RÉGIMEN LEGAL DE BOGOTÁ D.C.
© Propiedad de la Secretaría Jurídica Distrital de la Alcaldía Mayor de Bogotá D.C.
© Propiedad de la Secretaría Jurídica Distrital de la Alcaldía Mayor de Bogotá D.C.
 |
Cargando el Contenido del Documento |
| Por favor espere... |
|
DIRECTIVA 002 DE 2018
(Febrero 06)
PARA: SECRETARIOS (AS) DE DESPACHO, DIRECTORES (AS) DE DEPARTAMENTOS ADMINISTRATIVOS, GERENTES, PRESIDENTES (AS) Y DIRECTORES (AS) DE ESTABLECIMIENTOS PÚBLICOS, UNIDADES ADMINISTRATIVAS ESPECIALES, EMPRESAS INDUSTRIALES Y COMERCIALES DEL DISTRITO, SOCIEDADES DE ECONOMÍA MIXTA, SOCIEDADES ENTRE ENTIDADES PÚBLICAS, EMPRESA DE ACUEDUCTO Y ALCANTARILLADO DE BOGOTÁ, D.C., EMPRESAS SOCIALES DEL ESTADO, ALCALDES/AS LOCALES, Y RECTOR DEL ENTE UNIVERSITARIO AUTÓNOMO.
DE: SECRETARIA JURÍDICA DISTRITAL
ASUNTO: TRATAMIENTO DE DATOS PERSONALES
El artículo 15 de la Constitución Política establece que todas las personas “(...) tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas”. Así mismo, determina que “en la recolección, tratamiento y circulación de datos, se respetarán la libertad y demás garantías consagradas en la Constitución”. El artículo 20 por su parte, regula el derecho a la información en condiciones de veracidad e imparcialidad y garantiza el derecho a la rectificación en condiciones de equidad.
En desarrollo de los artículos constitucionales mencionados, se expidió la Ley 1581 de 2012 y el Decreto 1377 de 2013 relativos al hábeas data y la protección de datos personales y la Ley 1712 de 2014 que regula específicamente el derecho de acceso a la información pública en posesión o bajo control de las entidades públicas, los procedimientos para el ejercicio y garantía del derecho y las excepciones a la publicidad de información.
Ahora bien, con el objeto de garantizar los derechos, libertades y garantías constitucionales relacionados con la recolección, tratamiento y circulación de datos, la Secretaría Jurídica Distrital, en el marco de las funciones establecidas en el artículo 3° del Decreto Distrital 323 de 2016, fija los siguientes lineamientos en materia de protección y tratamiento de datos personales:
1. Definición de dato personal
Se entiende por dato personal “(...) cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables” (art. 3, Ley 1581 de 2012) que cumpla entre otras, las siguientes características: “(i) está referido a aspectos exclusivos y propios de una persona natural, ii) permite identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.” (Superintendencia de Industria y Comercio, concepto 13-33980- -1-0).
Los datos personales pueden ser públicos, semiprivados y privados o sensibles dependiendo de su mayor o menor grado de aceptabilidad de divulgación. Son datos públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas; son semiprivados los datos que no tienen naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio y finalmente, son privados los datos que por su naturaleza íntima o reservada sólo son relevantes para el titular como el origen racial o étnico, la orientación política o las convicciones religiosas.
2. Ámbito de aplicación de la Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales” - Tratamiento - Obligación de las entidades públicas
Los principios y disposiciones de la ley 1581 son aplicables a los datos personales que se encuentren en bases de datos o archivos de entidades públicas o privadas, entendidos estos, como el conjunto o depósito organizado de datos personales sujetos a tratamiento (art. 2, Ley 1581 de 2012). El tratamiento por su parte, se refiere a la utilización, recolección, almacenamiento, circulación y supresión de los datos personales que se encuentren registrados en cualquier base de datos o archivos por parte de entidades públicas o privadas y en cuyo procesamiento sea utilicen medios tecnológicos o manuales.
En ese sentido, las entidades públicas son responsables del tratamiento de los datos personales cuando deciden sobre las bases de datos o su tratamiento, vale reiterar, cuando realicen cualquier operación o conjunto de operaciones sobre datos personales como la recolección, almacenamiento, uso, circulación o supresión.
3. Principio de acceso y circulación restringida
El Principio de acceso y circulación restringida indica que el tratamiento de los datos personales se sujeta a los límites que se derivan de la naturaleza de los datos, las disposiciones de la ley y la Constitución y los principios de su administración. En este sentido, el tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la ley.
En relación con este principio, la Corte Constitucional ha determinado que “(...) se encuentra prohibida toda conducta tendiente al cruce de datos entre las diferentes bases de información, excepto cuando exista una autorización legal expresa, es decir, lo que la jurisprudencia ha denominado el principio de individualidad del dato. Como consecuencia de lo anterior, queda prohibido generar efectos jurídicos adversos frente a los Titulares, con base, únicamente en la información contenida en una base de datos.” (Sentencia C-748 de 2011)
Así, los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable y su conocimiento sea restringido a los Titulares o terceros autorizados por la ley.
4. Principio de finalidad
El Principio de acceso y circulación restringida por su parte, determina que el tratamiento de los datos personales deberá obedecer a una finalidad legítima de acuerdo con la Constitución y la ley. El responsable del tratamiento informará al Titular de manera clara, suficiente y previa sobre la finalidad de la información suministrada.
A este respecto, la Superintendencia de Industria y Comercio ha precisado que “(...) los datos personales deben ser procesados con un propósito específico y explícito. En ese sentido, la finalidad no sólo debe ser legítima, sino que la referida información se destinará a realizar los fines exclusivos para los cuales fue entregada por el titular (...)” (concepto 13-33980- -1-0). Así, “los datos personales deben ser procesados sólo en la forma que la persona afectada puede razonablemente prever. Si, con el tiempo, el uso de los datos personales cambia a formas que la persona razonablemente no espera, debe obtenerse el consentimiento previo del titular.”
El principio de finalidad implica entonces, un ámbito temporal, es decir que el periodo de conservación de los datos personales no exceda el necesario para alcanzar la finalidad con que fueron solicitados y un ámbito material, que exige que los datos recaudados sean los estrictamente necesarios para el cumplimiento de las finalidades perseguidas, de tal forma que se encuentra prohibido el registro y divulgación de datos que no guarden estrecha relación con el objetivo del archivo o la base de datos.
5. Solicitud de autorización
Para la autorización, la entidad pública informará al Titular los datos personales que serán recolectados, las finalidades específicas del tratamiento para las cuales se obtiene el consentimiento, la posibilidad de que sean transmitidos, transferidos o consultados por otras entidades y el tiempo que permanecerán en las bases de datos. De acuerdo con el artículo 10, de la Ley 1581 de 2012, no se requerirá la autorización en los siguientes casos:
“a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial; b) Datos de naturaleza pública;
c) Casos de urgencia médica o sanitaria;
d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos; e) Datos relacionados con el Registro Civil de las Personas.”
Así mismo, la entidad pública indicará el carácter facultativo del Titular en materia de datos sensibles o de niñas, niños y adolescentes; señalará los derechos que tiene como Titular y determinará la identificación, dirección física o electrónica y teléfono del Responsable del tratamiento.
En caso de que existan cambios sustanciales sobre la identificación del Responsable o la finalidad del tratamiento de los datos personales, el Responsable comunicará estos cambios al Titular antes de o a más tardar al momento de implementar las nuevas políticas. Cuando el cambio se refiera específicamente a la finalidad del tratamiento, la Entidad deberá obtener una nueva autorización del Titular.
6. Suministro de Datos Personales
El artículo 13 de la Ley 1581 de 2012 establece que la información podrá suministrarse a las siguientes personas:
a) A los Titulares, sus causahabientes o sus representantes legales.
b) A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.
c) A los terceros autorizados por el Titular o por la ley.
Ahora bien, la Corte Constitucional señaló que las entidades públicas o administrativas en particular, deben garantizar los principios de finalidad, utilidad y circulación restringida de la información suministrada, a través de dos condiciones:
a) El carácter calificado del vínculo entre la divulgación del dato y el cumplimiento de una clara y específica competencia funcional de la entidad; y
b) Una vez la entidad administrativa accede al dato personal adopta la posición jurídica de usuario dentro del proceso de administración de datos personales, lo que de forma lógica le impone el deber de garantizar los derechos fundamentales del titular de la información, previstos en la Constitución Política.
En consecuencia, la entidad deberá: “(i) guardar reserva de la información que les sea suministrada por los operadores y utilizarla únicamente para los fines que justificaron la entrega, esto es, aquellos relacionados con la competencia funcional específica que motivó la solicitud de suministro del dato personal; (ii) informar a los titulares del dato el uso que le esté dando al mismo; (iii) conservar con las debidas seguridades la información recibida para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento; y (iv) cumplir con las instrucciones que imparta la autoridad de control, en relación con el cumplimiento de la legislación estatutaria.” (Sentencia C-748 de 2011).
A pesar de lo anterior, las autoridades administrativas podrán realizar el tratamiento de los datos personales sin autorización del titular, siempre y cuando la solicitud de información esté basada en una clara y específica competencia funcional de la entidad y garanticen la protección de los derechos de hábeas data del titular. (Superintendencia de Industria y Comercio, Concepto 13-269399- -00001-0000).
7. Publicidad de la información
De acuerdo con el artículo 2 de la Ley 1712 de 2014, “toda información en posesión, bajo control o custodia de un sujeto obligado es pública y no podrá ser reservada o limitada sino por disposición constitucional o legal”. Se entiende por sujeto obligado “toda entidad pública, incluyendo las pertenecientes a todas las Ramas del Poder Público, en todos los niveles de la estructura estatal, central o descentralizada por servicios o territorialmente, en los órdenes nacional, departamental, municipal y distrital [...] “.
A este respecto, es importante señalar que la información pública definida como “toda información que un sujeto obligado genere, obtenga, adquiera, o controle en su calidad de tal”, se divide en dos categorías:
1. La información pública clasificada definida como “aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, pertenece al ámbito propio, particular y privado o semiprivado de una persona natural o jurídica.” Su acceso podrá ser rechazado o denegado de manera motivada y por escrito, siempre que el acceso pudiere causar un daño a alguno de los siguientes derechos: “a) El derecho a la intimidad, bajo las limitaciones propias que impone la condición de servidor público. [...]
b) El derecho de toda persona a la vida, la salud o la seguridad.
c) Los secretos comerciales, industriales y profesionales.”
2. La Información pública reservada definida como “aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, es exceptuada de acceso a la ciudadanía por daño a intereses públicos”. Su acceso podrá ser rechazado o denegado de manera motivada y por escrito, siempre que el acceso pudiere causar un daño a alguno de los siguientes derechos:
“a) La defensa y seguridad nacional;
b) La seguridad pública;
c) Las relaciones internacionales;
d) La prevención, investigación y persecución de los delitos y las faltas disciplinarias, mientras que no se haga efectiva la medida de aseguramiento o se formule pliego de cargos, según el caso;
e) El debido proceso y la igualdad de las partes en los procesos judiciales;
f) La administración efectiva de la justicia;
g) Los derechos de la infancia y la adolescencia;
h) La estabilidad macroeconómica y financiera del país;
i) La salud pública.”
De acuerdo con lo anterior y en aplicación del principio de eficacia, celeridad y transparencia que rige el derecho de acceso a la información pública, toda información en poder de las entidades del Distrito se presume pública y en ese sentido, están en el deber de proporcionar y facilitar el acceso a la misma en los términos más amplios posibles y a través de los medios y procedimientos que se establezcan, salvo las excepciones constitucionales y legales enunciadas en la presente Directiva.
8. Expedición de la respectiva Política de Tratamiento de Datos
Es deber de las entidades públicas, como operadoras de bancos de datos, adoptar un manual interno de políticas y procedimientos para garantizar los derechos constitucionales, y en particular, para atender consultas y reclamos por parte de los titulares de la información.
La Política de Tratamiento de Datos deberá tener con mínimo, los siguientes datos:
“1. Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del Responsable.
2. Tratamiento al cual serán sometidos los datos y finalidad del mismo cuando esta no se haya informado mediante el aviso de privacidad.
3. Derechos que le asisten como Titular.
4. Persona o área responsable de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización.
5. Procedimiento para que los titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización.
6. Fecha de entrada en vigencia de la política de tratamiento de la información y período de vigencia de la base de datos.” (art. 13, Decreto 1377 de 2013)
9. Obligaciones como responsable o encargada del tratamiento de datos personales
En el marco de la política de tratamiento de la información adoptado, las entidades públicas asumirán como mínimo, los siguientes deberes:
1. Garantizar al Titular, en todo tiempo, el ejercicio pleno y efectivo del derecho de hábeas data. Esto es, conocer, actualizar, rectificar o suprimir la información que se haya recogido en bancos de datos y archivos de las entidades públicas.
2. Informar debidamente al Titular sobre la finalidad de la recolección de los datos y los derechos que le asisten en virtud de la autorización otorgada. Cuando se trate de los casos señalados en el siguiente aparte, es deber de la entidad conservar copia de la autorización otorgada por el Titular.
3. Transferir y transmitir únicamente datos cuyo tratamiento esté previamente autorizado por el Titular o la ley.
4. Conservar la información bajo condiciones de seguridad necesarias que impidan su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. En caso de que se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares, deberán informar oportunamente a la autoridad de protección de datos.
5. Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
6. Dar trámite a las consultas y reclamos formulados en los términos señalados por la ley.
7. Cumplir las instrucciones y atender los requerimientos que imparta la Superintendencia de Industria y Comercio en materia de protección de datos personales.
10. Datos sensibles
De acuerdo con el artículo 5 de la Ley 1581 de 2012, se consideran sensibles, los datos que “afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.”
En ese sentido, el artículo 6 ibídem prohíbe su tratamiento, salvo que:
“a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización (art. 10, Ley 1581 de 2012);
b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización;
c) El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular;
d) El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;
e) El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.”
11. Datos de niñas, niños y adolescentes
En virtud del artículo 7 de la Ley 1581 de 2012, está prohibido el tratamiento de los datos personales de los niños, niñas y adolescentes, salvo que se trate de datos de naturaleza pública. En todo caso, su tratamiento debe respetar el interés superior del menor y garantizar sus derechos fundamentales.
En estos casos, la autorización se obtendrá de su representante legal o tutor, previo ejercicio del derecho del menor a ser escuchado. Su opinión será valorada a partir de la madurez, autonomía y capacidad para entender el asunto.
12. Registro de bases de datos
En cumplimiento del Decreto 1115 de 2017, las entidades públicas deberán inscribir sus bases de datos en el Registro Nacional de Bases de Datos a más tardar el treinta y uno (31) de enero de 2019, conforme con las instrucciones impartidas para tales efectos por la Superintendencia de Industria y Comercio - SIC.
Cordialmente,
DALILA ASTRID HERNÁNDEZ CORZO
Secretaria Jurídica Distrital NOTA: Ver Anexo.
Proyectó: Laura Villarraga Albino Revisó: Gloria Edith Martínez Aprobó: William Antonio Burgos Durango |