El tratamiento de datos: ¿nos estamos quedando sin bases?
24 de agosto de 2020Contenido
Ningún asunto pendiente por regular en materia de protección de datos personales llama a una revisión de la normativa colombiana como la posibilidad de considerar, como regla general, otras bases legales para el tratamiento de la información equiparables a la autorización.
Las bases legales para el tratamiento son los sustentos bajo los cuales un sujeto (el Responsable) puede utilizar (tratar) los datos de las personas (los Titulares). Actualmente, la regla general para el tratamiento es la obtención de la autorización directamente del Titular, la cual debe ser obtenida salvo alguna de las excepciones legales.
Bajo otros regímenes, como el Reglamento General de Protección de Datos (Gdpr) de la Unión Europea, coexisten seis bases para el tratamiento de datos; mientras que en Colombia se ha priorizado al consentimiento sobre las demás bases. Si bien la norma colombiana incluye excepciones para el requisito de autorización, en la práctica esta es el centro de la normativa colombiana de protección de datos. No resulta raro entonces que la falta de autorización sea la principal causa de sanciones, conforme a lo publicado por la Superintendencia de Industria y Comercio.
Esta no es una crítica a la autorización, pues en algunos casos siempre será pertinente como una base adecuada para el tratamiento, y que permite consultarle al titular sobre el tratamiento de sus datos como una expresión de su derecho de habeas data. Esto es, en cambio, un llamado a abrir el debate y considerar que la autorización puede coexistir al mismo nivel con otras bases legales de tratamiento.
Para ilustrar este punto, se puede mencionar cómo, bajo el GDPR, una de las bases legales admitidas tiene lugar cuando el tratamiento es necesario para la ejecución de un contrato. Esa base aplicaría, por ejemplo, en caso de que un titular decida adquirir un servicio para cuya ejecución es necesario proporcionar los datos, o cuando preste un servicio para el cual el contratante requiera conocer su información personal.
Existen razones legítimas para admitir de forma explícita este tipo de situaciones en la normativa colombiana, sujeto al desarrollo de cada base legal junto con la implementación de obligaciones adicionales en el marco de la implementación del principio de responsabilidad demostrada, pues en la actualidad la norma colombiana no las prevé.
Esta es una gran oportunidad para el desarrollo de la normativa colombiana de protección de datos toda vez que considerar el desarrollo de nuevas bases para el tratamiento diferentes a la autorización en las condiciones descritas puede al mismo tiempo fortalecer y hacer más flexible los medios a través de los cuales los responsables garantizan los derechos de los Titulares.
Actualmente, los programas integrales de gestión de datos personales exigibles a los responsables parecieran estructurarse alrededor de la solicitud de la autorización, dado el protagonismo que se le ha dado a la misma. Por lo tanto, es deseable que se comience a discutir la aplicación de otras bases legales diferentes al consentimiento a la par de la autorización, pues aquéllas no deberían ser relegadas únicamente a excepciones.
De esa forma, se podría fomentar el tratamiento responsable de datos personales para modelos de negocio innovadores, y se aumentan las garantías para el tratamiento en los lugares donde otras bases legales pueden ser más efectivas para la protección de los derechos de los Titulares.