Sobre el carácter subsidiario de la acción de protección de privacidad: alcance y aplicación en entornos digitales

SENTENCIA CONSTITUCIONAL PLURINACIONAL 1195/2025-S2
Sucre, 13 de octubre de 2025

JURISPRUDENCIATCPM. CONSTITUCIONALJurisprudencia constitucionalAcción de protección de privacidad
Solo Jurisprudencia
Por: Solo Jurisprudencia
22/58
Tiempo estimado de lectura: 4 minutos

Conforme lo establecido en el art. 131.I de la CPE: “La Acción de Protección de Privacidad tendrá lugar de acuerdo con el procedimiento previsto para la acción de Amparo Constitucional”; de ello se infiere que esta acción se rige bajo el principio de subsidiariedad, en el entendido de que el accionante debe, en principio, presentar su pretensión ante el responsable de los archivos o bancos de datos públicos o privados donde obran los datos cuestionados, o frente a quien tiene en su poder datos o documentos de cualquier naturaleza, que puedan afectar al derecho o la intimidad y privacidad personal, familiar o a la propia imagen, honra y reputación.

El carácter subsidiario de esta acción fue sostenida por éste Tribunal desde la SC 0965/2004-R de 23 de junio, que estableció: “…el hábeas data es una acción de carácter subsidiario, es decir, que solamente puede ser viable en el supuesto que el titular del derecho lesionado haya reclamado ante la entidad pública o privada encargada del banco de datos, la entrega de la información o datos personales obtenidos o almacenados, y en su caso, la actualización, rectificación o supresión de aquella información o datos falsos, incorrectos, o que inducen a discriminaciones, y no obtiene una respuesta positiva o favorable a su requerimiento, o sea que la entidad pública o privada no asume inmediatamente la acción solicitada. Dicho de otro modo, el hábeas data se activa exclusivamente cuando la persona demuestra que ha acudido previamente ante la entidad pública o privada para pedir la restitución de su derecho lesionado y no ha podido lograr la reparación a dicha vulneración” (las negrillas nos corresponden).

Ahora bien, siendo que la identificación del sujeto pasivo en la acción de protección de privacidad no responde a un juicio de culpabilidad, sino a un criterio funcional, determinado por la capacidad técnica o material sobre el dato impugnado que posibilite la efectivización de lo previsto en el art. 63 del Código Procesal Constitucional (CPCo); consecuentemente, y siguiendo este razonamiento, en los entornos digitales el principio de subsidiariedad exige que los reclamos se dirijan ante los responsables del archivo o banco de datos -esto es, la plataforma, repositorio digital, o cualquier entidad que administre sistemas de registro y tratamiento de datos personales- que tengan el poder de disposición sobre el dato, es decir, quien tenga poder de editar, modificar o suprimir el dato.

En este sentido, debe diferenciarse:

i) La eliminación visible del contenido, que puede ser realizada directamente por el titular de la cuenta desde la cual se efectuó la publicación, lo que no puede hacerse cuando existe suplantación de identidades, perdida del acceso de ingreso a una plataforma y/o existe hackeo, etc.; y,

ii) La supresión definitiva de los datos almacenados en los servidores de la plataforma, que únicamente puede ejecutar la empresa responsable del tratamiento de la información.

En se marco, cuando la pretensión tutelar se limita a la rectificación o eliminación visible del dato, el accionante debe, previamente, formular el reclamo ante el usuario que detente tales facultades, sea a través de un mensaje privado o en la misma publicación, justificando la eliminación, corrección o exhibición de un dato. Solo así se tendrá por cumplido el principio de subsidiariedad. Si pese a ello, la persona no obtiene respuesta o ésta resulta insuficiente, quedará expedita la vía constitucional.

Por su parte, cuando la pretensión consiste en la supresión/eliminación del dato -esto es, el retiro o eliminación del dato de los servidores donde se encuentra almacenado-, el agotamiento de la vía debe realizarse a través de los mecanismos establecidos por las empresas a efectos de cumplir con el principio de subsidiariedad para la procedencia de la acción de protección de privacidad.

La persona afectada con la publicación que acusa de lesiva, debe presentar un reporte en línea directamente en el portal de ayuda de la plataforma o red social y, en su caso, un formulario de denuncia, reportando la publicación y señalando el motivo según corresponda acoso o intimidación, difamación o ataque a la reputación de personas privadas, difusión de información privada no consentida, u otros- y la correspondiente respuesta y, en su caso, la impugnación de la respuesta si está prevista la misma, permitiendo de esta manera que la red social analice el contenido publicado y, de ser ciertas las denuncias, elimine, modifique o complemente el contenido o restrinja su visualización; esto, considerando que las distintas plataformas o redes sociales se encuentran sujetas a normas internacionales de protección de derechos humanos y tienen la posibilidad de modificar ello previamente a interponer la acción de protección de privacidad.

0