Comparto algunas reflexiones en materia de protección de datos personales y privacidad, a la luz de las diferentes aplicaciones que en Colombia se estan gestando.

  1. El Derecho a la Protección de Datos Personales -Habeas Data- y Derecho a la Intimidad, son derechos fundamentales independientes, consagrados en el artículo 15 de la Constitución Política. (No existe derecho a la privacidad en colombia, sino derecho a la intimidad personal y familiar, sin embargo, se usan como sinónimos privacidad-intimidad). Algo muy común en las discusiones es la confusión permanente de ambos derechos.
  2. Es un error asumir que hay un conflicto entre el Derecho a la Protección de Datos Personales y el Derecho a la Salud. En principio no hay una negación del derecho a la salud porque se protegen los datos personales. La protección de los datos personales es un aspecto esencial que debe cumplir el Estado, tanto como cumple las normas de derecho laboral, tanto como cumple las normas de contratación estatal. En este sentido, una de las tantas críticas hacia el Estado, en especial, a las entidades involucradas en la aplicación, así como las alcaldías que han desarrollado sus propias aplicaciones, es que no estan cumpliendo con las normas en materia de protección de datos personales, lo cual, como consecuencia, afecta este derecho, pero también pone en riesgo el derecho a la intimidad,  de hecho, hasta el derecho a la vida, cuando no se garantizan mecanismos de protección de la información.
  3. Algunos funcionarios públicos, argumentan que el Estado, puedo recoger los datos personales que quiere y no requiere autorización, dando la impresión que se permite todo. Esto es una interpretación sumamente peligrosa, es cierto que las entidades del Estado pueden recolectar datos personales de los ciudadanos, pero en ejercicio de sus funciones, y en virtud del principio de legalidad, necesidad, finalidad, debe demostrar que se encuentra legitimado para recoger la información.
  4. Sino se garantiza la protección de los datos personales, irremediablemente no se garantiza la intimidad de las personales. La efectiva Protección de Datos Personales, es esa puerta asegurada con doble seguro, cuya llave la maneja el ciudadano y es él quien decide quién ingresa y quién no, a conocer detalles de su vida. Por lo anterior, por más de que el Estado no requiera autorización para manejar nuestros datos personales en ciertos contextos de hecho, tal como legítimamente lo establece la ley de protección de datos personales (Ley 1581 de 2012), si requiere autorización para ingresar a nuestra vida intimidad y privada.
  5. En este caso, la app tiene acceso a información personal pública, privada, semiprivada y sensible. En cuanto a los datos sensibles, la ley 1581 de 2012 establece que esta prohibido su tratamiento excepto cuando: a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización; b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización; c) El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular; d) El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial; e) El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.
  6. Conforme a lo anterior,  SI ES NECESARIA LA AUTORIZACIÓN DEL TITULAR, salvo que EXISTA UNA LEY ESTATUTARIA (con todo lo que implica) QUE AUTORICE LA RECOLECCIÓN DE DICHOS DATOS PERSONALES SENSIBLES, por parte del Estado para estas finalidades. Conforme a lo anterior, en tratándose de datos personales sensibles se requiere autorización del titular del dato, así sea el Estado. La Ley es clara y establece que no se requerirá autorización salvo que por ley no sea requerido el otorgamiento de dicha autorización.
  7. En este caso, el Estado peca por no informar la base de legitimación del manejo de la información. Aunque también, estan cobijados bajo el artículo 10 de la misma ley, que establece que la autorización del Titular no será necesaria cuando se trate de: a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;b) Datos de naturaleza pública; c) Casos de urgencia médica o sanitaria; d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos; e) Datos relacionados con el Registro Civil de las Personas.
  8. Al finalizar, el artículo 10 tiene un texto que a muchos no les gusta «Quien acceda a los datos personales sin que medie autorización previa deberá en todo caso cumplir con las disposiciones contenidas en la presente ley» Y este es el bendito problema con las entidades del Estado que estan realizando tratamiento a los datos sin observancia de las disposiciones en materia de protección de datos personales.
  9. Otro de los principales principios aporriados de esta aplicación es el de transparencia, el Gobierno se hubiera evitado gran parte de lo que está sucediendo si explicará, informara como serán los usos que se hacen de los datos personales. Es muy cómico como exigimos cumplimiento de la legislación a otros, pero cuando nos toca el turno, miramos por otro lado, y justificamos en algunos casos la inobservancia de la ley, pero si esas justificaciones las da un privado no son válidas. En efecto, este tipo de actuaciones mina la confianza que tienen los ciudadanos en las instituciones públicas.
  10. Todos los ojos apuntan a la Superintendencia Industria y Comercio en estos temas, sin embargo, realmente en estos casos es la Procuraduría General de la Nación, quien es quien tiene competencia de adelantar investigaciones en el sector público. Muchos estan poniendo los ojos en la SIC, pero nadie se ha preguntado por la Procuraduría, quien debe tener un papel activo en cuanto al cumplimiento de la ley 1581 de 2012 en el sector público. Es un aspecto fundamental.

Por último, compartimos una serie de recomendaciones en materia de protección de datos personales para estas aplicaciones.

Propuesta de  Mejoramiento en la Protección de Datos Personales y Privacidad en las aplicaciones sobre Coronavirus