RÉGIMEN LEGAL DE BOGOTÁ D.C.

MEMORANDO

Referencia:               OAJ-12000.

Para:              DRA. LUZ MARY CÁRDENAS PERALTA

                        Subdirectora Administrativa y Financiera

De:                 DRA. NORA FERNANDA MARTINEZ LOPEZ

                        Jefe Oficina Asesora Jurídica

Asunto:          Respuesta Rad. 2019IE7187 Concepto uso de Datos sensibles   

Respetada Doctora:

Con el fin de emitir respuesta a la solicitud de concepto en relación al uso de Datos Sensibles (Rad. 2019IE7187), se abordará la siguiente metodología:

1.            Competencia de la Oficina Asesora Jurídica para proferir conceptos.

2.            Consideraciones Preliminares

2.1         Deber del servidor público.

2.2         Datos biométricos y de carácter sensible.

3.            Análisis del caso concreto.

1.            Competencia

En cumplimiento de la función establecida en el literal e del artículo 6 del Decreto 437 de 2016 que señala: “e. Emitir conceptos, absolver consultas y responder derechos de petición que en materia jurídica formulen los ciudadanos o ciudadanas, las distintas dependencias de la Secretaría y las autoridades en general, que tengan relación con los asuntos de competencia de la entidad”, la Oficina Asesora Jurídica es competente para emitir pronunciamiento frente a la solicitud elevada por la Subdirección Administrativa y Financiera.

2.            Consideraciones.

Definida la competencia de la Oficina Asesora Jurídica, conviene abordar el tema objeto de estudio desde la perspectiva del deber del servidor público de cumplir horario, frente al mecanismo o instrumento utilizado por la entidad para verificar el cumplimiento del mismo.

2.1         Deber del servidor público.

Conviene mencionar que la Constitución Política[1], le impuso a los servidores públicos un régimen de sujeción, en el cual se establece su responsabilidad en el cumplimiento o incumplimiento de su funciones, bien sea por omisión o extralimitación. A partir de este postulado, estableció el numeral 11 del artículo 34 de la Ley 734 de 2002 como deber de todo servidor público “Dedicar la totalidad del tiempo reglamentario de trabajo al desempeño de las funciones encomendadas, salvo las excepciones legales”. En este escenario, la jornada laboral, se entiende como el periodo de tiempo durante el cual los empleados se encuentran a disposición de la administración para el desarrollo de las funciones que le han sido asignadas por la ley o el reglamento[2]. Así las cosas, el servidor público está en la obligación de cumplir con sus funciones en el horario de trabajo previamente establecido por la Entidad.

Cabe precisar, que el cumplimiento del horario laboral del servidor público se relaciona directamente con el pago de su remuneración, en la medida que el pago corresponde a servicios efectivamente prestados certificados al interior de la entidad, al tenor de lo dispuesto en el artículo 2.2.5.5.56 del Decreto 1083 de 2015 adicionado por el Decreto 051 de 2018[3].

Ahora bien, en el marco de la administración del talento humano las entidades deben establecer el mecanismo a través del cual se lleve el registro del cumplimiento del horario de los servidores públicos, así como expedir la certificación prevista en el artículo citado en párrafo inmediatamente anterior.

Para el caso de la Secretaria de Desarrollo Económico, se cuenta con el sistema biométrico (sensor de huella) como método de identificación y verificación del cumplimiento de horario de los servidores públicos de la Entidad.

2.2         Datos biométricos y de carácter sensible.

Una vez establecida la obligación del servidor público del cumplimiento irrestricto del horario de trabajo dispuesto por la Entidad, así como el mecanismo o dispositivo utilizado por la Secretaría para el control y registro del horario, conviene precisar algunos aspectos referentes al uso y utilización de la información recopilada a través del tal dispositivo.

Los datos biométricos son aquellos datos que se refieren a las características físicas, fisiológicas o conductuales de una persona que posibiliten o aseguren su identificación única[4], tal es el caso de la huella dactilar que permite la identificación de una persona a través un proceso técnico.

De acuerdo con lo previsto en el artículo 5 de la Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales” que señala (…) se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométrico. (…), dato sensible es aquella información que involucra la intimidad del titular, en el entendido que la misma pertenece a la esfera o espacio de vida privada no susceptible de la interferencia arbitraria de las demás personas.

Así la cosas, es claro que al ser información con una connotación diferente su tratamiento es por sí mismo especial, toda vez que se requiere el cumplimiento de ciertos requisitos para su recolección, almacenamiento, uso, circulación o supresión, a saber:

ARTÍCULO 6o. TRATAMIENTO DE DATOS SENSIBLES. Se prohíbe el Tratamiento de datos sensibles, excepto cuando:

a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización;

b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización;

c) El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular;

d) El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;

e) El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.

Visto lo anterior, se advierte con meridiana claridad que la utilización de la información recaudada a través del sistema biométrico (huella dactilar), requiere en la mayoría de los casos consentimiento previo, expreso e informado de su titular a más tardar al momento de su recolección, cuando tal consentimiento sea por escrito, oral o mediante conductas inequívocas que permitan inferir razonablemente que se ha otorgado tal autorización.   

3.            Análisis del caso concreto

Solicita la Subdirección Administrativa y Financiera lo siguiente:

“Teniendo en cuenta que la norma señala que estos se consideran datos sensibles y por lo tanto tienen un tratamiento específico y puntual ceñido a lo dispuesto por el legislador, esta Subdirección considera pertinente, que la Oficina Asesora Jurídica, emita concepto respecto del procedimiento mediante el cual se puede dar uso de los mismos sin omitir los deberes legales que le asisten”.

Al respecto se responde:

1. Según el derrotero normativo expuesto, se concluye que la información y datos sensibles que han sido recolectados a través del sistema biométrico (huella dactilar) de los servidores públicos de la Secretaria de Desarrollo Económico, podrán recolectarse, almacenarse, usarse, circular o suprimirse, si obra autorización previa, expresa e informada del titular de tal información.

En caso que no se cuente con tal autorización en los términos y condiciones mencionadas, la Secretaría deberá dar estricto cumplimiento a las disposiciones previstas en el artículo 6, 7 y 8 del Decreto 1377 de 2013, lo que implica solicitar e informar al servidor público titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento, así como informar de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento, así como obtener su consentimiento expreso por escrito, oral o mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. Vale la pena aclarar, que tales condiciones son de carácter restrictivo, lo que implica que el silencio del titular no podrá aducirse como conducta inequívoca.

De igual forma, la información que podrá ser tratada, es decir, recolectada, almacenada y utilizada, es aquella que se obtiene a partir de la autorización del titular, significa que aquella información obtenida anteriormente y que no haya sido recolectada en los términos antes expuestos no podrá ser utilizada. Copia de la solicitud de autorización, así como de su respuesta, bien sea negativa o positiva, deberá enviarse al expediente que contiene la hoja de vida del servidor público de la Secretaría, atendiendo para ello las actividades administrativas y técnicas tendientes a la planificación, manejo y organización de la documentación.

A su turno, tal como lo establece la Directiva 005 de 2019 proferida por la Secretaria Jurídica Distrital de la Alcaldía Mayor de Bogotá D.C., cuando no sea posible poner a disposición del Titular las políticas de tratamiento de la información, se deberá fijar en un lugar visible de la Entidad un Aviso de Privacidad que cumpla con los parámetros establecidos en los artículos 14 y 15 del Decreto 1377 de 2013. Ahora bien, cuando se recolecten datos sensibles, como es el caso de la Secretaria de Desarrollo Económico, el Aviso de Privacidad deberá incluir un aparte sobre este tipo de datos y señalar expresamente el carácter facultativo del titular.

Ahora, en caso que el servidor público titular de los datos sensibles no autorice su tratamiento, la Secretaría deberá implementar un mecanismo adicional y alterno en el que se verifique el cumplimiento del horario de trabajo establecido en la Resolución No. 0260 de 2018.

2. Es pertinente mencionar en este punto, que conforme lo establece el literal e) del artículo 6 en concordancia con el literal d) del artículo 10 de la Ley 1581 de 2012[5], no será necesaria la autorización del titular para el tratamiento de la información, cuando la misma tenga una finalidad histórica, estadística o científica. Bajo ese entendido, la Secretaría podrá tratar los datos sensibles obtenidos a través del sistema biométrico (huella dactilar) de los servidores públicos, únicamente con fines estadísticos, es decir con carácter general, impersonal y abstracto y en todo caso deberán adoptarse los procedimientos necesarios que supriman la identidad del titular.

3. Por último, en caso que la Secretaría de Desarrollo Económico como Responsable del Tratamiento y Encargada del Tratamiento, incumpla con las disposiciones antes anotadas, así como con las previstas en la normatividad que rige la materia, la Superintendencia de Industria y Comercio remitirá la actuación a la Procuraduría General de la Nación para que adelante la investigación respectiva.

Se expide el presente pronunciamiento, en atención al artículo 28 de la Ley 1437 de 2011 modificado por el artículo 1 de la Ley 1755 de 2015[6].

Agradezco su atención, quedo atenta a sus comentarios.

NORA FERNANDA MARTINEZ LOPEZ

Jefe Oficina Asesora Jurídica