LA PROTECCIÓN DEL DATO PERSONAL EN RELACIÒN CON LA EVIDENCIA DIGITAL
Por
Ana María Mesa Elneser
RESUMEN
La Protección al Dato Personal en Colombia es un Derecho Constitucional Fundamental regulado con la expedición de la Ley 1581 de 2012 y los Decretos Reglamentarios 1377 de 2013 y 886 de 2014, eje articulador para enmarcar los límites entre la disponibilidad de la información y los datos, con la protección la intimidad y la privacidad en la gestión empresarial. Sin embargo este universo de derechos y obligaciones no interactúa solo, a su vez se relaciona, de forma directa, con la disciplina técnico-científica denominada Forense Digital (Cano, 2010), la cual se ocupa de la extracción y obtención de la evidencia digital, con el fin de probar la ocurrencia de un incidente informático o hecho delictivo.
PALABRAS CLAVES: dato personal, evidencia digital, forense digital, intimidad y privacidad
EL DATO PERSONAL Y SU PROTECCIÓN
El Dato Personal, tiene sus orígenes a nivel global que evidencia la interrelación con la Privacidad, sin que puedan considerarse en el mismo contexto. Se debe tener en cuenta que existe mayor relación entre el derecho a la intimidad y la privacidad, que entre el derecho al dato personal y la privacidad, sin que ello no sea presupuesto para establecer como función y finalidad de la privacidad, la protección del dato personal.
Por lo anterior se puede afirmar que la protección de datos personales es un derecho que va a surgir en función, fundamentalmente de determinados acontecimientos históricos que ocurrieron, que mostraron a la sociedad que la recolección y acumulación de datos personales por parte de los Estados puede dar lugar a un abuso de poder y a la utilización indebida o ilegal en razón al uso con fines totalmente distintos para los cuales se pretendían en el momento de su recolección.
1. Alemania Nazi
Si nos remontamos a la época de la Alemania Nazi cuando llega Hitler al poder empieza a realizar un proceso de búsqueda en determinadas herramientas que le permitieran poder identificar todas aquellas razas que él consideraba en contra de la concepción de la raza perfecta o “Raza Aria” entre los cuales, sin limitarse a ellos, estaban: los Judíos, de los Gitanos, Delincuentes, Homosexuales, Religiosos y de los Discapacitados.
Una de las herramientas que utilizo para compilar esta información respecto de toda la gente existente en el territorio alemán en muy poco tiempo, además que fuera un diseño absolutamente planificado y que permitiera hacer un estudio de cómo estaba compuesta la población Alemana fue el Censo Nacional (Black, 2001), contemplando preguntas de tipo de carácter violatorio de derechos fundamentales o personalísimos, y que tendrían directa confrontación con la mayorías de las leyes vigentes en materia de protección de datos personales.
Toda esta información fue recolectada, fue procesada y analizada, permitiendo al Tercer Reich hacer el exterminio masivo que hizo a posteriores, esta es la fuente más directa de donde surge la necesidad de legislar en materia de datos personales.
2. Jurisprudencia Norteamericana
Desde otro escenario es importante manifestar lo que paso en EEUU en cuestiones decantadas por diversos autores respecto a “el derecho de estar solo”, por ejemplo dice (Cavero, 1993): “todo intento por delimitar el significado de <
3. Perspectiva Colombiana
El artículo 15 de la Constitución Política Colombiana de 1991, definió sin limitaciones el derecho a la protección de datos personales en asocio con el derecho a la intimidad personal como un derecho Constitucional, general, absoluto, patrimonial, inalienable, imprescriptible y que se puede hacer valer por cualquier ciudadano erga omnes frente al Estado y a cualquier particular.
Es a partir de la Sentencia C-748 de 2011, por medio de la cual la Corte Constitucional declara la constitucional del proyecto de ley estatutaria que da vida a la Ley 1581 de 2012, en la cual, dijo la corte que, toda persona por el hecho de serlo, es titular innato y exclusivo del derecho a la Protección al Dato Personal, siendo el único legitimado a permitir la divulgación de sus datos personales concernientes a su vida privada, teniendo como finalidad, el aseguramiento de la protección de su Derecho Constitucional a que se le respete su intimidad, su buen nombre, su honra, en todo caso, los derechos morales de toda persona física en Colombia.
La Protección al Dato Personal y la Intimidad, consagrada en el art. 15 C. Pol., también se vincula al derecho a la Autodeterminación Informática “esta se enmarca en principios orientadores, que opera como parámetro para la validez de las actuaciones que adelantan las fuentes, operadores y usuarios del dato personal, así como fundamento para la exigibilidad jurídica de las facultades que se confieren al titular del dato”, (Sentencia Constitucional, 2013) que tiene todo ciudadano respecto del tratamiento de sus datos en bases de datos, archivos, y bancos de datos, dando respuesta a la necesidad de establecer límites como lo indica el artículo 15 C. Pol. “la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución”.
La ley 1581 de 2012 se expide para la protección de todos los Datos Personales a nivel general, salvo los que se someten a regímenes especiales como se identifican en el artículo 2 de dicha ley en atención a que su protección por un régimen especial sea coherente, claro, seguro y favorable de acuerdo a su naturaleza o su especial justificación legal de conservar o preservar otro tipo de protección, aun siendo un dato personal.
3.1. Principio de Responsabilidad Demostrada
La ley 1581 de 2012 y su decreto reglamentario 1377 de 2013 en su art. 26, desarrolla el principio de responsabilidad demostrada, que plantea para toda persona que recolecte datos personales la adopción de programas integrales en esa actividad que permitan dar cumplimiento a la protección constitucional y legal que se le ha reconocido al dato personal a partir de la Constitución Política de 1991.
El programa integral de protección de datos personales, no pueden responder a estándares generalizados por sectores empresariales, en contrario, deben responder a un análisis e implementación del programa de protección de datos personales, hecho a la medida de la empresa, teniendo como consecuencia el desarrollo de un instrumento protector del cliente o proveedor, haciendo uso de su papel de titular del dato personal.
La protección del dato personal a nivel mundial está diseñado para que la industria y el comercio, primero estén obligados a generar estrategias de recolección, tratamiento y circulación de datos, bajo una previa autorización “el permiso del titular”, antes de proceder a su uso y conservación, pero no así es generalizado para las empresas el diseño de sus estrategias de mercado, muchas de estas respondiendo a metodologías que no evidencian ni piensan en el permiso previo por parte del titular para la obtención de su dato personal, sobre las políticas de tratamiento, ni las medidas de seguridad y protección de sus datos, que navegan comercialmente en un escenario oculto sobre el tratamiento de sus datos, es un escenario de incertidumbre y desconfianza del cliente frente al comerciante e industria.
EVIDENCIA DIGITAL
1. Breve Análisis Internacional
Es un campo que determina el escenario que rodea la Evidencia Digital, a partir de protocolos forenses certificados por instituciones reconocidas , además de los estándares aplicables a laboratorios forenses y el perito forense, permiten dar respuesta a las necesidades investigativas en las nuevas formas delictuales o cibercriminales, cumpliendo requisitos de legalidad y legitimidad tanto de la evidencia como de la prueba, por la utilización de protocolos certificados y de reconocimiento internacional, aunque de gran costo en su adopción al caso concreto.
Lo anterior tiene como efecto principal, que los actos investigativos se direccionan para extraer una evidencia digital, al momento de la investigación del delito informático, como es el caso Colombiano o de países latinoamericanos, el aval a la evidencia realizada a partir de la certificación del instituto como fuente de respaldo en el cumplimiento de autenticidad, integridad, originalidad, confiabilidad y no repudio.
2. Breve Análisis Colombia
Inicialmente hay que delimitar la exigencia en Colombia respecto de los principios orientadores de la actividad forense , pero el término jurídico de la evidencia digital en Colombia no se encuentra expresa en el ordenamiento jurídico, a su vez en el art. 275 de la Ley 906 de 2004, solo se tienen las categorías correspondientes a medios cognitivos, las denominadas Evidencias Físicas y Elemento Material Probatorio, permitiendo concluir que la podemos entender como éste tipo de evidencias la construida por campos magnéticos y cursos electrónicos, que puede ser reportados, almacenados y realizados con herramientas técnicas específicas, entiéndanse protocolos, software y hardware vinculado, que no se han desarrollado para el Estado Colombiano a la medida, por consiguiente, se han acogido las internacionales del NIST y del SANS principalmente.
3. Evidencia digital en relación con intimidad, privacidad y datos personales en log
Cuando se habla de un tratamiento del incidente informático se tiene que establecer el alcance de la intimidad y la privacidad desde dos miradas, o mejor desde dos disciplinas científicas que son a su vez, el Derecho y Digital Forense. Cuando hablamos de incidente informático, tenemos en cuenta que se involucra no solo información, en muchos casos da cuenta de datos personales, contenidos en logs. Para delimitar si la prueba pericial tiene relación o no con la privacidad, es necesario identificar si el incidente informático ha ocurrido, en una red pública o una red privada.
Por la naturaleza de lo establecido como log, es de uso privado, sin embargo, existe empresas dedicadas al ámbito estadístico, el cual solo es posible a partir de la información y datos recolectados. La recolección que realizan estas empresas se obtiene a partir del monitoreo de los puntos de acceso central a internet a los países para sacar información de navegación en la internet, sin o con permiso del titular de la información y del dato personal.
Por ello, la etapa que se surte para el desarrollo de los actos de investigación, sean dados por la fiscalía o por investigación privada, es en sí misma, un escenario de recolección de la información que dé cuenta del delito. De allí, que se pueda denominarse, una solicitud de log a los ISP o las empresas de servicio en correo, redes sociales, sitios web, entre otros, como son, sin limitarse a ellas, Facebook, Yahoo, Gmail, Terra, actos de investigación, los cuales, dependiendo de su naturaleza y disponibilidad requieren o no un control previo o posterior de legalidad y legitimidad ante el juez.
Las empresas y los prestadores de Internet, han adoptado procedimientos legales uniformes para que los funcionarios judiciales y entes investigadores tengan conocimiento de cómo debe solicitarse la extracción del log, procedimientos que se desarrollan a partir de la política de privacidad, la cual, se encuentra en constante dinamismo, sea por el cambio de las estrategias comerciales, o sea por dar cumplimiento a la protección del dato personal.
CONCLUSIONES
1. La creación de programas integrales de protección de datos personales a los que hacen referencia, tanto las guías de la OECD (Development, 2015) como las normas Colombianas, no se consideran una aplicación y uso restrictivo para la gran empresa, son procesos para cualquier empresa, escalables, que se deben hacer a la medida de cada organización que en su operación empresarial y comercial haga tratamiento de datos personales, obligando a repensar la manera de integrar procesos de análisis de información local y ahora nacional, igualmente a las entidades del Estado responsables de la supervisión, se deben repensar en su forma de operar y el direccionamiento de las políticas públicas, para dar respuesta a las necesidades nacionales y trasnacionales en materia de protección a la privacidad, enfrentando retos del presente siglo como es el denominado el BIG DATA.
2. Para preservar la privacidad de los logs y a su vez la conservación como fuente de información para probar el hecho delictivo, se puede solicitar a los ISP de transito de datos, como pudieran ser en Colombia Telmex, Une, Edatel entre otros, guardan logs de estadísticas de acceso de las empresas a las cuales les prestan el servicio, y con fundamento a los acuerdos suscritos para la protección de la propiedad intelectual directamente con la DMCA -Digital Millennium Copyright Act.-, ha obligado que los ISP filtren el tráfico de bittorrent, por ello, para la obtención de log sin depender del trámite por vía judicial, se puede consultar los acuerdos firmados del ISP en procura de la preservación y protección de los derechos de autor ante la DMCA y dependiendo del nivel de privacidad podrá habilitarse la solicitud del log directamente a la empresa, eso sí, en este escenario igualmente la persona encargada de la extracción es el record keeper.
REFERENCIAS:
(DDI), D. D. (2015). OEA. Obtenido de www.oas.org/es/sla/ddi/proteccion_datos_personales.asp
Black, E. (2001). IBM Y EL HOLOCAUSTO. Alemania: Atlantida.
Cano, J. (2010). Computaciòn Forense. Bogotá: Omega.
Cavero, J. M. (1993). El derecho a la Intimidad en la Jurisprudencia Constitucional. Madrid España: Civitas.
Development, O. S. (2015). OSD GLOBAL. Obtenido de www.osdglobal.com
ELNESER, A. M. (2013). APROXIMACIÓN A LA INFORMÁTICA FORENSE Y EL DERECHO INFORMÁTICO: Ámbito Colombiano. Medellín: (Departamento Fondo Editorial Funlam – FUNLAM.
Fiscalía, L. F. (2008). La Prueba en el Proceso Penal Colombiano. Medellín: Fiscalía General de la Nación y Fenix Medina Group.
Peggy Valcke, J. D. (2012). Computer, Law & Security Review – special issue Trust in the Information Society. Oslo, Norway: Editorial Board – University of Oslo, .
Sentencia Constitucional, Sentencia T- 419 (Corte Constitucional 8 de julio de 2013).
Sentencia Good Will o Credito Mercantil , expediente 16274 (Consejo de Estado 26 de enero de 2013).
Timothy Morey, T. F. (2015). Customer Data: Desingning for Trasnparency and Trust. Revista Harvard Business Review, 96 – 105.
No se han encontrado comentarios