Para actualizar la protección de datos en Colombia

Si algo define a la sociedad de la información en la que vivimos es la datificación: la representación de la vida social a través de conjuntos de datos computarizados. Este fenómeno plantea enormes desafíos regulatorios, en particular la necesidad de contar con leyes de protección de datos robustas y efectivas en la garantía de derechos. En Colombia, la Ley 1581 de 2012 fue pionera en la región, pero ya necesita una actualización. Ha habido varios intentos de reforma que no prosperaron; el Proyecto de Ley 274 de la Cámara de Representantes es el más reciente esfuerzo del Gobierno.

Este proyecto, presentado por la Superintendencia de Industria y Comercio (SIC) y la Procuraduría General de la Nación, se distingue de propuestas anteriores por ser una apuesta más concisa y acotada. Se concentra en actualizar la Ley 1581 de 2012 y, al ser más breve, podría facilitar el debate legislativo. Además, involucra expresamente a la Procuraduría como autoridad en el sector público, lo cual es relevante porque hasta ahora esa entidad ha estado ausente de su rol, dejando un vacío en la protección efectiva cuando el tratamiento de datos lo hace el Estado. No abordaré aquí un análisis exhaustivo, me limitaré a destacar algunos puntos interesantes.

En primer lugar, la ley tendrá aplicación extraterritorial: las empresas no domiciliadas en Colombia que realicen tratamiento de datos personales a gran escala deberán tener un canal de contacto y designar un representante ante la autoridad nacional de protección de datos. Esta medida responde a la resistencia de las plataformas digitales a someterse a la jurisdicción de países distintos al de su constitución. Aunque su eficacia práctica está por verse -pues en otros contextos ha sido el poder de mercado el que las lleva a cumplir-, la disposición es coherente con las tendencias regulatorias globales.

El proyecto mantiene ciertas excepciones a la aplicación plena de la norma, que no las excusa del respeto por el cumplimiento de los principios generales de la ley. En ese contexto celebro que se mencione expresamente la reserva estadística del DANE, creada cuando se autorizó incluir el número de cédula en el censo, debido al riesgo que supone que puedan relacionar ese dato con múltiples aspectos de la vida social de las personas. Así como considero que la reserva estadística es una anomalía en el contexto internacional, creo que al reconocerla en esta ley estatutaria se clarifica su naturaleza y se reafirma que los datos sólo pueden ser usados por el DANE, bajo todos los principios de protección de datos.

Otro avance es el refuerzo a la transparencia y la rendición de cuentas, por ejemplo recoge finalmente la obligación de notificar a las personas posiblemente afectadas por incidentes de seguridad. En esa misma línea, esta reforma debería derogar la disposición del Plan Nacional de Desarrollo que otorga “secreto algorítmico” al SISBEN, pues contradice el marco jurídico colombiano en general y en especial va en contravía de la ley de protección de datos.

El proyecto aborda de manera explícita el tratamiento automatizado de datos personales y exige medidas para prevenir y mitigar sesgos discriminatorios en sistemas de inteligencia artificial. No obstante, sólo obliga a las entidades públicas. Adicionalmente, la obligación consiste en realizar análisis de impacto antes del despliegue, sin claridad sobre evaluaciones posteriores. Es decir, estas evaluaciones deberían extenderse de manera expresa a entidades privadas, no solo ser previas, sino también durante el despliegue del sistema y posterior, para evaluar lo sucedido. En todo esto persiste una deuda importante, este aspecto merece mayor claridad y ponerse en sintonía con el estandar internacional -tanto en Europa como en América Latina esto aplica también a las privada y no son solo análisis previos-.

Conocí una versión más ambiciosa del texto sobre el fortalecimiento de los derechos de los titulares. En esto destaco la prohibición de decisiones basadas exclusivamente en tratamiento automatizado o perfiles que debe complementarse con el deber de informar sobre las bases de datos utilizadas en tales decisiones. Adicionalmente, habría que analizar cómo asegurarnos de que la nueva ley permita dar cumplimiento al fallo de la Corte Interamericana en el caso del Colectivo CAJAR contra Colombia en temas de inteligencia estatal.

En materia de transferencias internacionales de datos, el proyecto sigue la regla de permitirlas solo hacia países con nivel adecuado de protección o con garantías adicionales (cláusulas modelo, normas corporativas o certificaciones). Sin embargo, recoge también una excepción amplia al permitirlas cuando las garantías “se ajusten a las bases legales previstas”. Puedo entender que tal flexibilidad es necesaria, aún así esa redacción genera un vacío que debilita la regla general, hay que acotarla.

La protección de datos en Colombia necesita actualizarse para enfrentar los retos de la datificación. Este proyecto es un paso en esa dirección, aunque con aspectos que requieren discusión y ajustes para lograr un régimen más robusto y garantista.