CONCEPTO 14104 DE 2020

(julio 6)

<Fuente: Archivo interno entidad emisora>

SERVICIO NACIONAL DE APRENDIZAJE - SENA

XXXXXXXXXXXXXXX

En atención a la comunicación electrónica de fecha 25 de junio de 2020 radicada con el número 9-2020-012089 mediante la cual consulta si existe o no vulneración al derecho de intimidad de las personas, custodia de la información, habeas data, reserva de la misma, etc., al realizar actualización en las hojas de vida de los trabajadores para poder incorporar o no dicha información en el aplicativo Self Service Kactus, de manera comedida le informo:

En la consulta formulada puntualiza:

“Teniendo en cuenta que se requiere recaudar información personal de los trabajadores para atender el cierre de brechas, de acuerdo con los indicadores que establece el FURAG, se adelantó la incorporación de ciertas preguntas en el aplicativo Self Service Kactus.

Sin embargo como algunas de ellas atañen a datos sensibles que comprometen la intimidad de las personas, en documento adjunto se remiten las preguntas que se plantearon para que sean atendidas por los funcionarios del Sena, (quienes son los que tienen la información en KACTUS”

ALCANCE DE LOS CONCEPTOS JURÍDICOS

Los conceptos emitidos por la Dirección Jurídica del SENA son orientaciones de carácter general que no comprenden la solución directa de problemas específicos ni el análisis de actuaciones particulares. En cuanto a su alcance, no son de obligatorio cumplimiento o ejecución, ni tienen el carácter de fuente normativa y sólo pueden ser utilizados para facilitar la interpretación y aplicación de las normas jurídicas vigentes.

PRECEDENTES NORMATIVOS

Para el análisis del presente concepto se tendrán en cuenta los siguientes fundamentos normativos y jurisprudenciales:

Constitución Política de 1991 artículo 15 y 152.

Ley 1266 de 2008 “Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones”.

Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales”.

Decreto 1074 de 2015 “por medio del cual se expide el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo” – artículos 2.2.2.25.2.2., 2.2.2.25.2.3., 2.2.2.25.2.4, 2.2.2.25.3.3.

Sentencia C- 748 de 2011 - Corte Constitucional

ANÁLISIS JURÍDICO

- Constitución Política – derecho y protección a la información – Derecho de petición

El artículo 15 de la Constitución Política fija el contenido tanto del derecho a la intimidad como a la protección de los datos personales:

“ARTÍCULO 15. Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.

En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.

La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley.

Para efectos tributarios o judiciales y para los casos de inspección, vigilancia e intervención del Estado podrá exigirse la presentación de libros de contabilidad y demás documentos privados, en los términos que señale la ley”.

- Protección de datos de carácter financiero, crediticio y comercial – Ley 1266 de 2008

Mediante la Ley 1266 de 2008 se dictaron disposiciones generales sobre el hábeas data y se reguló el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países.

El artículo 2º de la Ley 1266 de 2008 establece su ámbito de aplicación:

“ARTÍCULO 2o. AMBITO DE APLICACIÓN. La presente ley se aplica a todos los datos de información personal registrados en un banco de datos, sean estos administrados por entidades de naturaleza pública o privada.

Esta ley se aplicará sin perjuicio de normas especiales que disponen la confidencialidad o reserva de ciertos datos o información registrada en bancos de datos de naturaleza pública, para fines estadísticos, de investigación o sanción de delitos o para garantizar el orden público.

Se exceptúan de esta ley las bases de datos que tienen por finalidad producir la Inteligencia de Estado por parte del Departamento Administrativo de Seguridad, DAS, y de la Fuerza Pública para garantizar la seguridad nacional interna y externa.

Los registros públicos a cargo de las cámaras de comercio se regirán exclusivamente por las normas y principios consagrados en las normas especiales que las regulan.

Igualmente, quedan excluidos de la aplicación de la presente ley aquellos datos mantenidos en un ámbito exclusivamente personal o doméstico y aquellos que circulan internamente, esto es, que no se suministran a otras personas jurídicas o naturales”.

- Protección de Datos Personales – Ley 1581 de 2012

Mediante la Ley 1581 de 2012 se expidió el marco general de la protección de los datos personales en Colombia, el cual tiene por objeto “(...) desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma”.

Conforme con el artículo 2º de la Ley 1581 de 2012, los principios y disposiciones en ella contenidos “serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada. // La presente ley aplicará al tratamiento de datos personales efectuado en territorio colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales”.

El régimen de protección de datos personales que se establece en la precitada ley 1581 de 2012 no será de aplicación a las bases de datos a que se refiere el artículo 2º ibídem, tal como se verá más adelante.

El parágrafo del artículo 2º ejusdem establece que “Los principios sobre protección de datos serán aplicables a todas las bases de datos, incluidas las exceptuadas en el presente artículo, con los límites dispuestos en la presente ley y sin reñir con los datos que tienen características de estar amparados por la reserva legal. En el evento que la normatividad especial que regule las bases de datos exceptuadas prevea principios que tengan en consideración la naturaleza especial de datos, los mismos aplicarán de manera concurrente a los previstos en la presente ley”

El literal c) del artículo 4º dela Ley 1581 de 2012 establece:

“ARTÍCULO 4o. PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES. En el desarrollo, interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los siguientes principios:

(…)

c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento…”

El artículo 9 ejusdem determina que, sin perjuicio de las excepciones previstas en dicha ley, “en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior”.

No obstante, la ley en comento también contempla situaciones en las que no se hace necesario la autorización del titular para la entrega de cierta información personal y, en ese sentido, puede ser objeto de entrega por parte de la entidad que ejerza la custodia de los datos personales, a quien la solicite. De esta manera, el artículo 10º establece:

“Artículo 10. Casos en que no es necesaria la autorización. La autorización del Titular no será necesaria cuando se trate de:

a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;

b) Datos de naturaleza pública;

c) Casos de urgencia médica o sanitaria;

d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos;

e) Datos relacionados con el Registro Civil de las Personas.

Quien acceda a los datos personales sin que medie autorización previa deberá en todo caso cumplir con las disposiciones contenidas en la presente ley”.

Ahora bien, en relación con el uso de datos sensibles, el artículo 5 de dicha norma establece:

“ARTÍCULO 5o. DATOS SENSIBLES. Para los propósitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos” (Negrilla fuera de texto)

Frente al tratamiento que debe darse a los datos sensibles, el artículo 6° de la norma ut supra prevé:

“ARTÍCULO 6o. TRATAMIENTO DE DATOS SENSIBLES. Se prohíbe el Tratamiento de datos sensibles, excepto cuando:

a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización;

b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización;

c) El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular;

d) El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;

e) El Tratamiento tenga una finalidad histórica, estadística o científica.

En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares”.

En cuanto al derecho a solicitar la información respecto de datos personales consignada en una entidad, el artículo 13 de la Ley 1581 de 2012 preceptúa que las personas a quienes es posible suministrar la información son: (i) los Titulares, sus causahabientes o sus representantes legales; (ii) las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial; y (iii) los terceros autorizados por el Titular o por la ley.

El artículo 14 de la citada norma establece que los Titulares o sus causahabientes podrán consultar la información personal del Titular que repose en cualquier base de datos, sea esta del sector público o privado. El responsable o encargado del tratamiento deberá suministrar a éstos toda la información contenida en el registro individual o que esté vinculada con la identificación del titular. La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo.

El Decreto 1074 de 2015, Único reglamentario del sector comercio, industria y turismo, en el capítulo 26 reglamentó parcialmente la Ley 1581 de 2012 sobre datos personales.

CONCLUSIÓN

Como atrás quedó indicado, en desarrollo del artículo 15 de la Constitución Política se han expedido las siguientes leyes estatutarias sobre protección de datos: Ley 1266 de 2008, o Ley de habeas data de carácter financiero, crediticio, comercial, de servicios y de terceros países; Ley 1581 de 2012 o Ley estatutaria de datos personales.

De acuerdo con lo anterior, encontramos:

(I) El Habeas Data es un derecho fundamental consagrado en el artículo 15 de la Constitución Política de 1991 cuyo objetivo es proteger la intimidad personal y familiar y el buen nombre del individuo. Dicho derecho permite actualizar y rectificar las informaciones que se haya recogido en bancos de datos de entidades públicas y/o privadas.

Las leyes estatutarias 1266 de 2008 y 1581 de 2012 regulan el derecho fundamental de Hábeas Data, esto es, el derecho que tienen las personas de conocer, actualizar y rectificar la información recogida en bancos de datos públicos y privados; si bien se trata de normas legales similares, cada una se dirige a regular un determinado y particular tipo de información.

A pesar de las similitudes, entre las leyes antes indicadas se presentan diferencias: La Ley 1266 de 2008 protege datos personales de carácter financiero, comercial y crediticio de personas naturales y jurídicas, al paso que la Ley 1581 de 2012 solamente protege los datos de personas naturales de manera general.

(II) Todas aquellas bases de datos que no se encuentren dentro del ámbito de aplicación de la Ley 1266 de 2008, se rigen por la Ley 1581 de 2012, la cual se refiere, según su artículo 2º, a todos los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada.

La Ley 1581 de 2012 se aplica a todas las bases de datos que almacenen y utilicen datos personales, con las excepciones a que se refiere el precitado artículo 2º y cuando se requiere la autorización del titular de la información, tal como antes se indicó.

Sobre el particular, la Corte Constitucional en Sentencia C-748 de 2011 señaló:

“ (…)

Principio de libertad: El tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

Este principio, pilar fundamental de la administración de datos, permite al ciudadano elegir voluntariamente si su información personal puede ser utilizada o no en bases de datos. También impide que la información ya registrada de un usuario, la cual ha sido obtenida con su consentimiento, pueda pasar a otro organismo que la utilice con fines distintos para los que fue autorizado inicialmente.

(…)

De todo lo anterior, puede entonces deducirse: (i) los datos personales sólo pueden ser registrados y divulgados con el consentimiento libre, previo, expreso e informado del titular. Es decir, no está permitido el consentimiento tácito del Titular del dato y sólo podrá prescindirse de él por expreso mandato legal o por orden de autoridad judicial, (ii) el consentimiento que brinde la persona debe ser definido como una indicación específica e informada, libremente emitida, de su acuerdo con el procesamiento de sus datos personales. Por ello, el silencio del Titular nunca podría inferirse como autorización del uso de su información y (iii) el principio de libertad no sólo implica el consentimiento previo a la recolección del dato, sino que dentro de éste se entiende incluida la posibilidad de retirar el consentimiento y de limitar el plazo de su validez…” (Negrillas en el texto original)

En la misma providencia, la Corte indicó:

“ (…)

Por una parte, los datos personales deben ser procesados con un propósito específico y explícito. En ese sentido, la finalidad no sólo debe ser legítima sino que la referida información se destinará a realizar los fines exclusivos para los cuales fue entregada por el titular. Por ello, se deberá informar al Titular del dato de manera clara, suficiente y previa acerca de la finalidad de la información suministrada y por tanto, no podrá recopilarse datos sin la clara especificación acerca de la finalidad de los mismos. Cualquier utilización diversa, deberá ser autorizada en forma expresa por el Titular…”.

(III) La Ley 1581 de 2012, además, protege los denominados “datos sensibles” (artículo 5º) entendidos como aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos, son de carácter reservado y, por ende, para su tratamiento se requiere consentimiento previo, expreso e informado de su titular, salvo en los casos exceptuados por la ley, como por ejemplo, cuando los requiera otra entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial, evento en el cual no será necesario la autorización de su titular.

Según el artículo 7º de la antedicha ley, queda proscrito el Tratamiento de datos personales de niños, niñas y adolescentes, salvo aquellos datos que sean de naturaleza pública.

De lo anterior puede concluirse que cuando se registren datos personales en entidades públicas como el SENA, a los titulares a los que se les pide datos personales deberán ser previamente informados de manera expresa, precisa e inequívoca sobre la finalidad de la información que se requiere recolectar, los derechos que le asisten como titulares de la misma y quien tendrá a su cargo el manejo de los datos personales.

Significa lo anterior que para realizar actualización de datos en las hojas de vida de los servidores públicos del SENA en el aplicativo Self Service Kactus, es necesario que previamente o al menos al momento de recolectar los datos, se solicite de manera expresa y clara a los titulares de la información su autorización, es decir, su consentimiento para llevar a cabo la recolección y el tratamiento de los datos personales, en especial si se trata de datos personales sensibles, y la finalidad de los mismos e informarles sobre los derechos que les asisten como titulares de dicha información, conforme con lo previsto en los artículos 4º literal c) y 12 de la Ley 1581 de 2012 y en el artículo 2.2.2.25.2.2.del Decreto 1074 de 2015.   

En este sentido, debe tenerse en cuenta lo establecido en los artículos 2.2.2.25.2.3. y 2.2.2.25.2.4 del Decreto 1074 de 2015 “por medio del cual se expide el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo “:

“Artículo 2.2.2.25.2.3. De la autorización para el Tratamiento de datos personales sensibles. El Tratamiento de los datos sensibles a que se refiere el artículo 5° de la Ley 1581 de 2012 está prohibido, a excepción de los casos expresamente señalados en el artículo 6° de la citada ley.

En el Tratamiento de datos personales sensibles, cuando dicho Tratamiento sea posible conforme a lo establecido en el artículo 6° de la Ley 1581 de 2012, deberán cumplirse las siguientes obligaciones:

1. Informar al titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento.

2. Informar al titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento, así como obtener su consentimiento expreso.

Ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles.

“Artículo 2.2.2.25.2.4. Modo de obtener la autorización. Para efectos de dar cumplimiento a lo dispuesto en el artículo 9° de la Ley 1581 de 2012, los Responsables del Tratamiento de datos personales establecerán mecanismos para obtener la autorización de los titulares o de quien se encuentre legitimado de conformidad con lo establecido en el artículo 2.2.2.25.4.1., del presente decreto, que garanticen su consulta. Estos mecanismos podrán ser predeterminados a través de medios técnicos que faciliten al Titular su manifestación automatizada.

Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (i) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca”.

Por tanto, para la recolección y el posterior tratamiento de datos personales en el sistema de información KACTUS, sugerimos se tenga en cuenta el contenido mínimo del aviso de privacidad a que se refiere el artículo 2.2.2.25.3.3 del Decreto 1074 de 2015:

1. Nombre o razón social y datos de contacto del responsable del tratamiento.

2. El Tratamiento al cual serán sometidos los datos y la finalidad del mismo.

3. Los derechos que le asisten al titular.

4. Los mecanismos dispuestos por el responsable para que el titular conozca la política de Tratamiento de la información y los cambios sustanciales que se produzcan en ella o en el Aviso de Privacidad correspondiente. En todos los casos, debe informar al Titular cómo acceder o consultar la política de Tratamiento de información.

No obstante lo anterior, cuando se recolecten datos personales sensibles, el aviso de privacidad deberá señalar expresamente el carácter facultativo de la respuesta a las preguntas que versen sobre este tipo de datos. (Ver artículo 5º Ley 1581 de 2012 sobre Datos Personales Sensibles).

En todo caso, la divulgación del Aviso de Privacidad no eximirá al Responsable de la obligación de dar a conocer a los titulares la política de tratamiento de la información.

El presente concepto se rinde de conformidad con el alcance dispuesto en el artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, incorporado por la Ley 1755 de 2015. Lo anterior no sin advertir, que el mismo se encuentra sujeto a las modificaciones legales y jurisprudenciales que se expidan y acojan dentro del asunto.

Cordial saludo,

Antonio José Trujillo Illera

Coordinador Grupo de Conceptos Jurídicos y

Producción Normativa - Dirección Jurídica

Dirección General

Disposiciones analizadas por Avance Jurídico Casa Editorial Ltda.©
"Normograma del Servicio Nacional de Aprendizaje SENA"
ISSN [2463-0586 (En linea)]
Última actualización: 20 de abril de 2024 - (Diario Oficial No. 52.716 - 3 de abril de 2024)
Las notas de vigencia, concordancias, notas del editor, forma de presentación y disposición de la
compilación están protegidas por las normas sobre derecho de autor. En relación con estos valores
jurídicos agregados, se encuentra prohibido por la normativa vigente su aprovechamiento en publicaciones
similares y con fines comerciales, incluidas -pero no únicamente- la copia, adaptación, transformación,
reproducción, utilización y divulgación masiva, así como todo otro uso prohibido expresamente por
la normativa sobre derechos de autor, que sea contrario a la normativa sobre promoción de la
competencia o que requiera autorización expresa y escrita de los autores y/o de los titulares de
los derechos de autor. En caso de duda o solicitud de autorización puede comunicarse al teléfono
617-0729 en Bogotá, extensión 101. El ingreso a la página supone la aceptación sobre las normas
de uso de la información aquí contenida.