La ley 1581 de 2012, más conocida como ley de habeas data, inspira su desarrollo de protección de datos personales en el respeto por la libertad, consagrado en la Constitución Política 1991. Es decir que en el territorio colombiano, la recolección, tratamiento y circulación de datos goza de un especial tratamiento constitucional elevado a la categoría de derecho fundamental, y como tal adquiere un especial amparo normativo y por consiguiente judicial.

El objetivo de la Ley 1581, está encaminado a la protección datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada. En este sentido el tratamiento, entendido este, como cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión, sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular; es decir que los datos personales no podrán ser obtenidos o divulgados sin previa autorización.

El consentimiento debe cumplir con tres características fundamentales, entendidas como, consentimiento previo, expreso e informado. En relación con el carácter previo, la autorización debe ser suministrada, en una etapa anterior a la incorporación del dato; en relación con el carácter expreso, la autorización debe ser inequívoca, razón por la cual, no es posible aceptarse la existencia de un consentimiento tácito; y en relación con el carácter informado, el titular no sólo debe aceptar el tratamiento del dato, sino también tiene que estar plenamente consciente de los efectos de su autorización.

En este sentido, recientemente la Superintendencia de Industria y Comercio se pronunció en concepto N° 431306 del 2 de enero de 2017, en el cual expone, que frente al tratamiento de los datos personales “…solo puede realizarse cuando exista la autorización previa, expresa e informada del titular, con el fin de permitirle que se garantice que en todo momento y lugar pueda conocer en dónde está su información personal, para qué propósitos ha sido recolectada y qué mecanismos tiene a su disposición para su actualización y rectificación.”

Es por esto que el responsable del tratamiento debe adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del titular para el tratamiento de los mismos e informarle los datos personales que serán recolectados, así como todas las finalidades específicas del tratamiento para las cuales se obtiene el consentimiento, y deberá garantizar la existencia de medios que posibiliten su consulta posterior.

Finalmente frente al consentimiento la Superintendencia sostuvo que se entiende que el titular de la información podrá otorgar autorización para el tratamiento de los datos personales por medio escrito, verbal o mediante conductas inequívocas, es decir, aquellas que no admiten duda o equivocación del titular, que permitan concluir de forma razonable que otorgó la autorización. El silencio no puede asimilarse a una conducta inequívoca. Cuando se trate de datos personales sensibles la autorización para el tratamiento de tales datos deberá hacerse de manera explícita.