El derecho al olvido en el Régimen General de Protección de Datos en Colombia

OlarteMoure & Asociados

El Régimen General de Protección de Datos Personales (regulado, principalmente, por la Ley 1581 del 2012 y su Decreto Reglamentario 1377 del 2013) contempla el derecho de los titulares de la información a eliminar sus datos personales de cualquier archivo o base de datos en donde estos reposen, siempre y cuando no existan impedimentos de carácter legal o contractual.

Este derecho de supresión, conocido internacionalmente como el derecho al olvido, puede ser visto desde dos ángulos. Por un lado, corresponde a la consecuencia natural de no haber autorizado de manera previa y expresa el uso de los datos o, en caso de haber dado esta autorización, querer revocarla y, por ende, desear la supresión de la información. Desde esta perspectiva, el límite al ejercicio del derecho se ve determinado por la existencia de un mandato legal o relación comercial que haga necesaria la permanencia de los datos, so pena de que su ejercicio implique una violación a la ley o a una grave afectación a la relación comercial.

Por otro lado, corresponde a una extensión del derecho a la privacidad y autodeterminación. Así, la información de una persona no debería permanecer de manera perpetua en una base de datos como consecuencia de una acción del pasado que derivó en un hecho noticioso de interés público. Visto así, este derecho encuentra su límite en el de libertad de expresión y de información.

Visto desde una forma o la otra, y siempre que se realice un análisis adecuado de los límites que encuentra este derecho, lo cierto es que, por la forma en la que se encuentra protegido en nuestra legislación, debería tratarse de un derecho de fácil ejercicio. En consecuencia, no deberían encontrarse obstáculos ni dilaciones al momento de solicitar la revocatoria de la autorización y la supresión de los datos personales cuando se considere que estos tienen un carácter obsoleto, innecesario o indeseado en determinada base de datos. 

Sin embargo, producto del desconocimiento o la falta de entendimiento de la legislación aplicable, sumado al uso exagerado, y en algunos casos inadecuado, que se hizo de la exención incluida en el Decreto 1377 del 2013 (según la cual las empresas podrían seguir utilizando datos recolectados con anterioridad a la expedición del decreto solo con la publicación de un aviso de privacidad), lo cierto es que hoy los ciudadanos se encuentran abrumados por la reproducción de su información en un sinnúmero de bases de datos y, peor aún, saturados por el hecho de ser contactados por terceros que no deberían tener acceso a su información.

Supresión de datos

Por lo anterior, es fundamental conocer los mecanismos disponibles para solicitar la revocatoria de la autorización y supresión inmediata de los datos personales de carácter general. Al respecto, se debe tener en cuenta que:

- Será necesario presentar una reclamación a la entidad responsable o encargada de la base de datos en donde reposa su información. Por mandato legal, todas las empresas de Derecho Público y Privado deben contar con mecanismos que permitan la presentación de solicitudes o reclamos. Ante la imposibilidad de presentar este reclamo por los medios dispuestos por el responsable o encargado, o en su ausencia, por algún otro medio idóneo que garantice que el interesado pudo tener conocimiento del reclamo, será necesario acudir a la Superintendencia de Industria y Comercio (SIC), a fin de denunciar la falta de disposición de medios para la presentación de quejas y reclamos.

- En caso de que el interés sea la supresión en más de una base de datos de compañías independientes o que no tengan relación comercial de la que se derive el uso conjunto o subordinado de los datos, hay que presentar la reclamación de manera independiente a cada compañía. En caso contrario, bastará con reclamar por una sola de ellas, solicitando, de manera expresa, la supresión en sus bases de datos y en todas aquellas a cargo de empresas terceras que hayan conocido o accedido a su información como consecuencia de una transmisión de datos. 

- En principio, el plazo para la atención de este reclamo no podrá superar los 15 días hábiles contados desde el día siguiente a la fecha de recibo del reclamo.

- Vencido este término sin respuesta o respuesta inadecuada, será necesario interponer una queja ante la SIC. Para esto, el titular deberá contar con la prueba de haber presentado el reclamo inicial al responsable o encargado de la información sin que se obtuviera respuesta en el plazo establecido o sin que esta se la procesara debidamente. A partir de la queja, la SIC abrirá investigación y podrá impartir orden para que, de manera inmediata, se proceda con la eliminación de la información y, de ser el caso, se sancione a la empresa por la violación al deber de garantizar al titular el pleno y efectivo ejercicio de sus derechos.

Es importante anotar que, en los últimos años, la SIC ha impuesto sanciones a empresas por la violación de este derecho con multas que oscilan entre los 90 y los 350 salarios mínimos mensuales legales vigentes por empresa. Dentro de los argumentos más relevantes de la autoridad como fundamento de sus sanciones, se destacan la omisión a la solicitud o la negativa injustificada de supresión, la imposición de mecanismos de difícil acceso para la presentación del reclamo o su atención extemporánea, la supresión por fuera del término legal, la renuencia a la supresión y la supresión incompleta de los datos.