RÉGIMEN LEGAL DE BOGOTÁ D.C.

3-2013-19660 / 24/07/13

Respetado doctor Trujillo:

Esta Dirección recibió el memorando del asunto, mediante el cual se dan a conocer las dudas surgidas con ocasión de la iniciativa de la Alta Consejería Distrital de Tecnologías de la Información y las Comunicaciones- TIC, de implementar la Base Poblacional Unificada del Distrito Capital- BPUDC, las cuales se reseñan a continuación:

1. ¿Es ajustado a derecho, usar los datos actualmente existentes en las bases de datos de las Entidades Distritales, para crear la Base Poblacional Unificada del Distrito Capital- BPUDC?

2. ¿Es posible prescindir de la autorización del titular de los datos, toda vez que la creación de la Base Poblacional Unificada del Distrito Capital- BPUDC, obedece a requerimientos de información de Entidades Públicas Distritales para el adecuado ejercicio de sus funciones?

3. ¿La nueva información acerca de una persona, que se logre obtener a partir del cruce de información de bases de datos de diferentes Entidades Distritales, es considerada una obtención de información personal y en consecuencia, su tratamiento solo podrá ejercerse con el consentimiento previo, expreso e informado del titular de la misma?

Para desatar los interrogantes planteados, se procederá a dividir el presente escrito en varios ejes temáticos: En primer lugar se explicaran los distintos tipos de datos y la regulación prevista para cada uno de ellos. En segundo lugar, se expondrán las disposiciones legales para el caso particular. Por último, se expresaran las conclusiones pertinentes.

En aplicación de los artículos 15¹ y 20² de la Constitución Política, mediante los cuales se reconoce el derecho de todas las personas a conocer, actualizar y rectificar la información que sobre ellas reposa en diferentes bases de datos, y entendiendo que de tales derechos depende el ejercicio de otras garantías fundamentales como la intimidad, el buen nombre, la honra y la libertad, el ordenamiento jurídico ha previsto todo un compendio normativo dirigido a regular la recolección, tratamiento y circulación de datos personales.

Es así como las distintas normas que regulan la materia, han establecido un catálogo de principios rectores del manejo de la información, dirigidos a que esta sea clara, precisa y veraz, y que su tratamiento se dé en condiciones de transparencia, seguridad, libertad y confidencialidad, entendida esta última, como la obligación de todos aquellos que intervienen en la administración de la información, de garantizar la reserva de la misma.

No obstante, este criterio no es absoluto en tanto que la norma ha entendido que la información no constituye un conjunto de datos homogéneos, sino que por el contrario, cuenta con características particulares derivadas de su contenido, las cuales determinan que se dé a la misma un trato diferenciado. En efecto, la Ley 1266 de 2008, por la cual se dictaron las disposiciones generales del hábeas data y se reguló el manejo de la información contenida en bases de datos personales, precisó la definición de dato personal, como aquella pieza de información vinculada a una persona, estableciendo que los datos pueden ser de naturaleza pública, semiprivada o privada.

En el caso del Dato Público, la norma especificó que es aquel relativo al estado civil de las personas y el contenido en documentos públicos y sentencias judiciales ejecutoriadas. Por su parte, el Decreto 1377 de 2013³, amplió tal concepto al indicar que éste corresponde además, a la información relativa a la profesión u oficio y a la calidad de comerciante o de servidor público de una persona, contenida en registros públicos, gacetas y boletines oficiales⁴.

Frente a los datos semiprivados⁵ y privados, la citada Ley 1266 de 2008, indicó que los primeros son todos aquellos cuyo conocimiento o divulgación resulta de interés para cierto grupo de personas o para la sociedad, mientras que de los segundos se limitó a advertir que por su naturaleza íntima o reservada solo son relevantes para su titular. Adicionalmente, la ley 1581 de 2012, por la cual se dictaron disposiciones generales para la protección de datos personales, fijó el concepto de Dato Sensible⁶, entendido como aquel propio de la intimidad de su titular, que al ser usado indebidamente podría ser causal de discriminación.

Como bien se dijo, la clasificación normativa de los datos hace que éstos tengan un tratamiento característico, el cual puede ser amplio o riguroso, dependiendo de la clase de información que se pretenda recolectar, almacenar, usar, circular o suprimir. Es así como, para el caso de los datos de naturaleza pública, existe cierta laxitud en su manejo en tanto que son susceptibles de ser conocidos por cualquier persona⁷, para lo cual no se requiere que el titular profiera autorización⁸ y no se exige reserva a quienes lo administran.

En lo que atañe al tratamiento fijado por la ley a los datos de naturaleza semiprivada, el inciso segundo del parágrafo único del artículo 6 de la Ley 1266 de 2008, determinó que para los datos financieros, crediticios, comerciales, de servicios y los provenientes de terceros países, pertenecientes a esta clase de información, no se requiere el consentimiento previo y expreso del titular. Lo anterior, por cuanto se entiende que este tipo de actividades son de interés público, promueven el desarrollo de la actividad de crédito y la confianza pública en el sistema financiero y generan beneficios para la economía nacional⁹.

Frente a la información privada y a la sensible, por su calidad de tal, la norma se torna más estricta al prohibir expresamente su tratamiento. No obstante, se fijaron ciertas excepciones¹⁰, dentro de las que se encuentra aquella referida al consentimiento. En atención a dicho precepto, se podría concluir que el tratamiento de información de naturaleza privada o sensible, solo es posible cuando medie la autorización del titular. No obstante, en este punto ha sido la misma norma la que ha dispuesto nuevamente excepciones a la regla, atendiendo esta vez, razones de interés general que prevalecen al ser enfrentadas con la esfera de voluntad particular, haciendo que a pesar de tratarse de información reservada no se requiera la autorización del titular de la información.

A propósito, la Ley 1581 de 2012 dispuso lo siguiente:

Artículo 10. Casos en que no es necesaria la autorización. La autorización del Titular no será necesaria cuando se trate de:

a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial. (…)

Sobre este punto, resulta pertinente aclarar que en la medida que las Entidades Públicas ejercen sus funciones con el propósito de cumplir los fines asignados por la Constitución Política y la Ley, la consideración de si éstas tienen la facultad de tratar información sin la autorización previa de su titular, debe atender además del ejercicio reglado de funciones, el principio de Finalidad¹¹, según el cual, la administración de datos personales debe obedecer a un propósito legítimo y en consecuencia, los datos tratados deben ser los pertinentes y adecuados para el logro del objetivo propuesto con su recolección¹².

Ahora bien, en lo que respecta al manejo de la información en el Distrito Capital, encontramos que dentro de uno de los ejes estratégicos del Plan de Desarrollo, referido a la Defensa y Fortalecimiento de lo Público, se reconoce la importancia de la aplicación coordinada de las Tecnologías de la Información y las Comunicaciones en las Entidades Distritales, para incrementar la eficacia de la gestión pública, disponer de información pertinente, veraz, oportuna y accesible en los procesos de toma de decisiones, la prestación de servicios a la ciudadanía, rendición de cuentas y control social¹³, función que para el caso concreto, recae en la Alta Consejería Distrital de Tecnologías de la Información y Comunicaciones- TIC, de acuerdo a lo dispuesto en el artículo 6B del Decreto Distrital 267 de 2007 y específicamente a lo preceptuado en los literales a) y m)¹⁴.

Si adicionalmente, se atiende que el propósito buscado con la puesta en marcha de la Base Poblacional Unificada del Distrito Capital- BPUDC, es (…) crear y unificar, a partir de las bases de datos que existen en las diferentes entidades distritales, una Base de Datos que sea consultada por las diferentes entidades (…), hecho que mejoraría la gestión pública distrital en beneficio del servicio al ciudadano, se encuentran cumplidos los preceptos normativos para la operación de datos de naturaleza privada sin autorización previa del titular. Todo lo anterior, en cumplimiento de los fines del Estado Social de Derecho¹⁵ y los principios de la función administrativa distrital¹⁶.

En consecuencia, se concluye lo siguiente:

1. La recolección, almacenamiento, uso, circulación o supresión de datos, depende de la  naturaleza de los mismos.

2. El manejo de datos de naturaleza pública y semiprivada es de libre acceso. Por hacer parte de la esfera más íntima del ser humano, el tratamiento de datos privados y datos sensibles requiere autorización previa de su titular.

3. La ley ha establecido ciertos casos en los cuales es posible el tratamiento de datos privados y sensibles  sin que medie autorización del titular, dentro de los cuales se encuentra, que tal información sea  requerida por una entidad pública o administrativa en ejercicio de sus funciones legales.

4. Atendiendo las funciones asignadas por la ley a la Alta Consejería Distrital de Tecnologías de la Información y Comunicaciones- TIC, y la finalidad pretendida con la implementación de la BPUDC, resulta ajustado a derecho el tratamiento de la información existente en las bases de datos de las distintas entidades Distritales para la conformación de la de Base Poblacional Unificada del Distrito Capital

5. La Base Poblacional Unificada del Distrito Capital- BPUDC, podrá contener datos públicos y semiprivados sin que para ello medie autorización del titular. Frente a los datos privados y sensibles, tal consentimiento podrá obviarse siempre que estos se encuentren directamente relacionados con las funciones de la Entidad Distrital que pretenda hacer uso de ellos. En dicho caso, se entenderá que el tratamiento que de los datos privados haga la BPUDC no transgrede Derechos Fundamentales de sus titulares.

Por último, en aplicación del principio de confidencialidad¹⁷ y de lo dispuesto en el literal d)¹⁸ del artículo 17 de la Ley 1581 de 2012, referido a los Deberes de los Responsables del Tratamiento, se recomienda a la Alta Consejería Distrital de Tecnologías de la Información y Comunicaciones- TIC, que previo a la implementación de la Base Poblacional Unificada del Distrito Capital- BPUDC, se apliquen las medidas pertinentes para garantizar que todos aquellos que en ejercicio de sus funciones tengan acceso a la información en ella contenida  (por ejemplo, contratistas), guarden la confidencialidad debida en el manejo de los datos y de esta manera, evitar que estos puedan ser objeto de adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

El presente concepto se emite haciendo la salvedad de que en su solicitud, la Alta Consejería Distrital de Tecnologías de la Información y Comunicaciones- TIC,  no especificó el tipo de información que eventualmente manejaría la Base Poblacional Unificada del Distrito Capital- BPUDC. Por lo tanto, éste constituye una exposición general de las clases de datos según su naturaleza y su manejo legal, más no hace referencia a tipos de datos concretos.

Finalmente, cualquier inquietud o duda sobre el particular, esta Dirección estará atenta a prestar la colaboración que resultare pertinente.

Cordialmente,

NOTAS DE PIE DE PÁGINA

1 Artículo 15 de la Constitución Política.  Todas las personas tienen derecho a su intimidad personal y familiar y a su  buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución. La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley. Para efectos tributarios o judiciales y para los casos de inspección, vigilancia e intervención del Estado podrá exigirse la presentación de libros de contabilidad y demás documentos privados, en los términos que señale la ley.

2 Artículo 20 de la Constitución Política. Se garantiza a toda persona la libertad de expresar y difundir su pensamiento y opiniones, la de informar y recibir información veraz e imparcial, y la de fundar medios masivos de comunicación. Estos son libres y tienen responsabilidad social. Se garantiza el derecho a la rectificación en condiciones de equidad. No habrá censura.

3 Por el cual se reglamenta parcialmente la Ley 1581 de 2012.

4 Artículo 3 del Decreto 1377 de 2013. Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

5 Literal g) del artículo 3 de la Ley 1266 de 2008. Dato semiprivado. Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de la presente ley.

6 Artículo  5 de la Ley 1581 de 2012. Datos sensibles. Para los propósitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

7 Inciso 2 del artículo 5 del Decreto 1377 de 2013. Los datos personales que se encuentren en fuentes de acceso público, con independencia del medio por el cual se tenga acceso, entendiéndose por tales aquellos datos o bases de datos que se encuentren a disposición del público, pueden ser tratados por cualquier persona siempre y cuando, por su naturaleza, sean datos públicos.

8 Artículo 10 de la Ley 1581 de 2012. Casos en que no es necesaria la autorización. La autorización del Titular no será necesaria cuando se trate de: b) Datos de naturaleza pública. 

Parágrafo del Artículo 6° de la Ley 1266 de 2008. La administración de información pública no requiere autorización del titular de los datos, pero se sujeta al cumplimiento de los principios de la administración de datos personales y a las demás disposiciones de la presente ley.

9 Artículo 10 de la Ley 1266 de 2008. Principio de favorecimiento a una actividad de interés público. La actividad de administración de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países está directamente relacionada y favorece una actividad de interés público, como lo es la actividad financiera propiamente, por cuanto ayuda a la democratización del crédito, promueve el desarrollo de la actividad de crédito, la protección de la confianza pública en el sistema financiero y la estabilidad del mismo, y genera otros beneficios para la economía nacional y en especial para la actividad financiera, crediticia, comercial y de servicios del país.

10 Artículo 6 de la Ley 1581 de 2012. Artículo  6°. Tratamiento de datos sensibles. Se prohíbe el Tratamiento de datos sensibles, excepto cuando: a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización; b) el Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización; c) el Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular; d) el Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial; e) el Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.

11 Literal b) del artículo 4 de la Ley 1266 de 2008. Principio de finalidad. La administración de datos personales debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley. La finalidad debe informársele al titular de la información previa o concomitantemente con el otorgamiento de la autorización, cuando ella sea necesaria o en general siempre que el titular solicite información al respecto.

12 Inciso primero del Artículo 4 del Decreto 1377 de 2013. Recolección de los datos personales. En desarrollo de los principios de finalidad y libertad, la recolección de datos deberá limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente. Salvo en los casos expresamente previstos en la ley, no se podrán recolectar datos personales sin autorización del Titular

13 Artículo 44 del Acuerdo Distrital 489 de 2012. Por medio del cual se adoptó el Plan de Desarrollo Económico, Social, Ambiental y de Obras Públicas para Bogotá D.C., 2012-2016 - Bogotá Humana.

14 Artículo 6B del Decreto Distrital 267 de 2007. Funciones de la Oficina de Alta Consejería Distrital de Tecnologías de Información y Comunicaciones –TIC–. Son funciones de la Oficina de Alta Consejería Distrital de Tecnologías de Información y Comunicaciones –TIC–, las siguientes: a. Dirigir y liderar la formulación, articulación y seguimiento de las políticas, lineamientos y directrices distritales en materia de Tecnologías de Información y Comunicaciones para el fortalecimiento de la función administrativa y misional de los sectores y entidades de Bogotá Distrito Capital; m. Dirigir, liderar y efectuar el seguimiento a la implementación y el normal funcionamiento de las plataformas tecnológicas habilitantes del gobierno digital: 1) Red Distrital de Conectividad, 2) Perfil Digital del Ciudadano, 3) Plataforma Distrital de Interoperabilidad, 4) Canales hipermedia y 5) Sistema de aseguramiento de la información y patrimonio digital.

15 Artículo 2 de la Constitución Política. Son fines esenciales del Estado: servir a la comunidad, promover la prosperidad general y garantizar la efectividad de los principios, derechos y deberes consagrados en la Constitución; facilitar la participación de todos en las decisiones que los afectan y en la vida económica, política, administrativa y cultural de la Nación; defender la independencia nacional, mantener la integridad territorial y asegurar la convivencia pacífica y la vigencia de un orden justo.

16 Artículo  3 del Acuerdo 257 de 2006. Principios de la función administrativa distrital. La función administrativa distrital se desarrollará en consonancia con el interés general de la ciudadanía y los fines del Estado Social de Derecho y se llevará a cabo atendiendo los principios constitucionales y legales de democratización y control social de la Administración Pública Distrital, moralidad, transparencia, publicidad, igualdad, imparcialidad, efectividad, economía, celeridad y buena fe, así como a los principios de distribución de competencias, coordinación, concurrencia, subsidiaridad y complementariedad. Las autoridades distritales desarrollarán sus actuaciones observando los principios enunciados en el presente artículo con el fin de garantizar la efectividad y materialización de los derechos humanos sean ellos individuales o colectivos, propiciar la participación social en las decisiones públicas y lograr la integración dinámica entre la Administración Distrital y los habitantes del Distrito Capital. Las decisiones que adopte la Administración Distrital serán objetivas, fundadas en los supuestos de hecho y de derecho, adecuadas a los fines previstos en el ordenamiento jurídico, y útiles, necesarias y proporcionales a los hechos que les sirven de causa.

17 Literal g del artículo 4 de la Ley 1266 de 2008. Principio de confidencialidad. Todas las personas naturales o jurídicas que intervengan en la administración de datos personales que no tengan la naturaleza de públicos están obligadas en todo tiempo a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende la administración de datos, pudiendo sólo realizar suministro o comunicación de datos cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.

18 Artículo 17. Deberes de los Responsables del Tratamiento. Los Responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad: d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.