RÉGIMEN LEGAL DE BOGOTÁ D.C.

© Propiedad de la Secretaría Jurídica Distrital de la Alcaldía Mayor de Bogotá D.C.

Secretaría
Jurídica Distrital

Cargando el Contenido del Documento
Por favor espere...

Concepto 133 de 2017 Secretaría General Alcaldía Mayor de Bogotá, D.C.

Fecha de Expedición:
03/01/2017
Fecha de Entrada en Vigencia:
Medio de Publicación:
Temas
La Secretaría Jurídica Distrital aclara que la información aquí contenida tiene exclusivamente carácter informativo, su vigencia está sujeta al análisis y competencias que determine la Ley o los reglamentos. Los contenidos están en permanente actualización.


 
 

MEMORANDO

MEMORANDO


Para:  YESID LANCHEROS

           Oficina Consejería de Comunicaciones

 

De:     JEFE OFICINA JURÍDICA

 

Asunto: Concepto Jurídico Habeas Data- Correos masivos- Transferencia de información entre entidades públicas.

 

No. de radicación: 3-2017-133 de 03/01/2017

                  

Cordial saludo:

 

Damos respuesta a la solicitud del asunto, remitida por la Directora Distrital de Doctrina y Asuntos Normativos, recibida el 08 de noviembre de 2016, por medio de la cual se consulta sobre la viabilidad jurídica de hacer uso de las bases de datos de la ciudadanía para implementar el envío masivo de correos electrónicos con la finalidad de informar sobre los proyectos, logros y demás acciones ejecutadas por el Señor Alcalde Mayor de Bogotá, D.C. Adicionalmente requiere se aclare la posibilidad de solicitar a otras entidades la transferencia de bases de datos personales con la misma finalidad.

 

1. MARCO LEGAL.

 

La Constitución Política establece en el artículo 15 el derecho que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, así:

 

Artículo 15. Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.”


El artículo 227 de la Ley 1450 de 20111, modificado por el artículo 159 de la Ley 1753 de 20152, dispone:

 

Artículo 227. Obligatoriedad de suministro de información. Para el desarrollo de los planes, programas y proyectos incluidos en el Plan Nacional de Desarrollo y en general para el ejercicio de las funciones públicas, las entidades públicas y los particulares que ejerzan funciones públicas, pondrán a disposición de las entidades públicas que así lo soliciten, la información que generen, obtengan, adquieran o controlen y administren, en cumplimiento y ejercicio de su objeto misional. El uso y reutilización de esta información deberá garantizar la observancia de los principios y normas de protección de datos personales, de conformidad con lo dispuesto en las Leyes 1581 de 2012 y 1712 de 2014, así como las demás normas que regulan la materia.”

 

La Ley Estatutaria 1581 de 20123 señala en los artículos 3, 4, 10:

 

Artículo 3°. Definiciones. Para los efectos de la presente ley, se entiende por:

 

a) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales;

 

b) Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento;

 

c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;

 

d) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento;

 

e) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos;

 

f) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento;

 

g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.”

 

En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.”

 

Artículo 4°. Principios para el Tratamiento de datos personales. En el desarrollo, interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los siguientes principios (…)

 

f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley;


Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley”.

 

Artículo 10. Casos en que no es necesaria la autorización. La autorización del Titular no será necesaria cuando se trate de:

 

a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial; (…)


Quien acceda a los datos personales sin que medie autorización previa deberá en todo caso cumplir con las disposiciones contenidas en la presente ley.” (Subrayas fuera del texto original).

 

El Decreto 1377 de 20134 establece en el artículo 3:

 

Artículo 5°. Autorización. El Responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento.

 

Los datos personales que se encuentren en fuentes de acceso público, con independencia del medio por el cual se tenga acceso, entendiéndose por tales aquellos datos o bases de datos que se encuentren a disposición del público, pueden ser tratados por cualquier persona siempre y cuando, por su naturaleza, sean datos públicos.

 

En caso de haber cambios sustanciales en el contenido de las políticas del Tratamiento a que se refiere el Capítulo III de este decreto, referidos a la identificación del Responsable y a la finalidad del Tratamiento de los datos personales, los cuales puedan afectar el contenido de la autorización, el Responsable del Tratamiento debe comunicar estos cambios al Titular antes de o a más tardar al momento de implementar las nuevas políticas. Además, deberá obtener del Titular una nueva autorización cuando el cambio se refiera a la finalidad del Tratamiento.”   (Subrayas fuera del texto original).

 

2. CONSIDERACIONES.

 

El tratamiento de los datos recolectados se encuentra sujeto a los principios consagrados en el artículo 4 de la Ley 1581 de 2012, entre ellos el de circulación restringida según el cual los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a la ley.

 

Con fundamento en los parámetros fijados por la normatividad enunciada, se debe hacer precisión respecto de la calidad de la Alcaldía Mayor de Bogotá, D.C., frente al tratamiento de los datos personales recolectados de terceros (titulares). Así, de conformidad con lo señalado por el artículo 3 de la Ley 1581 de 2012, la Alcaldía ostenta la calidad de Responsable, en la medida que tiene la potestad de decidir sobre el tratamiento (circulación) de datos.

 

Ahora bien, las diferentes dependencias de la Alcaldía (en su calidad de responsables) al momento de llevar a cabo la recolección de los datos personales estaban obligadas a solicitar la correspondiente autorización a los titulares, en los términos de lo señalado por el artículo 5 del Decreto 1377 de 2013, es decir, entre otros, indicando la finalidad a la que se destinaba la información recolectada.

 

En este orden de ideas, toda modificación de la finalidad para la cual fueron recolectados los datos personales, incluyendo el destinarlos a la comunicación sobre la existencia de distintos programas o proyectos que adelanta la Alcaldía Mayor de Bogotá, D.C., o a informarles los logros de ésta, requiere de una nueva autorización del titular. Lo anterior teniendo en cuenta el principio de acceso y circulación restringida al que se sujeta el tratamiento de datos personales.

 

Por otra parte, el artículo 10 de la Ley 1581 de 2012, establece algunas excepciones frente a la autorización que debe mediar en el tratamiento de los datos personales recolectados. Al respecto, la Corte Constitucional mediante sentencia C- 478 de 20115, señaló:

 

En relación, con las autoridades públicas o administrativas, señaló la Corporación que tal facultad “no puede convertirse en un escenario proclive al abuso del poder informático, esta vez en cabeza de los funcionarios del Estado. Así, el hecho que el legislador estatutario haya determinado que el dato personal puede ser requerido por toda entidad pública, bajo el condicionamiento que la petición se sustente en la conexidad directa con alguna de sus funciones, de acompasarse con la garantía irrestricta del derecho al hábeas data del titular de la información. En efecto, amén de la infinidad de posibilidades en que bajo este expediente puede accederse al dato personal, la aplicación del precepto bajo análisis debe subordinarse a que la entidad administrativa receptora cumpla con las obligaciones de protección y garantía que se derivan del citado derecho fundamental, en especial la vigencia de los principios de finalidad, utilidad y circulación restringida.

 

Para la Corte, esto se logra a través de dos condiciones: (i) el carácter calificado del vínculo entre la divulgación del dato y el cumplimiento de las funciones de la entidad del poder Ejecutivo; y (ii) la adscripción a dichas entidades de los deberes y obligaciones que la normatividad estatutaria predica de los usuarios de la información, habida consideración que ese grupo de condiciones permite la protección adecuada del derecho.

 

En relación con el primero señaló la Corporación que “la modalidad de divulgación del dato personal prevista en el precepto analizado devendrá legítima, cuando la motivación de la solicitud de información esté basada en una clara y específica competencia funcional de la entidad.” Respecto a la segunda condición, la Corte estimó que una vez la entidad administrativa accede al dato personal adopta la posición jurídica de usuario dentro del proceso de administración de datos personales, lo que de forma lógica le impone el deber de garantizar los derechos fundamentales del titular de la información, previstos en la Constitución Política y en consecuencia deberán: “(i) guardar reserva de la información que les sea suministrada por los operadores y utilizarla únicamente para los fines que justificaron la entrega, esto es, aquellos relacionados con la competencia funcional específica que motivó la solicitud de suministro del dato personal; (ii) informar a los titulares del dato el uso que le esté dando al mismo;  (iii) conservar con las debidas seguridades la información recibida para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento; y (iv) cumplir con las instrucciones que imparta la autoridad de control, en relación con el cumplimiento de la legislación estatutaria.”

 

Mediante Concepto No.16-127041-0002-0000 la Superintendencia de Industria y Comercio como máxima autoridad en la materia, indicó:

 

“Las autoridades administrativas podrán solicitar información relacionada con sus funciones, sin contar con la autorización previa de los titulares, en virtud de la excepción a este requisito, prevista en el literal a) del artículo 10 de la Ley 1581 de 2012. Sin embargo, deberá cumplir con las obligaciones de protección y garantía del derecho fundamental al habeas data, en especial, la vigencia de los principios de finalidad, utilidad y circulación restringida.

 

En consecuencia, frente a su inquietud, si quien solicita la información –en este caso el notario público- tiene la condición de autoridad administrativa, en tal calidad le es aplicable la excepción prevista en el literal a) del artículo 10 la Ley 1581 de 2012, siempre y cuando se cumpla con los siguientes requisitos:

 

(i) La solicitud de información que realiza la autoridad administrativa debe estar relacionada con las funciones de dicha entidad,

 

(ii) La autoridad administrativa receptora de la información debe dar cumplimiento a las normas de componen el régimen de protección de datos personales, y en este sentido velar por los principios de finalidad, circulación restringida y seguridad, entre otros.”

 

En este orden de ideas, la autorización de que trata el artículo 5 del Decreto 1377 de 2013 no es necesaria, ya que se enmarca en las excepciones contenidas en el artículo 10 de la Ley 1581 de 2012. Para el caso que nos ocupa el literal a) ibídem permite el suministro de información a entidades públicas o administrativas que en ejercicio de sus funciones legales la soliciten, sin embargo, el responsable del tratamiento de los datos y previamente a la entrega de información requerida por la entidad pública o administrativa debe verificar el cumplimiento de los presupuestos señalados por la Corte Constitucional en sentencia C- 478 de 2011.

 

3. CONCLUSIONES.

La utilización de datos personales como la dirección de correo electrónico contenidos en bases de datos cuyo responsable es la Alcaldía Mayor de Bogotá D.C., se debe limitar a la finalidad para la cual se recolectaron. Una modificación a esta finalidad debe ser sometida a una nueva autorización por parte de los titulares tal como lo señala el artículo 5 del Decreto 1377 de 2013.

 

El artículo 10 de la Ley 1581 de 2012 establece como una de las excepciones a la autorización que requiere el tratamiento de datos personales el suministro de información a otras entidades públicas o administrativas, sin embargo el responsable del tratamiento de los datos debe observar el cumplimiento de los presupuestos señalados por la Corte Constitucional en sentencia C- 478 de 2011, es decir la existencia de dos condiciones: una, el carácter calificado del vínculo entre la divulgación del dato y el cumplimiento de las funciones de la entidad del poder Ejecutivo y otra, la adscripción a dichas entidades de los deberes y obligaciones que la normatividad estatutaria predica de los usuarios de la información, habida consideración que ese grupo de condiciones permite la protección adecuada del derecho.

 

El presente concepto se emite con el alcance previsto en el artículo 28 de la Ley 1437 de 2011, sustituido por el artículo 1 de la Ley 1755 de 2015, es decir, se trata de un criterio orientador que no es de obligatorio cumplimiento o ejecución.

 

Atentamente,

JULIANA VALENCIA ANDRADE


NOTAS DE PIE DE PÁGINA

 

1 Por la cual se expide el Plan Nacional de Desarrollo, 2010-2014.

2 Por la cual se expide el Plan Nacional de Desarrollo 2014-2018 “Todos por un nuevo país”.

3 Por la cual se dictan disposiciones generales para la protección de datos personales.

4 Por el cual se reglamenta parcialmente la Ley 1581 de 2012. Norma compilada en el artículo el Decreto1074 de 2015 por medio del cual se expide el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo.

5 Expediente PE-032. M.P. Jorge Ingnacio  Pretelt Chaljub.


Proyectó: Ana Cristina Bolaños.
Revisó: Juliana Valencia.