RÉGIMEN LEGAL DE BOGOTÁ D.C.

Doctor (Sic)

ZULMA ROJAS SUAREZ

zrojas@alcaldiabogota.gov.co

Asunto: Radicación: 14-018039- -00002-0000

Trámite: 113

Evento: 0

Actuación: 440

Folios: 1

Estimado(a) Doctor:

Con el alcance previsto en el artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, damos respuesta a su consulta radicada en esta Entidad con el número que se indica en el asunto, en los siguientes términos.

1. Objeto de la Consulta

Manifiesta en su escrito lo siguiente: \"(…) Quisiera saber si ustedes tienen disposicón (sic) o interpretación sobre la protección de datos de las personas víctimas de la violencia y el tratamiento que se le debe dar a ellos\".

Nos permitimos suministrarle información relevante en relación con el tema de la consulta, con el fin de brindarle mayores elementos de juicio al respecto. Lo anterior, teniendo en cuenta que mediante un concepto esta Oficina no puede resolver situaciones particulares de los peticionarios.

2. Facultades de la Superintendencia de Industria y Comercio en materia de datos personales

La Ley 1581 de 2012 \"por la cual se dictan disposiciones generales para la protección de datos personales\", en su artículo 21, señala las siguientes funciones para esta Superintendencia:

a) Velar por el cumplimiento de la legislación en materia de protección de datos personales;

b) Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. Para el efecto, siempre que se desconozca el derecho, podrá disponer que se conceda el acceso y suministro de los datos, la rectificación, actualización o supresión de los mismos;

c) Disponer el bloqueo temporal de los datos cuando, de la solicitud y de las pruebas aportadas por el Titular, se identifique un riesgo cierto de vulneración de sus derechos fundamentales, y dicho bloqueo sea necesario para protegerlos mientras se adopta una decisión definitiva.

d) Promover y divulgar los derechos de las personas en relación con el Tratamiento de datos personales e implementara campañas pedagógicas para capacitar e informar a los ciudadanos acerca del ejercicio y garantía del derecho fundamental a la protección de datos.

e) Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley.

f) Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones.

g) Proferir las declaraciones de conformidad sobre las transferencias internacionales de datos.

h) Administrar el Registro Nacional Público de Bases de Datos y emitir las órdenes y los actos necesarios para su administración y funcionamiento.

i) Sugerir o recomendar los ajustes, correctivos o adecuaciones a la normatividad que resulten acordes con la evolución tecnológica, informática o comunicacional.

j)Requerir la colaboración de entidades internacionales o extranjeras cuando se afecten los derechos de los Titulares fuera del territorio colombiano con ocasión, entre otras, de la recolección internacional de datos personales.

k) Las demás que le sean asignadas por ley.

2.1. Ámbito de aplicación de la Ley 1581 de 2012

La Ley 1581 de 2012 tiene como objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma.

El artículo 2 de la precitada Ley señala como ámbito de aplicación lo siguiente:

Ámbito de aplicación. Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada.

Por su parte, el artículo 3 de la mencionada Ley señala las siguientes definiciones:

c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

d) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.

e) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.

f) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.

g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

La precitada ley aplica al tratamiento, es decir, la recolección, almacenamiento, uso, circulación o supresión, de datos personales registrados en cualquier base de datos o archivos de entidades públicas o privadas.

Respecto a la definición de dato personal la Corte Constitucional mediante sentencia C-748 de 2011 señaló lo siguiente:

En efecto, la jurisprudencia constitucional ha precisado que las características de los datos personales –en oposición a los impersonales- son las siguientes: “i) estar referido a aspectos exclusivos y propios de una persona natural, ii) permitir identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.”

Por lo anterior, los datos personales a los que se refiere la Ley 1581 de 2012 son todos aquellos que permitan vincular o asociar la identificación de una persona natural, dichos datos son de propiedad de su titular y por ello la captación, administración y divulgación de los mismos está supeditado a los principios de legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.

Ahora bien, respecto al concepto de bases de datos o archivos la Corte Constitucional mediante Sentencia C-748 de 2011 señaló lo siguiente:

El literal b) define las bases de datos como un “(…) conjunto organizado de datos personales que sea objeto de tratamiento”. Pese a que esta definición es bastante amplia y parece coincidir más con la de banco de datos empleada en la Ley 1266, en tanto el legislador goza de libertad de configuración en la materia, puede adoptar definiciones diferentes dependiendo de la regulación.

Ahora bien, la definición se ajusta a la Carta, pues cobija todo espacio donde se haga alguna forma de tratamiento del dato, desde su simple recolección, lo que permite extender la protección del habeas data a todo tipo de hipótesis. En concordancia, la Sala recuerda, como se indicó en la consideración 2.4.3.2., que el concepto de base de datos cobija los archivos, entendidos como depósitos ordenados de datos, lo que significa que los archivos están sujetos a las garantías previstas en el proyecto de ley.

Por lo anterior, la Ley 1581 de 2012 se aplica a los datos personales que se encuentren en bases de datos o archivos de entidades públicas o privadas, entendidos estos, como el conjunto organizados o depósitos ordenados de datos personales sujetos a tratamiento, es decir, a la recolección, el almacenamiento, el uso, la circulación o la supresión de los mismos.

En relación con la aplicación de la Ley 1581 de 2012 a las entidades públicas y privadas la Corte Constitucional en la precitada Sentencia señaló lo siguiente:

[P]or último, respecto de la tercera condición –posibilidad de tratamiento de los datos por entidades públicas o privadas, para la Sala surge la duda de si el empleo del término entidades supone una restricción inconstitucional, pues podría limitar el ámbito de aplicación a datos personales susceptibles de ser tratados solamente por personas jurídicas, lo que excluiría los casos de tratamiento por personas naturales.

Sin embargo, la Sala observa que el término entidad tienen varias acepciones, una de la cuales incluye a las personas naturales. En efecto, según el Diccionario de la Real Academia de la Lengua, una entidad puede ser una “[c]olectividad considerada como unidad. Especialmente, cualquier corporación, compañía, institución, etc., tomada como persona jurídica”, pero también puede ser un “[e]nte o ser”; esta segunda definición –más amplia- cobija a las personas naturales.

Así, en atención a los principios de interpretación conforme a la Constitución y de conservación del derecho, la Sala concluye que debe entenderse –sin necesidad de condicionar la exequibilidad del precepto- que la interpretación del inciso que se ajusta a la Carta es aquella según el cual el término entidades comprende tanto las personas naturales como jurídicas. De modo que así entendida la condición, la Sala también concluye que es compatible con la Carta, pues cobija las hipótesis necesarias para que el proyecto cumpla su finalidad de brindar protección a los datos personales.

Para terminar, resalta la Sala la importancia de esta disposición, en tanto reconoce que el tratamiento de datos personales también puede ser efectuado por personas privadas; de hecho, en el mundo globalizado, el sector privado lleva a cabo una parte muy considerable del tratamiento de datos, lo que lo dota de un poder informático a gran escala y lo convierte en un potencial vulnerador del derecho al habeas data. De ahí que uno de los grandes retos de la protección de los datos personales es la creación de mecanismos para hacer responsables a los particulares por el tratamiento inadecuado y abusivo de datos personales.

Por lo anterior, es responsable del tratamiento de los datos personales la persona natural o jurídica pública o privada cuando decide sobre la base de datos en la que se encuentran o su tratamiento, esto es, la recolección, almacenamiento, uso, circulación o supresión de los mismos.

2.2. Datos Sensibles

El artículo 5 de la Ley 1581 de 2012 señala lo siguiente:

Datos sensibles. Para los propósitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

Al respecto, la Corte Constitucional mediante sentencia C-748 de 2011 señaló lo siguiente:

\"La Sala encuentra que esta definición se ajusta a la jurisprudencia Constitucional y su delimitación, además de proteger el habeas data, es una garantía del derecho a la intimidad, razón por la cual la Sala la encuentra compatible con la Carta Política.

En efecto, como explicó la Corte en la sentencia C-1011 de 2008, la información sensible es aquella “(…) relacionada, entre otros aspectos, con la orientación sexual, los hábitos del individuo y el credo religioso y político. En estos eventos, la naturaleza de esos datos pertenece al núcleo esencial del derecho a la intimidad, entendido como aquella esfera o espacio de vida privada no susceptible de la interferencia arbitraria de las demás personas, que al ser considerado un elemento esencial del ser, se concreta en el derecho a poder actuar libremente en la mencionada esfera o núcleo, en ejercicio de la libertad personal y familiar, sin más limitaciones que los derechos de los demás y el ordenamiento jurídico.”

Conforme a esta explicación, la definición del artículo 5 es compatible con el texto constitucional, siempre y cuando no se entienda como una lista taxativa, sino meramente enunciativa de datos sensibles, pues los datos que pertenecen a la esfera intima son determinados por los cambios y el desarrollo histórico.\"

Respecto al derecho a la intimidad, la Corte Constitucional en sentencia C- 640 de 2010 ha manifestado lo siguiente:

Desde 1992, la Corte Constitucional reconoció el derecho a la intimidad como un derecho fundamental que permite a las personas manejar su propia existencia como a bien lo tengan con el mínimo de injerencias exteriores. Se dijo en ese entonces que se trataba de un derecho “general, absoluto, extrapatrimonial, inalienable e imprescriptible y que se pueda hacer valer \"erga omnes\", vale decir, tanto frente al Estado como a los particulares. En consecuencia, toda persona, por el hecho de serlo, es titular a priori de este derecho y el único legitimado para permitir la divulgación de datos concernientes a su vida privada.

(...)

Se afirmó también que la intimidad es “el espacio intangible, inmune a las intromisiones externas, del que se deduce un derecho a no ser forzado a escuchar o a ser lo que no desea escuchar o ver, así como un derecho a no ser escuchado o visto cuando no se desea ser escuchado o visto.” En 1995, se reiteró esta visión del derecho a la intimidad, cuando se afirmó que “..este derecho, que se deduce de la dignidad humana y de la natural tendencia de toda persona a la libertad, a la autonomía y a la autoconservación, protege el ámbito privado del individuo y de su familia como el núcleo humano más próximo. Uno y otra están en posición de reclamar una mínima consideración particular y pública a su interioridad, actitud que se traduce en abstención de conocimiento e injerencia en la esfera reservada que les corresponde y que está compuesta por asuntos, problemas, situaciones y circunstancias de su exclusivo interés. Esta no hace parte del dominio público y, por tanto, no debe ser materia de información suministrada a terceros, ni de la intervención o análisis de grupos humanos ajenos, ni de divulgaciones o publicaciones (…)

(...)

El derecho a la intimidad, junto con otros derechos como el del libre desarrollo de la personalidad y la libertad de conciencia, están concebidos para permitir a las personas fortalecer y desarrollar su condición de seres libres y autónomos, que es el presupuesto esencial del estado democrático.

(...)

De conformidad con la definición y el análisis de los datos sensibles, la condición de víctimas de la violencia puede afectar la intimidad del titular de la información y el uso indebido de la misma puede generar su discriminación, por el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud y a la vida. En esa medida, en concepto de esta Superintendencia, dicha condición, predicada de un individuo concreto que se pueda identificar plenamente, tiene la condición de dato sensible por la potencialidad que tiene de afectar el derecho a la intimidad y generar discriminación. Por lo anterior, el tratamiento de estos datos debe garantizar los derechos fundamentales de habeas data y el de la intimidad.

Ahora bien, los datos sensibles tienen el siguiente tratamiento de acuerdo al artículo 6 de la Ley 1581 de 2012:

Tratamiento de datos sensibles. Se prohíbe el Tratamiento de datos sensibles, excepto cuando:

a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.

b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y éste se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.

c) El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular.

d) El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

e) El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.

Al respecto, la Corte Constitucional mediante la sentencia C-748 de 2011 señaló lo siguiente:

[C]omo se indicó en apartes previos, la prohibición de tratamiento de datos sensibles es una garantía del habeas data y del derecho a la intimidad, y además se encuentra estrechamente relacionada con la protección de la dignidad humana. Sin embargo, en ciertas ocasiones el tratamiento de tales datos es indispensable para la adecuada prestación de servicios –como la atención médica y la educación- o para la realización de derechos ligados precisamente a la esfera íntima de las personas –como la libertad de asociación y el ejercicio de las libertades religiosas y de opinión. Las excepciones del artículo 6 responden precisamente a la necesidad del tratamiento de datos sensible en dichos escenarios.

(…)

En efecto, los datos sensibles (de las partes, los testigos y otros intervinientes) en muchos procesos judiciales son indispensables para resolver una controversia; piénsese por ejemplo en un proceso de tutela sobre discriminación o en un proceso penal en el que una víctima reclama reparación por violaciones a sus derechos como consecuencia de una persecución política o religiosa. En estos casos los datos sensibles deben ser puestos en conocimiento de la respectiva autoridad judicial no solamente para resolver la controversia, sino incluso para la adopción de medidas de protección.

Respecto a la autorización para el tratamiento de los datos personales como la recolección, almacenamiento, uso, circulación o supresión de los mismos debe tenerse en cuenta el principio de libertad definido en el literal c) del artículo 4 de la mencionada ley así:

c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento Al respecto, la Corte Constitucional mediante Sentencia C-748 de 2011 señaló lo siguiente:

\"[P]rincipio de libertad: El tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

Este principio, pilar fundamental de la administración de datos, permite al ciudadano elegir voluntariamente si su información personal puede ser utilizada o no en bases de datos. También impide que la información ya registrada de un usuario, la cual ha sido obtenida con su consentimiento, pueda pasar a otro organismo que la utilice con fines distintos para los que fue autorizado inicialmente.

El literal c) del Proyecto de Ley Estatutaria no sólo desarrolla el objeto fundamental de la protección del habeas data, sino que se encuentra en íntima relación con otros derechos fundamentales como el de intimidad y el libre desarrollo de la personalidad. En efecto, el ser humano goza de la garantía de determinar qué datos quiere sean conocidos y tiene el derecho a determinar lo que podría denominarse su “imagen informática”.

(...)

En materia de manejo de información personal, el consentimiento exigido es además, calificado, por cuanto debe ser previo, expreso e informado. Sobre el particular, en la Sentencia C-1011 de 2008 se sostuvo que tales características concretan la libertad del individuo frente al poder informático

(…)

En relación con el carácter previo, la autorización debe ser suministrada, en una etapa anterior a la incorporación del dato. (…)

En relación con el carácter expreso, la autorización debe ser inequívoca, razón por la cual, al contrario de lo sostenido por algunos intervinientes, no es posible aceptarse la existencia, dentro del ordenamiento jurídico colombiano, de un consentimiento tácito. (…)

En relación con el carácter informado, el titular no sólo debe aceptar el Tratamiento del dato, sino también tiene que estar plenamente consciente de los efectos de su autorización. (…)\"

Por lo anterior, el tratamiento de los datos personales sólo puede realizarse cuando exista la autorización previa, expresa e informada del titular, con el fin de permitir al titular que se garantice que en todo momento y lugar pueda conocer en dónde está su información personal, para qué propósitos ha sido recolectada y qué mecanismos tiene a su disposición para su actualización y rectificación.

La autorización del titular fue reglamentada a través del Decreto 1377 de 2013 y en su artículo 5 señala lo siguiente:

Autorización. El Responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento.

Para el tratamiento de los datos sensibles el artículo 6 del precitado Decreto señala lo siguiente:

De la autorización para el Tratamiento de datos personales sensibles. El Tratamiento de los datos sensibles a que se refiere el artículo 5 de la Ley 1581 de 2012 está prohibido, a excepción de los casos expresamente señalados en el artículo 6 de la citada ley.

En el Tratamiento de datos personales sensibles, cuando dicho Tratamiento sea posible conforme a lo establecido en el artículo 6 de la Ley 1581 de 2012, deberán cumplirse las siguientes obligaciones:

1. Informar al Titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento.

2. Informar al Titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento, así como obtener su consentimiento expreso.

Ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles.

En concordancia con lo anterior, el artículo 7 del precitado decreto dispone:

Modo de obtener la autorización. Para efectos de dar cumplimiento a lo dispuesto en el artículo 9 de la Ley 1581 de 2012, los Responsables del Tratamiento de datos personales establecerán mecanismos para obtener la autorización de los Titulares o de quien se encuentre legitimado de conformidad con lo establecido en el artículo 20 del presente decreto, que garanticen su consulta. Estos mecanismos podrán ser predeterminados a través de medios técnicos que faciliten al Titular su manifestación automatizada. Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (i) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del Titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.

Por lo anterior, los responsables del tratamiento de los datos personales deben obtener la autorización por parte del titular a más tardar al momento de su recolección informándole la finalidad específica del tratamiento de los mismos, y debe utilizar mecanismos que garanticen su consulta posterior.

Se entiende que el titular de la información ha dado su autorización para el tratamiento de los datos personales cuando: (i) sea por escrito; (ii) sea oral o (iii) mediante conductas inequívocas, es decir, aquellas que no admiten duda o equivocación, del titular que permitan concluir de forma razonable que otorgó la autorización. El silencio no puede asimilarse a una conducta inequívoca.

Para el caso de los datos sensibles, la autorización explícita se refiere solo a que sea escrita o verbal.

3. Conclusiones

3.1. La Ley 1581 de 2012 tiene aplicación para los datos personales registrados en bases de datos de entidades públicas o privadas.

3.2. Los responsables puedan hacer el tratamiento (recolección, almacenamiento, uso, circulación o supresión) de los datos personales, contando con la autorización expresa, previa e informada del titular y el tratamiento solo puede hacerse para los fines exclusivos para los cuales fue entregada la información por el titular.

3.3. En el caso de los datos sensibles, es decir, aquellos que pueden afectar la intimidad del titular de la información y el uso indebido de los mismos puede generar su discriminación, por el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud y a la vida, la autorización debe ser explícita y hacerse por escrito o verbalmente y en el evento en que el titular no autorice su tratamiento, no se podrá impedir el acceso a los trámites, diligencias o actuaciones ante entidades públicas o privadas.

Si requiere mayor información sobre el desarrollo de nuestras funciones y sobre las normas objeto de aplicación por parte de esta Entidad, puede consultar nuestra página de Internet www.sic.gov.co

Atentamente,

WILLIAM ANTONIO BURGOS DURANGO

Jefe Oficina Asesora Jurídica

Elaboró Carolina García

Revisó y Aprobó William Burgos d.