Cargando el Contenido del Documento | |
Por favor espere... |
CONCEPTO
1105 DE 2019 (Abril
01) Bogotá, D.C., PARA: Dr. JUAN CAMILO MOTTA OSPINA Director Salud DE: JEFE OFICINA ASESORÍA LEGAL ASUNTO: Concepto Tratamiento
de datos – Formato. SAP 700048288. De acuerdo
con su solicitud de concepto del asunto, nos permitimos realizar el siguiente
análisis: 1. CONSULTA
Y PROBLEMA JURÍDICO. La Dirección a su cargo solicita revisión al formato de
actualización de información que actualmente diligencian los trabajadores de la
EAAB ESP que son usuarios de los planes de salud y su concordancia con la
política de protección de datos, Resolución 1236 de 2018. 2. ANÁLISIS
OFICINA DE ASESORÍA LEGAL. 2.1. Marco
normativo Ley 1266 de 2008 Artículo 3°. Definiciones. Para los efectos de la presente ley, se entiende
por: (…) e) Dato personal. Es cualquier pieza de
información vinculada a una o varias personas determinadas o determinables o
que puedan asociarse con una persona natural o jurídica. Los datos impersonales
no se sujetan al régimen de protección de datos de la presente ley. Cuando en
la presente ley se haga referencia a un dato, se presume que se trata de uso
personal. Los datos personales pueden ser públicos, semiprivados o privados; f) Dato público. Es el dato calificado
como tal según los mandatos de la ley o de la Constitución Política y todos
aquellos que no sean semiprivados o privados, de conformidad con la presente
ley. Son públicos, entre otros, los datos contenidos en documentos públicos,
sentencias judiciales debidamente ejecutoriadas que no estén sometidos a
reserva y los relativos al estado civil de las personas; g) Dato semiprivado. Es semiprivado
el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo
conocimiento o divulgación puede interesar no sólo a su titular sino a cierto
sector o grupo de personas o a la sociedad en general, como el dato financiero
y crediticio de actividad comercial o de servicios a que se refiere el Título
IV de la presente ley. h) Dato privado. Es el dato que por
su naturaleza íntima o reservada sólo es relevante para el titular. Artículo 10. Casos En Que No Es Necesaria La
Autorización. La autorización del
Titular no será necesaria cuando se trate de: a) Información
requerida por una entidad pública o administrativa en ejercicio de sus
funciones legales o por orden judicial; b) Datos de
naturaleza pública; c) Casos de urgencia
médica o sanitaria; d) Tratamiento de
información autorizado por la ley para fines históricos, estadísticos o
científicos; e) Datos
relacionados con el Registro Civil de las Personas. Quien acceda a los
datos personales sin que medie autorización previa deberá en todo caso cumplir
con las disposiciones contenidas en la presente ley. Decreto 1377 de 2013[1] Artículo
3°. Definiciones. Además de las definiciones establecidas en el
artículo 3° de la
Ley 1581 de 2012, para los efectos del presente decreto se entenderá por: (…) 2. Dato
público: Es el
dato que no sea semiprivado, privado o sensible. Son considerados datos
públicos, entre otros, los datos relativos al estado civil de las personas, a
su profesión u oficio y a su calidad de comerciante o de servidor público. Por
su naturaleza, los datos públicos pueden estar contenidos, entre otros, en
registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias
judiciales debidamente ejecutoriadas que no estén sometidas a reserva. Artículo
5°. Autorización. El responsable del Tratamiento deberá adoptar
procedimientos para solicitar, a más
tardar en el momento de la recolección de sus datos, la autorización del
Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados, así como
todas las finalidades específicas del Tratamiento para las cuales se obtiene el
consentimiento. (…) Artículo 7°.
Modo de obtener la autorización. Para
efectos de dar cumplimiento a lo dispuesto en el artículo 9° de la
Ley 1581 de 2012, los Responsables del Tratamiento de datos personales
establecerán mecanismos para obtener la autorización de los titulares o de
quien se encuentre legitimado de conformidad con lo establecido en el artículo
20 del presente decreto, que garanticen su consulta. Estos mecanismos podrán
ser predeterminados a través de medios técnicos que faciliten al Titular su
manifestación automatizada. Se entenderá que la autorización cumple con estos
requisitos cuando se manifieste (i) por escrito, (ii) de forma oral o (iii)
mediante conductas inequívocas del titular que permitan concluir de forma
razonable que otorgó la autorización. En ningún caso el silencio podrá
asimilarse a una conducta inequívoca. Resolución
EAAB 1236 de 2018 Artículo Primero: - Objeto: Adoptar la Política de
Tratamiento de Datos Personales en la Empresa de Acueducto y Alcantarillado de
Bogotá, EAAB – ESP, mediante la cual se compromete, junto con cada uno de sus
funcionarios, colaboradores y contratistas, con la protección de la información
recolectada por cualquier vía o punto de contacto con personas naturales o
jurídicas, usuarios internos o externos, o con personas respecto de las cuales
la empresa tenga relación laboral, comercial, civil o de cualquier índole en el
ejercicio de sus funciones como prestador de los servicios de acueducto y
alcantarillado, de conformidad con la ley y sus estatutos. 2.2. Desarrollo del problema jurídico: Procede esta Oficina de
acuerdo con las responsabilidades derivadas del artículo 12 del Acuerdo 11 de
2013 a emitir concepto jurídico respecto de la Autorización Uso de Datos
Personales de los trabajadores de la EAAB ESP, usuarios de los planes de salud
(PAS) y (PC). La Ley 1581 de 2012, Régimen General de Protección de Datos Personales, tiene por objeto desarrollar el derecho constitucional que tienen todas
las personas a conocer, actualizar y rectificar las informaciones que se hayan
recogido o que se pretendan recoger sobre ellas en bases de datos o archivos, y
los demás derechos, libertades y garantías constitucionales a que se refieren los
artículos 15 y 20 de la
Constitución Política . A su vez, el Decreto
1377 de 2012, reglamentó parcialmente la ley citada generando disposiciones
generales para la protección de datos personales. De conformidad con la
normatividad analizada, los principios y disposiciones legales aplican a los
datos personales registrados en cualquier base de datos susceptible de
tratamiento[2] por
entidades de naturaleza pública o privada.
Debe resaltarse para el
objeto del presente concepto que, de acuerdo con el principio de libertad, el tratamiento de los datos personales sólo puede ejercerse con el
consentimiento, previo, expreso e informado del titular. Los datos personales
no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de
mandato legal o judicial que releve el consentimiento Por su parte, la autorización
consiste en el consentimiento que debe otorgar el funcionario, o contratista
(titular del dato) para que la Empresa, responsable del tratamiento de la
información, pueda hacer uso de los datos
personales. De conformidad con la
Ley y el reglamento, la organización responsable del tratamiento de los datos
debe adoptar procedimientos internos para solicitar la autorización al titular.
Así mismo, la ley fija la obligación de
informar al titular de la información el porqué y el para que, se requiere el
dato y cómo se utilizará dicha información. Además, tal autorización debe
estar disponible para consultas posteriores. Además, la empresa como
responsable del tratamiento debe citar cada tratamiento de datos que hará,
esto es, recolección, almacenamiento, consulta, divulgación, etcétera y aplica
tanto para la EAAB como para el tercero que se habría de contratar para ello,
situación que debe quedar explícita en la autorización. En todo caso, es
importante señalar que la obligación de la EAAB no concluye con obtener la
autorización del titular del dato, además debe informar de manera clara y
expresa al titular: · El
tratamiento al cual serán sometidos los datos personales recolectados y la
finalidad de estos. · Dado que
en el presente caso es posible que exista datos personales sensibles (origen racial o étnico,
orientación sexual, filiación política o religiosa, etc.) o de niños y adolescentes;
debe explicarle el carácter sensible que posee este tipo de información y, además,
debe darle la opción al titular de elegir si responde o no dichas preguntas. · Los
derechos que tiene el titular de la información. · La
identificación, dirección física o electrónica y el teléfono de la organización
o el responsable del tratamiento de los datos. Vale la pena señalar en el este contexto que la Empresa
como responsable del tratamiento
de datos personales tienen la obligación de tener políticas de tratamiento de
la Información, la cuales deben ceñirse a lo estipulado en el artículo 13 del
Decreto 1377 de 2013. De acuerdo con lo anterior, la Empresa de Acueducto y Alcantarillado de
Bogotá EAAB ESP, emitió Resolución 1236 de 2016, por medio de la cual adopta la
política de tratamiento de datos personales y en dicho acto administrativo se
fija los derechos de los otorgantes, el trámite de reclamación, los canales de
consulta y atención de reclamos entre otros. Advertidas y analizadas las
normas aplicables, y vez revisado el formato de autorización, se tiene que el
mismo debe contener adicionalmente: 1. La identificación completa de la Empresa, esto es
nombre completo, direcciones físicas y virtuales y teléfonos. 2. El tratamiento al cual serán sometidos los datos
personales recolectados y la finalidad de los mismos. 3. Los
derechos del titular del dato. 4. De existir
datos personales sensibles (origen racial o étnico, orientación sexual,
filiación política o religiosa, etc.) o de niños y adolescentes; explicar el
carácter sensible que posee el tipo de información y, darle la opción al
titular de elegir si responde o no dichas preguntas. 5. En caso de existir transferencia y transmisión de
datos mediante un contrato con la Empresa que no observe lo contenido en los
artículos 25 y 26 del Decreto 1377 de 2013, autorización del titular para dicha
actividad. 6. La remisión o citación de la Resolución 1236 de
2016, política de tratamiento de datos personales de la EAAB ESP. Por último, y con el fin de
pueda servir como modelo de formato para la autorización de datos personales,
adjuntamos el Anexo N. 2 de la Cartilla – Formatos modelo para el cumplimiento
de las obligaciones establecidas en la Ley 1581 de 2012 y sus decretos
reglamentarios, expedida por la Superintendencia de Industria y Comercio SIC. 3.
CONCLUSIÓN Una vez analizadas el
formato enviado la Oficina de Asesoría Legal concluye que se requiere incluir
en el formato de autorización lo siguiente: 1. La identificación completa de la Empresa, esto es
nombre completo, direcciones físicas y virtuales y teléfonos. 2. El tratamiento al cual serán sometidos los datos
personales recolectados y la finalidad de los mismos. 3. Los
derechos del titular del dato. 4. De existir
datos personales sensibles (origen racial o étnico, orientación sexual,
filiación política o religiosa, etc.) o de niños y adolescentes; explicar el
carácter sensible que posee el tipo de información y, darle la opción al
titular de elegir si responde o no dichas preguntas. 5. En caso de existir transferencia y transmisión de
datos mediante un contrato con la Empresa que no observe lo contenido en los
artículos 25 y 26 del Decreto 1377 de 2013, autorización del titular para dicha
actividad. 6. La remisión o citación de la Resolución 1236 de
2016, política de tratamiento de datos personales de la EAAB ESP. De esta
manera la Oficina de Asesoría Legal de acuerdo con sus responsabilidades
derivadas del artículo 12 del Acuerdo 11 de 2013, espera haber absuelto
correctamente sus inquietudes y quedamos atentos a cualquier aclaración y/o
complemento que pueda requerir. Cordialmente,
GUILLERMO OBREGÓN GONZÁLEZ Jefe
Oficina de Asesoría Legal NOTAS DE PIE
DE PÁGINA: [2] Ley 1581 de 2012. Articulo 3
Definiciones: (…) g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales,
tales como la recolección, almacenamiento, uso, circulación o supresión. Proyectó: Luz Marina Zapata G. Prof. Esp. |