Por Lucía Camacho
El proyecto de Código Electoral pareciera crear un régimen especial para los datos personales que produce y administra la Registraduría Nacional del Estado Civil – RNEC -que contribuiría a un esquema opaco en el tratamiento de los datos que refieren a la identidad de las personas y se inventa principios que no están en la ley colombiana. Acá le explicamos.
1. La ley de protección de datos dejará de aplicarse a los datos que produce y administra la RNEC
El proyecto de Código Electoral en su artículo 50 habla de “reserva de datos”, allí indica, entre otras cosas, que [l]a información que produce y administra la Registraduría en sus bases de datos referentes a la identidad de las personas tiene carácter reservado, de defensa y seguridad nacionales. El contenido de este artículo es parecido al del actual artículo 213 (1) del Decreto 2241 de 1986, lo que hace es cambiar la naturaleza de la información que produce y administra la RNEC de la siguiente manera:
Hasta ahora, la información que produce la RNEC sobre la identificación de las personas era información reservada pero ahora será además de “defensa y seguridad nacional”. Sin que se explique el motivo para este cambio, sí se pueden percibir implicaciones que impactan en la protección de la privacidad de las personas pues la Ley Estatutaria de Protección de Datos deja de ser aplicable a las “bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional” (2).
Es decir, que la base de datos con información sobre la identidad de las personas requeriría un régimen propio de protección de datos y dado que no se dice nada de esto en el Código Electoral se crea un vacío importante que afectará más allá del tema electoral, pues los datos que produce y administra la RNEC se usan para múltiples fines no solo para elecciones.
El proyecto de Código Electoral, como su nombre lo indica, tiene como función regular el tema electoral, su objetivo no es modificar las normas sobre identificación de las personas, por tanto la disposición del artículo 50 excede el objeto y fin de lo que se propone regular el nuevo Código. La disposición del artículo 50 debe repetir lo previsto en el actual artículo 213 pues de aprobarse como está, no solo los datos biográficos sino también los biométricos y sensibles quedarían desprotegidos sin que se justifique por qué estos datos, base de muchas actividades públicas y privadas, tendrán carácter de defensa y seguridad nacional lo que es totalmente excepcional.
2. Para qué hablar de “indemnidad de los datos sensibles” si lo que necesitamos es reforzar su protección
El nuevo Código Electoral en su artículo 4 numeral 18 incorpora un nuevo concepto, el de indemnidad de los datos sensibles. Indica que las autoridades electorales y los particulares que participan en el desarrollo del proceso electoral deberán garantizar el adecuado tratamiento, la confidencialidad y la seguridad de los datos sensibles de los participantes en los eventos electorales.
Si bien la intención que subyace a la redacción del num. 18 del art. 4 apunta al deber de protección de los datos sensibles de las personas y que sean tratados por entidades públicas en el proceso electoral, o particulares, no se comprende en sí qué significa “la indemnidad” de los datos, expresión del todo ajena al lenguaje que se emplea en materia de protección de datos en los términos de la Ley Estatutaria 1581 de 2012.
Consideramos en cambio que la propuesta para el nuevo Código Electoral debe ocuparse de obligaciones más concretas y tangibles vinculadas con la sensibilidad de los datos que produce y administra la RNEC.
El artículo 4 y numeral 18 debe conectar los datos que produce y administra la RNEC con los principios y obligaciones de la Ley Estatutaria 1581 de 2012 y su decreto reglamentario 1377 de 2013 indicando que se trata de datos sensibles y que debe ser respetado por entidades públicas y organizaciones y personas privadas. Lo que debe ser resaltado es que para el tema electoral se requieren obligaciones reforzadas tanto en cabeza de las entidades públicas, pero también de los privados que tratan datos sensibles, como candidatos, campañas y partidos políticos en época electoral.
Sobre el tratamiento de datos sensibles por organizaciones y personas privadas
Durante una campaña electoral abundan las bases de datos con información sensible sobre la inclinación política de las personas que, por su potencial para ser usada con fines discriminatorios, merecen un régimen que eleve las obligaciones aplicables a prácticas mucho más estrictas y que aclare, al tiempo, que el tratamiento de este tipo de datos solo es posible bajo la autorización expresa e informada de la persona.
En la actualidad, si bien el tratamiento de datos sensibles está prohibido (3), existen varias excepciones, entre ellas la del art. 6 lit. c, Ley 1581 de 2012 según la cual este tratamiento está permitido para el curso de las actividades legítimas de fundaciones, ONG´s, asociaciones o cualquier organismo sin ánimo de lucro cuya finalidad sea política, religiosa, filosófica, entre otras, siempre que se refiera a sus miembros o a personas que mantengan un contacto regular por razón de su finalidad.
Esta excepción se refiere en concreto al tratamiento de los datos sensibles de miembros, afiliados y militantes de los partidos políticos, y no debe cobijar a personas que sin tener esa calidad se registran, por ejemplo, en el portal web de un candidato para tener mayor información sobre sus propuestas y programa. En estos casos el responsable del tratamiento de los datos (candidato, campaña o partido político) está obligado a solicitar una autorización específica para el tratamiento de datos sensibles, distinta de la autorización general para el tratamiento de otros datos que no lo son.
Esto es importante porque actualmente esta autorización no se efectúa precisamente por errores de interpretación asociados al régimen actual y la excepción en cuestión que sugiere que, por tratarse de actividades con finalidad política, no se requiere de la autorización del titular para poder tratar sus datos (4).
El proyecto de Código Electoral no necesita crear un nuevo término como el que parece usar en el art. 4 num. 18 como “indemnidad de los datos sensibles”, sino que debe aprovechar este principio para fijar obligaciones especiales sobre el tratamiento de datos sensibles en campañas electorales y para aclarar, por ejemplo, las dudas asociadas a la excepción del art. 6 lit. c. que referimos más arriba. Se debe dar precisión sobre los deberes concretos en cabeza de candidatos, partidos políticos y campañas sobre el tratamiento de datos sensibles de las personas en períodos electorales.
Sobre el tratamiento de datos sensibles por entidades públicas
Se precisa de obligaciones reforzadas sobre el uso de datos sensibles -como los biométricos- durante el proceso electoral y los deberes especiales que tiene a su cargo, por ejemplo, la RNEC como entidad que administra la base de datos de identificación de las personas en las elecciones.
En la investigación titulada “Biometría en el Estado colombiano: ¿cuándo y cómo se ha justificado su uso?” se pone en evidencia cómo la captura inicial de datos biométricos para satisfacer un propósito, va comprendiendo con el tiempo otras actividades que al principio no fueron previstas -situación que se conoce también como function creep-. Esto es especialmente delicado cuando se trata de información que, como las huellas o las fotos biométricas de las personas, tienen el potencial de ser empleadas para discriminar a la persona al tiempo que ésta no puede, como con otros mecanismos de identificación y autenticación, prescindir ni modificar sus huellas ni rostro una vez dicha información ha sido comprometida en su seguridad o integridad.
Proponemos que el proyecto de Código Electoral recuerde no solo a campañas, candidatos y partidos políticos, sino a entidades del Estado y funcionarios públicos que acceden, consultan o administran dicha información, que deben observar las obligaciones relacionadas con el manejo de los datos sensibles tal y como lo prevé la ley de protección de datos vigente, debiendo entre otros, demostrar en debida forma el cumplimiento del deber de responsabilidad reforzada.
(1) “Artículo 213. Toda persona tiene derecho a que la Registraduría le informe sobre el número, lugar y fecha de expedición de documentos de identidad pertenecientes a terceros. Tienen carácter reservado las informaciones que reposen en los archivos de la Registraduría referentes a la identidad de las personas, como son sus datos biográficos, su filiación y fórmula dactiloscópica. De la información reservada sólo podrá hacerse uso por orden de autoridad competente. Con fines investigativos, los jueces y los funcionarios de policía y de seguridad tendrán acceso a los archivos de la Registraduría. Cualquier persona podrá inspeccionar en todo tiempo los censos electorales, pero en ningún caso se podrá expedir copias de los mismos.”
(2) Artículo 2, literal (b), Ley 1581 de 2012
(3) Está prohibido salvo que exista autorización explícita por el titular del dato, o se trata de alguna de las otras excepciones a las que refiere el artículo 6 de la ley 1581 de 2012.
(4) Esta interpretación fue justamente la que sostuvo el candidato al senado por el partido Cambio Radical en la investigación por indebido tratamiento de datos que efectuó la SIC, aludiendo además que no era necesaria la autorización o el consentimiento de la persona, ver Res. 54559 de 2016.
Conoce aquí el listado actualizado de nuestras publicaciones sobre #AnálisisTécnicoNuevoCódigoElectoral
9 de septiembre: Comentarios al proyecto de Código Electoral de 2020
14 de septiembre: Auditorías de la tecnología que se usará en el proceso electoral
17 de septiembre: Autenticación biométrica obligatoria o el grave riesgo de negarle el voto a media Colombia
29 de septiembre: Voto electrónico en Colombia, más riesgos que ventajas