RÉGIMEN LEGAL DE BOGOTÁ D.C.

DIRECTIVA 005 DE 2019

(Julio 25)

PARA: SECRETARIOS (AS) DE DESPACHO, DIRECTORES (AS) DE DEPARTAMENTOS ADMINISTRATIVOS, GERENTES, PRESIDENTES (AS) Y DIRECTORES (AS) DE ESTABLECIMIENTOS PÚBLICOS, UNIDADES ADMINISTRATIVAS ESPECIALES, EMPRESAS INDUSTRIALES Y COMERCIALES DEL DISTRITO, SOCIEDADES DE ECONOMÍA MIXTA, SOCIEDADES ENTRE ENTIDADES PÚBLICAS, EMPRESA DE ACUEDUCTO Y ALCANTARILLADO DE BOGOTÁ, D.C., EMPRESAS SOCIALES DEL ESTADO, ALCALDES/AS LOCALES, Y RECTOR DEL ENTE UNIVERSITARIO AUTÓNOMO.

DE: SECRETARIA JURÍDICA DISTRITAL

ASUNTO: TRATAMIENTO DE DATOS PERSONALES - AUTORIZACIONES, DATOS SENSIBLES, DATOS DE NIÑOS, NIÑAS Y ADOLESCENTES, CÁMARAS Y VIDEOS DE SEGURIDAD, SANCIONES Y RECOMENDACIONES.

La Ley 1581 de 2012, el Decreto 1377 de 2013 y el Capítulo 25 del Decreto Único Reglamentario del Sector Comercio, Industria y Turismo 1074 de 2015, establecen el Régimen General de Tratamiento de Datos Personales. Sobre el particular, la Secretaría Jurídica Distrital expidió la Directiva 002 de 2018 con lineamientos generales sobre el Tratamiento de datos personales, a fin de garantizar los derechos, libertades y garantías constitucionales de los Titulares.

Ahora bien, el principio de libertad que rige el Tratamiento de datos personales, determina que cualquier Tratamiento “sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento” (Artículo 4° literal c Ley 1581 de 2012). En este sentido, se requiere, por regla general, la Autorización escrita, oral o a través de conductas inequívocas del Titular para el Tratamiento de sus datos personales.

A pesar de lo anterior, el artículo 10 de la Ley 1581 de 2012 señala que la Autorización para el tratamiento de los datos personales no será necesaria cuando la información sea requerida por una entidad pública o administrativa en ejercicio de sus funciones legales. Sin embargo, esta excepción requiere hacer varias precisiones teniendo en cuenta que los datos personales de carácter privado o semiprivado en cabeza de las entidades públicas exigen un tratamiento y reserva especial, so pena de las sanciones de que trata el artículo 23 de la Ley 1581 de 2012.

Así, con el objeto de prevenir el daño antijurídico producto del Tratamiento inadecuado de los datos personales por parte de las entidades y organismos del Distrito, la Secretaría Jurídica Distrital, en el marco de las funciones establecidas en el artículo 3° del Decreto Distrital 323 de 2016, fija los siguientes lineamientos en esta materia:

I. DATOS PERSONALES DE NIÑOS, NIÑAS Y ADOLESCENTES

De conformidad con el artículo 12 del Decreto 1377 de 2013, el Tratamiento de datos personales de niños, niñas y adolescentes está prohibido, salvo cuando se trate de datos de naturaleza pública, y cuando dicho Tratamiento: i) Responda y respete el interés superior de los niños, niñas y adolescentes y ii) Asegure el respeto de sus derechos fundamentales.

Cumplidas las anteriores condiciones en cada caso particular, las entidades y organismos del distrito deberán solicitar a los representantes legales del menor de forma previa, expresa e informada la Autorización para el Tratamiento de sus datos personales. La Autorización deberá establecer las Finalidades para las cuales se hará Tratamiento de la información y para ello, se tendrá en cuenta la opinión del menor sobre el Tratamiento de sus datos. En cualquier caso, su opinión será valorada teniendo en cuenta la madurez, autonomía y capacidad del menor de edad para comprender el asunto.

Así mismo, deberán conservar copia de la autorización, velar por el uso de los datos de acuerdo con las finalidades para las cuales fue autorizado, y conservar la información en condiciones de seguridad y confidencialidad suficientes que eviten su adulteración, acceso fraudulento o divulgación no autorizada. 

En este orden, el Tratamiento de datos de niños, niñas y adolescentes, deberá hacerse con estricta reserva y diligencia. En caso de no contar con la Autorización de los representantes legales del menor de edad o tener dudas sobre los datos personales objeto de Tratamiento, la entidad u organismo distrital deberá abstenerse de cualquier uso.

Ahora bien, en el caso particular de fotografías en las que aparecen niños, niñas y adolescentes, vale recordar que la imagen, al permitir el reconocimiento o identificación del menor, se entiende como un dato personal en los términos del literal c) del artículo 3° de la Ley 1581 del 2012 y, por lo tanto, le es aplicable el Régimen de Tratamiento de Datos Personales.

Por lo anterior, se insta a las entidades para que hagan revisión de las Autorizaciones para el uso de las imágenes de menores y de ser el caso, retirar las fotografías de redes sociales, publicaciones, publicidad o cualquier otro medio impreso o digital que pueda desconocer la legislación en esta materia, so pena de las sanciones de que trata el artículo 23 de la Ley 1581 de 2012 Nivel Nacional. En lo sucesivo, cualquier publicación o uso de imágenes que incluya menores, requiere contar previamente con la Autorización expresa y previa de sus padres o representantes legales.

II. TRATAMIENTO DE DATOS PERSONALES EN CÁMARAS Y VIDEOS DE SEGURIDAD

Teniendo en cuenta que las cámaras de seguridad ubicadas en las entidades y organismos del distrito, hacen un Tratamiento de datos personales al registrar, captar, grabar, almacenar, conservar o reproducir en tiempo real o posterior las imágenes de personas de conformidad con el literal g) del artículo 3° de la Ley 1581 del 2012, su uso trae implícita la aplicación del Régimen General de Protección de Datos Personales.

Sobre esta materia, la Superintendencia de Industria y Comercio - SIC publicó la Cartilla Protección de Datos Personales en sistemas de videovigilancia^[1] con el fin de garantizar el derecho de los Titulares de la información y establecer medidas para quienes hagan uso de ellas en calidad de Responsables o Encargados del Tratamiento, a través de cámaras, videocámaras, cámaras análogas o digitales, circuitos cerrados de televisión (CCTV) y en general, cualquier medio por el cual se realice el Tratamiento de imágenes.

Es importante tener en cuenta que si bien las empresas de seguridad son las que generalmente ejercen esta actividad y actúan en calidad de Encargados del Tratamiento, las entidades y organismos del Distrito continúan siendo Responsables del mismo por ser quienes determinan la finalidad de las bases de datos y/o el Tratamiento de los datos. Por lo tanto, las entidades y organismos como Responsables del Tratamiento deberán observar que los terceros contratados para tal efecto, den cumplimiento a la legislación en esta materia.

Ahora bien, este Tratamiento de las imágenes captadas a través de cualquier sistema de videovigilancia requiere la Autorización de los Titulares. A este respecto, la SIC ha señalado que no se requiere la Autorización verbal o escrita, basta contar con conductas inequívocas que permitan concluir la utorización del Tratamiento^[2]. Para ello, se requiere entonces contar con un aviso visible en las zonas de ingreso y al interior de los lugares que están siendo vigilados y monitoreados, a través del cual se comunique a los Titulares que se hará un Tratamiento de los datos personales y la información requerida para el efectivo ejercicio del hábeas data.

Estos avisos deberán tener como mínimo, la información del Aviso de Privacidad, esto es: 1. Información del Responsable y datos de contacto, 2. el Tratamiento al cual serán sometidos los datos y la finalidad de los mismos, 3. los derechos de los Titulares y 4. Los mecanismos dispuestos por el Responsable para que el Titular conozca la Política de Tratamiento de la información.

En caso de que se requiera la visualización de las grabaciones, las entidades y organismos deberán garantizar su divulgación en un área de acceso restringido por terceros debidamente autorizados e incluso, suscribir cláusulas de confidencialidad con el personal que tendrá acceso a las cámaras, así como extender esta obligación después de finalizada la relación contractual o laboral.

III. TRATAMIENTO DE DATOS SENSIBLES

Los datos sensibles se definen en el artículo 5° de la Ley 1581 de 2012 como aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación. Están relacionados, entre otros, con la orientación sexual, el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales o de derechos humanos, así como la salud y los datos biométricos.

A este respecto, la Corte Constitucional ha señalado que los datos sensibles no solo se relacionan con el ejercicio del derecho al hábeas data sino que la naturaleza de los mismos, pertenece al núcleo esencial del derecho fundamental a la intimidad^[3]. En ese sentido, el literal a) del artículo 6° ibídem, prohíbe por regla general su Tratamiento, salvo, entre otros casos, cuando el Titular haya dado su Autorización explícita.

Así, en relación con los datos sensibles, las entidades y organismos distritales deberán: 1. Informar al titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento y 2. Informar al titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento, así como obtener su consentimiento expreso (art. 6° Decreto 1377  de 2013).

Es dable advertir que ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles.

Sin perjuicio de que se cuente con la respectiva Autorización para su Tratamiento, la entidad u organismo distrital deberá omitir los datos sensibles en actos y documentos administrativos, conceptos, informes y demás documentos que deban ser publicados en la página web de las entidades y organismos, así como restringir su acceso a aquellos servidores y contratistas que en el ejercicio de sus funciones, requieran dicha información.

Ahora bien, los datos biométricos en particular, son datos sensibles que permiten identificar a una persona natural a través del reconocimiento de una característica física e intransferible. Incluyen datos sobre las características físicas como el rostro, las huellas dactilares, palma de la mano, retina, ADN, etc^[4]. A este respecto, la SIC señala que “la imagen de las personas se considera como un dato biométrico de carácter sensible, siempre que sea tratada por medios técnicos específicos que permitan la identificación o la autenticación unívoca de una persona física. De lo contrario, se tratará de datos personales de carácter privado”^[5].

Por lo tanto, las entidades y organismos distritales que cuenten con sistemas de registro que incluyan tomar fotografías, escanear el documento de identidad o tomar la huella dactilar, deberán contar con el respectivo Aviso de Privacidad que incluya el Tratamiento de datos sensibles en un lugar visible.

IV. REVISIÓN DE LA POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES, EL AVISO DE PRIVACIDAD Y LOS MANUALES DE POLÍTICAS Y PROCEDIMIENTOS INTERNOS

En atención a la importancia que reviste el Tratamiento de datos personales y que su cumplimiento se sujeta a lo contenido en la respectiva Política de Tratamiento de la Información, las entidades deberán revisar las políticas vigentes con el fin de actualizar y cumplir con los mínimos requisitos exigidos por la Ley. Para ello, deberán tener en cuenta lo dispuesto en el artículo 13^[6] del Decreto 1377 de 2013 y de ser el caso, incluir el Tratamiento de datos personales de niñas, niños y adolescentes así como el Tratamiento de datos sensibles por la importancia que reviste su efectiva protección.

La difusión de la Política se podrá hacer a través de documentos, formatos electrónicos, medios verbales o cualquier otra tecnología, siempre y cuando garantice y cumpla con el deber de informar al Titular sobre estos mínimos requeridos. Cualquier cambio sustancial en las Políticas de Tratamiento, deberá ser comunicado oportunamente a los Titulares de los datos personales, antes de su implementación.

Así mismo, las entidades y organismos deberán verificar la existencia y contenido del Aviso de privacidad a fin de cumplir con los parámetros exigidos por el artículo 14 y 15 del Decreto 1377 de 2013, señalados en el numeral II del presente documento.

Vale señalar que el aviso de privacidad es de carácter obligatorio y debe estar en un lugar visible con el fin de informar al Titular cómo acceder o consultar la Política de Tratamiento de información en los casos en que no sea posible ponerla a su disposición. Sin perjuicio de lo anterior, cuando se recolecten datos personales sensibles, el Aviso de Privacidad deberá incluir un aparte sobre este tipo de datos y señalar expresamente el carácter facultativo del Titular.

En todo caso, la divulgación del Aviso de Privacidad no exime al Responsable de la obligación de dar a conocer a los Titulares la Política de Tratamiento de la Información.

Finalmente, es obligación de las entidades y organismos distritales contar con Manuales de Políticas y Procedimientos Internos que den cuenta de las medidas para garantizar el correcto Tratamiento de los datos personales y los mecanismos concretos para atender quejas, consultas y reclamos presentados por los Titulares en el ejercicio de su derecho al hábeas data, así como un área encargada de dar trámite a las solicitudes de los Titulares en ejercicio de su derecho al hábeas data.

V. SANCIONES

Frente al incumplimiento de las medidas antes señaladas por parte de las autoridades públicas, la Superintendencia de Industria y Comercio remitirá la actuación a la Procuraduría General de la Nación para que adelante la investigación respectiva de conformidad con el artículo 23 de la Ley 1581 del 2012.

Es dable advertir que la Procuraduría General de la Nación solo tienen competencia para imponer sanciones de carácter disciplinario a los servidores públicos y a particulares en cumplimiento de funciones públicas, de conformidad con al artículo 25 de la Ley 734 de 2002^[7]. Sobre el particular, la Resolución 462 de 2019 determinó que la Procuraduría Delegada para la Defensa del Patrimonio Público, la Transparencia y la Integridad, podrá “i) Adelantar en primera instancia las actuaciones disciplinarias que correspondan por conductas relacionadas en el incumplimiento de las obligaciones contenidas en la Ley 1581 de 2012 y demás disposiciones que la desarrollen, modifiquen y reglamenten a cargo de los sujetos vinculados con las autoridades públicas, para lo cual asumirá las funciones de los literales a), b), c), k), I), m) y n) del numeral 1, así como la de los numerales 4, 5, 6, 10 y 11 del artículo 25 del Decreto Ley 262 de 2000 y las demás que se deriven del ejercicio propio de los asuntos de esa competencia."

Por lo tanto, en caso de incumplimiento de la legislación en esta materia, las sanciones serán las contenidas en los artículos 44 a 46 de la Ley 734 de 2002, “entre las cuales, de acuerdo a la gravedad o levedad de la falta pueden incluir la destitución e inhabilidad general, suspensión e inhabilidad específica, simple suspensión, la multa y la amonestación”^[8].

Así mismo, la Procuraduría podrá realizar las funciones de vigilancia y prevención necesarias a fin garantizar que en el Tratamiento de datos personales se respeten los principios, garantías y procedimientos previstos en las disposiciones sobre hábeas data. Para ello, el artículo 2º de la Resolución 462 de 2019 señala que podrá vigilar el cumplimiento de las obligaciones a cargo de las autoridades públicas contenidas en la Ley 1581 de 2012 y demás disposiciones que la reglamentan, realizar visitas a las entidades estatales o particulares que cumplen funciones públicas, ejercer de manera selectiva control preventivo de la gestión administrativa en el cumplimiento de las obligaciones contenidas en la Ley 1581 de 2012, así como solicitar la información que considere necesaria para el cumplimiento de esta función.

VI. RECOMENDACIONES GENERALES

Por último, para el Tratamiento de datos personales, se recomienda a las entidades y organismos distritales:

● Evaluar el impacto en la intimidad y dignidad de los Titulares a fin de limitar la recolección y Tratamiento de la información. Para ello, se tendrá en cuenta la proporcionalidad y necesidad de la recolección, así como la Finalidad del Tratamiento.

● Solicitar la Autorización previa, expresa e informada del Titular para el tratamiento de datos de niñas, niños y adolescentes, así como de datos sensibles y conservar prueba de ella en caso de ser solicitada por autoridades competentes.

● Verificar que las finalidades del Tratamiento consignadas en las Autorizaciones sean específicas y respondan a la misionalidad de las entidades y organismos distrito. Esta revisión permitirá determinar en qué casos la información podrá ser objeto de Tratamiento y en qué casos, se requerirá una nueva Autorización.

● Permitir el acceso a la información únicamente por solicitud de una autoridad pública en ejercicio de sus funciones, por personas autorizadas expresamente por el Titular. Incluso al interior de las entidades, la información deberá ser restringida a aquellos funcionarios o contratistas que, en ejercicio de sus funciones, requieran conocer dicha información.

● Tener en cuenta que no por el hecho de que la información personal esté en cabeza de entidad pública, es de carácter público. Por lo tanto, en caso de que terceros soliciten la entrega de información personal, será necesario determinar el carácter de la información, esto es, si publica, privada o semiprivada. Así como remitirse a la Autorización o a las Finalidades del Tratamiento consignadas en la Política de Tratamiento de Datos a fin de verificar si procede dicha solicitud.

● Conservar la información bajo condiciones de seguridad y confidencialidad suficientes para garantizar de forma permanente el acceso restringido y circulación de la Información recolectada.  Para ello, se recuerda a las entidades la importancia de contar con Manuales que proporcionen las medidas técnicas, humanas y administrativas necesarias para garantizar la seguridad de los datos personales evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

● Observar los principios de legalidad, libertad, calidad, veracidad, seguridad, confidencialidad, acceso y circulación restringida en el Tratamiento de los datos personales.

● Contar con la Política de Tratamiento de Datos Personales, el Aviso de Privacidad y los Manuales de Políticas y Procedimientos Internos, con el fin de garantizar que los Titulares puedan conocer dónde está su información personal, los propósitos para los que ha sido recolectada y los mecanismos disponibles para su actualización, supresión y/o rectificación.

De acuerdo con lo anterior, se solicita a las entidades y organismos del distrito que den cumplimiento al Régimen de Tratamiento de Datos Personales y empleen las medidas necesarias para garantizar el derecho fundamental al hábeas data de los Titulares de la Información, así como prevenir cualquier investigación por parte de la Procuraduría General de la Nación por el presunto incumplimiento de la legislación en esta materia.

Cordialmente,

DALILA ASTRID HERNÁNDEZ CORZO

Secretaria Jurídica Distrital

NOTA: Ver Anexo  

Proyectó: Laura Villarraga Albino

Revisó: Alexandra Navarro Erazo

Aprobó: Gloria Edith Martínez

NOTAS DE PIE DE PÁGINA: