¿Qué podría llevar a una indemnización en protección de datos personales?

Los datos personales hacen parte de la intimidad de cualquier persona y comprenden el ámbito de lo que es estrictamente privado; no obstante, en ocasiones es necesario que tales datos se divulguen, sea por motivos organizacionales o por razones de prestación de servicios, en cuyo caso se requerirá del consentimiento del titular para que estos sean tratados. 

Para entender lo afirmado anteriormente imaginemos tan sólo el caso de una persona que requiere una licencia de conducción en Colombia, ese individuo deberá participar en una serie de evaluaciones y practicar una variedad de exámenes médicos con el propósito de demostrar  tanto que cuenta con capacidad para manejar algún tipo de vehículo, como  que no será un peligro para peatones u otros actores viales; por tanto, obtener los resultados de los test físicos, visuales, psicológicos y de respuesta a estímulos, en conjunto con las pruebas de manejo será indispensable para obtener la certificación de aptitud.

Así entonces, los datos contenidos en tales resultados sumados a los de identificación de la persona, su domicilio, correo electrónico, números telefónicos y huellas dactilares entre otros, se  constituirán como datos personales sensibles divulgados, los cuales requerirán de un consentimiento explícito del titular para que puedan ser usados.

En el ejemplo expuesto, el titular en mención confía en el profesionalismo y la confidencialidad de los funcionarios del centro de evaluación, autoriza el uso de sus datos personales, y mantiene la  certeza que toda la información entregada será tratada adecuadamente, será destinada exclusivamente a los fines ya conocidos, y será resguardada en forma apropiada impidiendo que esta no llegue a caer en manos de personas ajenas al proceso; sin embargo,  ¿Qué sucede si los mismos  encargados de practicar tales exámenes, de calificar las evaluaciones , o incluso de archivar y custodiar la información cometen errores u omiten acciones y permiten que los datos se pierdan o se filtren para que terceros hagan uso de ellos?

La respuesta a tal inquietud inicialmente nace de nuestra constitución, la cual establece un derecho a la intimidad que  garantiza que los datos personales no pueden ser conocidos o divulgados de manera indiscriminada, y que tan solo el titular de la información es el único que tiene la prerrogativa de convertir sus propios datos en públicos; por tanto, es una infracción a los derechos individuales que eso no ocurra. Es importante anotar que de forma complementaria al derecho constitucional apareció  la ley 1581 de protección de datos personales, siendo esa ley la que detalla con claridad los principios aplicables al tratamiento de la información, y  establece el régimen sancionatorio que se acomoda a las infracciones cometidas.

Ahora bien, el hecho que ocurra una sanción no significa que se compense directamente al titular por un daño ocasionado, esto en virtud a que la SIC (Superintendencia de Industria y Comercio), como  organismo rector de la ley 1581, tan solo tiene la facultad de reprender a la organización infractora impartiendo multas y acciones administrativas destinadas a crear precedentes y a obligar a que se tomen las acciones correctivas para que eventos similares no vuelvan a ocurrir, careciendo de capacidad para valorar acertadamente los perjuicios económicos y personales que se le causan a una persona cuando sus datos privados son expuestos al público en general. Es por ello que en el caso de perjuicios es la justicia ordinaria la llamada a reestablecer los derechos, a equilibrar la balanza de justicia y a ordenar la reparación al afectado.

Al respecto, la misma corte constitucional establece como exigible la reparación por vía judicial, dado que dentro del análisis de exequibilidad de la ley 1581 menciona: “además de  las obligaciones derivadas de los principios rectores del proceso de tratamiento de datos personales, existen las que tienen su origen directo en las normas constitucionales, como son: la prohibición de discriminar a las personas por las informaciones recaudadas en las bases de datos,  el principio de interpretación integral de los derechos constitucionales, y  la obligación de indemnizar los perjuicios causados por las posibles fallas en el proceso de administración de la información”.

Así las cosas, ante cualquier incumplimiento de la ley de protección de datos personales primero se debe proceder a presentar denuncia ante la SIC para que sea esta quien realice la correspondiente investigación;  y en el caso que la denuncia sea acogida y genere una resolución sancionatoria de segunda instancia, no antes, se podrá elevar ante los jueces civiles el alegato con propósito indemnizatorio, permitiendo con esto que la resolución se constituya en prueba del cometimiento de la infracción, la que en el caso de filtración de datos siempre ocurre por irresponsabilidad o negligencia por parte de la organización acusada, derivando con ello que se justifique permitir ejercer el derecho a ser indemnizado.

Sin lugar a dudas, la posibilidad de ser resarcido económicamente por las fallas en los procesos de tratamiento de datos que realizan las diferentes organizaciones es un avance de la jurisprudencia; en el pasado los derechos personales eran continuamente vulnerados sin ser compensados, ello producto por una posición de fuerza y poder de muchas corporaciones,  y como consecuencia de vacíos en la ley. No obstante los avances, aún queda mucho por mejorar, en especial en  temas relacionados con la valoración del monto de la indemnización, cuyas incertidumbres tan solo podrán ser llenadas con desarrollos jurídicos producto de los nuevos casos que aparecen y del acumulamiento de antecedentes, los que al final, serán el punto de partida para las nuevas normas.