Demanda de Inconstitucionalidad en contra de los artículos 237 y 245 del Código de Procedimiento Penal Colombiano
Upcoming SlideShare
Loading in...5
×
 

Demanda de Inconstitucionalidad en contra de los artículos 237 y 245 del Código de Procedimiento Penal Colombiano

on

  • 13,044 views

El documento se refiere a mi demanda de inconstitucionalidad que instauré ante la Corte Constitucional de Colombia, en contra de los artículos 237 y 245 del Código de Procedimiento Penal, por ...

El documento se refiere a mi demanda de inconstitucionalidad que instauré ante la Corte Constitucional de Colombia, en contra de los artículos 237 y 245 del Código de Procedimiento Penal, por violación del Derecho Humano de la Intimidad y el Derecho Fundamental de Hábeas Data.

Statistics

Views

Total Views
13,044
Views on SlideShare
13,036
Embed Views
8

Actions

Likes
0
Downloads
127
Comments
0

2 Embeds 8

http://www.linkedin.com 5
http://www.lmodules.com 3

Accessibility

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Demanda de Inconstitucionalidad en contra de los artículos 237 y 245 del Código de Procedimiento Penal Colombiano Demanda de Inconstitucionalidad en contra de los artículos 237 y 245 del Código de Procedimiento Penal Colombiano Document Transcript

  • Ibagué Tolima Colombia, Septiembre 22 de 2009 Ref.: ACCIÓN DE INCONSTITUCIONALIDAD VS. ART. 237 y 245 DEL CÓDIGO DE PROCEDIMIENTO PENAL SEÑORES MAGISTRADOS SALA DE DECISIÓN HONORABLE CORTE CONSTITUCIONAL E. S. D. Respetados Magistrados: ALEXANDER DÍAZ GARCÍA, ciudadano colombiano, identificado con la cédula de ciudadanía número 19.354.360, de Bogotá, con domicilio en la Carrera 6 C No. 1 A 114 de la ciudad de Ibagué, en uso de mis derechos y deberes ciudadanos consagrados en los artículos 40 numeral 6º y 95 numeral 7º de la Constitución, solicitó ante esta Corporación la declaratoria de inconstitucionalidad parcial de los artículos 237 y 245 de la Ley 906 de 2004 “Por medio de la cual se expide el Código de Procedimiento Penal”., en los términos del numeral 4 del artículo 241 de la Constitución Política. NORMA ACUSADA Las disposiciones objeto de censura, conforme a su publicación en el Diario Oficial No. 45.658 de 1 de septiembre de 2004 y a la modificación introducida por el artículo 16 de la Ley 1142 de 2007, publicada en el Diario Oficial No.
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO 46.673 de 28 de julio de 2007, subrayando y destacando los apartes que se acusan en la demanda, son: "LEY 906 DE 2004 (Agosto 31) "por la cual se expide el Código de Procedimiento Penal" El Congreso de la República DECRETA (….) Artículo 237. Audiencia de control de legalidad posterior. (Subrogado art. 16 de la Ley 1142 de 2007). Dentro de las veinticuatro (24) horas siguientes al cumplimiento de las órdenes de registro y allanamiento, retención de correspondencia, interceptación de comunicaciones o recuperación de información dejada al navegar por Internet u otros medios similares, el fiscal comparecerá ante el juez de control de garantías, para que realice la audiencia de revisión de legalidad sobre lo actuado, incluida la orden. Durante el trámite de la audiencia sólo podrán asistir, además del fiscal, los funcionarios de la policía judicial y los testigos o peritos que prestaron declaraciones juradas con el fin de obtener la orden respectiva, o que intervinieron en la diligencia. El juez podrá, si lo estima conveniente, interrogar directamente a los comparecientes y, después de escuchar los argumentos del fiscal, decidirá de plano sobre la validez del procedimiento. PARÁGRAFO. Si el cumplimiento de la orden ocurrió luego de formulada la imputación, se deberá citar a la audiencia de control de legalidad al imputado y a su defensor para que, si lo desean, puedan realizar el contradictorio. En este último evento, se aplicarán analógicamente, de acuerdo con la naturaleza del acto, las reglas previstas para la audiencia preliminar. (…) ARTÍCULO 245. Exámenes de ADN que involucren al indiciado o al imputado. Cuando la policía judicial requiera la realización de exámenes de ADN, en virtud de la presencia de fluidos corporales, cabellos, vello público, semen, sangre u otro vestigio que permita determinar datos como la raza, el tipo de sangre y, en especial, la huella dactilar genética, se requerirá orden expresa del fiscal que dirige la investigación. Si se requiere cotejo de los exámenes de ADN con la información genética del indiciado o imputado, mediante el acceso a bancos de esperma y de sangre, muestras de laboratorios clínicos, consultorios médicos u Alexander Díaz García Página 2
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO odontológicos, entre otros, deberá adelantarse la revisión de legalidad, ante el juez de control de garantías, dentro de las treinta y seis (36) horas siguientes a la terminación del examen respectivo, con el fin de establecer su legalidad formal y material." NORMAS VIOLADAS Constitución Política: “Artículo 15. Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. … Articulo 21. Se garantiza el derecho a la honra. La ley señalará la forma de su protección. … Artículo 29. El debido proceso se aplicará a toda clase de actuaciones judiciales y administrativas. … ART. 250.−Modificado. A.L. 3/2002, art. 2º. La Fiscalía General de la Nación está obligada a adelantar el ejercicio de la acción penal y realizar la investigación de los hechos que revistan las características de un delito que lleguen a su conocimiento por medio de denuncia, petición especial, querella o de oficio, siempre y cuando medien suficientes motivos y circunstancias fácticas que indiquen la posible existencia del mismo. No podrá, en consecuencia, suspender, interrumpir, ni renunciar a la persecución penal, salvo en los casos que establezca la ley para la aplicación del principio de oportunidad regulado dentro del marco de la política criminal del Estado, el cual estará sometido al control de legalidad por parte del juez que ejerza las funciones de control de garantías. Se exceptúan los delitos cometidos por miembros de la fuerza pública en servicio activo y en relación con el mismo servicio. En ejercicio de sus funciones la Fiscalía General de la Nación, deberá: 1. Solicitar al juez que ejerza las funciones de control de garantías las medidas necesarias que aseguren la comparecencia de los imputados al proceso penal, la conservación de la prueba y la protección de la comunidad, en especial, de las víctimas. El juez que ejerza las funciones de control de garantías, no podrá ser, en ningún caso, el juez de conocimiento, en aquellos asuntos en que haya ejercido esta función. Alexander Díaz García Página 3
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO La ley podrá facultar a la Fiscalía General de la Nación para realizar excepcionalmente capturas; igualmente, la ley fijará los límites y eventos en que proceda la captura. En estos casos el juez que cumpla la función de control de garantías lo realizará a más tardar dentro de las treinta y seis (36) horas siguientes. 2. Adelantar registros, allanamientos, incautaciones e interceptaciones de comunicaciones. En estos eventos el juez que ejerza las funciones de control de garantías efectuará el control posterior respectivo, a más tardar dentro de las treinta y seis (36) horas siguientes, *(al solo efecto de determinar su validez)*. 3. Asegurar los elementos materiales probatorios, garantizando la cadena de custodia mientras se ejerce su contradicción. En caso de requerirse medidas adicionales que impliquen afectación de derechos fundamentales, deberá obtenerse la respectiva autorización por parte del juez que ejerza las funciones de control de garantías para poder proceder a ello. 4. Presentar escrito de acusación ante el juez de conocimiento, con el fin de dar inicio a un juicio público, oral, con inmediación de las pruebas, contradictorio, concentrado y con todas las garantías. 5. Solicitar ante el juez de conocimiento la preclusión de las investigaciones cuando según lo dispuesto en la ley no hubiere mérito para acusar. 6. Solicitar ante el juez de conocimiento las medidas judiciales necesarias para la asistencia a las víctimas, lo mismo que disponer el restablecimiento del derecho y la reparación integral a los afectados con el delito. 7. Velar por la protección de las víctimas, los jurados, los testigos y demás intervinientes en el proceso penal, la ley fijará los términos en que podrán intervenir las víctimas en el proceso penal y los mecanismos de justicia restaurativa. 8. Dirigir y coordinar las funciones de policía Judicial que en forma permanente cumple la Policía Nacional y los demás organismos que señale la ley. 9. Cumplir las demás funciones que establezca la ley. El fiscal general y sus delegados tienen competencia en todo el territorio nacional. En el evento de presentarse escrito de acusación, el fiscal general o sus delegados deberán suministrar, por conducto del juez de conocimiento, todos los elementos probatorios e informaciones de que tenga noticia, incluidos los que le sean favorables al procesado. PAR.−La Procuraduría General de la Nación continuará cumpliendo en el nuevo sistema de indagación, investigación y juzgamiento penal, las funciones contempladas en el artículo 277 de la Constitución Nacional.” Alexander Díaz García Página 4
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO Pacto Internacional de Derechos Civiles y Políticos Resolución 2200 A (XXI) de la Asamblea General, aprobada el 16 de diciembre de 1966. Artículo 17 1. Nadie será objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques ilegales a su honra y reputación. 2. Toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques. CONCEPTO DE LA VIOLACIÓN El 31 de agosto de 2004, el Presidente de la República, en uso de sus facultades legales, sancionó la Ley 906 de 2004, norma que tiene como finalidad adoptar un nuevo código de procedimiento penal para Colombia. Dicha norma “adopta un modelo proceso acusatorio. Así lo declara, inequívocamente, el Artículo 4º del Acto Legislativo 3 de 2002, en referencia al marco constitucional del sistema acusatorio previsto en la reforma constitucional”. Pero antes de entrar a realizar el análisis de las normas impugnadas, Honorables Magistrados, sea lo primero afirmar que el presente estudio no es el mismo comprendido dentro del cuerpo de la decisión C-0251, pues en ésa oportunidad se sostuvo que el artículo 237 de la Ley 906 de 2004, tal y como fue subrogado por el artículo 16 de la Ley 1142 de 2007, estableció que a la diligencia de control de legalidad de las pruebas obtenidas en allanamientos sólo podrán asistir el fiscal, los funcionarios de la policía judicial y los testigos o peritos, sin que haya lugar al efectivo ejercicio del derecho a la participación de la defensa; situación que, por vía de analogía, predican igualmente de algunos procedimientos que no establecen expresamente el trámite a seguir para el control de legalidad posterior, entre los que se encuentran entre otros señalan los actores, la búsqueda selectiva de bases de datos -artículo 244- y el examen de ADN -artículo 245- comprendidos en el mismo ordenamiento, por cuanto tales diligencias se llevan a cabo antes de la formulación de la imputación, lo cual significa que hasta antes de ese momento no se puede ejercer el derecho a la defensa. 1 SENTENCIA C-025 de 2009. Referencia: expediente D-7226. Asunto: Demanda de inconstitucionalidad contra los artículos 237 (parcial), 242 (parcial), 243, 244 (parcial) y 245 de la Ley 906 de 2004“por la cual se expide el Código de Procedimiento Penal”. Demandante: Edgar Saavedra Rojas y otro. Magistrado Ponente: Dr. RODRIGO ESCOBAR GIL. Bogotá D.C., veintisiete (27) de enero de dos mil nueve (2009). Alexander Díaz García Página 5
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO A juicio de los demandantes en esa pieza jurídica, afirman que el derecho a la participación de la defensa debe ser ejercitado, incluso, en los controles posteriores realizados a las pruebas obtenidas en las diligencias previstas en los artículos arriba referidos, como quiera que en ellas se definen indiscutiblemente la legalidad del procedimiento. En ese orden de ideas, los actores proceden a demostrar que las normas acusadas contienen la prescindencia del Defensor, en cambio en la presente acción intentamos demostrar que la ritualidad establecida en los referenciados artículos, no considera de ninguna manera la protección de datos personales, que se ha implementado universalmente en los procesos penales de otros países, como tampoco el procedimiento de anclar la cadena de custodia sobre lo hallado. En el presente libelo analizaremos como la ausencia total de los protocolos internacionales para el manejo del tratamiento de los datos personales en el proceso penal, viola los derechos fundamentales al procesado y consecuentemente sus derechos humanos, primero entraremos a hacer las elucubraciones del artículo 237 del Código de Procedimiento Penal. PROPOSICIÓN JURÍDICA COMPLETA Y CIERTA TRATAMIENTO DE DATOS PERSONALES EN LAS NORMAS SUPLICADAS COMO PARCIALMENTE INCONSTITUCIONALES Es indudable que con el correr de los años la posibilidad de disponer información sobre las personas ha ido paulatinamente en aumento. Si a ello se le suma el importante papel que las bases de datos desempeñan en el mundo tecnificado y globalizado de hoy, surge con pocos cuestionamientos el derecho de las personas a protegerse frente a la intromisión de los demás. El régimen de protección de los datos personales permite que los ciudadanos ejerzan su legítimo poder de disposición y control sobre los datos de carácter personal referidos a su persona que se encuentran registrados en bases de datos de titularidad de terceros. Alexander Díaz García Página 6
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO A tal fin, la legislación faculta a los ciudadanos a decidir cuáles de esos datos quieren proporcionar a terceros, sea el Estado o un particular, o qué datos pueden esos terceros recabar, permitiendo asimismo que sepan quién posee sus datos personales y para qué, pudiendo inclusive oponerse a esa posesión o uso2. Estos poderes de disposición y control sobre los datos personales, se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos. La protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, públicos o privados destinados a dar informes, su custodia garantizará el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre. Como se ve, el derecho que se trata de proteger no es sólo el de la intimidad, sino algo con mayor profundidad que en el derecho anglosajón se denomina "privacy" y que se ha castellanizado como "privacidad". Lo que se busca es proteger aspectos de la personalidad que individualmente no tienen mayor trascendencia pero que, al unirse con otros, pueden configurar un perfil determinado de las personas. Ante dicha posibilidad surge el derecho de sus titulares a exigir que los datos permanezcan en el ámbito de su privacidad. En consecuencia, puede definirse al concepto de protección de datos como el amparo debido a todos los ciudadanos contra la posible utilización de sus datos personales por terceros, en forma no autorizada, para confeccionar una información que, identificable con él, afecte su entorno personal, social o profesional, en los límites de su intimidad, o como la protección de los derechos fundamentales y libertades de los ciudadanos contra una singular forma de agresión: el almacenamiento de datos personales y su posterior cesión. Derechos que no se pierden aún estando el ciudadano vinculado como sujeto activo en un proceso penal. Por lo anterior se hace necesario poner límites al grado de intrusión en nuestra privacidad, que el tratamiento automatizado de datos personales puede generar en el derecho penal. Desde una doble perspectiva, reconocemos su amparo constitucional como ciudadanos: la protección adecuada de nuestra privacidad y nuestro deber como operadores de tecnología, facilitarán el acceso a ellas y ayudarán en la consecución y protección de este derecho. Se debe regularizar bajo ese amparo, la información cuando se toma como elemento material probatorio. 2 Ley 1266 de 2008. LEY ESTATUTARIA DE HÁBEAS DATA. Artículo 6º Derecho de los titulares de la información. Alexander Díaz García Página 7
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO 1. ANALISIS DE LA INCONSTITUCIONALIDAD PARCIAL DEL ARTÍCULO 237. AUDIENCIA DE CONTROL DE LEGALIDAD POSTERIOR Precisamente con base a la potestad otorgada por la Constitución Nacional3, se le adscribe directamente a la Fiscalía la potestad de la “recuperación de información dejada al navegar por Internet u otros medios similares,…”, actuaciones éstas sometidas al control posterior del juez de control de 3 CONSTITUCIÓN NACIONAL art. 250. Modificado. A.L. 3/2002, art. 2º. La Fiscalía General de la Nación está obligada a adelantar el ejercicio de la acción penal y realizar la investigación de los hechos que revistan las características de un delito que lleguen a su conocimiento por medio de denuncia, petición especial, querella o de oficio, siempre y cuando medien suficientes motivos y circunstancias fácticas que indiquen la posible existencia del mismo. No podrá, en consecuencia, suspender, interrumpir, ni renunciar a la persecución penal, salvo en los casos que establezca la ley para la aplicación del principio de oportunidad regulado dentro del marco de la política criminal del Estado, el cual estará sometido al control de legalidad por parte del juez que ejerza las funciones de control de garantías. Se exceptúan los delitos cometidos por miembros de la fuerza pública en servicio activo y en relación con el mismo servicio. En ejercicio de sus funciones la Fiscalía General de la Nación, deberá: 1. Solicitar al juez que ejerza las funciones de control de garantías las medidas necesarias que aseguren la comparecencia de los imputados al proceso penal, la conservación de la prueba y la protección de la comunidad, en especial, de las víctimas. El juez que ejerza las funciones de control de garantías, no podrá ser, en ningún caso, el juez de conocimiento, en aquellos asuntos en que haya ejercido esta función. La ley podrá facultar a la Fiscalía General de la Nación para realizar excepcionalmente capturas; igualmente, la ley fijará los límites y eventos en que proceda la captura. En estos casos el juez que cumpla la función de control de garantías lo realizará a más tardar dentro de las treinta y seis (36) horas siguientes. 2. Adelantar registros, allanamientos, incautaciones e interceptaciones de comunicaciones. En estos eventos el juez que ejerza las funciones de control de garantías efectuará el control posterior respectivo, a más tardar dentro de las treinta y seis (36) horas siguientes, *(al solo efecto de determinar su validez)*. 3. Asegurar los elementos materiales probatorios, garantizando la cadena de custodia mientras se ejerce su contradicción. En caso de requerirse medidas adicionales que impliquen afectación de derechos fundamentales, deberá obtenerse la respectiva autorización por parte del juez que ejerza las funciones de control de garantías para poder proceder a ello. 4. Presentar escrito de acusación ante el juez de conocimiento, con el fin de dar inicio a un juicio público, oral, con inmediación de las pruebas, contradictorio, concentrado y con todas las garantías. 5. Solicitar ante el juez de conocimiento la preclusión de las investigaciones cuando según lo dispuesto en la ley no hubiere mérito para acusar. 6. Solicitar ante el juez de conocimiento las medidas judiciales necesarias para la asistencia a las víctimas, lo mismo que disponer el restablecimiento del derecho y la reparación integral a los afectados con el delito. 7. Velar por la protección de las víctimas, los jurados, los testigos y demás intervinientes en el proceso penal, la ley fijará los términos en que podrán intervenir las víctimas en el proceso penal y los mecanismos de justicia restaurativa. 8. Dirigir y coordinar las funciones de policía Judicial que en forma permanente cumple la Policía Nacional y los demás organismos que señale la ley. 9. Cumplir las demás funciones que establezca la ley. El fiscal general y sus delegados tienen competencia en todo el territorio nacional. En el evento de presentarse escrito de acusación, el fiscal general o sus delegados deberán suministrar, por conducto del juez de conocimiento, todos los elementos probatorios e informaciones de que tenga noticia, incluidos los que le sean favorables al procesado. PAR.−La Procuraduría General de la Nación continuará cumpliendo en el nuevo sistema de indagación, investigación y juzgamiento penal, las funciones contempladas en el artículo 277 de la Constitución Nacional. Alexander Díaz García Página 8
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO garantías, a más tardar dentro de la 36 horas siguientes, a efecto de que se realice un control amplio e integral de esas diligencias.4 El numeral 3° del artículo 250 de la Carta a su vez establece que corresponde a la Fiscalía General de la Nación, en ejercicio de sus funciones, “asegurar los elementos materiales probatorios, garantizando la cadena de custodia mientras se ejerce su contradicción”. Y a continuación señala que “En caso de requerirse medidas adicionales que impliquen afectación de derechos fundamentales, deberá obtenerse la respectiva autorización por parte del juez que ejerza funciones de control de garantías para poder proceder a ello”. (Subrayas y cursiva nuestras) Este numeral, modificado por el Acto Legislativo No. 3 de 2002, en su artículo 2º, refiere en su primer segmento a la actividad ordinaria o básica del órgano de investigación como es la de recaudar y asegurar los elementos materiales de prueba que le servirán de soporte para el ejercicio de su función acusadora. Sin embargo, previene la norma que si en el ejercicio de esa actividad se enfrenta a medidas adicionales que impliquen afectación de derechos fundamentales, necesariamente debe obtener la autorización respectiva del juez de control de garantías, es decir someter las medida al control previo de esta autoridad en la cual se radican, en la fase de investigación, las facultades típicamente jurisdiccionales de las cuales forman parte las decisiones con capacidad de afectación de derechos fundamentales. Demostraremos cómo el accesar a la memoria RAM, disco duro, dispositivos de almacenamiento masivo u otros, se pueden violar datos personales (derechos fundamentales de la intimidad) y más exactamente a los datos sensibles, independientemente encontrar elementos materia de prueba, amén que su errada manipulación pueda fracasar la idoneidad de la evidencia en el proceso, por no tenerse en cuenta los protocolos del manejo de la evidencia digital. Las expresiones que impugnamos son inconstitucionales en cuanto permiten la práctica de diligencias que afectan derechos fundamentales como es el caso de la “la recuperación de información dejada al navegar por Internet u otros medios similares”, sin contar con la previa autorización del juez de control de garantías, y, sin que la medida se encuentre prevista en las excepciones, a ése control previo, que establece el numeral 2º del artículo 250 de la Constitución. De otra parte, el legislador se ha arrogado la potestad de clasificar las medidas que demandan control previo del juez de garantías (Art.246) a partir de la ubicación de la medida en la ley, prescindiendo del criterio valorativo determinante que es la afectación de derechos fundamentales y la regulación constitucional. Y no podemos pensar, y tal vez así lo alegue la Fiscalía General de la Nación, al argüir que las expresiones acusadas se avienen a la Constitución en razón a que la recuperación de información dejada al navegar por Internet u otros medios similares, constituye una especie de diligencia de registro para la cual el numeral 2º del artículo 250 de la Constitución autoriza, de manera excepcional, el control 4 Sentencia C-1092 de 2003. En esta sentencia la Corte declaró la inexequibilidad de la expresión “al solo efecto de determinar su validez” del numeral 2° del artículo 250, destacando el carácter amplio e integral del control de legalidad. Alexander Díaz García Página 9
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO posterior por parte del Juez de control de garantías, tal como lo dijo en otrora oportunidad cuando le correspondió intervenir ante esa alta Corporación. Recordemos que como regla general, las medidas que afectan derechos fundamentales requieren autorización previa del juez de control de garantías y estos procedimientos de la recuperación de información dejada al navegar por Internet y otros medios similares, pueden ser susceptibles de violaciones, independientemente que efectivamente a través de medios electrónicos estén consumándose conductas punibles. Sobre el tema resulta adecuado explicar algunos detalles procesales en el manejo de la evidencia digital y por lo tanto explicaré algunos aspectos que se deben realizar en estos eventos: Hemos de entender y proceder como si estuviéramos (y es que debemos estar) en una diligencia de allanamiento. Implicando que si encontramos ordenadores dentro del domicilio allanado, han de tomarse antes de apagarlos o desconectarlos, los datos volátiles, logs de seguridad y la extracción de la huella digital a través de hash MD55. Es así como lo aplica a sus discentes el Maestro John Jairo Echeverry Aristizábal, Jefe de la Unidad Nacional de Delitos Informáticos del CTI, de la Fiscalía General de la Nación, nuestro partner en ICITAP6 con el programa que dictamos a Fiscales e Ingenieros de Sistemas del CTI alrededor del país, sobre delitos informáticos. La información encontrada en estas máquinas no la podemos analizar en el lugar de los hechos (entiéndase abrirse), esto es, no la podemos revisar, puesto que la estaríamos alterando, y se pondría en duda su inalterabilidad y autenticidad, amén de estar legitimando malas prácticas que los protocolos forenses internacionales las rechaza. Por ejemplo la huella hash que tiene este documento, en este momento del párrafo que ocupamos, es el que ustedes leen Honorable Sala de Decisión a continuación, seguramente éste va a ser diferente cuando lo terminemos, el algoritmo que aparece dentro del pop up que aparece en esta página será modificado: 5 SEMINARIO DELITOS INFORMÁTICOS. International Criminal Investigative Training and Assistance Program del Departamento de Justicia de los Estados Unidos. Módulo en soporte papel. CAÑÓN BELTRÁN, Fernando. ECHEVERRY ARISTIZÁBAL, John Jairo y DÍAZ GARCÍA, Alexander. “Adicionalmente se sugiere utilizar una codificación MD5 la cual es una de las últimas técnicas que permite generar una codificación de 128 bits representados en 32 números hexadecimales, danto de esta forma una identificación única para cada archivo o dato contenido en un medio de almacenamiento; por otra parte, se sugiere que aparte del número hash Md5 se tenga en cuenta el tamaño del archivo o dato, de tal manera que se pueda subsanar las colisiones que puedan generar con esta técnica”. Afirma el Ing. Echeverry en el Instructivo para Extracción de la Huella Digital a Través del Hash MD5 Código FGN-42000-1-1-01. 6 ICITAP. International Criminal Investigative Training Assistance Program. Programa Internacional de Investigación del Delito del Departamento de Justicia de los Estados Unidos. Alexander Díaz García Página 10
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO Cada vez que agreguemos algún otro comentario a la investigación informática que se tiene en las manos o simplemente pinchemos el espaciador, el número que ustedes aprecian, va a ser diferente, finalmente quedará un número definitivo, pero por alguna razón alguien puede ingresar al documento, antes de imprimirlo en soporte papel, y éste registro será cambiado, lo que nos permite colegir que el documento ha sido alterado o por lo pronto modificado. Sobre la importancia de los datos encontrados en las condiciones del artículo 236 ejusdem, el Maestro Jeimy Cano7 nos dice que la información se encuentra almacenada electrónicamente en memoria volátil (también conocida como memoria RAM8) es insumo fundamental para cualquier investigación, nos recomienda en su obra que no se apague la máquina si se encuentra encendida, dado que la información volátil disponible, es pieza clave de lo que pudo haber ocurrido. Arguye que en estudios recientes se ha establecido que es posible capturar lo que hay en memoria de un computador encendido y que es viable exportar el resultado del mismo a un archivo para su análisis posterior. La posterioridad a que se refiere la norma en su epígrafe, debemos entenderla salvo un mejor concepto, es cuando logrado los datos volátiles, logs de seguridad, metadatos y la extracción de la huella digital a través de hash MD5, se ha anclado la cadena de custodia sobre los elementos electrónico encontrados, no antes. Es en este momento que se suplica la Audiencia de Control de Legalidad Posterior, y esa súplica versa sobre la actuación lograda de los elementos materiales de prueba (EMP) amén de la solicitud de apertura de los ficheros hallados dentro de los dispositivos, independientemente si se les considera o no bases de datos, pues las bases de datos su constitución no se la da quién los organiza, sino el orden y clase de información, lo que el autor del fichero le imprime, esto es, un padre de familia, puede tener en su ordenador un fichero en donde almacena en forma organizada (entiéndase sistematizada) los datos de las historias clínicas de todos y cada uno de los miembros de su familia; también pueden ser ficheros de los diferentes actos religiosos de los suyos, digamos una ceremonia religiosa de aniversario, si se trata de un católico, pensemos en una primera comunión o una confirmación. Estos datos son clasificados por la doctrina, por la jurisprudencia internacional y por organismo de Derechos Humanos como sensibles. Esta categoría de amparo no se la puede dar la jurisprudencia, no se la puede los códigos, se la da la Constitución Nacional en concordancia con la Declaración de los Derechos Humanos. Entonces no puede haber legalización sobre la apertura de ficheros, so pretexto de la urgencia de una investigación penal, cuando se han violado datos sensibles. Retomando el estudio jurídico del tipo procesal, si no fuera así (pre y no pos) alteraríamos la evidencia, seguramente se rechazaría en el juicio, puesto el solo hecho de abrir un fichero, ya lo estamos modificando, porque los metadatos, nos 7 CANO M. Jeimy J. COMPUTACIÓN FORENSE. Descubriendo los Rastros Informáticos. Ed. ALFAOMEGA. México 2009. 8 DICCIONARIO DE DERECHO INFORMÁTICO. VILLALOBOS A. Edgardo A. Litho Editorial Chen S.A. Panamá. “RAM: Acrónimo de Random Acces Memory. En general se entiende como una memoria volátil o aleatoria en la cual se escribe y se lee. También se conoce como memoria de lectura/escrita. En ella el almacenamiento es temporal y la información se pierde cuando se apaga la computadora y volver a usarla cuando se inicia otra vez”. Alexander Díaz García Página 11
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO está diciendo su fecha de modificación (nueva fecha de apertura), porque sin agregar o reducir (modificar posiblemente) texto, simplemente moviendo el cursor dentro del documento lo estamos alterando, pero: ¿quién nos asegura que el forense no realizó ninguna modificación en el documento, el simple juramento lo apremiaría? No lo creemos y es por ello que existen métodos (protocolos internacionales hablan de ello) informáticos para evitar estas circunstancias dubitativas. También la huella de hash va a ser diferente, supuestamente pensaríamos que se trata de un documento electrónico diferente que ha sido modificado, porque ha cambiado la cantidad de bits o su número de identificación. El control de garantías no puede ser posterior (como lo dice la norma) a la apertura del documento, así su contenido no se modifique, la huella hash es diferente y va a dar oportunidad a que la contra parte de la Fiscalía ora de la Defensoría ataque este evento. En consecuencia la Audiencia de Control de Garantía no puede ser después de abierto los documentos, tienen que ser después de haberse tomado sus metadatos9 y la huella hash, ya luego, con la autorización del Juez de Garantía el Forense, encuentra un documento incólume para su análisis. Los documentos electrónicos tienen que quedar inalterables (congelados) para el momento de anclarse la cadena de custodia, situación que quedara hasta cuando no regresen (si pudieran regresar a su legítimo dueño) a manos de su propietario, pues todo el trabajo informático se hará con las copias espejos (Este procedimiento se conoce en el ámbito de la informática forense como “imaging”10 9 CANO M. Jeimy J. COMPUTACIÓN FORENSE. Descubriendo los Rastros Informáticos. Ed. Alfaomega. México 2009. “METADATOS: Disponible en ciertos archivos. Estos meta-datos son información sobre los datos, que no es visible a simple vista, pero indica entre otros aspectos quien creó el documento, cuántas veces ha sido editado, cuándo se envío a la impresora. Por lo general los productos Microsoft y Adobe tienen información de metadatos detalladas en sus archivos” Pág. 303. 10 INFORME FORENSE DE INTERPOL SOBRE LOS ORDENADORES Y EQUIPOS INFORMÁTICOS DE LAS FARC DECOMISADOS POR COLOMBIA. MAYO DE 2008. Publicado por: OIPC-INTERPOL 200 Quai Charles de Gaulle 69006 Lyon (Francia) Documento logrado en visita al site de la institución en: www.interpol.int Pág. 19. Adquisiciones forenses de datos informáticos. El “imaging” (obtención de imágenes forenses de datos) es un proceso mediante el cual se realiza una copia exacta del disco duro de un equipo electrónico o de un soporte de almacenamiento digital. El procedimiento de obtención de imágenes forenses en el contexto de la informática forense es muy diferente del que utiliza normalmente cualquier usuario informático para realizar copias electrónicas de un archivo. En primer lugar, hay una diferencia metodológica. Para la obtención de imágenes forenses de datos es necesario un programa forense específico y que éste sea utilizado por personas con conocimientos de informática forense. No se debe iniciar (encender) el ordenador. Cuando un usuario hace una copia de un archivo sí necesita encender el ordenador. Independientemente del sistema operativo que se utilice, al encender el ordenador se producen modificaciones de ciertos datos del disco duro. Aunque puedan ser invisibles e irrelevantes para el usuario, estas operaciones del sistema son importantes para los expertos forenses, porque ellos no sólo analizan los archivos de usuario, tales como los documentos de texto y los archivos de imagen y sonido, sino también los datos ocultos y la información contenida en los archivos de sistema, por ejemplo la información que el ordenador genera “automáticamente” cuando trata la información. En segundo lugar, la naturaleza de la copia es diferente. Con el proceso de “imaging” se obtiene una copia exacta del disco duro: una copia imagen forense es una copia exacta y a tamaño natural de todos los contenidos y de la estructura de un soporte o un dispositivo de almacenamiento, como un disco duro, una llave USB, un CD o un DVD. Normalmente se genera un archivo con la copia imagen que está basada en los sectores del soporte (copia de la secuencia de bits), sin tener en cuenta su sistema de archivos. Como tal, la copia imagen contiene toda la información necesaria para reproducir exactamente la estructura y todos los contenidos de un dispositivo de almacenamiento. Para la obtención de imágenes forenses de datos es necesario tomar unas precauciones específicas, para lo que se utilizan write blockers, con objeto de garantizar que durante ese proceso no se produzca ninguna modificación en la prueba instrumental original. Alexander Díaz García Página 12
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO obtención de imágenes forenses de datos) en donde se establecerá la autenticidad de la evidencia digital. Sobre el tópico tenemos que recordar un caso internacional, de mucha trascendencia nacional, como fue la errada manipulación forense que se le dio a los dispositivos electrónicos (medios de almacenamiento masivo) encontrados al extintito guerrillero REYES y fue así como Colombia le solicitó a las INTERPOL11 un análisis informático en el que se quería puntualmente: “ a) Establecer los datos reales que contenían las ocho pruebas instrumentales de carácter informático decomisadas a las FARC, b) Comprobar si los archivos de usuario habían sido modificados de algún modo el día 1 de marzo de 2008 o en fechas posteriores, y c) Determinar si las autoridades de los organismos encargados de la aplicación de la ley colombianos habían manejado y analizado las citadas pruebas de conformidad con los principios reconocidos internacionalmente para el tratamiento de pruebas electrónicas por parte de las fuerzas del orden.” Fue en el mismo transcurrir del Informe del Organismo Internacional, cuando examinándose los discos duros hallados al ex guerrillero RAUL REYES, se encontró en la: “Conclusión No 2b: Entre el 1 de marzo de 2008, fecha en que las autoridades colombianas incautaron a las FARC las ocho pruebas instrumentales de carácter informático, y el 3 de marzo de 2008 a las 11.45 horas, momento en que dichas pruebas fueron entregadas al Grupo Investigativo de Delitos Informáticos de la Dirección de Investigación Criminal (DIJIN) de Colombia, el acceso a los datos contenidos en las citadas pruebas no se ajustó a los principios reconocidos internacionalmente para el tratamiento de pruebas electrónicas por parte de los organismos encargados de la aplicación de la ley”. Subrayas y negritas fuera del texto. Y agrega en la Conclusión No. 2: Entre el 1 de marzo de 2008, fecha en que incautaron a las FARC las pruebas instrumentales de carácter informático, y el 10 de marzo de 2008, fecha en que las entregaron a los especialistas de INTERPOL en informática forense, las autoridades colombianas accedieron a todas las pruebas instrumentales”. (Subrayas y negritas fuera del texto) Procedimiento que no se debió haber realizado porque rompían la cadena de La tercera diferencia es que la obtención de imágenes forenses lleva asociado un proceso de validación para determinar si la imagen es o no completamente idéntica a la original. Para ello se comparan los valores de hash. Un valor de hash es una secuencia de números y caracteres generada al utilizar un algoritmo concreto. El valor se genera en función de los datos que figuran en el ordenador y es absolutamente único para cada dispositivo de almacenamiento. Al comparar los valores de hash generados desde el original con los generados desde la copia, los analistas forenses pueden determinar si la copia está bien hecha. Si ambos valores coinciden, la copia se ha realizado correctamente; si no coinciden, es necesario repetir todo el proceso. 11 INFORME FORENSE DE INTERPOL SOBRE LOS ORDENADORES Y EQUIPOS INFORMÁTICOS DE LAS FARC DECOMISADOS POR COLOMBIA. MAYO DE 2008. Publicado por: OIPC-INTERPOL 2008. Quai Charles de Gaulle 69006 Lyon (Francia) Documento logrado en visita al site de la institución en: www.interpol.int Alexander Díaz García Página 13
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO custodia, esto solo podía hacerlo después que el Juez de Garantías legalizara el embalaje y el anclaje de la Cadena de Custodia para posteriormente realizar el análisis forense. Estas dudas que dejaron este procedimiento señalado por la INTERPOL ha permitido la creación de cualquier cantidad de suspicacias en contra de la veracidad y autenticidad de la prueba. No obstante de este antecedente informático forense internacional, encontramos en nuestra investigación un caso, que puede ser el cualquier colombiano de a pie, en donde la Sala de Casación Penal de la Suprema Corte de Colombia12 desatando el recurso de apelación del Delegado de Procurador, en contra de la Audiencia de Legalidad a la solicitud del Delegado del Fiscal General de la Nación para la apertura de dos medios electrónicos, un disco rígido de una computadora y un dispositivo de telefonía móvil, persiste en afirmar que se torna viable que la Audiencia de Control de Garantías sea posterior a la “recuperación de información dejada al navegar por internet u otros medios similares, …” En contra de nuestro sentir la Suprema Corte decidió muy en contrario de los parámetros internacionales sobre el manejo de la evidencia digital y los datos personales, pese a que el Delegado del Señor Fiscal General en forma acertada acudió al Juez de Garantías (para nuestro parecer ese debe ser el protocolo legal) para la apertura de estos dispositivos de almacenamiento masivo al considerar que su solicitud encontraba fundamento en el artículo 250, numeral 3º de la Constitución Política, norma que obliga acudir al Juez de Control de Garantías cuando se vulneran derechos fundamentales, como ocurría en el caso en estudio, con el derecho a la intimidad, pues la revisión del disco duro y del aparato celular hubiera podido arrojar el acceso a información reservada como el cruce de correos entre la defensa y el procesado, igualmente la manipulación errada de los datos. Nosotros agregamos al asunto estudiado por esa Alta Corporación, creando una hipótesis: ¿qué hubiera ocurrido si se hubiesen encontrado cartas de amor, imágenes en la intimidad del procesado con su esposa, compañera o novia, sus ficheros clínicos, su registro a una etnia especial, las oraciones de su credo religioso o abierto algún documento dirigido a su abogado, etc? o por error involuntario se hubiese aplicado un procedimiento inadecuado forense, cuando se hacían estas prácticas irregulares. Procedimientos forenses que se tienen que realizar siempre en un laboratorio apto para estos menesteres y una errada manipulación, seguramente la evidencia llegaría viciada al Juicio. Todos estos son datos sensibles y con la apertura se hubiera accesado ilegalmente a la información reservada, violándose su derecho a la intimidad, sus datos sensibles e igualmente la presunta inalterabilidad, autenticidad y conservación de los datos (tal vez relevantes para la investigación) se hubiera puesto en duda. Ahondemos, quien nos dice que los datos estuvieron incólumes hasta cuando las autoridades penitenciarias los capturaron, quién nos confirma que no fueron abiertos, que no fueron manipulados, que no fueron modificados, ¿quién da fe de dicho proceso? ¿Se le hicieron logs de seguridad, se le tomaron huellas hash a todos los ficheros, se capturaron los metadatos y datos volátiles 12 Proceso No. 29992 CORTE SUPREMA DE JUSTICIA SALA DE CASACIÓN PENAL Magistrada Ponente: MARÍA DEL ROSARIO GONZÁLEZ DE LEMOS Aprobado acta N° 189. Bogotá, D. C., catorce (14) de julio de dos mil ocho (2008). Alexander Díaz García Página 14
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO si era posible? Pensamos que le ley no puede permitir (autorizar o legalizar violaciones) que se violen derechos fundamentales (datos personales y el de defensa) luego de violados darles visos legalidad y garantizar actos irregulares so pretexto de guardar la seguridad ciudadana, con la anuencia del Juez de Control de Garantías. Ahora bien, aún no se ha pronunciado nuestra jurisprudencia, como sí ha ocurrido en otros países, el tema sobre las direcciones IP13, ¿se debe considerar un dato personal y semiprivado?, si ello fuere así, ¿se le debe tener una protección especial? Se torna viable utilizar software de protección u ocultamiento de dicha dirección? (existen en el mercado informático). Recordemos que la dirección IP nos lo asigna el ISP14, establece una relación directa con el equipo y las personas que lo utilizan. Esta dirección lógica (IP) es parte del contrato de servicio de conexión a Internet, la cual está asociada en el sistema del proveedor con el número telefónico desde la cual se conecta. Si contamos con estos dos datos, tenemos la identificación de una familia u hogar, para un equipo particular. En consecuencia los correos electrónicos los mensajes instantáneos, los mensajes de texto, los mensajes de voz, las imágenes, entre otros tipos de comunicaciones enviados o recibidos por las personas naturales o jurídicas podrán ser catalogados como datos personales, por lo cual deben contar con la protección de la Ley Estatutaria de Hábeas Data. Al estar definido un dato personal como cualquier pieza de información vinculada a una o varias personas, las categorías de mensajes enumerados previamente serian otro elemento de análisis para considerar dentro de las medidas tecnológicas requeridas para dar cumplimiento a lo establecido en la ley. Después de este paréntesis seguimos con el caso estudiado por la Suprema Corte, éste se refiere a la solicitud de la Fiscalía de la Unidad Nacional de Justicia y Paz autorización para accesar a la información contenida en un disco duro perteneciente y dejado por un vinculado penal15 en la celda de la cárcel de 13 Una dirección IP es un número que identifica de manera lógica y jerárquica a una interfaz de un dispositivo (habitualmente una computadora) dentro de una red que utilice el protocolo IP (Internet Protocol), que corresponde al nivel de red del protocolo TCP/IP. Dicho número no se ha de confundir con la dirección MAC que es un número hexadecimal fijo que es asignado a la tarjeta o dispositivo de red por el fabricante, mientras que la dirección IP se puede cambiar. Es habitual que un usuario que se conecta desde su hogar a Internet utilice una dirección IP. Esta dirección puede cambiar cada vez que se conecta; y a esta forma de asignación de dirección IP se denomina una dirección IP dinámica (normalmente se abrevia como IP dinámica). Los sitios de Internet que por su naturaleza necesitan estar permanentemente conectados, generalmente tienen una dirección IP fija (se aplica la misma reducción por IP fija o IP estática), es decir, no cambia con el tiempo. Los servidores de correo, DNS, FTP públicos, y servidores de páginas web necesariamente deben contar con una dirección IP fija o estática, ya que de esta forma se permite su localización en la red. A través de Internet, los ordenadores se conectan entre sí mediante sus respectivas direcciones IP. Sin embargo, a los seres humanos nos es más cómodo utilizar otra notación más fácil de recordar y utilizar, como los nombres de dominio; la traducción entre unos y otros se resuelve mediante los servidores de nombres de dominio DNS. Existe un protocolo para asignar direcciones IP dinámicas llamado DHCP (Dynamic Host Configuration Protocol). Información encontrada en visita que se hace al site http://es.wikipedia.org/wiki/Direcci%C3%B3n_IP 14 Internet Service Provider 15 Anonimización de Datos Personales en Procesos Judiciales. Las Reglas de Heredia, firmada por el Consejo Superior de la Judicatura en Heredia Costa Rica en el 2003. Comisión Interamericana de Derechos Humanos. Alexander Díaz García Página 15
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO Itagüí16 donde se encontraba recluido cuando fue extraditado a los Estados Unidos, así como a un celular sin sim card hallado en el mismo sitio. Precisó también que la computadora y el aparato de telefonía móvil fueron recogidos por funcionarios del INPEC, luego de producirse la referida extradición y entregados a la fiscalía, en tanto el disco duro lo entregó el abogado defensor del postulado. Agrega la pieza jurídica de esa alta Corporación que dichos elementos no llegaron a la fiscalía producto de una diligencia de registro y allanamiento, ni en virtud de incautación sino como consecuencia de la cadena de custodia de rigor, la cual se inició desde la actuación de los funcionarios del INPEC. Según la Delegada de la Fiscalía, la solicitud en mención le encontró fundamento en el artículo 250, numeral 3º de la Constitución Política, norma que obliga acudir al Juez de Control de Garantías cuando se vulneran derechos fundamentales, como ocurría en el presente caso con el derecho a la intimidad, pues la revisión del disco duro y del aparato celular puede arrojar el acceso a información reservada, volvemos y repetimos, como el cruce de correos entre la defensa y el procesado. Señaló que la búsqueda de la información está dirigida a verificar los hechos confesados, a establecer la comisión de otras conductas delictivas (evidencia en su contra) no admitidas y, en general, a garantizar la obtención de la verdad y la justicia conforme los parámetros del artículo 14 de la Ley 975 de 2005, aun cuando precisa que la audiencia respectiva no puede asimilarse a la reglada en el artículo 244 de la Ley 906 de 2004 encaminada a la búsqueda selectiva en base de datos, pues ello implicaría el cumplimiento de otros procedimientos como el control de la orden dispuesta por la fiscalía. En su criterio, se asimila más bien a una audiencia de registro personal porque el computador constituye un elemento personalísimo que no contiene base de datos de carácter privado o público, aunque sí información referente a la intimidad de la persona. La Corte para cuando hizo sus elucubraciones, consideró que la norma superior en cita, en la modificación hecha por el artículo 2º del Acto Legislativo 3 de 2002, impone a la Fiscalía General de la Nación asegurar los elementos materiales probatorios, garantizando la cadena de custodia mientras se ejerce su contradicción y le exige que en caso de requerir “medidas adicionales que impliquen afectación de derechos fundamentales”, obtenga la respectiva autorización por parte del juez que ejerza las funciones de control de garantías, como condición para poder proceder a ello. Consideramos que no existe ninguna duda sobre los procedimientos con evidencia digital, los que requieren siempre de medidas adicionales puesto que sí afectan derechos fundamentales. Agrega que la mencionada disposición no implica, pero para nuestro sentir erradamente lo afirma, que todo acto de investigación requiera la intervención previa del juez de control de garantías. Se responde que tal entendimiento es equivocado, pues mientras se obtiene la autorización podría perderse la evidencia o alterarse en su esencia o, incluso, generarse problemas de orden público y salubridad si no se recauda inmediatamente. Pensamos que erradamente compara esta situación violatoria 16 Cárcel de Máxima Seguridad en el Departamento de Antioquia Colombia Alexander Díaz García Página 16
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO de datos personales, con la de no levantarse prontamente un cadáver (situación ostensiblemente diferente a la captura de una evidencia digital) de persona cuya muerte se produce en vía pública, pues son situaciones absolutamente distintas. Al contrario pensamos que le da más transparencia al ejercicio de la Policía Judicial, cualquiera que sea el cuerpo de seguridad que la ejerza, sobre la evidencia digital. Enfatiza que para los eventos expresamente señalados en el Código de Procedimientos Penal, el control consagrado es de carácter posterior, como lo tienen establecido sus artículos 237 y 244, inciso tercero. Es importante anotar que no hemos dicho que el artículo de marras no exprese tal término, la tesis nuestra es que debería decir lo contrario, esto es, sí se requiere de control previo del Juez de Garantías, como fundamento de esta acción de constitucionalidad. La Suprema Corte considera que accesar a ficheros electrónicos sin la anuencia del Juez de Control de Garantías previo, no puede ser posible afectación de derechos constitucionales, olvida que el ingreso indebido, como ocurrió en los ficheros de Reyes, así lo afirmó la Interpol, pusieron en problema a las autoridades judiciales y la credibilidad internacional por ese inadecuado manejo de la evidencia digital. Recalca la Corporación que el capítulo III regula, de manera especial, algunos de esos casos, tales como: el registro corporal (art. 247)17, el registro personal (art. 248), la obtención de muestras que involucren al imputado (249) y la práctica de reconocimientos y exámenes a las víctimas (art. 250), aunque en este último caso cuando no exista consentimiento del interesado18. La Corporación reprocha a la Delegada del fiscal, cuando intentó obtener aval judicial previo (muy legal) para revisar la información contenida en un disco duro y en un aparato de telefonía móvil, bajo el supuesto de que esa actuación se asemeja a un registro personal, cuando no lo exige la ley. Nada más equivocada esa postura. Recalca que en el caso de la búsqueda selectiva en bases de datos del artículo 244 ni siquiera demanda la orden previa del fiscal cuando se trata de “realizar las comparaciones de datos registradas en bases mecánicas, magnéticas u otras similares, siempre y cuando se trate del simple cotejo de informaciones de acceso público”, según lo tiene establecido su inciso primero. Y que de acuerdo con el inciso segundo del citado artículo 244, se requiere solamente autorización previa del fiscal cuando esa búsqueda selectiva “implique el acceso a información confidencial, referida al indiciado o imputado o, inclusive a la obtención de datos derivados del análisis cruzado de las mismas”. La Corte le recuerda a las partes que la Sala en reciente decisión adoptada en caso similar al que ahora ocupa su atención19, la orden judicial previa se impone únicamente cuando la búsqueda selectiva recae sobre “datos personales organizados con fines legales y recogidos por instituciones o entidades públicas 17 Así lo dispuso la Corte Constitucional en sentencia C-822 de 2005 al declarar exequible condicionalmente el artículo 247. 18 En el caso de las medidas previstas en el artículo 249 la Corte Constitucional determinó en la sentencia C-822 de 2005 que su práctica siempre requiere autorización judicial previa. 19 Se hace referencia al auto proferido el 2 de julio de 2008 dentro de la radicación No. 29991. Alexander Díaz García Página 17
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO o privadas debidamente autorizadas para ello”, según así lo estableció la Corte Constitucional al condicionar la exequibilidad del artículo 24420. Descarta entonces que los datos sensibles informatizados por cualquier ciudadano que quiera conservar organizadamente su información, no estarían protegidos por la Constitución, pues como éstos no han sido capturados por una institución pública o privada debidamente autorizados no los ampara aparentemente. La postura de la Suprema Corte ha motivado las críticas de expertos en la materia tales como el Maestro Jeimy José Cano Martínez21 al afirmar que la evidencia digital es frágil y volátil. La información residente en los medios de almacenamiento electrónico puede ser borrada, cambiada o eliminada sin dejar rastro, lo cual limita la labor del investigador forense en informática para identificar y encontrar elementos claves para esclarecer los hechos relevantes de una investigación y esto ocurrirá siempre cumpliendo los mandatos señalados en el artículo 237, pues al no haber previamente de su presentación al Juez de Control de Garantías, existirá siempre la posibilidad de su alteración, toda vez que la norma no establece dicho procedimiento, así ocurrió con los ficheros de Reyes, que por el afán, muy seguramente altruista, se accesaron a ellos y la policía internacional encontró (tal vez en busca de más delitos contra la seguridad del estado) que no se hicieron bajo los protocolos internacionales. Agrega que en este sentido, la evidencia digital es pieza probatoria básica que requiere una revisión detallada sobre cómo se crea, cómo se recolecta, cómo se asegura y finalmente cómo se presenta en la corte, con el fin de aportar con claridad y precisión factores que orienten las decisiones sobre casos donde ésta evidencia sea parte fundamental del mismo. Así mismo señala que la evidencia digital al ser un objeto relativamente fácil de manipular, generado por dispositivos electrónicos, de los cuales no sabemos nada sobre su funcionamiento, la susceptibilidad a las fallas, entre otras características, nos advierte que estamos entrando en un campo de investigación delicado y formal donde el conocimiento técnico es tan fundamental como el conocimiento forense y de técnicas probatorias. En razón a lo anterior, es preciso indagar sobre estrategias que permitan establecer reglas mínimas que le permitan al sistema Judicial Colombiano validar pruebas digitales o no. Si bien esta labor requiere un entendimiento técnico de los medios electrónicos, también establece un reto a los fiscales y jueces para involucrarse en los cambios que establece una sociedad digital, donde la delincuencia también ha evolucionado en sus técnicas y estrategias delictivas. Luego, al aportar elementos digitales en un caso, es preciso que el aparato judicial cuente con una base formal y clara sobre la admisibilidad de la evidencia digital presentada. Es decir, que la justicia pueda contar con características básicas de ésta evidencia, estableciendo procedimientos básicos que le permitan verificar su autenticidad, confiabilidad, suficiencia (completa) y 20 Sentencia C-336 de 2007. 21 CANO MARTÍNEZ, Jeimy José. Admisibilidad de la Evidencia Digital: Algunos elementos de revisión y análisis. Publicado en la Revista de Derecho Electrónico ALFA REDI, en su número 061, información lograda en visita realizada el 12 de Septiembre de 2009, en el siguiente site http://www.alfa-redi.org/rdi-articulo.shtml?x=1304 Alexander Díaz García Página 18
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO conformidad con las leyes establecidas. Agrega el tratadista informático que existen factores que crean una gran brecha entre la evidencia digital y el sistema judicial como son: “1. Poca conciencia del legislador sobre las conductas punibles en medios informáticos y telemáticos 2. Conflicto académico y científicos entre el derecho y la tecnología; un lenguaje no común 3. Limitada formación interdisciplinaria para repensar el derecho a la luz de la tecnología y viceversa 4. Poco interés de las organizaciones alrededor de la evidencia digital y sus implicaciones jurídicas” Termina su estudio concluyendo que la admisibilidad de la evidencia digital como problemática y realidad de los negocios actuales sugiere responsabilidades compartidas en doble vía y propone que: Una en dirección hacia las organizaciones para establecer arquitecturas de cómputo más sólidas, busquen aumentar la integridad (entendida como capacidad de sincronización y aseguramiento de las bitácoras), la confiabilidad (entendida como la sincronización y centralización de los registros de auditoría) y la suficiencia (la capacidad de correlacionar eventos en arquitecturas con registros asegurados y centralizados) de todos y cada uno de los elementos que conforman dicha arquitectura, promoviendo un escenario confiable y verificable para la identificación, recolección y análisis de evidencia digital. Y otra con dirección al sistema judicial, para comprender y analizar en contexto las condiciones requeridas de la evidencia digital y así establecer procedimientos de valoración de pruebas digitales que permitan mantener un debido proceso con las garantías requeridas para las partes alrededor de la evidencia aportada al mismo. Así mismo, aumentar la capacidad de los jueces para comprobar y verificar la evidencia digital, que permita avanzar hacia una actualización de los procedimientos probatorios, fortaleciendo así las apreciaciones y fallos que se profieran en el contexto de un juicio. En pocas palabras, promover el desarrollo de un estándar legal de políticas de seguridad informática que, de observarse, habilitaría la admisibilidad de dicha prueba en juicio. Es decir, podría establecerse una presunción “iuris tantum” (salvo prueba en contrario) de la validez de la evidencia digital en tales condiciones de seguridad o características de la arquitectura de cómputo. Finalmente, la evidencia digital es un desafío para la justicia, que sugiere una evolución de la misma para disminuir la brecha técnico-legal existente y, un reto para los profesionales de la tecnología, para descubrir en el ordenamiento legal una manera de soportar las investigaciones con material y medios tecnológicos más idóneos y precisos. Alexander Díaz García Página 19
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO Por su parte el abogado experto en Derecho Informático Andrés Guzmán Caballero22 nos dice que en este tema la cuestión no es muy distinta, debido a que no existe un protocolo de manejo de cadena de custodia sobre evidencias digitales, todas las fuerzas del Estado controlan a su antojo y de conformidad con sus conocimientos, sin ningún tipo de guarda o garantía de integridad, este tipo de evidencias. Agrega el especialista en referencia que ello resulta grave, entre otras y a guisa de ejemplo trae los registros de grabación y almacenamiento de los juzgados a nivel Nacional, pues éstos no contienen procedimientos que garanticen que los videos y grabaciones se han generado o almacenado sin ser alterados (se les imprime la huella hash), no existe a nivel de seguridad ninguna garantía, es decir que por ejemplo alguien puede digitalmente colocar en una sentencia un segmento distinto de audio que cambie el fallo, y como los dos archivos son técnicamente iguales y no existe ninguna estampa cronológica o mecanismo digital que la avale, sería esta prueba “falsa” igual a la original lo que provocaría problemas y en entredicho al sistema, siendo un riesgo palpable, más cuando recordamos casos de falsificación de sentencias tan graves como el de CAJANAL. Glosa las interceptaciones telefónicas que realiza la Fiscalía, la Policía o el D.A.S., sea en materia de inteligencia o no, son generadas y almacenadas digitalmente, siendo así de conformidad un “mensaje de datos” que deberá tener además del protocolo de cadena de custodia, que en Colombia no existe para las evidencias digitales, los parámetros legales exigidos por la ley 527 de 1999 a fin de que puedan ser admitidas como prueba documental en juicios. Afirma de igual manera que se deberá garantizarse entre otras cosas, que el archivo sea conservado en forma original, tal y como se generó, lo que se hace mediante la utilización de un método de aseguramiento digital proveído por un tercero fiable, que hasta la fecha no ha sido ni implantado ni desarrollado por el Estado Colombiano, entonces ¿qué garantías tienen los ciudadanos cuando en juicios penales pueden colocarse en su contra grabaciones, interceptaciones o “chuzadas”, de las cuales no se sabe con certeza absoluta en qué fechas se tomaron, quién las tomó, cuándo las tomó y los más grave, si se han conservado integras?. Nos preguntamos se garantizará con la legalización del Juez de Control de Garantías, 24 horas después de recolectadas? Nos respondemos nosotros mismos, que lo dudamos. Lo anterior nos viene a reforzar nuestra tesis, de la necesidad de declarar una inconstitucional parcial del artículo 237 del Código de Procedimiento Penal, y más exactamente en tratándose del “….o recuperación de información dejada al navegar por Internet u otros medios similares,….” Evidencia que no podrá ser puesta al control del Juez de Garantías después de 24 horas de recolectada sino antes, cuando su captura y cadena de custodia ha sido lograda por la Policía Judicial, para luego sí, con la anuencia del Juez Constitucional, se logre accesar a todos los ficheros sin importar la clasificación de la información, en aras de encontrar más información, independientemente cual sea su clase. 22 La evidencia digital en Colombia, investigación publicada en el site http://www.channelplanet.com/?idcategoria=21825. Presidente y Socio del Bufete IDALI ABOGADOS Alexander Díaz García Página 20
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO Recabando en el análisis que realizo nuestra Suprema Corte, afirma que en el caso materia de análisis, nadie ha dicho que el disco duro y el teléfono celular de propiedad del postulado extraditado contienen información organizada a manera de bases de datos, sino se abre no se sabe y su apertura implica acceso información confidencial o no, esa posibilidad la tiene que legalizar el Juez de Control de Garantías. La Corporación considera que los particulares y en forma privada o no comercial, no pueden construir bases de datos pues le asigna esa función exclusivamente a los autorizados por la ley, tal como lo refiere más adelante en el cuerpo de la providencia. Agrega que muchos menos se puede sostener válidamente que tienen “fines legales y recogidos por instituciones o entidades públicas o privadas debidamente autorizadas para ello”, al punto de requerir la intervención judicial previa en orden a accesar a dicha información. Descartando entonces sus datos personales o datos sensibles que hubiera podido allí almacenar. Rechaza la actuación de la Fiscalía, que para nuestro concepto fue apropiada, legítima y constitucional, especialmente porque no se le violaban derechos humanos por un operador estatal. En el escenario internacional al que tenemos que estar preparados, en razón a los distintos tratados de derechos humanos, los que hacen un especial reconocimiento al derecho a la protección de datos y posiblemente, tenemos que actuar con una mejor prudencia judicial para no estar incurso en investigaciones de la Comisión Interamericana de Derechos Humanos. Así ocurre, por ejemplo, con el Pacto Internacional de Derechos Civiles y Políticos y con la Convención Americana de Derechos Humanos, incorporados a nuestro ordenamiento interno a través de las Leyes 74 de 1968 y 16 de 1972, respectivamente, los cuales a su vez forman parte del Bloque de Constitucionalidad por mandato expreso del artículo 93 de la Constitución Política, tal como lo señala en el discurso del Relator de la OEA, con el Derecho de la Información. Ya lo habíamos anotado que se hacía evidente a partir de las previsiones realizadas por el Comité de Derechos Humanos en la Observación General No. 16, interpretativa del artículo 17 del Pacto Internacional de Derechos Civiles y Políticos. Al respecto, la Observación indicó: “La recopilación y el registro de información personal en computadoras, bancos de datos y otros dispositivos, tanto por las autoridades públicas como por las particulares o entidades privadas, deben estar reglamentados por la ley. Los Estados deben adoptar medidas eficaces para velar por que la información relativa a la vida privada de una persona no caiga en manos de personas no autorizadas por ley para recibirla, elaborarla y emplearla y porque nunca se la utilice para fines incompatibles con el Pacto. Para que la protección de la vida privada sea lo más eficaz posible, toda persona debe tener el derecho de verificar si hay datos personales suyos almacenados en archivos automáticos de datos y, en caso afirmativo, de obtener información inteligible sobre cuáles son esos datos y con qué fin se han almacenado. Asimismo, toda persona debe poder verificar qué autoridades públicas o qué particulares u organismos privados controlan o pueden controlar esos archivos. Si esos archivos contienen datos personales incorrectos o se han compilado o elaborado en Alexander Díaz García Página 21
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO contravención de las disposiciones legales, toda persona debe tener derecho a pedir su rectificación o eliminación.”23 Desde la época de los 60 se han desarrollado instrumentos internacionales que incorporan principios tendientes a proteger la intimidad, la dignidad humana y los datos personales de cara al contexto de la sociedad de la información. Las diferencias entre unos y otros son numerosas, dado que poseen ámbitos de aplicación diferentes y grados de obligatoriedad distintos. En todo caso, entre los elementos comunes a todos estos textos, convienes señalar que en ellos se regula una serie de principios, derechos, deberes y obligaciones internacionales encabeza de todos los actores que intervienen en la recolección, tratamiento y circulación de datos personales. Dentro de los documentos más representativos sobre la materia encontramos los siguientes24: 1. Resolución 509 de 1968, de la Asamblea del Consejo de Europa, sobre “Los derechos humanos y los nuevos logros científicos” 2. Resolución 3384 del 10 de Noviembre de 1975, de la Asamblea General de la ONU: “Declaración sobre la utilización del progreso científico y tecnológico en interés de la paz y en beneficio de la humanidad.” 3. Guía para la protección de la privacidad y transferencia de flujos de información personal, elaborada por la organización para la Cooperación y el Desarrollo Económico (OECD) el 23 de Noviembre de 1980 4. Convención No. 108 del Consejo de Europa para la protección de las personas respecto del tratamiento automatizado de datos de carácter personal, suscrito en Estrasburgo el 28 de Enero de 1981. 5. Resolución 45/95, del 14 de Diciembre de 1990, de la Asamblea General de la ONU, “Principios rectores para la reglamentación de ficheros de datos personales” 6. Directiva 95/46/CE del Parlamento Europeo y del Consejo del 24 de Octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a al libre circulación de estos datos. 7. Directiva 97/66 CE sobre el tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones. 8. International Safe Harbor Privacy Principales suscrito el 21 de Julio de 2000 por el Departamento de comercio de Estados Unidos 9. Directiva 2002/58/ relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones electrónicas. 10. Carta de Derechos Humanos de la Unión Europea del 7 de Diciembre de 2000. 23 Cfr. Comité de Derechos Humanos. Observación General No. 16 “El Derecho al respecto a la vida privada, la familia, el domicilio, y la correspondencia y la protección de la honra y la reputación”. Adoptada durante el 32° período de sesiones. 1988. Párrafo 10. 24 Información tomada del libro COMERCIO ELECTRÓNICO, GECTI. De la Universidad de los Andes y del Grupo Editorial LEGIS. Alexander Díaz García Página 22
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO No obstante de existir este amparo constitucional, arguyó la Sala de Casación Penal que cuando el Magistrado a quo dio trámite a la solicitud de la fiscalía y celebró, consecuencialmente, la respectiva audiencia preliminar, incurrió en violación al debido proceso, según los términos del artículo 29 de la Constitución Política, en cuanto realizó una actuación judicial respecto de la cual carecía de competencia, vicio que obliga a la Sala a decretar la nulidad de la mencionada audiencia, a fin de que el procedimiento se encauce por la vía correcta. Criterio que no compartimos, antes por el contrario el derecho al debido proceso, es garantista de todos los demás derechos inherentes que tiene el procesado a la investigación o causa, el hecho que una alta autoridad judicial revise la constitucionalidad de la revisión de unos dispositivos en donde posiblemente se guarde datos personales y se colija la inalterabilidad de la evidencia, es darle más y mejores garantías al ciudadano sub judice. Técnicamente cuando el forense autorizado por el Juez de Garantías para la apertura de ficheros (incluso con datos sensibles) no habría ninguna violación sobre esta clase de información del imputado o acusado y se evitaría que se expusieran en el Juicio y que el Defensor formulara la exclusión de la misma por lo ilícita al habérsele violado datos personales o por una errada manipulación. Es más, con el aseguramiento previo de ella (la evidencia) no dejamos el más mínimo ápice para dudar de la validez de la prueba, pues cumpliendo los estándares internacionales de informática forense, el documento electrónico está listo para su análisis y su arribo al juicio. Navegando por la red en procura de enriquecer esta investigación encontramos como efectivamente se pueden violar datos personales almacenados en un disco duro cuando se ha visitado muchos sitios en la Internet, así como reza la situación hipotética del artículo 236 ibídem. Encontramos esta información publicada el miércoles, Septiembre 9, 2009, y que apareció como a través de la re identificación: (identificando personas en bases de datos anónimas25) se puede capturar y/o violar datos personales. Se refiere como en el año 2006, AOL26 fue requerida por el gobierno estadounidense junto con otras empresas para que facilitasen un fichero anonimizado con veinte millones de búsquedas procedentes de seiscientos cincuenta y siete mil usuarios identificados mediante claves numéricas, con el propósito de valorar el impacto de la pornografía infantil. Tras cumplir con la solicitud, AOL tuvo la ocurrencia de demostrar su apertura publicando en Internet ese fichero para su uso por la comunidad científica: total, estando ya el fichero convenientemente anonimizado y libre de toda información personal, ¿qué podía pasar? Vemos como de esta manera, pese de encontrarse la información en el disco duro de su ordenador, sino en el disco del servidor de correo, quedaron los rastros de sus visitas al localizador del proveedor del servicio. La sorpresa no se hizo esperar: en pocos días, Thelma Arnold, una mujer de 62 años residente en Lilburn, una pequeña localidad del estado de Georgia, recibía la visita en su casa de un periodista que le preguntaba si una determinada lista de búsquedas era efectivamente suya. Una pequeña investigación a partir de las 25 Información lograda con la visita que se realiza 10 de Septiembre de 2009, al site http://www.enriquedans.com/2009/09/reidentificacion-identificando-personas-en-bases-de-datos- anonimas.html 26 ISP (Internet Service Provider) AMERICAN ON LINE Alexander Díaz García Página 23
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO búsquedas de la mujer había revelado datos suficientes como para identificarla con precisión. El asunto, que terminó con la salida de la Chief Technology Officer de AOL, demostraba con claridad que las implicaciones de la revelación de datos en la privacidad no terminan en el momento en que se eliminan del fichero datos estrictamente personales como nombre, dirección, IP o número de identificación. Estos datos se encuentran almacenados en un disco de almacenamiento masivo como es el disco duro de una computadora. La re identificación es precisamente eso, el análisis de ficheros anonimizados con el fin de identificar a personas específicas a partir de ellos. Un artículo de Ars Technica, “‘Anonymized’ data really isn’t—and here’s why not“, revela que, en realidad, un 87% de los norteamericanos pueden ser identificados en una base de datos utilizando únicamente tres datos: código postal, sexo y fecha de nacimiento, no incluidos en los datos de identificación que habitualmente se eliminan de este tipo de ficheros supuestamente anonimizados. El investigador Paul Ohm recoge las conclusiones de lo que denomina “la promesa rota de la privacidad”: en la práctica, cualquier investigación medianamente seria es capaz de identificar a una persona a partir de la información fragmentaria procedente de ficheros supuestamente anonimizados de patrones de uso desarrollados en muchas de sus actividades. Aquel usuario que buscaba obsesivamente formas de matar a su mujer debería estar preocupado: en caso de llegar finalmente a cometer el crimen, sería identificado sin demasiados problemas. La respuesta es, según el investigador, sumamente clara: “los datos pueden ser útiles o perfectamente anónimos, pero nunca ambas cosas“. La mayor parte de los requisitos para el almacenamiento de datos se reducen a la eliminación de la denominada Personally Identifiable Information (PII), un conjunto de datos determinados, pero a todas luces, claramente insuficiente. Para empresas como Google, que almacenan datos indefinidamente tras su “anonimización”, las implicaciones son importantes, porque en realidad almacenan datos que serían perfectamente capaces de conducir a una identificación inequívoca aunque haya transcurrido más tiempo del período inicialmente pactado con sus usuarios. Datos que, pensando en el tipo de información que hoy en día manejamos en la red, abarcan un conjunto de cuestiones tan amplio, que puede llegar a dar vértigo, no necesariamente por lo secreto, sino por lo privado de los mismos: datos que no necesariamente busco ocultar, pero sobre los que sí tengo una determinada expectativa de privacidad. A medida que compartimos más datos y que éstos quedan registrados en más sitios, la necesidad de ser exquisitos en su protección y custodia crece, y la expectativa de privacidad disminuye, sin que parezca existir ninguna solución sencilla: incrementar los requisitos legales en el almacén de la información conduce a hacerla inservible. ¿Signo de los tiempos? ¿Resignación? ¿Generacional? ¿Metáfora de la aldea pequeña? Sin duda, algo sobre cuyas consecuencias no hemos pensado suficiente aún. Retomando nuestro análisis local, se le realizan al artículo (237), esto es, que el hecho de no participar en el control de legalidad de todas y cada una de las actuaciones que no requieren autorización judicial previa para su realización, Alexander Díaz García Página 24
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO comporta la violación del derecho al acceso a la administración de justicia27, pues dicen los inconformes, que al sustraerse de controvertir la legitimidad de un elemento probatorio recaudado que puede llegar a ser determinante en un estadio procesal posterior, se hace nugatoria toda actividad encaminada a materializar la garantía señalada en el artículo 29 Superior. La tesis nuestra es que se torna obligatorio el control de legalidad previo, para evitar violaciones de datos personales y seguridad sobre la inalterabilidad de la evidencia, implicaría una mayor participación de las partes para cuando el forense haya establecido toda la información encontrada en los medios magnéticos. Finalmente disentimos de la Honorable Corte Constitucional, cuando afirma de la no necesidad del control previo del Juez de Garantías, en la sentencia del nueve de mayo de 200728, sobre la relativa flexibilización del numeral 2° del artículo 250 de la Constitución, el que introduce el tema de los registros (que pueden recaer sobre archivos digitales o documentos computarizados), allanamientos, incautaciones e interceptación de comunicaciones, en el sentido de permitir un control posterior del juez de control de garantías, se explica en la necesidad y oportunidad del recaudo de la información, en cuanto se trata de diligencias que generalmente están referidas a realidades fácticas que pueden estar propensas a cambios repentinos, o que podrían eventualmente ser alteradas en desmedro del interés estatal de proteger la investigación. Sobre el tema pensamos al contrario, porque si no se le somete a los parámetros forenses que los protocolos internacionales exigen a esta clase de evidencia, creemos (la experiencia internacional nos enseña) puede ser sometida a manipulaciones indebidas o incorrectas como ocurrió con los datos encontrados en los ficheros de Reyes. Arriba citábamos sobre el procedimiento, que hallada la máquina, se tomarán datos volátiles, metadatos y el log de seguridad, una vez lo anterior se anclará la cadena de custodia, de esta manera se le enseña al Juez de Garantías, que lo encontrado en esa escena criminal, está incólume, esto es que la evidencia se encuentra tal cual como se halló y se le suplicará es la autorización de la revisión de su contenido. El contenido no puede ser abierto en el momento de la práctica de la diligencia, en este instante puede ser alterada la evidencia con resultados fatales para la investigación. Lograda la autorización nos va a permitir que mediante la copia espejo se extraiga toda la información, sensible o no, y se ponga a disposición de la autoridad judicial con el lleno de los requisitos legales, constitucionales y satisfechos los protocolos forenses internacionales del manejo de la evidencia digital. 27 Corte Constitucional. Sentencia C-025 de 2009. Referencia: expediente D-7226. Asunto: Demanda de inconstitucionalidad contra los artículos 237 (parcial), 242 (parcial), 243, 244 (parcial) y 245 de la Ley 906 de 2004“por la cual se expide el Código de Procedimiento Penal”. Demandante: Edgar Saavedra Rojas y otro. Magistrado Ponente: Dr. RODRIGO ESCOBAR GIL Bogotá D.C., veintisiete (27) de enero de dos mil nueve (2009). 28 Corte Constitucional. Sentencia C-336/07. Referencia: expediente D-6473. Demanda de inconstitucionalidad contra los artículos 14 (parcial), 244 (parcial) y 246 (parcial) de la Ley 906 de 2004 “Por la cual se expide el Código de Procedimiento Penal”. Actor: Alejandro Decastro González. Magistrado Ponente: Dr. JAIME CÓRDOBA TRIVIÑO Bogotá, D.C., nueve (9) de mayo de dos mil siete (2007). Alexander Díaz García Página 25
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO Finalmente para concluir el acápite, con nuestra posición, entenderíamos que la norma constitucional obliga al Delegado del Fiscal General a asegurar los elementos materiales probatorios, garantizando la cadena de custodia mientras se ejerce su contradicción y el texto de la Carta, igualmente crea la posibilidad de exigirle al mismo, medidas adicionales por afectaciones a derechos fundamentales. Se debe obtener la respectiva autorización por parte del Juez de Control de Garantías para legalizar su actuar procesal Son las anteriores potísima razones, para suplicar a esa Honorable Corte Constitucional, la declaratoria de inconstitucionalidad parcial del artículo 237 del Código de Procedimiento Penal, esto es, que se ordene o se aclare que sí se requiere del Control Previo del Juez de Garantías Constitucionales para cuando se recupera la información dejada al navegar por Internet u otros medios similares, pensamos que se refiere a dispositivos de almacenamiento masivo de información, cualquiera sea su género. 2. ANÁLISIS DEL ARTÍCULO 245. EXÁMENES DE ADN QUE INVOLUCREN AL INDICADO O AL IMPUTADO Señala la norma que cuando la policía judicial requiera la realización de exámenes de ADN, en virtud de la presencia de fluidos corporales, cabellos, vello público, semen, sangre u otro vestigio que permita determinar datos como la raza, el tipo de sangre y en especial, la huella dactilar genética, se requerirá orden expresa del Fiscal que dirige la investigación. Mandato que no compartimos, puesto que pensamos que se trata del acceso a ficheros en donde se conservan datos personales especiales o sensibles, como son los de salud, más adelante fundamentaremos la tesis en las siguientes consideraciones. El artículo en estudio señala que cuando se requiera cotejo de los exámenes de ADN con la información genética del indiciado o imputado, mediante el acceso a banco de esperma y de sangre, muestras de laboratorio clínicos, consultorios médicos u odontológicos, entre otros, deberá adelantarse la revisión de legalidad, ante el Juez de Control de Garantía, dentro de las treinta y seis (36) horas siguientes a la terminación del examen respectivo, con el fin de establecer la legalidad formal y material. Nuestra Corte Constitucional29 le ha otorgado protección especial a la información contenida en los ficheros creados en desarrollo de una actividad 29 Corte Constitucional. Sentencia C-336/07. Referencia: expediente D-6473. Demanda de inconstitucionalidad contra los artículos 14 (parcial), 244 (parcial) y 246 (parcial) de la Ley 906 de 2004 “Por la cual se expide el Código de Procedimiento Penal”. Actor: Alejandro Decastro González. Magistrado Ponente: Dr. JAIME CÓRDOBA TRIVIÑO Bogotá, D.C., nueve (9) de mayo de dos mil siete (2007) Alexander Díaz García Página 26
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO profesional o institucional de tratamiento30 de datos de carácter personal, que realizan instituciones o entidades públicas o privadas, debidamente autorizadas para el efecto, quienes actúan como operadoras de esas bases de datos. Genéricamente la Corte ha categorizado la información sistematizada en las centrales de información, para prevenir el riesgo financiero, las bases de datos que manejan las EPS, las bases de datos que manejan las clínicas, los hospitales o las universidades para la prestación de servicios, o con una finalidad lícita predeterminada, pero no las ha diferenciado, de las que almacenan datos sensibles o datos privados, esto es, un dato financiero es completamente diferente a un dato sensible como son los datos de salud de un ciudadano y por ende su tratamiento es distinto. Igualmente esa alta Corporación31 en fallo constitucional cuando revisó la ley estatutaria de Hábeas Data, se refirió a los datos privados, afirmó que el legislador estatutario ha englobado las categorías de información privada y reservada. En este caso, según se ha expuesto en esa sentencia, la posibilidad de acceso a la información es excepcional, debe estar mediada de orden judicial, y se predica únicamente de aquellos datos que, siendo privados, difieren de lo que la jurisprudencia ha denominado como datos sensibles. Al respecto, debe insistirse en que el acceso a la información privada constituye una restricción apreciable de libre ejercicio del derecho a la intimidad, razón por la cual, la decisión acerca del conocimiento de la misma es un asunto que sólo puede ser decidido por las autoridades judiciales en ejercicio de sus funciones, habida consideración de la cláusula general de reserva judicial para la restricción legítima de los derechos fundamentales. Caso distinto afirma la Corte, cuando se predica de la información sensible, relacionada, entre otros aspectos, con la orientación sexual, los hábitos del individuo y el credo religioso y político (no enunció los datos clínico o de la salud). En estos eventos, la naturaleza de esos datos pertenece al núcleo esencial del derecho a la intimidad, entendido como aquella “esfera o espacio de vida privada no susceptible de la interferencia arbitraria de las demás personas, que al ser considerado un elemento esencial del ser, se concreta en el derecho a poder actuar libremente en la mencionada esfera o núcleo, en ejercicio de la libertad personal y familiar, sin más limitaciones que los derechos de los demás y el ordenamiento jurídico”.32 En este caso, todo acto de divulgación mediante los procesos genéricos de administración de datos personales, distintos a las posibilidades de divulgación excepcional se encuentra proscrita. Ello en la medida que permitir que información de esta naturaleza pueda ser objeto de procesos ordinarios de acopio, recolección y circulación vulneraría el contenido esencial del derecho a la intimidad. 30 Se entiende por tratamiento de datos el conjunto de operaciones, trámites y procedimientos técnicos de carácter automatizado o no, que permiten la recolección, registro, grabación, ordenación, modificación, procesamiento, consulta y divulgación de datos de carácter personal. 31 Corte Constitucional Sentencia C-1011/08. Referencia: expediente PE-029. Revisión de constitucionalidad del Proyecto de Ley Estatutaria No. 27/06 Senado – 221/07 Cámara (Acum. 05/06 Senado) “por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones.” Magistrado Ponente: Dr. JAIME CÓRDOBA TRIVIÑO Bogotá, D.C., dieciséis (16) de octubre de dos mil ocho (2008). 32 Cfr. Corte Constitucional, sentencia C-517/98, concepto reiterado en la sentencia C-692/03. Alexander Díaz García Página 27
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO Sobre el tema el Maestro Remolina33 afirma que el uso inadecuado de las tecnologías de la información, se torna peligroso para los derechos humanos, la publicación de datos que por su naturaleza pertenecen a la esfera íntima de la persona o que pueden ser tomados como para prácticas discriminatoria, pensamos como cuando se entera la comunidad que alguno de los suyos es portador de VIH; también cuando se descubre que no era esa la enfermedad, pese al cuadro clínico parecido, y se descubre que se trataba de una información inexacta del laboratorio clínico en donde se tomaron las muestras. Igual suerte indica el profesor Remolina ocurre cuando la manipulación y/o cruce de los datos almacenados que permiten crear perfiles virtuales de las personas, como cuando se conoce sus pautas de comportamiento, sus tendencias políticas, religiosas, sexuales, entre otras, que pueden resultar valoradas, bien o mal, para las más diversas actividades públicas o privadas. También incluye el riesgo de que la información de las personas sea conocida y manipulada por grupos ilegales (recordemos la técnica usada por un guerrillero cuando era aparentemente un empleado bancario en una ciudad al norte de Colombia) para diferentes fines y finalmente describe la utilización de la información para fines no permitidos por la ley o no autorizados por el titular del dato. Recuerda cómo se vulneran en Colombia los derechos fundamentales por el inadecuado tratamiento de sus datos personales, como fue el señalado en la sentencia T-310 de 2003, en donde una orden de captura perdió vigencia, permaneciendo registrada en los ficheros de la Fiscalía y de las autoridades de seguridad ciudadana. La jurisprudencia colombiana ya se había ocupado del tema, sobre el tratamiento especial que merece los informes clínicos o los ficheros de salud. Afirma que se hace necesario que hablemos sobre el sigilo que le da la ley le imprime a la información o datos de salud, como son los informes sanitarios o epidemiológicos, entre otros, éstos deben ser tan prudentes, a riesgo de violar el secreto médico34 . En verdad, dice la Corte Constitucional, que para los fines generales de la policía de salud pública, resulta desproporcionado que en los registros, sin su autorización, figure el nombre del paciente y sus condiciones personales, máxime si se tiene en cuenta que de esa revelación podrían desprenderse discriminaciones y consecuencias prácticas indeseables. En fin, la única forma de no violar el secreto médico, en este contexto, es el de reportar la novedad, sin aludir al dato particularizado. El tratamiento de los datos de salud es un tema especialmente sensible que exige tener muy presentes determinados aspectos que van a ser abordados en posteriores párrafos, como son el derecho a la intimidad de los pacientes, la necesidad de obtener su consentimiento para el tratamiento de los datos contenidos en su historia clínica y la confidencialidad de la información sanitaria, contenida en los ficheros de esperma y de sangre, muestras de laboratorio clínicos, consultorios médicos u odontológicos, entre otra información sensible. 33 REMOLINA ANGARITA. Nelson. CENTRALES DE INFORMACIÓN, HÁBEAS DATA Y PROTECCIÓN DE DATOS PERSONALES: AVANCE, RETOS Y ELEMENTOS PARA SU REGULACIÓN. Ed. UNIVERSIDAD DE LOS ANDES. EDITORIAL LEGIS. 2005 34 Así lo considera la Corte Constitucional en Sentencia C-264/96 Demanda de inconstitucionalidad contra los artículos 37 (parcial) y38 (parcial) de la Ley 23 de1981 "Por la cual se dictan normas en materia de ética médica "Magistrado Ponente: Dr. EDUARDO CIFUENTES MUÑOZ. Santa Fe de Bogotá, D.C., Junio trece (13) de mil novecientos noventa y seis (1996). Aprobado por Acta Nº 28. Alexander Díaz García Página 28
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO Para ingresar al tema tenemos primero que definir algunos conceptos acerca de los datos de salud, sus registros y soporte. En primera instancia definiremos la Historia Clínica35 como un documento privado, obligatorio y sometido a reserva, en el cual se registran cronológicamente las condiciones de salud del paciente, los actos médicos y los demás procedimientos ejecutados por el equipo de salud que interviene en su atención, y no podrán ser excluidos la información genética del indicado o imputado, sus exámenes de esperma y /o de sangre, muestras de laboratorio clínico, creemos con mayor razón si se requirieran datos sensibles de adolescentes infractores. Dicho documento únicamente puede ser conocido por terceros previa autorización del paciente o por las autoridades judiciales en los casos previstos por la ley, consideramos que no pueden ser, sino después de la anuencia del Juez de Control de Garantías. Ahora bien debemos comprender que son condiciones de salud, y ésta es la información del paciente que se registra en los datos e informes acerca de la condición somática, psíquica, social, cultural, económica y medioambiental que pueden incidir en la salud del usuario. . En tratándose de la Historia Clínica para efectos archivísticos, se debe entender como el expediente conformado por el conjunto de documentos en los que se efectúa el registro obligatorio del estado de salud, los actos médicos y demás procedimientos ejecutados por el equipo de salud que interviene en la atención de un paciente, el cual también tiene el carácter de reservado. Consideramos que se debe incluir sin que necesariamente tengan que hacer parte del referenciado fichero, los exámenes externos que se realicen en su integridad para conocer su estado de salud, como podrían ser los exámenes practicados por laboratorios forenses, son también datos de salud o datos sensibles. Las características que tiene la historia clínica, las que aparentemente no tienen ninguna relevancia para este estudio, consideramos que se torna oportuno enunciarlas tal como las establece la norma en cita36 y son: Integralidad: La historia clínica de un usuario debe reunir la información de los aspectos científicos, técnicos y administrativos relativos a la atención en salud en las fases de fomento, promoción de la salud, prevención específica, diagnóstico, tratamiento y rehabilitación de la enfermedad, abordándolo como un todo en sus aspectos biológico, psicológico y social, e interrelacionado con sus dimensiones personal, familiar y comunitaria. Secuencialidad: Los registros de la prestación de los servicios en salud deben consignarse en la secuencia cronológica en que ocurrió la atención. Desde el punto de vista archivístico la historia clínica es un expediente que de manera cronológica debe acumular documentos relativos a la prestación de servicios de salud brindados al usuario. 35 Resolución 1995 de 1999 del Ministerio de Salud, art. 1 36 Resolución 1995 de 1999 del Ministerio de salud, modificada por la Resolución 1715 de Junio 13 de 2005, del hoy Ministerio de la Protección Social. Publicado en el Diario Oficial No. 45.940 de Junio 15 de 2005. Alexander Díaz García Página 29
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO Racionalidad científica: Es la aplicación de criterios científicos en el diligenciamiento y registro de las acciones en salud brindadas a un usuario, de modo que evidencie en forma lógica, clara y completa, el procedimiento que se realizó en la investigación de las condiciones de salud del paciente, diagnóstico y plan de manejo. Disponibilidad: Es la posibilidad de utilizar la historia clínica en el momento en que se necesita, con las limitaciones que impone la Ley. Oportunidad: Es el diligenciamiento de los registros de atención de la historia clínica, simultánea o inmediatamente después de que ocurre la prestación del servicio. Obligatoriedad del registro. Los profesionales, técnicos y auxiliares que intervienen directamente en la atención a un usuario, tienen la obligación de registrar sus observaciones, conceptos, decisiones y resultados de las acciones en salud desarrolladas, conforme a las características señaladas en la presente resolución, no se descartan los médicos o científicos forenses. En tratándose de la responsabilidad del personal de la salud respecto a la historia clínica, debemos recordar que son responsables de su integridad, exactitud y guarda del fichero clínico y que ésta cumpla con los propósitos para la cual ha sido diseñada. No obstante resalta la norma que es el médico quien tiene la mayor responsabilidad relativa tanto en forma individual como colectiva, la cual radica no solo en el registro de sus observaciones en forma oportuna, clara, completa y exacta, sino que además debe revisar los aportes de otras disciplinas de la salud y comentar sobre ellos especialmente si los resultados son inesperados, la delegación que este realice en su elaboración no perderá su carácter de responsable ante la ley. Se advierte que debe existir el secreto médico o profesional, en toda persona que tenga acceso al fichero de salud o a los datos que formen parte de ella, deberá guardar el secreto profesional, so pena de la persona que divulgue información de la historia clínica a personas no autorizadas será sancionada . Todos los derechos y deberes plasmados en la Constitución Política son inviolables. Las esferas de protección que de ellos se deducen, no pueden ser desconocidas por ninguna autoridad o persona privada. La regulación legal que se dicte con sujeción a la Constitución y al contenido esencial de tales derechos y deberes, que verse sobre sus condiciones de ejercicio y de aplicabilidad, no puede sin más considerarse violatoria de los mismos. Cada uno de los derechos en una perspectiva teórica puede ser ilimitadamente expansivo, de suerte que si no se señalan cauces para su ordenado ejercicio y restricciones, fatalmente se anularía a los restantes y se suprimiría la posibilidad de su simultánea y pacífica práctica colectiva. La Constitución, por regla general, se limita a definir los derechos y los deberes fundamentales. Corresponde a la ley, dentro del marco de la Constitución y con el debido respeto a los valores y principios democráticos que ella preconiza, promover la efectividad de los derechos y deberes fundamentales y, para el efecto, fijar las condiciones necesarias para su ejercicio y los procedimientos y mecanismos adecuados para su defensa. Alexander Díaz García Página 30
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO Ahora bien analizaremos algunos aspectos legales de tipo clínicos y médicos que se deben considerar para cuando se realizan el cotejo de información con ficheros de salud del indiciado o imputado. Sobre la reserva de la historia clínica37 nuestra Corte Constitucional, ha afirmado que su contenido y los informes que de la misma se deriven, están sujetos a reserva y, por lo tanto, sólo pueden ser conocidos por el médico y su paciente. Que sólo con la autorización del paciente, puede revelarse a un tercero el contenido de su historia clínica. Levantada la reserva de la historia clínica, su uso debe limitarse al objeto y al sentido legítimo de la autorización dada por el paciente. Datos extraídos de la historia clínica de un paciente, sin su autorización, no puede ser utilizados válidamente como prueba en un proceso judicial. No puede el Legislador señalar bajo qué condiciones puede legítimamente violarse el secreto profesional. El profesional depositario del secreto profesional está obligado a mantener el sigilo y no es optativo para éste revelar su contenido o abstenerse de hacerlo. En situaciones extremas en las que la revelación del secreto tuviere sin duda la virtualidad de evitar la consumación de un delito grave podría inscribirse el comportamiento del profesional en alguna de las causales justificativas del hecho. Este secreto y/o manejo de la reserva de los datos de salud, su ejercicio está consagrado en el artículo 37 de la Ley 23 de 198138 , cuando le establece al profesional médico a guardar el secreto en todo aquello que por razón del ejercicio de su profesión haya visto, oído o comprendido, siendo no ético o ilícito revelarlo sin justa causa; obliga a sus auxiliares también a guardarlo. Se resalta que teniendo en cuenta los consejos que dicte la prudencia, la revelación del secreto profesional se podrá hacer: a) Al (paciente) enfermo, en aquello que estrictamente le concierne y convenga. b) A los familiares del enfermo, si la revelación es útil al tratamiento. c) A los responsables del paciente, cuando se trate de menores de edad o de personas mentalmente incapaces. d) A las autoridades judiciales o de higiene y salud, en los casos previstos pro la Ley. e) A los interesados, cuando por defectos físicos irremediables o enfermedades graves infecto-contagiosas o hereditarias, se ponga en peligro la vida del cónyuge o de su descendencia. 37 Corte Constitucional. Sentencia C-264/96. Referencia: Expediente Nº D-1139. Actor: Jaime Alberto Miranda Arroyo. Demanda de inconstitucionalidad contra los artículos 37 (parcial) y 38 (parcial) de la Ley 23 de 1981 "Por la cual se dictan normas en materia de ética médica". Magistrado Ponente: Dr. EDUARDO CIFUENTES MUÑOZ. Santa Fe de Bogotá, D.C., Junio trece (13) de mil novecientos noventa y seis (1996). 38 LEY 23 DE 1981. (febrero 18) Diario Oficial No. 35.711, del 27 de febrero de 1981. Por la cual se dictan normas en materia de ética médica. Alexander Díaz García Página 31
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO Señala la Resolución 39 del entonces Ministerio de Salud, que tendrán acceso a las historias clínicas, las siguientes personas: • El Usuario • El equipo de salud (Profesional, técnica y auxiliar del área de la salud que asistan al usuario, los auditores médicos de aseguradoras y prestadores responsables de la calidad del servicio de salud brindado) • Las autoridades judiciales y de salud en los casos previsto por la Ley • Las demás personas determinadas por la Ley Las autoridades competentes para conocer la historia clínica son: La Superintendencia Nacional de Salud, Los jueces de la república, El Tribunal de Ética Médica, La Fiscalía General de la nación y la Procuraduría General de la Nación9. En cuanto a la custodia de la historia clínica, la norma en estudio afirma que la institución o prestador del servicio de salud, están obligados a custodiar la historia clínica en forma organizada y tenerla disponible en el momento en que se necesite. La entrega de copias al paciente cuando lo solicite se realiza única y exclusivamente para fines procedentes de acuerdo con la Ley. En la sentencia T 443/94 de la corte constitucional se expresa: “Las instituciones de salud tienen el deber especial de mantener archivos de información relevante que asegure a la persona conocer plenamente cuál era su situación y cómo se procedió en el caso específico; así como la obligación de suministrarle toda la información personal cuando este la solicite”. La institución de salud o el proveedor del servicio entonces deben cumplir con los procedimientos de archivo o custodia de la historia clínica y puede entregar copias al paciente o a su representante legal cuando lo solicite para efectos legales. En cuanto al término de permanencia de los datos de salud, se han establecido tres tipos de archivos, a saber: Gestión, con 5 años desde la última atención. Central cuando se ha sobrepasado más de 5 años sin ingresar nueva información Histórico de conservación permanente para casos con valor especial. La historia clínica debe conservarse por un periodo mínimo de 20 años a partir de la última atención. Ya para concluir considero que no es desproporcionado solicitarle a esa Honorable Corporación que declare la norma en cita, su inconstitucionalidad 39 RESOLUCION 1995 DE 1999. Por la cual se establecen normas para el manejo de la Historia Clínica EL MINISTRO DE SALUD En ejercicio de las facultades legales y en especial las conferidas por los artículos 1, 3, 4 y los numerales 1 y 3 del artículo 7 del Decreto 1292 de 1994 Alexander Díaz García Página 32
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO parcial, pues es la misma Carta Fundamental la que obliga al Delegado del Fiscal General a asegurar los elementos materiales probatorios, garantizando la cadena de custodia mientras se ejerce su contradicción e igualmente crea la posibilidad de exigirle al mismo, medidas adicionales por afectaciones a derechos fundamentales, y lo obliga a que debe obtener la respectiva autorización por parte del Juez de Control de Garantías para legalizar su actuar procesal. Para terminar, tenemos que el acceso de la información contenida en ficheros clínicos o de salud, tal como reza el artículo 245 del Código de Procedimiento Penal, violan derechos constitucionales (el de la intimidad), toda vez que para accesar a esta clase de información para su cotejo, debe dársele el mismo tratamiento que se le da a la inspección corporal señalado en el artículo 247, (pruebas invasivas) porque los resultados de laboratorio se registrarán en ficheros en donde contienen datos sensibles y éstos posteriormente serán consultados o comparados como resalta el propósito del la norma en estudio, creemos que cuando se solicita la práctica de esta prueba invasiva, se debe solicitar consecuentemente la legalidad de la apertura de los ficheros de su historia clínica para los cotejos respectivos. Los datos sensibles (ficheros clínicos o médicos) son de uso exclusivo del titular de los mismos y que su acceso, sin su anuencia, se requiere del control previo del Juez de Control de Garantías. COROLARIO EN CARGOS CONCRETOS Después de los anteriores planteamientos académicos colegimos que el texto que aparece con el siguiente tenor: “…..o recuperación de información dejada al navegar por internet u otros medios similares,” (subrayas y negritas nuestras), del artículo 237 de la Ley 906 de 2004 es inconstitucional en cuanto permiten la práctica de diligencias que afectan derechos fundamentales como es el caso de recuperación de información dejada al navegar en la Internet (recordemos que no sólo se navega conectado a una red externa, también se puede navegar sin conexión), en donde por la búsqueda o recuperación, sin atender los protocolos arriba enunciados, podríamos accesar a información confidencial en bases de datos, sin contar con la previa autorización del juez de control de garantías, y, sin que la medida se encuentre prevista en las excepciones, a ése control previo, que establece el numeral 2º del artículo 250 de la Constitución. Además el legislador se ha arrogado la potestad de clasificar las medidas que demandan control previo del juez de garantías (Art.246) a partir de la ubicación de la medida en la ley, sin considerar situaciones prácticas forenses (tal vez por tal desconocimiento de la materia) y prescindiendo del criterio valorativo determinante que es la afectación de derechos fundamentales, la regulación constitucional y los Derechos Humanos. Los que han sido protegidos nacional e internacionalmente de una manera clara y explícita por la Corte Constitucional, el Comité de Derechos Humanos, la Comisión y Corte Interamericana de Derechos Humanos, entre otros órganos de protección y supervisión de derechos. Alexander Díaz García Página 33
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO Si no procediéramos como deprecamos respetuosamente ante la Corte, iríamos en contravía de lo afirmado por esa misma Corporación40 cuando concluyó que por medio del acto Legislativo 03 de 2002 el Constituyente optó por afianzar el carácter acusatorio del sistema procesal penal colombiano, estructurando a la Fiscalía General de la Nación como una instancia especializada en la investigación de los delitos y estableciendo que, como regla general, las decisiones que restringen los derechos constitucionales de los investigados e imputados son tomadas por los jueces y tribunales. De esta manera, la creación del Juez de control de garantías, responde al principio de necesidad efectiva de protección judicial, en razón a que muchas de las medidas procesales que se adoptan en el curso de la investigación penal entran en tensión con el principio de inviolabilidad de determinados derechos fundamentales, los cuales únicamente pueden ser afectados en sede jurisdiccional. Se trata de una clara vinculación de la investigación a la garantía de los derechos fundamentales tanto del investigado como de la víctima, que fungen así como límites de la investigación. Una formulación coherente con la estructura de un proceso penal de tendencia acusatoria, como el que configura la Ley 906 de 2004, exige que las discusiones relacionadas con la afectación de los derechos fundamentales del imputado, se resuelvan en el ámbito jurisdiccional. Finalmente para concluir el acápite, con nuestra posición, entenderíamos que la norma constitucional obliga al Delegado del Fiscal General a asegurar los elementos materiales probatorios, garantizando la cadena de custodia mientras se ejerce su contradicción y el texto de la Carta, igualmente crea la posibilidad de exigirle al mismo, medidas adicionales por afectaciones a derechos fundamentales. Se debe obtener la respectiva autorización por parte del Juez de Control de Garantías para legalizar su actuar procesal Concluimos que no es desproporcionado solicitarle a esa Honorable Corporación que declare la norma en cita, su inconstitucionalidad parcial, pues es la misma Carta Fundamental la que obliga al Delegado del Fiscal General a asegurar los elementos materiales probatorios, garantizando la cadena de custodia mientras se ejerce su contradicción e igualmente crea la posibilidad de exigirle al mismo, medidas adicionales por afectaciones a derechos fundamentales, y lo obliga a que debe obtener la respectiva autorización por parte del Juez de Control de Garantías para legalizar su actuar procesal. Ahora bien, expusimos y probamos que igualmente el acceso de la información contenida en ficheros clínicos o de salud, tal como reza el artículo 245 del Código de Procedimiento Penal, violan derechos constitucionales (el de la intimidad), toda vez que para accesar a esta clase de información para su cotejo, debe dársele el mismo tratamiento que se le da a la inspección corporal señalado en el artículo 247, (pruebas invasivas) porque los resultados de laboratorio se registrarán en ficheros en donde contienen datos sensibles (su tratamiento es de carácter especial, se sabe) y éstos posteriormente serán consultados o comparados como resalta el propósito del la norma en estudio, creemos que cuando se solicita la práctica de esta prueba invasiva, se debe 40 Corte Constitucional, sentencia C-1092 de 2003, M.P., Álvaro Tafur Galvis. Alexander Díaz García Página 34
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO solicitar consecuentemente la legalidad de la apertura de los ficheros de su historia clínica para los cotejos respectivos. Recordemos como el numeral 3 del artículo 25041 de la Carta, la Fiscalía General de la Nación deberá “asegurar los elementos materiales probatorios, garantizando la cadena de custodia mientras ejerce su contradicción. En caso de requerirse medidas adicionales que impliquen afectación de derechos fundamentales, deberá obtenerse la respectiva autorización por parte del juez que ejerza las funciones de control de garantías para poder proceder a ello.” Esta disposición establece el principio general para el aseguramiento de los elementos materiales probatorios, según el cual cuando haya afectación de derechos fundamentales, la práctica de medidas para obtener tales elementos probatorios requiere de autorización judicial, este artículo afecta derechos fundamentales, como es el acceso a datos sensibles, sin el consentimiento del Juez de Control de Garantías Según esta disposición constitucional es la afectación de derechos fundamentales la que obliga al Fiscal a solicitar de manera expresa y específica la autorización judicial previa. El empleo del término afectación implica, según su grado, una limitación o restricción indebida al ejercicio o goce de un derecho fundamental. Dicha limitación, restricción o merma debe estar prevista en una ley (principio de reserva legal) y requiere, además, de la intervención judicial (principio de reserva judicial), para determinar si resulta irrazonable o desproporcionada42. Los datos sensibles (ficheros clínicos o médicos) son de uso exclusivo del titular de los mismos y que su acceso, sin su anuencia, se requiere del control previo del Juez de Control de Garantías, como la legislación y jurisprudencia internacional le ha dado esa connotación. COMPETENCIA DE LA HONORABE CORTE CONSTITUCIONAL Conforme a los artículos 241 de la Constitucional Política y 43 de la Ley 270 de 1996, corresponde a la Corte Constitucional la guarda de la integridad y supremacía de la Constitución, y con tal fin, cumplirá la función de “Decidir sobre las demandas de inconstitucionalidad que presenten los ciudadanos contra las 41 Modificado mediante Acto Legislativo 03 de 2002, artículo 2. 42 Corte Constitucional, sentencia C-822 de 2005, M.P., Manuel José Cepeda Espinosa. En esta sentencia la Corte, al estudiar la constitucionalidad de los artículos 247, 248, 249 de la Ley 906 de 2004, que regulan la práctica de la inspección corporal (247) el registro corporal (248) y la obtención de muestras que involucren al imputado (249), declaró su constitucionalidad condicionada, entre otros requisitos, al requerimiento de la autorización previa por parte del juez de control de garantías. Consideró la Corte que “las medidas previstas en las normas acusadas implican afectación de derechos fundamentales y amenazan el principio de la dignidad humana (artículo 1, C.P.), por lo tanto, siempre es necesario que se acuda al juez de control de garantías para solicitarle que autorice la práctica de estas medidas tal como lo ordena el artículo 250 numeral 3° de la Constitución (…)”. Alexander Díaz García Página 35
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO leyes, tanto por su contenido material como por vicios de procedimiento en su formación”. Por su parte, el Decreto Legislativo 2067 de 1991 establece el régimen procedimental de los juicios y actuaciones que deban surtirse ante la Corte Constitucional y se han cumplido los presupuestos señalados en el artículo segundo sobre los requisitos que debe contener toda demanda en los procesos 43 de inconstitucionalidad. La jurisprudencia de la Corte Constitucional, por su parte, ha establecido la necesidad de cumplir con todos y cada uno de estos requerimientos. Se trata, como lo dijo esa alta Corporación al declarar exequible la norma citada, de “unos requisitos mínimos razonables que buscan hacer más viable el derecho de participación política, sin atentar en ningún momento contra su núcleo esencial”44. Son ustedes entonces, competentes. Honorables Magistrados, para conocer y fallar sobre esta demanda. NOTIFICACIONES Las recibo en la Carrera 6 C No. 1 A 114 Barrio Irazú Ibagué Tolima, teléfonos 3123771149 y 3003128144, y de conformidad a los preceptos el artículo 169 inciso tercero del Código de Procedimiento Penal, en la siguiente dirección electrónica alediganet@gmail.com , alediaganet@hotmail.com De los Honorables Magistrados, 43 Dice la citada norma: “Artículo 2º. Las demandas en las acciones públicas de inconstitucionalidad se presentarán por escrito, en duplicado, y contendrán: 1. El señalamiento de las normas acusadas como inconstitucionales, su transcripción literal por cualquier medio o un ejemplar de la publicación oficial de las mismas; 2. El señalamiento de las normas constitucionales que se consideren infringidas; 3. Los razones por las cuales dichos textos se estiman violados; 4. Cuando fuera el caso, el señalamiento del trámite impuesto por la Constitución para la expedición del acto demandado y la forma en que fue quebrantado; y 5. La razón por la cual la Corte es competente para conocer de la demanda". 44 Corte Constitucional Sentencia C-131 de 1993 M.P. Alejandro Martínez Caballero. Esta sentencia declaró la constitucionalidad del artículo 2 del Decreto 2067 de 1991, y estableció el punto de partida de la jurisprudencia constitucional respecto de la sistematización de los requisitos que deben cumplir las demandas de constitucionalidad. Los lineamientos generales sobre la materia han sido desarrollados, entre otras, en las sentencias C-024 de 1994 (M.P. Alejandro Martínez Caballero); C-504 de 1995 (M.P. José Gregorio Hernández Galindo); C-609 de 1996 (M.P. Vladimiro Naranjo Mesa); C-236 de 1997 (M.P. Antonio Barrera Carbonell); y, C- 447 de 1997 (M.P. Alejandro Martínez Caballero). Ciertamente, existen muchos otros pronunciamientos sobre el particular que desarrollan y precisan los elementos esbozados en estos fallos. Cuando sea necesario, se harán las referencias puntuales a los textos citados. Alexander Díaz García Página 36
  • ALEXANDER DÍAZ GARCÍA ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO Con todo respeto ALEXANDER DÍAZ GARCÍA C.C. No. 19.354.360 de Bogotá Alexander Díaz García Página 37