RÉGIMEN LEGAL DE BOGOTÁ D.C.

CONCEPTO 1105 DE 2019

 

(Abril 01)

 

Bogotá, D.C.,

PARA: Dr. JUAN CAMILO MOTTA OSPINA 

Director Salud

 

DE: JEFE OFICINA ASESORÍA LEGAL

 

ASUNTO: Concepto Tratamiento de datos – Formato. SAP 700048288.

 

De acuerdo con su solicitud de concepto del asunto, nos permitimos realizar el siguiente análisis:

 

1. CONSULTA Y PROBLEMA JURÍDICO.

 

La Dirección a su cargo solicita revisión al formato de actualización de información que actualmente diligencian los trabajadores de la EAAB ESP que son usuarios de los planes de salud y su concordancia con la política de protección de datos, Resolución 1236 de 2018.   

 

2. ANÁLISIS OFICINA DE ASESORÍA LEGAL.

 

2.1. Marco normativo

 

Ley 1266 de 2008

 

Artículo 3°. Definiciones. Para los efectos de la presente ley, se entiende por:

 

(…)

 

e) Dato personal. Es cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica. Los datos impersonales no se sujetan al régimen de protección de datos de la presente ley. Cuando en la presente ley se haga referencia a un dato, se presume que se trata de uso personal. Los datos personales pueden ser públicos, semiprivados o privados;

 

f) Dato público. Es el dato calificado como tal según los mandatos de la ley o de la Constitución Política y todos aquellos que no sean semiprivados o privados, de conformidad con la presente ley. Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas;

 

g) Dato semiprivado. Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de la presente ley.

 

h) Dato privado. Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.

 

Artículo 10. Casos En Que No Es Necesaria La Autorización. La autorización del Titular no será necesaria cuando se trate de:

 

a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;

 

b) Datos de naturaleza pública;

 

c) Casos de urgencia médica o sanitaria;

 

d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos;

 

e) Datos relacionados con el Registro Civil de las Personas.

 

Quien acceda a los datos personales sin que medie autorización previa deberá en todo caso cumplir con las disposiciones contenidas en la presente ley.

 

Decreto 1377 de 2013[1]

 

Artículo 3°. Definiciones. Además de las definiciones establecidas en el artículo 3° de la Ley 1581 de 2012, para los efectos del presente decreto se entenderá por:

 

(…)

 

2. Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

 

Artículo 5°. Autorización. El responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados, así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento.

 

(…)

 

Artículo 7°. Modo de obtener la autorización. Para efectos de dar cumplimiento a lo dispuesto en el artículo 9° de la Ley 1581 de 2012, los Responsables del Tratamiento de datos personales establecerán mecanismos para obtener la autorización de los titulares o de quien se encuentre legitimado de conformidad con lo establecido en el artículo 20 del presente decreto, que garanticen su consulta. Estos mecanismos podrán ser predeterminados a través de medios técnicos que faciliten al Titular su manifestación automatizada. Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (i) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.

 

Resolución EAAB 1236 de 2018

 

Artículo Primero: - Objeto: Adoptar la Política de Tratamiento de Datos Personales en la Empresa de Acueducto y Alcantarillado de Bogotá, EAAB – ESP, mediante la cual se compromete, junto con cada uno de sus funcionarios, colaboradores y contratistas, con la protección de la información recolectada por cualquier vía o punto de contacto con personas naturales o jurídicas, usuarios internos o externos, o con personas respecto de las cuales la empresa tenga relación laboral, comercial, civil o de cualquier índole en el ejercicio de sus funciones como prestador de los servicios de acueducto y alcantarillado, de conformidad con la ley y sus estatutos. 

 

2.2. Desarrollo del problema jurídico:

 

Procede esta Oficina de acuerdo con las responsabilidades derivadas del artículo 12 del Acuerdo 11 de 2013 a emitir concepto jurídico respecto de la Autorización Uso de Datos Personales de los trabajadores de la EAAB ESP, usuarios de los planes de salud (PAS) y (PC).

 

La Ley 1581 de 2012, Régimen General de Protección de Datos Personales, tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido o que se pretendan recoger sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refieren los artículos 15 y 20 de la Constitución Política .

 

A su vez, el Decreto 1377 de 2012, reglamentó parcialmente la ley citada generando disposiciones generales para la protección de datos personales.

 

 

De conformidad con la normatividad analizada, los principios y disposiciones legales aplican a los datos personales registrados en cualquier base de datos susceptible de tratamiento[2] por entidades de naturaleza pública o privada. 

 

Debe resaltarse para el objeto del presente concepto que, de acuerdo con el principio de libertad, el tratamiento de los datos personales sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento

 

Por su parte, la autorización consiste en el consentimiento que debe otorgar el funcionario, o contratista (titular del dato) para que la Empresa, responsable del tratamiento de la información, pueda hacer uso de los datos personales.

 

De conformidad con la Ley y el reglamento, la organización responsable del tratamiento de los datos debe adoptar procedimientos internos para solicitar la autorización al titular. Así mismo, la ley fija la obligación de informar al titular de la información el porqué y el para que, se requiere el dato y cómo se utilizará dicha información. Además, tal autorización debe estar disponible para consultas posteriores.

 

Además, la empresa como responsable del tratamiento debe citar cada tratamiento de datos que hará, esto es, recolección, almacenamiento, consulta, divulgación, etcétera y aplica tanto para la EAAB como para el tercero que se habría de contratar para ello, situación que debe quedar explícita en la autorización.

 

En todo caso, es importante señalar que la obligación de la EAAB no concluye con obtener la autorización del titular del dato, además debe informar de manera clara y expresa al titular:

 

· El tratamiento al cual serán sometidos los datos personales recolectados y la finalidad de estos.

 

· Dado que en el presente caso es posible que exista datos personales sensibles (origen

racial o étnico, orientación sexual, filiación política o religiosa, etc.) o de niños y adolescentes; debe explicarle el carácter sensible que posee este tipo de información y, además, debe darle la opción al titular de elegir si responde o no dichas preguntas.

 

· Los derechos que tiene el titular de la información.

 

· La identificación, dirección física o electrónica y el teléfono de la organización o el responsable del tratamiento de los datos.

 

Vale la pena señalar en el este contexto que la Empresa como responsable del tratamiento de datos personales tienen la obligación de tener políticas de tratamiento de la Información, la cuales deben ceñirse a lo estipulado en el artículo 13 del Decreto 1377 de 2013.

 

De acuerdo con lo anterior, la Empresa de Acueducto y Alcantarillado de Bogotá EAAB ESP, emitió Resolución 1236 de 2016, por medio de la cual adopta la política de tratamiento de datos personales y en dicho acto administrativo se fija los derechos de los otorgantes, el trámite de reclamación, los canales de consulta y atención de reclamos entre otros.

 

Advertidas y analizadas las normas aplicables, y vez revisado el formato de autorización, se tiene que el mismo debe contener adicionalmente:

 

1. La identificación completa de la Empresa, esto es nombre completo, direcciones físicas y virtuales y teléfonos.

 

2. El tratamiento al cual serán sometidos los datos personales recolectados y la finalidad de los mismos.

 

3. Los derechos del titular del dato.

 

4. De existir datos personales sensibles (origen racial o étnico, orientación sexual, filiación política o religiosa, etc.) o de niños y adolescentes; explicar el carácter sensible que posee el tipo de información y, darle la opción al titular de elegir si responde o no dichas preguntas.

 

5. En caso de existir transferencia y transmisión de datos mediante un contrato con la Empresa que no observe lo contenido en los artículos 25 y 26 del Decreto 1377 de 2013, autorización del titular para dicha actividad.

 

6. La remisión o citación de la Resolución 1236 de 2016, política de tratamiento de datos personales de la EAAB ESP.

 

Por último, y con el fin de pueda servir como modelo de formato para la autorización de datos personales, adjuntamos el Anexo N. 2 de la Cartilla – Formatos modelo para el cumplimiento de las obligaciones establecidas en la Ley 1581 de 2012 y sus decretos reglamentarios, expedida por la Superintendencia de Industria y Comercio SIC.

 

3.            CONCLUSIÓN

 

Una vez analizadas el formato enviado la Oficina de Asesoría Legal concluye que se requiere incluir en el formato de autorización lo siguiente:

 

1. La identificación completa de la Empresa, esto es nombre completo, direcciones físicas y virtuales y teléfonos.

 

2. El tratamiento al cual serán sometidos los datos personales recolectados y la finalidad de los mismos.

 

3. Los derechos del titular del dato.

 

4. De existir datos personales sensibles (origen racial o étnico, orientación sexual, filiación política o religiosa, etc.) o de niños y adolescentes; explicar el carácter sensible que posee el tipo de información y, darle la opción al titular de elegir si responde o no dichas preguntas.

5. En caso de existir transferencia y transmisión de datos mediante un contrato con la Empresa que no observe lo contenido en los artículos 25 y 26 del Decreto 1377 de 2013, autorización del titular para dicha actividad.

 

6. La remisión o citación de la Resolución 1236 de 2016, política de tratamiento de datos personales de la EAAB ESP.

 

De esta manera la Oficina de Asesoría Legal de acuerdo con sus responsabilidades derivadas del artículo 12 del Acuerdo 11 de 2013, espera haber absuelto correctamente sus inquietudes y quedamos atentos a cualquier aclaración y/o complemento que pueda requerir.

 

Cordialmente,

 

    GUILLERMO OBREGÓN GONZÁLEZ

 

Jefe Oficina de Asesoría Legal

 

NOTAS DE PIE DE PÁGINA: