|
SENTENCIA
T - 729 DE SEPTIEMBRE 5 DE 2002
Sentencia
T-729/02
Referencia: expediente T-467467
Acción de tutela instaurada por Carlos Antonio Ruiz Gómez contra el
Departamento Administrativo de Catastro (Alcaldía Mayor de Bogotá)y
la Superintendencia Nacional de Salud.
Magistrado Ponente:
Dr. EDUARDO MONTEALEGRE
LYNETT
Bogotá D.C., cinco (5) de septiembre de dos mil dos (2002).
La Sala Séptima de Revisión de la Corte Constitucional integrada por
los magistrados Clara Inés Vargas Hernández, Álvaro Tafur Galvis y
Eduardo Montealegre Lynett, quien la preside, en ejercicio de sus
competencias constitucionales y legales, específicamente las
previstas en los artículos 86 y 241 numeral 9º de la Constitución
Política, y en los artículos 33 y siguientes del Decreto 2591 de
1991, ha proferido la siguiente
SENTENCIA
Dentro del proceso de revisión del fallo proferido por la Sala
Laboral del Tribunal Superior de Distrito Judicial de Bogotá en única
instancia, dentro del expediente de tutela T-467467.
I. ANTECEDENTES.
1. Hechos.
1. Desde el año de 2001, el Departamento Administrativo de Catastro
del Distrito Capital, ha dispuesto en la Internet una página virtual
que incorpora una base de datos sobre la información catastral de
Bogotá.
Mediante la digitación del número del documento de identificación
de cualquiera persona, es posible obtener información básica
(dirección, zona de conservación, vigencia de la formación, tipo de
propiedad, estrato, área de terreno, área de construcción), acerca
de uno (y siempre el mismo) de los bienes inmuebles registrados en la
base de datos bajo dicho número.
Así mismo, mediante la digitación de al menos cuatro datos de cinco
(dirección del predio, matrícula inmobiliaria, código homologado de
información predial, cédula catastral y documento de identidad), es
posible obtener información detallada del predio, tanto jurídica (números
de escrituras públicas, notaría, propietario, porcentaje de
copropiedad etc.), como económica (valor del metro cuadrado del
terreno, valor del metro cuadrado construido, monto de los últimos
cinco avalúos, vigencia de los avalúos, etc.).
2. Igualmente, la Superintendencia Nacional de Salud ha dispuesto en
la Internet una página virtual que incorpora una base de datos con
información relativa a la afiliación al régimen de seguridad social
en salud, con la cual, mediante la digitación del número del
documento de identificación de cualquier persona, es posible acceder
a información relativa al nombre completo del afiliado, la fecha de
afiliación, los meses en mora y las personas beneficiarias del
afiliado, entre otras.
3. En virtud de estos hechos, el ciudadano Carlos Antonio Ruiz Gómez
presentó acción de tutela contra las dos entidades responsables de
las publicaciones, bajo el siguiente argumento: la disposición y la
facilidad en el acceso a tal información, en las circunstancias
actuales de orden público (delincuencia común y grupos armados al
margen de la ley), además de violar su derecho a la intimidad, pone
en riesgo sus derechos y los de su familia a la vida, la integridad
personal, la propiedad y la libertad, por lo cual solicita se suspenda
de manera inmediata la acción perturbadora de sus derechos.
2. Decisión de instancia.
La Sala Laboral del Tribunal Superior de Distrito Judicial de Bogotá
denegó la tutela impetrada. Consideró la corporación: primero, que
con la publicación de información mediante las referidas páginas de
Internet no se presenta intromisión irracional en la órbita
reservada del actor, ni se divulgan hechos privados ni hechos
tergiversados o falsos. Segundo, que en cumplimiento del principio de
eficiencia de la administración pública, las entidades del Estado
están en la obligación de adoptar esta clase de mecanismos de
información. Tercero, que frente a la página de la Superintendencia
de Salud, con la racionalización y publicación de la información,
se pretende la calidad en la prestación del servicio de saludy el
control de los recursos de los asociados, en cumplimiento de lo
ordenado por el artículo 3 del decreto 1259 de 1994. Y cuarto, que
frente a la página de Catastro, la información dispensada tras la
digitación del número de identificación es la general o básica del
predio, la cual es de dominio público, y que por otro lado, para
obtener información jurídica y económica, se requiere la digitación
de datos adicionales que al ser de carácter privado, restringen la
posibilidad de acceso a la misma.
Concluyó el Tribunal que, "con la existencia de la información
en dichas páginas de la Internet, no se pone en peligro la integridad
física que aduce el tutelante, cuando solamente se arrojan datos que
corresponden a la generalidad de la información de los usuarios, en vía
de cumplir los fines y propósitos de estas instituciones".
II. CONSIDERACIONES DE LA SALA.
1. Competencia.
De conformidad con lo establecido en los artículos 86 y 241, numeral
9º de la Constitución Política y 31 a 36 del Decreto 2591 de 1991,
la Sala Séptima de Revisión de la Corte Constitucional es competente
para revisar el fallo de tutela de la referencia.
2. Pruebas decretadas por la Sala.
Considerando que el presente caso plantea una tensión particular
entre varios derechos fundamentales, que dicha tensión se desarrolla
en el ámbito de la Internet como medio de comunicación global, y que
sobre el tema no existe regulación; con la finalidad de contar con
los mejores elementos de juicio, se solicitaron y se anexaron al
expediente conceptos técnicos de las siguientes instituciones:
Facultad de Ciencias humanas, Departamento de sociología de la
Universidad Nacional de Colombia (fls. 88 a 91); Departamento
administrativo de seguridad (DAS) división de investigaciones informáticas
y electrónicas (fls. 92 a 96); Superintendencia nacional de Salud
(fls. 102 a 108); Departamento administrativo de catastro de Bogotá
(fls. 111 a 114); Ministerio de comunicaciones (126 a 129); Documento
CONPES 3072 (fls 130 a 151); Fiscalía General de la Nación (fls. 115
a 125); Facultad de jurisprudencia de la Universidad del Rosario (fls.
250 a 267); Facultad de Ciencias sociales, Departamento de antropología
de la Universidad de los Andes (fls. 268 y 269); Facultad de derecho,
Departamento de derecho constitucional de la Universidad Externado de
Colombia (fls. 272 a 275); Facultad de ingeniería civil, Universidad
de la Salle (fls. 277 a 279); Facultad de ciencias humanas,
Departamento de antropología de la Universidad Nacional de Colombia
(fls. 280 a 281).
3. Problema jurídico y temas por desarrollar.
Procederá la Sala a pronunciarse, acerca de las condiciones en las
cuales,la posibilidad de acceder a información sobre personas
naturales, mediante la digitación del número de identificación,
gracias a la manipulación de ciertas bases de datos dispuestas en la
Internet, desconoce los derechos fundamentales de los ciudadanos
referenciados en las mismas.
Para estos efectos la Sala se pronunciará sobre (a) el contenido y
alcance del derecho constitucional al habeas data o a la
autodeterminación informática; (b) los principios de la administración
de las bases de datos; (c) los datos personales y las diversas
clasificaciones de la información; y (d) la deficiencia en los
mecanismos de protección de derechos fundamentales relacionados con
el manejo de las bases de datos y la necesidad de regulación.
4. Temas jurídicos a tratar.
a.) El contenido y alcance del derecho constitucional al habeas data o
a la autodeterminación informática.
Tanto la consagración constitucional del derecho al habeas data, como
sus desarrollos jurisprudenciales, encuentran justificación histórica
en el surgimiento del denominado poder informático y la posibilidad
del manejo indiscriminado de los llamados datos personales . Durante
la vigencia de la actual Constitución, el habeas data pasó de ser
una garantía con alcances muy limitados, a convertirse en un derecho
de amplio espectro. Es así como bajo la égida del derecho general de
libertad (artículo 16) y la cláusula específica de libertad en el
manejo de los datos (artículo 15 primer inciso), la jurisprudencia ha
reconocido la existencia-validez del llamado derecho a la
autodeterminación informática . En este sentido, derecho a la
autodeterminación informática y derecho al habeas data, son nociones
jurídicas equivalentes que comparten un mismo referente.
En la actualidad y a partir de los enunciados normativos del artículo
15
de la Constitución, la Corte Constitucional ha afirmado la
existencia-validez
de tres derechos fundamentales constitucionales autónomos: el derecho
a la intimidad, el derecho al buen nombre y el derecho al habeas data
. Sin embargo, el estado actual de cosas no fue siempre el mismo . El
camino de la delimitación empieza en el año de 1994, con la
sentencia T-229 de 1994, en la cual la Corte estableció una clara
diferencia entre el derecho a la intimidad y el derecho al buen
nombre. Más adelante, en el año de 1997, con la sentencia T-557 de
1997 la Corte precisó las diferencias entre el derecho a la intimidad
y el habeas data , después de que la relación entre ambos se había
manejado como de género a especie desde el año de 1992.
Para la Sala, la diferenciación y delimitación de los derechos
consagrados en el artículo 15 de la Constitución, cobra especial
importancia por tres razones: (i) por la posibilidad de obtener su
protección judicial por vía de tutela de manera independiente; (ii)
por la delimitación de los contextos materiales que comprenden sus ámbitos
jurídicos de protección; y (iii) por las particularidades del régimen
jurídico aplicable y las diferentes reglas para resolver la eventual
colisión con el derecho a la información.
El derecho al habeas data o a la autodeterminación informática.
Concepto.
El derecho fundamental al habeas data, es aquel que otorga la facultad
al titular de datos personales, de exigir a las administradoras de
datos personales el acceso, inclusión, exclusión, corrección, adición,
actualización, y certificación de los datos, así como la limitación
en la posibilidades de divulgación, publicación o cesión de los
mismos, conforme a los principios 10 que informan el proceso de
administración de bases de datos personales.
El ámbito de operatividad.
El ámbito de acción o de operatividad del derecho al habeas data o
derecho a la autodeterminación informática, está dado por el
entorno en el cual se desarrollan los procesos de administración de
bases de datos personales. De tal forma que integran el contexto
material: el objeto o la actividad de las entidades administradoras de
bases de datos, las regulaciones internas, los mecanismos técnicos
para la recopilación, procesamiento, almacenamiento, seguridad y
divulgación de los datos personales y la reglamentación sobre
usuarios de los servicios de las administradoras de las bases de
datos.
b.) Principios de la administración de las bases de datos.
La administración de los datos personales.
Para la Corte, la especial necesidad de disponibilidad de información
mediante la conformación de bases de datos personales, unida a la
potencialidad de afectar los derechos fundamentales que apareja el
desarrollo de dicha actividad, tornan indispensable someter el proceso
de administración de los datos a ciertos principios jurídicos, con
el fin de garantizar la armonía en el ejercicio de los derechos
fundamentales de las administradoras, de los usuarios y de los
titulares de los datos.
En concepto de la Corte, se entiende por el proceso de administración
de datos personales, las prácticas que las entidades públicas o
privadas adelantan con el fin de conformar, organizar y depurar bases
de datos personales, así como la divulgación de estos últimos en un
contexto claramente delimitado y con sujeción a ciertos principios.
Principios de la administración de datos personales.
Para la Sala, reiterando la Jurisprudencia de la Corte, el proceso de
administración de los datos personales se encuentra informado por los
principios de libertad, necesidad, veracidad, integridad, incorporación,
finalidad, utilidad, circulación restringida, caducidad e
individualidad. Según el principio de libertad , los datos personales
sólo pueden ser registrados y divulgados con el consentimiento 12
libre, previo y expreso del titular, de tal forma que se encuentra
prohibida la obtención y divulgación de los mismos de manera ilícita
(ya sea sin la previa autorización del titular o en ausencia de
mandato legal o judicial). En este sentido por ejemplo, se encuentra
prohibida su enajenación o cesión por cualquier tipo contractual.
Según el principio de necesidad , los datos personales registrados
deben ser los estrictamente necesarios para el cumplimiento de las
finalidades perseguidas con la base de datos de que se trate, de tal
forma que se encuentra prohibido el registro y divulgación de datos
que no guarden estrecha relación con el objetivo de la base de datos.
Según el principio de veracidad , los datos personales deben obedecer
a situaciones reales, deben ser ciertos, de tal forma que se encuentra
prohibida la administración de datos falsos o erróneos.
Según el principio de integridad, estrechamente ligado al de
veracidad, la información que se registre o se divulgue a partir del
suministro de datos personales debe ser completa, de tal forma que se
encuentra prohibido el registro y divulgación de datos parciales,
incompletos o fraccionados. Con todo, salvo casos excepcionales, la
integridad no significa que una única base de datos pueda compilar
datos que, sin valerse de otras bases de datos, permitan realizar un
perfil completo de las personas.
Según el principio de finalidad, tanto el acopio, el procesamiento y
la divulgación de los datos personales, debe obedecer a una finalidad
18 constitucionalmente legítima, definida de manera clara, suficiente
y previa; de tal forma que queda prohibida la recopilación de datos
sin la clara especificación acerca de la finalidad de los mismos, así
como el uso o divulgación de datos para una finalidad diferente a la
inicialmente prevista . Según el principio de utilidad, tanto el
acopio, el procesamiento y la divulgación de los datos personales,
debe cumplir una función determinada, como expresión del ejercicio
legítimo del derecho a la administración de los mismos; por ello,
está prohibida la divulgación de datos que, al carecer de función,
no obedezca a una utilidad clara o determinable.
Según el principio de circulación restringida, estrechamente ligado
al de finalidad, la divulgación y circulación de la información está
sometida a los límites específicos determinados por el objeto de la
base de datos ,por la autorización del titular y por el principio de
finalidad, de tal forma que queda prohibida la divulgación
indiscriminada de los datos personales
.
Según el principio de incorporación , cuando de la inclusión de
datos personales en determinadas bases, deriven situaciones ventajosas
para el titular, la entidad administradora de datos estará en la
obligación de incorporarlos, si el titular reúne los requisitos que
el orden jurídico exija para tales efectos, de tal forma que queda
prohibido negar la incorporación injustificada a la base de datos.
Según el principio de caducidad, la información desfavorable al
titular debe ser retirada de las bases de datos siguiendo criterios de
razonabilidad y oportunidad, de tal forma que queda prohibida
conservación indefinida de los datos después que han desaparecido
las causas que justificaron su acopio y administración.
Según el principio de individualidad, las administradoras deben
mantener separadamente las bases de datos que se encuentren bajo su
administración, de tal forma que queda prohibida la conducta dirigida
a facilitar cruce de datos a partir de la acumulación de
informaciones provenientes de diferentes bases de datos .
Además de las obligaciones derivadas de los principios rectores del
proceso de administración de bases de datos personales, existen otros
que tienen su origen directo en normas constitucionales y legales,
sobre todo lo realtivo a la obligación de diligencia en el manejo de
los datos personales y la obligación de indemnizar los perjuicios
causados por las posibles fallas en el proceso de administración.
c.) Los datos personales y las diversas clasificaciones de la
información.
Definición y características del dato personal: objeto protegido.
Acogiendo posiciones doctrinales en la materia, desde la sentencia
T-414 de 1992, la Corte ha señalado como características del dato
personal las siguientes: i) estar referido a aspectos exclusivos y
propios de una persona natural, ii) permitir identificar a la persona,
en mayor o menor medida, gracias a la visión de conjunto que se logre
con el mismo y con otros datos; iii) su propiedad 29 reside
exclusivamente en el titular del mismo, situación que no se altera
por su obtención por parte de un tercero de manera lícita o ilícita,
y iv) su tratamiento está sometido a reglas especiales (principios)
en lo relativo a su captación, administración y divulgación.
Los datos personales se encuentran por lo general en los llamados
"bancos de datos", que han sido definidos como el
"conjunto de informaciones que se refieren a un sector particular
del conocimiento, las cuales pueden articularse en varias bases de
datos y ser distribuidas a los usuarios de una entidad
(administradora) que se ocupa de su constante actualización y
ampliación" .
Habeas data y derecho a la información.
Los datos personales, por sus condiciones especiales, prima facie se
encuentran fuera de la órbita de conductas protegidas por el régimen
general del derecho constitucional a la información. En consecuencia,
la colisión entre derecho al habeas data o derecho a la
autodeterminación informática y derecho a la información, deberá
resolverse atendiendo las particularidades tanto de la información,
convertida en datos personales, como de los rasgos y poder de
irradiación del derecho a la autodeterminación informática
Clasificación de la información.
Para la adecuada comprensión de la colisión entre los derechos a la
información y al habeas data, en ocasiones extensible al derecho a la
intimidad, la Corte propone una tipología de la información que,
mediante el manejo de criterios más o menos estables, facilite la
unificación de la jurisprudencia constitucional y la seguridad jurídica
entre los actores más usuales de los mismos.
La primera gran tipología, es aquella dirigida a distinguir entre la
información impersonal y la información personal. A su vez, en esta
última es importante diferenciar igualmente la información personal
contenida en bases de datos computarizadas o no y la información
personal contenida en otros medios, como videos o fotografías, etc.
En función de la especialidad del régimen aplicable al derecho a la
autodeterminación, esta diferenciación es útil principalmente por
tres razones: la primera, es la que permite afirmar que en el caso de
la información impersonal no existe un límite constitucional fuerte
al derecho a la información, sobre todo teniendo en cuenta la expresa
prohibición constitucional de la censura (artículo 20 inciso 2º),
sumada en algunos casos a los principios de publicidad, transparencia
y eficiencia en lo relativo al funcionamiento de la administración pública
(artículo 209) o de la administración de justicia (artículo 228).
Una segunda razón, está asociada con la reconocida diferencia entre
los derechos a la intimidad, al buen nombre y al habeas data, lo cual
implica reconocer igualmente las diferencias entre su relación con la
llamada información personal y su posible colisión con el derecho a
la información. La tercera razón, guarda relación con el régimen
jurídico aplicable a los llamados procesos de administración de
datos inspirado por principios especiales y en el cual opera, con sus
particularidades, el derecho al habeas data.
La segunda gran tipología que necesariamente se superpone con la
anterior, es la dirigida a clasificar la información desde un punto
de vista cualitativo en función de su publicidad y la posibilidad
legal de obtener acceso a la misma. En este sentido la Sala encuentra
cuatro grandes tipos: la información pública o de dominio público,
la información semi-privada, la información privada y la información
reservada o secreta.
Así, la información pública, calificada como tal según los
mandatos de la ley o de la Constitución, puede ser obtenida y
ofrecida sin reserva alguna y sin importar si la misma sea información
general, privada o personal.
Por vía de ejemplo, pueden contarse los actos normativos de carácter
general, los documentos públicos en los términos del artículo 74 de
la Constitución, y las providencias judiciales debidamente
ejecutoriadas; igualmente serán públicos, los datos sobre el estado
civil de las personas o sobre la conformación de la familia.
Información que puede solicitarse por cualquier persona de manera
directa y sin el deber de satisfacer requisito alguno.
La información semi-privada, será aquella que por versar sobre
información personal o impersonal y no estar comprendida por la regla
general anterior, presenta para su acceso y conocimiento un grado mínimo
de limitación, de tal forma que la misma sólo puede ser obtenida y
ofrecida por orden de autoridad administrativa en el cumplimiento de
sus funciones o en el marco de los principios de la administración de
datos personales. Es el caso de los datos relativos a las relaciones
con las entidades de la seguridad social o de los datos relativos al
comportamiento financiero de las personas.
La información privada, será aquella que por versar sobre información
personal o no, y que por encontrarse en un ámbito privado, sólo
puede ser obtenida y ofrecida por orden de autoridad judicial en el
cumplimiento de sus funciones. Es el caso de los libros de los
comerciantes, de los documentos privados, de las historias clínicas o
de la información extraída a partir de la inspección del domicilio.
Finalmente, encontramos la información reservada, que por versar
igualmente sobre información personal y sobretodo por su estrecha
relación con los derechos fundamentales del titular - dignidad,
intimidad y libertad- se encuentra reservada a su órbita exclusiva y
no puede siquiera ser obtenida ni ofrecida por autoridad judicial en
el cumplimiento de sus funciones. Cabría mencionar aquí la información
genética, y los llamados "datos sensibles" o relacionados
con la ideología, la inclinación sexual, los hábitos de la persona,
etc.
Para la Corte, esta tipología es útil al menos por dos razones: la
primera, porque contribuye a la delimitación entre la información
que se puede publicar en desarrollo del derecho constitucional a la
información, y aquella que constitucionalmente está prohibido
publicar como consecuencia de los derechos a la intimidad y al habeas
data. La segunda, porque contribuye a la delimitación e identificación
tanto de las personas como de las autoridades que se encuentran
legitimadas para acceder o divulgar dicha información.
d.) Deficiencia de mecanismos de protección de los derechos
fundamentales relacionados con el manejo de las bases de datos.
Ausencia de regulación.
Ante la inexistencia de mecanismos ordinarios de protección de los
derechos relacionados con la libertad informática , y la ausencia de
una ley estatutaria que regule con amplitud esta materia, situación
denunciada en múltiples oportunidades por esta Corte , y aceptando
que la acción de tutela a pesar de su especial importancia en materia
de protección de los derechos al habeas data y a la intimidad, no
constituye herramienta suficiente para la reconducción adecuada de
las conductas desarrolladas en el ámbito del poder informático, la
Corte como guardiana de la integridad y supremacía de la Constitución,
y en desarrollo del principio de eficacia de los derechos
fundamentales, hará la siguiente declaración: reiterará la invitación
al Congreso de la República e incluso a la Procuraduría General de
la Nación y a la Defensoría del Pueblo, para que en la medida de sus
posibilidades presenten e impulsen respectivamente, un proyecto de ley
estatutaria que ofrezca una regulación amplia, consistente e integral
en la materia. Dada la necesidad de proteger efectivamente y de manera
categórica el derecho a la autodeterminación informática, la Corte
considera indispensable que se establezcan normas sobre la obligación
de adoptar los mecanismos de seguridad adecuados, que permitan la
salvaguardia de la información contenida en las bases de datos. Se
requieren normas que establezcan sanciones y regímenes especiales de
responsabilidad para las entidades administradoras de bases de datos y
para los usuarios de la información, así como normas dirigidas a
desestimular y sancionar prácticas indebidas en ejercicio del poder
informático: cruce de datos, divulgación indiscriminada, bases de
datos secretas, entre otras. Por último, también son indispensables
normas que regulen los procesos internos de depuración y actualización
de datos personales, así como los de las solicitudes de rectificación,
adición y supresión de los mismos.
De igual manera, con el fin de que se pueda establecer el equilibrio
correspondiente entre los derechos a la información y a la
autodeterminación informática, es necesario que el acceso a la
información personal debidamente administrada se realice bajo dos
principios, llamados a operar bajo la premisa de la posición de
garante de la entidad administradora y del peticionario: el principio
de responsabilidad compartida, según el cual, tanto quien solicita la
información como quien la suministra, desarrollen su conducta
teniendo en cuenta la existencia de un interés protegido en cabeza
del titular del dato. Y el principio de cargas mutuas, según el cual,
a mayor información solicitada por un tercero, mayor detalle sobre su
identidad y sobre la finalidad de la información.
5. Del caso concreto.
En el presente caso corresponde a la Sala definir si, con la
posibilidad de que cualquier persona pueda acceder a datos personales
del señor Carlos Antonio Ruiz Gómez, mediante la digitación de su número
de identificación, gracias a la manipulación de bases de datos
publicadas en sendas páginas de la Internet por parte del
Departamento Administrativo de Catastro del Distrito de Bogotá y de
la Superintendencia Nacional de Salud, se desconocen sus derechos
fundamentales a la autodeterminación informática o a la intimidad.
El caso de los datos personales dispuestos en la página de Internet
de
Catastro Distrital.
La Sala comparte la opinión del representante de Catastro, en el
sentido de afirmar que la información disponible con la digitación
del número de cédula es precaria, y que para el acceso a información
específica sobre los diversos bienes inmuebles registrados, es
necesario reunir cuatro de cinco datos posibles. Datos que, por el carácter
confidencial de los mismos, hacen imposible que terceros totalmente
ajenos al titular del número de identificación, tengan acceso a
información pormenorizada de los diversos bienes.
En este orden de ideas, teniendo en cuenta la inocuidad de la
información accesible tras la digitación del número de identificación
, podría eventualmente concluirse que la conducta de Catastro no
vulnera derecho
fundamental alguno. Sin embargo, para la Corte, la recopilación y
publicación de la información contenida en la base de datos de
Catastro, está sometida a los principios de la administración de
datos, precisamente por que la misma está conformada por datos
personales mediante los cuales se asocia una realidad patrimonial con
una persona determinada. La Sala, al examinar en el caso concreto el
poder de irradiación de estos principios como manifestación del
derecho a la autodeterminación informática, encuentra que se
presenta una vulneración de los derechos fundamentales del señor
Carlos Antonio Ruiz Gómez. Las razones son las siguientes:
1.) En primer lugar, la conducta de Catastro no se ajusta al principio
de libertad, bacilar en los procesos de administración de datos. Según
este principio, la publicación y divulgación de la información,
debe estar precedida de autorización expresa y libre de vicios del
titular de los datos. Encuentra la Sala que, esta circunstancia no fue
atendida por Catastro, quien procedió a la publicación de la base en
la Internet, sin el consentimiento previo del señor Carlos Antonio
Ruiz.
2.) En segundo lugar, la conducta de Catastro desconoce de manera
indirecta el principio de finalidad, en cuanto que permite el acceso
indiscriminado a la información personal del señor Carlos Antonio
Ruiz a través de su publicación en la Internet. Para la Corte, el
proceso de administración de datos personales debe obedecer a una
finalidad definida de manera clara y previa, que en el caso de
catastro se concreta en la posibilidad de acceso a la información
predial en determinadas condiciones y por ciertas personas naturales o
jurídicas. En este sentido, Catastro, al facilitar el acceso a
información personal de manera indiscriminada, distorsiona la
finalidad a la cual estaba llamada la base de datos, pues permite que
extraños, sin intereses visibles, accedan a la información sin que
sea posible ningún tipo de control por parte de sus titulares.
3.) En tercer lugar, las condiciones de acceso indiscriminado a la
información, aunque esta sea precaria, constituyen un riesgo cierto
que debe ser evitado ante la posible elaboración de perfiles
virtuales. Esta situación conduce a analizar el acance del principio
de individualidad. Según este principio, el Departamento
Administrativo de Catastro, como administrador de datos personales,
debe abstenerse de realizar conductas que faciliten el cruce de datos
y la construcción de perfiles individuales. Nuevamente encuentra la
Corte que, Catastro, con la publicación de información patrimonial
del señor Carlos Antonio Ruiz Gómez, al facilitar las condiciones
para que la misma sea sumada a otra, con el concurso de diversas
fuentes de información, vulnera su derecho a la autodeterminación
informática.
En conclusión, a partir de la inobservancia y desconocimiento de
losprincipios de libertad, finalidad e individualidad, rectores de la
administración de datos personales, la Sala considera lo siguiente:
con la publicación de la base de datos sobre la información
catastral de Bogotá en la Internet, tal y como está dispuesta, el
Departamento administrativo de Catastro Distrital de Bogotá, vulnera
el derecho fundamental a la autodeterminación informática del señor
Carlos Antonio Ruiz Gómez.
En consecuencia, se torna indispensable conceder la tutela invocada y
ordenar a la respectiva entidad que haga cesar la conducta
vulneratoria del derecho, de tal forma que en adelante se abstenga de
publicar, con posibilidad de acceso indiscriminado y sin el
consentimiento previo y libre, información personal del señor Carlos
Antonio Ruiz Gómez.
El caso de los datos personales dispuestos en la página de Internet
de
la Superintendencia Nacional de Salud.
En este aspecto, la Sala considera que la información disponible tras
la digitación del número de identificación, al estar referida a
datos personales del actor que tienen la virtud de revelar aspectos de
su órbita privada (su condición de afiliado o no, la condición de
beneficiarios de ciertas personas, la EPS a la cual se encuentra
afiliado, si está o no en mora, la fecha de afiliación, las posibles
modificaciones en la afiliación, etc.), se encuentra sometida a los
principios de la administración de datos personales, en los términos
de esta sentencia.
Según el principio de finalidad, los datos, además de procurar un
objetivo constitucionalmente protegido, deben conservar el propósito
por el cual fueron suministrados u obtenidos, el cual está
determinado generalmente por los ámbitos específicos en los que
dicha operación se realiza y que en este caso es el propio de las
relaciones privadas entre el titular de los datos y las entidades de
la seguridad social.
Este principio, ligado al de la circulación restringida, indica que
efectivamente la información personal del señor Carlos Antonio Ruiz
Gómez, por ser información semi-privada, está llamada a circular
exclusivamente dentro de las entidades que conforman el sistema
integral de seguridad social en salud.
En este sentido, la Sala reconoce que a pesar de existir un interés público
en la información contenida en esta base de datos, el cual está
mediado por el derecho a la información de las entidades que
incorporan el sistema integral de seguridad social en salud (fines de
control en los pagos, de cobertura, de volumen de beneficiarios y demás
utilidades de tipo estadístico amparadas en la ley), del mismo no se
desprende la posibilidad de conocimiento indiscriminado de la
información, situación que se facilita por su disponibilidad y
libertad de acceso gracias a la Internet.
Considera entonces la Corte que, con la publicación de la base de
datos sobre los afiliados al sistema integral de seguridad social en
Salud, la Superintendencia Nacional de Salud vulnera el derecho
fundamental a la autodeterminación informática del señor Carlos
Antonio Ruiz Gómez.
En efecto, toda vez que este tipo de datos personales está catalogado
como información semi-privada, es decir que su acceso se encuentra
restringido, la posibilidad de su conocimiento por parte de terceros
totalmente ajenos al ámbito propio en el cual se obtuvo dicha
información, a partir del sencillo requisito de digitar su número de
identificación, desconoce los principios constitucionales de
libertad, finalidad, circulación restringida e individualidad propios
de la administración de datos personales.
Por lo anterior, resulta procedente conceder la tutela invocada y
ordenar a la respectiva entidad que haga cesar la conducta
vulneratoria de su derecho, en el sentido de permitir que cualquier
persona tenga acceso a información personal sobre el actor.
Lo anterior no obsta para que la Superintendencia Nacional de Salud
pueda adelantar la actividad de administración de la referida base de
datos, siempre y cuando la misma se desarrolle en el ámbito propio
del sistema integral de seguridad social en salud, de tal forma que la
base de datos pueda ser conocida por las personas autorizadas para
ello, en concordancia con las finalidades de las entidades promotoras
de salud, las instituciones prestadoras, las entidades de control, los
usuarios y demás personas que integran el régimen de seguridad
social de salud.
Los casos de los datos personales dispuestos en las páginas de
Internet de Catastro Distrital y de la Superintendencia Nacional de
Salud.
Ante el surgimiento del poder informático, la existencia de un número
único de identificación de los nacionales colombianos se ha
constituido hoy en un factor de riesgo para el ejercicio de los
derechos fundamentales. Esta situación se hace evidente, ante la
relativa facilidad de efectuar los llamados "cruces de
datos", de tal forma que con la digitación de un sólo dato (el
número de identificación) y la disponibilidad de varias bases de
datos personales, es posible en contados minutos elaborar un
"perfil virtual" de cualquier persona.
Esta posibilidad, cercana a la vulneración del derecho a la
autodeterminación informática, se pone en evidencia en el caso bajo
estudio, aunque de manera aparentemente inocua. En este orden de ideas
considera la Sala que, aunque precaria, tanto la información
patrimonial, como la información acerca del núcleo familiar y de las
características de la afiliación al sistema de seguridad social en
salud del señor Carlos Antonio Ruiz Gómez, permite construir una
pequeña semblanza del titular, que incluso podría perfeccionarse
ante la posibilidad de acceso indiscriminado a nuevas bases de datos
personales.
Esta situación afecta sus derechos fundamentales, no sólo en lo que
concierne a la autodeterminación informática, sino también en lo
relativo a su intimidad, libertad e integridad física, entre otros.
Considera entonces la Sala que, ante la posibilidad de acceso a múltiples
bases de datos personales (publicadas ahora en la Internet), el
fortalecimiento del poder informático (caracterizado por su
titularidad en ocasiones anónima), y la carencia casi absoluta de
controles, se han incrementado los riesgos de vulneración efectiva no
sólo del derecho a la autodeterminación informática, sino de los
demás derechos fundamentales puestos en juego en el ámbito informático:
la intimidad, la libertad e incluso la integridad personal.
Estos riesgos, como lo ha señalado la Corte, por su magnitud y
especial naturaleza, son inevitables e irremediables mediante el
simple ejercicio de la acción de tutela. Es entonces por esta razón
y ante la evidencia que el caso bajo estudio supone en términos de
certeza y potencialidad de los riesgos de afectación de los derechos
fundamentales, que la Sala considera urgente la expedición de una
regulación integral, comprensiva y suficiente en la materia, como se
procederá a declararlo en la parte resolutiva de la presente
sentencia.
III. DECISION.
En mérito de lo expuesto, la Sala Séptima de Revisión de la Corte
Constitucional, administrando justicia en nombre del pueblo colombiano
y por mandato de la Constitución Política de 1991,
RESUELVE:
Primero. Revocar la sentencia proferida por la Sala Laboral del
Tribunal Superior de Distrito Judicial de Bogotá, y en su lugar
Conceder la tutela al derecho a la autodeterminación informática
vulnerado por el Departamento Administrativo de Catastro de Bogotá y
por la Superintendencia Nacional en Salud, por la publicación de
sendas bases de datos en páginas de la internet. En consecuencia, se
les ordena eliminar cualquiera posibilidad de acceso indiscriminado,
mediante la digitación del número de identificación, a los datos
personales del ciudadano Carlos Antonio Ruiz Gómez, en los términos
de esta sentencia.
Segundo. Exhortar al Procurador General de la Nación para que en
cumplimiento de sus deberes constitucionales, consagrados en los artículos
277 numeral 2º, y 278 numeral 3º de la Constitución, promueva la
presentación de un proyecto de ley estatutaria con el fin de dotar a
los ciudadanos colombianos de mecanismos suficientes para la protección
de los derechos fundamentales a la autodeterminación informática,
habeasdata, intimidad, libertad e información, entre otros.
Tercero. Exhortar al Defensor del Pueblo para que en cumplimiento de
sus deberes constitucionales consagrados en el artículo 282 numeral 6º
de la Constitución, promueva la presentación de un proyecto de ley
estatutaria con el fin de dotar a los ciudadanos colombianos de
mecanismos suficientes para la protección de los derechos
fundamentales a la autodeterminación informática, habeas data,
intimidad, libertad e información, entre otros.
Cuarto. Exhortar al Congreso de la República para que en la medida de
sus posibilidades tramite y apruebe el respectivo proyecto de ley
estatutaria sobre las condiciones de ejercicio, principios, y
mecanismos judiciales y administrativos de protección de los derechos
fundamentales a la autodeterminación informática, habeas data,
intimidad, libertad e información, entre otros.
Quinto. Por Secretaría General de esta Corporación librar las
comunicaciones de que trata el decreto 2591 de 1991.
Comuníquese, notifíquese, cúmplase e insértese en la Gaceta de la
Corte
Constitucional.
EDUARDO MONTEALEGRE LYNETT
Magistrado.
ÁLVARO TAFUR GÁLVIS
Magistrado.
CLARA INÉS VARGAS HERNÁNDEZ
Magistrada.
MARTHA VICTORIA SÁCHICA MÉNDEZ
Secretaria General
|
