¿Y de tus datos qué?

Finalmente, después de varios meses de ser avalada por la corte constitucional, el Gobierno Colombiano expidió la ley estatutaria 1581 por medio de la cual dicta disposiciones generales para la protección de datos personales. ¿Serán estas disposiciones suficientes para proteger la privacidad de los ciudadanos? La ley es un marco general que reglamenta el manejo y protección de la información personal de los ciudadanos Colombianos, pero dependemos de la voluntad y experiencia de las compañías para implementarla de forma efectiva. Algunas implementaciones pueden cumplir con la letra de la ley aunque se alejen del espíritu de la misma.

La ley tiene por objeto “desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos” y aplica a los datos personales registrados en cualquier base de datos y al tratamiento que se haga sobre estos datos, con ciertas excepciones, como las bases de datos domésticas, o las que se mantengan para garantizar la seguridad nacional. La ley también define un dato personal como cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas y determinables 1.

Como es de esperar, la definición de dato personal puede aplicar a una gran variedad de datos. Si bien hay datos personales de procedencia digital fáciles de reconocer, como el identificador único del teléfono celular, la dirección IP de computador y el número de la tarjeta de puntos en un supermercado, también hay datos menos obvios como los hábitos de navegación y los gustos de un usuario. Estos últimos pueden usarse para determinar la identidad de un cliente, tal como demostraron investigadores de la Universidad de Texas Austin, en el año 2007 al identificar usuarios en una base de datos que había sido anonimizada 2. Es probable que la mayoría de compañías ni siquiera consideren estos datos como datos personales que deben ser protegidos. Es más, los mismos usuarios probablemente desconocen que en algunos casos es posible establecer vínculos entre ellos y este tipo de información, incluso si no se cuenta con la dirección IP del computador que usan, o con su cuenta de usuario.

Además, la ley define ciertos requerimientos acerca del manejo de los datos. Por ejemplo, el propósito de los tratamientos sobre los datos debe ser informado al titular y solo se puede ejercer con el consentimiento del mismo, la información debe ser precisa, actualizada y comprensible, debe garantizarse que los datos personales no estarán disponibles en Internet, salvo que el acceso sea restringido y controlado para dar acceso solo a los titulares y se debe garantizar integridad y confidencialidad de la información. El peligro para la protección de los datos personales de los usuarios está en la interpretación que las compañías hagan de los requerimientos definidos por la ley. Casos se han visto en los que el cumplimiento de estos requerimientos termina reducido a un formulario que presenta gran cantidad de información en letra menuda y una caja de aceptación al final, con la que el usuario acepta las condiciones presentadas. Esperemos que las compañías Colombianas inviertan tiempo y recursos en diseñar un mecanismo que presente a los usuarios las condiciones de manejo de sus datos personales de forma clara y sucinta, para que estos últimos tomen una decisión informada. Así mismo, esperemos que en cuanto a los requerimientos de control de acceso, integridad y confidencialidad, las compañías no se limiten a decir que usan algoritmos de cifrado, sino que revisen cuidadosamente sus procedimientos y la implementación de sus sistemas, pues como está comprobado los problemas de seguridad surgen en los detalles de implementación.

  1. Ley 1581. Presidencia de la República de Colombia. http://wsp.presidencia.gov.co/Normativa/Leyes/Paginas/2012.aspx
  2. Robust De-anonymization of Large Sparse Datasets. Arvind Narayanan y Vitaly Shmatikov. IEEE Symposium on Security and Privacy, 2008.
Sobre el autor
Sandra Rueda Rodríguez Sandra Rueda Rodríguez (2 Entrada(s))


Profesora Asistente Universidad de los Andes.

AVISO LEGAL: Los artículos aquí registrados expresan la opinión de sus autores y colaboradores. Este sitio no representa necesariamente la opinión del DEPARTAMENTO DE INGENIERIA DE SISTEMAS Y COMPUTACION ni de la UNIVERSIDAD DE LOS ANDES.


Tweet about this on TwitterShare on Facebook0Share on Google+0Email this to someonePin on Pinterest0

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 caracteres disponibles