RÉGIMEN LEGAL DE BOGOTÁ D.C.

NELSON REMOLINA ANGARÍTA

Profesor: Universidad Andes

19 de Junio de 2007

Esta exposición no pretenderá mostrar a los asistentes solo los elementos básicos de la protección de datos, sino que buscará compartir con ustedes algunas ideas, para realizar un ejercicio de retroalimentación respecto de este tema que si bien hasta ahora sólo es un proyecto de ley, que falta de revisión automática de la Corte Constitucional y sanción presidencial, resaltamos que es algo que viene desde la Constitución Política de 1991 pero que a pesar de todo este tiempo, en muchas esferas aún desconocen su alcance e implicaciones (específicamente refiriéndose al tema de la protección de bases de datos).

Mucha gente hace referencia a este tema como "hábeas data", pero es mucho más amplio como vamos a exponer en la presentación a seguir.

En cuanto al proyecto de ley no es el único que se ha presentado, tampoco es nuevo puesto que desde el año 1986 se están presentando iniciativas ante el Congreso; pero sólo hasta este año ha surtido trámite de proyecto de ley, que aunque tiene muchas reservas, también tiene grandes aspectos positivos a resaltar.

En esta exposición más que tratar a profundidad el proyecto de ley, pretenderemos inculcar en los espectadores algunas expectativas, frente a los avances e implicaciones que se van a generar, dotándolos de las herramientas suficientes para aplicar la ley de ser sancionada.

Es necesario que analicemos el tema en términos de justicia, pero fundamentalmente desde la posición de ciudadanos que nos permitirá crear una perspectiva mucho más amplia como principal sujeto activo de la información.

Básicamente desde que nacen las computadoras, la información se ha convertido en el insumo que circula por todas las redes, siendo el eje fundamental de las actividades privadas y públicas. A partir de la información se toman decisiones, y se crea claramente un perfil de las personas en donde se especifican sus aptitudes, actitudes, capacidades de endeudamiento, responsabilidad comercial y financiera, entre muchas otras características, que en el caso específico de las entidades, les lleva a concluir si es conveniente su nombramiento en cargos públicos o privados.

Hoy esa información se encuentra en bases de datos públicas o privadas, manuales o sistematizadas que circulan o están disponibles casi para cualquier persona o entidad interesada.

Actualmente para desarrollar cualquier actividad (incluso para ejercicios básicos que se consideraría afectan sólo la órbita privada como el simple hecho de hacer mercado) se pide información, de forma cotidiana y masiva, que una vez sistematizada e informatizada afectan directamente a la sociedad.

En este caso dato personal es cualquier información sobre una persona (natural o jurídica), que guíe, identifique y determine un perfil. Esto va desde sus datos de identificación hasta cualquier pieza de información que permita establecer características básicas y generales de las personas, menos la que es considerada como impersonal, que según el proyecto de ley es la que puede ser sobre una persona, pero no se dice que tiene que ver con ella, ejemplo de esto son los datos de censo de población y vivienda.

La diferencia está en que no todos los datos personales tienen las mismas características jurídicas ni el mismo tratamiento. Lo primero que hay que hacer como operador a la hora de analizar los datos que se encuentren sistematizados es analizar la posibilidad de ubicarlos en alguna categorización jurídica, por ejemplo si es reservada, pública, privada o semiprivada; clasificación sencilla que ha creado la ley.

Se encuentra entre la categorización un nivel identificado como "sensible" que básicamente puede ser objeto de discriminaciones, lo que debe llevar a una cuidadosa utilización y divulgación de la misma. Ejemplo de esto es la participación activa en partidos políticos (aquí exponemos a manera de ejemplo el caso de Venezuela que le cerró la posibilidad a aquellas personas que votaron en la consulta en contra de la propuesta de su presidente, de trabajar en el sector público), afiliación a sindicatos, información de reinsertados, información de personas que tienen acceso a los recursos del sisben, o en situaciones de orden público como la nuestra, la información financiera (que recordemos llevó a la masificación de las pescas milagrosas).

El manejo de esta información reservada, llega al punto de ser protegida por la ley penal.

En la práctica para el ciudadano común es muy difícil saber qué pasa con su información, para qué la utilizan, quien la tiene y consulta, a qué personas o entidades les ha circulado (nacional o internacionalmente), lo que lleva a concluir que es casi imposible que las personas controlen su información en el sistema.

A lo anterior se suma la baja calidad de la información, que en muchos casos es capturada en forma errónea, afectando los requerimientos propios del ciudadano (como solicitud de créditos o asistencia del sistema de salud).

Muchas veces la información errónea ha evitado que se den oportunidades laborales a personas que efectivamente estarían en condiciones de cumplir los requerimientos de las entidades, pero que por los datos reflejados en los sistemas, generan un espectro de desconfianza al momento de la decisión final.

En el sector público, podemos por ejemplo entrar a realizar un ejercicio práctico, que nos permita determinar si la información que tenemos de los usuarios está actualizada, para evitar futuras controversias. Lo anterior aprendiendo de la experiencia del sector privado, que han perdido de forma significativa un gran número de tutelas por no renovar la información en sus bases.

Se debe entender y aceptar que la captura de información no es un ejercicio estático, y que requiere de una constante actualización y de los mejores recursos técnicos, económicos y humanos.

En Internet por ejemplo, se ha identificado que una de las formas más eficaces para capturar información (cierta y errónea) son las "cookies" que son sistemas de información secretos. Hoy nos preguntamos si la utilización de estos sistemas de captación de información son legales, y si podemos capturar datos de los ciudadanos de cualquier manera, pero al respecto no se ha hecho un pronunciamiento definitivo.

Donde más se han visto afectadas las personas, por acceder a los medios electrónicos, es en el caso del "pin" de las tarjetas de crédito, o la información con virus que llega a los correos electrónicos.

Muchas veces las personas, para evitar que sean sistematizadas condiciones y características propias de su modo de vida evitan dar información, o conscientemente la suministran de forma errónea.

El gran reto que tiene el sistema, es generar confianza dentro de sus usuarios, ya que muchas encuestas han demostrado que las personas hoy no están tranquilas con el trato que se da a su información.

Grandes encuestas realizadas han demostrado que, los usuarios antes de darle más importancia a los precios bajos a la hora de comprar productos de una página web, miran como se van a manejar sus datos personales.

Debemos aclarar que el conjunto normativo hoy vigente, no se ha expedido para impedir la circulación de datos personales, sino para que éstos puedan ser utilizados bajo parámetros de respeto de los derechos personales.

El tema ha cobrado tanta importancia, que ya se está pensando en sacar una "Declaración Universal de la Protección de Datos Personales" impulsada por Europa, por el gran impacto que la circulación de datos está causando hoy tanto a nivel personal, como en el desenvolvimiento de las entidades públicas y privadas.

Desde el punto de vista para la protección del consumidor, la Organización para la Cooperación y Desarrollo, expidió un documento que demuestra la importancia de la calidad en la captación de información y de seguridad en la misma. Esta es sólo una muestra del gran número de documentos internacionales que destacan la relevancia de éste tema y que muestran en perspectiva lo que va a suceder en el futuro desde el punto de vista jurídico.

En cuanto al dato, y tomando una cita del profesor Ernesto Lleras, podemos asegurar que se convierte básicamente en la huella dactilar de las personas; lo que nos permite tener una aproximación muy cercana al comportamiento, gustos y demás características de las mismas, tanto en actividades del sector privado, público, locales, nacional e internacional.

Esos datos son sumados de forma conjunta, para que un tercero que en el proyecto de ley ha sido denominado usuario de la información pueda tomar decisiones tanto positivas como negativas, dependiendo de la interpretación que haga (de lo cual dependerá mucho la calidad de la información), entrando a calificar a los sujetos, favoreciendo unos y perjudicando a otros.

Este proceso de calificación, combinará dos elementos a saber, primero el objetivo que partirá de la calidad de la información, y segundo el subjetivo que será resultado de la interpretación que el usuario haga de esta.

Podemos concluir en este punto que en la actualidad y hacia futuro "las personas serán tratadas y serán el resultado de la interpretación y manejo que se de a la información que sobre ellos reposa en los sistemas de bases de datos"

Debemos entrar a preguntarnos por qué se está dando tanta importancia a la expedición de leyes que regulen la protección de datos personales; lo cual lleva a mencionar dos razones, la primera es la necesidad del desarrollo de los negocios internacionales, los procesos de integración económica, y la segunda es la protección de derechos humanos.

Para la primera se requiere que entre los países circulen libremente bienes, servicios, moneda y también información.

Recordemos que en los años sesenta las leyes prohibían específicamente la circulación de datos, a partir de normas internas de privacidad. Esto representaba un gran problema para los empresarios, lo que los llevó a buscar espacios que permitieran la libertad de información a nivel internacional; esto nos lleva al segundo punto, ya que esta iniciativa desencadenó un conjunto de normas que permitieron la circulación de datos personales sin que se afectaran los derechos humanos de las personas.

En la práctica cotidiana del flujo internacional de datos, un ejemplo claro es el caso de Telefónica que se encuentra presente en más de 16 países, lo que nos permite asegurar que la información de cualquiera de las personas que se encuentre en algunos de estos lugares, podrá ser consultada desde cualquier parte de la red.

Profundizando en el tema de los derechos humanos, es recomendable la lectura del libro llamado "El Camino de Auschwitz a Bruselas" del autor Alberto Rodríguez, que nos muestra como en la Segunda Guerra Mundial fue utilizada la tecnología de datos para exterminar millones de personas. Aquí Adolfo Hitler, líder del tercer Reich, quería exterminar un grupo poblacional identificado, pero que se encontraba inmerso dentro de toda la población; para ubicarlos un funcionario de IBM, le ofreció las bases de datos poblacionales que esta compañía había realizado desde los años 40, lo que al final permitió la identificación del objetivo de guerra.

Como resultado de esto, la legislación de los censos, después de la Segunda Guerra Mundial, tienen como principio la reserva de estadística, que lleva a su publicación de forma impersonal (como lo veíamos en párrafos anteriores), no diciendo donde vive la persona ni a quien específicamente corresponde la información recolectada.

Después de esto, es que sale la Declaración Universal de los Derechos Humanos en el año 1948, en donde claramente se puede leer que la información denominada como "sensible", o de no discriminación es tratada de forma relevante en cualquier ley nacional o internacional. En la normatividad interna este tema es tratado específicamente en el artículo 13 constitucional del principio de igualdad.

Complementando lo anterior, internacionalmente se han preferido muchas normas o principios rectores, generando una serie de derechos en cabeza de las personas para que conozcan, actualicen y rectifiquen la información; imponiendo a la vez una serie de obligaciones y deberes a los operadores para que hagan bien su tarea y no afecten los derechos de las personas.

Esto ha sido acompañado por la creación de una serie de entidades de control para que vigilen a los operadores y las fuentes.

Sin duda hoy los gobiernos requieren ser más eficientes frente a la multitud de ciudadanos, obligándolos a desplegar los sistemas de información inteligentes, de forma eficiente, óptima y partiendo de información de calidad.

Esta última característica es muy importante, porque se debe evitar a toda costa la violación de derechos de los ciudadanos, y en especial lo referente al acceso a las oportunidades; pero también se debe tener una información clara que beneficie los intereses y fines del estado, porque de nada sirve tener una información de censo que no permita la generación de indicadores claros, o tener identificados como deudores aquellas personas que ya no lo son.

Lo anterior convierte a la información en una pieza esencial del gobierno electrónico.

Esto se ha transformado en una actividad comercial lícita a nivel mundial; la venta de información de calidad y su buena utilización, ha conllevado grandes avances económicos.

Pero sigue siendo un tema muy delicado, ya que experiencias como la de "Choice Point On Line", una entidad norteamericana que se dedica exclusivamente al comercio de información, quien entregó su producto a un grupo de estafadores, perjudicando gravemente a varias personas, lleva a exigir unos estándares de control muy amplios.

Si miramos los datos de hurtos de los últimos años, encontraremos que gran parte de lo que es hoy sustraído es información; datos sobre las personas que permitirán la configuración de actos ilícitos de una forma efectiva y sin rastro, como lo es la usurpación de las claves de las tarjetas de crédito.

Nos hemos enterado que esta misma entidad tiene una base de datos de 31 millones de colombianos, pero desconocemos sus orígenes.

En este punto presentaremos al lector una serie de casos en los cuales se han visto afectadas las personas, porque en las bases de datos se encuentra información errónea o desactualizada de ellos.

El primero hace referencia a la sentencia T-199 de 1995, en donde dos personas amigas, hacen un préstamo una en calidad de deudor y la otra de prestamista. Aunque la obligación aún no era exigible para el primero, por problemas personales el segundo informó a una base de datos del incumplimiento de la obligación, quedando reportado como deudor moroso. En este caso la Corte manifestó a los operadores, que ellos no sólo debían reportar información suministrada, que no podían ser un receptor ciego de toda la información que les llegaba, sino que estaban en la obligación de adoptar medidas para que la información que ellos publican sea de calidad, de conformidad con el artículo 20 superior quien estima que la información debe ser veraz e imparcial.

El segundo hace referencia a las moras. Según la jurisprudencia de la Corte Constitucional cuando la mora es inferior a un año esta sólo puede estar reportada por el doble de tiempo. Este es el caso de una señora que estuvo en mora por siete meses, pagó la obligación y después de 14 meses, tiempo en el cual debía ser retirada de las bases de datos aún seguía reportada. Esto es un sencillo ejemplo de actualización de información.

El tercer caso hace referencia a las órdenes de captura. En la sentencia T-310 de 2003 un joven se ve involucrado en un accidente de tránsito, librándose orden de captura que es reportada a las bases de datos de la DIJIN, SIJIN, Inmigración, entre otras; la acción penal se extinguió porque hubo indemnización de las víctimas, y el juez ordenó borrar la información de las órdenes de captura, sin embargo pasaron 48 meses antes de ser eliminada la información, lo que llevó a esta persona a ser detenida 20 veces por las autoridades policiales.

La carta política de los colombianos crea la figura del hábeas data y la libertad informática. Este mismo texto reconoce a las personas el derecho a conocer, actualizar e identificar la información que reposa sobre ellos en bases de datos o archivos de entidades públicas o privadas, permitiéndoles por el medio expedito del derecho de petición conocer estos datos.

De forma complementaria indica que los administradores de la información, en los procesos de recolección, circulación, administración y tratamiento deben respetar los derechos y garantías consagrados en la Constitución. Esto implica que la captación de datos debe cumplir un debido proceso, debe contar con la autorización de las personas, debe ser veraz e imparcial, y antes de ser reportada debe ser notificada.

Esta Constitución ha sido muy amplia y generosa en comparación con las constituciones de América y Europa.

La sentencia T-414 de 1992, fue la primera que expidió la Corte Constitucional referente al tema del derecho a la información y la protección del mismo; y hoy nuestro sistema cuenta con más de 150 sentencias que desarrollan el tema, creando un decálogo complejo de cosas que son recogidas en el proyecto de ley.

Como primera medida frente al tema de protección de datos personales, hacemos referencia a los ciudadanos y sus derechos y libertades individuales, dentro de los cuales encontramos no sólo el de la información, sino fundamentalmente el derecho a la vida (como el caso de IBM que analizamos en párrafos anteriores), derecho al debido proceso, derecho a la libertad (que también analizamos frente al tema de información errónea o no actualizada), y el derecho al buen nombre (pago de obligaciones financieras reportadas erróneamente).

El segundo punto tiene que ver con la protección de intereses generales como son, la seguridad nacional, el sistema financiero y bursátil del país, las investigaciones penales, las actuaciones de defensa del estado, entre otras.

También encontramos intereses particulares a proteger, entendiendo como dijimos anteriormente que el manejo de datos personales es una actividad comercial lícita a nivel mundial.

Para entender el proyecto de ley se expondrán los siguientes conceptos:

Dato personal: pieza de información vinculada a una o varias personas determinadas o determinables, que puedan asociarse a una persona natural o jurídica.

Operador: Administrador de datos personales. Quien capta y obtiene la información, la trata y la circula. Persona natural o jurídica.

Fuente: Quien proporciona la información. Persona natural o entidades.

Flujo internacional de datos: En el contexto de la globalización es la opción de crear redes sin fronteras, que permitan una fluidez óptima de la información.

Este proyecto de ley no ha reinventado el derecho a la información, ya que antes de este existían muchos antecedentes internacionales desde los años sesenta; incluso podríamos asegurar que muchos puntos que ya tenían una amplia trayectoria se quedan cortos dentro de esta propuesta.

Como antecedentes importantes encontramos:

Resolución 45 de 1995, expedida por las Naciones Unidas,

Directiva 9546 de Europa del este, que regula el flujo internacional entre Europa y Estados Unidos, La Carta Europea de Derechos Fundamentales, que creó la protección de datos personales como un derecho fundamental e independiente a la intimidad, El Modelo Iberoamericano de la Red de Protección de Datos Personales, expedida en Cartagena en abril de 2007.

Todos estos textos recogen fundamentalmente unos principios que han sido aplicados e interpretados como los estándares internacionales.

Es fundamental que hoy se apliquen sanciones a aquellas personas que administran las bases de datos, buscando con estas medidas que los sistemas sean cada vez más independientes, autónomos e imparciales. Eso son los principios que se han resaltado en las Naciones Unidas y que a nivel interno entrarán en cabeza de dos entidades; por la Superintendencia Financiera y la Superintendencia de Industria y Comercio, desafortunadamente su ejercicio se ha quedado corto, ya que sólo controlan los datos que tienen que ver con información comercial y financiera.

El otro problema que encontramos a nivel interno, es que esas instituciones son de origen público, llevándolas incluso a controlar y vigilar las actividades que desarrollan otras entidades de su mismo sector como el caso de la DIAN, lo que nos lleva a preguntarnos cuál será el grado de imparcialidad que tendría en este caso la Superintendencia Financiera frente a la multitud de denuncias de particulares, por reportes incorrectos o falsos en esa entidad.

Otro elemento primordial tratado en el proyecto, es el reconocimiento al esfuerzo interno de los Estados por proteger la información de sus ciudadanos y entidades, lo cual podría verse en peligro al momento que la información salga a las redes internacionales; este tema de flujo internacional de datos exige que todas aquellas naciones o entidades en específico (públicas o privadas) que participen en estas operaciones conjuntas cumplan con estándares de protección. En el proyecto la responsabilidad de determinar el cumplimiento de esos requisitos mínimos de protección de datos, quedó en cabeza del operador (es decir de la persona natural o jurídica que comercia con la información).

Este último punto ha sido muy criticado y cuestionado, porque claramente se puede ver que se está entregando una función que debería ser del Estado a las personas naturales o jurídicas que tienen intereses económicos en el comercio de datos, lo cual no garantiza ningún grado de imparcialidad, dejando sin bases la protección al ciudadano.

La Carta de los Derechos Fundamentales de la Unión Europea, resume la esencia del tema; en primer lugar consagra la protección de datos como un derecho independiente relacionado con el derecho a la intimidad, pero tratado de forma autónoma así:

Artículo 8 Protección de datos de carácter personal

1. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan.

2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley.

3. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación.

4. El respeto de estas normas quedará sujeto al control de una autoridad independiente.

La regla general es que para captar datos de las personas, se requiere autorización previa e informada como disponíamos en párrafos anteriores. En el proyecto de ley veremos que en el tema específico de la información comercial y financiera desaparece este requisito.

Un elemento a resaltar en el proyecto es que se establece como un deber constitucional de los operadores, la administración adecuada de los datos personales y la protección de la información que sea socialmente relevante.

Aquí sería interesante analizar la sentencia T-526 de 2004, que analizó la afectación que un mal manejo de los datos puede causar en las personas, y la responsabilidad que conlleva ser operador de información.

También se reconoce la "propiedad del dato", en cabeza de la persona que lo origina, fuente o titular; el administrador por tener la información no puede ejercer a plenitud el derecho de propiedad consagrado en el Código Civil, ya que esto sólo será posible previa autorización de la fuente.

Lo anterior parece contradictorio, ya que como expresamos hace un momento, en el proyecto de ley para captar la información comercial y financiera ya no se requiere de autorización, no quedando claro si este requisito también desaparece para que sea consultada por terceros.

Cuando la Corte analizó el tema de la autorización, establecieron que la misma no debía ser una simple respuesta de "si o no", debía ser explícitamente informada, indicando a la persona para que iba a ser utilizada, por que medios iba a circular y por cuánto tiempo permanecería en los sistemas.

Referente a la notificación previa, se estableció que será el elemento fundamental para obtener una información de calidad, esto es que antes de la publicación de la misma, la fuente debe enterarse en qué condiciones se registrarán los datos.

El derecho de acceso también fue tratado en el proyecto, entendiendo que toda persona tiene derecho a conocer la información que sobre él reposa en las bases de datos, sin excepción, lo que permitirá a las personas actualizarla y corregirla.

Resalta el proyecto la importancia de la exactitud en la información, la cual deberá ser de calidad, veraz e imparcial.

Propone el proyecto un denominado "derecho al olvido", esto es que aquellas personas que han cumplido con sus obligaciones y el pago de las moras causadas por retardos frente al incumplimiento, podrán ser eliminadas de las centrales de riesgo financieras.

Recordemos que antes del año 1995 la Corte establecía que aquellos ciudadanos que se encontraron en mora en el cumplimiento de obligaciones, una vez efectuaron el pago, automáticamente serían retiradas de las bases de datos (principio que aún operan en países como Chile o España).

Del año 1995 en adelante, se determinó que por interés general, el sistema bancario necesitaba conocer el historial de las personas a quienes prestaba sus servicios, para saber si existía un riesgo crediticio o no, aplicando una serie de reglas. La primera de estas es dos años en el reporte como regla general, pero si la mora era inferior a un año sólo podría estar reportado por el doble del incumplimiento de la obligación; por último si el pago debía hacerse por medio de un proceso ejecutivo el reporte permanecería en el sistema por un periodo de cinco años.

El proyecto de ley amplia el tiempo de reporte a cuatro años como regla general, sin importar el monto de la cuantía, lo cual podemos asegurar afectará gravemente a los ciudadanos.

Podemos asegurar que este proyecto es un consenso de todos los actores involucrados en esta reglamentación.

Inicialmente se propuso que fuera "Por el cual se regula el derecho fundamental al hábeas data y derecho a la información", que a medida que fueron avanzando los debates fue aumentando de forma significativa.

Esta regulación será aplicada a todos los datos de información personal, registrados en un banco de datos (aunque la ley específicamente no dice a que se refiere con esto), ya sean administrados por personas públicas o privadas.

Lo anterior se aplicará sin perjuicio de normas especiales que dispongan la confidencialidad o reserva de la información (por ejemplo los datos de salud, o los bancos de datos públicos que manejan información pública, o que deban ser reservados en aras de conservar el orden público). Dentro de este último grupo encontraremos como reservada, toda la información que está encaminada a producir la inteligencia del estado, como lo son las bases de datos del DAS, la fuerza pública y seguridad nacional.

Lo expuesto entra en contradicción con lo consagrado en el artículo 15 de la Constitución Nacional, que no consagra excepción a la hora de conocer información personal, registrada en las bases de datos públicos, ya que cualquier ciudadano puede dirigirse a las entidades públicas para saber que información sobre él se tiene registrada.

Por otro lado se nos presentan unas definiciones básicas a las cuales debemos circunscribirnos a la hora de hacer una lectura del proyecto, dentro de las cuales encontramos:

"Dato público" como aquello que se encuentra consagrado en documentos públicos (olvidando la existencia de documentos públicos que tienen información reservada), sentencias judiciales debidamente ejecutoriadas que no están sometidas a reserva y lo relativo al estado civil de las personas. Este dato no requiere autorización, y aquellas personas que manejan información no están sujetos al deber de confidencialidad o reserva.

"Dato semiprivado" será aquel que no tiene naturaleza íntima, reservada ni pública y cuyo conocimiento y divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas, como lo es el dato comercial y financiero. No requiere autorización para su captación, pero sí requiere de confidencialidad o reserva por parte de los operadores para su divulgación.

"Dato privado" aquel que por su naturaleza íntima o reservada sólo es relevante para el titular. Requiere autorización para su captación y divulgación, y quien lo conozca esta obligado a la confidencialidad y reserva.

"Titular de la información" la persona natural o jurídica, fuente de la información responsable de la calidad de la misma. Pareciera que como quedó descrito este concepto, los operadores quienes son los encargados de manejar los datos no tendrán responsabilidad alguna frente a la calidad de la información divulgada o publicada.

Algunos principios, derechos y deberes también fueron recogidos en el texto, partiendo de lo desarrollado en la jurisprudencia nacional, pero quedándose cortos en la temática tratada en estas múltiples sentencias. Dentro de estos resaltamos:

• La veracidad y calidad de la información.
• La circulación restringida de la información.
• La temporalidad de la información (esto refiriéndose a los datos negativos que deben previo cumplimiento de las obligaciones desaparecer del sistema después de cuatro años de reporte, y de los positivos que pueden permanecer por siempre).
• Interpretación integral de los derechos (presentando reglas hermenéuticas para la lectura de la norma de forma integral).
• Seguridad (entendido como la acción de adoptar medidas razonables a nivel tecnológico, organizacional, administrativo, para proteger el acceso a la información).
• Confidencialidad de la información (para los niveles privado y semiprivado).
• Responsabilidad y niveles adecuados de operación.
• Derechos de los titulares:
• hábeas data
• reclamos, derechos de petición
• autorización para captación y divulgación
• información sobre los usuarios (a quienes se les va a entregar mi información).
• Derechos de la fuente
• hábeas data
• derechos de petición
• solicitud de la información, actualización o rectificación.
• Deberes de los operadores
• garantizar el ejercicio del hábeas data
• adoptar medidas de seguridad
• permitir acceso al ciudadano de su información registrada en las bases de datos
• adoptar un manual interno de políticas y procedimientos para el tratamiento datos personales (incluido el trámite de quejas y reclamos)
• requerir autorización cuando sea necesaria (información privada)
• realizar procesos periódicos de actualización y rectificación de información a medida que la fuente se la vaya suministrando
• indicar si la información se encuentra en discusión o en proceso de confirmación
• circular sólo la información de aquellas personas o entidades autorizadas o que cumplan los requerimientos de seguridad.
• Deberes de las fuentes:
• garantizar el suministro de información veraz, completa, exacta, actualizada y comprobable
• reportar en forma periódica y oportuna las novedades
• rectificar la información e informar a los operadores
• mecanismos de reporte oportuno
• resolver reclamos y peticiones
• informar al operador si la información suministrada se encuentra en discusión
• solicitar autorización y certificar al operador que la información que requiere de ese trámite previo cumple con el requisito.
• Deberes de los usuarios:
• utilizar la información para el fin para el cual le fue otorgada dentro de los parámetros que concede la ley
• crear y aplicar un sistema de seguridad.

Debemos mencionar, que cada uno de los actores descritos anteriormente está en la obligación de obedecer las instrucciones, que para el efecto imparta la autoridad de control; lo que se debe entrar a determinar es si todas las entidades públicas tendrán facultades de control, o si por el contrario esta potestad sólo se encontrará en cabeza de la Superintendencia Financiera para todo lo relacionado con las entidades que vigila, y la Superintendencia de Industria y Comercio frente a las entidades que suministran información comercial o financiera.

Por otro lado, dentro del proyecto también se crean una serie de normas especiales de control para los bancos de información financiera, crediticia, comercial y la proveniente de terceros países, dejando por fuera de esta regulación la información de salud de los nacionales.

La gratuidad también fue un punto analizado en este proyecto. Hoy en día los ciudadanos tienen derecho a hacer consultas, realizar trámites y reclamos sin ningún costo, las veces que lo considere necesario; pero después de la promulgación de la ley, el ciudadano sólo podrá ejercer este derecho sin costo alguno por una sola vez cada mes.

Se regulan los requisitos que se deben cumplir para ser considerado como un operador en este campo, dentro de los cuales se encuentran, ser una sociedad comercial, tener una dependencia de atención al titular, actualizar dentro de los diez días calendario cualquier información.

En cuanto a los requisitos especiales para las fuentes se establece que estarán obligados a actualizar mensualmente a los operadores sobre los pagos y reportes previa comunicación al ciudadano.

En cuanto a las consultas (esto es para saber exclusivamente que información sobre los ciudadanos se encuentra registrada en las bases de datos) se tendrá un período de diez días hábiles para dar una respuesta, y hasta cinco más si se presentan inconvenientes que se debe justificar.

Para reclamos (para corrección o actualización de datos) el término será de 15 días hábiles a partir de la solicitud si se encuentra completo el requerimiento, esto es que se haya elevado por escrito, y exponiendo de forma clara y concisa la información que se pretende modificar, lo cual deberá estar plenamente acreditado, y hasta ocho días hábiles más, de presentarse inconvenientes justificables.

Cuando el operador a su vez no sea la misma fuente de la información, está en la obligación de oficiar a la fuente dentro de los dos días hábiles siguientes a la recepción del reclamo, la cual deberá informarle al operador en el término de diez días, para que al ciudadano se le pueda responder dentro de los 15 días previstos.