Una de las decisiones del nuevo gobierno que más debate ha generado esta semana es la de eliminar la Procuraduría General de la Nación (Procuraduría). La idea es sustituirla esencialmente por una fiscalía anticorrupción. Más allá de los apoyos y resistencias, de llevarse a cabo esta propuesta desaparecerá también el ente regulador que tiene facultades para proteger los datos personales que estén en poder de los organismos públicos. Esto abre una posibilidad de revisar el vacío que tenemos en ese campo.
Gánale la carrera a la desinformación NO TE QUEDES CON LAS GANAS DE LEER ESTE ARTÍCULO
¿Ya tienes una cuenta? Inicia sesión para continuar
En el imaginario colombiano la autoridad de protección de datos es la Delegatura de Protección de Datos, creada por la Ley 1581 de 2012 dentro de la Superintendencia de Industria y Comercio (SIC). Imaginario porque esto es parcialmente cierto, ya que la misma ley en su artículo 23 estableció que, en el caso de los funcionarios públicos es la Procuraduría la encargada de la sanción. Es decir, la delegatura no tiene dientes cuando está frente a un funcionario público: podrá llegar hasta la investigación, pero no puede aplicar la sanción o correctivos que correspondan en ese caso. En suma, en Colombia hay dos autoridades en este terreno y les anticipo que una brilla por su ausencia.
Esta estructura quedó establecida en el parágrafo del artículo 23 de la Ley 1581 de 2012: “Las sanciones indicadas en el presente artículo sólo aplican para las personas de naturaleza privada. En el evento en el cual la Superintendencia de Industria y Comercio advierta un presunto incumplimiento de una autoridad pública a las disposiciones de la presente ley, remitirá la actuación a la Procuraduría General de la Nación para que adelante la investigación respectiva”.
Aunque en los últimos años la Procuraduría inició algunas acciones de capacitación y otras de acompañamiento en protección de datos, está lejos de ser la autoridad que la era de la transformación digital del Estado requiere. Hay un vacío que no ayuda a que enfrentemos los desafíos del futuro cercano.
En Karisma, donde trabajo, investigamos el uso de biometría por parte del Estado colombiano. El informe mostró que para el sector público no basta con analizar la situación jurídica de los datos biométricos —que podrían estar más protegidos—, los problemas centrales se generan por la situación del vacío de la protección de datos en este sector.
Para este informe (que data de 2019) no pudimos encontrar ninguna investigación por el incumplimiento de la ley de protección de datos en el sector público. Esto a pesar de que en Colombia el tratamiento de datos personales por parte del Estado es supremamente permisivo: se permite sin autorización del titular a autoridades de la rama judicial, ejecutiva y a los organismos de control cuando se hace con fines “históricos, estadísticos o científicos” o cuando son datos relacionados con el registro civil.
El tratamiento de datos sensibles por parte del Estado, como los biométricos, no requiere de la autorización del titular si media una ley (artículos 6 y 10), lo que en todo caso no los exime de aplicar y garantizar los principios de la ley de protección de datos. Una autorización tan amplia tendría que haber creado casos en una década.
Esta excepción al consentimiento informado se aplicó por ejemplo en la conformación de bases de datos biométricas como la del Estatuto Temporal de Protección a Migrantes. Ha sido cuestionada, pero en un contexto en que la autoridad no opera, la capacidad de las personas para hablar del uso de esos datos, limitar o vigilar esto no tiene las garantías que debería. Algo muy similar vimos durante la emergencia ocasionada por el Covid-19, Desde Karisma presentamos casos a la delegatura, pero la respuesta es que no tiene las facultades para mirarlos, y tampoco hemos encontrado interlocutor en la Procuraduría.
Lo que establecimos en el informe ya mencionado es que durante esta década la ley y las decisiones judiciales o administrativas sobre datos biométricos, han tenido su foco en las relaciones entre personas particulares y empresas, no entre personas y Estado. Concluimos que no se han discutido las particularidades del uso de datos biométricos por el Estado, ni tampoco el rol de las empresas privadas que le prestan sus servicios al Estado en este campo (por ejemplo, brindando los software necesarios o los lectores que permiten recoger los datos) y que tienen una importante injerencia en el ecosistema. Algo parecido sucedió durante la emergencia por Covid-19, llegamos a hablar del salvaje oeste de los datos en la pandemia en manos del Estado.
Si la Procuraduría desaparece se abre la oportunidad para que discutamos cuál es la solución para este gran vacío de autoridad de protección de datos en Colombia. Espero que la discusión nos lleve a la creación de una autoridad independiente, competente y bien financiada que asuma estas facultades tan importantes para la transformación digital. Esta entidad deberá lidiar con usos de nuestros datos biométricos como los que la Registraduría ha recopilado y con los que hoy en día transa, ofreciéndolos como servicio a entidades públicas como la Policía o a las privadas como bancos o aerolíneas.
Sería todavía mejor si a la nueva entidad se le trasladan también las facultades de la delegatura. Si bien la primera reacción ante el anuncio de que la Procuraduría desaparecerá sería que la Delegatura asuma esas facultades, esa no es una buena idea. La Delegatura enfrenta importantes críticas sobre su dependencia del ejecutivo —puesto que el director es designado por el presidente de la República— lo que como mínimo nos hace pensar en la inconveniencia de esta solución.
Además, también es cierto que la delegatura tiene recursos limitados para asumir semejante desafío de sumar a las funciones que ya tiene las que corresponden al sector público. Esta limitación se ve, por ejemplo, en las pocas investigaciones de oficio que abren —siendo esa una de sus funciones actuales— y en el hecho de que sus pronunciamientos se expiden más con una lógica casuística que general, no llegan a abordar los problemas más estructurales.
Después de una década podremos analizar el modelo colombiano y compararlo con el mexicano o argentino, donde cada uno cuenta con autoridades independientes que sirven a los propósitos tanto de la protección de datos como de la transparencia, o con el peruano, que tiene dos autoridades de protección de datos: una para el sector privado y otra para el público.
En todo caso, lo que sería el peor de los resultados es que este posible sacudón nos deje en un vacío aún más grande, que se nos olvide en el proceso que ese parágrafo del artículo 23 de la Ley 1581 y la protección de datos personales en poder de los organismos públicos termine en un Triángulo de las Bermudas.
