En consecuencia, la ley de protección de datos personales establece un sistema de roles distinto al propuesto en la ley de habeas data financiero, por cuanto menciona al titular del dato personal, a los responsables del tratamiento del dato personal y a los encargados del tratamiento del dato personal18. Entendiendo el tratamiento como cualquier operación que implique la recolección, almacenamiento, uso, circulación o supresión del dato personal19. Consecuentemente, la ley establece que el rol de responsable lo ocupa aquella persona que decide respecto del tratamiento, siendo el encargado el colaborador del responsable que materialmente realiza el tratamiento. De esa forma, al encontrarse el encargado en una situación de delegación, como un administrador a nombre de un tercero responsable, les son predicables a ambas partes obligaciones de carácter formal y material en desarrollo de su labor, y su responsabilidad se encuentra intrínsecamente ligada, destacándose para nuestro interés los principios de circulación restringida y de seguridad del dato personal20.
III. DESARROLLO DEL PRINCIPIO DE SEGURIDAD, ACCESO Y CIRCULACIÓN RESTRINGIDA DEL DATO PERSONAL, EIMPLICACIONES PARA UNA ORGANIZACIÓN EMPRESARIAL
En el apartado anterior se mencionó que en el tratamiento de los datos personales intervienen diversos sujetos a quienes la ley les ha impuesto una serie de obligaciones de carácter formal y material. Corresponde exponer en este acápite la participación del operador de la información (régimen de habeas data financiero) y del responsable y encargado del tratamiento de la información (régimen de habeas data personal), particularmente la descripción de los principios de seguridad, circulación restringida y de responsabilidad predicable a estos sujetos involucrados en el tratamiento de los datos personales, comerciales y financieros.
A. CONCEPTUALIZACIÓN DEL PRINCIPIO DESEGURIDAD, ACCESO Y CIRCULACIÓN RESTRINGIDA
Tanto la Ley 1266 de 2008 como la Ley 1581 de 2012 consagran principios que son comunes para realizar un adecuado tratamiento de los datos personales. En el artículo 4.º común a ambas normativas se consagra el principio de seguridad consistente en la garantía que se debe brindar al tratamiento de datos, lo que demanda adoptar las medidas necesarias para garantizar la seguridad de los registros con el fin de evitar la adulteración, pérdida, consulta o uso no autorizado o fraudulento de los datos personales21. De igual forma, en el artículo 4.º de la Ley 1581 de 2012, y de la mano del principio de seguridad, encontramos el principio de acceso y circulación restringida, el cual le da el derecho al titular de la información de decidir quiénes pueden acceder a su información, así como el derecho de que sus datos personales no se den a conocer en medios de divulgación masiva a terceros no autorizados22.
De esa forma, estos principios consagran unos parámetros de garantía de uso adecuado para la información suministrada por el titular en cabeza de los responsables y encargados del tratamiento de datos personales. El titular está legitimado para saber cuáles datos han sido suministrados, conocidos y deducidos por una determinada organización empresarial, y el uso que se hace de ellos, así como su transferencia a terceros ajenos a su organización. Estos datos se convierten en un activo intangible cuyo uso y aprovechamiento otorgan una ventaja competitiva que se transforma en ingresos para la organización empresarial que los explota23, como ocurre con la predicción de los comportamientos del consumidor para fines de marketing comercial o político24.
En ese tipo de actividades de análisis de datos se presenta una mayor ocurrencia de amenazas digitales que incluyen el acceso a información caracterizada como dato personal, y que se traducen en su uso para fines distintos a los autorizados por el titular25. Así se refleja en el conocido caso de Cambridge Analytica, en el que, según la autoridad de protección de datos colombiana, a través de la aplicación thisisyourdigitallife se pudieron haber utilizado indebidamente los datos personales de más de 50 millones de usuarios de Facebook. En la misma decisión la autoridad colombiana de protección de datos advirtió que, a través del uso de aplicaciones en la plataforma social, se pudo haber influenciado y manipulado el comportamiento de los titulares de datos personales con las llamadas noticias falsas26.
De esa forma, los principios de seguridad, acceso y circulación restringida son los mecanismos idóneos para exigir a los operadores de información, responsables y encargados del tratamiento personales27, la adopción de acciones afirmativas de prevención, protección y detección de amenazas digitales, destacando las autoridades de protección de datos que el principio de seguridad debe operar por la simple realización del tratamiento de datos28. En ese sentido, el principio de seguridad demanda la adopción de medidas que no estén condicionadas a la existencia de un daño o perjuicio para los derechos de los titulares de los datos personales –deber de prevención en el tratamiento de los datos personales–29.
Los principios de seguridad, circulación y acceso restringido constituyen la base de la exigencia de acciones positivas de carácter preventivo y reactivo a los operadores de información, responsables y encargados del tratamiento de datos ante una eventual o actual amenaza digital que afecte datos personales, comerciales y financieros30. De la misma forma, son el fundamento del régimen de responsabilidad administrativa en materia de tratamiento de datos personales, comerciales y financieros, conocido como principio de responsabilidad demostrada o principio de accountability.
IV. PRINCIPIO DE RESPONSABILIDAD DEMOSTRADA O PRINCIPIO DE ACCOUNTABILITY
El principio de responsabilidad demostrada, o principio de accountability31, está consagrado en el artículo 26 del Decreto 1377 de 2013[32] y se traduce en la exigencia de que:
[…] los responsables y encargados del tratamiento de datos, implementen medidas apropiadas, efectivas y verificables que les permitan probar el correcto cumplimiento de las normas sobre tratamiento de datos personales (Remolina y Álvarez, 2018: 28).
A pesar de ser una prerrogativa predicable de todas las organizaciones empresariales, su aplicación no es predicable en igual medida de todas ellas. El artículo 26 citado establece criterios de graduación de las medidas a adoptar y de la responsabilidad exigible a los responsables del tratamiento33. En los términos del artículo mencionado, para juzgar la responsabilidad de las personas que realicen el tratamiento se debe tener en cuenta el tamaño empresarial de la organización, la naturaleza de los datos personales, el tipo de tratamiento y los riesgos potenciales que el tratamiento pueda causar a sus titulares. De esa forma, las medidas de protección dependen del riesgo que implique el tratamiento de los datos personales al interior de la organización, y demandará que estén documentadas para demostrar su adopción, siendo necesario también poder demostrar su aplicación34.
V. MEDIDAS DE PROTECCIÓN DE LA INFORMACIÓN
Como se ha visto, el principio de accountability demanda la implementación de medidas concretas y efectivas para la prevención y defensa de las amenazas digitales en materia de protección de datos personales. Sin embargo, hasta el momento no se ha mencionado cuáles son esas medidas y qué naturaleza tienen. Fue en desarrollo de esa preocupación, y con la idea de generar uniformidad y estandarización de las medidas técnicas, administrativas y humanas para los responsables del tratamiento de datos personales, que la Superintendencia de Industria y Comercio expidió una guía para el desarrollo del principio de responsabilidad, la cual contiene medidas básicas y estructurales para la debida protección de los datos personales, entre ellas, la construcción de un Programa Integral de Gestión de Datos Personales (PIGD) que deben implementar las organizaciones empresariales con el fin de mitigar,