CONCEPTO 34065 DE 2019

(mayo 28)

<Fuente: Archivo interno entidad emisora>

SERVICIO NACIONAL DE APRENDIZAJE - SENA

En respuesta a su comunicación electrónica del 16 de mayo de 2019, con radicado 8-2019-031170, mediante la cual solicita concepto sobre la suscripción de un convenio interadministrativo con el fin de realizar un intercambio de información para la gestión de datos; al respecto, de manera comedida le informo:

En su comunicación puntualiza lo siguiente.

La Dirección Territorial de Salud del Departamento de Caldas ha manifestado el interés de suscribir un convenio interadministrativo con la Regional Caldas con el fin de realizar un intercambio de información entre el Sena y esa Entidad, “para la gestión de datos que permita la toma de decisiones a nivel territorial basadas en el análisis de riesgo y el fortalecimiento continuo del observatorio social”. Esa entidad, cuenta con un aplicativo en el que se registra información del grupo familiar e habitantes de todo el departamento de Caldas (incluye información relacionada con desplazados, salud, riesgos, madres cabeza de familia, etc.).

La principal obligación del convenio sería que el Sena suministrara información de los alumnos formados en la Regional Caldas, que se encuentra contenida en el PE-04 y con ellos alinear dicho aplicativo.

Como consecuencia, sería factible suscribir dicho convenio entre las dos entidades para el intercambio de información, sin afectar el derecho de habeas data a los aprendices al revelar la información de nombres, cedula y acción de formación adelantada en el Sena. Cabe aclarar que, con la suscripción del convenio, se tendría un acuerdo de confidencialidad de la información, es decir que, esta no sería pública en el aplicativo de la Dirección Territorial de Salud de Caldas, sino que será estadística para las personas que lo desea consultar.

ALCANCE DE LOS CONCEPTOS JURÍDICOS

Los conceptos emitidos por la Dirección Jurídica del SENA son orientaciones de carácter general que no comprenden la solución directa de problemas específicos ni el análisis de actuaciones particulares. En cuanto a su alcance, no son de obligatorio cumplimiento o ejecución, ni tienen el carácter de fuente normativa y sólo pueden ser utilizados para facilitar la interpretación y aplicación de las normas jurídicas vigentes.

PRECEDENTES NORMATIVOS

En relación con el caso consultado es preciso indicar que la protección de datos personales está contemplada en la Constitución Política, la Ley 1266 de 2008, la Ley 1581 de 2012 y su Decreto Reglamentario 1377 de 2013, el Instructivo Sena de Protección de Datos Personales, entre otras.

ANÁLISIS JURÍDICO

El artículo 113 de la Constitución Política señala: “Son Ramas del Poder Público, la legislativa, la ejecutiva, y la judicial. Además de los órganos que las integran existen otros, autónomos e independientes, para el cumplimiento de las demás funciones del Estado. Los diferentes órganos del Estado tienen funciones separadas, pero colaboran armónicamente para la realización de sus fines”. (Subrayas y negrillas fuera del texto).

Esa disposición constitucional establece el principio de colaboración armónica entre los diferentes órganos del Estado.

Así mismo, la Ley 489 de 1998 en su artículo 95 prevé la posibilidad de que las entidades públicas se asocien con el fin de: “(…) cooperar en el cumplimiento de funciones administrativas o de prestar conjuntamente servicios que se hallen a su cargo mediante la celebración de convenios interadministrativos”.

De la misma forma, la Ley 962 de 2005, establece que será permitido el intercambio de información entre distintas entidades oficiales, en aplicación del principio de colaboración^[1].

La anterior colaboración debe realizarse al servicio de los intereses generales y se desarrolla con base en los principios constitucionales de igualdad, moralidad, eficacia, economía, celeridad, imparcialidad y publicidad^[2].

También, el artículo 3o del Decreto 235 de 2010^[3], modificado por el artículo 1o del Decreto 2280 de 2010, establece que, para efectos de formalizar el intercambio de información, de manera ágil, oportuna y confiable, las entidades públicas o los particulares encargados de una función administrativa podrán emplear el mecanismo que consideren idóneo para el efecto, tales como cronograma de entrega, plan de trabajo, protocolo o convenio, entre otros.

Dichos intercambios de información se realizan dentro de estrictos acuerdos de confidencialidad con el fin de impedir que los datos suministrados, por unos u otros, lleguen a terceros, salvo que sean solicitados en cumplimiento de lo dispuesto en la Ley 526 de 1999 que creó la Unidad de Información y Análisis Financiero^[4]

La información objeto del intercambio sólo podrá ser utilizada para adelantar el cumplimiento de las funciones propias de cada entidad.

Por otra parte, la Constitución en su artículo 15 consagra el derecho fundamental a la intimidad, señalando lo siguiente: “Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en los bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.”

En esas condiciones, las Leyes 1266 de 2008^[5] y 1581 de 2012^[6], establecen las disposiciones generales para la protección de datos personales de todas las personas que se hayan recogido sobre ellas en bases de datos o archivos, acordando que nadie puede acceder a los datos personales de un tercero sin autorización para su conocimiento.

La Ley 1266 de 2008 define los datos personales como: cualquier información que pueda ser relacionada con una persona, los cuales pueden ser íntimos o privados, semiprivados y públicos.

Con respecto, a la Ley 1581 de 2012 se aplica a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por parte de entidades públicas o privadas.

El responsable del tratamiento de datos ha sido definido por la Ley 1581 de 2012 como la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros decida sobre la base de datos y/o el tratamiento de los datos.

La autorización previa del titular de los datos personales, salvo en los casos autorizados por la ley, le permite al SENA dar el siguiente tratamiento a la información:

a) Para los fines administrativos propios de la entidad.

b) Caracterizar ciudadanos y grupos de interés y adelantar estrategias de mejoramiento en la prestación del servicio.

c) Dar tratamiento y respuesta a las peticiones, quejas, reclamos, denuncias, sugerencias y/o felicitaciones presentados a la entidad.

d) Alimentar el Sistema de Información y Gestión de Empleo Público – SIGEP.

e) Conocer y consultar la información del titular del dato que repose en bases de datos de entidades públicas o privadas.

f) Adelantar encuestas de satisfacción de usuarios.

g) Envío de información de interés general.

h) Recopilar información de ciudadanos asistentes a capacitaciones desarrolladas por la entidad.

i) Medición de calidad e impacto de los servicios en la población objeto de atención. j) Conformar y mantener actualizada la base de datos del SENA^[7]

Por consiguiente, el SENA en el cumplimiento de su misión debe garantizar el tratamiento adecuado de los datos personales de los aprendices, servidores públicos, contratistas y en general de la población que requiera los servicios que presta la Entidad.

Por lo anterior, el SENA dentro de la política de protección de datos personales se compromete a garantizar la protección de los derechos fundamentales referidos al buen nombre y al derecho de información, en el tratamiento de los datos personales o de cualquier otro tipo de información que sea utilizada o repose en sus bases de datos y archivos y hará uso de los mismos únicamente para los fines que se encuentra facultado, especialmente las señaladas en el tratamiento de la información y finalidad de los datos y sobre la base de la ley y la normatividad vigente.

La Corte Constitucional frente al tema del administrador de bases de datos reiteró por medio de la Sentencia T-176A/14, los principios y las reglas que debe seguir el administrador de bases de datos indicando: “Esta Corte en materia de habeas data ha sido constante en precisar que la administración de toda base de datos personales está sometida a los llamados principios de administración de datos personales. (…)

Cualquier otro tipo de finalidad que se pretenda dar a los datos personales, salvo los casos autorizados por la ley, deberá ser informado previamente en el aviso de privacidad y en la respectiva autorización otorgada por el titular del dato”.

El Decreto 1377 de 2013, por el cual se reglamenta parcialmente la Ley 1581 de 2012, en el artículo 4, sobre recolección de datos personales, estableció que en desarrollo de los principios e finalidad y libertad, la recolección de datos deberá limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente, precisando que, salvo en los casos previstos en la ley, no se podrán recolectar datos personales sin autorización del titular.

En relación con datos personales de menores de edad, la Ley 1581 de 2012 señala que la recolección y tratamiento de datos personales de menores está prohibida, salvo aquellos datos de naturaleza pública (información relativa al estado civil u ocupación).

Sin embargo, esa prohibición fijada por la Ley 1581 de 2012, fue atenuada por la Corte Constitucional mediante la Sentencia C-748 de 2011, señalando que esa prohibición no es absoluta, pues de considerarlo así se podría vulnerar el ejercicio de otros derechos superiores indispensables para este tipo de personas especiales, como por ejemplo el acceso al derecho a la salud, educación, seguridad, integridad, vida, entre otros.

De igual manera, la Corte Constitucional resaltó en la citada sentencia que el tratamiento de datos de menores de edad sí es posible, siempre y cuando el fin que se persiga responda a intereses superiores del menor, y se asegure sin excepción alguna el respeto de sus derechos.

En este sentido, el Gobierno Nacional siguiendo los lineamientos trazados por la Corte Constitucional, expidió el Decreto 1377 de 2013, en cuyo artículo 12 estableció unos requisitos especiales para el tratamiento de datos personales de niños, niñas y adolescentes, indicando que el tratamiento de datos personales de menores de edad debe cumplir dos requisitos: a) Que responda y respete el interés superior, es decir, derechos prevalentes, y b) Que asegure el respeto de sus derechos fundamentales, de modo que, si ese tratamiento afecta algún derecho constitucional del menor, no podrá realizarse.

Si se cumplen estos dos requisitos, el representante legal del menor podrá autorizar de forma previa, expresa e informada el tratamiento de los datos personales del menor, teniendo en cuenta siempre la opinión que éste pueda brindar según su grado de madurez y entendimiento para comprender el asunto.

Ahora, quien recopila y trata los datos personales del menor de edad, debe velar por el uso adecuado de los mismos, de acuerdo con la finalidad para la cual fueron autorizados, y debe conservar la información bajo condiciones de seguridad y confidencialidad suficientes para evitar su adulteración o divulgación.

En este orden de ideas, se tiene que el tratamiento de datos de niños, niñas y adolescentes, por la condición y naturaleza de los mismos, debe hacerse con estricto cuidado, pues no todo evento faculta para recopilar y tratar datos personales de estas personas, sobre todo cuando la finalidad es para adelantar campañas publicitarias o comerciales, dado que estas no responden a proteger un derecho o interés superior, situación que podría estar conduciendo a una indebido tratamiento de datos personales, a pesar de contar con la autorización del representante legal.

Por lo anterior, es importante tener presente que la recopilación de datos personales de un menor de edad (dirección, teléfono, correo electrónico, datos biométricos, entre otros) va más allá de la autorización, pues implica el cumplimiento de una serie de requisitos adicionales, que de no acatarse conforme lo indica la ley, el responsable del tratamiento de la información puede verse envuelto en engorrosas investigaciones administrativa y fuertes sanciones por parte de las autoridades competentes.

Ahora bien, en el caso de intercambio de información entre el SENA y otra entidad pública, para el cumplimiento de sus funciones legales, si la solicitud de suministro de información al SENA es esporádica, se deberá suscribir por parte del solicitante una Carta de Compromiso de Confidencialidad, previo a la obtención de los datos requeridos. Si la solicitud de suministro de información al SENA es de carácter periódico o se trata de un intercambio de información entre entidades, se deberá suscribir entre las partes correspondiente un Acuerdo de Confidencialidad, mediante el cual se fijarán las condiciones de dicho suministro periódico de la información o intercambio de datos

En relación con el acuerdo de confidencialidad, el Grupo de Conceptos Jurídicos y Producción Normativa del SENA se pronunció al respecto mediante Concepto 3780 del 31 de enero de 2017 indicando lo siguiente:

“Así las cosas es preciso indicar que en virtud de asignación de funciones realizada mediante Resolución No. 01456 de 2014, artículo sexto, numerales 1, 3 y 4, el Grupo de Gestión de Convenios de la Dirección Jurídica (debe) definir:

La forma en que se expresará el deber de confidencialidad de los datos cuya naturaleza es personal, semiprivada, privada y/o reservada, a saber: (i) Cláusula de confidencialidad incluida en el cuerpo del convenio. (ii) Acuerdo de confidencialidad.

Lo anterior no es óbice para realizar, de manera respetuosa las siguientes sugerencias:

1. Incluir una definición de lo que para efectos del convenio se considerará información confidencial.

2. Solicitar que la información confidencial que entregará la divulgadora a la receptora, sea por escrito e identificada con la leyenda “CONFIDENCIAL”, con el nombre de la divulgadora y la fecha de la divulgación.

3. Identificar las obligaciones de las partes concretamente.

Para efectos meramente ilustrativos y a modo de ejemplo se le remiten las siguientes obligaciones las cuales se mencionaron en pronunciamiento oficial realizado por esta oficina con No. 8-2016-025540 del 2 de junio de 2016, independiente de la forma del acto jurídico ((i) Cláusula de confidencialidad incluida en el cuerpo del convenio. (ii) Acuerdo de confidencialidad):

“A) OBLIGACIONES DE LA PARTE DIVULGADORA: La parte divulgadora en virtud del presente acuerdo se compromete a:

1) Entregar a la receptora por escrito e identificada con el rótulo de “CONFIDENCIAL” la información que deba ser objeto de reserva.

2) Reducir a escrito la información confidencial que inicialmente sea divulgada en forma oral a la parte receptora, actuación que debe cumplirse dentro de los quince (15) días siguientes a la correspondiente divulgación oral.

3) La divulgadora deberá asegurarse que la información confidencial que entrega a la receptora no ha sido conocida por terceros al momento de comunicarla a la parte receptora.

4) La divulgadora deberá informar por escrito a la receptora la decisión de hacer pública la correspondiente información confidencial que haya entregado a la receptora.

B) OBLIGACIONES DE LA PARTE RECEPTORA: La parte receptora cumplirá las siguientes obligaciones, que se entenderán como limitación al uso de la información confidencial que entregue la divulgadora:

1) La información confidencial que la divulgadora entregue a la receptora se utilizará únicamente en el desarrollo del objeto de los convenios, alianzas o acuerdos de cooperación que celebren las partes.

2) La receptora se compromete a no realizar ingeniería inversa sobre la información confidencial, así como también a no descompilarla, disgregarla, revelarla, publicarla, distribuirla ni difundirla para conocimiento de terceros que no sean los empleados o contratistas de la receptora que necesiten tener conocimiento de la información confidencial para los fines de la relación civil o comercial que se desarrolle entre la receptora y la divulgadora.

3) La receptora conviene en manejarse con un grado aceptable de diligencia, que bajo ninguna circunstancia sea menor a la empleada para proteger información confidencial de su propiedad de similar importancia, para evitar el uso no autorizado, la divulgación, publicación y difusión de la información confidencial.

4) La receptora se compromete a no utilizar la información confidencial para beneficio propio o de tercero que no esté comprendido dentro del objeto de los convenios, alianzas o acuerdos de cooperación que celebren las partes, sin el previo consentimiento por escrito del representante autorizado por la divulgadora.

5) La receptora se obliga a no divulgar la información confidencial a terceros dentro del plazo de ejecución del respectivo convenio, alianza o acuerdo de cooperación que celebren las partes y la mantendrá en reserva, salvo que medie autorización por escrito de la parte divulgadora o de autoridad competente.

6) La receptora se obliga a restringir la revelación de la información confidencial a los directores, empleados, funcionarios, asesores, consultores o contratistas que tengan necesidad de conocerla y hasta el límite en el que sea necesario que ellos la conozcan, siendo obligatorio para ellos mantener los estándares de confidencialidad del presente acuerdo, de lo cual se dejará constancia escrita antes de permitirles el acceso a la información en cuestión.

7) La receptora será responsable de asegurar que todas las personas a quienes se les revele la Información Confidencial en ejecución de los convenios, alianzas o acuerdos de cooperación mantengan dicha Información Confidencial y no la revele ni divulgue a ninguna persona no autorizada.

8) La receptora será responsable por cualquier daño ocasionado a la divulgadora en caso de violación del presente acuerdo o si mediante acciones u omisiones negligentes, revela o hace pública cualquier Información confidencial por fuera de los términos aquí previstos, de acuerdo con la ley colombiana.

9) Dentro de los treinta (30) días siguientes al recibo de la comunicación que lo solicite, la parte receptora deberá devolver la información confidencial original y destruir o hacer destruir todas las copias y reproducciones (impresas o electrónicas) que estén en su posesión y o en la posesión de las personas a quienes fue revelada conforme a este acuerdo.”.

En consecuencia, la información que se pretenda entregar y que se encuentre contenida en alguna base de datos deberá contar con autorización expresa del titular y en caso de no contar con la autorización sólo será estadística o tipo informe.

No obstante, los datos personales con carácter público pueden ser intercambiados por entidades para el cumplimiento de su misión.

CONCLUSIÓN

De acuerdo con lo expuesto, se concluye que es factible suscribir un convenio de intercambio de información, pero contando con la autorización del titular de los datos personales.

La información intercambiada sólo podría utilizarse para los fines que autorizó el titular y garantizado su confidencialidad, con excepción de los datos personales de carácter público.

Los aprendices menores de edad (menores de 18 años) deben ser informados de sus derechos, y sus padres o representantes son los sujetos activos de todo el tratamiento de los datos.

El presente concepto se rinde de conformidad con el alcance dispuesto en el artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, incorporado por la Ley 1755 de 2015.

Cordial saludo,

Antonio José Trujillo Illera    

Coordinador

Grupo de Conceptos Jurídicos y Producción Normativa
Dirección Jurídica - Dirección General

<NOTAS DE PIE DE PÁGINA>.

1. Ley 962 de 2005 “ARTÍCULO 16. Solicitud oficiosa por parte de las entidades públicas. (…) Será permitido el intercambio de información entre distintas entidades oficiales, en aplicación del principio de colaboración. (…)”

Ley 962 de 2005 “ARTÍCULO 16. Solicitud oficiosa por parte de las entidades públicas. (…) Será permitido el intercambio de información entre distintas entidades oficiales, en aplicación del principio de colaboración. (…)”.

2. Constitución Política “ARTICULO 209. La función administrativa está al servicio de los intereses generales y se desarrolla con fundamento en los principios de igualdad, moralidad, eficacia, economía, celeridad, imparcialidad y publicidad, mediante la descentralización, la delegación y la desconcentración de funciones. // Las autoridades administrativas deben coordinar sus actuaciones para el adecuado cumplimiento de los fines del Estado. La administración pública, en todos sus órdenes, tendrá un control interno que se ejercerá en los términos que señale la ley”.

3. Decreto 235 de 2010 “Por el cual se regula el intercambio de información entre entidades para el cumplimiento de funciones públicas”.

4. Ley 526 de 1999 “Por medio de la cual se crea la unidad de información y análisis financiero”.

5. Ley 1266 de 2008 “Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones”.

6. Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales”.

7. Instructivo Sena de Protección de Datos Personales

Disposiciones analizadas por Avance Jurídico Casa Editorial Ltda.©
"Normograma del Servicio Nacional de Aprendizaje SENA"
ISSN [2463-0586 (En linea)]
Última actualización: 20 de abril de 2024 - (Diario Oficial No. 52.716 - 3 de abril de 2024)
Las notas de vigencia, concordancias, notas del editor, forma de presentación y disposición de la
compilación están protegidas por las normas sobre derecho de autor. En relación con estos valores
jurídicos agregados, se encuentra prohibido por la normativa vigente su aprovechamiento en publicaciones
similares y con fines comerciales, incluidas -pero no únicamente- la copia, adaptación, transformación,
reproducción, utilización y divulgación masiva, así como todo otro uso prohibido expresamente por
la normativa sobre derechos de autor, que sea contrario a la normativa sobre promoción de la
competencia o que requiera autorización expresa y escrita de los autores y/o de los titulares de
los derechos de autor. En caso de duda o solicitud de autorización puede comunicarse al teléfono
617-0729 en Bogotá, extensión 101. El ingreso a la página supone la aceptación sobre las normas
de uso de la información aquí contenida.