Las conductas que vulneren el derecho al hábeas data pueden derivar en consecuencias monetarias muy relevantes.
Miguel Cortés Mosquera
Competencia y Litigación de
Garrigues
El aprovechamiento de los datos personales ha venido aumentando en los últimos años con el fin de buscar eficiencias en los entornos tecnológicos y permitir el desarrollo de nuevos productos. Sin embargo, este incremento en el tratamiento de información también ha implicado que se generen muchas más infracciones al régimen de protección de datos personales (Leyes 1266 de 2008 y 1581 de 2012).
En muchas ocasiones, se cree que las infracciones a las normas de protección de datos derivan en consecuencias poco relevantes, como la interposición de consultas y reclamos por parte de los titulares, acciones de tutela que persigan la corrección y actualización de los datos o sanciones por parte de la Superintendencia de Industria y Comercio o de la Superintendencia Financiera que, aunque pueden llegar hasta los 2.000 salarios mínimos (es decir, dos mil seiscientos millones de pesos), tienden a ser por cifras mucho menores.
No obstante, a través de la sentencia del 24 de julio de 2024, el Tribunal Superior de Bogotá fue contundente al desvirtuar la percepción de que la infracción del régimen de protección de datos es insignificante y concluyó que, por el contrario, las conductas que vulneren el derecho al hábeas data pueden derivar en consecuencias monetarias muy relevantes.
En la providencia antes mencionada, el Tribunal encontró que el incumplimiento de los deberes previstos en las Leyes 1266 de 2008 y 1581 de 2012 puede derivar en demandas de los titulares afectados y en la indemnización de los perjuicios que sean causados por quien trata los datos sin cumplir los requisitos. Enfáticamente, señaló que el tratamiento indebido puede tener consecuencias patrimoniales (daño emergente y lucro cesante) y extrapatrimoniales (daño moral, daño a la vida de relación y daño a los intereses de especial relevancia constitucional).
Por lo tanto, cuando un titular logre acreditar que se generó un daño con culpa o dolo y que existe un nexo causal entre dicho daño y el indebido tratamiento de datos personales, entonces la persona natural o jurídica responsable deberá indemnizar todos los perjuicios de orden patrimonial y extrapatrimonial que se hayan causado. Vale aclarar que las afectaciones al derecho al hábeas data implican una vulneración a un interés de especial relevancia constitucional (buen nombre del titular), por lo cual, en el caso analizado por el Tribunal, se tasó dicho daño en un monto de quince millones de pesos, sin perjuicio de que esta condena pueda ser más cuantiosa.
Es imperativo que las empresas que realizan grandes tratamientos de datos personales tengan en cuenta que el incumplimiento de sus deberes bajo las Leyes 1266 de 2008 y 1581 de 2012 puede derivar en procesos judiciales en su contra y en el pago de grandes indemnizaciones monetarias. Lo anterior resulta especialmente relevante para aquellos actores que vayan a participar en arquitecturas de tratamiento masivo de datos como las Finanzas Abiertas (Decreto 1297 de 2022) y Datos Abiertos (artículo 89 del Plan Nacional de Desarrollo), en donde resulta crítico adoptar medidas de salvaguarda para evitar el incumplimiento del régimen de protección de datos personales y la eventual indemnización de perjuicios en que puede derivar.
