CONCEPTO 36028 DE 2017

(julio 18)

<Fuente: Archivo interno entidad emisora>

SERVICIO NACIONAL DE APRENDIZAJE - SENA

Bogotá, D.C.

Respetado Omar Guerrero:

En atención a su comunicación del 14 de julio de 2017 sin radicar, donde solicita:

“De acuerdo al requerimiento del observatorio laboral del MEN y teniendo en cuanta la Ley de Habeas data, por favor su orientación a cómo proceder con esta solicitud”.

Emitimos concepto de la siguiente manera:

 ALCANCE DE LOS CONCEPTOS JURÍDICOS

Es pertinente señalar que los conceptos emitidos por la Dirección Jurídica del SENA son orientaciones de carácter general que no comprenden la solución directa de problemas específicos ni el análisis de actuaciones particulares. En cuanto a su alcance, no son de obligatorio cumplimiento o ejecución, ni tienen el carácter de fuente normativa y sólo pueden ser utilizados para facilitar la interpretación y aplicación de las normas jurídicas vigentes.

ANALISIS JURÍDICO

En virtud de lo señalado en la Constitución Política de 1991, en su artículo 15:

“Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.

En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.

(…)”

De lo anterior se denota que toda persona, tiene derecho a que el Estado respete su intimidad y hacerlos respetar, igualmente tiene derecho a conocer el tratamiento que se dan en las bases de datos públicas y privadas.

La Honorable Corte Constitucional en sentencia T-729 de 2002, ha incluido en el contexto jurídico el concepto de habeas data, el cual se define como:

“El derecho fundamental al habeas data, es aquel que otorga la facultad al titular de datos personales, de exigir a las administradoras de datos personales el acceso, inclusión, exclusión, corrección, adición, actualización, y certificación de los datos, así como la limitación en la posibilidades de divulgación, publicación o cesión de los mismos, conforme a los principios que informan el proceso de administración de bases de datos personales.”

Así mismo, incluyo algunos principios que se deben tener en cuenta respecto al tratamiento y administración de la información que repose en las diferentes bases de datos:

“(…) el principio de libertad, los datos personales sólo pueden ser registrados y divulgados con el consentimiento libre, previo y expreso del titular, de tal forma que se encuentra prohibida la obtención y divulgación de los mismos de manera ilícita (ya sea sin la previa autorización del titular o en ausencia de mandato legal o judicial). En este sentido por ejemplo, se encuentra prohibida su enajenación o cesión por cualquier tipo contractual.

Según el principio de necesidad, los datos personales registrados deben ser los estrictamente necesarios para el cumplimiento de las finalidades perseguidas con la base de datos de que se trate, de tal forma que se encuentra prohibido el registro y divulgación de datos que no guarden estrecha relación con el objetivo de la base de datos.

Según el principio de veracidad los datos personales deben obedecer a situaciones reales, deben ser ciertos, de tal forma que se encuentra prohibida la administración de datos falsos o erróneos.

Según el principio de integridad, estrechamente ligado al de veracidad, la información que se registre o se divulgue a partir del suministro de datos personales debe ser completa, de tal forma que se encuentra prohibido el registro y divulgación de datos parciales, incompletos o fraccionados. Con todo, salvo casos excepcionales, la integridad no significa que una única base de datos pueda compilar datos que, sin valerse de otras bases de datos, permitan realizar un perfil completo de las personas.

Según el principio de finalidad, tanto el acopio, el procesamiento y la divulgación de los datos personales, debe obedecer a una finalidad constitucionalmente legítima, definida de manera clara, suficiente y previa; de tal forma que queda prohibida la recopilación de datos sin la clara especificación acerca de la finalidad de los mismos, así como el uso o divulgación de datos para una finalidad diferente a la inicialmente prevista.

Según el principio de utilidad, tanto el acopio, el procesamiento y la divulgación de los datos personales, debe cumplir una función determinada, como expresión del ejercicio legítimo del derecho a la administración de los mismos; por ello, está prohibida la divulgación de datos que, al carecer de función, no obedezca a una utilidad clara o determinable.

Según el principio de circulación restringida, estrechamente ligado al de finalidad, la divulgación y circulación de la información está sometida a los límites específicos determinados por el objeto de la base de datos, por la autorización del titular y por el principio de finalidad, de tal forma que queda prohibida la divulgación indiscriminada de los datos personales.

Según el principio de incorporación, cuando de la inclusión de datos personales en determinadas bases, deriven situaciones ventajosas para el titular, la entidad administradora de datos estará en la obligación de incorporarlos, si el titular reúne los requisitos que el orden jurídico exija para tales efectos, de tal forma que queda prohibido negar la incorporación injustificada a la base de datos.

Según el principio de caducidad, la información desfavorable al titular debe ser retirada de las bases de datos siguiendo criterios de razonabilidad y oportunidad, de tal forma que queda prohibida la conservación indefinida de los datos después que han desaparecido las causas que justificaron su acopio y administración.

Según el principio de individualidad, las administradoras deben mantener separadamente las bases de datos que se encuentren bajo su administración, de tal forma que queda prohibida la conducta dirigida a facilitar cruce de datos a partir de la acumulación de informaciones provenientes de diferentes bases de datos.

Además de las obligaciones derivadas de los principios rectores del proceso de administración de bases de datos personales, existen otros que tienen su origen directo en normas constitucionales y legales, sobre todo lo relativo (sic) a la obligación de diligencia en el manejo de los datos personales y la obligación de indemnizar los perjuicios causados por las posibles fallas en el proceso de administración.”

De otra parte, la Ley 1266 de 2008 “Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones”, ha señalado en su artículo segundo:

“La presente ley se aplica a todos los datos de información personal registrados en un banco de datos, sean estos administrados por entidades de naturaleza pública o privada.

Esta ley se aplicará sin perjuicio de normas especiales que disponen la confidencialidad o reserva de ciertos datos o información registrada en bancos de datos de naturaleza pública, para fines estadísticos, de investigación o sanción de delitos o para garantizar el orden público”.

Dentro del artículo 4 de la mencionada Ley, también dispuso algunos principios que se pueden aplicar a la consulta realizada:

- Principio de circulación restringida. La cual deja entrever que la información de las bases de datos que se comparta debe realizarse por medio de tecnológicos adecuados, así las cosas no podrán ser accesibles por Internet o por otros medios de divulgación o comunicación masiva.

- Principio de seguridad. Trata de la información que conforman registros individuales que se encuentre incluida en Bases de Fatos debe garantizar cual pérdida, consulta o adulteración de la información.

En virtud de lo señalado en la Ley Estatutaria 1581 de 2012, “Por la cual se dictan disposiciones generales para la protección de datos personales.”, en el artículo 1 ha fijado como objeto:

“Desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma.”

Dentro del desarrollo legal de la precipitada norma establece una protección especial a lo que refiere a la entrega de bases de datos o archivos que dispone en su artículo segundo:

“(…) Cuando estas bases de datos o archivos vayan a ser suministrados a terceros se deberá, de manera previa, informar al Titular y solicitar su autorización. En este caso los Responsables y Encargados de las bases de datos y archivos quedarán sujetos a las disposiciones contenidas en la presente ley”.

Así las cosas, los datos personales de los titulares no podrán ser “obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

La Honorable Corte Constitucional frente al tema del administrador de bases de datos reitero por medio de la Sentencia T-176A/14, expediente T- 4131037 M.P. JORGE IGNACIO PRETELT CHALJUB, señalo:

“LOS PRINCIPIOS Y LAS REGLAS QUE DEBE SEGUIR EL ADMINISTRADOR DE BASES DE DATOS. REITERACIÓN JURISPRUDENCIAL.

2.5.1. Esta Corte en materia de habeas data ha sido constante en precisar que la administración de toda base de datos personales está sometida a los llamados principios de administración de datos personales.

(…) 2.5.3. Las Sentencias C-748 de 2011 y C-1011 de 2008 son la concreción de la jurisprudencia que, desde las Sentencias T-729 de 2002 y C-185 de 2003, se había perfilado por esta Corte sobre la obligatoriedad de los principios a que toda actividad de administración de datos personales debe someterse.

2.5.4. Entre los mencionados principios de la administración de datos personales encontramos: i) los principios de finalidad; ii) necesidad; iii) utilidad; y iv) circulación restringida, los cuales prescriben una serie ineludible de deberes en relación con las actividades de recolección, procesamiento y divulgación de la información personal.

2.5.5. Según el principio de finalidad, tales actividades “deben obedecer a un fin constitucionalmente legítimo (…) definido de forma clara, suficiente y previa”. Por lo cual, está prohibida, por un lado “la recopilación de información personal sin que se establezca el objetivo de su incorporación a la base de datos (…)”y por el otro“ la recolección, procesamiento y divulgación de información personal para un propósito diferente al inicialmente previsto (…)”

2.5.6. Según el principio de necesidad, la administración de “la información personal concernida debe ser aquella estrictamente necesaria para el cumplimiento de los fines de la base de datos”

2.5.7. Según el principio de utilidad, la administración de información personal debe “cumplir una función determinada, acorde con el ejercicio legítimo de la administración de los datos personales. Por lo cual queda proscrita la divulgación de datos que, al carecer de función, no obedezca a una utilidad clara y suficientemente determinable”

2.5.8. El principio de circulación restringida ordena que toda actividad de administración de información personal esté sometida “a los límites específicos determinados por el objeto de la base de datos (…) y por el principio de finalidad. Por lo cual, está prohibida la divulgación indiscriminada de datos personales”

2.5.9. Para la Corte, los anteriores principios tienen el propósito de circunscribir la actividad de administración de información personal contenida en bases de datos, pues al limitar el ejercicio de las competencias de los administradores de bases de datos, definen el margen de su actuación y son una garantía para las libertades de los sujetos concernidos por la información administrada. En términos normativos, son la concreción legal y jurisprudencial del mandato del inciso 2o, del artículo 15 de la Constitución que estable que “en la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución”.

Respecto a la reglamentación de la Ley 1581 de 2012, ha señalado en el Decreto 1377 del 27 de junio de 2013 “Por el cual se reglamenta parcialmente la Ley 1581 de 2012.”, en el artículo 4, sobre la recolección de datos personales, consagra que en desarrollo de los principios de finalidad y libertad, la recolección de datos deberá limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente. Salvo en los casos expresamente previstos en la ley, no se podrán recolectar datos personales sin autorización del Titular.

Por lo tanto, cualquier información que se suministre de las bases de datos de la Entidad debe contar previamente con la autorización expresa del titular.

Es preciso indicar que la base de datos que maneja el SENA, incluye datos de adolescente las cual tiene un tratamiento preferencias según lo señala el artículo 7 de la Ley 1581 de 2012:

“Derechos de los niños, niñas y adolescentes. En el Tratamiento se asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes.

Queda proscrito el Tratamiento de datos personales de niños, niñas y adolescentes, salvo aquellos datos que sean de naturaleza pública.

Es tarea del Estado y las entidades educativas de todo tipo proveer información y capacitar a los representantes legales y tutores sobre los eventuales riesgos a los que se enfrentan los niños, niñas y adolescentes respecto del Tratamiento indebido de sus datos personales, y proveer de conocimiento acerca del uso responsable y seguro por parte de niños, niñas y adolescentes de sus datos personales, su derecho a la privacidad y protección de su información personal y la de los demás. El Gobierno Nacional reglamentará la materia, dentro de los seis (6) meses siguientes a la promulgación de esta ley.”

Así que conforme a la norma mencionada al parecer cualquier tratamiento de datos personales de adolescentes está prohibido, sin embargo por medio de la Sentencia C-748 de 2011 que señala:

“Es importante referir brevemente qué se entiende por niño, niña y adolescente en el ordenamiento jurídico colombiano. En desarrollo de este concepto, el Código de la Infancia y la Adolescencia, en su artículo 3o, estableció: “(…) se entiende por niño o niña las personas entre los 0 y 12 años, y por adolescente las personas entre 12 y 18 años de edad”. La anterior definición fue declarada exequible por esta Corporación. Además es consonante con la definición en sentido amplio que contiene la Convención sobre los derechos del niño como “(…) todo ser humano menor de dieciocho años de edad (…)”.”

Ha sí mismo, en este pronunciamiento la Honorable Corte Constitucional también señalo:

“En definitiva, (i) el principio del interés superior de los niños, las niñas y adolescentes se realiza en el estudio de cada caso en particular y tiene por fin asegurar su desarrollo integral; (ii) este principio, además, persigue la realización efectiva de los derechos fundamentales de los menores de 18 años y también resguardarlos de los riesgos prohibidos que amenacen su desarrollo armónico. Estos riesgos no se agotan en los que enuncia la ley sino que también deben analizarse en el estudio de cada caso particular; (iii) debe propenderse por encontrar un equilibrio entre los derechos de los padres o sus representantes legales y los de los niños, las niñas y adolescentes. Sin embargo, cuando dicha armonización no sea posible, deberán prevalecer las garantías superiores de los menores de 18 años. En otras palabras, siempre que prevalezcan los derechos de los padres, es porque se ha entendido que ésta es la mejor manera de darle aplicación al principio del interés superior de los niños, las niñas y adolescentes.

La calidad de sujetos de especial protección constitucional de los menores de dieciocho años tiene su fundamento en la situación de vulnerabilidad e indefensión en la que se encuentran, pues su desarrollo físico, mental y emocional está en proceso de alcanzar la madurez requerida para la toma de decisiones y participación autónoma dentro de la sociedad. El grado de vulnerabilidad e indefensión tiene diferentes grados y se da partir de todos los procesos de interacción que los menores de 18 años deben realizar con su entorno físico y social para el desarrollo de su personalidad. Por lo anterior, el Estado, la sociedad y la familia deben brindar una protección especial en todos los ámbitos de la vida de los niños, niñas y adolescentes, en aras de garantizar su desarrollo armónico e integral.

Adicional a lo expuesto, la protección constitucional reforzada de la cual son titulares los niños, las niñas y adolescentes tiene su sustento en (i) el respeto de su dignidad humana, y (ii) la importancia de construir un futuro promisorio para la comunidad mediante la efectividad de todos sus derechos fundamentales.

En este orden de ideas, esta Sala encuentra que en el caso concreto del tratamiento de los datos de los niños, niñas y adolescentes, existe un riesgo prohibido que esta población en situación de vulnerabilidad está expuesta a sufrir, principalmente por la desbordante evolución de los medios informáticos, entre los que se encuentran la Internet y las redes sociales. Si bien, el acceso a los distintos sistemas de comunicación, les permite disfrutar de todos sus beneficios y ventajas, también su mal uso puede generar un conflicto en el ejercicio y efectividad de sus derechos fundamentales al buen nombre, al honor, a la intimidad, entre otros. El anterior planteamiento fue abordado en el Memorando sobre la protección de datos personales y la vida privada en las redes sociales en Internet, en particular de niños, niñas y adolescentes, adoptado en Montevideo el 28 de julio de 2009. Si bien, este documento no integra el denominado bloque de constitucionalidad y por tanto sus recomendaciones no son vinculantes para el Estado colombiano, constituye un documento valioso en torno al tema de la protección de datos personales de los niños, las niñas y adolescentes.”

Además señalo el tema de la protección especial en el dato de las bases de datos que incluyan adolescentes:

“En cuanto al inciso 3o del artículo 7 del proyecto debe también resaltarse que no sólo el Estado y las entidades educativas deben desarrollar acciones para evitar el uso inadecuado de los datos personales de los menores de 18 años sino que también son responsables en el aseguramiento de dicha garantía (i) los progenitores u otras personas que se encuentren a cargo de su cuidado y los educadores; (ii) el legislador, quien debe asegurarse que en cumplimiento de sus funciones legislativas, específicamente, en lo referente al tratamiento de los datos personales de los menores de 18 años, dicha normativa no deje de contener las medidas adecuadas de protección para garantizar su desarrollo armónico e integral, y la efectividad de sus derechos fundamentales contenidos en la Constitución Política y en los estándares internacionales que existen sobre la materia; (iii) el sistema judicial; específicamente los servidores públicos deben proteger los derechos derivados del uso de los datos personales de los menores de 18 años observando los estándares internacionales o documentos especializados sobre la materia; (iv) los medios de comunicación; (v) las empresas que proveen los servicios de acceso a la Internet, desarrollan las aplicaciones o las redes sociales digitales, a quienes se advierte que deben comprometerse en la defensa de los derechos fundamentales de los niños, niñas y adolescentes.”

En concepto emitido por la Superintendencia de Industria y Comercio (SIC) con radicación 13-33980- -1-0 y conforme a lo señalado por la Corte Constitucional en la Sentencia precipitada, ha señalado que:

“(…) será posible de manera excepcional el tratamiento de datos personales de los niños, niñas y adolescentes cuando se cumplan los siguientes criterios:

 La finalidad del tratamiento responda al interés superior de los niños, niñas y adolescentes

 Se asegure el respeto de sus derechos fundamentales de los niños, niñas y adolescentes.

 De acuerdo con la madurez del niño, niña o adolescente se tenga en cuenta su opinión.

 Se cumpla con los requisitos previstos en la Ley 1581 de 2012 para el tratamiento de datos personales.

CONCLUSIÓN

1. La información que se pretenda entregar a cualquier Entidad, que se encuentre contenida en alguna base de datos deberá contar con autorización expresa del titular.

2. Las bases de datos que contengan información de adolescentes se deberá compartir conforme a lo señalado en el acápite normativo.

3. La información que podría suministrar la Entidad en caso de no contar con la autorización del titular será estadística o tipo informe.

4. En caso que se requiera la información para el cumplimiento de sus funciones administrativas alguna entidad pública, deberá regirse conforme a lo señalado en el Decreto 235 de 2010 que señala:

“Artículo 2o. Para efectos del intercambio de Información, las entidades a que hace referencia el artículo anterior deberán establecer mecanismos magnéticos, electrónicos o telemáticos para integrar, compartir y/o suministrar la información que por mandato legal se requiere, o permitir el acceso total dentro del marco de la Constitución y el derecho fundamental a la intimidad, a las bases de datos completas que requieran otras entidades para el ejercicio de sus funciones.

Y, en concordancia con lo indicado en el Decreto 2280 de 2010:

“ARTÍCULO PRIMERO. Modificase el artículo 3 del Decreto 235 de 2010, el cual quedará así:

Artículo 3o. Para efectos de formalizar el intercambio de información, de manera ágil, oportuna y confiable, las entidades públicas o los particulares encargados de una función administrativa podrán emplear el mecanismo que consideren idóneo para el efecto, tales como cronograma de entrega, plan de trabajo, protocolo o convenio, entre otros." (Subrayado fuera de texto).

El presente concepto se rinde de conformidad con el alcance dispuesto en el artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, incorporado por la Ley 1755 de 2015. De igual forma, este concepto deberá interpretarse en forma integral y armónica, con respeto al principio de supremacía constitucional y al imperio de la ley (C. 054 de 2016); así como, en concordancia con la vigencia normativa y jurisprudencial al momento de su uso y emisión.

Cordial saludo,

Carlos Emilio Burbano

Coordinador Grupo Conceptos y Producción Normativa

Dirección Jurídica SENA

Disposiciones analizadas por Avance Jurídico Casa Editorial Ltda.©
"Normograma del Servicio Nacional de Aprendizaje SENA"
ISSN [2463-0586 (En linea)]
Última actualización: 20 de abril de 2024 - (Diario Oficial No. 52.716 - 3 de abril de 2024)
Las notas de vigencia, concordancias, notas del editor, forma de presentación y disposición de la
compilación están protegidas por las normas sobre derecho de autor. En relación con estos valores
jurídicos agregados, se encuentra prohibido por la normativa vigente su aprovechamiento en publicaciones
similares y con fines comerciales, incluidas -pero no únicamente- la copia, adaptación, transformación,
reproducción, utilización y divulgación masiva, así como todo otro uso prohibido expresamente por
la normativa sobre derechos de autor, que sea contrario a la normativa sobre promoción de la
competencia o que requiera autorización expresa y escrita de los autores y/o de los titulares de
los derechos de autor. En caso de duda o solicitud de autorización puede comunicarse al teléfono
617-0729 en Bogotá, extensión 101. El ingreso a la página supone la aceptación sobre las normas
de uso de la información aquí contenida.