Cargando el Contenido del Documento | |
Por favor espere... |
MEMORANDO Para:
YESID LANCHEROS Oficina Consejería de Comunicaciones
De: JEFE OFICINA JURÍDICA
Asunto:
Concepto Jurídico Habeas Data- Correos masivos- Transferencia de información
entre entidades públicas.
No. de radicación: 3-2017-133 de 03/01/2017 Cordial
saludo: Damos
respuesta a la solicitud del asunto, remitida por la Directora Distrital de
Doctrina y Asuntos Normativos, recibida el 08 de noviembre de 2016, por medio
de la cual se consulta sobre la viabilidad jurídica de hacer uso de las bases
de datos de la ciudadanía para implementar el envío masivo de correos
electrónicos con la finalidad de informar sobre los proyectos, logros y demás
acciones ejecutadas por el Señor Alcalde Mayor de Bogotá, D.C. Adicionalmente requiere se aclare la
posibilidad de solicitar a otras entidades la transferencia de bases de datos
personales con la misma finalidad. 1. MARCO LEGAL. La
Constitución Política establece en el artículo 15 el derecho que tienen todas
las personas a conocer, actualizar y rectificar las informaciones que se hayan
recogido sobre ellas en bases de datos o archivos, así: “Artículo 15. Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.” El artículo
227 de la Ley 1450 de 20111, modificado por el artículo 159 de la
Ley 1753 de 20152, dispone: “Artículo 227.
Obligatoriedad de suministro de información. Para el
desarrollo de los planes, programas y proyectos incluidos en el Plan Nacional
de Desarrollo y en general para el ejercicio de las funciones públicas, las
entidades públicas y los particulares que ejerzan funciones públicas, pondrán a
disposición de las entidades públicas que así lo soliciten, la información que
generen, obtengan, adquieran o controlen y administren, en cumplimiento y
ejercicio de su objeto misional. El uso y reutilización de esta información
deberá garantizar la observancia de los principios y normas de protección de
datos personales, de conformidad con lo dispuesto en las Leyes 1581 de 2012 y
1712 de 2014, así como las demás normas que regulan la materia.” La Ley
Estatutaria 1581 de 20123 señala en
los artículos 3, 4, 10: “Artículo 3°.
Definiciones. Para los efectos de
la presente ley, se entiende por: a) Autorización: Consentimiento previo, expreso
e informado del Titular para llevar a cabo el Tratamiento de datos personales; b) Base de Datos: Conjunto organizado de datos
personales que sea objeto de Tratamiento; c) Dato personal: Cualquier información
vinculada o que pueda asociarse a una o varias personas naturales determinadas
o determinables; d) Encargado del Tratamiento: Persona natural o
jurídica, pública o privada, que por sí misma o en asocio con otros, realice el
Tratamiento de datos personales por cuenta del Responsable del Tratamiento; e) Responsable del Tratamiento: Persona natural
o jurídica, pública o privada, que por sí misma o en asocio con
otros, decida sobre la base de datos y/o el Tratamiento de los datos; f) Titular: Persona natural cuyos datos
personales sean objeto de Tratamiento; g) Tratamiento: Cualquier operación o conjunto
de operaciones sobre datos personales, tales como la recolección,
almacenamiento, uso, circulación o supresión.” En la recolección, tratamiento y circulación de
datos se respetarán la libertad y demás garantías consagradas en la
Constitución.” Artículo
4°. Principios para el Tratamiento de datos personales. En el desarrollo, interpretación y aplicación de la
presente ley, se aplicarán, de manera armónica e integral, los siguientes
principios (…) f) Principio de acceso
y circulación restringida: El Tratamiento se sujeta a los límites que se
derivan de la naturaleza de los datos personales, de las disposiciones de la
presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá
hacerse por personas autorizadas por el Titular y/o por las personas previstas
en la presente ley; Los datos personales, salvo la información
pública, no podrán estar disponibles en Internet u otros medios de divulgación
o comunicación masiva, salvo que el acceso sea técnicamente controlable para
brindar un conocimiento restringido sólo a los Titulares o terceros autorizados
conforme a la presente ley”. “Artículo 10. Casos en que no es necesaria la autorización. La autorización del Titular no será necesaria cuando se
trate de: a) Información requerida por una entidad pública o
administrativa en ejercicio de sus funciones legales o por orden judicial; (…) Quien acceda a los datos personales sin que medie
autorización previa deberá en todo caso cumplir con las disposiciones
contenidas en la presente ley.” (Subrayas
fuera del texto original). El Decreto
1377 de 20134 establece en el artículo
3: “Artículo 5°.
Autorización. El Responsable del
Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el
momento de la recolección de sus datos, la autorización del Titular para el
Tratamiento de los mismos e informarle los datos personales que serán
recolectados así como todas las finalidades específicas del Tratamiento para
las cuales se obtiene el consentimiento. Los datos personales que se encuentren en fuentes de acceso
público, con independencia del medio por el cual se tenga acceso, entendiéndose
por tales aquellos datos o bases de datos que se encuentren a disposición del
público, pueden ser tratados por cualquier persona siempre y cuando, por su
naturaleza, sean datos públicos. En caso de haber cambios sustanciales en el contenido de
las políticas del Tratamiento a que se refiere el Capítulo III de este decreto, referidos a la identificación del Responsable y
a la finalidad del Tratamiento de los datos personales, los cuales puedan
afectar el contenido de la autorización, el Responsable del Tratamiento debe
comunicar estos cambios al Titular antes de o a más tardar al momento de
implementar las nuevas políticas. Además, deberá obtener del Titular una nueva
autorización cuando el cambio se refiera a la finalidad del Tratamiento.” (Subrayas fuera del texto original). 2. CONSIDERACIONES. El
tratamiento de los datos recolectados se encuentra sujeto a los principios
consagrados en el artículo 4 de la Ley 1581 de 2012, entre ellos el de circulación
restringida según el cual los datos personales, salvo la información pública,
no podrán estar disponibles en Internet u otros medios de divulgación o
comunicación masiva, salvo que el acceso sea técnicamente controlable para
brindar un conocimiento restringido sólo a los titulares o terceros autorizados
conforme a la ley. Con
fundamento en los parámetros fijados por la normatividad enunciada, se debe
hacer precisión respecto de la calidad de la Alcaldía Mayor de Bogotá, D.C.,
frente al tratamiento de los datos personales recolectados de terceros
(titulares). Así, de conformidad con lo señalado por el artículo 3 de la Ley
1581 de 2012, la Alcaldía ostenta la calidad de Responsable, en la medida que
tiene la potestad de decidir sobre el tratamiento (circulación) de datos. Ahora
bien, las diferentes dependencias de la Alcaldía (en su calidad de
responsables) al momento de llevar a cabo la recolección de los datos
personales estaban obligadas a solicitar la correspondiente autorización a los
titulares, en los términos de lo señalado por el artículo 5 del Decreto 1377 de
2013, es decir, entre otros, indicando la finalidad a la que se destinaba la
información recolectada. En
este orden de ideas, toda modificación de la finalidad para la cual fueron recolectados los datos personales,
incluyendo el destinarlos a la comunicación sobre la existencia de distintos
programas o proyectos que adelanta la Alcaldía Mayor de Bogotá, D.C., o a
informarles los logros de ésta, requiere de una nueva autorización del titular.
Lo anterior teniendo en cuenta el principio de acceso y circulación restringida
al que se sujeta el tratamiento de datos personales. Por
otra parte, el artículo 10 de la Ley 1581 de 2012, establece algunas
excepciones frente a la autorización que debe mediar en el tratamiento de los
datos personales recolectados. Al respecto, la
Corte Constitucional mediante sentencia C- 478 de 20115, señaló: En
relación, con las autoridades públicas o administrativas, señaló la Corporación
que tal facultad “no puede convertirse en un escenario proclive al abuso del
poder informático, esta vez en cabeza de los funcionarios del Estado. Así, el
hecho que el legislador estatutario haya determinado que el dato personal puede
ser requerido por toda entidad pública, bajo el condicionamiento que la
petición se sustente en la conexidad directa con alguna de sus funciones, de
acompasarse con la garantía irrestricta del derecho al hábeas data del titular
de la información. En efecto, amén de la infinidad de posibilidades en que bajo
este expediente puede accederse al dato personal, la aplicación del
precepto bajo análisis debe subordinarse a que la entidad administrativa
receptora cumpla con las obligaciones de protección y garantía que se derivan
del citado derecho fundamental, en especial la vigencia de los principios de
finalidad, utilidad y circulación restringida. Para la Corte, esto se logra a través de dos
condiciones: (i) el carácter calificado del vínculo entre la
divulgación del dato y el cumplimiento de las funciones de la entidad del poder
Ejecutivo; y (ii) la adscripción a dichas entidades de los deberes y
obligaciones que la normatividad estatutaria predica de los usuarios de la
información, habida consideración que ese grupo de condiciones permite la
protección adecuada del derecho. En relación con el primero señaló la Corporación que “la modalidad
de divulgación del dato personal prevista en el precepto analizado devendrá
legítima, cuando la motivación de la solicitud de información esté basada en
una clara y específica competencia funcional de la entidad.” Respecto a la
segunda condición, la Corte estimó que una vez la entidad administrativa accede
al dato personal adopta la posición jurídica de usuario dentro del proceso de
administración de datos personales, lo que de forma lógica le impone el deber
de garantizar los derechos fundamentales del titular de la información,
previstos en la Constitución Política y en consecuencia deberán: “(i)
guardar reserva de la información que les sea suministrada por los operadores y
utilizarla únicamente para los fines que justificaron la entrega, esto es,
aquellos relacionados con la competencia funcional específica que motivó la
solicitud de suministro del dato personal; (ii) informar a los titulares del
dato el uso que le esté dando al mismo; (iii) conservar con las debidas
seguridades la información recibida para impedir su deterioro, pérdida,
alteración, uso no autorizado o fraudulento; y (iv) cumplir con las
instrucciones que imparta la autoridad de control, en relación con el
cumplimiento de la legislación estatutaria.” Mediante
Concepto No.16-127041-0002-0000 la Superintendencia de Industria y Comercio
como máxima autoridad en la materia, indicó: “Las autoridades administrativas
podrán solicitar información relacionada con sus funciones, sin contar con la
autorización previa de los titulares, en virtud de la excepción a este
requisito, prevista en el literal a) del artículo 10 de la Ley 1581 de 2012.
Sin embargo, deberá cumplir con las obligaciones de protección y garantía del
derecho fundamental al habeas data, en especial, la vigencia de los principios
de finalidad, utilidad y circulación restringida. En consecuencia, frente a su
inquietud, si quien solicita la información –en este caso el notario público-
tiene la condición de autoridad administrativa, en tal calidad le es aplicable
la excepción prevista en el literal a) del artículo 10 la Ley 1581 de 2012,
siempre y cuando se cumpla con los siguientes requisitos: (i) La
solicitud de información que realiza la autoridad administrativa debe estar
relacionada con las funciones de dicha entidad, (ii) La autoridad administrativa
receptora de la información debe dar cumplimiento a las normas de componen el
régimen de protección de datos personales, y en este sentido velar por los
principios de finalidad, circulación restringida y seguridad, entre otros.” En este orden de ideas, la autorización de que trata el artículo 5
del Decreto 1377 de 2013 no es necesaria, ya que se enmarca en las excepciones
contenidas en el artículo 10 de la Ley 1581 de 2012. Para el caso que nos ocupa
el literal a) ibídem permite el suministro de información a entidades públicas
o administrativas que en ejercicio de sus funciones legales la soliciten, sin
embargo, el responsable del tratamiento de los datos y previamente a la entrega
de información requerida por la entidad pública o administrativa debe verificar
el cumplimiento de los presupuestos señalados por la Corte
Constitucional en sentencia C- 478 de 2011. 3. CONCLUSIONES. La utilización de datos personales como la dirección de correo
electrónico contenidos en bases de datos cuyo responsable es la Alcaldía Mayor
de Bogotá D.C., se debe limitar a la finalidad para la cual se recolectaron.
Una modificación a esta finalidad debe ser sometida a una nueva autorización
por parte de los titulares tal como lo señala el artículo 5 del Decreto 1377 de
2013. El artículo 10 de la Ley 1581 de 2012 establece como una de las
excepciones a la autorización que requiere el tratamiento de datos personales
el suministro de información a otras entidades públicas o administrativas, sin
embargo el responsable del tratamiento de los datos debe observar el
cumplimiento de los presupuestos señalados por la Corte Constitucional en
sentencia C- 478 de 2011, es decir la existencia de dos condiciones: una, el
carácter calificado del vínculo entre la divulgación del dato y el cumplimiento
de las funciones de la entidad del poder Ejecutivo y otra, la adscripción a
dichas entidades de los deberes y obligaciones que la normatividad estatutaria
predica de los usuarios de la información, habida consideración que ese grupo
de condiciones permite la protección adecuada del derecho. El presente concepto se emite con el
alcance previsto en el artículo 28 de la Ley 1437 de 2011, sustituido por el
artículo 1 de la Ley 1755 de 2015, es decir, se trata de un criterio orientador
que no es de obligatorio cumplimiento o ejecución. Atentamente,
JULIANA VALENCIA ANDRADE NOTAS DE PIE DE PÁGINA 1 Por la cual se expide el Plan Nacional de Desarrollo, 2010-2014. 2 Por la cual se expide el Plan Nacional de Desarrollo 2014-2018 “Todos por un nuevo país”. 3 Por la cual se dictan disposiciones generales para la protección de datos personales. 4 Por el cual se reglamenta parcialmente la Ley 1581 de 2012. Norma compilada en el artículo el Decreto1074 de 2015 por medio del cual se expide el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo. 5 Expediente PE-032. M.P. Jorge Ingnacio Pretelt Chaljub. Proyectó:
Ana Cristina Bolaños. |