Protección de Datos Personales, anonimización y Seguridad de la Información

17 Mi identidad ← Volver a la tabla de contenidos Sumado a ello, la sentencia de la Corte Constitucional C-032 de 2021 indica el al- cance de otros principios, en relación con el manejo de bases de datos: “ Principio de necesidad: la actividad de recopilación y tratamiento de datos personales debe restringirse a aquella información que sea indispensable para cumplir con la finalidad para el cual se concedió la autorización por parte del or- denamiento legal o del titular de la infor- mación. De esta manera (i) se encuentra proscrito el tratamiento de información que no guarde relación con el objetivo de la base de datos; y (ii) cada base de datos debe identificar de manera clara, expre- sa y suficiente, cuál es el propósito de la recolección y tratamiento de la informa- ción. En este contexto se hace alusión al principio de utilidad, en virtud del cual el tratamiento debe recaer exclusivamente en aquellos datos discernibles para los propósitos de la base de datos. Principio de incorporación: impone al responsable del tratamiento la obli- gación de registrar en la base de datos toda aquella información del sujeto con- cernido que involucre una consecuencia favorable para el titular. En tal sentido, este debe guardar una relación estrecha con el principio de calidad y veracidad. Para efectos del presente análisis debe resaltarse que en aquellos eventos en que la inclusión de la información per- sonal en la base de datos implica con- secuencias desfavorables para su titular, el responsable y el encargado del trata- miento tienen la obligación de actualizar esa información con los datos que den cuenta de comportamientos que incidan en la aplicación de esas consecuencias. Principio de temporalidad: (…) este principio impone que los datos perma- nezcan únicamente por el tiempo que sea estrictamente necesario para cum- plir con el objeto de la base de datos. Lo contrario, conllevaría un escenario de administración abusiva de datos personales que desconoce a su vez los principios de finalidad y necesidad. Una consecuencia de este principio, es la ca- ducidad del dato desfavorable, puesto que, la conclusión a la que ha llegado la Corte, es que la permanencia indefinida del dato negativo es una forma abusiva y desproporcionada del tratamiento de datos personales. En tal sentido, se ha hecho alusión al derecho al olvido. Esta garantía, implica la fijación de un plazo razonable de permanencia de la infor- mación, al margen de que se haya cum- plido o no la condición sustantiva para su remoción. Tal exigencia, ha sido enfática en materia del habeas data financiero, en la cual se ha exigido que el Legislador fije un plazo máximo de permanencia del dato negativo en los bancos de da- tos para las obligaciones cumplidas de forma tardía y aquellas prescritas. Este derecho implica, adicionalmente, que la regulación del funcionamiento de las bases de datos determine un plazo definido y razonable de caducidad del dato desfavorable y al margen de que se haya cumplido o no la condición sus- tantiva para su remoción. Así por ejem- plo, tratándose de la administración de datos personales de contenido financiero, comercial y crediticio, la Corte determinó que las normas estatutarias respectivas debían contemplar un plazo máximo de permanencia de la información negativa del deudor, incluso en aquellos en que la obligación insoluta prescribiera, puesto que el paso del tiempo hacía irrelevante ese dato para el cálculo del riesgo cre- diticio. Por ende, la inclusión intemporal de datos personales desfavorables para su titular vulneraba el derecho al habeas data”. (CC- C-032 de 2021) . Además, la sentencia C-282 de 2021 destacó el principio de individualidad: “implica que es inconstitucional la reco- lección de datos con fines de cruce de datos, fundada en la acumulación de informaciones provenientes de distintas bases de datos, de tal forma que la in- formación no podrá ser utilizada con un objeto y finalidad distintos a los autoriza- dos por el titular o el ordenamiento legal” . De otra parte, la jurisprudencia consti- tucional, al dar relieve a las responsabili- dades de los actores que interactúan en el tratamiento de datos en una base de datos (titular, responsable del dato y el encargado del dato) -como lo consagra la Ley 1581 de 2012-, precisa que si bien esa clasificación “es importante para precisar las responsabilidades en su manejo y la fijación de unos deberes como sujetos obligados al tratamiento adecuado de la información, “(…), todos los principios de administración de datos persona- les identificados por la jurisprudencia constitucional, son oponibles a todos los sujetos involucrados en los procesos de recolección, tratamiento y circula- ción de datos, independientemente de la posición que ocupen en el tratamien- to del dato ” . (CC C-748 de 2011 c omo se cita e n CC-T- 234 de 2021) .