exequibilidad del inciso primero del art�culo 22, cuando se refiere al "incumplimiento de las disposiciones de la presente ley por parte del Responsable del Tratamiento o el Encargado del Tratamiento".�

��

En ese momento, la Sala advirti� que:�

��

"Por �ltimo debe insistirse que en el �mbito propio del derecho administrativo sancionador, la tipicidad de la falta se acredita cuando la conducta sancionable est� descrita de manera espec�fica y precisa, bien porque la misma est� determinada en el mismo cuerpo normativo o sea determinable, a partir de la aplicaci�n de otras normas jur�dicas. En el caso propuesto, el listado de obligaciones y deberes predicables de los operadores, las fuentes y los usuarios, que ofrece la legislaci�n estatutaria otorgan un marco suficientemente definido para la identificaci�n precisa de las faltas".�

��

En relaci�n con el inciso segundo, la Sala encuentra que hace un reenv�o al C�digo Contencioso Administrativo en lo que hace al procedimiento que debe aplicarse para la imposici�n de las sanciones. Es decir, pese a que el legislador estatutario expresamente no consagr� "el procedimiento" para la aplicaci�n de las sanciones contempladas en el art�culo 23, ese reenvi� permite se�alar que el inciso se ajusta al art�culo 29 de la Constituci�n, toda vez que s� existe un procedimiento espec�fico que debe aplicar la autoridad de protecci�n del dato.�

��

El procedimiento para la imposici�n de las sanciones de car�cter administrativa, en los t�rminos de la jurisprudencia de esta Corporaci�n impone la "certeza sobre las reglas de juego aplicables para la investigaci�n, efectuar la respectiva imputaci�n de responsabilidad, e imponer la correspondiente sanci�n al infractor, si a ello hubiere lugar. Este procedimiento debe garantizar, a trav�s de mecanismos id�neos, un adecuado ejercicio del derecho de defensa"[287].�

��

Corresponde ahora a la Corte determinar si el procedimiento que regula el C�digo Contencioso Administrativo, satisface el derecho al debido proceso y defensa. En ese sentido, encontramos que en el art�culo 28 y siguientes de esa codificaci�n, se regula un procedimiento que en criterio de la Sala garantiza los derechos al debido proceso y defensa de las personas sujetas al control de la autoridad de protecci�n del dato. Veamos:�

��

El art�culo 28 se�ala el deber de comunicar las actuaciones cuando de una actuaci�n se desprenda que hay particulares que pueden resultar afectados, en este orden, ha de entenderse esa comunicaci�n debe garantizar que efectivamente el responsable o encargado del tratamiento sea efectivamente enterado de la iniciaci�n de la actuaci�n administrativa, raz�n por la que se impone su notificaci�n personal.�

��

El art�culo 30 establece la garant�a de imparcialidad y en consecuencia, establece las causales de recusaci�n para el funcionario que deba dirigir una investigaci�n, con este precepto se garantiza la transparencia y el principio de imparcialidad para la funci�n p�blica. El art�culo 34 se�ala que se podr�n pedir y decretar pruebas sin requisitos ni t�rminos especiales, con este precepto se garantiza el derecho a la defensa y contradicci�n y el 35 regula la adopci�n de decisiones, previendo que antes de adoptar las medidas correspondientes, se tendr� que escuchar a los interesados y motivar, as� sea sumariamente la resoluci�n. La notificaci�n, en los t�rminos del art�culo 44, debe ser personal.�

��

Finalmente, el art�culo 47 prev� que se informar� sobre los recursos que proceden contra la decisi�n, reposici�n y apelaci�n.�

��

El anterior recorrido normativo, le permite a la Sala concluir que el procedimiento que consagra el C�digo Contencioso Administrativo garantiza los derechos al debido proceso y defensa, raz�n por la que se declarar� exequible el art�culo 22 del proyecto de ley en revisi�n�

��

No obstante lo anterior, la Corte concuerda con la intervenci�n de la Defensor�a del Pueblo, en el sentido que el legislador debe hacer un esfuerzo por regular de forma sistem�tica y clara los procedimientos sancionatorios, sin necesidad de remisiones que en ocasiones dificultan su aplicaci�n.�

��

2.22. EX�MEN DEL ART�CULO 23: SANCIONES�

��

2.22.1. Texto de la disposici�n�

��

Articulo 23. Sanciones.La Superintendencia de Industria y Comercio podr� imponer a los Responsables del Tratamiento y Encargados del tratamiento las siguientes sanciones:�

��

a) Multas de car�cter personal e institucional a favor de la Superintendencia de Industria y Comercio hasta por el equivalente de dos mil (2000) salarios m�nimos mensuales legales vigentes en el momento de la imposici�n de la sanci�n. Las multas podr�n ser sucesivas mientras subsista el incumplimiento que las origin�.�

��

b) Suspensi�n de las actividades relacionadas con el tratamiento hasta por un t�rmino de seis (6) meses. En el acto de suspensi�n se indicar�n los correctivos que se deber�n adoptar.�

��

c) Cierre temporal de las operaciones relacionadas con el tratamiento una vez transcurrido el t�rmino de suspensi�n sin que se hubieran adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio.�

��

d) Cierre inmediato y definitivo de la operaci�n que involucre el tratamiento de datos sensibles.�

��

Par�grafo.Las sanciones indicadas en el presente art�culo s�lo aplican para las personas de naturaleza privada. En el evento en el cual la Superintendencia de Industria y Comercio advierta en presunto incumplimiento de una autoridad p�blica a las disposiciones de la presente ley, remitir� la actuaci�n a la Procuradur�a General De la Naci�n para que adelante la investigaci�n respectiva.�

��

2.22.2. Intervenciones ciudadanas y concepto del Ministerio P�blico�

��

En relaci�n en con esta norma no se present� ninguna intervenci�n ni el Ministerio P�blico conceptu�.�

��

2.22.3. Violaci�n de los principios de tipicidad y correlaci�n o proporcionalidad entre la infracci�n y la sanci�n.�

��

El art�culo 23 del proyecto establece las sanciones que puede aplicar la Superintendencia de Industria y Comercio a los responsables del tratamiento y encargados del tratamiento, dentro de las cuales contempla las multas, la suspensi�n de las actividades relacionadas con el tratamiento, el cierre temporal de las operaciones relacionadas con el tratamiento y finalmente el cierre inmediato y definitivo de la operaci�n:�

��

Esta norma constituye una disposici�n de car�cter sancionatorio y por ello debe cumplir con todos los principios propios del debido proceso sancionador contemplados en la Constituci�n Pol�tica y reconocidos por la jurisprudencia de esta Corporaci�n:�

��

En primer lugar, el principio de legalidad, de acuerdo con el cual: "las conductas sancionables no s�lo deben estar descritas en norma previa sino que, adem�s, deben tener un fundamento legal, por lo cual su definici�n no puede ser delegada en la autoridad administrativa"[288].�

��

Este axioma tiene una interpretaci�n menos rigurosa en el Derecho administrativo sancionador que en el Derecho penal, pues es posible una flexibilizaci�n razonable de la descripci�n t�pica:�

��

"Ha reiterado la Corte, que en el derecho administrativo sancionador "aunque la tipicidad hace parte del derecho al debido proceso en toda actuaci�n administrativa, no es demandable en este campo el mismo grado de rigurosidad que se exige en materia penal", por cuanto la naturaleza de las conductas reprimidas, los bienes jur�dicos involucrados y la teleolog�a de las facultades sancionadoras en estos casos, hacen posible tambi�n una flexibilizaci�n razonable de la descripci�n t�pica, en todo caso, siempre erradicando e impidiendo la arbitrariedad y el autoritarismo, que se haga prevalecer los principios de legalidad y de justicia social, as� como los dem�s principios y fines del Estado, y que se asegure los derechos constitucionales, los intereses leg�timos y los derechos de origen legal o convencional de todas las personas"[289].�

��

Esta norma cumple con el principio de tipicidad, para lo cual debe interpretarse conjuntamente con el art�culo 22 de la futura ley estatutaria, que establece la posibilidad de interponer sanciones cuando se hayan incumplido las disposiciones de esta ley. En este sentido, el supuesto de hecho que completa la norma jur�dica sancionatoria est� constituido por la infracci�n de las disposiciones de la futura ley estatutaria por la cual se dictan disposiciones generales para la protecci�n de datos personales.�

��

Por otro lado, esta Corporaci�n se pronunci� en la sentencia C-1011 de 2008 sobre la constitucionalidad de una norma similar al art�culo 23, la cual se�alaba que la Superintendencia de Industria y Comercio y la Superintendencia Financiera podr�n imponer a los operadores, fuentes o usuarios de informaci�n financiera, crediticia, comercial, de servicios y la proveniente de terceros pa�ses previas explicaciones de acuerdo con el procedimiento aplicable las sanciones de Multas, Suspensi�n de las actividades del Banco de Datos, Cierre o clausura de operaciones del Banco de Datos y Cierre inmediato y definitivo de la operaci�n de Bancos de Datos[290].�

��

En esa oportunidad, esta Corporaci�n declar� la constitucionalidad de la norma considerando que la norma cumpl�a con los elementos b�sicos de tipicidad:�

��

"El r�gimen sancionatorio previsto en la Ley de h�beas data respeta los principios de reserva legal, legalidad y tipicidad, en el grado de rigurosidad exigible en el derecho administrativo sancionador. Los preceptos examinados, con las remisiones y concordancias se�aladas, (i) definen los elementos b�sicos de las infracciones que generan sanci�n y los criterios para su determinaci�n; (ii) establecen el contenido material de la sanci�n; (iii) permiten establecer una correlaci�n entre el contenido de la norma de conducta y la norma de sanci�n; (iv) establecen - v�a remisi�n - un procedimiento establecido en normas con fuerza material de ley; y (v) determina los �rganos encargados del ejercicio de la potestad sancionatoria"[291].�

��

De la misma manera como se manifest� en aquella oportunidad, se considera que el art�culo 23 del proyecto de ley estatutaria tambi�n cumple con estos requisitos, pues por v�a de reenv�o es claro que las sanciones establecidas se impondr�n por la violaci�n de las normas sobre el manejo de datos.�

��

En segundo lugar, la norma debe cumplir con los principios de proporcionalidad y razonabilidad, frente al cual el proyecto establece una serie de criterios en su art�culo 24 para determinar la sanci�n aplicable, tales como: "a) La dimensi�n del da�o o peligro a los intereses jur�dicos tutelados por la presente ley. b) El beneficio econ�mico obtenido por el infractor o terceros, en virtud de la comisi�n de la infracci�n. c) La reincidencia en la comisi�n de la infracci�n. d) La resistencia, negativa u obstrucci�n a la acci�n investigadora o de vigilancia de la Superintendencia de Industria y Comercio. e) La renuencia o desacato a cumplir las �rdenes impartidas por la Superintendencia de Industria y Comercio. f) El reconocimiento o aceptaci�n expresos que haga el investigado sobre la comisi�n de la infracci�n antes de la imposici�n de la sanci�n a que hubiere lugar"[292].�

��

En este sentido, se estima que existen los suficientes criterios para determinar la sanci�n espec�ficamente imponible, los cuales han sido se�alados por el propio proyecto de ley estatutaria.�

��

Por �ltimo cabe destacar que la norma respeta claramente el debido proceso al remitirse al C�digo Contencioso Administrativo en relaci�n con los procedimientos aplicables. En consecuencia, se declarar� la exequibilidad del art�culo 23, salvo la expresi�n "a favor de la Superintendencia de Industria y Comercio" contenida en el literal a) del art�culo 23 que se declarar� INEXEQUIBLE como consecuencias de la declaratoria de inexequibilidad del literal a) del art�culo 20�

��

2.23. EX�MEN DEL ART�CULO 24: CRITERIOS PARA GRADUAR LAS SANCIONES�

��

2.23.2. Texto de la disposici�n�

��

Articulo 24. Criterios para graduar las sanciones.Las sanciones por infracciones a las que se refieren el art�culo anterior, se graduar�n atendiendo los siguientes criterios, en cuanto resulten aplicables:�

��

a) La dimensi�n del da�o o peligro a los intereses jur�dicos tutelados por la presente ley.�

��

b) El beneficio econ�mico obtenido por el infractor o terceros, en virtud de la comisi�n de la infracci�n.�

��

c) la reincidencia en la comisi�n de la infracci�n.�

��

d) La resistencia, negativa u obstrucci�n a la acci�n investigadora o de vigilancia de la Superintendencia de Industria y Comercio.�

��

e) La renuencia o desacato a cumplir las �rdenes impartidas por la Superintendencia de Industria y Comercio.�

��

f) El reconocimiento o aceptaci�n expresos que haga el investigado sobre la comisi�n de la infracci�n antes de la imposici�n de la sanci�n a que hubiere lugar.�

��

2.23.3. Intervenciones ciudadanas y concepto del Ministerio P�blico�

��

No hubo ninguna intervenci�n y el Ministerio P�blico guard� silencio.�

��

2.23.4. La constitucionalidad del art�culo 24�

��

Este precepto se ajusta a la Constituci�n, en la medida en que corresponde al legislador establecer par�metros para que las autoridades, al momento de aplicar determinada sanci�n, puedan hacer graduaciones dependiendo de factores o circunstancias del investigado o de su actuaci�n. En ese sentido, el precepto analizado consagra en los primeros 5 literales, circunstancias de agravaci�n de la sanci�n, mientras el �ltimo, el literal f) consagra una causal de disminuci�n.�

��

2.24. EXAMEN DEL ART�CULO 25: REGISTRO NACIONAL DE BASES DE DATOS�

��

2.24.2. Texto de la disposici�n�

��

"CAPITULO 3�

��

Del Registro Nacional de Bases de Datos�

��

Articulo 25. Definici�n.El registro Nacional de Bases de Datos es el directorio p�blico de las bases de datos sujetas a Tratamiento que operan en el pa�s.�

��

El registro ser� administrado por la Superintendencia de Industria y Comercio y ser� libre de consulta par los ciudadanos.�

��

Para realizar el registro de bases de datos, los interesados deber�n aportar a la Superintendencia de Industria y Comercio las pol�ticas de tratamiento de la informaci�n, las cuales obligaran a los responsables y encargados del mismo, y cuyo incumplimiento acarrear� las sanciones correspondientes. Las pol�ticas de Tratamiento en ning�n caso podr�n ser inferiores a los deberes contenidos en la presente ley.�

��

Par�grafo.El Gobierno nacional reglamentar�, dentro del a�o siguiente a la promulgaci�n de la presente Ley, la informaci�n m�nimo que debe contener el registro, y los t�rminos y condiciones bajo los cuales se deben inscribir en este los Responsables del tratamiento."�

��

2.24.3. Intervenciones ciudadanas y concepto del Ministerio Publico�

��

2.24.3.1. La Secretaria Jur�dica la Presidencia solicita declarar la exequibilidad de esta norma argumentando que la creaci�n del Registro Nacional de Bases de Datos, encuentra sustento en los art�culos 150 y 152 de la Carta Pol�tica; afirma que con su creaci�n se buscan herramientas que ayuden a la protecci�n del derecho de habeas data, y se convierte en un elemento que complementa las funciones de vigilancia y control por parte de la superintendencia, para as� asegurar el cumplimiento del principio de transparencia en el manejo y tratamiento de datos personales.�

��

2.24.3.2. El Ministerio P�blico guard� silencio.�

��

2.24.4. Constitucionalidad condicionada del art�culo 25�

��

El art�culo 25 define el Registro Nacional de Datos como el directorio p�blico de las bases de datos sujetas a tratamiento que operan en el pa�s. Registro administrado por la Superintendencia de Industria y Comercio que tiene por objeto: (i) que todos los ciudadanos conozcan cu�les son las bases de datos que funcionan en el pa�s; (ii) que la Superintendencia tenga un control preciso sobre �stas, en la medida que podr� establecer qui�n y c�mo se trata la informaci�n en el territorio colombiano; (iii) el conocimiento por parte del ente de control y vigilancia para la protecci�n del dato, sobre las pol�ticas de tratamiento de la informaci�n que tienen los responsables y encargados del tratamiento de datos personales, las cuales deben, como m�nimo, contener los deberes que estipula el proyecto en revisi�n, pol�ticas que como se explic� en precedencia, son obligatorias y le permiten al ente de control imponer las sanciones correspondiente por su inobservancia.�

��

El par�grafo de esta norma estipula que el Gobierno Nacional reglamentar� dentro del a�o siguiente a la promulgaci�n de la ley estatutaria en revisi�n, la informaci�n m�nima que debe contener el Registro y los t�rminos y condiciones bajo los cuales se deben inscribir en �ste los Responsables del Tratamiento.�

��

En principio este precepto no ofrece reparos frente a su constitucionalidad. Sin embargo, se impone hacer algunas presiones que no se evidencian de su literalidad. Veamos.�

��

En el marco internacional se observa que esta clase de registros tienen por objeto permitir que todas las personas, como una forma de materializar su derecho al habeas data, puedan conocer con exactitud qu� bases de datos hacen tratamiento sobre sus datos personales y de esa forma ejercitar todo el plexo de derechos que se derivan del habeas data: actualizaci�n, rectificaci�n, oposici�n, supresi�n, etc. En consecuencia, ha de entenderse que el registro al que se refiere el precepto en revisi�n no busca llevar simplemente un registro p�blico de bases de datos, como parecer�a deducirse de su texto, sino el permitir a cualquier ciudadano establecer con exactitud qui�nes son los responsables y encargados del tratamiento de sus datos, como otra forma de materializar el principio de transparencia que gu�a la administraci�n de las bases de datos. En otros t�rminos, el objetivo de la centralizaci�n de esta clase de informaci�n por parte de un �rgano del Estado, es facilitar el ejercicio de uno de los �mbitos esenciales del habeas data: conocer qui�n est� haciendo tratamiento de datos personales, a fin de que pueda existir un control efectivo de �stos por su titular, hecho que explica por qu� dicho registro es abierto a la consulta del p�blico en general. En ese orden ideas, la inscripci�n en �l se debe imponer como una obligaci�n tanto para las bases p�blicas como privadas, pues este es un instrumento que permitir� que el Estado efectivamente garantice que el titular del dato pueda tener un control efectivo sobre sus datos personales. Es decir, es �sta otra forma que en un instrumento puede ayudar a materializar el ejercicio de un derecho fundamental como lo es el habeas data.�

��

En ese sentido, cuando el par�grafo acusado se�ala que el Gobierno Nacional reglamentar� la informaci�n m�nima que debe contener este registro y los t�rminos y condiciones en que se deben inscribir los responsables del tratamiento, lo debe hacer teniendo en cuenta que �ste debe permitir a cualquier persona determinar qui�n est� haciendo tratamiento de sus datos personales para de esa forma garantizar que la persona pueda tener un control efectivo sobre sus datos personales al poder conocer clara y certeramente en qu� bases se manejan sus datos personales. Por ende, el Gobierno Nacional tendr� en su labor de reglamentaci�n que acudir a los est�ndares internacionales y a la experiencia de otros Estados en la materia[293]para lograr que la finalidad antes descrita de este registro se cumpla.�

��

2.25. EXEQUIBILIDAD CONDICIONADA DEL ART�CULO 26 E INEXEQUIBILIDAD PARCIAL DEL LITERAL F)�

��

2.25.2. Texto de la disposici�n�

��

"Art�culo 26. Prohibici�n.Se proh�be la transferencia de datos personales de cualquier tipo a pa�ses que no proporcionen niveles adecuados de protecci�n de datos. Se entiende que un pa�s ofrece un nivel adecuado de protecci�n de datos cuando cumpla con los est�ndares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ning�n caso podr�n ser inferiores a los que la presente ley exige a sus destinatarios.�

��

Esta prohibici�n no regir� cuando se trate de:�

��

a)Informaci�n respecto de la cual el Titular haya otorgado su autorizaci�n expresa e inequ�voca para la transferencia.�

��

b)Intercambio de datos de car�cter m�dico, cuando as� lo exija el Tratamiento del Titular por razones de salud o higiene p�blica.�

��

c)Transferencias bancarias o burs�tiles, conforme a la legislaci�n que les resulte aplicable.�

��

d)Transferencias acordadas en el marco de tratados internacionales en los cuales la Rep�blica de Colombia sea parte, con fundamento en el principio de reciprocidad.�

��

e)Transferencias necesarias para la ejecuci�n de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecuci�n de medidas precontractuales siempre y cuando se cuente con la autorizaci�n del Titular.�

��

f)Transferencias necesarias o legalmente exigidas para la salvaguardia del inter�s p�blico, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.�

��

Par�grafo 1�.En los casos no contemplados como excepci�n en el presente art�culo, corresponder� a la Superintendencia de Industria y Comercio, proferir la declaraci�n de conformidad relativa a la transferencia internacional de datos personales. Para el efecto, el Superintendente queda facultado para requerir informaci�n y adelantar las diligencias tendientes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de la operaci�n.�

��

Par�grafo 2�.Las disposiciones contenidas en el presente art�culo ser�n aplicables para todos los datos personales, incluyendo aquellos contemplados en la Ley 1266 de 2008."�

��

2.25.3. Intervenciones ciudadanas y concepto del Ministerio P�blico�

��

2.25.3.1. La Secretar�a Jur�dica de la Presidencia advierte que para poder realizar un an�lisis de constitucionalidad del art�culo 26 de la Ley Estatutaria, se deben tener presentes tanto los derechos del titular como la obligaci�n de quienes tienen a su cargo el manejo de los datos. Afirma que dentro de la globalizaci�n es importante darle reconocimiento a los est�ndares internacionales que se convierten de obligatorio cumplimiento para garantizar la protecci�n de los datos personales del titular y asegurar la eficacia de dichas normas.�

��

En este sentido, el an�lisis de protecci�n debe hacerse teniendo en cuenta el contenido de las normas aplicables y los medios para asegurar su aplicaci�n eficaz. Todo esto crea la necesidad de la existencia de una prohibici�n de la transferencia de datos personales a terceros pa�ses, pues es dif�cil llegar a establecer como titular si al pa�s al que se est� haciendo la transferencia cumple con los m�nimos de seguridad y protecci�n de los datos; de esto se desprende la necesidad de estipular dichas excepciones sobre el tema como son:�

��

La que hace referencia a la autorizaci�n expresa, informada e inequ�voca que debe hacer el titular para que se realice la transferencia a un tercer pa�s, pero si por alguna raz�n el consentimiento no est� completo, la excepci�n no ser� aplicable. Todo este an�lisis para concluir que esta excepci�n no representa una limitaci�n al derecho del art�culo 15 de la Constituci�n.�

��

La excepci�n que hace referencia a la transferencia por razones m�dicas, de salud o higiene p�blica, se encuentra justificada y acorde con la Constituci�n pues se est� buscando el amparo de derechos fundamentales como el de la vida y la salud del titular, sin importar que no exista su autorizaci�n. Se requiere para hacer efectiva esta excepci�n la solicitud m�dica o, en caso extraordinario, que provenga dicha solicitud de autoridad administrativa o judicial; la Corte debe atender esta excepci�n pues lo que se busca en �ltimas, como lo dijo en la sentencia C-1011 de 2008, es el cumplimiento de un objetivo de car�cter constitucional y proporcionado.�

��

La tercera excepci�n se refiere a las transferencias bancarias y burs�tiles, que se hace �til para el comercio internacional, pero esta excepci�n no es absoluta, pues para que se considere constitucional se debe cumplir con el requisito de la existencia de la autorizaci�n del titular de la informaci�n.�

��

La cuarta excepci�n hace referencia a la transferencia en raz�n de tratados internacionales suscritos por Colombia, esta excepci�n no trae un mayor problema de constitucionalidad pues para la aprobaci�n de dichos tratados es necesario un tr�mite que pasa por manos del Congreso de la Republica y por la Corte Constitucional como parte del control de constitucionalidad.�

��

La quinta excepci�n contempla las transferencias entre el titular y el responsable del tratamiento, aduce que pareciera que esta es muy amplia pero se limita y se comprueba su lealtad a la Constituci�n, adem�s para su aplicaci�n deben concurrir dos elementos que son: la autorizaci�n por parte del titular de los datos y la prueba de necesidad, es decir que se compruebe que realmente el dato objeto de transferencia es indispensable para la ejecuci�n de la actividad contractual.�

��

La ultima excepci�n, plantea dos situaciones. La primera, que plantea el literal f), es la que tiene como fin primordial y encuentra su justificaci�n en la salvaguarda de intereses p�blicos, pero esto teniendo en cuenta que la autoridad administrativa tenga la facultad legal de no requerir la autorizaci�n del titular y, en el segundo evento, se quiere lograr el ejercicio legal y necesario de la defensa de derechos legales y por tanto, se tiene por entendido no la autorizaci�n sino que exista la orden judicial, todo esto para determinar que dicha excepci�n se justifica a nivel legal y constitucional.�

��

El par�grafo primero del art�culo en an�lisis determina que es la Superintendencia la encargada de dar los par�metros por los cuales deben realizar las transferencias al igual que el otorgamiento de nivel de adecuaci�n a los terceros pa�ses; la constitucionalidad de dicho par�grafo se da por el an�lisis que hizo la Corte en la sentencia C-1011 de 2008, en la que reitera el car�cter aut�nomo e independiente que ostentan las superintendencias y que esta es raz�n suficiente para otorgarles el poder para fijar criterios para los operadores de informaci�n y calificar si existe o no seguridad en el tratamiento que le dan terceros pa�ses a los datos transferidos por Colombia. En el �ltimo par�grafo se hace alusi�n a que la disposici�n dada por el par�grafo 1� tiene que hacerse extensiva a la ley 1266, pues la ley estatutaria encuentra una situaci�n inequitativa y violatoria de derecho fundamental ya que en la ley ya nombrada quien tiene la funci�n que es otorgada a la Superintendencia en esta nueva ley es desarrollada por el mismo operador nacional dando esto un nivel de inseguridad en el manejo de los datos.�

��

2.25.3.2. Por su parte, la Defensor�a del Pueblo, frente al literal b) solicita se declare la exequibilidad condicionada, bajo el entendido que la transmisi�n por las razones de que trata el literal b) no exime al operador de recabar la autorizaci�n del titular de la informaci�n.�

��

Respecto al literal f) realiza las siguientes precisiones:�

��

Expone que el car�cter "necesario" de una transferencia queda abierto, en el sentido de que no establece respecto de qui�n se reputa dicha necesidad, ni qui�n la define ni c�mo se establece. Adem�s, dicho car�cter contraviene los principios de legalidad y de finalidad del tratamiento, ya que no est� condicionado al consentimiento previo y expreso del titular. Adem�s, la definici�n de "necesidad" se har� en cada caso particular, con lo cual el arbitrio para su definici�n resulta excesivamente vago y general.�

��

De otro lado, sostiene que si a la expresi�n "necesarias" se adiciona la expresi�n "salvaguarda del inter�s p�blico", la eficacia de los derechos fundamentales queda reducida a su m�nima expresi�n. En efecto, el "inter�s p�blico" es una concepci�n, en principio, carente de contenidos jur�dicos concretos, y por lo mismo, no puede esgrimirse como f�rmula infalible para limitar o restringir los derechos fundamentales del ciudadano. El eventual retiro de dichas expresiones "necesarias" y "salvaguarda del inter�s p�blico" no afectar�a el sentido de la norma restante, ya que el literal f) limitar�a la excepci�n que ella consagra a las transferencias "legalmente exigidas". Por tanto, la Defensor�a solicita se declaren contrarias a la Constituci�n dichas expresiones.�

��

Por otro parte, considera que la expresi�n "o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial" es ambigua en tato no especifica si el proceso judicial involucra al titular de los datos directamente como encausado o como testigo; en qu� calidad y bajo qu� circunstancias se hace imperiosa la transmisi�n, o si, por otro lado, se refiere a los derechos de un tercero. Es decir, que las circunstancias que justificar�an la cesi�n internacional de datos caen nuevamente en la generalidad y vaguedad que contradicen el derecho fundamental de protecci�n de datos; en particular los principios de finalidad, autorizaci�n, circulaci�n restringida.�

��

Adicional a lo anterior, refiere que si se trata del reconocimiento, ejercicio o defensa de un derecho del titular de la informaci�n, ser� �ste el m�s interesado en posibilitar la transferencia internacional de sus datos. En caso de que se trate de los derechos de un tercero, debe contarse con la autorizaci�n del titular de la informaci�n. En cualquier caso, siempre se regresa a la excepci�n que contempla el literal a) del art�culo 26.�

��

2.25.4. Examen de constitucionalidad�

��

2.25.4.1. La transferencia internacional de datos personales ha surgido como consecuencia de la globalizaci�n y los fen�menos de integraci�n econ�mica y social, en los que tanto las empresas como las entidades gubernamentales requieren transferir datos personales destinados a diferentes prop�sitos[294].�

��

Debido a la necesidad de circular internacionalmente datos personales se han dispuesto reglas que deben observarse con miras a que los esfuerzos internos de protecci�n de cada pa�s no sean in�tiles al momento de su exportaci�n a otros pa�ses.�

��

Europa ha sido considerada pionera en establecer f�rmulas jur�dicas tendientes a la protecci�n de datos cuando se transfieren a terceros pa�ses. As�, uno de los presupuestos exigidos para que se pueda realizar la transferencia es que el pa�s receptor cuente con un adecuado nivel de protecci�n a la luz del est�ndar europeo.�

��

En este sentido, es acertado lo establecido por el art�culo 26 del Proyecto de Ley, en la medida que establece la premisa general de prohibir la transferencia de datos personales de cualquier tipo a pa�ses que no proporcionen niveles adecuados de protecci�n de datos. Lo anterior, con el objetivo de no impedir el tratamiento de los datos pero evitando lesionar derechos de las personas con ocasi�n del mismo, derechos constitucionales como el derecho a la intimidad.�

��

Sobre este punto, surge el cuestionamiento sobre qu� es un nivel adecuado de protecci�n. El Director del Grupo de Estudios en internet, Comercio electr�nico, Telecomunicaciones e Inform�tica (GECTI) de la Universidad de los Andes, Nelson Remolina Angarita, ha se�alado que el nivel adecuado de protecci�n de los datos personales se refiere a que el Estado importador tenga un grado de protecci�n superior, igual, similar o equivalente al del Estado exportador[295], d�ndole aplicaci�n al principio de continuidad en la protecci�n de datos.�

��

De igual manera, la Organizaci�n de las Naciones Unidas (ONU), el Consejo de Europa, el Parlamento Europeo y el Consejo de la Uni�n Europea han se�alado que la transferencia internacional de datos es viable si se establece que el pa�s importador ofrece garant�as comparables de protecci�n a las ofrecidas por el pa�s exportador.�

��

Tal como se indic� precedentemente, Europa ha sido precursora en el manejo de datos, estableciendo reglas para su transferencia a terceros pa�ses. De esta manera, el Grupo de Protecci�n de las Personas en lo que respecta al Tratamiento de Datos Personales[296], en el marco de la Comisi�n Europea adopt� dos documentos de relevante importancia, a saber: Las primeras orientaciones sobre la transferencia de datos personales a pa�ses terceros: posibles formas de evaluar la adecuaci�n (Bruselas, 1997)y, transferencias de datos personales a terceros pa�ses: aplicaci�n de los art�culos 25 y 26 de la Directiva sobre protecci�n de datos de la UE (Bruselas 1998.)�

��

En s�ntesis, se determin� que el nivel de protecci�n adecuado se encuentra sujeto al cumplimiento de dos factores; el primero, de naturaleza regulatoria, consistente en la existencia de normas que contengan derechos en cabeza del titular de los datos, y obligaciones respecto de quienes procesan la informaci�n personal o ejercen control sobre ese tratamiento y; el segundo, relacionado con los mecanismos para garantizar la efectiva aplicaci�n del contenido normativo, lo cual implica un conjunto de sanciones apropiadas para los infractores y un �rgano de control.�

��

Teniendo en consideraci�n que los pa�ses no tienen un r�gimen de protecci�n de datos uniforme, el mencionado Grupo a partir de lo contenido en la Directiva 95/46/CE, el Convenio 108 de 1981, las directrices de la Organizaci�n para la Cooperaci�n y el Desarrollo Econ�mico OCDE de 1980 y los principios de la ONU de 1990, fij� una serie de principios comunes para determinar si las normas de un determinado pa�s brindan un nivel adecuado de protecci�n.�

��

En este orden de ideas, se tiene como principios m�nimos seg�n el est�ndar europeo:�

��

� la limitaci�n de la finalidad;�

��

� calidad de los datos y proporcionalidad;�

��

� transparencia;�

��

� seguridad;�

��

� acceso, rectificaci�n y oposici�n;�

��

� restricciones a las trasferencias sucesivas a otros pa�ses y;�

��

� disposiciones sectoriales o adicionales para el tratamiento de datos de tipo especial donde se incluye, datos sensibles, mercadeo directo y decisi�n individual automatizada.�

��

En este orden, se entender� que un pa�s cuenta con un nivel adecuado de protecci�n de datos personales, si consagra una norma general sobre protecci�n de datos personales que incorpore los principios m�nimos mencionados, as� como las disposiciones sectoriales o adicionales que deben rodear el tratamiento de esa informaci�n.�

��

2.25.4.2. En relaci�n con el ahora proyecto de Ley que es objeto de estudio, debe decirse en primer lugar que difiere de lo se�alado en la Ley 1266 de 2008[297], pero coincide con el modelo europeo, en cuanto otorga la competencia de determinar qu� pa�ses proporcionan un nivel adecuado de protecci�n de datos en el �rgano de control, esto es, la Superintendencia de Industria y Comercio, y no en los operadores que manejan los datos.�

��

En consecuencia, e inclusive, integrando lo contemplado en la Ley 1266 de 2008, por disposici�n del par�grafo 2� del art�culo 26 del Proyecto de Ley en estudio[298], ser� la Superintendencia de Industria y Comercio la encargada de determinar si un pa�s otorga garant�as de protecci�n de datos.�

��

A prop�sito de la Ley 1266 de 2008, no debe perderse de vista que la Corte Constitucional mediante Sentencia C-1011 de 2008, declar� inexequible algunas disposiciones y aval� la constitucionalidad de otras pero bajo ciertos condicionamientos:�

��

Espec�ficamente, en relaci�n con el literal f) del art�culo 5�, el cual otorga la posibilidad de entregar informaci�n a un operador extranjeroprevia verificaci�n por parte del operador de que las leyes del pa�s respectivo o el receptor otorguen garant�as suficientes para la protecci�n de los derechos del titular, este Tribunal condicion� la mencionada verificaci�n realizada por los operadores, a los par�metros determinados por las Superintendencias de Industria y Comercio y Financiera, quienes deber�n analizar el cumplimiento de los est�ndares de garant�a de derechos predicables del titular del dato personal, en la legislaci�n del banco de datos extranjero de destino. As�, dichas entidades podr�n, inclusive, identificar expresamente los ordenamientos legales extranjeros respecto de los cuales, luego de un an�lisis suficiente, pueda predicarse dicho grado de protecci�n suficiente de los derechos del sujeto concernido.�

��

En este sentido, y con sujeci�n a lo indicado por el referido Grupo de Trabajo de Protecci�n de Datos de la Uni�n Europea, se entender� que un pa�s cuenta con los elementos o est�ndares de garant�a necesarios para garantizar un nivel adecuado de protecci�n de datos personales, si su legislaci�n cuenta; con unos principios, que abarquen las obligaciones y derechos de las partes (titular del dato, autoridades p�blicas, empresas, agencias u otros organismos que efect�en tratamientos de datos personales), y de los datos (calidad del dato, seguridad t�cnica) y; con un procedimiento de protecci�n de datos que involucre mecanismos y autoridades que efectivicen la protecci�n de la informaci�n. De lo anterior se deriva que el pa�s al que se transfiera los datos, no podr� proporcionar un nivel de protecci�n inferior al contemplado en este cuerpo normativo que es objeto de estudio.�

��

2.25.4.3. Ahora bien, el art�culo 26 del Proyecto de Ley crea, por otra parte, un conjunto de excepciones a la regla general que proh�be la transferencia de datos personales a un pa�s tercero que no garantice un nivel de protecci�n adecuado. Es decir, permite la transferencia de datos a pa�ses que pueden no garantizar un nivel adecuado de protecci�n, en los siguientes casos:�

��

a) Informaci�n respecto de la cual el Titular haya otorgado su autorizaci�n expresa e inequ�voca para la transferencia.�

��

b) Intercambio de datos de car�cter m�dico, cuando as� lo exija el Tratamiento del Titular por razones de salud o higiene p�blica.�

��

c) Transferencias bancarias o burs�tiles, conforme a la legislaci�n que les resulte aplicable.�

��

d) Transferencias acordadas en el marco de tratados internacionales en los cuales la Rep�blica de Colombia sea parte, con fundamento en el principio de reciprocidad.�

��

e) Transferencias necesarias para la ejecuci�n de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecuci�n de medidas precontractuales siempre y cuando se cuente con la autorizaci�n del Titular.�

��

f) Transferencias necesarias o legalmente exigidas para la salvaguardia del inter�s p�blico, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.�

��

En relaci�n con estas excepciones, la Corte har� algunas precisiones concretas de cara a determinar su constitucionalidad. En este orden, respecto al literal a) no se percibe ning�n inconveniente, en tanto para su procedencia se prescribe la autorizaci�n expresa e inequ�voca del titular del dato, lo anterior, en desarrollo del principio de la libre voluntad del titular de autorizar la circulaci�n de la informaci�n. Por lo tanto, es claro que aunque se permite la transferencia de datos a un pa�s que no brinda est�ndares de protecci�n adecuados, la misma se realiza bajo la responsabilidad de su titular.�

��

De esta manera, desde ya se deja establecido que la premisa de contar con la autorizaci�n del titular de la informaci�n que es objeto de transferencia, es el presupuesto que permite la circulaci�n de los datos consagrados en las otras excepciones previstas en el presente art�culo del Proyecto de Ley y que ser� su condici�n para la respectiva declaratoria de constitucionalidad.�

��

El literal b) por su parte, hace referencia al tratamiento de datos de car�cter m�dico, cuando se requiera a favor del titular por razones de salud o higiene p�blica. Encuentra este Tribunal que la excepci�n se justifica, puesto que en este caso se trata de preservar y garantizar derechos de rango fundamental. Es pertinente precisar que en esta oportunidad, la facultad de autorizar la transferencia del dato m�dico recae no s�lo en su titular sino tambi�n en sus familiares o representante legal, ya que dicho dato puede ser requerido en circunstancias donde su titular no se encuentre en capacidad de otorgar la autorizaci�n.�

��

En relaci�n con las transferencias bancarias o burs�tiles previstas en el literal c), las mismas se regir�n de conformidad a lo dispuesto por la Ley 1266 de 2008, la cual reglamenta el manejo de la informaci�n financiera, crediticia y comercial, pero bajo el entendido que la transferencia se har� contando con la autorizaci�n previa y expresa del titular del dato.�

��

De igual manera, se admite la procedencia de la excepci�n consagrada en el literal d), pues tal cual como se indica, dicha transferencia se rige por lo establecido en los tratados internacionales suscritos por Colombia.�

��

Por su parte, el literal e) hace referencia a las transferencias necesarias para la ejecuci�n de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecuci�n de medidas precontractuales siempre y cuando se cuente con la autorizaci�n del Titular.Esta excepci�n prev� aquellas transferencias que se realizan teniendo como fundamento una relaci�n de tipo contractual, la cual se regir� bajo lo estipulado en el respectivo contrato y conforme a los deberes y derechos estipulados en cabeza de los extremos contractuales, siendo en esta medida el Responsable del Tratamiento del dato, quien debe velar por el adecuado manejo de la informaci�n, sin olvidar que para su transferencia se requiere de la autorizaci�n del titular, autorizaci�n que, conforme a lo reiteradamente expuesto, se entender� debe ser previa y expresa.�

��

As�, siguiendo la misma l�nea de la sentencia C-1011 de 2008, se advierte que en las mencionadas excepciones, salvo la consagrada en el literal b), debe existir necesariamente autorizaci�n previa y expresa del titular que permita trasmitir sus datos personales, descartando as�, cualquier posibilidad de transferencia de datos a un tercer pa�s sin contar con el consentimiento del titular. En este sentido, ser�n declarados exequibles los literales c), d) y e), en el entendido que s�lo proceder�n cuando medie la autorizaci�n previa y expresa del titular de los datos.�

��

Finalmente, en relaci�n con el literal f) la Corte encuentra que lo all� estipulado maneja t�rminos que pueden ser objeto de imprecisiones y que dada su naturaleza amplia y ambigua generan inconvenientes al momento de su aplicaci�n.�

��

Coincide la Corte con lo conceptuado por la Defensor�a del Pueblo en el sentido de que las expresiones "necesarias" y "o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial",no ofrecen suficiente claridad sobre su �mbito de aplicaci�n y si, por el contrario, van en contra de los principios de finalidad, autorizaci�n y circulaci�n restringida de los datos personales. La anterior consideraci�n, tiene fundamento en las siguientes observaciones:�

��

Por una parte, la expresi�n "necesarias"resulta abierta, ambigua y general en el sentido de que no establece respecto de quien se reputa dicha necesidad, ni quien la define, ni c�mo se establece. Por otro lado, la expresi�n "o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial"no especifica si el proceso judicial involucra al titular de los datos directamente como encausado o como testigo; en qu� calidad y bajo qu� circunstancias se hace imperiosa la transmisi�n, o si, por otro lado, se refiere a los derechos de un tercero.�

��

En consecuencia, teniendo en consideraci�n que se trata de la regulaci�n del derecho fundamental al habeas data, debe recordarse que las limitaciones impuestas a su ejercicio a trav�s de la consagraci�n de excepciones, han de ser precisas sin emplear conceptos que por su grado de indeterminaci�n pueden comprometer el ejercicio o el goce de otros derechos constitucionales.�

��

Se trata de una defensa del principio de legalidad que pretende ofrecer seguridad jur�dica a las personas y, en esta medida, conocer con certeza cu�ndo ser�a viable la transferencia de datos personales a pa�ses que no otorgan garant�as de protecci�n adecuados. En concordancia con lo anterior, lo dispuesto por el literal f) presenta un grado de indeterminaci�n que puede afectar la protecci�n de los datos personales, motivo por el cual, se declarar� su inexequibilidad.�

��

2.26. EXAMEN DEL ART�CULO 27: DISPOSICIONES ESPECIALES�

��

2.26.2. Texto de la disposici�n�

��

"TITULO IX�

��

OTRAS DISPOSICIONES�

��

Articulo 27. Disposiciones Especiales.El Gobierno Nacional regular� lo concerniente al Tratamiento sobre datos personales que requieran de disposiciones especiales. En todo caso, dicha reglamentaci�n no podr� ser contraria a las disposiciones contenidas en la presente ley."�

��

2.26.3. Intervenciones ciudadanas y concepto del Ministerio P�blico�

��

2.26.3.1. La Defensor�a del Pueblo considera que la norma es inexequible por su imprecisi�n y generalidad, en la medida que permite que por medio de la potestad reglamentaria, se introduzcan regulaciones que podr�an afectar el n�cleo esencial del derecho a la protecci�n de datos, materia que, seg�n el art�culo 152 Superior, literal a), tiene reserva legal de car�cter estatutario.�

��

El Proyecto de Ley es bastante general, de manera que el �mbito de regulaci�n que quedar�a a disposici�n del Ejecutivo resultar�a excesivo e inadmisible, trat�ndose de una materia reservada al legislador, por cuanto no queda claro qu� tipo de datos ser�an objeto de reglamentaci�n. En �ltimas, si bien hay materias de car�cter t�cnico que podr�an dejarse a la potestad reglamentaria o a las facultades de control y supervisi�n, la competencia "general" de reglamentaci�n del tratamiento de datos que requieran "disposiciones especiales", excede el �mbito t�cnico y presupone la atribuci�n de una facultad indelegable.�

��

2.26.3.2. La Fundaci�n para la libertad de prensa se�ala que la regulaci�n que se haga debe ajustarse no solo a las regulaciones que son objeto de examen, sino a la Constituci�n, a la jurisprudencia constitucional en materia de habeas data y acceso a la informaci�n, al bloque de constitucionalidad y a los tratados y acuerdos internacionales.�

��

2.26.3.3. El profesor Nelson Remolina de la Universidad de los Andes solicita declarar exequible el art�culo, en el entendido que: i) las leyes y actos administrativos especiales sobre datos personales emitidos antes de que se sancione esta ley deben ajustarse, revisarse y actualizarse de manera que sean consistentes con los principios y reglas generales contenidos en el proyecto bajo estudio y con la jurisprudencia de la Corte Constitucional y ii) las leyes y actos administrativos especiales sobre datos personales emitidos con posterioridad a la sanci�n de la ley en revisi�n deben respetar e incorporar los principios y reglas generales contenidos en ella y con la jurisprudencia de esta Corporaci�n.�

��

2.26.3.4. La Secretaria Jur�dica de la Presidencia de la Rep�blica se�ala que el an�lisis constitucional sobre este art�culo debe hacerse con fundamento en: i) el car�cter general de la ley y ii) la regulaci�n del contenido esencial de la ley. En consecuencia, debe entenderse que el proyecto de ley en revisi�n es una regulaci�n general del derecho de habeas data, que tiene su fundamento en la facultad que tiene el Gobierno Nacional para tratar una ley general en esta materia, pues no es funci�n del legislador definir situaciones determinadas, sino dar un marco general sobre el tema.�

��

2.26.4. Inexequibilidad del art�culo 27�

��

Esta norma se�ala que el Gobierno Nacional regular� lo concerniente al tratamiento sobre datos personales que requieran de disposiciones especiales y agrega que, en todo caso, dicha reglamentaci�n no podr� ser contraria a las disposiciones contenidas en la presente ley�

��

Le corresponde a la Sala, frente a este precepto, determinar su alcance y si como lo se�alan algunas de las intervenciones, el Gobierno Nacional puede ejercer su facultad reglamentaria en esa materia.�

��

El art�culo 27 se refiere a: (i) el tratamiento sobre datos personales; (ii) que requieran disposiciones especiales; (iii) regulaci�n que corresponder� al gobierno nacional; (iv) siempre y cuando se respeten las disposiciones contenidas en el proyecto de ley objeto de revisi�n.�

��

El tratamiento de datos personales, en los t�rminos que fueron definidos en el art�culo 3, literal g) del proyecto en estudio, de conformidad con los recientes est�ndares internacionales sobre la materia "es cualquier operaci�n o conjunto de operaciones, sean a no automatizadas, que se apliquen a datos de car�cter personal, en especial su recogida, conservaci�n, utilizaci�n, revelaci�n o supresi�n"[299].Ese proceso de tratamiento de datos personales, que puede ser p�blico o privado, requiere, en los t�rminos de la jurisprudencia de esta Corporaci�n, definiciones claras sobre "el objeto o la actividad de las entidades administradoras de bases de datos, las regulaciones internas, los mecanismos t�cnicos para la recopilaci�n, procesamiento, almacenamiento, seguridad y divulgaci�n de los datos personales y la reglamentaci�n sobre usuarios de los servicios de las administradoras de las bases de datos."[300].�

��

Entendido as� el tratamiento sobre datos personales, es claro que su regulaci�n es una competencia que tiene reserva del legislador, porque toca aspectos del derecho al habeas data y que es un deber estatal en cabeza del legislador "impedir que los procesos de administraci�n de datos personales se conviertan en escenarios excluidos de la vigencia de los derechos, lo que para el caso significa el establecimiento de reglas de protecci�n jur�dica de la libertad del individuo ante los actos de gesti�n de informaci�n"[301]y que de ninguna manera pueden quedar librados a que sea el Ejecutivo quien haga su ordenaci�n, pues corresponde al �rgano de representaci�n popular como escenario propio de la democracia deliberativa, establecer regulaciones claras y precisas que impidan intervenciones lesivas tanto del Estado como de particulares, en los derechos de los individuos a trav�s de la posibilidad que tienen �stos, como consecuencia de los avances de las nuevas tecnolog�as de la informaci�n de acceder y manipular los datos personales.�

��

Es necesario insistir que con el proyecto objeto de revisi�n, que es una normativa de principios, el legislador no agot� su obligaci�n de seguir desarrollando mediante lo que se han denominado "leyes sectoriales" el tratamiento de datos seg�n su especificidad v.gr. inteligencia y seguridad; salud, seguridad social, etc., tal como se examin� en ac�pites precedentes.�

��

Entiende la Sala que cuando el art�culo en revisi�n se refiere a los "datos personales que requieran de disposiciones especiales", estos no son otros que aquellos que por sus caracter�sticas requieren de lo que la doctrina en materia de protecci�n del habeas data ha denominado "leyes sectoriales", regulaciones que sin lugar a dudas deben ser expedidas exclusivamente por el legislador y no por el Ejecutivo. Por tanto, el Gobierno Nacional carece de competencia para expedir regulaciones seg�n la tipolog�a del dato. En ese sentido, corresponde al legislador su ordenaci�n, tal como lo hizo para la administraci�n de datos de �ndole comercial o financiera, destinada al c�lculo del riesgo crediticio de servicios, en donde adem�s de observar los principios generales que en otro ac�pite de esta providencia se han enunciado, cualquier excepci�n frente a ellos tendr� que ser razonable y proporcional.�

��

Lo anterior permite concluir que es inadmisible que mediante la autorizaci�n que se prev� en la norma en revisi�n, el legislador estatutario resulte vaciando su competencia en una autoridad que, por disposici�n constitucional, no tiene la facultad para ello. Sobre este particular, no podemos dejar de mencionar que el Comit� de Derechos Humanos en la Observaci�n General No. 16, interpretativa del art�culo 17 del Pacto Internacional de Derechos Civiles y Pol�ticos, se�al� expresamente que "La recopilaci�n y el registro de informaci�n personal en computadoras, bancos de datos y otros dispositivos, tanto por las autoridades p�blicas como por las particulares o entidades privadas,deben estar reglamentados por la ley" (subraya fuera de texto).�

��

En ese sentido, debe insistir la Sala que existe una clara reserva legal en lo que hace a la regulaci�n del tratamiento de los datos personales, que el Gobierno Nacional no puede soslayar ni por expresa delegaci�n que le haga el legislador sobre el particular, toda vez que cuando el Constituyente asign� en cabeza de aqu�l esa explicita funci�n, lo hizo entre otras para garantizar el pleno ejercicio del derecho. Sobre el particular, en la sentencia T-396 de 1998 reiterada en la C-295 de 2002 frente a un acto que se dict� para regular un aspecto de la ley estatutaria de la administraci�n de justicia, se se�al� expresamente que "No es admisible�que se pueda expedir un acto reglamentario no para desarrollar, ejecutar o hacer aplicables los mandatos de dicha leyestatutaria, sino para regular materias sobre las cuales ella misma no se ha ocupado". Aspecto similar al que es objeto de estudio, porque el hecho que el proyecto de ley en revisi�n no regule aspectos esenciales de lo que el mismo proyecto denomina "datos especiales"y que seg�n lo explicado a lo largo de esta providencia, requieren de regulaciones sectoriales, no faculta al Gobierno Nacional para su reglamentaci�n por ser �ste un aspecto reservado exclusivamente al legislador.�

��

Finalmente, debe entenderse que la facultad a la que se refiere el precepto acusado no se relaciona con la competencia constitucional del Presidente de la Rep�blica de reglamentaci�n a la que alude el art�culo 189, numeral 11 de la Constituci�n. Dicha potestad no requiere de habilitaci�n legal, como reiteradamente lo ha se�alado la jurisprudencia de esta Corporaci�n, al se�alar que la potestad reglamentaria es ordinaria y no requiere de habilitaci�n legislativa, dado que si una norma legal requiere ser reglamentada para su debida ejecuci�n e implementaci�n, corresponde al Presidente de la Rep�blica ejercer esa potestad sin que pueda otra autoridad dentro del Estado, como lo es la rama legislativa del poder p�blico, fijarle t�rminos para su ejercicio, por cuanto es una competencia permanente. Lo anterior no puede interpretarse como una competencia omn�moda pues encuentra sus l�mites naturales en la ley que se pretende reglamentar y por supuesto en la Constituci�n, por ejemplo, cuando la materia que se pretender normar v�a reglamentaria es objeto de reserva legal, como es el caso en an�lisis.�

��

En ese orden de ideas, la Corte debe declarar la inexequibilidad del art�culo 27 del proyecto de ley en revisi�n.�

��

2.27. EXAMEN DEL ART�CULO 28: NORMAS CORPORATIVAS VINCULANTES�

��

2.27.2. Texto de la disposici�n�

��

"Art�culo 28. Normas corporativas vinculantes. El Gobierno Nacional expedir� la reglamentaci�n correspondiente sobre Normas Corporativas Vinculantes para la certificaci�n de buenas pr�cticas en protecci�n de datos personales y su transferencia a terceros pa�ses."�

��

2.27.3. Intervenciones ciudadanas y del Ministerio Publico�

��

2.27.3.1. La Secretaria Jur�dica de la Presidencia de la Rep�blica solicita la declaraci�n de exequibilidad de esta norma por las siguientes razones:�

��

El proyecto se refiere a las normas corporativas vinculantes que son c�digos de buenas pr�cticas para inyectar dinamismo en el intercambio de datos y agilizar las relaciones internacionales, normas que no se pueden entender ni como la posibilidad de hacer regulaciones propias del legislador estatutario, ni que puedan contrariar las dictadas con el prop�sito de proteger los datos personales.�

��

Las normas cooperativas deben ser revisadas por la Superintendencia de Industria y Comercio, para obtener la certificaci�n de buenas pr�cticas. Adicionalmente, estas tendr�n un filtro que es la certificaci�n emitida por entidades debidamente acreditadas ante el Organismo Nacional de Acreditaci�n (ONAC) para completar el proceso de aprobaci�n.�

��

2.27.3.2. El Ministerio P�blico guard� silencio.�

��

2.27.4. Constitucionalidad del art�culo 28�

��

Este art�culo se�ala que el Gobierno Nacional expedir� la reglamentaci�n correspondiente sobre normas corporativas vinculantes para la certificaci�n de buenas pr�cticas en protecci�n de datos personales y su transferencia a terceros pa�ses.�

��

Como se desprende de las discusiones del proyecto de ley y de la intervenci�n de la Secretar�a de la Presidencia de la Rep�blica, estas normas hacen referencia a principios de buen gobierno o regulaciones de buenas pr�cticas creadas directamente por las organizaciones, con un car�cter vinculante para sus miembros.�

��

En el �mbito europeo, antes que se dictaran los est�ndares en materia de protecci�n, la autorregulaci�n se convirti� en un mecanismo para la protecci�n de los datos personales, en la medida en que son codificaciones sustanciales y procesales en procura de un adecuado modelo de protecci�n de los datos.�

��

En la pr�ctica internacional, los datos tambi�n se protegen a trav�s de estos c�digos internacionales de conducta. En ese sentido, son un complemento a la regulaci�n de los Estados para la efectiva protecci�n de datos personales en especial en su flujo.�

��

El Grupo de Trabajo del art�culo 29 ha se�alado que las normas corporativas vinculantes (BCR), que se utilizan en el contexto de las transferencias de datos internacionales, son una manifestaci�n clara del principio de responsabilidad, en la medida que son autorregulaciones de conducta que redactan y siguen las organizaciones multinacionales y que deben contener las medidas para poner en pr�ctica y hacer realizable los principios para la protecci�n de datos, tales como la auditor�a, programas de formaci�n, red de funcionarios de privacidad, sistema de tratamiento de quejas, etc.�

��

En consecuencia, la delegaci�n que hace la norma para que sea el Gobierno Nacional el que reglamente los contenidos m�nimos que deben contener estas normas cooperativas se ajusta a la Constituci�n, pues en desarrollo de los principios que rigen la administraci�n de los datos personales, estos c�digos de conducta para las buenas pr�cticas en esta materia, se convierten en un instrumento adicional para la efectiva garant�a del derecho al habeas data.�

��

Esas normas de autorregulaci�n en la pr�ctica internacional son generalmente revisadas por las autoridades nacionales de protecci�n de datos, que deben vigilar que se consagren y garanticen salvaguardias adecuadas para transferencias o categor�as de transferencias de datos personales entre empresas que forman parte del mismo grupo corporativo. En consecuencia, la Corte considera que para que estas normas cumplan su objetivo, una vez el Gobierno Nacional las reglamente y las organizaciones las implementen, deben ser revisadas por la autoridad de protecci�n, funci�n que no fue enlistada en las funciones que se le van a asignar al mencionado ente.�

��

En los t�rminos expuestos y bajo la condici�n que dichas normas las revise la autoridad de protecci�n, el art�culo 28 ser� declarado exequible.�

��

2.28. EXAMEN DE LOS ART�CULOS 32, 33 Y 34: VIGENCIA Y R�GIMEN DE TRANSICI�N�

��

2.28.2. Texto de la disposici�n�

��

"Art�culo 32. R�gimen de transici�n.Las personas que a la fecha de entrada en vigencia de la presente ley ejerzan alguna de las actividades ac� reguladas tendr�n un plazo de hasta seis (6) meses para adecuarse a las disposiciones contempladas en esta ley.�

��

Art�culo 33. Derogatorias.La presente ley deroga todas las disposiciones que le sean contrarias a excepci�n de aquellas contempladas en el art�culo segundo.�

��

Art�culo 34. Vigencia.La presente ley rige a partir de su promulgaci�n."�

��

2.28.3. Intervenciones ciudadanas y del Ministerio P�blico�

��

No se presentaron observaciones espec�ficas frente al punto.�

��

2.28.4. Constitucionalidad de los art�culo 32, 33 y 34�

��

Los cuerpos normativos que crean nuevas reglas sobre determinados asuntos, establecen un r�gimen de transici�n para que a quienes les sean aplicables, adopten las medidas necesarias para adaptarse a los cambios. De igual manera, se estipula la entrada en vigencia y las derogatorias.�

��

Estos art�culos no contrar�an ninguna disposici�n constitucional en tanto que se limitan a fijar los mecanismos de entrada en rigor del cuerpo normativo, as� como los medios de soluci�n de controversias en materia de tr�nsito legislativo.�

��

3. DECISI�N�

��

En m�rito de lo expuesto, la Corte Constitucional, administrando justicia, en nombre del pueblo y por mandato de la Constituci�n,�

��

RESUELVE�

��

Primero.- Declarar EXEQUIBLE, por su aspecto formal, el proyecto de ley Estatutaria No. 046/10 C�mara - 184/10 Senado "por la cual se dictan disposiciones generales para la protecci�n de datos personales", salvo los art�culos 29, 30 y 31 que se declaren INEXEQUIBLES por vicios de procedimiento en su aprobaci�n.�

��

Segundo.- Declarar EXEQUIBLES los art�culos 1, 2, 3, 4, 5, 7, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 21, 22, 24, 25, 28, 32, 33 y 34 del proyecto de ley, de conformidad con lo expuesto en la parte motiva de esta providencia.�

��

Tercero.- Declarar EXEQUIBLE el art�culo 6 del proyecto de ley objeto de revisi�n, excepto la expresi�n "el titular haya hecho manifiestamente p�blicos o" del literal d) que se declara INEXEQUIBLE.�

��

Cuarto.- Declarar EXEQUIBLE el art�culo 8 del proyecto de ley objeto de revisi�n, excepto la expresi�n "s�lo", del literal e) que se declara INEXEQUIBLE. De la misma manera, el literal e) debe entenderse en el sentido que el Titular tambi�n podr� revocar la autorizaci�n y solicitar la supresi�n del dato, cuando no exista un deber legal o contractual que el imponga el deber de permanecer en la referida base de datos.�

��

Quinto.- Declarar EXEQUIBLE el art�culo 19 del proyecto de ley objeto de revisi�n, bajo el entendido que la Delegatura de Protecci�n de Datos Personales, en ejercicio de sus funciones deber� actuar de manera aut�noma e independiente.�

��

Sexto.- Declarar EXEQUIBLE el art�culo 20 del proyecto de ley, a excepci�n del literal a) que se declara INEXEQUIBLE.�

��

S�ptimo.- Declarar EXEQUIBLE el art�culo 23 del proyecto de ley, salvo la expresi�n "a favor de la Superintendencia de Industria y Comercio", del literal a) que se declara INEXEQUIBLE.�

��

Octavo.- Declarar EXEQUIBLE el art�culo 26 del proyecto de ley, salvo la expresi�n "necesarias o" contenida en el literal f), que se declara INEXEQUIBLE.�

��

Noveno.- Declarar INEXEQUIBLE el art�culo 27 del proyecto de ley objeto de revisi�n.�

��

C�piese, notif�quese, comun�quese, publ�quese y arch�vese el expediente.�

�

�

[1]La Sala considera necesario reiterar la nota introducida en la sentencia C-1011 de 2008, M.P. Jaime C�rdoba Trivi�o, sobre el empleo del t�rmino habeas data: "Debe tenerse en cuenta que la denominaci�n 'h�beas data' no ha sido la �nica utilizada por la jurisprudencia para identificar las facultades del sujeto concernido respecto de las bases de datos. As�, durante el desarrollo del concepto en las decisiones de la Corte se han usado las expresiones de 'autodeterminaci�n inform�tica' o 'autodeterminaci�n informativa'. En todo caso, estas tres definiciones refieren a la misma realidad jur�dica, por lo que no ofrecen mayores dificultades en su uso alternativo. Sin embargo, ante la necesidad de contar con una descripci�n uniforme y habida cuenta el uso extendido del t�rmino en el �mbito del derecho constitucional colombiano, esta sentencia utilizar� el vocablo h�beas data con el fin de nombrar el derecho que tienen todas las personas a ejercer las facultades de conocimiento, actualizaci�n y rectificaci�n de la informaci�n personal contenida en bases de datos."La equivalencia entre los t�rminos habeas data y autodeterminaci�n informativa tambi�n hab�a sido anunciada en la sentencia T-729 de 2002, M.P. Eduardo Montealegre Lynett.�

��

[2]Sin embargo, la primera vez que se habl� del derecho a la intimidad -o privacidad en lenguaje jur�dico anglosaj�n- fue en 1890, cuando los estadounidenses Samuel Warren y Louis Brandeis publicaron el art�culo 'The Right To Privacy' que propugnaba por establecer l�mites jur�dicos que impidieran la intromisi�n del periodismo en la vida privada de las personas. Warren, Samuel. Brandeis, Louis. "The Right To Privacy". Harvard Law Review. P�g. 193. 1890. Ver tambi�n Gregorio, Carlos G. "Protecci�n de Datos Personales: Europa Vs. Estados Unidos, todo un dilema para Am�rica Latina" en Transparentar al Estado: la Experiencia Mexicana de Acceso a la Informaci�n. Universidad Aut�noma de M�xico, 2004. P�g. 301. La idea primigenia del derecho a la intimidad estuvo marcada por su individualismo acentuado, al punto que se hac�a referencia al derecho a estar soloo el derecho a ser dejado en paz.�

��

[3]Hechos como los ocurridos durante la Segunda Guerra Mundial en Alemania, donde la informaci�n del censo y los archivos del gobierno se utilizaron para detectar a los jud�os y dem�s poblaciones v�ctimas del genocidio, llevaron a que una vez finalizada la guerra, el derecho a la intimidad tuviera protecci�n reforzada en los planos nacional y regional. Esta misma raz�n inspir� la introducci�n del art�culo 12 de la Declaraci�n Universal de los Derechos Humanos.�

��

[4]Vale la pena destacar la ley de protecci�n de datos del land alem�n de Hesse de 1970, la ley sueca de 1973, el art�culo 35 de la Constituci�n de Portugal de 1976, la ley federal alemana de 1977, las leyes francesa y austriaca de 1978 y el art�culo 18.4 de la Constituci�n espa�ola de 1978. Estas normas establecieron l�mites al empleo de la inform�tica frente a los datos personales a partir de dos principios fundamentales: la autorizaci�n previa para la constituci�n de bancos de datos y su control e inspecci�n posterior. Ver Bru Cuadra, Elisenda. "La protecci�n de datos en Espa�a y en la Uni�n Europea".IDP. Revista de internet, Derecho y Pol�tica, Num 5, 2007. Universitat Oberta de Catalunya. P.p. 78-92. Garc�a Gonz�lez, Aristeo. "La protecci�n de datos personales: derecho fundamental del siglo XXI. Un estudio comparado". Bolet�n Mexicano de DerechoComparado [en l�nea], XL (Septiembre-Diciembre), 2007. Disponible en: <http://redalyc.uaemex.mx/redalyc/src/inicio/ArtPdfRed.jsp iCve=42712003> ISSN 0041-8633.�

��

En esta d�cada tambi�n se expidi� el Privacy Act de 1974 en Estados Unidos, inspirada tambi�n en la necesidad de brindar protecci�n a la privacidad frente a las nuevas tecnolog�as. A diferencia de lo que ha ocurrido en Europa, esta ley ha enfrentado serias dificultades en su implementaci�n. Ver Bignami, Francesca. "European versus American Liberty: A Comparative Privacy Analysis of Antiterrorism Data Mining". Boston College Law Review, 2007. P. 609.�

��

[5]Ver Bru Cuadra, Elisenda. "La protecci�n de datos en Espa�a y en la Uni�n Europea". IDP. Revista de Internet, Derecho y Pol�tica, Num 5, 2007. Universitat Oberta de Catalunya. P.p. 78-92. Espec�ficamente, su art�culo 8 dispone: "Cualquier persona deber� poder:�

��

a) Conocer la existencia de un fichero automatizado de datos de car�cter personal, sus finalidades principales, as� como la identidad y la residencia habitual o el establecimiento principal de la autoridad controladora del fichero.�

��

b) Obtener a intervalos razonables y sin demora o gastos excesivos la confirmaci�n de la existencia o no en el fichero automatizado de datos de car�cter personal que conciernan a dicha persona, as� como la comunicaci�n de dichos datos en forma inteligibles."�

��

[6]El Convenio fue precedido por las"directrices sobre protecci�n de la privacidad y flujos transfronterizos de datos personales"adoptadas por la Organizaci�n para la Cooperaci�n y el Desarrollo Econ�micos (OCDE) en 1980, en las que se definen principios b�sicos de protecci�n de datos personales, aplicables tanto al sector p�blico como al privado, como el principio de limitaci�n de la recolecci�n de datos, el principio de especificidad de la finalidad, el principio de limitaci�n de uso, y el principio de salvaguardias de seguridad, entre otros. En el memorando explicativo de las directrices, se reconoce la tendencia a basar la protecci�n de datos personales en una noci�n m�s amplia de intimidad. Al respecto, se afirma:"(�) viene habiendo una tendencia a ampliar el concepto tradicional de intimidad (�l derecho a que le dejen a uno en paz') y a identificar una s�ntesis m�s compleja de intereses que quiz� se puedan calificar m�s correctamente de intimidad y libertades individuales".�

��

[7]Irlanda en 1980 e Inglaterra en 1984.�

��

[8]Sentencia citada por Prieto Guti�rrez, Juan Jos�. "Protecci�n de datos en la Biblioteca de la Universidad Complutense", 2006. Disponible en:http://www.scribd.com/doc/42380514/Proteccion-de-Datos-en-La- Biblioteca-de-La-Universidad-Complutense-de-Madrid, En este fallo, el tribunal declar� inconstitucionales ciertos aspectos de la Ley del Censo de Poblaci�n de 1982.�

��

[9]Ver sentencia 254 del 20 de julio de 1993. Citada en: Garriaga Dom�nguez, A. La protecci�n de los datos personales en el Derecho Espa�ol. Dykinson - Instituto de Derechos Humanos Bartolom� de las Casas de la Universidad Carlos III de Madrid, 1999. Posteriormente, en la sentencia 292 del 30 de noviembre de 2000, el Tribunal espa�ol precis� que el derecho fundamental a la autodeterminaci�n informativa es diferente al derecho a la intimidad, pues mientras el segundo protege a las personas frente a cualquier invasi�n al �mbito de su vida personal o familiar, el derecho a la autodeterminaci�n informativa garantiza a las personas un poder de control sobre sus datos personales, as� como sobre su uso y destino, con el prop�sito de impedir su tr�fico il�cito y lesivo para la dignidad del titular. Ver Garc�a Gonz�lez, Aristeo. "La protecci�n de datos personales: derecho fundamental del siglo XXI. Un estudio comparado". Bolet�n Mexicano de Derecho Comparado [en l�nea], XL (Septiembre-Diciembre), 2007. Disponible en: <http://redalyc.uaemex.mx/redalyc/src/inicio/ArtPdfRed.jsp iCve=42712003> ISSN 0041-8633.�

��

[10]A partir de 1990, la Comunidad Europea busc� garantizar un funcionamiento adecuado del mercado unificado, para lo cual era necesario establecer una protecci�n uniforme de los datos personales, pues las diferencias en las leyes de protecci�n de los mismos pod�an configurar un obst�culo en el flujo de los datos. Para lograr ese objetivo se profiri� la Directiva 95/46/CE. Dicha Directiva exige a los estados miembros un tratamiento leal y licito de los datos personales, tener en cuenta el tratamiento de los datos sensibles, notificar de la recolecci�n de los datos al interesado y perseguir con el recaudo de datos un fin expl�cito y leg�timo. Tambi�n reconoce el derecho de los interesados a acceder a los datos y a oponerse a su tratamiento, el principio de conservaci�n s�lo por el tiempo necesario para los fines que fueron recolectados, y el establecimiento de una autoridad aut�noma de control para la protecci�n de datos personales. La Directiva incluye adem�s una cl�usula en virtud de la cual la transferencia de datos hac�a terceros pa�ses depende de que estos �ltimos garanticen un nivel adecuado de protecci�n de datos�

��

[11]El Comit� afirma: "10. La recopilaci�n y el registro de informaci�n personal en computadoras, bancos de datos y otros dispositivos, tanto por las autoridades p�blicas como por las particulares o entidades privadas, deben estar reglamentados por la ley. Los Estados deben adoptar medidas eficaces para velar por que la informaci�n relativa a la vida privada de una persona no caiga en manos de personas no autorizadas por ley para recibirla, elaborarla y emplearla y por que nunca se la utilice para fines incompatibles con el Pacto. Para que la protecci�n de la vida privada sea lo m�s eficaz posible, toda persona debe tener el derecho de verificar si hay datos personales suyos almacenados en archivos autom�ticos de datos y, en caso afirmativo, de obtener informaci�n inteligible sobre cu�les son esos datos y con qu� fin se han almacenado. Asimismo, toda persona debe poder verificar qu� autoridades p�blicas o qu� particulares u organismos privados controlan o pueden controlar esos archivos. Si esos archivos contienen datos personales incorrectos o se han compilado o elaborado en contravenci�n de las disposiciones legales, toda persona debe tener derecho a pedir su rectificaci�n o eliminaci�n."�

��

[12]Ver las sentencias T-414 de 1992, M.P. Ciro Angarita Bar�n; T-161 de 1993, M.P. Antonio Barrera Carbonell; y C-913 de 2010, M.P. Nilson Pinilla Pinilla.�

��

[13]Cfr. sentencia T-340 de 1993, M.P. Carlos Gaviria D�az.�

��

[14]Ver las sentencia SU-082 de 1995, M.P. Jorge Arango Mej�a y T-176 de 1995, M.P. Eduardo Cifuentes Mu�oz.�

��

[15]M.P. Jorge Arango Mej�a.�

��

[16]M.P. Eduardo Cifuentes Mu�oz.�

��

[17]M.P. Eduardo Montealegre Lynett.�

��

[18]Ver tambi�n la sentencia C-1147 de 2001, M.P. Manuel Jos� Cepeda Espinosa.�

��

[19]"En este sentido, en sentencia T-414 de 1992, la Corte afirm�: "la libertad inform�tica, consiste ella en la facultad de disponer de la informaci�n, de preservar la propia identidad inform�tica, es decir, de permitir, controlar o rectificar los datos concernientes a la personalidad del titular de los mismos y que, como tales, lo identifican e individualizan ante los dem�s." As� mismo, en sentencia SU-082 de 1995, afirm�: "La autodeterminaci�n inform�tica es la facultad de la persona a la cual se refieren los datos, para autorizar su conservaci�n, uso y circulaci�n, de conformidad con las regulaciones legales." Y en la sentencia T-552 de 1997 afirm�: '...el derecho a la autodeterminaci�n informativa implica, como lo reconoce el art�culo 15 de la Carta Fundamental, la facultad que tienen todas las personas de "conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades p�blicas y privadas'."�

��

[20]"El fundamento de validez de los llamados principios de la administraci�n de datos personales, se encuentra en el segundo inciso del art�culo 15 de la Constituci�n, el cual constituye en t�rminos de la Corte, 'el contexto normativo y axiol�gico dentro del cual debe moverse, integralmente el proceso inform�tico' y del cual derivan 'unas reglas generales que deben ser respetadas para poder afirmar que el proceso de acopio, uso y difusi�n de datos personales sea constitucionalmente leg�timo', y que a su vez son el resultado 'de la aplicaci�n directa de las normas constitucionales al proceso inform�tico'."�

��

[21]M.P. Jaime C�rdoba Trivi�o.�

��

[22]Para su aprobaci�n se exige mayor�a absoluta y no simple, adem�s, la ley debe aprobarse dentro de una sola legislatura y debe ser objeto de revisi�n previa por parte de la Corte Constitucional (art�culos 153 y 441-8 de la Constituci�n).�

��

[23]Ver sentencia C-319 de 2006, M.P. �lvaro Tafur Galvis.�

��

[24]M.P. Alejandro Mart�nez Caballero.�

��

[25]Cfr. sentencia C-319 de 2006, M.P. �lvaro Tafur Galvis.�

��

[26]Cfr. sentencia C-055 de 1995, M.P. Alejandro Mart�nez Caballero. En este mismo sentido, en la sentencia C- 037 de 1996, la Corte explic� que corresponde a las leyes estatutarias regular "(�) la estructura general de la administraci�n de justicia y sobre los principios sustanciales y procesales que deben guiar a los jueces en su funci�n de dirimir los diferentes conflictos o asuntos que se someten a su conocimiento"�

��

[27]Cfr. sentencia C-580 de 2001, M.P. Clara In�s Vargas Hern�ndez.�

��

[28]Cfr. sentencia C-013 de 1993, M.P. Eduardo Cifuentes Mu�oz.�

��

[29]Cfr. sentencia C-226 de 1994, M.P. Alejandro Mart�nez Caballero. Ver tambi�n la sentencia C-319 de 2006, M.P. �lvaro Tafur Galvis.�

��

[30]En la sentencia C-313 de 1994, M.P. Carlos Gaviria D�az, la Corte afirm�: "Obs�rvese, finalmente, que la ley estatutaria se refiere, en cada caso, a un derecho determinado y su fin es desarrollar su �mbito a partir de su n�cleo esencial definido en la Constituci�n". Luego, en la sentencia C-408 de 1994, M.P. Fabio Mor�n D�az, la Corte precisi�n: "(�) cuando de la regulaci�n de un derecho fundamental se trata, la exigencia de que se realice mediante una ley estatutaria, debe entenderse limitada a los contenidos m�s cercanos al n�cleo esencial de ese derecho, ya que se dejar�a, seg�n interpretaci�n contraria, a la ley ordinaria, regla general legislativa, sin la posibilidad de existir; toda vez que, se repite, de alg�n modo, toda la legislaci�n de manera m�s o menos lejana, se encuentra vinculada con los derechos fundamentales".(negrilla fuera del texto) Ver tambi�n la sentencia C-981 de 2005, M.P. Clara In�s Vargas Hern�ndez.�

��

[31]En algunas sentencias no se habla de n�cleo esencial sino de contenido m�nimo del derecho o de elementos estructurales esenciales. Ver por ejemplo la sentencia C-646 de 2001, M.P. Manuel Jos� Cepeda Espinosa.�

��

[32]En este sentido, en la sentencia C-993 de 2004, M.P. Jaime Araujo Renter�a, la Corte sostuvo: "Cuando una ley regule aspectos principales e importantes del n�cleo esencial de un derecho fundamental, en este caso del habeas data, el proceso de formaci�n de esta ley debe haber sido el de una ley estatutaria so pena de ser expulsada del ordenamiento jur�dico por vicios de forma."(negrilla fuera del texto).�

��

[33]Ver sentencias C-425 de 1994, M.P. Jos� Gregorio Hern�ndez Galindo, C-247 de 1995, M.P. Jos� Gregorio Hern�ndez Galindo, C-374 de 1997, M.P. Jos� Gregorio Hern�ndez Galindo, C-251 de 1998, M.P. Jos� Gregorio Hern�ndez Galindo y M.P. Alejandro Mart�nez Caballero, C-1338 de 2000, M.P.(E) Cristina Pardo Schilesinger, C-981 de 2005, M.P. Clara In�s Vargas Hern�ndez, y C-319 de 2006, M.P. �lvaro Tafur Galvis.�

��

[34]Ver sentencia C-319 de 2006, M.P. �lvaro Tafur Galvis.�

��

[35]Esta tesis puede apreciarse en sentencias como la T-227 de 2003, M.P. Eduardo Montealegre Lynett, T-881 de 2002, M.P. Eduardo Montealegre Lynett, y T-760 de 2008, M.P. Manuel Jos� Cepeda Espinosa. En la primer la Corte record� que el concepto de dignidad humana evoluciona y, por tanto, tambi�n los derechos fundamentales. La Corte asegur�: "(�) el concepto de dignidad humana que ha recogido la Corte Constitucional �nicamente se explica dentro del sistema axiol�gico de la Constituci�n y en funci�n del mismo sistema. As� las cosas, la elevaci�n a rango constitucional de la 'libertad de elecci�n de un plan de vida concreto en el marco de las condiciones sociales en las que el individuo se desarrolle' y de 'la posibilidad real y efectiva de gozar de ciertos bienes y de ciertos servicios que le permiten a todo ser humano funcionar en la sociedad seg�n sus especiales condiciones y calidades, bajo la l�gica de la inclusi�n y de la posibilidad de desarrollar un papel activo en la sociedad', definen los contornos de lo que se considera esencial, inherente y, por lo mismo inalienable para la persona, raz�n por la cual se traduce en derechos subjetivos (entendidos como expectativas positivas (prestaciones) o negativas) cuyos contenidos esenciales est�n sustra�dos de las mayor�as transitorias. || En este orden de ideas, ser� fundamental todo derecho constitucional que funcionalmente est� dirigido a lograr la dignidad humana y sea traducible en un derecho subjetivo. Es decir, en la medida en que resulte necesario para lograr la libertad de elecci�n de un plan de vida concreto y la posibilidad de funcionar en sociedad y desarrollar un papel activo en ella. Tal necesidad no est� determinada de manera aprior�stica, sino que se define a partir de los consensos (dogm�tica del derecho constitucional) existentes sobre la naturaleza funcionalmente necesaria de cierta prestaci�n o abstenci�n (traducibilidad en derecho subjetivo), as� como de las circunstancias particulares de cada caso (t�pica). As�, por ejemplo, en la actualidad existe consenso en torno a la absoluta necesidad de que los procedimientos judiciales y administrativos est�n fijados normativamente (principio de legalidad) y que prevean la posibilidad de controvertir pruebas, presentar las propias y de rebatir argumentos y ofrecer los propios (derecho de defensa), para que la persona pueda ser libre y activa en sociedad; mientras que ser�n las circunstancias concretas las que definan si una cirug�a est�tica �nicamente persigue intereses narcisistas o responden a una necesidad funcional, para que la persona pueda ser activa en sociedad (v. gr. alteraciones funcionales y dolor que exigen una reducci�n de senos). Resulta ejemplarizante la discusi�n en torno el reconocimiento de derechos fundamentales a personas jur�dicas, en la cual el consenso logrado �nicamente se explica por la necesidad de proteger elementos funcionalmente indispensables para la correcta operaci�n jur�dica de estas instituciones. || Lo anterior, debe precisarse, no implica que en s� mismo derechos constitucionales no tengan car�cter fundamental. La existencia de consensos (en principio dogm�tica constitucional) en torno a la naturaleza fundamental de un derecho constitucional implica que prima facie dicho derecho se estima fundamental en s� mismo. Ello se explica por cuanto los consensos se apoyan en una concepci�n com�n de los valores fundantes de la sociedad y el sistema jur�dico. As�, existe un consenso sobre el car�cter fundamental del derecho a la vida, a la libertad y a la igualdad. Los consensos sobre la naturaleza fundamental de estos derechos claramente se explica por la imperiosa necesidad de proteger tales derechos a fin de que se pueda calificar de democracia constitucional y de Estado social de derecho el modelo colombiano. No sobra indicar que, en la actual concepci�n de dignidad humana, estos derechos son requisitos sine qua non para predicar el respeto por dicho valor."�

��

[36]Esta labor de delimitaci�n y actualizaci�n es reconocida en la sentencia T-227 de 2003, en la que la Corte explic� que la definici�n de las obligaciones reclamables y que hace que una exigencia de la dignidad humana se traduzca en derecho subjetivo, es producto de decisiones constitucionales, legislativas e, incluso, jurisprudenciales.�

��

[37]Ver las sentencias C-646 de 2001, M.P. Manuel Jos� Cepeda Espinosa, C-319 de 2006, M.P. �lvaro Tafur Galvis.�

��

[38]Las limitaciones generales son diferentes a las que surgen en el caso concreto a partir de ejercicios de ponderaci�n cuando existe colisi�n entre derechos o entre derechos y otros principios constitucionales, y que en consecuencia solamente son aplicables al caso espec�fico.�

��

[39]Ver sentencia C-372 de 2011, M.P. Jorge Ignacio Pretelt Chaljub.�

��

[40]Ver sentencia C-981 de 2005, M.P. Clara In�s Vargas Hern�ndez.�

��

[41]M.P. Jorge Ignacio Pretelt Chaljub.�

��

[42]Ver Bignami, Francesca. "European versus American Liberty: A Comparative Privacy Analysis of Antiterrorism Data Mining". Boston College Law Review, 2007. P. 609.�

��

La implementaci�n en la hoy Uni�n Europea de un modelo centralizado con est�ndares comunes de protecci�n persigue facilitar el flujo transfronterizo de datos, indispensable en �mbitos como la banca y los seguros, mediante la fijaci�n de est�ndares adecuados de protecci�n de datos.�

��

[43]En aquellas circunstancias en la que no existe una ley de protecci�n similar, se puede acudir a otro tipo de herramientas como los principios privados de puerto seguro (Safe Harbor Privacy Principles).�

��

[44]Ver Bignami, Francesca. "European versus American Liberty: A Comparative Privacy Analysis of Antiterrorism Data Mining". Boston College Law Review, 2007. P. 609.�

��

[45]Ver Bignami, Francesca. "European versus American Liberty: A Comparative Privacy Analysis of Antiterrorism Data Mining". Boston College Law Review, 2007. P. 609.�

��

[46]Seg�n la Red Iberoamericana de Protecci�n de Datos, en el contexto de la protecci�n de datos personales, la autorregulaci�n hace referencia a "(�) las reglas adoptadas por las entidades para definir sus pol�ticas y compromisos relativos al tratamiento de los datos personales.". Ver Red Iberoamericana de Protecci�n de Datos. Autorregulaci�n y Protecci�n de Datos Personales. Documento Elaborado por el Grupo de Trabajo reunido en Santa Cruz de la Sierra - Bolivia. Los d�as 3 a 5 de mayo de 2006. En sentido similar, la Comisi�n Europea se ha referido a la autorregulaci�n como "el conjunto de normas que se aplican a una pluralidad de responsables del tratamiento que pertenezcan a la misma actividad profesional o al mismo sector industrial, cuyo contenido haya sido determinado fundamentalmente por miembros del sector industrial o profesi�n en cuesti�n". Ver Comisi�n Europea. Grupo de Trabajo sobre la protecci�n de las personas f�sicas en lo que respecta al tratamiento de datos personales. Documento de trabajo DG XV D/5057/97: Evaluaci�n de la autorregulaci�n industrial: �En qu� casos realiza una contribuci�n significativa al nivel de protecci�n de datos de un pa�s tercero Adoptado el 14 de enero de 1998.�

��

[47]La implementaci�n de esta ley ha sido limitada por su naturaleza federal y por la carencia de mecanismos para hacerla cumplir. Por ejemplo, la violaci�n de alg�n mandato de esta ley solamente puede alegado ante las cortes en un proceso de responsabilidad con una finalidad indemnizatoria. Estos procesos, adem�s, pocas veces dan lugar a decisiones a favor del titular del dato, debido a que es muy dif�cil el recaudo de la evidencia - especialmente en materias como defensa e inteligencia. Otras dificultad est� relacionada con el �mbito de aplicaci�n de la ley, pues su articulado menciona solamente "sistemas de archivos", lo que ha dado lugar a debates sobre si rige tambi�n "bases de datos". Finalmente, cabe mencionar que esta ley solamente es exigiblea las autoridades federales, no a los particulares que llevan a cabo tratamiento de datos personales, y que para que se pueda declarar al responsabilidad de una autoridad es preciso probar su intenci�n o voluntad de infringir la ley. Ver Bignami, Francesca. "European versus American Liberty: A Comparative Privacy Analysis of Antiterrorism Data Mining". Boston College Law Review, 2007. P. 609.�

��

[48]Ver Gregorio, Carlos G. "Protecci�n de Datos Personales: Europa Vs. Estados Unidos, todo un dilema para Am�rica Latina" en Transparentar al Estado: la Experiencia Mexicana de Acceso a la Informaci�n. Universidad Aut�noma de M�xico, 2004.�

��

[49]M.P. Jaime C�rdoba Trivi�o.�

��

[50]La Corte expres� lo siguiente: "(�) concurren varios argumentos para concluir que el proyecto de ley estatutaria objeto de examen constituye una regulaci�n parcial del derecho fundamental al h�beas data, concentrada en las reglas para la administraci�n de datos personales de car�cter financiero destinados al c�lculo del riesgo crediticio, raz�n por la cual no puede considerarse como un r�gimen jur�dico que regule, en su integridad, el derecho al h�beas data, comprendido como la facultad que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en archivos y bancos de datos de naturaleza p�blica o privada. Para sustentar esta conclusi�n existen argumentos de car�cter sistem�tico, teleol�gico e hist�rico".�

��

[51]M.P. Jaime C�rdoba Trivi�o.�

��

[52]Cfr. Corte Constitucional. Sentencia C-425 del 29 de septiembre de 1994�

��

[53]Ver, entre otras, las sentencias C-371 de 2000, M.P. Carlos Gaviria D�az; y C-292 de 2003, M.P. Eduardo Montealegre Lynett.�

��

[54]Ver, entre muchas otras, sentencias C-011 de 1994, C-179 de 1994, C-180 de 1994,.C-037 de 1996 y C-371 de 2000.�

��

[55]M.P. Jorge Ignacio Pretelt Chaljub.�

��

[56]M.P. Rodrigo Escobar Gil.�

��

[57] Ver folios 492 a 501 del cuaderno de pruebas No. 2 (p�ginas 3 a 12 de la Gaceta)�

��

[58]Ver folios 424 a 443 del cuaderno de pruebas No. 2�

��

[59]Ver folios 437 y 438 del cuaderno de pruebas No. 2 (p�ginas 14 y 14 de la Gaceta No. 625 de 2010)�

��

[60]Ver folios 542 a 546 del cuaderno de pruebas No. 2�

��

[61]Ver folio 580 del cuaderno de pruebas No. 2 (p�gina 24 de la Gaceta No. 957 de 2010)�

��

[62]Ver folios 586 a 588 del cuaderno de pruebas No. 2 (p�ginas 12 a 14 de la Gaceta No. 958 de 2010)�

��

[63]Cfr. Folios 557 a 568 del cuaderno de pruebas No. 2.�

��

[64]Ver folio 561 del cuaderno de pruebas No. 2 (p�g. 10 de la Gaceta No. 706 de 2010)�

��

[65]No obra copia de la Gaceta dentro del expediente, pero el despacho del Magistrado Ponente logr� ubicarla en la p�gina web de la Secretar�a del Senado de la Rep�blica: http://servoaspr.imprenta.gov.co:7778/gacetap/gaceta.nivel_3�

��

[66]Ver en folio 274 del cuaderno de pruebas No. 3 (p�gina 54 y siguientes de la Gaceta No. 849 de 2010)�

��

[67]Tambi�n puede verificarse en la certificaci�n suscrita por el Secretario General de la C�mara de Representantes el 15 de marzo de 2011, a folio 2 del cuaderno de pruebas No. 3.�

��

[68]Ver en folio 279 del cuaderno de pruebas No. 3 (p�gina 59 de la Gaceta No. 849 de 2010)�

��

[69]Ver folios 158 a 169 del cuaderno de pruebas No. 3 (p�ginas 24 a 35 de la Gaceta)�

��

[70]Ver folio 3 del cuaderno de pruebas No. 3�

��

[71]Ver folios 57 a 64 del cuaderno de pruebas No. 2�

��

[72]Ver folio 57 del cuaderno de pruebas No. 2 (p�gina 9 de la Gaceta No. 833 de 2010) y folio 162 del cuaderno de pruebas No. 3 (p�gina 28 de la Gaceta No. 868 de 2010)�

��

[73]Ver folio 57 del cuaderno de pruebas No. 2 (p�gina 9 de la Gaceta No. 833 de 2010) y folio 163 del cuaderno de pruebas No. 3 (p�gina 29 de la Gaceta No. 868 de 2010)�

��

[74]Ver folio 59 del cuaderno de pruebas No. 2 (p�gina 11 de la Gaceta No. 833 de 2010) y folio 163 del cuaderno de pruebas No. 3 (p�gina 29 de la Gaceta No. 868 de 2010)�

��

[75]Ver folio 61 del cuaderno de pruebas No. 2 (p�gina 13 de la Gaceta No. 833 de 2010) y folio 163 del cuaderno de pruebas No. 3 (p�gina 29 de la Gaceta No. 868 de 2010).�

��

[76]Ver folio 62 del cuaderno de pruebas No. 2 (p�gina 14 de la Gaceta No. 833 de 2010) y folio 163 del cuaderno de pruebas No. 3 (p�gina 29 de la Gaceta No. 868 de 2010).�

��

[77]Ver folio 62 del cuaderno de pruebas No. 2 (p�gina 14 de la Gaceta No. 833 de 2010) y folio 164 del cuaderno de pruebas No. 3 (p�gina 30 de la Gaceta No. 868 de 2010).�

��

[78]Ver folio 63 del cuaderno de pruebas No. 2 (p�gina 15 de la Gaceta No. 833 de 2010) y folio 164 del cuaderno de pruebas No. 3 (p�gina 30 de la Gaceta No. 868 de 2010).�

��

[79]Ver folio 63 del cuaderno de pruebas No. 2 (p�gina 15 de la Gaceta No. 833 de 2010) y folio 164 del cuaderno de pruebas No. 3 (p�gina 30 de la Gaceta No. 868 de 2010).�

��

[80]Ver folio 63 del cuaderno de pruebas No. 2 (p�gina 15 de la Gaceta No. 833 de 2010) y folio 164 del cuaderno de pruebas No. 3 (p�gina 30 de la Gaceta No. 868 de 2010).�

��

[81]Ver folio 63 del cuaderno de pruebas No. 2 (p�gina 15 de la Gaceta No. 833 de 2010) y folio 164 del cuaderno de pruebas No. 3 (p�gina 30 de la Gaceta No. 868 de 2010).�

��

[82]Ver folio 63 del cuaderno de pruebas No. 2 (p�gina 15 de la Gaceta No. 833 de 2010) y folio 164 del cuaderno de pruebas No. 3 (p�gina 30 de la Gaceta No. 868 de 2010).�

��

[83]Ver folios 88 y siguientes del cuaderno de pruebas No. 4�

��

[84]Ver folios 13 a 36 del cuaderno de pruebas No. 4�

��

[85]Sentencia T-1037/08, Referencia: Expediente T-1829618, Magistrado ponente: Dr. JAIME C�RDOBA TRIVI�O Bogot� D.C., veintitr�s (23) de octubre de dos mil ocho 2008).�

��

[86]Ver folio 59 del cuaderno de pruebas No. 4�

��

[87]Ver folios 1 y 2 del cuaderno de pruebas No. 4�

��

[88]Ver certificaci�n a folios 3 y 4 del cuaderno de pruebas No. 4�

��

[89]Ver folio 64 del cuaderno de pruebas No. 4 (p�gina 5 de la Gaceta No. 39 de 2010)�

��

[90]Ver folios 37 a 55 del cuaderno de pruebas No. 4�

��

[91]Ver folio 1 del cuaderno de pruebas No. 5�

��

[92]Ver folios 254 y 462 del cuaderno de pruebas No. 5�

��

[93]Ver certificaci�n a folio 1 del cuaderno de pruebas No. 5. Igualmente, ver p�ginas 78 a 83 de la Gaceta No. 80 de 2011, a folios 179 a 182 del mismo cuaderno de pruebas.�

��

[94]Ver 183 y 184 del cuaderno de pruebas No. 5 (p�ginas 82 y 83 de la Gaceta No. 80 de 2011.�

��

[95]Ver folio 158 del cuaderno de pruebas No. 7.�

��

[96]Ver folio 1 del cuaderno de pruebas No. 6�

��

[97]Ver folios 21 y 22 del cuaderno de pruebas No. 6�

��

[98]Ver folios 31 y 32 del cuaderno de pruebas No. 5�

��

[99]Ver folio 1 del cuaderno de pruebas No. 5�

��

[100]Ver ac�pite 2.1.2. (b), p�gina 6, Supra.�

��

[101]Ver ac�pite 2.1.4. (b), p�ginas 9 y 10, Supra.�

��

[102]Ver ac�pite 2.2.3. (b), p�gina 14, Supra.�

��

[103]Ver ac�pite 2.2.5. (b), p�gina 20, Supra.�

��

[104]Ver ac�pite 2.3.2. (b), p�ginas 21 y 22, Supra.�

��

[105]Ver ac�pite 2.3.3. (b), p�ginas 22 y 23, Supra.�

��

[106]As� consta en el acta No. 12 de esa misma fecha, publicada en la Gaceta del Congreso No. 958 del 24 de noviembre de 2010.�

��

[107]Ver Acta No. 23 de la misma fecha, publicada en la Gaceta del Congreso 849 del 2 de noviembre de 2010.�

��

[108]Seg�n consta en el Acta No. 33 de la misma fecha, publicada en la Gaceta del Congreso 39 del 11 de febrero de 2011.�

��

[109]Sesi�n Plenaria contenida en el Acta No. 34 de la misma fecha, publicada en la Gaceta del Congreso No. 80 del 11 de marzo de 2010.�

��

[110]As� se observa en el Acta No. 43 de la sesi�n plenaria de la C�mara de Representantes de esa fecha, contenida en la Gaceta del Congreso No. 237 del 6 de mayo de 2011.E igualmente, en el Acta No. 35 de la sesi�n plenaria del Senado de la Rep�blica de la misma fecha, contenida en la Gaceta del Congreso No. 81 del 14 de marzo de 2011�

��

[111]Cfr. Sentencia C-644 de 2004, M.P. Rodrigo Escobar Gil, Auto 038 de 2004 M.P. Manuel Jos� Cepeda Espinosa y Sentencia C-533 de 2004 M.P. �lvaro Tafur Galvis�

��

[112]Auto A-089 de M.P.: Manuel Jos� Cepeda Espinosa; SV: Jaime Araujo, Alfredo Beltr�n, Jaime C�rdoba y Clara In�s Vargas.�

��

[113]Sentencia C-576 de 2006�

��

[114]As� consta en el Acta No. 11 de esa fecha, publicada en la Gaceta del Congreso No. 957 del 24 de noviembre de 2010�

��

[115]Seg�n consta en el Acta No. 12 de esa misma fecha, publicada en la Gaceta del Congreso No. 958 del 24 de noviembre de 2010.�

��

[116]Tal como consta en el Acta No. 22 de la misma fecha, publicada en la Gaceta del Congreso 925 del 18 de noviembre de 2010.�

��

[117]As� se observa en el Acta No. 23 de la misma fecha, publicada en la Gaceta del Congreso 849 del 2 de noviembre de 2010�

��

[118]Sesi�n contenida en el Acta No. 32 de esa fecha, publicada en la Gaceta del Congreso No. 38 del 11 de febrero de 2011�

��

[119]Como consta en el Acta No. 42 de esa fecha, publicada en la Gaceta del Congreso No. 287 del 20 de mayo de 2011�

��

[120]Ver sentencia C-486 de 2009, M.P. Mar�a Victoria Calle Correa. La Corte ha se�alado claramente que un vicio por desconocimiento del principio de unidad de materia tiene car�cter sustancial y, por tanto, "no es subsanable"(Sentencia C-025 de 1993. M.P. Eduardo Cifuentes Mu�oz); y "por ende la acci�n contra una norma legal por violar el art�culo 158 de la Carta no caduca"(Sentencia C-531 de 1995. M.P. AlejandroMart�nez Caballero). Ver adem�s las sentencias C-256 de 1998 M.P. Fabio Mor�n D�az, C-006 de 2001 M.P. Eduardo Montealegre Lynett, C-501 de 2001 M.P. Jaime C�rdoba Trivi�o, C-120 de 2006 MP. Alfredo Beltr�n Sierra, C-506 de 2006 M.P. Clara In�s Vargas Hern�ndez, C-211 de 2007 M.P. �lvaro Tafur Galvis, C-214 de 2007 M.P. �lvaro Tafur Galvis y C-230 de 2008 M.P. Rodrigo Escobar Gil.�

��

[121]La Corte, entre otras, en la Sentencia C-501 de 2001 (MP. Jaime C�rdoba Trevi�o), en lo referente al proceso de elaboraci�n de la ley, ha reconocido como manifestaciones del principio de unidad de materia, i) la atribuci�n conferida a los presidentes de las comisiones legislativas de rechazar los proyectos de ley que no se refieran a una sola materia, y ii) concretar el principio democr�tico en el proceso legislativo al propender porque la iniciativa, los debates y la aprobaci�n de las leyes se atengan a unas materias predefinidas desde el surgimiento mismo de la propuesta y que en esa direcci�n se canalicen las discusiones y los aportes previos a la promulgaci�n de la ley�

��

[122]M.P. Jorge Ignacio Pretelt Chaljub�

��

[123]Cfr. Sentencia C-025 de 1993, M.P. Eduardo Cifuentes Mu�oz. En el mismo sentido, ver tambi�n la Sentencia C-1067 de 2008, M.P. Marco Gerardo Monroy Cabra.�

��

[124]Ver �bidem�

��

[125]Cfr. ib�dem�

��

[126]Sentencia C-714 de 2008, M.P. Nilson Pinilla Pinilla.�

��

[127]Cfr. Sentencia C-786 de 2004, M.P. Marco Gerardo Monroy Cabra.�

��

[128]Ib�dem�

��

[129]Cfr. Sentencias C-025 de 1993, M.P. Eduardo Cifuentes Mu�oz, reiterada en la Sentencia C-992 de 2001, M.P. Rodrigo Escobar Gil.�

��

[130]Ver Sentencia C-1025 de 2001. MP Manuel Jos� Cepeda Espinosa�

��

[131]El segundo inciso del art�culo 160 Superior establece: "Durante el segundo debate cada c�mara podr� introducir al proyecto las modificaciones, adiciones y supresiones que juzgue necesarias".�

��

[132]Los numerales 2 y 3 del art�culo 157 de la Carta se�alan:�

��

"Ning�n proyecto ser� ley sin los requisitos siguientes:�

��

(�)�

��

2�) Haber sido aprobado en primer debate en la correspondiente comisi�n permanente de cada c�mara (�).�

��

3�) Haber sido aprobado en cada c�mara en segundo debate�

��

(�)"�

��

[133]Sobre la caracterizaci�n del principio de identidad, ver sentencias C-141 de 2010, M.P. Humberto Antonio Sierra Porto; C-539 de 2008, M.P. Humberto Antonio Sierra Porto; C-178 de 2007, M.P. Manuel Jos� Cepeda Espinosa; C-305 de 2004, M.P. Marco Gerardo Monroy Cabra; C-312 de 2004, M.P. Alfredo Beltr�n Sierra; C-1056 de 2003, M.P. Alfredo Beltr�n Sierra; C-1147 de 2003, M.P. Rodrigo Escobar Gil; C- 801 de 2003, M.P. Jaime C�rdoba Trivi�o; C-839 de 2003, M.P. Jaime C�rdoba Trivi�o; C-922 de 2001, M.P. Marco Gerardo Monroy Cabra; C-950 de 2001, M.P. Jaime C�rdoba Trivi�o; y C-1488 de 2000, M.P. Martha Victoria S�chica M�ndez.�

��

[134]M.P. Humberto Antonio Sierra Porto�

��

[135]Sentencia C-208 de 2005 "resulta contrario al principio de consecutividad en la aprobaci�n de las leyes que un texto propuesto en el seno de las comisiones no sea sujeto al tr�mite correspondiente, sino que, simplemente, se delegue su estudio a las plenarias de cada c�mara, puesto que tal situaci�n, en la que la comisi�n correspondiente renuncia a su competencia constitucional a favor de las plenarias, impide que se efect�e debidamente el primer debate del proyecto de ley, desconoci�ndose con ello lo dispuesto en el inciso 2� del art�culo 157 C.P."�

��

[136]Sentencias C-801 de 2003, C-839 de 2003, C-1113 de 2003, C-1056 de 2003, C-1147 de 2003 y C-1152 de 2003, 1092 de 2003, C-312 de 2004, C-313 de 2004, C-370 de 2004, C-372 de 2004.�

��

[137]M.P. Jorge Ignacio Pretelt Chaljub�

��

[138]Se aclara que se analizar�n los cambios en el contenido de las disposiciones, pues, por impertinentes, no ser� objeto de estudio aquellas modificaciones relacionadas con la redacci�n, gram�tica o terminolog�a.�

��

[139]Ver Gaceta No. 488 de 2010. Folio 493 del cuaderno de pruebas No.2�

��

[140]Ver Gaceta No. 625 de 2010. Folio 425 del cuaderno de pruebas No. 2�

��

[141]Folio 493 del cuaderno de pruebas No. 2�

��

[142]P�ginas 11 y 12 de la Gaceta No. 488 de 2010 -donde se public� el proyecto de ley y su exposici�n de motivos- (folios 494 y 495 del cuaderno de pruebas No. 2)�

��

[143]En p�gina 10 de la Gaceta del Congreso No. 1023 de 2010, a folio 22 del cuaderno de pruebas No. 4�

��

[144]Ver: 1. Gaceta No. 488 de 2010, donde se encuentra publicado el proyecto de ley.�

��

2. Gaceta No. 625 de 2010, en la que se public� la ponencia para primer debate en C�mara de Representantes.�

��

3. Gaceta No. 958 de 2010, que contiene el Acta No. 12 del 14 de septiembre de 2010, cuando se aprob� el proyecto en primer debate.�

��

4. Gaceta No. 706 de 2010, publicaci�n ponencia segundo debate�

��

5. Gacetas 849 y 868 de 2010, que contienen las actas No. 23 y 24 del 13 y 19 de octubre de 2010, respectivamente, donde constan las discusiones y aprobaci�n delproyecto en segundo debate.�

��

[145]Ver Gaceta del Congreso No. 60 del 28 de febrero de 2011 a folios 90 a 94 del cuaderno de pruebas No. 4�

��

[146]En p�gina 10 de la Gaceta del Congreso No. 1023 de 2010, a folio 22 del cuaderno de pruebas No. 4�

��

[147]Ver las Gacetas No. 1101 y 1102 de 2010 donde se encuentra publicado el informe de la Comisi�n Accidental de Conciliaci�n.�

��

[148]M.P. Manuel Jos� Cepeda Espinosa�

��

[149]Sentencia C-013 de 1993, M.P. Eduardo Cifuentes Mu�oz.�

��

[150]C-222 de 1997, M.P. Jos� Gregorio Hern�ndez Galindo, donde la Corte examina la constitucionalidad de una modificaci�n introducida a un Acto Legislativo durante el segundo per�odo y precisa las reglas sobre tr�mite de leyes que son aplicables a los actos legislativos.�

��

[151]As� lo reconoci� la Corte en la sentencia C-013 de 1993, M.P. Eduardo Cifuentes Mu�oz, en donde la Corte examina una demanda contra la Ley 1� de 1991 (Estatuto de Puertos Mar�timos), demandada, entre otras cosas, porque como en la discusi�n de la ley en las sesiones de la Comisi�n III de la C�mara de Representantes y en las sesiones plenarias de C�mara y Senado, no hab�a habido controversia ni posiciones enfrentadas, no hab�a existido por lo tanto debate. La Corte rechaza esta visi�n coloquial de "debate" y precisa que debe acudirse a la definici�n legal.�

��

[152]En este sentido, la Sentencia C-222 de 1997, M.P. Jos� Gregorio Hern�ndez Galindo establece que el debate es un requisito indispensable de la decisi�n y que en virtud de su importancia constitucional se estableci� la necesidad de que exista un qu�rum deliberatorio.�

��

[153]Ver, entro otras, las sentencias C-141 de 2010, M.P. Humberto Antonio Sierra Porto; C-033 de 2009, M.P. Manuel Jos� Cepeda Espinosa; C-1488 de 2000, M.P. Martha Victoria S�chica M�ndez; C-702 de 1999, M.P. Fabio Mor�n D�az.�

��

[154]Ver Sentencia C-141 de 2010, M.P. Humberto Antonio Sierra Porto�

��

[155]Siempre y cuando haya acaecido luego de completarse una de las etapas estructurales del proceso legislativo, esto es, el debate y aprobaci�n del proyecto de ley tanto en comisi�n como en plenaria de una de las c�maras. Ver, entre otras, las providencias Auto 309 de 2009, M.P. Juan Carlos Henao P�rez; Auto 081 de 2008, M.P. Jaime C�rdoba Trivi�o; Sentencia C-241 de 2006, M.P. Marco Gerardo Monroy Cabra; C-576 de 2006, M.P. Manuel Jos� Cepeda Espinosa.�

��

[156]Ver la sentencia T-729 de 2002, M.P. Eduardo Montealegre Lynett. 34�

��

[157]El interviniente plantea de manera puntual los siguientes interrogantes: "(�) en Colombia existen muchos archivos de entidades p�blicas y privadas que contienen datos personales. Por ejemplo, los comerciantes tienen datos personales sobre sus clientes, y a pesar de que en Colombia existe una normativa sobre la regulaci�n de los archivos, �sta se encuentra dispersa y se refiere al tratamiento correcto de los archivos pero no al tratamiento de los datos personales. Lo anterior, es una raz�n para no excluir del �mbito de aplicaci�n del proyecto de ley bajo estudio, la informaci�n personal que reposa en archivos."Agrega que "es de suma relevancia que la informaci�n personal que reposa en los archivos de entidades p�blicas o privadas sea tratada observando el contenido del art�culo 15 Superior como tambi�n las reglas jurisprudenciales que ha desarrollado esta Corporaci�n, en el sentido de reconocer que las bases de datos y los archivos son figuras diferentes."�

��

[158]Cfr. sentencia T-443 de 1994, M.P. Eduardo Cifuentes Mu�oz. 36�

��

[159]M.P. Jaime C�rdoba Trivi�o.�

��

[160]La Corte expres� lo siguiente en la sentencia C-1011 de 2008, M.P. Jaime C�rdoba Trivi�o: "No obstante esta comprobaci�n, la Corte advierte necesario estipular que la legitimidad constitucional de la consagraci�n de �mbitos de exclusi�n a las reglas contenidas en el Proyecto de Ley no significa, de ning�n modo, que tanto esos �mbitos, como todos aquellos en los que se llevan a cabo labores de recopilaci�n, tratamiento y circulaci�n de datos personales, est�n excluidos de la protecci�n que incorpora el derecho fundamental al h�beas data y, en general, la libertad y las dem�s garant�as en la Constituci�n, seg�n la f�rmula establecida en el art�culo 15 C.P. y conforme a los principios identificados por la jurisprudencia constitucional y descritos en el apartado 2 del presente an�lisis material. Por lo tanto, en cada una de las actividades de gesti�n de datos personales deber� cumplirse con el plexo de derechos, libertades y garant�as propias del derecho fundamental al h�beas data, seg�n las consideraciones expresadas a lo largo de esta sentencia. Inclusive, la Sala advierte que las mismas normas de la ley estatutaria, en cuanto prev�n los principios de administraci�n de datos personales, al igual que los derechos y deberes de titulares, fuentes y usuarios; pueden servir de par�metro para la evaluaci�n de la legitimidad de otras modalidades de tratamiento de informaci�n personal, en tanto dichos preceptos resulten pertinentes y aplicables.�

��

Esta conclusi�n se soporta en el hecho que la promulgaci�n de una disposici�n estatutaria no desvirt�a el valor normativo del Texto Constitucional y la aplicaci�n inmediata de las disposiciones que consagran los derechos fundamentales (Art. 85 C.P.)."�

��

[161]Si bien es cierto esta observaci�n se refiere al derecho a la intimidad, como se explic� en apartes previos, el derecho al habeas data en el sistema universal de protecci�n de derechos humanos se sigue garantizando por intermedio del derecho a la intimidad, pues la autonom�a del primero a�n no ha sido reconocida, por lo menos a nivel de los tratados internacionales.�

��

[162]Por ejemplo, en la sentencia T-396 de 1998, M.P. Antonio Barrera Carbonell, la Corte sostuvo que entes que cumplen funciones administrativas no pueden establecer excepciones a las reglas de una ley estatutaria, pues ese es un asunto de competencia exclusiva del legislador estatutario.�

��

[163]El Comit� explic� lo siguiente al respecto en la Observaci�n General 16: "Con la introducci�n del concepto de arbitrariedad se pretende garantizar que incluso cualquier injerencia prevista en la ley est� en consonancia con las disposiciones, los prop�sitos y los objetivos del Pacto y sea, en todo caso, razonable en las circunstancias particulares del caso."�

��

[164]El art�culo 2 de la Ley 1266 dispone al respecto: "(�) quedan excluidos de la aplicaci�n de la presente ley aquellos datos mantenidos en un �mbito exclusivamente personal o dom�stico yaquellos que circulan internamente, esto es, que no se suministran a otras personas jur�dicas o naturales". Tambi�n fueron tratadas como dos hip�tesis diferentes en la sentencia C-1011 de 2008, M.P. Jaime C�rdoba Trivi�o, en la que la Corte manifest� sobre el contenido del inciso quinto del art�culo 2: "(�) la Sala considera oportuno identificar dos contenidos diferenciados, que se predican del inciso quinto. El primero, que prescribe la inaplicabilidad de la normatividad estatutaria a aquellos datos que mantenidos en un �mbito personal o dom�stico. El segundo, relacionado con la exclusi�n de la aplicaci�n de la norma estatutaria respecto de los datos que circulan internamente, esto es, que no se suministran a otras personas naturales jur�dicas."�

��

[165]En la Ley 1266 el legislador decidi� darles el mismo tratamiento, es decir, resolvi� excluir las dos hip�tesis de la aplicaci�n de sus disposiciones; sin embargo, como explic� esta Corte en la sentencia C-1011 de 2008, ello se debi� a que la Ley 1266 se refiere exclusivamente a los datos personales financieros y comerciales destinados a calcular el riesgo crediticio de las personas, �mbito en el que s� es razonable excluir los datos que circulan internamente, pues no pueden ser usados precisamente para calcular el riesgo crediticio.�

��

[166]M.P. Eduardo Montealegre Lynett y Clara In�s Vargas Hern�ndez.�

��

[167]En la sentencia C-251 de 2002, M.P. Eduardo Montealegre Lynett y Clara In�s Vargas Hern�ndez, la Corte explic� lo siguiente:"La posibilidad de imponer deberes en materia de orden p�blico y defensa se encuentra adem�s delimitada por la propia Carta, que atribuye ese papel fundamentalmente a la Fuerza P�blica. As�, a las Fuerzas Militares corresponde la defensa de la soberan�a, la independencia, la integridad del territorio nacional y del orden constitucional, mientras que la Polic�a debe mantener las condiciones necesarias para el ejercicio de los derechos y libertades p�blicas, y asegurar que los habitantes de Colombia convivan en paz (CP arts 217 y 218). Esto significa que es la Fuerza P�blica la garante de la convivencia ciudadana, y no puede trasladarse a los propios ciudadanos esa funci�n, sin desnaturalizar la estructura constitucional del Estado colombiano, como se explicar� posteriormente."�

��

[168]Cfr. Sentencia C-1011 de 2008, M.P. Jaime C�rdoba Trivi�o.�

��

[169]En la sentencia C-251 de 2002, M.P. Eduardo Montealegre Lynett y Clara In�s Vargas Hern�ndez, la Corte expres�: "As�, esa f�rmula constitucional implica una proscripci�n de cualquier asomo totalitario. En efecto, como es sabido, los Estados totalitarios -como el nazismo y el fascismo- que se desarrollaron en Europa entre las dos guerras mundiales, ten�an algunos rasgos distintivos: eran no s�lo reg�menes de terror sino naciones en donde no exist�an l�mites entre el Estado y la sociedad, de suerte que la sociedad era absorbida por el Estado169. Adem�s, en ese tipo de sociedades las personas estaban al servicio del Estado, que era considerado un fin en s� mismo. En radical oposici�n a ese tipo de filosof�as pol�ticas, la Carta de 1991, que es esencialmente personalista y no estatalista, hace de la dignidad y los derechos de la persona la base del Estado, y por ello, en vez de poner al individuo al servicio del Estado, pone a las autoridades al servicio de la comunidad y de las personas (CP arts 1�, 2� y 5�). "El sujeto, raz�n y fin de la Constituci�n de 1991 es la persona humana", ha reiterado esta Corte desde sus primeras decisiones. Y por consiguiente, es claro que est�n proscritas de nuestro ordenamiento constitucional las pol�ticas que permitan una absorci�n de la sociedad por el Estado, o la instrumentaci�n de las personas en beneficio del simple engrandecimiento y glorificaci�n del Estado.�

��

9- Estos rasgos definitorios del Estado colombiano, tienen implicaciones evidentes sobre las pol�ticas de seguridad y defensa. Si el Estado se fundamenta en la dignidad y derechos de la persona, entonces la preservaci�n del orden p�blico no es una finalidad en s� misma sino que constituye, como esta Corte lo ha dicho, 'un valor subordinado al respeto a la dignidad humana', por lo que, 'la preservaci�n del orden p�blico lograda mediante la supresi�n de las libertades p�blicas no es entonces compatible con el ideal democr�tico'. Y de otro lado, si el Estado est� al servicio de la comunidad y de las personas, entonces corresponde obviamente a las autoridades del Estado proteger y ser garantes de la seguridad de las personas, y no a las personas proteger y ser garantes de la seguridad del Estado."�

��

[170]M.P. Jaime C�rdoba Trivi�o.�

��

[171]De forma similar, en la sentencia C-127 de 1993, M.P. Alejandro Mart�nez Caballero, la Corte concluy� "que la comunidad internacional ha reconocido en forma un�nime y reiterada que el terrorismo es un delito que por ser atroz tiene un trato distinto."Luego, en la sentencia C-762 de 2002, M.P. Rodrigo Escobar Gil, la Corte reconoci� que el terrorismo afecta gravemente distintos derechos fundamentales y, por tanto, se trata de una conducta cuya necesidad de investigaci�n y sanci�n ha sido previsto por las normas del derecho internacional, entre ellas aquellas que tienen car�cter de ius cogens. Ver tambi�n las sentencias C-1055 de 2003, M.P. Marco Gerardo Monroy Cabra, y C-037 de 2004, M.P. Jaime C�rdoba Trivi�o.�

��

[172]Ver sentencia C-931 de 2007, M.P. Marco Gerardo Monroy Cabra. La Corte expres� lo siguiente en dicha oportunidad: "En efecto, en los �ltimos tiempos, las organizaciones delictivas se han incorporado al mundo globalizado para aprovechar sus beneficios tecnol�gicos y comerciales. El desarrollo de los medios de comunicaci�n, del comercio electr�nico, de los medios de transporte ha permitido la sofisticaci�n de los mecanismos delictivos, haciendo cada vez m�s dif�cil la detecci�n de los responsables, as� como m�s ardua la aprehensi�n de sus ganancias."�

��

[173]La necesidad de dar aplicaci�n a los principios del habeas data en las labores de detecci�n de la financiaci�n de terrorismo ya hab�a sido anunciada por la Corte en la sentencia C-537 de 2008, M.P. Jaime C�rdobaTrivi�o, en la que la Corporaci�n explic�: "(�) el intercambio de informaci�n financiera que prev�n las disposiciones analizadas deber�, en todo caso, estar precedido de la garant�a del derecho a la autodeterminaci�n informativa de los afectados con las medidas, en los t�rminos del art�culo 15 C.P. Por lo tanto, las acciones que ejecute el Estado con el fin de cumplir con sus compromisos en la interdicci�n de recursos destinados a la financiaci�n del terrorismo, deber�n garantizar que los titulares de la informaci�n conserven la facultad de conocer, actualizar y rectificar los datos concernidos. De la misma manera, el tratamiento de esa informaci�n estar� supeditado a la eficacia de los principios de libertad, necesidad, veracidad, integridad, incorporaci�n, finalidad, utilidad, circulaci�n restringida, caducidad e individualidad, conforme lo ha precisado la jurisprudencia constitucional."�

��

[174]Informe publicado en la Gaceta No. 1080 del 13 de diciembre de 2010.�

��

[175]M.P. Alejandro Mart�nez Caballero y Jorge Arango Mej�a.�

��

[176]M.P. Nilson Pinilla Pinilla.�

��

[177]En la sentencia T-066 de 1998, M.P. Eduardo Cifuentes Mu�oz, la Corte resalt� la importancia de las labores de inteligencia en un estado constitucional as�: "(�) se pregunta la Corte si los organismos de seguridad est�n autorizados para recopilar informaciones sobre las personas. Este interrogante ya ha sido respondido de manera afirmativa por esta Corporaci�n. Ello con fundamento en la obligaci�n del Estado de velar por la vigencia del orden constitucional y brindarle a los asociados tanto las condiciones necesarias para el ejercicio de los derechos y las libertades como un ambiente de paz, deberes �stos cuyo cumplimiento reposa en muy importante grado en las fuerzas militares y la polic�a nacional (C.P., arts. 217 y 218)".�

��

[178]En la sentencia T-066 de 1998, M.P. Eduardo Cifuentes Mu�oz, la Corte ya hab�a precisado que si bien el recaudo de datos personales para actividades de inteligencia y contrainteligencia es autorizado por la Constituci�n, en todo caso debe respetar los derechos fundamentales, el debido proceso y los principios de reserva, necesidad y finalidad propios del habeas data. La Corte expres�: "Mas esta facultad no es ilimitada. Obs�rvese que en el mismo aparte transcrito se establece que en el proceso de acopio de informaci�n se deben respetar los derechos humanos y el debido proceso. Adem�s, en la misma sentencia se estableci� que los aludidos organismos de seguridad deben mantener la m�s estricta reserva sobre los datos obtenidos, es decir que "no pueden difundir al exterior la informaci�n sobre una persona, salvo en el �nico evento de un 'antecedente' penal o contravencional, el cual permite divulgar a terceros la informaci�n oficial sobre una persona�

��

(�)�

��

De otra parte, ha de tenerse en cuenta que la informaci�n que se recopila ha de ser la estrictamente necesaria, de manera que no se afecte el derecho de los asociados a la intimidad. Adem�s, para que se emprenda una investigaci�n sobre determinadas personas deben existir motivos que permitan presumir de manera razonable que ellas pueden haber incurrido en un il�cito. De no existir esta �ltima condici�n se abrir�an las puertas a un Estado controlador, en desmedro de la libertad de los ciudadanos."�

��

[179]Ver sentencias T-444 de 1992, M.P. Alejandro Mart�nez Caballero; T-525 de 1992, M.P. Ciro Angarita Bar�n; y T-066 de 1998, M.P. Eduardo Cifuentes Mu�oz. Seg�n estas sentencias, la informaci�n de inteligencia y contrainteligencia es reservada y, en consecuencia, no puede ser revelada a los medios de comunicaci�n o en "ruedas de prensa". Adem�s, en la primera sentencia, la Corte asegur�: "(�) de suerte que pueda incluso recopilar y archivar informaci�n sobre una persona, en el marco de sus leg�timas y democr�ticas funciones, siempre y cuando no divulgue ni de a la publicidad por ning�n medio la informaci�n sobre esa persona, salvo el evento que ella tenga antecedentes penales o contravencionales, esto es, que tenga una condena proferida en sentencia judicial definitiva, como lo dispone el art�culo 248 constitucional, que se reproduce en el art�culo 12 del c�digo de procedimiento penal, como principio rector del nuevo ordenamiento procedimental."�

��

[180]Ver sentencia T-634 de 2001, M.P. Jaime Araujo Renter�a.�

��

[181]Ver Bignami, Francesca. "European versus American Liberty: A Comparative Privacy Analysis of Antiterrorism Data Mining". Boston College Law Review, 2007. P. 609.�

��

[182]M.P. Manuel Jos� Cepeda Espinosa�

��

[183]M.P. Jaime C�rdoba Trivi�o.�

��

[184]Ver sentencia T-729 de 2002, M.P. Eduardo Montealegre Lynett.�

��

[185]Cfr. Sentencia T-414 de 1992, M.P. Ciro Angarita Bar�n.�

��

[186]Ver sentencias T-729 de 2002, M.P. Eduardo Montealegre Lynett; C-491 de 2007, M.P. Jaime C�rdoba Trivi�o; y C-1011 de 2008, M.P. Jaime C�rdoba Trivi�o, y art�culo 3 de la Ley 1266.�

��

[187]M.P. Vladimiro Naranjo Mesa.�

��

[188]M.P. Jaime C�rdoba Trivi�o. La Corte expres�: "Aunque el precedente citado ha contemplado que la informaci�n de esta condici�n es propia de las personas naturales, en criterio de la Sala nada se opone a que la categor�a se extienda a las personas jur�dicas. Ello debido a que, en consonancia con lo se�alado a prop�sito del an�lisis de constitucionalidad del literal a) del art�culo objeto de examen, la aplicaci�n del derecho al h�beas data financiero y, en general, de los principios de administraci�n de datos personales, se predica a favor de todo sujeto jur�dico que est� en capacidad de producir informaci�n susceptible de ser objeto de los actos de recolecci�n, tratamiento y circulaci�n a que refiere el art�culo 15 C.P. En consecuencia, es compatible con la Carta Pol�tica que dentro de la definici�n de dato personal, se incluya el producido por las personas jur�dicas, pues �stas son titulares del derecho al h�beas data." (negrilla fuera del texto).�

��

[189]Estos conceptos parecen ser tomados del art�culo 2 de la Directiva 95/46/CE, que los define as�: �responsable del tratamiento�: la persona f�sica o jur�dica, autoridad p�blica, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento est�n determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios espec�ficos para su nombramiento podr�n ser fijados por el Derecho nacional o comunitario; �encargado del tratamiento�:la persona f�sica o jur�dica, autoridad p�blica, servicio o cualquier otro organismo que trate datos personales por cuenta del responsable del tratamiento.�

��

[190]GRUPO DEL ART�CULO 29 SOBRE PROTECCI�N DE DATOS. Este Grupo se cre� en virtud del art�culo 29 de la Directiva 95/46/CE. Se trata de un �rgano consultivo europeo independiente en materia de protecci�n de datos y derecho a la intimidad. .�

��

[191]Sobre la importancia de esta diferenciaci�n, el Dictamen 1/2010 del 16 de febrero de 2010 indica: "(�) la aplicaci�n concreta de los conceptos de responsable del tratamiento de datos y encargado del tratamiento de datos se est� haciendo cada vez m�s compleja. Esto se debe ante todo a la creciente complejidad del entorno en el que se usan estos conceptos y, en particular, a una tendencia en aumento, tanto en el sector privado como en el p�blico, hacia una diferenciaci�n organizativa, combinada con el desarrollo de las TIC y la globalizaci�n, lo cual puede dar lugar a que se planteen cuestiones nuevas y dif�ciles y a que, en ocasiones, se vea disminuido el nivel de protecci�n de los interesados".�

��

[192]En la Directiva 1/2010 sobre el concepto de encargado del tratamiento, se afirma: "(�) para poder actuar como encargado del tratamiento tienen que darse dos condiciones b�sicas: por una parte, ser una entidad jur�dica independiente del responsable del tratamiento y, por otra, realizar el tratamiento de datos personales por cuenta de �ste"�

��

[193]En el art�culo 2 de la Ley 25.326 de 2000, el legislador argentino hizo referencia al responsable de archivo, registro, base o banco de datoscomo el titular del respectivo archivo, registro, base o banco de datos. En Uruguay, la Ley 18.331 de 2008, define en el art�culo 7 al responsable como el "propietario de la base de datos o que decida sobre la finalidad, contenido y uso del tratamiento". La Ley Org�nica de Protecci�n de Datos Personales espa�ola de 1999, define al responsable del tratamiento la "persona f�sica o jur�dica, de naturaleza p�blica o privada, u �rgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento".La Ley 19.628 de 1999 en Chile y la Ley 8969 de 2011 en Costa Rica, definen al responsable como la persona que "administre, gerencie o se encargue de la base de datos, (�) con arreglo a la ley, para decidir cu�l es la finalidad de la base de datos, cu�les categor�as de datos de car�cter personal deber�n registrase y qu� tipo de tratamiento se les aplicar�n".�

��

[194]La fuente es definida por el art�culo 3 de la Ley 1266 as�: "b) Fuente de informaci�n. Es la persona, entidad u organizaci�n que recibe o conoce datos personales de los titulares de la informaci�n, en virtud de una relaci�n comercial o de servicio o de cualquier otra �ndole y que, en raz�n de autorizaci�n legal o del titular, suministra esos datos a un operador de informaci�n, el que a su vez los entregar� al usuario final. Si la fuente entrega la informaci�n directamente a los usuarios y no, a trav�s de un operador, aquella tendr� la doble condici�n de fuente y operador y asumir� los deberes y responsabilidades de ambos. La fuente de la informaci�n responde por la calidad de los datos suministrados al operador la cual, en cuanto tiene acceso y suministra informaci�n personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstas para garantizar la protecci�n de los derechos del titular de los datos;"�

��

[195]El usuario es definido por el art�culo 3 de la Ley 1266 as�: "d) Usuario. El usuario es la persona natural o jur�dica que, en los t�rminos y circunstancias previstos en la presente ley, puede acceder a informaci�n personal de uno o varios titulares de la informaci�n suministrada por el operador o por la fuente, o directamente por el titular de la informaci�n. El usuario, en cuanto tiene acceso a informaci�n personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstos para garantizar la protecci�n de los derechos del titular de los datos. En el caso en que el usuario a su vez entregue la informaci�n directamente a un operador, aquella tendr� la doble condici�n de usuario y fuente, y asumir� los deberes y responsabilidades de ambos;"�

��

[196]La Directiva afirma: "La determinaci�n del �fin� del tratamiento es competencia del �responsable del tratamiento�. Por consiguiente, quien quiera que tome esta decisi�n es (de facto) el responsable del tratamiento. �ste puede delegar la determinaci�n de los �medios� del procesamiento en la medida en que se trate de cuestiones t�cnicas u organizativas. Las cuestiones de fondo que sean esenciales a efectos de la legitimidad del tratamiento son competencia del responsable del tratamiento. Una persona o un ente que decida, por ejemplo, cu�nto tiempo se almacenar�n los datos o que tenga acceso alos datos tratados act�a como responsable del tratamiento respecto de esta parte del uso de los datos y, por tanto, debe cumplir todas las obligaciones que incumben a un responsable del tratamiento."�

��

[197]Sobre el particular el Dictamen de 2010 precis� "�existe control conjunto cuando las diferentes partes determinan, respecto de unas operaciones de tratamiento espec�ficas, o bien los fines o bien aquellos elementos esenciales de los medios que caracterizan al responsable del tratamiento.�

��

"No obstante, en el contexto del control conjunto, la participaci�n de las partes en la determinaci�n conjunta puede revestir distintas formas y el reparto no tiene que ser necesariamente a partes iguales. De hecho, cuando son varios los agentes, estos pueden tener una relaci�n muy estrecha entre s� (y compartir, por ejemplo, todos los fines y medios de un tratamiento), o bien una relaci�n m�s laxa (y, por ejemplo, compartir s�lo los fines o los medios, o una parte de �stos). Por lo tanto, debe tomarse en consideraci�n una amplia variedad de tipolog�as de control conjunto y analizarse sus consecuencias legales, procediendo con cierta flexibilidad para tener en cuenta la creciente complejidad de la realidad actual del tratamiento de datos. Habida cuenta de estas circunstancias, es necesario examinar los diferentes grados de interacci�n o relaci�n que pueda haber entre las m�ltiples partes implicadas en el tratamiento de datos personales. En primer lugar, el mero hecho de que diferentes partes cooperen en el tratamiento de datos personales, por ejemplo en cadena, no implica que sean conjuntamente responsables del tratamiento en todos los casos, puesto que un intercambio de datos entre dos partes que no compartan fines y medios para un conjunto de operaciones comunes podr�a considerarse solamente como una transferencia de datos entre responsables del tratamiento que act�an por separado."�

��

[198]Ib�dem P�g. 194�

��

[199]En relaci�n con este punto la Directiva 10 es enf�tica en se�alar lo siguiente: "Habida cuenta de estas circunstancias, cabe argumentar que la responsabilidad solidaria de todas las partes implicadas debe considerarse un medio para eliminar incertidumbres y, en consecuencia, s�lo debe presumirse que existe tal responsabilidad solidaria cuando las partes implicadas no hayan establecido una asignaci�n alternativa, clara e igualmente eficaz de las obligaciones y responsabilidades o cuando �sta no emane claramente de las circunstancias de hecho" p�g. 27.�

��

[200]Cfr. sentencia SU-1193 de 2000.�

��

[201]Est�ndares internacionales sobre protecci�n de datos personales y privacidad, aprobados el 5 de noviembre de 2009 en Madrid en el marco de la 31 Conferencia Internacional de Autoridades de Protecci�n de Datos y Privacidad. Definici�n que coincide en gran parte con la contenida en la Directiva 95 46 del Parlamento Europeo y del Consejo del 24 de octubre de 1995.�

��

[202]Por ejemplo, la Constituci�n espa�ola en su art�culo 18.4 se�ala que la ley limitar� el uso de la inform�tica, de donde algunos autores deducen que las regulaciones para el procesamiento de datos solo comprende los procesos automatizados.�

��

[203]Garc�a Gonz�lez, Aristeo. La protecci�n de datos personales: derecho fundamental del siglo XXI. Un estudio comparado Bolet�n Mexicano de Derecho Comparado [en l�nea] 2007, XL (Septiembre-Diciembre) : Disponible en: <http://redalyc.uaemex.mx/redalyc/src/inicio/ArtPdfRed.jsp iCve=42712003> ISSN 0041-8633�

��

[204]Ob cit�

��

[205]Lusky, L., "Invasion of Privacy: a Clarification of Concepts. Citado por Garc�a Gonz�lez Aristeo. Ob cit�

��

[206]M.P. Juan Carlos Henao P�rez�

��

[207]M.P. Eduardo Montelagre Lynett�

��

[208]V�ase esta cualificaci�n del consentimiento como libre, previo y expreso, en sentencia SU-082 de 1995 (consideraciones sexta y d�cima). As� mismo en sentencias T-097 de 1995, T-552 de 1997 T-527 de 2000 y T- 578 de 2001.�

��

[209]M.P. Eduardo Montealegre Lynett�

��

[210]En la sentencia T-022 de 1993, la Corte reconoce la existencia de un "verdadero inter�s general" en la actividad de administraci�n de los datos personales de contenido crediticio, cuando con la misma en t�rminos de la Corte se "satisfaga la exigencia de dicho inter�s", es decir, cuando la divulgaci�n de la informaci�n se ajuste �nica y exclusivamente a la finalidad para la cual se administra: que las entidades financieras puedan medir el cr�dito y el nivel de riesgo de sus futuros clientes.�

��

[211]Cfr. sentencia T-729 de 2002.�

��

[212]Sobre el principio de veracidad, en las sentencias SU-082 de 1995 y SU-089 de 1995, la Corte afirm� como contenido del derecho al habeas data, la facultad de solicitar la rectificaci�n de la informaci�n que no corresponda a la verdad (consideraci�n quinta) As� mismo afirm� que no existe derecho alguno a "divulgar informaci�n que no sea cierta" (consideraci�n sexta). Reiterada en la sentencia T-097 de 1995. V�ase igualmente sentencias T-527 de 2000 y T-578 de 2001, entre otras. En la sentencia T-1085 de 2001, la Corte tutel� el derecho al habeas data al considerar que la entidad administradora vici� de parcialidad lainformaci�n, al suministrar datos negativos sin haber atendido la petici�n de daci�n en pago que presentara el actor.�

��

[213]Sentencia T-729 de2002�

��

[214]Sobre el alcance de la obligaci�n de retirar la informaci�n negativa, la Corte, en sentencia T-022 de 1993, afirm� que una vez satisfechos los presupuestos para solicitar la cancelaci�n de los datos, "�sta deber� ser total y definitiva. Vale decir, la entidad financiera no podr� trasladarlos ni almacenarlos en un archivo hist�rico. Tampoco limitarse a hacer una simple actualizaci�n del banco de datos cuando lo procedente es la exclusi�n total y definitiva del nombre del peticionario favorecido con la tutela. Porque ello no s�lo ir�a en menoscabo del derecho al olvido sino que se constituir�a en instrumento de control apto para prolongar injerencias abusivas o indebidas en la libertad e intimidad de su titular."�

��

[215]Sobre la descripci�n de este riesgo, la Corte, en sentencia T-414 de 1992, afirm�: "Es preciso, de otra parte, recordar que a partir de la d�cada del cincuenta m�quinas tales como los computadores han hecho posible no s�lo crear e interconectar enormes "bancos de datos" que pueden suministrar inmediatamente una vasta cantidad de informaci�n personal a grandes distancias y en forma m�s comprensiva, sino tambi�n establecer correlaciones entre datos que aisladamente son las m�s de las veces inofensivos pero que reunidos pueden descubrir aspectos cuya revelaci�n atenta contra la libertad e intimidad del ciudadano."�

��

[216]La "Resoluci�n de Madrid" es un documento producto de la "Propuesta Conjunta para la Redacci�n de Est�ndares Internacionales para la protecci�n de la Privacidad, en relaci�n con el Tratamiento de Datos de car�cter personal", acogido favorablemente por la 31 Conferencia Internacional de Autoridades de Protecci�n de Datos y Privacidad, celebrada el 5 de noviembre d 2009 en Madrid.�

��

[217]El l�mite al procesamiento de datos significa que este debe ser adecuado, relevante y no excesivo frente a los prop�sitos para los cuales se recabaron. La necesidad indica que debe hacerse lo posible para limitar el procesamiento de datos a lo estrictamente necesario.�

��

[218]Est� referido a que el controlador de datos debe ofrecer a la persona la informaci�n suficiente para que esta tenga la opci�n de establecer una relaci�n de transparencia con aquel.�

��

[219]Sostiene que el controlador de datos es responsable de adoptar todas las medidas necesarias para seguir las pautas del procesamiento de datos personales que imponga la legislaci�n nacional u otra autoridad competente.�

��

[220]Se�ala que las transferencias internacionales de datos s�lo deber�n efectuarse si el pa�s receptor, ofrece, como m�nimo, el mismo nivel de protecci�n de datos personales que brindas los principios aqu� rese�ados. Adicionalmente, este principio desarrolla los factores para determinar si un pa�s receptor otorga las normas m�nimas de protecci�n de datos: 1) la naturaleza de los datos; 2) el pa�s de origen; 3)el pa�s receptor; 4) el prop�sito para el cual se procesan los datos, y 5) las medidas de seguridad vigentes para la transferencia y el procesamiento de datos personales.�

��

[221]El derecho de acceso el derecho de la persona solicitar y obtener del controlador de datos informaci�n sobre sus datos personales.�

��

[222]La persona tiene derecho a solicitar que el controlador de datos corrija o suprima los datos personales que puedan ser incompletos, inexactos, innecesarios o excesivos.�

��

[223]La persona podr�a objetar el procesamiento de sus datos personales en los casos en que exista una raz�n leg�tima, como perjuicio o angustia injustificada y sustancial para ella.�

��

[224]Que se reconoce en el principio de legitimaci�n del dato personal.�

��

[225]Establece que el controlador de datos y el procesador de datos deben disponer de medidas t�cnicas y de organizaci�n razonables para garantizar la integridad, confidencialidad y disponibilidad de los datos personales.�

��

[226]Los controladores de datos y los procesadores de datos tienen el deber de mantener la confidencialidad de todos los datos personales, inclusive m�s all� de terminada la relaci�n entre la personal y el controlador de datos.�

��

[227]Con el fin de asegurar el cumplimiento y la aplicaci�n de los principios de la protecci�n de datos, la OEA se�ala que debe disponerse de una autoridad supervisora y establecerse un recurso judicial para las personas. Sobre la autoridad, se�ala que esta debe ser imparcial e independiente. Asimismo, debe contar con capacidad t�cnica, facultades y recursos suficientes para realizar investigaciones y auditor�as a fin de asegurar el cumplimiento de las normas pertinentes.�

��

[228]M.P. Jaime C�rdoba Trivi�o�

��

[229]http://eur-lex.europa.eu/LexUriServ/LexUriServ.do uri=CELEX:31995L0046:ES:NOT�

��

[230]M.P. Ciro Angarita Bar�n�

��

[231]M.P Eduardo Cifuentes Mu�oz�

��

[232]M.P. Jorge Arango Mej�a�

��

[233]M.P. Ciro Angarita Bar�n�

��

[234]MP. �lvaro Tafur Galvis�

��

[235]M.P. Eduardo Cifuentes Mu�oz�

��

[236]M.P. Clara In�s Vargas�

��

[237]MP. Eduardo Montealegre Lynett�

��

[238]M.P. �lvaro Tafur Galvis�

��

[239]M.P. �lvaro Tafur Galvis�

��

[240]El t�rmino es utilizada por el Dictamen 3/2010 sobre el principio de responsabilidad, emitido por el Grupo de Protecci�n de Datos de la Uni�n Europea.�

��

[241]La seguridad, es uno de los elementos que debe contar con las garant�as necesarias de protecci�n de datos personales en los SRS. En consecuencia, el Grupo de Trabajo dise�� ciertos par�metros bajo los cuales el acceso a la informaci�n personal en redes sociales debe estar protegido, pues de no ser as�, generar�a desconfianza en el usuario, al no tener la certeza de que su informaci�n no va a ser tratada adecuadamente. Al respecto se indic�:"Los SRS deber�an pues establecer par�metros por defecto respetuosos de la intimidad, que permitan a los usuarios aceptar libre y espec�ficamente que personas distintas a sus contactos elegidos accedan a su perfil, con el fin de reducir el riesgo de un tratamiento il�cito por terceros. Los perfiles de acceso ilimitado no deber�an ser localizables por los motores de b�squeda internos, incluso por la funci�n de b�squeda por par�metros como la edad o el lugar (�)".�

��

[242]M.P. Jaime C�rdoba Trivi�o.�

��

[243]"Cfr. Corte Constitucional, sentencia C-517/98, concepto reiterado en la sentencia C-692/03."�

��

[244]M.P. Jaime C�rdoba Trivi�o.�

��

[245]Corte Constitucional, sentencia C-853 del 25 de noviembre de 2009. M.P. Jorge Iv�n Palacio Palacio.�

��

"[246] M.P. Manuel Jos� Cepeda Espinosa"�

��

"[247] M.P. Humberto Antonio Sierra Porto"�

��

"[248] Art�culo 6: "(�) 2. Los Estados Partes garantizar�n en la m�xima medida posible la supervivencia y el desarrollo del ni�o".�

��

Art�culo 27: �1. Los Estados Partes reconocen el derecho de todo ni�o a un nivel de vida adecuado para su desarrollo f�sico, mental, espiritual, moral y social. 2. A los padres u otras personas responsables por el ni�o les incumbe la responsabilidad primordial de proporcionar, dentro de sus posibilidades y medios econ�micos, las condiciones de vida que sean necesarias para el desarrollo del ni�o (�).�"�

��

"[249] De conformidad con el Diccionario de la Real Academia de la Lengua Espa�ola, "prevalecer" significa, en su primera acepci�n, "sobresalir una persona o cosa; tener alguna superioridad o ventaja entre otras".�

��

[250]"En igual sentido, el art�culo 5 de la Convenci�n sobre Derechos del Ni�o dispone que "los estados partes respetar�n las responsabilidades, los derechos y los deberes de los padres o, en su caso, de los miembros de la familia ampliada o de la comunidad, seg�n establezca la costumbre local, de los tutores u otras personas encargadas legalmente del ni�o, de impartirle, en consonancia con la evoluci�n de sus facultades, direcci�n y orientaci�n apropiadas para que el ni�o ejerza los derechos reconocidos en la presente convenci�n".�

��

[251]"Sentencia T-510 de 2003, MP. Manuel Jos� Cepeda Espinosa)"�

��

[252]Cfr. Sentencia T-502 de 2011. M.P. Jorge Ignacio Pretelt Chaljub.�

��

[253]Ver sentencia C-318 de 2003. M.P. Jaime Ara�jo Renter�a.�

��

[254]Ver sentencia T-466 de 2006. M.P. Manuel Jos� Cepeda Espinosa.�

��

[255]Ver sentencia C-318 de 2003. M.P. Jaime Ara�jo Renter�a.�

��

[256]El Memorando de Montevideo acoge una serie de recomendaciones que son el resultado del Seminario de trabajo "Derechos, Adolescentes y Redes Sociales en Internet" que se llev� a cabo en Montevideo los d�as 27 y28 de julio de 2009, con la participaci�n de varios acad�micos y expertos de muchos pa�ses latinoamericanos, Canad� y Espa�a. http://www.iijusticia.org/Memo.htm�

��

[257]En este Memorando se busca equilibrar el ejercicio del derecho al acceso a la informaci�n y el conocimiento, y tambi�n mitigar los riesgos que su mal uso puede entra�ar para el ejercicio de otros derechos fundamentales de los menores de 18 a�os, pues podr�an ser v�ctimas de discriminaci�n, explotaci�n sexual, pornograf�a, entre otros, impactando negativamente su desarrollo arm�nico e integral.�

��

Ahondando en el contenido del Memor�ndum de Montevideo, se encuentra que presenta una serie de recomendaciones con el fin de que todos los actores involucrados en la protecci�n de datos personales de los ni�os, ni�as y adolescentes, (i) puedan extender los aspectos positivos de la Sociedad de la Informaci�n y Conocimiento, incluyendo la Internet y las redes sociales digitales, (ii) adviertan las pr�cticas perjudiciales que ser�n muy dif�ciles de revertir, y (iii) prevengan los impactos negativos que estas pr�cticas conllevan.�

��

De otro lado, especifica que los actores involucrados en la protecci�n y tratamiento de datos personales, son: en primer lugar, el Estado, las Entidades Educativas, los progenitores u otras personas que se encuentren a cargo de su cuidado y los educadores. En particular, el Estado y las instituciones educativas deben concientizar a los padres y a las personas responsables, acerca de los riesgos que los ni�os, las ni�as y adolescentes enfrentan en los ambientes digitales. En general, se debe transmitir a los menores de 18 a�os que la Internet no es un espacio sin normas, impune o sin responsabilidades, y que toda acci�n tiene sus consecuencias. En efecto, establece una serie de pautas para educar a los ni�os, las ni�as y adolescentes en el uso responsable y seguro de la Internet y las redes sociales digitales, ya que podr�an verse afectados sus derechos y los de terceros. (Numerales 1 al 5 del ac�pite denominado: "Recomendaciones para los estados y entidades educativas para la prevenci�n y educaci�n de ni�as, ni�os y adolescentes").�

��

En segundo lugar, acerca de la funci�n que desarrolla el legislador en cada pa�s, el Memor�ndum establece que la creaci�n, reforma o armonizaci�n normativa debe realizarse tomando como consideraci�n primordial el inter�s superior de los ni�os, las ni�as y adolescentes que contenga como m�nimo los derechos y principios b�sicos reconocidos internacionalmente y los mecanismos para la efectiva protecci�n de sus datos personales (numerales 6 al 9 del cap�tulo "Recomendaciones para los Estados sobre el Marco Legal")�

��

En tercer lugar, resalta que los sistemas judiciales tienen un rol muy relevante en el aseguramiento de un buen uso de la Internet y las redes sociales digitales. Se�ala que las sanciones civiles y penales deben aplicarse no s�lo para rectificar los derechos vulnerados sino tambi�n para enviar a los ciudadanos y a las empresas reglas claras sobre la interpretaci�n de las leyes y de los principios fundamentales (numerales 10 al 13 del aparte "Recomendaciones para la aplicaci�n de las leyes por parte de los Estados")�

��

En cuarto lugar, el Memor�ndum de Montevideo, establece que las empresas que proveen los servicios de acceso a la Internet, desarrollan las aplicaciones o las redes sociales digitales, deben comprometerse de manera decidida en materia de protecci�n de datos personales y la vida privada, particularmente de los ni�os, las ni�as y los adolescentes. Para el efecto contempla una serie de recomendaciones (numerales 19 al 30 del cap�tulo "Recomendaciones para la Industria").�

��

[258]En primer lugar (�) a ra�z del d�a de debate general sobre la realizaci�n de los derechos del ni�o en la primera infancia celebrado en 2004, el Comit� subray� que (�) Hay estudios que demuestran que el ni�o es capaz de formarse opiniones desde muy temprana edad, incluso cuando todav�a no puede expresarlas verbalmente. Por consiguiente, la plena aplicaci�n del art�culo 12 exige el reconocimiento y respeto de las formas no verbales de comunicaci�n, como el juego, la expresi�n corporal y facial y el dibujo y la pintura, mediante las cuales los ni�os muy peque�os demuestran capacidad de comprender, elegir y tener preferencias. En segundo lugar, el ni�o no debe tener necesariamente un conocimiento exhaustivo de todos los aspectos del asunto que lo afecta, sino una comprensi�n suficiente para ser capaz de formarse adecuadamente un juicio propio sobre el asunto. En tercer lugar, los Estados Partes tambi�n tienen la obligaci�n de garantizar la observancia de este derecho para los ni�os que experimenten dificultades para hacer o�r su opini�n. Por ejemplo, los ni�os con discapacidades (�) minor�as (�) ind�genas (�) migrantes y otros (�)en la Observaci�n General n�mero 12 de 2009 del Comit� de los derechos del ni�o.�

��

[259]En aplicaci�n del principio de conservaci�n del derecho, la sentencia C-078 de 2007, se�al�: "La Corte ha entendido que en virtud del principio de conservaci�n del derecho, la declaratoria de inexequibilidad simple s�lo puede prosperar cuando la expresi�n legislativa es absolutamente incompatible con la Carta y no existeninguna interpretaci�n de la misma que pueda ajustarse a la Constituci�n. Adicionalmente, como se ver� adelante, la Corte ha encontrado que para efectos de adoptar la correspondiente decisi�n es fundamental ponderar el efecto de la declaratoria de inexequibilidad sobre los derechos de sujetos de especial protecci�n a fin de modular el sentido del fallo para no desproteger bienes constitucionalmente protegidos".�

��

[260]Se subraya la importancia de que el Estado adelante una campa�a seria para concientizar a los ni�os, las ni�as y adolescentes, acerca de la importancia del buen uso que le deben dar a sus datos personales.�

��

[261]Por ejemplo, en materia de redes sociales empiezan a dibujarse nuevos derechos. As�, el Grupo de Trabajo sobre Protecci�n de Datos de la Uni�n Europea sostiene que en estos sistemas se deber�an adoptar las siguientes medidas:"Obligaciones de los SRS1. Los SRS deber�an informar a los usuarios de su identidad y proporcionarles informaci�n clara y completa sobre las finalidades y las distintas maneras en que van a tratar los datos personales. 2. Los SRS deber�an establecer par�metros por defecto respetuoso de la intimidad. 3. Los SRS deber�an informar y advertir a sus usuarios frente a los riesgos de atentado a la intimidad cuando transfieren datos a los SRS. 4. Los SRS deber�an recomendar a sus usuarios no poner en l�nea im�genes o informaci�n relativa a otras personas sin el consentimiento de �stas. 5. Como m�nimo, en la p�gina inicial de los SRS deber�a figurar un enlace hacia una oficina de reclamaciones, tanto para miembros como para no miembros, que cubra cuestiones de protecci�n de datos. 6. La actividad comercial debe ajustarse a las normas establecidas por la Directiva relativa a la protecci�n de datos y la Directiva sobre la protecci�n de la vida privada en el sector de las comunicaciones electr�nicas. 7. Los SRS deben establecer plazos m�ximos de conservaci�n de los datos de los usuarios inactivos. Las cuentas abandonadas deben suprimirse. 8. Por lo que se refiere a los menores, los SRS deber�an adoptar medidas adecuadas con el fin de limitar los riesgos."�

��

[262]Remolina, Nelson. �Tiene Colombia un nivel adecuado de protecci�n de datos personales a la luz del est�ndar europeo .�

��

[263]Cfr. Sentencia C-1011 de 2008 M.P. Jaime C�rdoba Trivi�o�

��

[264]Cfr. sentencia C-1011 de 2008 M.P. Jaime C�rdoba Trivi�o�

��

[265]Cfr. Ib�dem.�

��

[266]http://eur-lex.europa.eu/LexUriServ/LexUriServ.do uri=CELEX:31995L0046:ES:NOT�

��

[267]Cfr. sentencia C-265 de 2002, M.P. Manuel Jos� Cepeda Espinosa. En esta ocasi�n la Corte declar� inexequible el inciso tercero del art�culo 64 de la Ley 675 de 2001, pues consider� que "(�) condicionar la posibilidad del cerramiento a una autorizaci�n administrativa, sin se�alar criterios que impidan dicha apropiaci�n y exclusi�n, resulta insuficiente para proteger los bienes constitucionalmente garantizados".�

��

[268]Auto 049 de 2008 M.P. Jaime C�rdoba Trivi�o�

��

[269]Cfr. Corte Constitucional, sentencias C-734/03 y C-852/05.�

��

[270]Cfr. Corte Constitucional, sentencias C-028/97 y C-290/02.�

��

[271]Auto 049 de 2008 M.P. Jaime C�rdoba Trivi�o�

��

[272]Cfr. sentencias T-220 de 1994, T-158 de 2005 y T-1160A/01, entre otras.�

��

[273]TRONCOSO REGAIDA, Antonio "La Protecci�n de Datos Personales. En busca del equilibrio" Editorial Tiralt to blanchtratados" Valencia 2010. P�gs. 1727 y siguientes. Seg�n este autor, este convenio de cooperaci�n forz� a algunos Estado europeos a regular internamente en sus legislaciones el tema de la protecci�n de datos. Se�ala que espec�ficamente en Espa�a �ste fue un motor para la aprobaci�n de la ley org�nica que regula el tema, la LORTAD.�

��

[274]Este recuento normativo se encuentra en TRONCOSO REGAIDA, p�gs. 1737-1739�

��

[275]www.ec.europa.eu�

��

[276]Ley 67 de 1998. Ley de Protecci�n de Datos Personales, articulo 25.�

��

[277]Ley 25.326 de 2000. Art�culo 29. Articulo 29. "1) Cr�ase la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, en el �mbito de la SECRETARIA DE JUSTICIA Y ASUNTOS LEGISLATIVOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, como �rgano de control de la Ley N� 25.326. El Director tendr� dedicaci�n exclusiva en su funci�n, ejercer� sus funciones con plena independencia y no estar� sujeto a instrucciones. 2) La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES se integrar� con un Director Nacional, Nivel "A" con Funci�n Ejecutiva I, designado por el PODER EJECUTIVO NACIONAL, por el plazo de CUATRO (4) a�os, debiendo ser seleccionado entre personas con antecedentes en la materia." (Negritas fuera del texto original). www.jus.gov.ar/datospersonales.aspx�

��

[278]BRUNO J GAIRO E IGNACIO M SOBA. "La regulaci�n procesal del Habeas Data". Editorial IB de F. Montevideo-Buenos Aires, citando a Ib��ez, Perfecto Andr�s, P�g. 28�

��

[279]Seg�n TRONCOSO REGAIDA, una de los mayores inconvenientes de las agencias de protecci�n de datos en Europa es su falta de coercibilidad. Por su parte, en el modelo americano y sus caracter�sticas de leyes sectoriales, se echa de menos la existencia de un ente central encargado de la vigilancia, regulaci�n y protecci�n de los datos personales.�

��

[280]Traducci�n libre del ingl�s al espa�ol.�

��

[281]Sobre este particular, el art�culo 2� del Decreto 4327/05 establece que la Superintendencia Financiera de Colombia, es un organismo t�cnico adscrito al Ministerio de Hacienda y Cr�dito P�blico, con personer�a jur�dica, autonom�a administrativa y financiera y patrimonio propio. Del mismo modo, el art�culo 1� del Decreto 2153/92 define a la Superintendencia de Industria y Comercio como un organismo de car�cter t�cnico adscrito al Ministerio de Desarrollo Econ�mico, que goza de autonom�a administrativa, financiera y presupuestal.�

��

[282]El art�culo 2� del Decreto 4327/05 establece que la Superintendencia Financiera de Colombia, es un organismo t�cnico adscrito al Ministerio de Hacienda y Cr�dito P�blico, con personer�a jur�dica, autonom�a administrativa y financiera y patrimonio propio. Igualmente, el art�culo 1� del Decreto 2153/92 define a la Superintendencia de Industria y Comercio como un organismo de car�cter t�cnico adscrito al Ministerio de Desarrollo Econ�mico, que goza de autonom�a administrativa, financiera y presupuestal.�

��

[283]Cfr. Sentencia C-1011 de 2008. P.p. 233 y 234�

��

[284]P. 236�

��

[285]Cfr. Sentencia SU-1010 de 2008.�

��

[286]Cfr. sentencia C-401 de 2010. M.P. Lu�s Ernesto Vargas Silva.�

��

[287]Cfr sentencia C-1011 de 2008. Considerando 3.6.2.�

��

[288]Sentencia C-406 de 2004, M.P. Clara In�s Vargas Hern�ndez.�

��

[289]Sentencia C-406 de 2004, M.P. Clara In�s Vargas Hern�ndez.�

��

[290]Art�culo 18 del Proyecto de Ley Estatutaria numero 221 de 2007 C�mara, 027 de 2006 senado acumulado con el numero 05 de 2006 Senado: "Sanciones. La Superintendencia de Industria y Comercio y la Superintendencia Financiera podr�n imponer a los operadores, fuentes o usuarios de informaci�n financiera, crediticia, comercial, de servicios y la proveniente de terceros pa�ses previas explicaciones de acuerdo con el procedimiento aplicable, las siguientes sanciones: Multas de car�cter personal e institucional hasta por el equivalente a mil quinientos (1.500) salarios m�nimos mensuales legales vigentes al momento de la imposici�n de la sanci�n, por violaci�n a la presente ley, normas que la reglamenten, as� como por la inobservancia de las �rdenes e instrucciones impartidas por dicha Superintendencia. Las multas aqu� previstas podr�n ser sucesivas mientras subsista el incumplimiento que las origin�.�

��

Suspensi�n de las actividades del Banco de Datos, hasta por un t�rmino de seis (6) meses, cuando se estuviere llevando a cabo la administraci�n de la informaci�n en violaci�n grave de las condiciones y requisitos previstos en la presente ley, as� como por la inobservancia de las �rdenes e instrucciones impartidas por las Superintendencias mencionadas para corregir tales violaciones.�

��

Cierre o clausura de operaciones del Banco de Datos cuando, una vez transcurrido el t�rmino de suspensi�n, no hubiere adecuado su operaci�n t�cnica y log�stica, y sus normas y procedimientos a los requisitos de ley, de conformidad con lo dispuesto en la resoluci�n que orden� la suspensi�n.�

��

Cierre inmediato y definitivo de la operaci�n de Bancos de Datos que administren datos prohibidos".�

��

[291]Sentencia C-1011 de 2008, M.P. Jaime C�rdoba Trivi�o.�

��

[292]Sentencia C-1011 de 2008, M.P. Jaime C�rdoba Trevi�o.�

��

[293]Argentina, por ejemplo, mediante Decisi�n del 30 de junio de 2003, fue certificada por garantizar un nivel adecuado de protecci�n en lo que respecta a datos personales transferidos desde la Comunidad con arreglo a la Directiva 95/46/CE del Parlamento y del Consejo Europeo, entre otros por contar con un registro p�blico de base de datos.�

��

[294]Para los Estados es recurrente justificar la transferencia internacional de datos por motivos de seguridad p�blica, seguridad nacional, investigaciones contra el terrorismo, labores de inteligencia militar o policial, cooperaci�n judicial, controles de inmigraci�n, etc. En el plano empresarial, las multinacionales necesitan circular informaci�n entre las diferentes sucursales que poseen en varios pa�ses del mundo, o requieren informaci�n para brindar atenci�n telef�nica a los clientes por medio de call centersinternacionales.�

��

[295]Nelson Remolina-Angarita, �Tiene Colombia un nivel adecuado de protecci�n de datos personales a la luz del est�ndar europeo 16 International Law, Revista Colombiana de Derecho Internacional, 489-524 (2010).�

��

[296]El Grupo de Trabajo fue creado por el art�culo 29 de la Directiva 95/46/CE. Es un �rgano consultivo independiente de la UE sobre protecci�n de datos y vida privada. Sus funciones son definidas en el art�culo 30 de la citada Directiva y en el art�culo 14 de la Directiva 97/66/CE.�

��

[297]Ley 1266 de 2008, Por la cual se dictan las disposiciones generales del h�beas data y se regula el manejo de la informaci�n contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros pa�ses y se dictan otras disposiciones.�

��

[298]ART�CULO 26. PAR�GRAFO 2�: las disposiciones contenidas en el presente art�culo ser�n aplicables para todos los datos personales, incluyendo aquellos contemplados en la Ley 1266 de 2008.�

��

[299]Est�ndares internacionales sobre protecci�n de datos personales y privacidad, aprobados el 5 de noviembre de 2009 en Madrid en el marco de la 31 Conferencia Internacional de Autoridades de Protecci�n de Datos y Privacidad. Definici�n que coincide en gran parte con la contenida en la Directiva 9546 del Parlamento Europeo y del Consejo del 24 de octubre de 1995.�

��

[300]Cfr. sentencia T-729 de 2002�

��

[301]Sentencia C-1011 de 2008. P. 106�

��