El recaudo y uso de los datos personales, esto es, aquellos que se recaudan en el formulario de vinculación, requiere de autorización previa y expresa del cliente.
La Ley Estatutaria 1581 del 17 de octubre de 2012, “Por la cual se dictan disposiciones generales para la protección de datos personales”, en su artículo 28 estableció un régimen de transición en virtud del cual “Las personas que a la fecha de entrada en vigencia de la presente ley ejerzan alguna de las actividades acá reguladas tendrán un plazo de hasta seis (6) meses para adecuarse a las disposiciones contempladas en esta ley”.
Acaecido este término, a partir del 18 de abril de 2013 todas las entidades financieras y empresas del sector real que recaudan datos de sus clientes deben dar cumplimiento a las correspondientes disposiciones de la ley, atendiendo además los dispuesto por la H. Corte Constitucional en su sentencia C-748/11 (Magistrado Ponente: Jorge Ignacio Pretelt Chaljub).
Sin embargo, es de advertir que en el artículo 2º de la ley se precisa que su régimen de protección de datos personales no será de aplicación “b) A las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo”.
¿Como quiera que la ley no lo precisa, será necesario concluir que esta exclusión aplica no solamente respecto de la base de datos de la UIAF, lo cual es obvio, sino también respecto de aquellos obligados por norma administrativa a recaudar información de sus clientes en el contexto de la prevención del LA/FT?
Aun si la respuesta a la anterior pregunta fuera afirmativa, deben tenerse en cuenta dos cosas:
- La primera es que en el parágrafo del mismo artículo se expresa que “Los principios sobre protección de datos serán aplicables a todas las bases de datos, incluidas las exceptuadas en el presente artículo”.
- La segunda, es que los datos que recopilan en el formulario de vinculación las entidades financieras y empresas del sector real no tienen como propósito exclusivo la prevención, detección, monitoreo y control del lavado de activos y del financiamiento del terrorismo, sino que también sirven para otros designios, como son los meramente comerciales.
¿Esto significaría que en el formulario de vinculación la entidad o empresa recaudadora, cuando menos, debería a partir de ahora incluir un nuevo párrafo, en el cual claramente se exprese que la persona proporciona la información libremente? La inclusión de este párrafo resultaría indispensable, como quiera que las nuevas disposiciones advierten que no está permitido el consentimiento tácito del cliente, a quien se denomina “titular del dato”.
Ahora bien, dentro de los aludidos principios se destaca el Principio de libertad, en virtud del cual “El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento”. De otro lado, es de recordar que en virtud del Principio de transparencia “debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento (…) en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan”.
A falta de una regulación precisa, ¿cómo deberán cumplir estas disposiciones aquellos sujetos obligados por norma administrativa a recaudar información de sus clientes en el contexto de la prevención del LA/FT?
Es de advertir que estas disposiciones no aplican exclusivamente para los datos que sean recaudados a partir de la entrada en vigencia de la ley, sino también para aquellos que hubieran sido recaudados anteriormente. Esto, nuevamente, significaría que en el formulario de actualización la entidad o empresa recaudadora deberá incluir un párrafo en el que claramente se exprese que la persona autoriza el uso de la información previamente recaudada.
Adicionalmente, en virtud del “Tratamiento” esto es, la recolección, almacenamiento, uso, circulación o supresión de los datos, las entidades financieras y empresas del sector real que están obligadas a recaudar información de sus clientes, deben cumplir -en el ámbito de lo no excluido por la ley- entre otros, los siguientes deberes:
- Solicitar y conservar copia de la respectiva autorización otorgada por el cliente;
- Informar debidamente al cliente sobre la finalidad de la recolección;
- Informarle acerca de los derechos que le asisten por virtud de la autorización otorgada.
En lo que hace a los derechos que le asisten al cliente, debe destacarse que estos son, esencialmente, los de conocer, actualizar y rectificar las informaciones que se hayan recogido sobre él. Adicionalmente, se le debe informar acerca de la dirección física o electrónica y teléfono del responsable de atender sus solicitudes al interior de la entidad o empresa.
Es importante destacar que los preceptos de esta ley aplican aunque la base de datos no sea electrónica, sino un mero archivo de papel, pues sus preceptos se activan no en la medida en que la información se convierte en un registro electrónico, sino a partir del momento en que el titular dispone de su derecho a la intimidad diligenciando el formulario de vinculación.
Por su parte, quien recibe la información adquiere el deber esencial de conservarla bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Para estos propósitos las entidades y empresas recaudadoras deben adoptar un manual interno de políticas y procedimientos, en especial para la atención de consultas y reclamos.
Complementariamente, deben cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio, Órgano de Control que a través de la Delegatura para la Protección de Datos personales ahora ejerce vigilancia para garantizar que en el tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la ley.
Mención especial requieren los datos sensibles, es decir, “aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos”.
Finalmente, es de destacar que el régimen de protección de datos personales que se establece en la ley en cita no aplica respecto de las bases de datos y archivos regulados por la Ley 1266 de 2008, esto es, las relativas a la administración de información financiera inherente a la actividad de crédito, respecto de la cual por lo demás la Superintendencia Financiera de Colombia conserva competencia sancionatoria.