ciberseguridad

Protección de datos en Colombia

HomeTecnología
Dirección copiada

Los datos se han convertido en el combustible que mueve los engranajes del mundo digital y sin embargo, existe un gran desconocimiento sobre ellos: ¿Qué son los datos y qué son los datos personales? ¿Quién los protege en Colombia y cómo se recopilan? Son algunas de las inquietudes que resolveremos.

Publicado el 22 de nov de 2023
Proteccion de datos personales hombre con tablet
Application Contact Communication Connection Concept

Según la Universidad de Cambridge, los datos son “información, especialmente hechos o cifras, recopilados para ser examinados y utilizados como ayuda para la toma de decisiones”, o también pueden ser considerados como “información en formato electrónico que puede ser almacenada y utilizada por un ordenador”.

Solo para dar un contexto, el mundo se mueve alrededor de los datos, formando una corriente que no para de crecer, pasando de ‘apenas’ 23 zettabytes (ZB) en 2017 a más de 175 ZB en 2025, donde cada zettabyte equivale a un billón de gigabytes. Y estos se generan constantemente, como muestra el hecho de que casi el 30% de los datos generados en 2023 son producidos en tiempo real.

Gráfico: ZDNet.

Estos datos son generados tanto por un número cada vez mayor de dispositivos conectados a Internet, que conforman el llamado Internet de las Cosas (IoT), como por los usuarios que, muchas veces de forma inconsciente, simplemente interactúan con las redes sociales, compartiendo su información con todos.

Introducción a la protección de datos en Colombia

Aunque el crecimiento en la producción de información se ha disparado en los últimos tiempos, el derecho a la privacidad fue formalizado desde hace décadas, desde mediados del siglo XX, en 1948, a través de la Declaración Universal de los Derechos Humanos, adoptada por la Asamblea General de la ONU.

Para ser más específicos, se trata del artículo 12, que estipula: “Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques”.

Para buscar el siguiente gran avance en este sentido, debemos viajar a Alemania, específicamente al estado de Hesse, donde, en 1970, se proclamó la primera acta de protección de datos llamada Datenschutzgesetz, que posteriormente se aplicaría en escala nacional en 1977.

Gráfico: CloudGal42.

Para la década de los ochenta, la Organización para la Cooperación y el Desarrollo Económico (OCDE) tomaría cartas en el asunto y publicaría sus primeras directrices sobre la protección de la privacidad y los flujos transfronterizos de datos personales, buscando crear unos principios comunes que permitieran armonizar las legislaciones nacionales sobre privacidad. Algunos de estos son:

  • Principio de limitación de recogida: Debe haber límites a la recogida de datos personales, y se deben obtener por medios lícitos, justos y con el conocimiento o consentimiento del interesado.
  • Principio de calidad de los datos: Los datos personales deben ser pertinentes para los fines para los que se van a utilizar y, en la medida necesaria para dichos fines, deben ser exactos, completos y estar actualizados.
  • Principio de especificación de la finalidad: Los fines para los que se recogen los datos personales deben especificarse, a más tardar, en el momento de su recogida, y su uso posterior debe limitarse al cumplimiento de dichos fines.
  • Principio de limitación del uso: Los datos personales no deben divulgarse, ponerse a disposición ni utilizarse para fines distintos de los especificados, salvo con el consentimiento del interesado o por imperativo legal.
  • Principio de garantías de seguridad: Los datos personales deben estar protegidos por garantías de seguridad razonables contra riesgos como la pérdida o el acceso no autorizado, la destrucción, el uso, la modificación o la divulgación de datos.
  • Principio de transparencia: Debe existir una política general de transparencia sobre los avances, prácticas y políticas en materia de datos personales.
  • Principio de participación individual: Toda persona debe tener derecho a obtener de un responsable la confirmación de si éste dispone o no de datos que le conciernen y a que se le comuniquen los datos que le conciernen en un plazo razonable y a un precio que no sea excesivo.
  • Principio de responsabilidad: El responsable del tratamiento de datos debe rendir cuentas del cumplimiento de las medidas que dan efecto a los principios antes enunciados.

Avances más recientes en la protección de datos se dieron luego con la General Data Protection Regulation (GDPR) europea de 2016, que buscaba armonizar la legislación sobre protección de datos en toda Europa, así como proteger y potenciar la privacidad de los datos de todos los ciudadanos de esta parte del mundo.

De igual forma, la GDPR sirvió para establecer sanciones e incluir nuevas variables como el Derecho de acceso, el Derecho al olvido, la portabilidad de los datos, la privacidad desde el diseño y el establecimiento de responsables de protección de datos.

En 2020, Estados Unidos y, en particular, California lanzaría su CPRA o California Privacy Rights Act of 2020, que buscaba, además de ofrecer a los consumidores mayor control sobre su información, alinearse con el nivel de protección de la Unión Europea y facilitar los intercambios de datos con esta región.

Ley de protección de datos personales en Colombia

La protección de datos personales en Colombia está establecida desde la misma Constitución Política del país, creada en 1991, y donde específicamente en el artículo 15 afirma:

“Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en los bancos de datos y en archivos de entidades públicas y privadas”.

Gráfico: SlidePlayer.

Recordemos que, para la legislación colombiana, los datos personales se refieren a toda aquella información asociada a una persona y que permite su identificación, como son su documento de identidad, el lugar de nacimiento, estado civil, edad, lugar de residencia, trayectoria académica, laboral o profesional, entre otras variables.

Otras de las regulaciones más importantes al respecto se dan con la llamada Ley Del Habeas Data o Ley 1266 de 2008. Recordemos que el derecho de hábeas data es aquel que tiene toda persona de conocer, actualizar y rectificar la información que se haya recogido sobre ella en archivos y bancos de datos de naturaleza pública o privada.

Pero el documento más importante, en Colombia, en este sentido, llegó hasta 2012 con la Ley 1581 también conocida como la Ley de Protección de Datos Personales.

Alcance y aplicación de la Ley 1581 de 2012

Esta Ley, piedra angular de la protección de datos en Colombia, tiene como objeto “desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma”.

Recordemos que el artículo 20 de la constitución garantiza a toda persona la libertad de expresar y difundir su pensamiento y opiniones, la de informar y recibir información veraz e imparcial, y la de fundar medios masivos de comunicación. Estos son libres y tienen responsabilidad social.

Gráfico: Asuntos Legales.

De igual forma, la Ley 1581 de 2012 establece una serie de definiciones como, por ejemplo, llamar ‘Tratamiento’ a cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

Es importante destacar que a partir de la Ley 1581 de 2012 se construyeron otras normas como el Decreto 1377 de 2013, que buscaba potenciar y precisar el derecho de todas las personas a conocer, suprimir, actualizar y rectificar todo tipo de datos personales recolectados, almacenados o que hayan sido objeto de tratamiento en bases de datos en las entidades del públicas y privadas.

¿Qué se considera como datos personales?

Para la Unión Europea, los datos personales son cualquier información relativa a una persona física viva identificada o identificable, así como las distintas informaciones que, recopiladas, pueden llevar a la identificación de una determinada persona. También entran en esta categoría los datos que hayan sido anonimizados, cifrados o presentados con un seudónimo, pero que puedan utilizarse para volver a identificar a una persona.

En el caso de Estados Unidos, esta definición presenta algunas variaciones según las regulaciones de los diferentes estados miembros. En el caso de California, uno de los pioneros en este campo, la información personal incluye datos que identifican, se relacionan, describen o son razonablemente susceptibles de ser asociados o podrían vincularse, directa o indirectamente, con un consumidor o un hogar en particular.

Gráfico: Cambio Colombia.

En palabras más simples, los datos personales incluyen variables como nombres y apellidos, datos biométricos, datos genéticos, domicilio, dirección de correo electrónico, número de documento nacional de identidad, historial de compras, contraseñas, historial educativo, de salud y de navegación, entre otros.

En Colombia, la ley también establece diferentes categorías de datos según el grado de divulgación que va desde los datos públicos, los datos privados y los semi privados, siendo estos últimos sin naturaleza íntima, pero cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto grupo de personas.

Otra categoría especial son los datos sensibles que se refieren a aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación. Estos incluyen información como el origen racial, orientación política, creencias religiosas, pertenencia a sindicatos y organizaciones sociales, entre otros.

Principios fundamentales de la protección de datos en Colombia

Como parte del cuerpo de la Ley 1581 de 2012 se incluyen una serie de principios rectores para garantizar la protección de los datos, como son:

Principio de legalidad en materia de Tratamiento de datos: El Tratamiento al que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.

Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.

Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernen.

Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley;

Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido solo a los Titulares o terceros autorizados conforme a la presente ley”.

Principio de seguridad: La información sujeta a Tratamiento se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales y que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación.

Derechos de los titulares de datos en el contexto digital

Si la globalización es un reto económico y logístico para las empresas, la digitalización de los datos y su acceso a Internet son un reto aún más grande para los países y entes reguladores. Como muestra, el constante uso de redes sociales y aplicaciones por parte de los usuarios a cambio de sus datos personales es algo cotidiano. De hecho, es una forma de mercado también conocida como Capitalismo de Vigilancia.

En este escenario, se han creado varios mecanismos de autorregulación de las multinacionales a través de los famosos “términos de uso” donde cada usuario debe aceptar unas condiciones para tener acceso a ciertos servicios y plataformas. Lo peor es que la gran mayoría de las personas, entre el 91% y el 97%, según una encuesta de Deloitte, ni siquiera los lee.

Sin embargo, es importante recordar que en Internet o en cualquier medio, cada persona es dueña de sus datos personales y puede decidir si compartirlos o no.

Responsabilidades de las entidades en el tratamiento de datos personales

Según la legislación colombiana y en particular, el artículo 17 de la Ley 1581 de 2012, las entidades responsables de los tratamientos de los datos se ven atadas a unos deberes que incluyen tomar medidas para asegurar la conservación de la información, adoptar manuales internos de procedimientos para el manejo de los datos e informar al ente regulador: la Superintendencia de Industria y Comercio.

Más en detalle, estos deberes descritos en la legislación colombiana son:

  • Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
  • Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  • Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley.
  • Actualizar la información reportada por los responsables del Tratamiento dentro de los cinco días hábiles contados a partir de su recibo.
  • Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley.
  • Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares.
  • Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en la presente ley.
  • Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
  • Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
  • Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
  • Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
  • Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

Proceso de recolección de datos personales en el mundo digital

Cuando Clive Humby, uno de los primeros científicos de datos, dijo que “Los datos son el nuevo petróleo”, probablemente no imaginaba hasta qué punto estaba en lo cierto. Para 2020, el negocio de los corredores de datos o ‘data brokers’ superó los 200.000 millones de dólares.

Siendo más exactos, estos data brokers son generalmente entidades que recopilan información sobre consumidores y luego venden esos datos a otros data brokers o a empresas. Se trata generalmente de entidades que ni siquiera tienen relación directa con los dueños de los datos y donde los titulares de la información generalmente desconocen que sus datos están siendo comercializados.

Gráfico: Privacy bee

Pero si usted cree que los data brokers son organizaciones ilegales, se equivocó. Estos actúan generalmente dentro del marco de la ley al recibir el consentimiento de los usuarios. Como ejemplo, basta ver los servicios que titanes como Google, Microsoft o Facebook ofrecen a los usuarios a cambio de sus datos personales, preferencias de navegación y de productos.

Gracias a ello, hemos llegado a un punto en que empresas privadas y, en muchos casos, extranjeras tienen mucha más información sobre los habitantes de un país que su mismo gobierno local.

Retos y desafíos de la protección de datos en el entorno digital

La privacidad y protección de los datos son tan desafiantes como la ciberseguridad misma. Se trata de dinámicas complejas que evolucionan con los años, generando nuevas herramientas y desafíos. Como muestra, basta recordar el uso de la Inteligencia Artificial para generar y detectar malware.

En el caso de la protección de los datos, existen múltiples retos que tienen componentes tecnológicos, regulatorios y culturales. En el caso tecnológico, podemos mencionar tendencias aparentemente positivas como una mayor penetración de dispositivos conectados o la mayor generación de datos por usuario. Sin embargo, al mismo tiempo, representan posibles brechas de datos y mayores costos de mantenimiento de infraestructura.

Gráfico: Clover DX.

Otros retos que mezclan factores tecnológicos y culturales son no incluir la privacidad desde el diseño mismo de las soluciones, culturas rígidas que no valoran el cuidado de la información o el exceso de normas y trabas regulatorias propias de cada nicho de mercado.

Comparación con normativas internacionales sobre protección de datos

El impacto de la General Data Protection Regulation (GDPR) sobre el mundo ha sido fuerte, influenciando diferentes regulaciones en distintas latitudes como la “Lei Geral de Proteção de Dados” de Brasil o la legislación californiana.

Porque la GDPR fue una ley avanzada, creada en 2016, que por su misma naturaleza internacional tuvo en cuenta diversos factores heterogéneos como su aplicación entre varios países de forma armónica. La regulación colombiana data de 2012 y está limitada al territorio nacional.

Otras partes de la norma europea incluyen derechos nuevos como el del olvido, la portabilidad de los datos personales y el derecho a no ser objeto de decisiones individuales automatizadas. Colombia, aunque con diferencias, incluye gran parte de estos principios en varias de sus normas.

Casos relevantes de violaciones a la protección de datos en Colombia

El 6 de julio de 2023, la Superintendencia de Industria y Comercio impuso la sanción más alta de la historia de Colombia por el tratamiento indebido de datos personales. La sanción de más de 1.300 millones de pesos fue dirigida al principal operador de telecomunicaciones del país: Claro.

Gráfico: Superintendencia de Industria y Comercio.

Según el ente regulador, el operador en su campaña “Amigos que te premian” no implementó medidas adecuadas buscando obtener números telefónicos de referidos de sus clientes sin autorización previa. Un agravante que explica el monto de la multa es que Claro es reincidente, ya que había sido multada previamente por el mismo comportamiento.

Adicionalmente y como parte de las sanciones establecidas, Claro debe abstenerse de continuar utilizando las bases de datos recolectadas con ocasión de esa campaña, proceder con la eliminación de las bases de datos asociadas a la misma y cesar todo tipo de actividad en la que recolectan datos personales sin la autorización de su titular.

Además de este incidente, destacado por su monto, diariamente se presentan cerca de 79 casos de violación a la protección de datos personales en Colombia, llegando a registrarse más de 28.610 quejas en 2021.

Recomendaciones para empresas y usuarios en el manejo de datos personales

La protección de los datos es integral, implica tanto elementos tecnológicos como de comportamiento. En lo que se refiere a los usuarios, la firma Ernst & Young recomienda a los consumidores tomar conciencia del valor real de su información, revisar con quién comparten sus datos, leer los términos de uso, exigir a las empresas que tengan protocolos de privacidad y protección de datos, preguntar qué hacen las empresas con su información y, por último, ejercer sus derechos sobre su información.

GRáfico: Veritis.

Por el lado corporativo, estas mejores prácticas suelen ser más detalladas, y no es extraño el uso de asesores externos, expertos en el tema y con certificaciones otorgadas por diversos fabricantes de soluciones de ciberseguridad. Sobre este escenario, se recomiendan prácticas como:

  • Identificar y categorizar los datos sensibles: Revisar el repositorio de datos, desarrollar informes sobre los hallazgos y clasificar la información según su importancia.
  • Establecer una política de datos: Crear un manual que asigne roles sobre quién tiene acceso a los datos y hasta qué punto puede usarlos.
  • Controlar quién tiene acceso a los datos: El personal de nómina no necesita tener cifras de ventas; establecer qué privilegios de acceso y control se tienen de acuerdo a cada rol.
  • Protección física de los datos: Cuidar también el hardware y evitar que los equipos sean retirados de sus ubicaciones: discos duros, laptops, documentos, etc.
  • Documentar las políticas de ciberseguridad: Documentar las mejores prácticas facilita la transferencia de conocimiento entre los empleados.
  • Adoptar una estrategia de protección de datos basada en el riesgo: Implementar la gestión de riesgo dentro de la organización.
  • Capacitar a los empleados en materia de seguridad: El 80% de los ataques cibernéticos son causados por errores humanos.
  • Implementar la autenticación multifactor: No se debe facilitar el acceso a los criminales.
  • Encriptar datos: Es una solución práctica disponible desde hace años para proteger la privacidad de la información.

Futuro de la protección de datos en el mundo digital colombiano

El futuro es el equilibrio. Vivimos en una época en que los datos son necesarios para alimentar la economía digital, la analítica y la Inteligencia Artificial. Al mismo tiempo, los órganos reguladores deben asegurar la privacidad de los datos, y esto solo es posible mediante la cooperación internacional.

En los últimos años, han surgido más y más regulaciones estatales para asegurar la protección de los datos. Sin embargo, estos activos digitales viven en el ciberespacio, cruzando fronteras cada segundo y con usuarios que voluntariamente, y a veces de forma irresponsable, acceden a entregar su información personal de forma instantánea y sin leer para que puedan ser usados.

Por eso, el futuro de la protección de los datos también debe estar ligado con la educación permanente de los usuarios, desde la misma escuela enseñando y promoviendo conceptos de huella e identidad digital y cómo esta puede ser usada. Después de todo, lo que pasa en la red puede perseguirnos toda la vida.

Por supuesto, otra parte de la respuesta viene de la tecnología, nuevas formas de protección que incluyen sensores biométricos, doble autenticación, passkeys y el uso de sensores que buscan en la dark web para saber qué datos están comprometidos. Sin embargo, la tecnología es una carrera de dos vías, donde esta puede ser usada para todos los fines, buenos y malos.

Para concluir cuide sus datos, después de todo, son parte de su propia identidad.

Imagen de rawpixel.com en Freepik

Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

Jorge Hernández

Periodista de la Universidad de La Sabana, escritor y guionista con más de 20 años de experiencia en medios como El Tiempo, El Espectador, y la revista Esquire. Libretista de estudio para las cadenas RCN y ESPN. Además de ganador en convocatorias para el desarrollo de videojuegos (CREA Digital 2020) y series de televisión (Ibermedia 2023). Periodista de Impacto TIC, medio del grupo Dixigem 360.

Sígame en

Canales

Artículos relacionados

  • Veritas: Innovando en la gestión y seguridad de datos

    09 Jun 2023

    por Wilson Cabrera Patiño

    Compartir

  • Innovación

    Transformación Digital en Colombia: Implicaciones y perspectivas

    07 Dic 2023

    por Laura Suárez Bernal

    Compartir

  • Innovación

    Cómo las Ciudades Inteligentes están cambiando el mundo

    19 Feb 2024

    por Laura Suárez Bernal

    Compartir

  • Tecnología

    Ciberseguridad en Colombia ¿cuáles son los riesgos a los que se enfrenta el país?

    06 Mar 2024

    por Laura Suárez Bernal

    Compartir

Siguiente

Veritas: Innovando en la gestión y seguridad de datos

Artículo 1 de 5