Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity
Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium
Prepara tus exámenes
Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity
Prepara tus exámenes con los documentos que comparten otros estudiantes como tú en Docsity
Los mejores documentos en venta realizados por estudiantes que han terminado sus estudios
Estudia con lecciones y exámenes resueltos basados en los programas académicos de las mejores universidades
Responde a preguntas de exámenes reales y pon a prueba tu preparación
Consigue puntos base para descargar
Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium
Comunidad
Pide ayuda a la comunidad y resuelve tus dudas de estudio
Descubre las mejores universidades de tu país según los usuarios de Docsity
Ebooks gratuitos
Descarga nuestras guías gratuitas sobre técnicas de estudio, métodos para controlar la ansiedad y consejos para la tesis preparadas por los tutores de Docsity
El presente escrito tiene la finalidad de plantear la disyuntiva que representa la última reforma al régimen de protección de datos personales europeo en contraste con el ordenamiento jurídico colombiano: ¿es conveniente una reforma de la ley 1581 de protección de datos personales o, por el contrario, esta norma cuenta con las características suficientes para afrontar las actuales necesidades de preservar las garantías fundamentales que se desprenden de la privacidad y el habeas data? Para abordar tal cuestión, se hará uso de diferentes recursos, entre el que se encuentra la comparativa entre la Directiva 95/46/CE y la Ley 1581 de 2012, para conocer la relación de la primera con el origen de la segunda y, el cotejo entre la norma colombiana y el Reglamento (UE) 2016/679 para con ello, determinar el grado de correspondencia que existe entre uno y otro cuerpo legislativo.
Tipo: Tesis
1 / 64
Esta página no es visible en la vista previa
¡No te pierdas las partes importantes!
Trabajo de fin de máster presentado por: Andrés Felipe Contreras Poveda Titulación: Máster en Protección de Datos Área jurídica: Derecho Director/a: Prof. Antonio Fayos Bogotá Diciembre 2 019 Andrés Felipe Contreras P.
El presente escrito tiene la finalidad de plantear la disyuntiva que representa la última reforma al régimen de protección de datos personales europeo en contraste con el ordenamiento jurídico colombiano: ¿es conveniente una reforma de la ley 1581 de protección de datos personales o, por el contrario, esta norma cuenta con las características suficientes para afrontar las actuales necesidades de preservar las garantías fundamentales que se desprenden de la privacidad y el habeas data? Para abordar tal cuestión, se hará uso de diferentes recursos, entre el que se encuentra la comparativa entre la Directiva 95/46/CE y la Ley 1581 de 2012, para conocer la relación de la primera con el origen de la segunda y, el cotejo entre la norma colombiana y el Reglamento (UE) 2016/679 para con ello, determinar el grado de correspondencia que existe entre uno y otro cuerpo legislativo.
Protección de datos personales; Ordenamientos jurídicos; REPD; Ley 1582 de 2012: Reforma; Actualización
The purpose of this document is to propose the dilemma that represents the latest reform of the European personal data protection regime in the Colombian legal system: is a reform of the 1581 personal data protection law convenient or, conversely, this norm Do you have the specific characteristics to face the current needs of the preservative, the fundamental guarantees that are disregarded by privacy and habeas data? To address this issue, different resources will be used, including the comparison between Directive 95/46 / EC and Law 1581 of 2012, to determine the relationship between the former and the genesis of the latter and, the Comparison between the Colombian norm and Regulation (EU) 2016/679 to do so, determine the degree of correspondence between one legislative body and another.
Personal data protection; Legal systems; REPD; Law 1582 of 2012: Reform; Upgrade
“Hay una cosa cierta al menos y es que también en este caso, lo que se impone es la palabra regulación frente a una mercantilización y una desregulación del mundo sin equivalente alguno en la historia de la humanidad”^1 Bajo esta premisa del filósofo francés LUC FERRY, es posible abordar el problema de investigación del presente escrito: ¿Es necesaria una de actualización de la Ley 1581 de 2012 (Ley estatutaria de protección de datos personales en Colombia) para armonizarla con los estándares europeos? A la par con ello se pregunta, ¿es necesaria la regulación de las nuevas tecnologías y sus efectos, en procura de garantizar la protección de los datos personales que se pudieran ver afectados con ellas? Pensando en ello, SIMON BESWICK^2 , representante de Osborne Clarke^3 , afirma que el avance de la tecnología, como hecho social que es, puede llegar a tomar ventaja de hasta siete años sobre leyes vigentes que, sin considerarse tácitamente en desuso, no responden de manera adecuada a las nuevas realidades sociales, científicas y tecnológicas. Por su parte, LAWRENCE LESSIG^4 , afamado abogado experto en derecho informático, afirma que el “código (de programación) es la ley” , concluyendo para ello que los nuevos arquetipos de conducta del entorno digital, que en cualquier caso pueden ser objeto de análisis desde la perspectiva jurídica, son y serán determinados por los desarrolladores y fabricantes de tecnologías, sistemas, aplicaciones y algoritmos ya que, dada la libertad natural del ciberespacio, ajena a controles y pautas globales de orden legal, son ellos quienes disponen la forma en la que las relaciones personales, presentes y futuras, se llevaran a cabo; no la Ley. LESSIG presenta entonces de forma pragmática, los nuevos desafíos legales y regulatorios que traen las TICs, y el ciberespacio. Ejemplo de lo anterior se vio reflejado en el caso Cambridge Analytica de 2016 en el que, con un audaz y novedoso sistema de captura de información y aprovechando en gran medida la (^1) LUC FERRY, (2017) La revolución transhumanistia: Como la tecnología y la uberización del mundo van transformando nuestras vidas. Alianza Editorial, p. 154. (^2) SAIZ, SERGIO. “Simon Beswick: "Las leyes van siete años por detrás de la tecnología””, Diario Expansión, 28 de marzo de 2018. Disponible en: https://www.expansion.com/juridico/actualidad- tendencias/2016/03/27/56f2d149ca47413e248b459c.html (^3) Firma internacional de servicios legales (^4) LESSIG Lawrence, (2001) “El Código y otras leyes del ciberespacio”, Taurus Digital, Madrid.
Según lo establecido en la sentencia de constitucionalidad C-748 de 2011^8 proferida por la Honorable Corte Constitucional colombiana, y en la que se evalúa la correspondencia del estatuto legal de protección de datos personales con la Carta Política de colombiana^9 , el régimen de protección jurídica de los datos personales en Colombia, se basa en un modelo centralizado regulación igual que el de la Unión europea, ya que, parte de la idea, de que cualquier tratamiento de datos, independientemente del sector de la economía que lo realice, puede ser considerado potencialmente riesgoso, razón por la cual, “debe sujetarse a unos principios y garantías mínimas comunes, susceptibles de ser complementadas con regulaciones especiales según el tipo de dato y los intereses involucrados”^10 , aplicables, tanto al contexto público como al privado. Siguiendo con esta línea que apalanca la idea de que el Estatuto de Protección de Datos colombiano toma sus bases del ordenamiento europeo, se observa como los diferentes proyectos de ley que le antecedieron, incluyendo el propio de la Ley antes de su expedición, toman como punto de referencia el sistema europeo vigente para la época: la Directiva 95/46/CE. Esta premisa se puede representar en el Anexo I del presente escrito. En este sentido, es válido evaluar la sugerencia en torno a la adaptación o actualización de la Ley 1581 de 2012, en la medida en la que, como se precisará, el proceso legislativo colombiano que procuro la expedición de esta norma estatutaria se basó en la ya derogada Directiva 95/46/CE y en el Dictamen 1/2010 del Grupo Consultivo sobre Protección de Datos (GT29) de la Unión Europea (UE). Finalmente se examinará las razones que dieron lugar a la expedición del nuevo reglamento europeo (UE) 2016/679 del Parlamento Europeo y del Consejo Europeo, para luego constatar, las circunstancias actuales de Colombia respecto a su labor proteccionista en materia de datos personales para plantear con ello, la necesidad o no de actualizar el estatuto colombiano de protección de datos personales. (^8) Sentencia C-748 de 2012, Corte Constitucional, Magistrado Ponente Jorge Ignacio Pretelt Chaljub. (^9) Constitución Política de Colombia de 1991. (^10) Ibidem.
La hipótesis planteada respecto a la necesidad de proponer una reforma normativa a la Ley 1581 de 2012 sobre protección de datos personales, estará encausada inicialmente a determinar el origen de dicha ley, para así, valorar si las circunstancias sociales e históricas que le dieron origen, han cambiado de forma sustancial, llevando a que las consecuencias jurídicas en ella planteadas, puedan ser vistas, bien como insuficientes o, por el contrario, ajustadas a la realidad actual colombiana. a) Derecho a la privacidad y sus orígenes Para remontarse a los orígenes del derecho a la privacidad, se debe hacer una remisión directa al artículo «The Right to Privacy», firmado por los juristas norteamericanos Samuel Warren y Louis Brandeis y publicado en 1890 en la revista Harvard Law Review^11. Ambos juristas de nacionalidad norteamericana, presentaron el derecho “a no ser molestado” o “ right to be let alone” (el cual sería conocido posteriormente como “derecho a la Privacidad”), como un derecho que garantizaba la tranquilidad en la vida privada, es decir, a que la vida personal y su información, no sea tratada por aquellos a quienes, en un principio, no interesa. Siendo un derecho totalmente nuevo, contaba con características fundamentales que permitían determinar su alcance. Estos componentes diferenciadores lo abstraían de otra gama de derechos pues, la privacidad como como tal, no impide que aquello que tiene un interés general o público, o que verse sobre hechos relativos a instituciones públicas, sea publicado; de igual forma, no permite alegar la exceptio veritatis ni la ausencia de malicia; así como que no está amparada bajo el supuesto de la publicación de los hechos por el mismo titular de la información mismo o con su consentimiento^12. La iniciativa centenaria de Warren y Brandeis en Norteamérica, tuvo repercusiones a nivel mundial, y eso es innegable. Las premisas de lo que se estableció como el derecho a la privacidad, más allá de la intimidad que, como derecho, ya habría sido previamente (^11) WARREN,SAMUEL ; BRANDEIS, LOUIS. (1890). The Right to Privacy. Harvard Law Review, Vol. 4, No. 5. (Dec. 15, 1890). Págs. 193-220. (^12) Ibidem.
que se pongan en práctica actividades que desarrollen dicho tratamiento, pero asegurando al mismo tiempo la protección de los derechos de los individuos. Un ejemplo de esta prioridad para la comunidad europea es que, desde el Consejo de Europa y gracias al reconocimiento taxativo que se hace al respeto a la vida privada y familiar, al domicilio y correspondencia de los ciudadanos en el Convenio Europeo de Derechos Humanos (CEDH), se gestan iniciativas contundentes para la construcción de modelos de conductas trasnacionales, que garantizan la protección de las personas con respecto al tratamiento automatizado de los datos de carácter personal. Una de las primeras consideraciones en este sentido se da con expedición para firma en 1981 del conocido Convenio 108^14 , el cual, es el primer instrumento internacional legalmente vinculante específicamente destinado para garantizar la protección de datos de carácter personal. De este Convenio 108, se da una nueva versión (Convenio 108+), el cual se ha abierto para firma desde 2018, buscando su modernización, en el sentido de adaptase a las realidades tecnológicas de esta nueva era digital^15. Por su parte, el Tribunal Europeo de Derechos Humanos (TEDH), ha sentado las bases jurisprudenciales de que lo que debe ser entendido por un tratamiento legítimo de la información personal, a la luz del ya mencionado Convenio Europeo de Derechos Humanos (CEDH), afirmando inequívocamente, que el tratamiento de informaciones sobre los individuos, incluyendo la mera memorización de datos relativos a la vida privada de una persona, puede constituir una injerencia con el derecho al respeto a la vida privada^16. Sumado a ello, la Unión Europea, de la mano de la Comisión Europea, se interesó especialmente por los posibles obstáculos a la libre circulación de bienes y servicios que podían constituir las normativas nacionales sobre protección de datos de carácter personal, llevándola, en 1990 y luego en 1992, a proponer una iniciativa legislativa para asegurar la (^14) Junto con él, la Directiva Europea 95/46 de 1995, la Resolución 45/95 de 1990 de la ONU y la Resolución de Madrid de 2009 (^15) Ibid. (^16) En este sentido se pueden observar las sentencias como las de los asuntos Leander contra Suecia, de 26 de marzo de 1987, Rotaru contra Rumania, de 4 de mayo de 2000, o S. y Marper contra Reino Unido, de 4 de diciembre de 2008
armonización entre libre circulación y la protección de los datos personales^17. Este trabajo sería posteriormente conocido como la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, el cual, y así como cuando se modernizo el Convenio 108 pasando al 108+, también tuvo su predecesor en el Reglamento europeo de protección de datos (UE) 2016/679. d) Sistema Iberoamericano Como en Europa, la protección de datos en Iberoamérica está alcanzando repercusiones evidentes y muy importantes, debido, en gran medida, a la importancia que está adquiriendo la información personal en contraste con todos los nuevos modelos de negocios digitales y las problemáticas que se suscitan en torno al tratamiento de este tipo de datos, en contraste con premisas legales y constitucionales que algunos estados, ya han reconocido en sus ordenamientos. Con el desarrollo jurídico y económico que están alcanzando los países de la región, pese al discurso neoliberal y globalizador de la década de los 90’s que se adoptaron en la mayoría de ellos, se establecen modelos de protección de datos de carácter personal, en el que se ponderan contextos y características propias y singulares, cada vez más alejados de otros modelos regulatorios, que podrían llegar a atentar contra su autonomía y el hermetismo de sus ordenamientos. En este sentido, se señala que esta región no cuenta con una normatividad estándar o general, que sirva de referencia a los países que la conforman, no obstante, la Red Iberoamericana de Protección de Datos (RIPD), foro integrado por los diferentes actores interesados en la protección de datos personales en Latinoamérica y que fuera refrendado por la Declaración Final de la XIII Cumbre de Jefes de Estado y de Gobierno de los países iberoamericanos, cumpliendo el deseo de sus países miembros para facilitar la cooperación efectiva relacionada con la protección de datos y la privacidad en el región, adoptó en junio (^17) El 18 de julio de 1990 la Comisión presenta al Consejo la primera propuesta de directiva, el COM (90) 314- SYN 287 y 288, de 24/09/1990. Al no ser aprobada la propuesta, en julio de 1992, la Comisión presenta una nueva propuesta, el COM (92) 422 final (DO núm. C 311, de 27/11/1992) la cual finalmente es aprobado.
En Colombia, sin que existiera antes de 1991 un referente legal especifico al derecho a la protección de datos personales o la privacidad, solo se contaba con algunas decisiones aisladas en las que se contemplaba, de forma prematura, la concepción al derecho de habeas data en el territorio colombiano. Con la Constitución de 1991, se plasman algunas garantías dispuestas para atender la necesidad de proteger la información de tipo personal. El artículo 15 de la Constitución, reconoció por primera vez y explícitamente el derecho al habeas data, siendo este el“(…) derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas” y además dispuso que “[e]n la recolección, tratamiento y circulación de datos se respetará la libertad y demás garantías consagradas en la Constitución”^20. Tal reconocimiento se hace en conjunto con otro apartado del mismo artículo 15 sobre el derecho a la intimidad, el artículo 16 que reconoce el derecho al libre desarrollo de la personalidad y el artículo 20 sobre el derecho a la información y el derecho a la rectificación, dotando en suma con ello a la protección de los datos personales, la categoría de derecho fundamental autónomo, denominado primigeniamente como derecho al habeas data y, en algunas oportunidades, como derecho a la autodeterminación informativa o informática. f) Leyes Colombianas i. anteriores a 1991 Como se mencionó, antes de la última Constitución Política colombiana de 1991, no existía un referente puntual sobre la protección de datos personales, no obstante, sí que se tenían algunos someros vestigios de la preocupación que el legislador de la época tenía sobre el manejo de cierta información personal que, para la época, pudo haberse considerado sensible. Entre las iniciativas que se promulgaron en la materia se destaca la Ley 23 de 1981 “ Por la cual se dictan normas en materia de ética médica ”, y en cuyo artículo 34, define la (^20) Constitución política de Colombia de 1991. artículo 15
historia clínica como un “documento privado sometido a reserva que únicamente puede ser conocido por terceros previa autorización del paciente o en los casos previstos por la Ley”^21. Adicionalmente, la Ley 96 de 1985 sobre la organización de procesos electorales, estableció en su artículo 51^22 el reconocimiento a la naturaleza pública de los datos relativos al número de identificación personal, lugar y fecha de expedición, sin dejar de otorgar carácter reservado a los archivos que reposan en la Registraduría ligados a la identificación, tales como datos biográficos, filiación y fórmula dactiloscópica, los cuales, sólo podrían ser utilizadas por orden de autoridad competente. ii. posteriores a 1991 Con la influencia de la Constitución colombiana , se expiden normas específicas en materia de protección de datos personales como lo son la Ley 510 de 1999, “ Por la cual se dictan disposiciones en relación con el sistema financiero y asegurador, el mercado público de valores, las Superintendencias Bancaria y de Valores y se conceden unas facultades ”, el cual, en su artículo 114, dictaminó que el tratamiento de datos financieros, solvencia patrimonial y crediticia, solo podría ser tratado siempre que fueran recolectados de fuentes públicas o se tuviera el debido consentimiento del libre, expreso e informado de su titular^23. Al ser un tema (^21) Ley 23 de 1981, artpiculo34: La historia clínica es el registro obligatorio de las condiciones de salud del paciente. Es un documento privado, sometido a reserva, que únicamente puede ser conocido por terceros previa autorización del paciente o en los casos previstos por la Ley. En concordancia, el Decreto 3380 de 1981 en su artículo 23 señala que: “El conocimiento que de la historia clínica tengan los auxiliares del médico o de la institución en la cual éste labore, no son violatorios del carácter privado y reservado de ésta. (^22) Ley 96 de 1985, artpiculo51: Toda persona tiene derecho a que la Registraduría le informe sobre el número, lugar y fecha de expedición de documentos de identidad pertenecientes a terceros. Tienen carácter reservado las informaciones que reposen en los archivos de la Registraduría, referentes a la identidad de las personas, cómo son sus datos biográficos, su filiación y fórmula dactiloscópica. De la información reservada sólo podrá hacerse uso por orden de autoridad competente. Con fines investigativos, los jueces y los funcionarios de policía y de seguridad tendrán acceso a los archivos de la Registraduría. Cualquier persona podrá inspeccionar en todo tiempo los censos electorales, pero en ningún caso se podrá expedir copia de los mismos. (^23) Ley 510 de 1999, artículo 114: Banco de Datos Financieros o de Solvencia Patrimonial y Crediticia. Las entidades o personas naturales que suministren regularmente datos financieros o sobre solvencia patrimonial y crediticia sólo podrán tratar automatizadamente datos personales obtenidos de fuentes accesibles al público o procedentes de informaciones recogidas mediante el consentimiento libre, expreso, informado y escrito de su titular. Previo el pago de la tarifa que autorice la Superintendencia Bancaria y la solicitud escrita de su titular, el responsable del banco de datos deberá comunicarle las informaciones difundidas y el nombre y dirección del cesionario. Sólo se podrán registrar y ceder los datos que, según las normas o pautas de la Superintendencia Bancaria y de conformidad con el artículo 15 de la Constitución, se consideren relevantes para evaluar la solvencia económica de sus titulares. Los datos personales que recojan y sean objeto de tratamiento deben ser pertinentes, exactos y actualizados, de modo que correspondan verazmente a la situación real de su titular.
vale decir, de la mayor fuente de poder y eventual manipulación de nuestra cultura contemporánea. SU-082 de 1995^28 : La corte en esta sentencia reconoce la importancia y el contenido del derecho del Habeas Data, estableciendo como fundamento del mismo el llamado derecho a la autodeterminación informática, el cual tiene su antecedente más remoto en decisiones de cortes europeas como la del Tribunal Constitucional Alemán de 15 de diciembre de 1983^29 en la que se dispuso que a las personas se les debe reconocer el derecho a tomar la decisión, de forma libre, sobre la disposición de sus datos personales, lo cual implica que puedes decidir cuándo y cómo, pueden otras personas conocer sobre ellos. En sentido similar, el Tribunal Constitucional español en sentencia 254/19 9330 del 20 de julio de ese año, estableció en su momento que “la garantía de la intimidad adopta hoy un contenido positivo en forma de derecho de control sobre los datos relativos a la propia persona. La llamada "libertad informática" es, así, también, derecho a controlar el uso de los mismos datos insertos en un programa informático (habeas data)”. C-1011 de 2008^31 : La sentencia aborda y determina la constitucionalidad del proyecto de Ley Cámara 221/07 Senado 27/06 el cual sería posteriormente sancionado como la Ley 1266 de 2008 de habeas data financiero. En la sentencia se establecen parámetros legales para el tratamiento de datos personales de carácter financiero que, aún a la fecha, siguen vigentes. La Corte reconoce la influencia del régimen europeo en la redacción del proyecto y da pie a corresponder lo señalado en una de las intervenciones ciudadanas incluidas en la revisión de constitucionalidad, la cual indicaba que la Ley, proporciona un nivel de protección adecuado sobre los datos de carácter personal que sean transferidos a Colombia desde los países de la UE, cumpliendo con ello lo especificado en Directiva 95/46/CE en lo que se refiere a su capítulo IV sobre transferencias de datos personales a terceros países. (^28) Corte Constitucional, Sentencia SU-082 de 1995, Magistrado Ponente Jorge Arango Mejia. (^29) Tribunal Constitucional Federal Alemán. Sentencia de la Primera Sala, del 15 de diciembre, 1983 ,1 BvR 209, 269, 362, 420, 440, 484/83. (^30) Sentencia 254/1993, de 20 de julio. BOE núm. 197, de 18 de agosto de 1993. Disponible en: http://hj.tribunalconstitucional.es/es-ES/Resolucion/Show/2383. En similar e igual sentido pueden consultarse las providencias del Tribunal Constitucional español número 53/1985, 642/1986 (auto), 11/1998. (^31) Corte Constitucional, Sentencia C- 1011 de 2008, Magistrado Ponente Jaime Córdoba Triviño
a) Directiva 95/46/CE y Ley 1581 de 2012 Tal como quedo establecido en la exposición de motivos del proyecto de la Ley Estatutaria No. 184 de 2010 Senado; 046 de 2010 Cámara^32 , que finalmente concluyo con la expedición de la Ley 1581 de 2012, se “incorpora en su articulado las mejores prácticas internacionales en materia de protección de datos contempladas en Convenio 108 de 1981 del Consejo de Europa, la Directiva Europea 95/46 de 1995, la Resolución 45/95 de 1990 de la ONU y la Resolución de Madrid de 2009, con el objetivo de lograr con esta ley la acreditación de Colombia por parte de la Unión Europea como un país seguro en protección de datos y así poder acceder al mercado europeo sin restricciones atrayendo inversión extrajera y generando nuevos empleos”. En razón a ello es que se afirma la necesidad de observar los apartados específicos de la Directiva que sirvieron de soporte a la normativa actual colombiana, y sumado a ello, determinar las circunstancias que dieron origen a la modificación del texto europeo, para luego si, establecer los efectos que tales cambios debieron tener en las diferentes normativas que tomó como referente a la régimen europeo, específicamente, la Ley colombiana de Protección de Datos Personales. Se debe tener presente que la Directiva 95/46/CE tiene fecha de divulgación del 24 de octubre de 1995, y lleva delantera a la Ley colombiana 1581 de 2012, algo más de 17 años, lo cual plantea que, siendo la primera, fuente de la segunda, y teniendo en cuenta la notable diferencia de tiempo entre una y otra normativa, algunos conceptos e instituciones debieron sufrir variaciones sustanciales, gracias al contexto de las TIC´s, en el que cada una de ellas se dio. (^32) Proyecto de Ley Estatutaria No. 184/10 Senado, 046/10 Cámara, Gaceta del Congreso 488 de 2010.
principio de precaución incubado en el precepto de “protección de datos desde el diseño^33 ” según el cual: “Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas (…)^34 ” Lo anterior plantea que responsables y encargados del tratamiento, deberán evaluar los riesgos inherentes al mismo y aplicar las medidas para mitigarlos, incluso desde el mismo momento en el que se diseñan nuevos desarrollos tecnológicos, por lo que, si se desea innovar en tecnologías que de una forma u otra, impliquen el tratamiento de información personal, deberán incluir dentro de sus protocolos iniciales, acciones concretas que permitan el adecuado cumplimiento de las normas protectoras que están establecidas en el régimen europeo de protección de datos. Ejemplo de ello, son los nuevos desarrollos en materia de computación cuántica, la cual, por su avanzada tecnología, estaría en posición de anular las bases tradicionales de sistemas de seguridad de información que se basan en la encriptación de los datos y sistemas de autenticación transaccional, que hoy por hoy son referentes, tales como aquellos que implementan blockchain^35. Esto a la larga, tiene todo el potencial de poner en riesgo la privacidad de las personas. En este sentido, se señala la exposición de motivos de la Propuesta de Reglamento de Parlamento Europeo y de Consejo, que posteriormente daría lugar a la expedición del RGPD^36 : (^33) La“privacidad desde el diseño” se reconoce internacionalmente desde la 32ª Conferencia Internacional de Comisionados de Protección de Datos y Privacidad celebrada en 2010 según la AEPD. Sin embargo, solamente hasta la expedición del RGPD se eleva dicho concepto a rango de Ley (^34) Artículo 25 del Reglamento General de Protección de Datos Personales. (^35) Un computador cuántico resolvería contraseñas de 400 ó más dígitos o en un tiempo muy corto. Con el aumento de la capacidad de almacenamiento y procesamiento de estos computadores, es apenas loable suponer que estos equipos puedan ser utilizados por mentes criminales para violentar los datos personales de un sin número de titulares. Para ahondar en ello, léase a Naughton John, Will advances in quantum computing affect internet security?. The Guardian. 28 de septiembre de 2019. Disponible en: https://www.theguardian.com/commentisfree/2019/sep/28/google-quantum-computer-internet-security- threat (^36) Comisión Europea, Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos). 2012/0011 (COD). Bruselas, 25 de enero de 2012.
“La rápida evolución tecnológica y la globalización han supuesto nuevos retos para la protección de los datos personales. Se ha incrementado de manera espectacular la magnitud del intercambio y la recogida de datos. La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de desarrollar sus actividades. Los individuos difunden un volumen cada vez mayor de información personal a escala mundial. La tecnología ha transformado tanto la economía como la vida social, y requiere que se facilite aún más la libre circulación de datos dentro de la Unión y la transferencia a terceros países y organizaciones internacionales, garantizando al mismo tiempo un elevado nivel de protección de los datos personales. Estos avances requieren el establecimiento de un marco más sólido y coherente para la protección de datos en la Unión Europea, respaldado por una ejecución estricta, dada la importancia de generar la confianza que permita a la economía digital desarrollarse en todo el mercado interior. Los individuos deben tener el control de sus propios datos personales y se debe reforzar la seguridad jurídica y práctica para las personas físicas, los operadores económicos y las autoridades públicas”. En Colombia, así como en cualquier otra latitud del planeta donde se pondere el uso de las nuevas tecnologías tales como y su posible injerencia en el ejercicio de derechos y la afectación que pueda tenerse sobre intereses colectivos e individuales de otras personas, la preocupación por adecuar la respuesta del estado y específicamente de sus jueces a estas realidades, depende de las bases jurídicas y legales que se tengan en ese momento histórico determinado. Con la Ley 1581 de 2012 colombiana, a casi 8 años de su expedición, puede que se tenga que esta, no es suficiente para dar una respuesta eficiente a las implicaciones que el uso de tecnologías y sistemas diseñados o mejorados en la última década, verbigracia, la las redes sociales, la inteligencia artificial o machine learning; IoT; el Big Data o blockchain, presentan para el tratamiento de los datos personales de nacionales y extranjeros, en la defensa de derechos fundamentales como la privacidad, el habeas data, la intimidad, el buen nombre, etc. Esto es así, principalmente, por que para el momento en el que se expide la norma, el volumen de información involucrados en un tratamiento era limitado y ello, permitía reconocer de manera sencilla y expedita, tanto los datos y sus categorías, así como tratamientos y
