Ante la previsión del artículo 15 de la Constitución Política, los primeros avances en la materia surgieron a través de la jurisprudencia de la Corte Constitucional, que discutió la naturaleza de los datos personales, en el entendido de que
[p]or su compleja naturaleza es claro que frente al dato no puede aplicarse en todo su rigor el derecho clásico de propiedad […] En estas condiciones, los diversos sujetos son apenas titulares de algunas facultades que no les confieren necesariamente la calidad de propietarios (Corte Constitucional de Colombia. Sent. T-414 de 1992).
De acuerdo con lo anterior, si bien puede derivarse cierto derecho de propiedad sobre los datos personales, la Corte estableció que su naturaleza obedece a la de un derecho subjetivo complejo con garantía constitucional, en la medida que “los datos involucran la vida privada y familiar, en donde ni el Estado, ni terceros, pueden intervenir” (Caballero Martínez, 2019).
Conforme a lo expresado, surgieron normativas en materia de protección de datos con carácter estatutario. En primer lugar, la Ley 1266 de 2008 sobre el manejo de información financiera, crediticia, comercial y de servicios, la cual delimitó el concepto de dato personal como “cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica” (art. 3.º); en segundo lugar, la Ley 1581 de 2012 sobre disposiciones generales para la protección de datos personales, la cual delimitó el concepto de dato personal como “[c]ualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables” (art. 3.º).
La noción que planteó el legislador es trascendental porque indica que solo las personas naturales o jurídicas son susceptibles de ejercer el derecho a la protección de sus datos personales, lo que excluye cualquier continuidad de este derecho posterior a la muerte, bajo la idea de que es un derecho personalísimo.
A su vez, se establecieron reglas claras en materia del tratamiento, de manera que si bien es un concepto alejado de la propiedad tal como se entiende respecto del patrimonio, el habeas data es un derecho disponible y, por ende, las personas pueden dar su autorización explícita para que terceros responsables o encargados hagan uso de los datos personales.
En tal sentido se pronunció la Corte Constitucional al indicar que los datos personales se refieren a “aspectos exclusivos y propios de una persona natural [y] su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita” (Corte Constitucional de Colombia. Sent. C-748 2011). Así que la perspectiva del derecho colombiano encaja con los presupuestos desarrollados en el Parlamento Europeo pero, pese a los avances en derecho comunitario, la naturaleza de los datos personales varía respecto de la jurisdicción aplicable.
Por el contrario, en el derecho norteamericano los datos personales son protegidos de forma relativa bajo una idea ajustada al derecho de consumo. La Comisión Federal del Comercio es el organismo encargado de emprender acciones que protejan a los consumidores de prácticas abusivas o injustas que atenten contra su privacidad, mas no existe una regulación federal que aborde la protección de datos de forma específica, de suerte que los avances se han dado mediante reglamentaciones estatales (Chabinsky y Pittman, 2019).
En el estado de Nueva York, por ejemplo, el Departamento de Servicios Financieros ha establecido una ley estatal para proteger a los consumidores y garantizar una seguridad cibernética sobre los registros de clientes del sistema financiero, que se aplica a las compañías de seguros, los bancos y las instituciones de servicios financieros. En la normativa 23 NYCRR 500 no se hace referencia a datos personales, sino a información electrónica que es recopilada y que tiene fines comerciales, por lo que se entiende que las organizaciones cuentan con recursos de información electrónica organizados que implican procesamiento, mantenimiento, utilización, intercambio, difusión o eliminación (Section 500.01).
En el estado de Delaware, la Ley de Protección de Información Personal provee la definición de información personal como cualquier información de identificación personal sobre un usuario en diversos servicios o productos tecnológicos, en donde se denota un alto componente de publicidad corporativa (§1202C).
El Estado de California cuenta con el California Consumer Privacy Act (CCPA), el cual establece la posibilidad de recopilar información personal de los consumidores por varias categorías de fuentes (entiéndase empresas, sociedades o entidades), cuya finalidad es el tratamiento de dicha información en redes de publicidad, proveedores de servicios, análisis de datos, entidades gubernamentales, sistemas operativos y plataformas digitales. Así mismo, establece una categoría de revendedores de datos de los consumidores, por lo que es notorio que la naturaleza de la “información personal” ha adquirido un alto nivel de mercantilidad, aun más considerando que California es la mayor cuna tecnológica del mundo.
Por su parte la Comisión Federal de Comercio ha hecho énfasis en que la recopilación de modelos conductuales a partir de cookies del navegador o aplicaciones se enmarcan dentro de la publicidad conductual y, por tanto, aplica la Ley sobre Fraude y Abuso de Computadoras. Al respecto se ha pronunciado California y Delaware, pero su análisis se mantiene bajo la lupa de las leyes sobre prácticas engañosas y derecho de consumo (Chabinsky y Pittman, 2019).
Lo anterior es herencia del sistema de protección de datos anglosajón de la Mancomunidad de Naciones con origen británico, que en el 201 CMR 17.00 estableció normas para la protección de la información personal de los residentes de la comunidad. No se hacía referencia a los datos personales, pero se estableció el deber de protección y normas relacionadas con la información personal que constaba de una lista de datos reducida.
Así las cosas, se puede evidenciar que en Estados Unidos el concepto de datos personales no se entiende como en el derecho continental, sino que se ha abordado desde el punto de vista de la información personal con matices de comercialización empresarial. Por tal razón, la naturaleza de los datos personales es una en el derecho continental europeo y otra en el derecho estadounidense.
La cuestión representa un desafío, porque si bien la generalización global es la adopción de la teoría de la protección de datos personales como un derecho fundamental, el principal origen de servicios y productos tecnológicos se da en el derecho consuetudinario, que encuentra en los datos un gran potencial de carácter comercial.
Es importante delimitar la naturaleza jurídica de la información personal, puesto que los avances en materia de machine learning algorithmic trade han mostrado un nuevo escenario en donde es posible segmentar características, actitudes e intereses probables de las personas. Además, los nuevos diseños de algoritmos especializados permiten analizar la relación entre los datos de diversos individuos con el objetivo de anticipar un comportamiento o influenciar en la propensión del mismo (Sartor, 2017).
De allí que se pueda evidenciar que, sea por el tratamiento de datos personales o por el uso de información personal, el procesamiento automatizado está llevando a que cada vez se involucren derechos fundamentales en los aspectos de privacidad y protección de la información. Sin embargo, si en algo están de acuerdo las vertientes expuestas, es que el individuo tiene libre disposición sobre el uso que le da a sus datos y el consentimiento que puede otorgar para que otros realicen un tratamiento de los mismos.
III. LOS CRIPTOACTIVOS Y SU DIVERSA NATURALEZA
La invención de blockchain ha implicado el surgimiento en el mercado de nuevos modelos de negocio, los cuales, regidos bajo un protocolo subyacente de red descentralizada y aplicando el uso de la lex cryptographica, proveen una tecnología que brinda mayor seguridad y confiabilidad para la trazabilidad de operaciones y el intercambio