El Estado de Privacidad es un estudio dirigido por Privacy International que aborda temas como la privacidad y la vigilancia a nivel mundial. El capítulo para Colombia se realizó en colaboración con las organizaciones colombianas Fundación Karisma y Dejusticia.

A continuación se presenta la traducción al español del informe original.

Introducción

Reconocimiento

El Estado de Privacidad en Colombia es el resultado de una colaboración en curso entre Privacy International, Fundación Karisma y Dejusticia.

Derecho a la Privacidad

La Constitución

El marco legal Colombiano brinda una serie de protecciones esenciales para el derecho a la privacidad, en la Constitución de 1991 y en el bloque de constitucionalidad de acuerdo con el artículo 92 de la Constitución Colombiana. Este artículo incorpora en la ley colombiana sus obligaciones en materia de derechos humanos internacionales, lo cual significa que tienen precedencia sobre disposiciones estatutarias. El Artículo 15 de la Constitución de 1991 establece que todos y todas tienen derecho a privacidad personal y familiar. El Artículo dice:

“La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptados o registrados mediante orden judicial, en los casos y con las formalidades que establezca la ley”

Convenciones regionales e internacionales

Colombia hace parte de un número de convenciones de derechos humanos internacionales relacionadas con el derecho a la privacidad, donde se incluyen:

• La Declaración Universal de Derechos Humanos
• El Pacto Internacional en Derechos Civiles y Políticos
• La Convención Internacional para la Protección de los Derechos de Todos los Trabajadores Migrantes y Miembros de Sus Familias
• La Convención Americana en Derechos Humanos
• La Convención Internacional para la Protección de todas las Personas de la Desaparición Forzada

Vigilancia de las Comunicaciones

Introducción

Colombia, con una población de 47,6 millones en 2014, tuvo 51,59 millones de suscriptores móviles en 2014, de acuerdo con el Ministerio de las Tecnologías de la Información y las Telecomunicaciones (MINTIC) y hubo 7,14 millones de suscriptores de líneas telefónicas fijas en 2013. MINTIC también reportó 22 millones de suscripciones a Internet en 2014, representando una tasa de penetración del 22,3%.

El DANE, la agencia colombiana de estadísticas gubernamentales estimó que 22,5 millones de Colombianos usaron Internet en 2014, y que Facebook, Twitter e Instagram estuvieron entre los sitios de redes sociales más populares.

Leyes de vigilancia

La interceptación de comunicaciones en Colombia está regulada principalmente por la Constitución, el Código de Procedimiento Penal y algunas leyes de inteligencia. La Constitución confiere poderes a la Fiscalía General de la Nación para “[a]delantar registros, allanamientos, incautaciones e interceptaciones de comunicaciones” sujetos a control judicial (Artículo 250). El Código de Procedimiento Penal brinda más detalles. Empieza con una reiteración del derecho a la privacidad, diciendo, en su artículo 14:

“Toda persona tiene derecho al respeto de su intimidad. Nadie podrá ser molestado en su vida privada.

No podrán hacerse registros, allanamientos ni incautaciones en domicilio, residencia, o lugar de trabajo, sino en virtud de orden escrita del Fiscal General de la Nación o su delegado, con arreglo de las formalidades y motivos previamente definidos en este código. Se entienden excluidas las situaciones de flagrancia y demás contempladas por la ley.

De la misma manera deberá procederse cuando resulte necesaria la búsqueda selectiva en las bases de datos computarizadas, mecánicas o de cualquier otra índole, que no sean de libre acceso, o cuando fuere necesario interceptar comunicaciones.

En estos casos, dentro de las treinta y seis (36) horas siguientes deberá adelantarse la respectiva audiencia ante el juez de control de garantías, con el fin de determinar la legalidad formal y material de la actuación”.

El Artículo 235 del Código estipula las condiciones bajo las cuales la Fiscalía puede ordenar la interceptación de comunicaciones. El Artículo dice:

“El fiscal podrá ordenar, con el objeto de buscar elementos materiales probatorios, evidencia física, búsqueda y ubicación de imputados, indiciados o condenados, que se intercepten mediante grabación magnetofónica o similares las comunicaciones que se cursen por cualquier red de comunicaciones, en donde curse información o haya interés para los fines de la actuación. En este sentido, las autoridades competentes serán las encargadas de la operación técnica de la respectiva interceptación así como del procesamiento de la misma. Tienen la obligación de realizarla inmediatamente después de la notificación de la orden y todos los costos serán a cargo de la autoridad que ejecute la interceptación.

En todo caso, deberá fundamentarse por escrito. Las personas que participen en estas diligencias se obligan a guardar la debida reserva.

Por ningún motivo se podrán interceptar las comunicaciones del defensor.

La orden tendrá una vigencia máxima de seis (6) meses, pero podrá prorrogarse, a juicio del fiscal, subsisten los motivos fundados que la originaron.

La orden del fiscal de prorrogar la interceptación de comunicaciones y similares deberá someterse al control previo de legalidad por parte del Juez de Control de Garantías.”

El Artículo estipula que el fiscal sólo puede ordenar legalmente la interceptación de comunicaciones transmitidas a través del espectro electromagnético (teléfono, radio o cables de fibra óptica) con el propósito de buscar evidencia. La orden deben ser realizada por escrito y es válida por seis meses.

En Abril de 2013, se adoptó una nueva Ley de Inteligencia, donde se estipula que las actividades de inteligencia y contrainteligencia “comprenden actividades de monitoreo del espectro electromagnético”. El Artículo 4 de la Ley establece que la información puede ser obtenida únicamente con propósitos legales. Esos propósitos son: asegurar la seguridad nacional; la soberanía; la integridad territorial; la seguridad y la defensa de la nación; la protección de las instituciones democráticas y los derechos de las personas residentes en Colombia y de los ciudadanos colombianos; y la protección de los recursos naturales y los intereses económicos de la nación. El Artículo 17 de la ley se titula “Monitoreo del Espectro Electromagnético e Interceptaciones de Comunicaciones Privadas” y dice:

“Las actividades de inteligencia y contrainteligencia comprenden actividades de monitoreo del espectro electromagnético debidamente incorporadas dentro de órdenes de operaciones o misiones de trabajo. La información recolectada en el marco del monitoreo del espectro electromagnético en ejercicio de las actividades de inteligencia y contrainteligencia, que no sirva para el cumplimiento de los fines establecidos en la presente Ley, deberá ser destruida y no podrá ser almacenada en las bases de datos de inteligencia y contrainteligencia. El monitoreo no constituye interceptación de comunicaciones.

La interceptación de conversaciones privadas telefónicas móviles o fijas, así como de las comunicaciones privadas de datos, deberán someterse a los requisitos establecidos en el artículo 15 de la Constitución y el Código de Procedimiento Penal y sólo podrán llevarse a cabo en el marco de procedimientos judiciales ”

El segundo párrafo dice claramente que la interceptación de comunicaciones no está autorizada por la Ley de Inteligencia, sino que más bien debe realizarse únicamente bajo los requisitos legales del Código de Procedimiento Penal, de forma específica, de acuerdo con los procedimientos establecidos en el Código. Por lo tanto, no se puede decir que la disposición sancione la interceptación de las comunicaciones por parte de las agencias de inteligencia o policiales.

Un reporte publicado por Privacy International en agosto de 2014 expone las incosistencias lógicas en la interpretación del gobierno de la Ley de Inteligencia en relación con el monitoreo del espectro electromagnético y la interceptación legal.

Agencias de vigilancia

En Colombia, la Policía y el Ejército son dos ramas de la ‘fuerza pública’ que están bajo el control del Ministro de Defensa. Las fuerzas armadas de Colombia también realizan actividades significativas de interceptación y monitoreo en el desarrollo de operaciones contra grupos armados. A continuación se enuncian las principales agencias policiales y de seguridad, a parte de las militares, que realizan actividades de vigilancia de comunicaciones.

Dirección de Inteligencia Policial, DIPOL

La DIPOL es la dirección policial responsable de realizar inteligencia estratégica y operacional relacionada con alteración del orden público, seguridad y defensa. Está obligada a realizar actividades nacionales de contrainteligencia. Es una de las 8 direcciones policiales que rinde cuentas a la Dirección General bajo el Ministro de Defensa. La DIPOL también es responsable de liderar los planes de desarrollo tecnológico con respecto a las actividades de inteligencia dentro de la Policía. Oficiales de la DIPOL han sido acusados de realizar vigilancia ilegal contra periodistas.

Dirección de Investigación Criminal e Interpol, DIJIN

La DIJIN es la dirección policial encargada de la investigación judicial. Es una de las 8 direcciones policiales que rinde cuentas a la Dirección General bajo el Ministro de Defensa. Su rol es apoyar la investigación criminal en las áreas técnica, científica y operacional, por iniciativa propia o en cumplimiento de órdenes de la Fiscalía. Oficiales de la DIJIN han puesto su experiencia forense a disposición de las investigaciones de interceptaciones ilegales.

Fiscalía General de la Nación

La Fiscalía no es una agencia policial y de seguridad, pero lleva a cabo vigilancia de comunicaciones. Esta es una entidad de la rama judicial del gobierno con plena autonomía administrativa y presupuestal responsable de la efectiva administración de justicia. Establecida en 1991, está obligada a realizar investigaciones penales con fines de enjuiciamiento judicial, para proteger víctimas y testigos, y dirigir y coordinar las funciones de la policía judicial. La Fiscalía es responsable de la administración de la plataforma Esperanza, recibiendo y aprobando órdenes de interceptación de otras agencias incluyendo el DAS y la Policía. La Fiscalía conduce una investigación en curso sobre la vigilancia ilegal del DAS a mediados del 2000, presuntamente al abusar de los privilegios de acceso a la plataforma Esperanza.

Dirección Nacional de Inteligencia, ‘DNI’

En 2011 una nueva agencia, la Dirección Nacional de Inteligencia, fue establecida para dirigir el sector de inteligencia y contrainteligencia dentro de la estructura general del estado. Públicamente se conoce muy poco sobre sus obligaciones o poderes.

Capacidades de vigilancia

Colombia hospeda y asiste a un número de ferias de tecnología de vigilancia y seguridad. Intelligence Support Systems World (ISS World), también conocida como ‘Wiretappers’ Ball’ es una de las ferias más grandes y se enfoca en proveedores europeos y norteamericanos. La policía colombiana asistió a ISS World en 2012 donde tres compañías colombianas exhibieron sus productos: Biotekne SAS, Colombia ASOTO Technology Group, y el proveedor para la Fiscalía del sistema de vigilancia Esperanza STAR Colombia Inteligencia & Tecnología. La feria y conferencia anual Cibercolombia donde principalmente se muestran productos de vigilancia israelíes es patrocinada por la embajada de Israel en Bogotá.

Gran parte del equipo de seguridad en Colombia es suministrado por compañías internacionales, especialmente estadounidenses. Durante la década pasada, los fondos estadounidenses, equipo y entrenamiento suministrado a las unidades élite de los servicios de inteligencia colombianos fueron presuntamente utilizados para espiar a jueces de la Suprema Corte, opositores políticos del entonces presidente Álvaro Uribe y grupos de la sociedad civil. La conversaciones interceptadas fueron vitales para ocultar las operaciones de Colombia y la Agencia Central de Inteligencia estadounidense (CIA) contra las FARC. Aunque la ley de contratación colombiana (Ley 80 de 1993) establece prioridad para productos de seguridad y defensa nacional hechos en Colombia por productores locales, la Cláusula de Trato Nacional del Tratado de Libre Comercio del 2006 entre Colombia y Estados Unidos permite que compañías estadounidenses sean tratadas como locales cuando participan en licitaciones públicas. Israel también es un significativo proveedor militar. La compañía israelí-estadounidense Verint Systems provee infraestructura de interceptación crítica utilizada por el DAS, la DIPOL y la DIJIN desde al menos el 2005. Verint Systems Ltd, la compañía israelí hermana de la establecida en Estados Unidos Verint Systems Inc.

Análisis forense

En julio de 2007, el DAS publicó especificaciones técnicas para una licitación para equipos que permitirían copiar e inspeccionar dispositivos de objetivos. Aunque la licitación fue finalmente cancelada en diciembre de 2006, el DAS adquirió la tecnología antes del 2010. La Curacao ganó un contrató de mantenimiento, venciendo a los competidores Internet Solutions Ltda y SF International. El software que usó el DAS fue Forensic Toolkit (FTK), un software de computación forense hecho por AccesData establecida en Estados Unidos. El software FTK 3.0 especificado en el contrato del 2010 permite al analista no solo ‘previsualizar la máquina del objetivo a través de la red para determinar su relevancia de forma previa a la adquisición, pero … también adquirir y analizar completamente los datos del sistema, incluyendo la RAM (memoria de acceso aleatorio) del sistema.’ Una función de unidad remota permite a los analistas realizar un análisis forense de datos – como memoria del sistema, volúmenes lógicos, dispositivos físicos – en un dispositivo remoto desde el sistema del analista. El software también podría ser usado para descifrar discos cifrados con PGP.

Colectores IMSI

Muchas compañías ofrecen colectores IMSI en Colombia, según una investigación de Privacy International. Spectra Group con base en Nueva Zelanda por medio la compañía colombiana Maicrotel vendió su colector IMSI Laguna a la DIPOL en septiembre de 2005. El sistema Laguna está diseñado para monitorear y grabar conversaciones telefónicas y datos en sistemas de comunicaciones móviles y puede ser móvil o estar en estaciones fijas. Bulldog y Nesie, producidos por la compañía británica de vigilancia Smith Myers, son otros dos colectores IMSI populares vendidos en Colombia. En el 2010, el DAS estaba preparando la compra de un sistema de interceptación Bulldog por más de US$ 250.000 y un sistema Nesie por más de US$ 320.000. La Fiscalía también estaba planeando comprar un sistema Bulldog por poco más de US$ 280.000 así como la división seccional de la DIJIN en Bogotá. En el 2014, la rama finlandesa de la compañía canadiense de telecomunicaciones Exfo exportó a Colombia su colector IMSI NetHawk F10.

Malware de intrusión y hacking

Hacking Team, una compañía italiana, ofrece un sistema de intrusión que fue adquirido por la policía colombiana. El Sistema de Control Remoto (RCS) de la compañía puede ser utilizado para apropiarse de computadores y dispositivos móviles mientras permanece indetectable para los usuarios, ya que está diseñado para sobrepasar antivirus comunes y cifrado. Al infectar el dispositivo de un objetivo, RCS puede capturar datos en el dispositivo del objetivo, encender y apagar cámaras y micrófonos, copiar archivos y claves digitadas. En el 2014, Hacking Team tuvo un ingeniero de campo instalado en Colombia y un contrato activo con la policía colombiana. El uso ofensivo por parte del gobierno colombiano de malware producido por Hacking Team se había sospechado desde que investigadores en el Laboratorio Ciudadano identificaron un servidor de comando y control para RCS en Colombia. Hacking Team suministró su tecnología a la DEA, la cual según correos internos estaba presuntamente usando el malware para realizar vigilancia desde la embajada estadounidense en Bogotá. Hacking Team también tenía dos proyectos con la policía colombiana, uno de los cuales parece estar relacionado con el sistema de vigilancia PUMA.

El ejército colombiano también utilizó hackers, como se reveló en escándalo de espionaje Andrómeda. El ejército también entrena cadetes para hackear en la Escuela de Inteligencia y Contrainteligencia, según Privacy International.

Interceptación de red

El sistema de interceptación de comunicaciones de la nación más visible es el Sistema Esperanza; está apoyado fuertemente por la Agencia para el Control de Drogas estadounidense (DEA). La Fiscalía General de la Nación dirige y administra la plataforma, la cual puede obtener información y contenidos de llamadas de líneas móviles y líneas fijas. Esperanza, plataforma a la cual varias agencias policiales tienen acceso, está conectada a los operadores de telecomunicaciones de la nación. Es utilizada para obtener evidencia para enjuiciamientos judiciales caso por caso. Esto requiere que un agente de la Fiscalía olicite por escrito la interceptación o grabación de una línea telefónica. Otras medidas de protección integradas al sistema Esperanza incluyen un sistema electrónico de acatamiento de órdenes judiciales y jueces de control de garantías. Sin embargo, una investigación de Privacy International mostró que Esperanza sufrió de varias vulnerabilidades de seguridad y su restricción para acceder a información únicamente para objetivos individuales predefinidos con base en una orden judicial fue un punto de fricción para otras agencias policiales.

La Dirección de Investigación Criminal e INTERPOL, ‘DIJIN’ ha construido la Plataforma Única de Monitoreo y Análisis, ‘PUMA’, un sistema de monitoreo telefónico y de internet enlazado directamente a la infraestructura de red de los proveedores de servicios a través de una sonda que copia inmensas cantidades de información y la envía directamente a las instalaciones de monitoreo de la DIJIN. PUMA es potencialmente capaz de interceptar y almacenar todas las comunicaciones que pasan a través de sus sondas. Los proveedores de servicios de comunicaciones saben de su existencia y han cooperado con su instalación pero están excluidos de su operación diaria. El sistema PUMA ha sido descrito en un reporte de Privacy International.

PUMA fue adquirido en 2007 usando tecnología de la compañía de vigilancia israelí Verint Systems Ltd y mantenido por la Compañía Comercial Curacao de Colombia, una firma colombiana. En 2013, la Policía presentó propuestas para ampliar el sistema, argumentando que un PUMA ampliado podría ser capaz de capturar tres veces más llamadas telefónicas y datos. El PUMA ampliado incluiría un módulo de monitoreo para proveedores de servicios de internet (ISP) y hasta 700 estaciones de trabajo en todo el país. El contrato para la ampliación fue concluido con NICE Systems, otra compañía de vigilancia israelí, en asociación con la compañía colombiana Eagle Comercial. Aunque desacuerdos entre la Fiscalía y la Policía sobre su administración detuvieron la expansión, y el proyecto quedó en espera. Sin embargo, todavía se están realizando nuevos contratos y se suponía que el sistema renovado estaría operando a finales de 2015. Adicionalmente, la Dirección de Inteligencia Policial, ‘DIPOL’ adquirió y desplegó su propio sistema automático de vigilancia masiva de comunicaciones, el Sistema Integrado de Grabaciones (IRS). Establecido en 2005, el IRS monitorea tráfico masivo de comunicaciones a través de líneas E1 y tráfico de teléfonos móviles 3G. Como PUMA, está configurado con el conocimiento de los proveedores de servicios y el monitoreo se realiza sin su conocimiento. Nuestro análisis de la tecnología nos dice que el sistema es capaz de recolectar registros de 100 millones de llamadas por día e interceptar 20 millones de mensajes de texto por día. Esta inmensa cantidad de información almacenada luego es procesada y combinada con otros tipos de datos incluyendo imágenes, video, y detalles biométricos.

Las tecnologías que soportan los sistemas de la DIPOL y la DIJIN automáticamente colectan y almacenan datos de comunicaciones de forma pasiva a través de un conjunto de sondas conectadas a un centro de monitoreo.

Inteligencia Open Source

En 2012, la DIPOL también negoció la potencial compra de una poderosa tecnología de inteligencia open source a Palantir, una compañía estadounidense de análisis de datos, según Privacy International. Esto habría permitido a la DIPOL basarse en sus bases de datos existentes para analizar y procesar inmensas cantidades de datos y comunicaciones. Palantir negó haberse interesado en el contrato, aunque es probable que la DIPOL adquiriera la tecnología de otro proveedor.

Control de la vigilancia, verificaciones e imparcialidades

El regulador para la industria de las telecomunicaciones en Colombia es la Comisión de Regulación de Comunicaciones, ‘CRC’. Su rol, entre otros, es promover la competencia la industria de las telecomunicaciones, promover el uso y despliegue de infraestructura del sector TIC, promover la igualdad en la prestación de servicios TIC, y regular el acceso y uso de todas las redes y el acceso a los mercados de servicios de telecomunicaciones.

Jurisprudencia de vigilancia

No conocemos ninguna jurisprudencia en Colombia. Por favor envíe cualquier sugerencia o información a: research@privacyinternational.org

Ejemplos de vigilancia

Los escándalos de interceptación de comunicaciones (chuzadas) han sido una característica de las políticas de seguridad colombianas desde los noventa. Las autoridades han estado interviniendo líneas telefónicas desde al menos 1971 y la vigilancia ha jugando un rol importante en operaciones militares contra las FARC en los años recientes. En 2011, llamadas telefónicas interceptadas presuntamente fueron cruciales para localizar al líder supremo de las FARC, Alfonso Cano, posteriormente asesinado en un ataque militar. Los militares presuntamente usaron el sistema de interceptación Esperanza para localizar al líder militar de las FARC, Mono Jojoy, también asesinado posteriormente.

Sin embargo, historias de interceptaciones ilegales de comunicaciones privadas permean informes de desapariciones extrajudiciales y asesinatos. Diferentes agencias han estado involucradas en estas interceptaciones ilegales. En un famoso caso, más de 2.000 líneas telefónicas fueron intervenidas ilegalmente de manera conjunta por el ejército y la policía por medio del Grupo de Acción Unificada por la Libertad Personal, ‘GAULA’, en el 2002 de acuerdo con la Fiscalía. El objetivo fue un grupo de representantes de familiares de desaparecidos, ASFADDES, quienes sufrieron la desaparición de al menos dos de sus miembros ese año. En el 2007, once generales de la policía de la DIPOL fueron despedidos luego de revelarse que la agencia había intervenido los teléfonos de influyentes políticos de la oposición, periodistas, abogados y activistas. En el 2014, la revista semanal colombiana Semana denunció que una unidad del ejército de Colombia cuyo nombre clave era Andrómeda estuvo espiando por más de un año al equipo de negociaciones del gobierno en las conversaciones de paz que estaban desarrollando con la guerrilla colombiana FARC.

Sin embargo el escándalo más notorio de interceptaciones involucra al DAS y fue revelado por Semana en febrero de 2009. Grupos especiales de inteligencia estratégica del DAS realizaron vigilancia enfocada a un estimado de 600 figuras públicas incluyendo parlamentarios, periodistas, activistas de derechos humanos, abogados y jueces entre otros. De acuerdo con archivos recuperados durante una investigación de la Fiscalía, el DAS interceptó las llamadas telefónicas, correos electrónicos y listas de contactos nacionales e internacionales, usando esta información para elaborar perfiles sicológicos de los objetivos y realizar vigilancia física de los sujetos y sus familias, incluidos niños.

La vigilancia de comunicaciones fue fundamental para los abusos del DAS. Las líneas telefónicas del periodista Hollman Morris estuvieron bajo vigilancia casi constante. Morris fue luego forzado al exilio en varias ocasiones. Claudia Duque, una abogada y periodista que anteriormente trabajaba con el colectivo de abogados CCAJAR sobrevivió intentos de secuestro y recibió amenazas telefónicas gráficamente violentas; los archivos del DAS sobre ella contenían amplia evidencia de vigilancia física y de comunicaciones. Tal fue la escala de la interceptación ilegal que siete jueces de la Corte Suprema fueron inadmitidos en el juicio de 2011 del anterior jefe del DAS porque la evidencia sugería que incluso ellos habían sido espiados de manera ilegal.

Aunque el DAS había resistido escándalos de abuso previos purgando sus filas públicamente, las revelaciones de Semana fueron la gota que derramó el vaso. En su primer discurso después de que se desatara el escándalo, el entonces presidente Álvaro Uribe anunció que la agencia de inteligencia DAS ya no estaba autorizada para interceptar ninguna conversación telefónica sin autorización de la Policía.

El escandaloso DAS fue desmantelado en octubre de 2011. Varios jefes anteriores del DAS fueron condenados por interceptación ilegal y crímenes asociados. Fernando Tabares, antiguo director del DAS, fue condenado por intervención ilegal de opositores del gobierno en el 2010. María del Pilar Hurtado, quien dirigió el DAS en 2008 es la oficial de más alto rango que ha sido condenada por vigilancia ilegal. En el 2011 una nueva agencia, la Dirección Nacional de Inteligencia, ‘DNI’, fue establecida para dirigir el sector de inteligencia y contrainteligencia dentro de la estructura general del estado.

En diciembre de 2015, La FM acusó a oficiales de la DIPOL de dirigir un importante círculo de prostitución gay. Anteriormente, la editora en jefe de La FM había presentado una queja a la oficina del Fiscal General con evidencia de que la Policía había estado espiándola a ella, a su equipo y a otros periodistas que investigaban irregularidades al interior de la Policía Nacional.

Protección de Datos

Leyes de protección de datos

Los datos financieros en Colombia están protegidos por la Ley 1266 de 2008. Esta ley fue originalmente destinada para ser el marco legal general aplicable a la administración de información personal, de acuerdo con un análisis de Brigard & Urrutia Abogados. Después de ser revisada por la Corte Constitucional (Decisión C-1011 de 2008), su alcance fue reducido para ser aplicada únicamente a información de servicios financieros, de crédito y comerciales (y a información de la mismas características proveniente del extranjero) destinada a evaluaciones de riesgo financiero y riesgo crediticio (“Datos Personales Financieros”).

Por lo tanto, en el 2012 el Congreso Colombiano promulgó la Ley 1581 de 2012 como el marco legal general aplicable al manejo de información personal. Esta ley fue revisada por la Corte Constitucional en la decisión C-748 de 2011, y regulada por el Decreto 1377 de 2013. El proyecto de ley 106 de 2015 buscaba ampliar el alcance de la Ley 1581 de 2012, con el fin de cubrir la recolección y el procesamiento internacional de datos personales. Sin embargo, el 16 de junio de 2016, el proyecto fue retirado por su proponente.

Mecanismos de responsabilidad

La Ley 1581 de 2012 es el marco legal general aplicable al manejo de datos personales. Básicamente, está destinada a proteger el derecho de los individuos a conocer, actualizar y rectificar información recolectada sobre ellos en bases de datos o archivos. En Colombia este derecho es conocido como habeas data. Además, los datos financieros están protegidos por la Ley 1266 de 2008. Esta ley es aplicable a información de servicios financieros, de crédito y comerciales (y a información de la mismas características proveniente del extranjero) destinada a evaluaciones de riesgo financiero y riesgo crediticio (“Datos Personales Financieros”).

Colombia tiene dos leyes reglamentarias que regulan el acceso a la información pública. Está la Ley 1712 de 2014, la cual busca regular el derecho constitucional de acceder a información pública, así como el procedimiento por el cual ciudadanos ordinarios pueden obtener información del gobierno, y las excepciones que el gobierno puede citar para negarse a publicar información. Esta ley incluye una figura llamada “solicitud de acceso a información pública”, una solicitud que cualquier persona puede archivar de forma oral o escrita, incluyendo medios electrónicos, para tener acceso a información pública.

Por otro lado, el Congreso Colombiano también promulgó la Ley 1755 de 2015, la cual busca regular el derecho de petición constitucional. Esta ley incluye una garantía procesal llamada “derecho de petición”, por la cual, por razones de interés general o particular, cualquier persona puede archivar ante las autoridades una petición respetuosa con el fin de obtener una respuesta pronta, completa y sustantiva.

Las entidades públicas, así como el resto de sujetos obligados por la Ley 1712 de 2014 deben revelar cualquier información solicitada bajo las dos figuras anteriores, a menos que esta información esté entre las excepciones que protegen intereses como privacidad personal y seguridad nacional. Específicamente, la Ley 1712 de 2014 autoriza o deniega información cuando su acceso puede causar daño a (i) el derecho de toda persona a la intimidad, bajo las limitaciones propias que impone la condición de servidor público, en concordancia con lo estipulado por el artículo 24 de la Ley 1437 de 2011 , (ii) el derecho de toda persona a la vida, la salud o la seguridad, (iii) los secretos comerciales, industriales y profesionales, así como los estipulados en el parágrafo del artículo 77 de la Ley 1474 de 2011. Además, las autoridades también pueden denegar el acceso con el fin de proteger (i) la defensa y seguridad nacional; (ii) La seguridad pública; (iii) las relaciones internacionales; (iv) la prevención, investigación y persecución de los delitos y las faltas disciplinarias, mientras que no se haga efectiva la medida de aseguramiento o se formule pliego de cargos, según el caso; (v) el debido proceso y la igualdad de las partes en los procesos judiciales; (vi) la administración efectiva de la justicia; (vii) los derechos de la infancia y la adolescencia; (viii) la estabilidad macroeconómica y financiera del país; (ix) la salud pública.

Además, de acuerdo con la Ley 1755 de 2015, el gobierno puede denegar el acceso a “las informaciones y documentos expresamente sometidos a reserva por la Constitución Política o la ley, y en especial: (i) Los relacionados con la defensa o seguridad nacionales; (ii) las instrucciones en materia diplomática o sobre negociaciones reservadas; (iii) los que involucren derechos a la privacidad e intimidad de las personas, incluidas en las hojas de vida, la historia laboral y los expedientes pensionales y demás registros de personal que obren en los archivos de las instituciones públicas o privadas, así como la historia clínica; (iv) los relativos a las condiciones financieras de las operaciones de crédito público y tesorería que realice la nación, así como a los estudios técnicos de valoración de los activos de la nación. Estos documentos e informaciones estarán sometidos a reserva por un término de seis (6) meses contados a partir de la realización de la respectiva operación; (v) los datos referentes a la información financiera y comercial, en los términos de la Ley Estatutaria 1266 de 2008; (vi) los protegidos por el secreto comercial o industrial, así como los planes estratégicos de las empresas públicas de servicios públicos; (vii) los amparados por el secreto profesional; (viii) los datos genéticos humanos.

Filtraciones: jurisprudencia

Desde 1991, la Corte Constitucional Colombiana ha emitido numerosas decisiones relacionadas con protección de datos. Inicialmente, las decisiones judiciales abordaron casos relacionados con datos financieros personales recolectados por agencias de créditos. Entre estos casos, la resolución T-414 de 1992 inicialmente abordó la protección de datos financieros como una nueva dimensión social de la libertad individual, distinta de otras manifestaciones clásicas de libertad, llamada “libertad informática”. Después, la resolución T-022 de 1993 consideró la recolección y circulación de datos financieros personales como un problema de privacidad. Finalmente, desde 1995 el habeas data ha sido entendido como un derecho autónomo, claramente diferenciado del derecho a la privacidad, y su centro inicialmente estaba compuesto del derecho a la autodeterminación del procesamiento de información, y el derecho a la libertad, en general, y la libertad económica, en particular.

En los años recientes, las sentencias de la corte han abordado otros temas, como el procesamiento de información personal en redes sociales. Por ejemplo, la sentencia T-260 de 2012 decidió el caso de un padre quien había creado una cuenta de Facebook para su hija de 4 años. En este caso la Corte declaró que el principio de libertad en el manejo de información personal había sido quebrantado. Luego, dado que la niña no era consciente de la creación de la cuenta en Facebook, la Corte consideró que su derecho a la protección de datos había sido violado, y ordenó a su padre a borrar la cuenta. Después, la Corte revisó el caso de un acreedor quien decidió denunciar públicamente a su deudor moroso en Facebook. En la resolución T-050 de 2016 la Corte decidió que el mensaje publicado en Facebook violó el derecho a la privacidad del deudor moroso no solo porque expuso parte de sus datos personales, sino también porque el deudor no autorizó que tal información fuera revelada. Aunque el derecho que finalmente fue protegido en esta resolución fue el derecho a la privacidad, el razonamiento de la Corte tomó en cuenta particularmente el derecho a la protección de datos del deudor involucrado.

La posición de la Corte no ha sido tan clara en cuanto a información personal difundida por medios masivos. En las resoluciones que han sido recientemente adoptadas sobre datos personales publicados en los medios; la Corte ha abordado el problema como un conflicto entre el derecho a la libertad de expresión y acceso a la información, por un lado, y el derecho al honor y el buen nombre de una persona involucrada, por el otro. Luego, no ha mencionado el derecho al habeas data, o incluso declarado que el derecho al habeas data no es aplicable al caso, ya que la discusión se enfoca en información periodística difundida por los medios en ejercicio de la libertad de expresión, y no información recolectada en bases de datos (T-040 de 2013).

En relación al trabajo de la autoridad de protección de datos, en Colombia, la Fiscalía General de la Nación es la autoridad nacional a cargo de controlar la correcta administración de bases de datos públicas. Cuando se trata de bases de datos privadas, la Superintendencia de Industria y Comercio, ‘SIC’ es la autoridad colombiana de protección de datos. En relación a la última, hay dos pronunciamientos que vale la pena mencionar. El 24 de noviembre de 2014, la SIC publicó un concepto legal declarando que el procesamiento de datos personales en redes sociales no está dentro del alcance de la Ley 1581 de 2012 (el marco legal general aplicable al manejo de datos personales), ya que en estos casos la recogida, el uso, la circulación, el almacenamiento o eliminación de datos personales no se hace dentro del territorio Colombiano (ya que la redes sociales están domiciliadas en el extranjero). Sin embargo, el 3 de marzo de 2016, la SIC revisó su posición, argumentando que el procesamiento de datos personales se lleva a cabo en el territorio colombiano son solo cuando el recolector de los datos está domiciliado en Colombia, sino también cuando, con el fin de realizar la recolección, tratamiento, circulación o almacenamiento de datos personales, use medios que localizados en el territorio colombiano.

Ejemplos de filtraciones de datos

El 26 de enero de 2016, el periodista Daniel Coronell escribió una página de opinión en la revista digital Semana.com en la cual publicó unos fotos íntimas del Defensor del Pueblo colombiano, las cuales probarían un supuesto caso de acoso sexual cometido por él contra su asistente. Este escándalo, que se convirtió en cuestiones del derecho a la privacidad de los servidores públicos, resultó en la renuncia del Defensor del Pueblo.

El 16 de febrero de 2016, la periodista Vicky Dávila, directora de la estación de radio “La Fm”, divulgó una grabación en la que un vice-ministro colombiano aparece sosteniendo una conversación de naturaleza sexual con un oficial de Policía. De acuerdo con la periodista, quien alegó haber sido intervenida por la Policía, esta grabación es parte de los registros que evidenciarán la relación del vice-ministro con una red de prostitución que está operando dentro de la Policía. Este escándalo finalizó con la renuncia del vice-ministro y el despido de la periodista.

El 3 de abril de 2016, 11,5 millones de documentos de la firma legal panameña Mossack Fonseca & Co., los cuales detallan información financiera de más de 214.488 entidades extranjeras, fueron filtrados, exponiendo cientos de personas que han usado a Panamá como un paraíso fiscal para evadir impuestos en sus propios países. Este escándalo, comúnmente conocido como “Panama Papers”, involucró a más de 850 colombianos. Por lo tanto, con base en esta información la autoridad colombiana de impuestos (DIAN) espera abrir al menos 500 procesos formales para descartar o confirmar prácticas de evasión de impuestos.

Esquemas de Identificación

Documentos de identificación y bases de datos

El registro de la población de Colombia es administrado por la Registraduría Nacional del Estado Civil, establecida en 1938. El registro se compone de tres secciones principales: nacimiento, casamiento y fallecimiento. El registro de nacimiento, además de información general de identificación, como el nombre, la fecha de nacimiento, los nombres e identificaciones de los padres, sus oficios y el doctor a cargo de los procedimientos médicos al nacer, por ejemplo, registra las huellas de los pies del recién nacido. Estas huellas, junto con la recolección de todas las diez huellas dactilares después para la tarjeta de identidad son la única información biométrica almacenada. El registro es la prueba más importante de la información que contiene y en consecuencia será exigido por cualquier agencia estatal. La información de registro alimenta el Archivo Nacional de Identificación y la Base de datos del Registro Civil. Aunque el registro es público, la legislación impone restricciones a la emisión de copias o certificados de este para proteger los derechos de privacidad. Sin embargo, el Archivo Nacional de Identificación puede ser consultado por partes públicas y privadas según acuerdo con la Registraduría del Estado Civil.

Desde 1970, a cada recién nacido en Colombia se le ha asignado un número único de identificación. Hasta el 2000, ese número estaba compuesto de dos partes: la primera era la fecha de nacimiento (por ejemplo, 840701 para una persona nacida el primero de julio de 1984) y la segunda parte era un número de 5 dígitos que diferencia a todas las personas nacidas el mismo día y permite identificación de género. Desde el 2000, el identificador es un número de 10 dígitos. Muchos de estos números son asignados a cada oficina de registro las cuales luego los asignan a cualquiera que se registre allí al nacer o cuando la persona solicite un documento de identidad.

La mayoría de edad en Colombia se alcanza a los 18 años lo cual significa que una persona tiene capacidad legal completa y puede votar en elecciones públicas. El medio para validar esta condición es la cédula de ciudadanía.

Registro electoral

Con el fin de asegurar la cantidad y los números de los documentos de identidad habilitados para usarse en votaciones, la Registraduría Nacional del Estado Civil toma el último censo electoral y le agrega los documentos de identidad de las personas con la mayoría edad legal que no aparecen en el censo y las personas quienes han adquirido la nacionalidad colombiana. La Registraduría también retira los documentos de identidad de los fallecidos, de personas que son miembros activos de las Fuerzas Militares, y de otras personas quienes están inhabilitadas para ejercer su derecho al voto según una resolución judicial confirmada y otros documentos de identidad irregulares.

El censo sólo contiene el número del documento de identidad.

Registro de tarjeta SIM

El registro de tarjeta SIM no es obligatorio actualmente pero hay un sistema de registro IMEI.

Desde el 2011 el gobierno colombiano ha estado desarrollando un sistema de registro de celulares que busca evitar y disuadir el robo de estos. El sistema tiene dos partes principales:

• Bases de datos IMEI
• Esquema de verificación

Bases de datos IMEI

Existen dos tipos de bases de datos: positiva y negativa. La base de datos positiva contiene los IMEI permitidos para funcionar en las redes móviles colombianas. Además del registro de dispositivos importados, esta base de datos conecta el IMEI con la identidad del usuario. De ahí que se les solicite a los usuarios suministrar a los operadores de telecomunicaciones información personal como:

• Nombre completo
• Número y tipo de documento de identidad
• Dirección
• Número telefónico de contacto

Los operadores de telecomunicaciones deben verificar esta información en cualquiera de las siguientes fuentes o bases de datos:

• Archivo Nacional de Identificación
• Registro del Estado Civil
• Historia de crédito y bases de datos de Riesgo
• Datos recolectados por el operador

Únicamente un número de identificación puede estar asociado a un IMEI específico, incluso en los casos de cuentas corporativas.

La base de datos negativa contiene los IMEI que no están autorizados para funcionar en las redes colombianas porque:

• fue reportado como robado o perdido
• el IMEI fue reconocido como irregular: sin formato, sin certificado de proceso de homologación o duplicado
• el IMEI no fue registrado en la base de datos positiva

La Policía y las autoridades judiciales pueden acceder a las bases de datos que contienen esta información así como las autoridades administrativas como el Ministerio de las TICs y el regulador de telecomunicaciones. Ellos no están obligados a expresar los motivos del acceso a esta información y no hay supervisión de ningún tipo sobre el acceso.

Cada operador debe tener sus propias bases de datos positiva y negativa. Llamadas “base de datos operativas”. Todos los operadores deben escoger un tercero para administrar las “bases de datos administrativas”, las cuales contienen la información de todas las bases de datos operativas y las sincroniza con el fin de evitar que un IMEI reportado en un operador funcione en las redes de otros operadores. Actualmente el operador de la base de datos administrativa es Informática El Corte Inglés, la cual hace parte de la gigante corporación española El Corte Inglés.

Estas bases de datos también son alimentadas con los IMEI reportados desde la base de datos IMEI GSMA y otras bases de datos nacionales sobre las que los operadores tienen acuerdos.

Sistema de verificación

Como el IMEI puede ser reprogramado, las bases de datos positiva y negativa no son medida suficiente por parte del regulador y el gobierno para prevenir el robo de celulares. Con el fin de depurar las bases de datos y básicamente garantizar que cada IMEI legítimo esté registrado en la base de datos positiva (lo cual implica la identificación del usuario), se implementó un sistema de verificación.

El sistema de verificación requiere que todos los operadores lleven un registro de cada IMEI que generó actividad en sus redes. Esto se obtiene por medio del análisis del Registro de detalles de llamadas de voz y datos (Call Detail Record, ‘CDR’), que son los metadatos de las comunicaciones. El sistema se desarrollo en tres pasos:

• análisis intra-red: cada operador analiza su CDR.
• análisis inter-red: cada operador envía su CDR a un tercero escogido por los operadores, el cual los analiza para encontrar duplicados en todas las redes.
• medidas de control: para cada tipo de IMEI irregular (sin formato, no homologado, duplicado) el operador toma medidas definidas por el regulador.

En la actualidad, el regulador exige análisis de CDR de voz. El análisis de CDR de datos será parte del sistema después de febrero de 2017.

Específicamente, la siguiente información -metadatos- debe ser analizada por el operador:

• IMSI, el cual comprende:
  • MCC (código del país)
  • MNC (código de la red móvil)
  • MSIN (identificación de la estación móvil)
• IMEI
• Fecha y hora de inicio del evento
• Tipo de evento: llamada de voz o sesión de datos
• MSC – Marca de clase de la estación móvil: en caso de que el operador deba revisar la coherencia de la información suiministrada por el dispositivo.

Para calmar las voces que señalaban una potencial violación masiva a la privacidad, el regulador dijo que el número MSISDN no era requerido, por lo tanto el número de la línea no es parte de este análisis. Sin embargo, se debe notar que la base de datos positiva contiene una asociación de IMEI, identidad real del usuario y número telefónico.

Para la fase ‘inter-red’ del análisis los operadores deben suministrar al tercero las coordenadas geográficas de todas sus estaciones. Esta información debe ser actualizada.

Además de la información CDR listada anteriormente, los operadores deben suministrar los campos Identificador de Celda y el código de área de ubicación los cuales pueden contener: ‘ubicación’, ‘extensión de ubicación’, ‘ubicación estimada’, LAC, ‘información de ubicación del usuario’, o ‘identificador de celda’.

Para la fase de control, todos los IMEI irregulares deben ser bloqueados. Se debe tener en cuenta que para el caso de duplicados, el usuario debe probar la legitimidad del dispositivo, la cual será determinada usando la información del CDR (los metadatos registrados por el operador deben coincidir con las características y capacidades del equipo). Cuando el dueño legítimo de un dispositivo con un IMEI duplicado es encontrado, el operador debe registrar el par IMEI-IMSI con el fin de permitir que únicamente ese par funcione en sus redes.

Preocupaciones

El sistema no fue establecido por una Ley del Congreso, sino que fue montado por la Comisión de Regulación de Comunicaciones. Las bases de datos positiva y negativa fueron descritas por el Artículo 106 de la Ley 1453 (2011). El Decreto 1630 (2011) desarrolló ese artículo y especificó que todo IMEI debe estar asociado a una identificación. La Resolución 3128 (2011) del regulador de telecomunicaciones define el sistema en mayor detalle. Además, el sistema de verificación no estaba presente en ninguno de esos documentos legales y en cambio fue establecido por el regulador por medio de la Resolución 4813 (2015).

Los servicios de inteligencia pueden acceder a la información generada por los operadores, especialmente los CDRs, lo cual le da sentido a la oscura provisión de la Ley de Inteligencia (Ley 1621/2013) que obliga a los operadores a entregar el “historial de comunicaciones” de sus clientes (Artículo 44). Los organismos de inteligencia carecen de un control apropiado y el único mecanismo de supervisión, el cual está a cargo del Congreso, está actualmente inoperativo.

Aunque la asociación de datos personales con el IMEI es en sí misma problemática, el artículo 9 de la Resolución 3128 (2011) brinda libertad total a autoridades de casi cualquier tipo para acceder a esta información. Específicamente, estipula que autoridades administrativas “tales como” el Ministerio de TICs (y otros) “así como” autoridades policiales y judiciales pueden consultar la información actualizada de las bases de datos positiva y negativa “entrada por entrada”. No hay mecanismo de control, estas autoridades no deben declarar motivos para acceder a las bases de datos, ni hay un registro de tales consultas.

En cuanto el sistema de verificación, la principal preocupación es que el regulador y el gobierno, al montar este sistema, pasaron por alto la protección de las comunicaciones ordenada por los Artículos 15 y 235 de la Constitución – orden judicial en el contexto de una investigación criminal. Cuando surgieron estas preocupaciones durante el proceso regulatorio, el regulador afirmó que el sistema está considerado en cumplimiento con la Ley de Protección de Datos y por lo tanto, argumentan, no hay afectación de protecciones constitucionales a la privacidad de ningún tipo.

El sistema completo, bases de datos y verificación, está en manos de terceras partes no escogidas por el regulador o el gobierno. La selección del administrador de toda esta información y procesos está sistemáticamente dejada a cargo de los operadores, los cuales la realizan por medio de acuerdos privados. Eso entorpece y diluye la determinación de responsabilidades en cualquier caso de abuso del sistema.

Existen varios escenarios en los que el sistema puede entrar en juego, profundizando los riesgos a la privacidad. La búsqueda de calle policial usual (y a veces arbitraria) incluye verificar los IMEI de los celulares. Esta búsqueda supuestamente busca encontrar dispositivos reportados pero el sistema tiene la capacidad de identificar al usuario, su número celular y dirección en la base de datos. Además, las bases constitucionales sobre las que está soportada la búsqueda son en el mejor de los casos dudosas. Otros escenarios pueden incluir el uso de colectores IMSI para extraer información y la solicitud de información de la torre de telefonía celular que puede ser correlacionada con el registro telefónico.

En pocas palabras, todo celular en Colombia (52 millones según las estimaciones más precisas) debe estar asociado con un individuo, cuya identidad debe ser verificada. A primera vista, cualquier autoridad puede acceder a esta base de datos y no está obligada a dar razones para hacerlo ni está sujeta a algún control en este acceso. Además, el sistema obliga a los operadores a generar información sobre las comunicaciones móviles de los colombianos que puede ser posteriormente requerida por autoridades para analizar patrones, la cual incluye información de geolocalización. Un sistema para prevenir el robo de celulares como el descrito anteriormente e implementado por el gobierno colombiano es ilegal en el sentido que no fue establecido por una ley formal como es requerido para tal compromiso masivo de la privacidad, desproporcionado e innecesario para sus propósitos declarados.

Políticas e Iniciativas Sectoriales

Política de ciberseguridad

Desde el 2011, el gobierno colombiano ha venido desarrollando una política de ciberseguridad con la ayuda del Comité Interamericano contra el Terrorismo de la OEA. Hasta el 2014 Colombia ha aprobado, promulgado o promovido:

• Estándar ISO-270001 para sistemas de gestión de la seguridad de la información
• Ley 1273 de 2009 para incluir cibercrímenes en el Código Penal
• Ley 1581 de 2012 y Decreto 1377 de 2013 sobre protección de datos
• La autoridad de protección de datos al interior de la Superintendencia de Industria y Comercio
• La Estrategia Gobierno en Línea liderada por el Ministro de las TICs la cual establece algunos requerimientos de seguridad

De manera más importante, el CONPES 3701 de 2011 recomendó y aseguró recursos financieros para crear cuatro instituciones las cuales forma la estructura básica de la ciberseguridad en Colombia:

• Comisión intersectorial, personificada en la Comisión Nacional Digital y de Información Estatal creada en enero de 2013;
• el Grupo de Respuesta a Emergencias Cibernéticas (colCERT), creado en junio de 2013;
• el Comando Conjunto Cibernético de las Fuerzas Militares, creado en octubre de 2012; y
• el Centro Cibernético Policial

A pesar de los grandes escándalos de interceptaciones ilegales (ver Ejemplos de Vigilancia), la política de ciberseguridad fue renovada en el 2016 sin abordar las fallas que permitieron el abuso de las capacidades de seguridad y vigilancia.

Aunque la nueva estrategia (CONPES 3854), fuertemente influenciada por el OECD, cambió parte de su nombre de “ciber seguridad” a “seguridad digital” e incluyó la protección de los derechos humanos como uno de sus pilares, todavía contiene un llamado a incrementar las capacidades de inteligencia y las agencias policiales sin un correspondiente llamado a incrementar las labores de control y transparencia. Los efectos de la nueva estrategia aún no se han evaluado ya que será implementada en los próximos cuatro años.

Cibercrimen

La Ley 1273 de 2009 creó nuevas categorías de ofensas relacionadas con el cibercrimen y la protección de datos. Estas incluyen acceso abusivo a un sistema informático (modificando el Código Penal); obstaculización ilegítima de sistema informático o red de telecomunicación; interceptación de datos informáticos; daño informático; uso de software malicioso; violación de datos personales; suplantación de sitios web para capturar datos personales y transferencia no consentida de activos.

La ley también extiende la protección a sistemas que usan tecnologías de la información y las comunicaciones. La Ley 1273 de 2009 concretamente creó nuevas ofensas criminales relacionadas con crímenes informáticos y la protección de datos e información, con penas de prisión de hasta 120 meses y multas de hasta 1.500 salarios mínimos legales mensuales vigentes.

En el 2011, agencias colombianas – incluyendo el Ministerio del Interior y de Justicia, el Ministerio de Relaciones Exteriores, el Ministerio de Defensa Nacional, el Ministerio de Tecnologías de la Información y las Comunicaciones, el Departamento Administrativo de Seguridad, el Departamento Nacional de Planeación y la Fiscalía General– emitieron los lineamientos de política para ciberseguridad y ciberdefensa. El objetivo general de la política era “fortalecer las capacidades del Estado para enfrentar las amenazas que atentan contra su seguridad y defensa en el ámbito cibernético (ciberseguridad y ciberdefensa), creando el ambiente y las condiciones necesarias para brindar protección en el ciberespacio.” Propuso un nuevo modelo colaborativo de coordinación supervisado por una Comisión Intersectorial con el Grupo de Respuesta a Emergencias Cibernéticas (colCERT) coordinando la ciberseguridad y la ciberdefensa a nivel nacional.

A finales de 2014, la policía colombiana reveló un reporte indicando que los niveles de cibercrimen habían incrementado significativamente.

Cifrado

En Colombia, la discusión sobre la legitimidad de usar comunicaciones cifradas debe empezar desde el hecho de que ya hay legislación en la materia. Inicialmente, la Ley 104 de 1993 prohibió enviar “mensajes cifrados o en lenguaje incomprensible” en “todos los dispositivos de comunicaciones que usen el espectro electromagnético”. En la sentencia C-586 de 1995 la Corte Constitucional Colombiana revisó esta ley y la encontró compatible con la Constitución. Cuatro años después el texto de esta ley fue revivido en el Artículo 102 de la Ley 418 de 1997, el cual regula el uso del espectro electromagnético. De ahí en adelante, la disposición ha sido continuamente renovada, con la Ley 1738 de 2014 extendiendo su validez hasta 2018.

Por lo tanto, según estas múltiples leyes, enviar mensajes cifrados o en lenguaje incomprensible está prohibido en todos los dispositivos de comunicaciones que usen el espectro electromagnético. Sin embargo, no es claro si estas leyes también cubren comunicaciones cifradas en internet. Además, esta prohibición total tiene un excepción. La Ley 1621 de 2013, por medio de la cual se regulan las actividades de inteligencia, estipula que los proveedores de servicios de telecomunicaciones deben ofrecer servicios de llamadas cifradas al alto gobierno y a oficiales de inteligencia.

Licencias de la industria

En el 2014, nueve operadores ofrecieron servicios móviles en Colombia: Comcel, Movistar, Tigo, Uff Móvil, Une EPM, Avantel, ETB, Virgin Mobile, y Éxito. De estos, Comcel registró el 56,6% del total de abonados, seguido por Movistar con 23,97% y Tigo con 15,42%.

Los principales proveedores de internet en Colmbia son Telecom/Telefónica, ETB, EPM, Coldecon, y Telmex Colombia S.A.

Gobierno electrónico/agenda digital

De acuerdo con el gobierno colombiano, Colombia es líder en materia de gobierno electrónico en América Latina y el sexto país en el mundo en participación electrónica. En el 2010 ninguna autoridad local tenía un nivel alto en estándares de gobierno electrónico. Sin embargo, en 2014 52% de las autoridades locales y nacionales en el país registraron un nivel alto en las métricas del programa Gobierno en Línea.

El Programa Gobierno en Línea es la estrategia colombiana de gobierno electrónico, destinada a construir un estado más eficiente, transparente y participativo por medio de las TICs. La estrategia se enfoca en los siguientes 4 temas específicos: (i) TIC para el Gobierno Abierto: Busca construir un Estado más transparente y colaborativo, donde los ciudadanos participan activamente en la toma de decisiones gracias a las TIC; (ii) TIC para servicios: Busca crear los mejores trámites y servicios en línea para responder a las necesidades más apremiantes de los ciudadanos; (iv) TIC para la gestión: Busca darle un uso estratégico a la tecnología para hacer más eficaz la gestión administrativa; y (iv) Seguridad y privacidad de la información: Busca guardar los datos de los ciudadanos como un tesoro, garantizando la seguridad de la información.

Uno de los proyectos que ha sido desarrollado dentro de esta estrategia es el sitio web Datos Abiertos administrado por el Ministerio colombiano de las Tecnologías de la Información y las Comunicaciones. La principal función del sitio web es publicar, de una manera unificada y en un formato abierto, todos los datos generados por entidades públicas en Colombia. De acuerdo con los términos de uso del sitio web, los datos disponibles pueden ser libremente usados por cualquiera que desee desarrollar aplicaciones o servicios de valor agregado, realizar análisis e investigación, ejercer tareas de control o emprender cualquier otra actividad comercial o no comercial. El usuario no necesita registrarse para consultar las bases de datos o descargarlas. Sin embargo, un identificador único llamado ID SOCRATA (compuesto de una dirección de correo electrónico, un nombre de usuario y una contraseña) es solicitado una vez el usuario decide guardar una base de datos consultada o los filtros aplicados a ella. Así mismo, si el usuario quiere comentar una base de datos o sugerir la creación de una nueva base de datos que aún no está disponible en la plataforma, debe ingresar previamente su ID SOCRATA.

Otro proyecto desarrollado como parte del Programa Gobierno en Línea es la Urna de Cristal, una iniciativa destinada a promover la participación ciudadana y la transparencia del gobierno. Esta iniciativa fue lanzada en el 2010 y está compuesta de una plataforma multicanal que integra canales de comunicación tradicionales (como radio y televisión) con canales digitales (como redes sociales, SMS y un sitio web). De acuerdo con el gobierno, a través de estos canales lo colombianos pueden conocer los desarrollos y resultados de iniciativas gubernamentales, plantear preguntas y solicitudes a las autoridades e involucrarse directamente con asuntos públicos. El usuario no necesita estar registrado para acceder a la información que está disponible en el sitio web. Sin embargo, si la persona quiere hacer una pregunta a una entidad pública, debe iniciar sesión con su cuenta de twitter o facebook, o registrarse directamente en el sitio web (ingresando una dirección de correo electrónico y un nombre de usuario).

Adicionalmente, existe otro proyecto llamado Sí Virtual, un sitio web destinado a alojar procedimientos y servicios en línea integrados, con una interfaz unificada para mejorar la experiencia de usuario cuando se realizan transacciones. Actualmente, el sitio web incluye 83 servicios en línea integrados y un motor de búsqueda inteligente que ayuda al usuario a encontrar los procedimientos para situaciones cotidianas. Además, el sitio web ofrece un mapa de servicios, que ayuda al usuario con la localización de entidades públicas, así como con las mejores rutas para llegar a ellas.

Los estándares colombianos de protección de datos recopilados en la Ley 1266 de 2008 y la Ley 1581 de 2012 son aplicables a bases de datos privadas y públicas. Por lo tanto, cualquier base de datos creada o alojada en cualquiera de las plataformas anteriormente mencionadas debe cumplir con esos estándares.

Sector salud y e-Salud

No tenemos conocimiento de ningún asunto de privacidad relacionado con el sector salud y e-Salud en Colombia. Por favor envíe cualquier recomendación o información a: research@privacyinternational.org

Vigilancia inteligente

Décadas de inseguridad y conflicto armado en Colombia han dado lugar a una creciente industria de tecnología de vigilancia, particularmente para circuitos cerrados de televisión, video vigilancia y tecnologías biométricas.

Transporte

No tenemos conocimiento de ningún asunto de privacidad relacionado con el transporte en Colombia. Por favor envíe cualquier recomendación o información a:

Ciudades inteligentes

No tenemos conocimiento de ningún asunto de privacidad relacionado con ciudades inteligentes en Colombia. Por favor envíe cualquier recomendación o información a: research@privacyinternational.org

Migración

No tenemos conocimiento de ningún asunto de privacidad relacionado con migración en Colombia. Por favor envíe cualquier recomendación o información a: research@privacyinternational.org

Respuesta a emergencias

No tenemos conocimiento de ningún asunto de privacidad relacionado con respuesta a emergencias en Colombia. Por favor envíe cualquier recomendación o información a: research@privacyinternational.org

Programas humanitarios y de desarrollo

No tenemos conocimiento de ningún asunto de privacidad relacionado con programas humanitarios y de desarrollo en Colombia. Por favor envíe cualquier recomendación o información a: research@privacyinternational.org

Redes sociales

No tenemos conocimiento de ningún asunto de privacidad relacionado con redes sociales en Colombia. Por favor envíe cualquier recomendación o información a: research@privacyinternational.org

Fuente: machete.com.co