› Observatorio de Justicia Constitucional
» Derecho de Hábeas Data
» Derecho de Hábeas Data
Tabla de Contenidos
Última modificación: 2006-08-01
Principios que rigen la inclusion de información personal en bases de datos que puedan ser consultadas por internet
El actor presentó acción de tutela por considerar que permitir el acceso por Internet a las bases de datos de Catastro en Bogotá y de la Superintendencia Nacional de Salud, que contienen sus datos personales, con solo digitar el número de identificación personal, vulneraba sus derechos consagrados en el artículo 15 de la Constitución. A partir del artículo 15 de la Carta, la Corte Constitucional ha afirmado la existencia-validez de tres derechos fundamentales autónomos: el derecho a la intimidad, el derecho al buen nombre y el derecho al habeas data. Para la Corte, la especial necesidad de disponibilidad de información mediante la conformación de bases de datos personales, unida a la potencialidad de afectar los derechos fundamentales que apareja el desarrollo de dicha actividad, tornan indispensable someter el proceso de administración de los datos a ciertos principios jurídicos, con el fin de garantizar la armonía en el ejercicio de los derechos fundamentales de las administradoras, de los usuarios y de los titulares de los datos.
Para la Corte estos principios rectores son: libertad, necesidad, veracidad, integridad, incorporación, finalidad, utilidad, circulación restringida, caducidad e individualidad. Además de las obligaciones derivadas de los principios rectores del proceso de administración de bases de datos personales, existen otros que tienen su origen directo en normas constitucionales y legales, sobre todo lo relativo a la obligación de diligencia en el manejo de los datos personales y la obligación de indemnizar los perjuicios causados por las posibles fallas en el proceso de administración. Acogiendo posiciones doctrinales en la materia, la Corte ha señalado como características del dato personal las siguientes: i) estar referido a aspectos exclusivos y propios de una persona natural, ii) permitir identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.
Ante la inexistencia de mecanismos ordinarios de protección de los derechos relacionados con la libertad informática, y la ausencia de una ley estatutaria que regule esta materia, situación denunciada en múltiples oportunidades y aceptando que la acción de tutela a pesar de su importancia en materia de protección de los derechos al habeas data y a la intimidad, no constituye herramienta suficiente para la reconducción adecuada de las conductas desarrolladas en el ámbito del poder informático, la Corte como guardiana de la integridad y supremacía de la Constitución, y en desarrollo del principio de eficacia de los derechos fundamentales, reiteró la invitación al Congreso de la República, a la Procuraduría General de la Nación y a la Defensoría del Pueblo, para que presenten e impulsen respectivamente, un proyecto de ley estatutaria que ofrezca una regulación amplia, consistente e integral en la materia.
Dada la necesidad de proteger efectivamente el derecho a la autodeterminación informática, la Corte considera indispensable que se establezcan normas sobre la obligación de adoptar los mecanismos de seguridad adecuados, que permitan la salvaguardia de la información contenida en las bases de datos. Se requieren normas que establezcan sanciones y regímenes especiales de responsabilidad para las entidades administradoras de bases de datos y para los usuarios de la información, así como normas dirigidas a desestimular y sancionar prácticas indebidas en ejercicio del poder informático: cruce de datos, divulgación indiscriminada, bases de datos secretas, entre otras. También son indispensables normas que regulen los procesos internos de depuración y actualización de datos personales, así como los de las solicitudes de rectificación, adición y supresión de los mismos.
De igual manera, con el fin de que se pueda establecer el equilibrio correspondiente entre los derechos a la información y a la autodeterminación informática, es necesario que el acceso a la información personal debidamente administrada se realice bajo dos principios, llamados a operar bajo la premisa de la posición de garante de la entidad administradora y del peticionario: el principio de responsabilidad compartida, según el cual, tanto quien solicita la información como quien la suministra, desarrollen su conducta teniendo en cuenta la existencia de un interés protegido en cabeza del titular del dato. Y el principio de cargas mutuas, según el cual, a mayor información solicitada por un tercero, mayor detalle sobre su identidad y sobre la finalidad de la información.
Respecto al caso concreto, la Corte consideró que la conducta de Catastro no se ajusta al principio de libertad. Según este principio, la publicación y divulgación de la información, debe estar precedida de autorización expresa y libre de vicios del titular de los datos. En segundo lugar, la conducta de Catastro desconoció de manera indirecta el principio de finalidad, en cuanto permitió el acceso indiscriminado a la información personal del actor a través de su publicación en la Internet. Para la Corte, el proceso de administración de datos personales debe obedecer a una finalidad definida de manera clara y previa, que en el caso de Catastro se concreta en la posibilidad de acceso a la información predial en determinadas condiciones y por ciertas personas naturales o jurídicas. En este sentido, Catastro, al facilitar el acceso a información personal de manera indiscriminada, distorsionó la finalidad de la base de datos, pues permitió que extraños, sin intereses visibles, accedieran a la información sin ningún tipo de control por parte de sus titulares.
En tercer lugar, las condiciones de acceso indiscriminado a la información, constituyen un riesgo cierto que debe ser evitado ante la posible elaboración de perfiles virtuales. Esta situación condujo a analizar el alcance del principio de individualidad. Según este principio, el Departamento Administrativo de Catastro, como administrador de datos personales, debe abstenerse de realizar conductas que faciliten el cruce de datos y la construcción de perfiles individuales. Encontró la Corte que, Catastro, con la publicación de información patrimonial del accionante al facilitar las condiciones para que la misma sea sumada a otra, con el concurso de diversas fuentes de información, vulneró su derecho a la autodeterminación informática.
En conclusión, a partir de la inobservancia y desconocimiento de los principios de libertad, finalidad e individualidad, rectores de la administración de datos personales, la Corte consideró que con la publicación de la base de datos sobre la información catastral de Bogotá en la Internet, tal y como está dispuesta, el Departamento Administrativo de Catastro Distrital de Bogotá, vulneró el derecho fundamental a la autodeterminación informática del accionante.
Por otra parte con la publicación de la base de datos sobre los afiliados al sistema integral de seguridad social en Salud, la Superintendencia Nacional de Salud vulneró el derecho fundamental a la autodeterminación informática del accionante. En efecto, toda vez que este tipo de datos personales está catalogado como información semi-privada, es decir que su acceso se encuentra restringido, la posibilidad de su conocimiento por parte de terceros totalmente ajenos al ámbito propio en el cual se obtuvo dicha información, a partir del sencillo requisito de digitar su número de identificación, desconoció los principios constitucionales de libertad, finalidad, circulación restringida e individualidad propios de la administración de datos personales. Por lo anterior, se concedió la tutela y se ordenó a la entidad que haga cesar la conducta violatoria del derecho al permitir que cualquier persona tenga acceso a información personal sobre el actor. nota 1
Última modificación: 2006-08-01
Principios que rigen la inclusion de información personal en bases de datos que puedan ser consultadas por internet
El actor presentó acción de tutela por considerar que permitir el acceso por Internet a las bases de datos de Catastro en Bogotá y de la Superintendencia Nacional de Salud, que contienen sus datos personales, con solo digitar el número de identificación personal, vulneraba sus derechos consagrados en el artículo 15 de la Constitución. A partir del artículo 15 de la Carta, la Corte Constitucional ha afirmado la existencia-validez de tres derechos fundamentales autónomos: el derecho a la intimidad, el derecho al buen nombre y el derecho al habeas data. Para la Corte, la especial necesidad de disponibilidad de información mediante la conformación de bases de datos personales, unida a la potencialidad de afectar los derechos fundamentales que apareja el desarrollo de dicha actividad, tornan indispensable someter el proceso de administración de los datos a ciertos principios jurídicos, con el fin de garantizar la armonía en el ejercicio de los derechos fundamentales de las administradoras, de los usuarios y de los titulares de los datos.
Para la Corte estos principios rectores son: libertad, necesidad, veracidad, integridad, incorporación, finalidad, utilidad, circulación restringida, caducidad e individualidad. Además de las obligaciones derivadas de los principios rectores del proceso de administración de bases de datos personales, existen otros que tienen su origen directo en normas constitucionales y legales, sobre todo lo relativo a la obligación de diligencia en el manejo de los datos personales y la obligación de indemnizar los perjuicios causados por las posibles fallas en el proceso de administración. Acogiendo posiciones doctrinales en la materia, la Corte ha señalado como características del dato personal las siguientes: i) estar referido a aspectos exclusivos y propios de una persona natural, ii) permitir identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.
Ante la inexistencia de mecanismos ordinarios de protección de los derechos relacionados con la libertad informática, y la ausencia de una ley estatutaria que regule esta materia, situación denunciada en múltiples oportunidades y aceptando que la acción de tutela a pesar de su importancia en materia de protección de los derechos al habeas data y a la intimidad, no constituye herramienta suficiente para la reconducción adecuada de las conductas desarrolladas en el ámbito del poder informático, la Corte como guardiana de la integridad y supremacía de la Constitución, y en desarrollo del principio de eficacia de los derechos fundamentales, reiteró la invitación al Congreso de la República, a la Procuraduría General de la Nación y a la Defensoría del Pueblo, para que presenten e impulsen respectivamente, un proyecto de ley estatutaria que ofrezca una regulación amplia, consistente e integral en la materia.
Dada la necesidad de proteger efectivamente el derecho a la autodeterminación informática, la Corte considera indispensable que se establezcan normas sobre la obligación de adoptar los mecanismos de seguridad adecuados, que permitan la salvaguardia de la información contenida en las bases de datos. Se requieren normas que establezcan sanciones y regímenes especiales de responsabilidad para las entidades administradoras de bases de datos y para los usuarios de la información, así como normas dirigidas a desestimular y sancionar prácticas indebidas en ejercicio del poder informático: cruce de datos, divulgación indiscriminada, bases de datos secretas, entre otras. También son indispensables normas que regulen los procesos internos de depuración y actualización de datos personales, así como los de las solicitudes de rectificación, adición y supresión de los mismos.
De igual manera, con el fin de que se pueda establecer el equilibrio correspondiente entre los derechos a la información y a la autodeterminación informática, es necesario que el acceso a la información personal debidamente administrada se realice bajo dos principios, llamados a operar bajo la premisa de la posición de garante de la entidad administradora y del peticionario: el principio de responsabilidad compartida, según el cual, tanto quien solicita la información como quien la suministra, desarrollen su conducta teniendo en cuenta la existencia de un interés protegido en cabeza del titular del dato. Y el principio de cargas mutuas, según el cual, a mayor información solicitada por un tercero, mayor detalle sobre su identidad y sobre la finalidad de la información.
Respecto al caso concreto, la Corte consideró que la conducta de Catastro no se ajusta al principio de libertad. Según este principio, la publicación y divulgación de la información, debe estar precedida de autorización expresa y libre de vicios del titular de los datos. En segundo lugar, la conducta de Catastro desconoció de manera indirecta el principio de finalidad, en cuanto permitió el acceso indiscriminado a la información personal del actor a través de su publicación en la Internet. Para la Corte, el proceso de administración de datos personales debe obedecer a una finalidad definida de manera clara y previa, que en el caso de Catastro se concreta en la posibilidad de acceso a la información predial en determinadas condiciones y por ciertas personas naturales o jurídicas. En este sentido, Catastro, al facilitar el acceso a información personal de manera indiscriminada, distorsionó la finalidad de la base de datos, pues permitió que extraños, sin intereses visibles, accedieran a la información sin ningún tipo de control por parte de sus titulares.
En tercer lugar, las condiciones de acceso indiscriminado a la información, constituyen un riesgo cierto que debe ser evitado ante la posible elaboración de perfiles virtuales. Esta situación condujo a analizar el alcance del principio de individualidad. Según este principio, el Departamento Administrativo de Catastro, como administrador de datos personales, debe abstenerse de realizar conductas que faciliten el cruce de datos y la construcción de perfiles individuales. Encontró la Corte que, Catastro, con la publicación de información patrimonial del accionante al facilitar las condiciones para que la misma sea sumada a otra, con el concurso de diversas fuentes de información, vulneró su derecho a la autodeterminación informática.
En conclusión, a partir de la inobservancia y desconocimiento de los principios de libertad, finalidad e individualidad, rectores de la administración de datos personales, la Corte consideró que con la publicación de la base de datos sobre la información catastral de Bogotá en la Internet, tal y como está dispuesta, el Departamento Administrativo de Catastro Distrital de Bogotá, vulneró el derecho fundamental a la autodeterminación informática del accionante.
Por otra parte con la publicación de la base de datos sobre los afiliados al sistema integral de seguridad social en Salud, la Superintendencia Nacional de Salud vulneró el derecho fundamental a la autodeterminación informática del accionante. En efecto, toda vez que este tipo de datos personales está catalogado como información semi-privada, es decir que su acceso se encuentra restringido, la posibilidad de su conocimiento por parte de terceros totalmente ajenos al ámbito propio en el cual se obtuvo dicha información, a partir del sencillo requisito de digitar su número de identificación, desconoció los principios constitucionales de libertad, finalidad, circulación restringida e individualidad propios de la administración de datos personales. Por lo anterior, se concedió la tutela y se ordenó a la entidad que haga cesar la conducta violatoria del derecho al permitir que cualquier persona tenga acceso a información personal sobre el actor. nota 1
Búsquedas Modificaciones recientes
2013-04-11
Una lista de denegación del servicio de transporte aéreo configura una conducta que no satisface el principio de acceso equitativo a los servicios públicos esenciales
2012-05-16
Procedencia del trámite de la acción de tutela, cuando a pesar de la diligencia del actor, no es posible solicitar la rectificación de los datos
2007-09-14
El hábeas data o derecho a la autodeterminación informática constituye una garantía para el ejercicio efectivo de otros derechos fundamentales.
Presentación
Descargue la presentación del Observatorio de Justicia Constitucional
Descargar (39Kb)
Sabía usted que...
Puede acceder a cada sujeto simplemente haciendo clic en el menú de la parte izquierda de la página.
Contáctenos
Si desea contactarse con el equipo de trabajo del Observatorio de Justicia Constitucional, escríbanos al correo observatorio@defensoria.org.co
Descargas
Constitución Política de Colombia en formato PDF
Descargar (569Kb)
Versión actualizada (julio de 2013)
Ver - Imprimir
Versión completa del documento sobre Derecho de Hábeas Data optimizada para impresión
Informes
Segundo informe del Observatorio de Justicia Constitucional
Marzo de 2007 - febrero de 2011
Primer informe del Observatorio de Justicia Constitucional de la Defensoría del Pueblo
Marzo de 1992 - febrero de 2007
Requisitos técnicos del sitio web | Su uso de este sitio web constituye aceptación de nuestras condiciones de uso y privacidad