Los ciudadanos podrán ejercer su derecho de hábeas data en cualquier momento y sus datos personales sólo podrán usarse para el propósito original, tal y como lo establece el Decreto 1377 de 2013, que reglamentó parcialmente la Ley General de Protección de Datos Personales, Ley 1581 de 2012. Esta normativa estableció que las empresas que quieran seguir usando datos personales que hayan recogido antes de la expedición de este Decreto, soliciten la autorización de los ciudadanos mediante los canales que usan habitualmente para comunicarse con ellos, como por ejemplo correos electrónicos, llamadas telefónicas, correos certificados, entre otros. Sólo en aquellos casos en que fuera imposible comunicarse directamente, a las organizaciones se les permitió acudir a mecanismos alternos de comunicación masiva como la publicación de avisos de prensa y/o avisos en las páginas web.
Si el usuario no contesta las notificaciones dentro de los 30 días hábiles siguientes, no quiere decir que pierda el control sobre su información, esto solo supone que las entidades y empresas pueden seguir utilizando los datos hasta tanto el ciudadano manifieste lo contrario. Eso sí, las empresas y entidades sólo pueden utilizar la información para los fines para los que inicialmente la recogió.
Esto quiere decir, que si pasado ese tiempo al que se refiere la norma para que las entidades pidan autorización a los usuarios, un ciudadano quiere ejercer su derecho de habeas data a actualizar, corregir o eliminar su información de una base de datos, lo podrá hacer de forma directa ante las entidades o empresas, y en cualquier tiempo.
Cabe resaltar, que la utilización de la información para una finalidad distinta por parte de los responsables o encargados, podrá dar inicio a una investigación administrativa de la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio, que podrá imponer multas hasta por dos mil (2.000) salarios mínimos legales mensuales vigentes. Esta sanción también se aplicará cuando una empresa o entidad, no le permita a un ciudadano actualizar, corregir o eliminar su información personal incorporada en una base de datos en cualquier momento.
La solicitud de autorización por parte de las entidades a los usuarios, hace parte de la transición necesaria que deben cumplir las organizaciones para ponerse al día con la nueva legislación que tiene Colombia en protección de datos personales, que busca garantizar los derechos de los ciudadanos a solicitar la eliminación o modificación de la información sin ninguna limitación en el tiempo.
Esta transición también es necesaria porque evita los efectos de una crisis informática que podría presentarse si se hubiese ordenado en la Ley a todas las organizaciones eliminar de forma masiva los datos personales de sus registros.
Así mismo, es un mecanismo efectivo de comunicación para difundir los derechos de los ciudadanos y concientizar a los empresarios sobre sus deberes en el manejo responsable y adecuado de la información personal.
La Superintendencia de Industria y Comercio verificará que se haya contactado directamente a los titulares para efectos de solicitar la autorización para poder continuar utilizando los datos personales, y que en los casos en que, de manera excepcional, se haya acudido a mecanismos como la publicación de avisos en prensa, el responsable realmente se encontrara legitimado para hacerlo.
La SIC también vigilará que no se restrinja de forma indebida el ejercicio del derecho de hábeas data por parte de las organizaciones y que en ningún caso la información se use para fines diferentes a aquellos para las cuales fue recogida.
Este régimen de transición fue avalado por la Corte Constitucional cuando se hizo el examen de revisión de constitucionalidad de la Ley General de Protección de Datos Personales (Ley 1581 de 2012).