Las bases legales para el tratamiento de datos personales son aquellos fundamentos que legitiman la recolección, uso, divulgación, transmisión y transferencia de estos. A partir de ellas, las actividades que realicen compañías o personas naturales sobre los datos de un titular están respaldadas y se consideran ajustadas a la normativa siempre que se cumpla con los requisitos de información al titular de las finalidades de tratamiento y la observancia de los principios establecidos por la norma.
En Colombia, igual que presenta en la mayoría de los países de Latinoamérica, la regla general para el tratamiento de datos es el consentimiento, el cual se deriva de la autorización previa, expresa e informada que otorgan los titulares. Este requisito sobre el uso y acceso a datos se ha establecido en nuestra jurisdicción, buscando dar cumplimiento al principio de libertad como uno de los principios bases del habeas data, el cual establece que el tratamiento solo podrá ejercerse con el consentimiento del titular.
La Ley 1581 de 2012, normativa de protección de datos en Colombia, ha establecido excepciones al consentimiento como base legal del tratamiento, disponiendo, entre otras, la posibilidad de relevarlo por un mandato legal o judicial que faculte el tratamiento sin autorización previa del titular. Sin embargo, se trata de casos muy específicos que no cubren las necesidades de tratamiento y los mecanismos de relacionamiento con los titulares que se ven y utilizan en el tracto empresarial cotidiano.
Un problema de eficacia frente a las nuevas dinámicas empresariales
Actualmente, y como se mencionó previamente, la única base que por regla general tienen las empresas para justificar el tratamiento de los datos personales de sus clientes, usuarios, proveedores e incluso colaboradores, es la existencia de una autorización previa. Esta disposición puede considerarse, al menos inicialmente, como un verdadero mecanismo garantista del derecho a la privacidad de los titulares, y puede que esa haya sido la intención inicial del legislador.
Sin embargo, desde un punto de vista basado en el análisis de la eficacia normativa, es difícil no cuestionar si tener un sistema tan limitado es lo ideal para el contexto actual en el que se está moviendo el tratamiento de datos. ¿Será, entonces, momento para una actualización en la regulación de datos del país?
Contextos como las relaciones comerciales, laborales, las nuevas tecnologías de reconocimiento y seguridad basados en biometría, la implementación de herramientas de inteligencia artificial y el aumento exponencial de transmisiones y transferencias de datos personales, son algunos de los ejemplos de la necesidad que existe de una regulación mucho más amplia en lo que a las bases legitimadoras del tratamiento respecta.
Frente al contexto de relaciones laborales, las Resoluciones de la Superintendencia de Industria y Comercio, como la 12809 de 2018 y la 43761 de 2020, han señalado la dificultad que existe en el ámbito laboral de depender únicamente del consentimiento para realizar el tratamiento de los datos de los colaboradores de una empresa. Esto toma sentido en un contexto en el que los empleadores tienen a cargo diferentes obligaciones legales, tales como afiliar a sus empleados a fondos de pensiones, servicios de salud y el pago de salarios, entre otras. Así, la Superintendencia ha resaltado la importancia de entender las leyes de seguridad social y salud en el trabajo como bases legitimadoras para el tratamiento de los datos en dichos casos.
Un conflicto parecido se presenta en la ejecución de contratos comerciales en los cuales se entiende que es necesario el tratamiento de los datos personales de los usuarios para la efectiva ejecución del contrato. No obstante, la necesidad de autorización y la posibilidad que existe en la norma de retiro del consentimiento pone en constantes aprietos a las empresas al momento de dar trámite a dichas solicitudes. En especial, este es el caso frente a la necesidad de explicar cuándo ello no es posible por los deberes contractuales adquiridos.
Es necesario aclarar que la propuesta de ampliación de las bases legales de tratamiento no implica generar inseguridad jurídica frente a la privacidad de los usuarios, por el contrario, a través de ésta se lograría individualizar de una manera mucho más fácil los fines o razones por las cuales una compañía o persona natural recolecta información, y daría paso a establecer requisitos de cumplimiento y protección que se adapten a cada una de las bases legales.
Una mirada comparativa al RGPD europeo
A diferencia de la normativa colombiana y regional, en Europa, a partir del Reglamento General de Protección de Datos (RGPD), se ha establecido un total de seis bases legales para el tratamiento, entre las cuales, además del consentimiento, se incluyen la necesidad del tratamiento para la ejecución del contrato y/o medidas precontractuales, como la necesidad de cumplimiento de una obligación legal. Las bases legales adicionales que trae el RGPD no se entienden como un desconocimiento del consentimiento, ya que deben informarse de manera previa al interesado. Además, antes de recolectar los datos, el responsable deberá justificar la base legal que mejor se ajusta al tratamiento e informarlo al interesado—esto a riesgo de ser sancionado.
Muchos son los esfuerzos que las empresas latinas y colombianas específicamente han hecho para cumplir con los requerimientos del RGPD frente a la transmisión y transferencia de datos de ciudadanos y residentes europeos. Sin embargo, en este punto es importante también resaltar las facilidades que traería para el empresariado y sociedades colombianas la ampliación de las bases a un modelo similar al europeo, el cual les permitiría adaptarse más fácilmente a los estándares de cumplimiento internacional en materia de protección de datos personales.
Teniendo en cuenta el aumento progresivo que han tenido las transmisiones transfronterizas de datos, dados los nuevos modelos económicos que la tecnología ha traído—y que Colombia no es ajeno a ello—, es importante empezar a generar regulaciones de privacidad no solo consecuentes con los modelos actuales sino que faciliten las actividades y necesidades que se avizoran para encargados y responsables del tratamiento.
Definida la necesidad actual de la regulación colombiana en materia de protección de datos, el siguiente punto a definir es la forma en que ese cambio normativo debe darse. Si bien lo ideal sería a través de la modificación del régimen general de protección de datos personales en Colombia, es decir la Ley 1581 de 2012, lo cierto es que la agenda legislativa del gobierno en curso en Colombia no deja un lugar, al menos prioritario para este propósito. En efecto, con más de 30 proyectos de ley para tramitar solo en el primer trimestre de 2023—entre los cuales se encuentran temas de alta importancia para el gobierno como la reforma a la salud, la reforma pensional y laboral y el nuevo código electoral—, no son muchos los caminos para encontrar una solución a través del Congreso de la República.
Sin embargo, es importante resaltar que la necesidad de ampliación de las bases legitimadoras del consentimiento no es un tema menor, ya que tiene un impacto directo en el relacionamiento empresarial a nivel local e internacional, así como en la disminución del riesgo para las compañías. Esperamos entonces que sea el Gobierno Nacional quien, a través de decreto reglamentario, establezca las bases legitimadoras necesarias para abrir el camino del tratamiento de datos con base en la ejecución de un contrato y en el cumplimiento de obligaciones legales.