Derechos de autor reservados - Prohibida su reproducción
|
|
CONCEPTO 50020 DE 2016
(octubre 4)
<Fuente: Archivo interno entidad emisora>
SERVICIO NACIONAL DE APRENDIZAJE
Bogotá D.C
XXXXXXXXXXXXXXX
| ASUNTO: | Respuesta solicitud Concepto Jurídico – Habeas Data ICFES pruebas saber Pro. |
De manera comedida procedemos a resolver la consulta allegada mediante comunicación electrónica del 12 de septiembre de 2016 sin radicar.
En su comunicación manifiesta:
Por medio de la presente, le solicito su VoBo y trámite ante la oficina jurídica de la DG, del concepto jurídico en la plataforma ONBASE dirigido al Dr. Carlos Burbano, de la obtención y uso de la data de los resultados de las pruebas del saber pro, para los años 2013, 2014 y 2015 de todas las tecnologías a nivel nacional.
ANTECEDENTES DEL PROYECTO:
El proyecto demoninado “Factores Asociados al Incremento en la puntuación académica obtenida por los alumnos de educación superior en Colombia: UN estudio con modelos de elección discreta a partir de las pruebas del saber Pro”; requiere como insumo de estudio la base de datos del ICFES con los resultados de las Pruebas del Saber Pro con los micro datos e información socio demográfica e institucional recopilada en los formularios para los módulos: razonamiento cuantitativo, lectura crítica, comunicación escrita, y competencias ciudadanas; a nivel nacional tanto para las tecnologías del SENA como de las demás tecnologías de otros estudiantes de instituciones de educación superior.
Uso y Beneficio de la Data:
Los datos requeridos por el SENA CSF no requieren identificación individual, es decir nombres, apellidos, email, cédula o similares dado que la data se va a tratar como resultado y no en forma individual. Se podrán identificar áreas de mejora de las condiciones del aprendiz, factores asociados a los mejores desempeños para ser emulados en el SENA CSF a nivel académico o del área de bienestar.
Situación contractual de los Recursos SENNOVA asignados al proyecto presupuesto año 2016:
Se encuentra en desarrollo un contrato de servicios con un estadístico que provee el análisis de los cubos de información de la mega data, y para ello es necesario suministrar los datos de la Base de datos del ICFES de los resultados de las pruebas del Saber PRO. El contrato termina en Diciembre y como proyecto Sennova requiere de la data para compromisos investigativos tales como Artículo en Revista Indexada C, Eventos de Divulgación de Resultados a nivel nacional e Internacional, y otras como cartillas del aprendiz. El contrato no se puede ejecutar en su objeto por la falta de la Data.
Situación del Requerimiento de la DATA ante el IICFES y ante el SENA Unidad de Bienestar DG:
1. Evento 1. Se envía carta y formatos de solicitud al ICFES con fecha 24 de Mayo de 2016, dirigida por el Investigador contratado Bilver Astorquiza al ICFES
2. Evento 2. Respuesta del ICFES con oficio 2016-2100456101 de fecha Viernes 1 de Julio en la que se requiere complementar la petición indicando con exactitud la información que se requiere y el motivo por el cual se requiere radicar nuevamente anexando datos de contacto.
3. Evento 3. Se radica carta del Investigador Bilver Astorquiza con fecha 6 de Julio de 2016 solicitando la información puntual
4. Evento 4. Respuesta del ICFES con oficio 2016-2100502511 de fecha 15 de Julio de 2016, en la que se contesta que se responderá al radicado 2016-2100442002
5. Evento 5. Respuesta del ICFES con oficio 2016-2100512491 de fecha 21 de Julio de 2016, en la que se especifica que la Sra Jennifer Guinnand del SENA, “ es la persona encargada de todos los aspectos y relaciones del SENA con el ICFES, por lo tanto los reportes deben ser solicitados a través de dicha funcionaria”.
6. Evento 6. El líder Sennova CSF – Cesar Sarmiento Niño, solicita a la Sra, Jennifer Guinnand sea tramitado ante el ICFES la solicitud de suministro de la data con email interno fechado 39 de Agosto de 2016
7. Evento 7. Se hace visita aclaratoria del Lider Sennova y del Investigador Principal a las oficinas de la Sra Jennifer Guinnand el día 29 de Agosto para explicar que el modelo investigativo NO requiere la data que identifique el aprendiz, solamente su perfil socios demográfico y respuestas.
8. Evento 8. Se recibe respuesta de la Sra, Jenniffer Guinnand, en donde se argumenta que de acuerdo con la directriz impartida por el Sr Director de Formación Profesional, esta solicitud no es competencia de la Coordinación de Bienestar y en consecuencia se sugiere dar traslado de la solicitud a la Oficina Jurídica de la Dirección General, para que “desde allí se indique cual es el tratamiento de los datos requeridos solicitando a estos un concepto”.
9. Evento 9. Visita del Lider Sennova y del Investigador Principal al SENA SG – Oficina Jurídica: se hizo el planteamiento del estado de la obtención de la data, para lo cual nos informan que se debe solicitar el concepto jurídico del uso de la data para el proyecto investigativo de Sennova CSF en mención.
Solicitud de concepto a la Oficina Jurídica de la DG:
Por medio de la presente y bajo la plataforma ONBASE, se solicita al Dr. Carlos Burbano – Coordinador Grupo de Conceptos y Producción Normativa del Área Jurídica del SENA DG, email cburbano@sena.edu.co para que se proyecte a la mayor brevedad posible el concepto jurídico sobre el habeas data dado que el proyecto no requiere información que identifique al aprendiz ni a estudiantes de otras instituciones de educación superior, y el manejo de la data es entre unidades internas del Sena, para que proyecte comunicado al Sr Director de Formación Profesional para que proceda solicitar quien corresponda, (en este caso a la Sra Jennifer Ginnand quien según el ICFES es la “única persona autorizada ante el ICFES para solicitar información”), se adelante la solicitud correspondiente como lo indica el ICFES con la referencia 2016-2100442002 adjuntando los debidos formatos, y en consecuencia obtener como resultado la data de las pruebas del saber pro, y poder ejecutar tanto el objeto del contrato de servicios del investigador, como de los entregables comprometidos con Sennova DG como resultados de la Investigación planeada.
Adjunto: escáner copia PDF de los documentos que evidencian los eventos mencionados en su respectivo orden cronológico”.
ALCANCE DE LOS CONCEPTOS JURÍDICOS
Es pertinente señalar que los conceptos emitidos por la Dirección Jurídica del SENA son orientaciones de carácter general que no comprenden la solución directa de problemas específicos ni el análisis de actuaciones particulares. En cuanto a su alcance, no son de obligatorio cumplimiento o ejecución, ni tienen el carácter de fuente normativa y sólo pueden ser utilizados para facilitar la interpretación y aplicación de las normas jurídicas vigentes.
ANALISIS JURÍDICO
1. Constitución Política de Colombia 1991, la cual dispuso:
ARTICULO 15. Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.
En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.
La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley.
Para efectos tributarios o judiciales y para los casos de inspección, vigilancia e intervención del Estado podrá exigirse la presentación de libros de contabilidad y demás documentos privados, en los términos que señale la ley.
2. Ley Estatutaria 1581 de 2012 Reglamentada parcialmente por el Decreto Nacional 1377 de 2013 “Por la cual se dictan disposiciones generales para la protección de datos personales”, la cual establece lo siguiente:
[…]
Artículo 3o. Definiciones. Para los efectos de la presente ley, se entiende por:
a) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales;
b) Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento;
c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;
d) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento;
e) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos;
f) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento;
g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
TÍTULO II.
PRINCIPIOS RECTORES.
Artículo 4o. Principios para el Tratamiento de datos personales. En el desarrollo, interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los siguientes principios:
a) Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen;
b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular;
c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento;
d) Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error;
e) Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan;
f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley;
Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley;
g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
h) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.
3. La Sentencia C-748/11 Referencia: expediente PE-032 Control constitucional al Proyecto de Ley Estatutaria No. 184 de 2010 Senado; 046 de 2010 Cámara, “por la cual se dictan disposiciones generales para la protección de datos personales” Magistrado Ponente: JORGE IGNACIO PRETELT CHALJUB Bogotá D. C., seis (6) de octubre de dos mil once (2011), señala que:
13. Es jurisprudencia constante de esta Corte en materia de habeas data, que la administración de toda base de datos personales está sometida a los llamados principios de administración de datos personales. Recientemente, el Legislador aprobó una serie de principios contenidos en el proyecto de ley estatutaria general de habeas data, proyecto que en este punto fue declarado ajustado a la Constitución mediante sentencia C-748 de 2011. Asimismo, la Corte en sentencia C-1011 de 2008, consideró que los principios contenidos en la ley estatutaria de habeas data financiero eran constitucionales y que, además, su aplicación era extensiva a todas las bases de datos personales sin importar que la regulación estudiada tenía un marcado carácter sectorial[33][i]
Por otro lado, consulta consideramos conveniente traer a colación algunos conceptos y consideraciones previas con el fin de tener claridad y unidad conceptual en el manejo del asunto consultado.
4. Sentencia C-1011/08 de la Honorable Corte Constitucional, Referencia: expediente PE-029. Revisión de constitucionalidad del Proyecto de Ley Estatutaria No. 27/06 Senado – 221/07 Cámara (Acum. 05/06 Senado) “por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones.”. Magistrado Ponente: Dr. JAIME CÓRDOBA TRIVIÑO Bogotá, D.C., dieciséis (16) de octubre de dos mil ocho (2008). Estable los siguientes definiciones:
“2. Consideración preliminar. Aspectos generales del régimen del derecho al hábeas data
[…]
2.3. El derecho al hábeas data es definido por la jurisprudencia constitucional como aquel que otorga la facultad al titular de datos personales de exigir de las administradoras de esos datos el acceso, inclusión, exclusión, corrección, adición, actualización y certificación de los datos, así como la limitación en las posibilidades de divulgación, publicación o cesión de los mismos, de conformidad con los principios que regulan el proceso de administración de datos personales. Este derecho tiene naturaleza autónoma y notas características que lo diferencian de otras garantías con las que, empero, está en permanente relación, como los derechos a la intimidad y a la información.
El ámbito de acción del derecho al hábeas data es el proceso de administración de bases de datos personales, tanto de carácter público como privado. “De tal forma que integran el contexto material: el objeto o la actividad de las entidades administradoras de bases de datos, las regulaciones internas, los mecanismos técnicos para la recopilación, procesamiento, almacenamiento, seguridad y divulgación de los datos personales y la reglamentación sobre usuarios de los servicios de las administradoras de las bases de datos.”[1]
2.4. La jurisprudencia ha contemplado, igualmente, que la protección efectiva de los derechos fundamentales interferidos en las actividades de recolección, procesamiento y circulación de datos personales, en especial el hábeas data, la intimidad y la información, depende la formulación de un grupo de principios para la administración de datos personales, todos ellos destinados a crear fórmulas armónicas de regulación que permitan la satisfacción equitativa de los derechos de los titulares, fuentes de información, operadores de bases de datos y usuarios.[2]Estas prerrogativas alcanzan concreción a partir de la vigencia de los principios de libertad, necesidad, veracidad, integridad, incorporación, finalidad, utilidad, circulación restringida, caducidad e individualidad.
[…]
2.5. Para la jurisprudencia constitucional el dato personal es el objeto de protección del derecho fundamental al hábeas data. Las características de ese dato son: “i) estar referido a aspectos exclusivos y propios de una persona natural, ii) permitir identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad[3]reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.”[4]
Respecto a estos datos personales, la jurisprudencia propone dos modos de clasificación. La primera, relacionada con el nivel de protección del derecho a la intimidad, divide los datos entre información personal e impersonal, definiéndose la segunda como aquella que no reúne los requisitos mencionados anteriormente. Esta división, para el precedente estudiado, es útil por tres razones, “la primera, es la que permite afirmar que en el caso de la información impersonal no existe un límite constitucional fuerte [5]al derecho a la información, sobre todo teniendo en cuenta la expresa prohibición constitucional de la censura (artículo 20 inciso 2º), sumada en algunos casos a los principios de publicidad, transparencia y eficiencia en lo relativo al funcionamiento de la administración pública (artículo 209) o de la administración de justicia (artículo 228). Una segunda razón, está asociada con la reconocida diferencia entre los derechos a la intimidad, al buen nombre y al habeas data, lo cual implica reconocer igualmente las diferencias entre su relación con la llamada información personal y su posible colisión con el derecho a la información. La tercera razón, guarda relación con el régimen jurídico aplicable a los llamados procesos de administración de datos inspirado por principios especiales y en el cual opera, con sus particularidades, el derecho al habeas data.”[6]
La siguiente gran tipología divide los datos personales con base en un carácter cualitativo y según el mayor o menor grado en que pueden ser divulgados. Así, se establece la existencia de información pública, semiprivada, privada y reservada. La información pública es aquella que puede ser obtenida sin reserva alguna, entre ella los documentos públicos, habida cuenta el mandato previsto en el artículo 74 C.P. Otros ejemplos se encuentran en las providencias judiciales, los datos sobre el estado civil de las personas o sobre la conformación de la familia. Esta información, como lo indica el precedente analizado, puede ser adquirida por cualquier persona, sin necesidad de autorización alguna para ello.
La información semiprivada es aquel dato personal o impersonal que, al no pertenecer a la categoría de información pública, sí requiere de algún grado de limitación para su acceso, incorporación a bases de datos y divulgación. Por ende, se trata de información que sólo puede accederse por orden de autoridad judicial o administrativa y para los fines propios de sus funciones, o a través del cumplimiento de los principios de administración de datos personales antes analizados. Ejemplo de estos datos son la información relacionada con el comportamiento financiero, comercial y crediticio y los datos sobre la seguridad social distintos a aquellos que tienen que ver con las condiciones médicas de los usuarios.
Para la Corte, la información privada es aquella que se encuentra en el ámbito propio del sujeto concernido y, por ende, sólo puede accederse por orden de autoridad judicial competente y en ejercicio de sus funciones. Entre dicha información se encuentran los libros de los comerciantes, los documentos privados, las historias clínicas, los datos obtenidos en razón a la inspección de domicilio o luego de la práctica de pruebas en procesos penales sujetas a reserva, entre otros.
Por último, se encuentra la información reservada, eso es, aquella que sólo interesa al titular en razón a que está estrechamente relacionada con la protección de sus derechos a la dignidad humana, la intimidad y la libertad; como es el caso de los datos sobre la preferencia sexual de las personas, su credo ideológico o político, su información genética, sus hábitos, etc. Estos datos, que han sido agrupados por la jurisprudencia bajo la categoría de “información sensible”,[7]no son susceptibles de acceso por parte de terceros, salvo que se trate en una situación excepcional, en la que el dato reservado constituya un elemento probatorio pertinente y conducente dentro de una investigación penal y que, a su vez, esté directamente relacionado con el objeto de la investigación. En este escenario, habida cuenta la naturaleza del dato incorporado en el proceso, la información deberá estar sometida a la reserva propia del proceso penal.
De otro lado, la restricción de divulgación de los datos de naturaleza privada y reservada opera sin perjuicio de la existencia de hipótesis, en todo caso restrictivas, de circulación interna, como sucedería, por ejemplo, en la circulación de los datos contenidos en las historias clínicas dentro de una institución hospitalaria y para los fines de la adecuada atención médica. Estas modalidades son admisibles a condición que se cuente con la expresa autorización del titular y la circulación interna esté dirigida al cumplimiento de fines constitucionalmente legítimos.
De acuerdo con este precedente, el establecimiento de estas dos tipologías se muestra útil, en la medida en que permite diferenciar los datos que pueden ser objeto de libre divulgación en razón al ejercicio del derecho fundamental a la información, a la vez que contribuye a la delimitación e identificación de las personas que se encuentran constitucionalmente facultadas para el acceso a los diferentes tipos de información.
2.6. Para la Sala, los citados principios para la administración de datos personales, desarrollados por la jurisprudencia constitucional y sistematizados en la sentencia citada[8] configuran el contenido y alcance de las facultades de conocimiento, actualización y rectificación de la información personal contenida en bases de datos de naturaleza pública y privada, previstas por el Constituyente en el artículo 15 de la Carta Política...”
5. Contrato 744 de 2016
CLAUSULA QUINTA – Obligaciones del Contratista, numeral 12
“Procesar los resultados, calificar y entregar al SENA la base de datos de los resultados individuales de los aprendices evaluados, en medio magnético. La entrega la realizará el ICFES a través del supervisor del contrato”.
CONCLUSIÓN
Para dar respuesta a sus inquietudes y dentro del marco de las funciones encomendadas a este Grupo, plantearemos las consideraciones con carácter general y abstracto a fin de que sirvan de criterio orientador para que el funcionario o instancia competente se ilustre y tome la decisión pertinente.
1. Los datos susceptibles de protección legal son aquellos cuya naturaleza es personal, semiprivada, privada y/o reservada:
De acuerdo con lo establecido en la Sentencia C-1011 de 2008 de la Honorable Corte Constitucional, y a la primera clasificación por tipología,[ii]dato personal es el objeto de protección del derecho fundamental al hábeas data. Entendidos aquellos como cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables[iii] se encuentra protegido por el habeas data.
Igualmente se sentaron por vía jurisprudencia las siguientes características del dato personal:
i. Estar referido a aspectos exclusivos y propios de una persona natural,
ii. Permitir identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos;
iii. Su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y i
iv. Su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.
Además lo anterior conlleva a concluir también, tal y como lo hace la Corte que, frente “la información impersonal no existe un límite constitucional fuerte al derecho a la información, sobre todo teniendo en cuenta la expresa prohibición constitucional de la censura (artículo 20 inciso 2º), sumada en algunos casos a los principios de publicidad, transparencia y eficiencia en lo relativo al funcionamiento de la administración pública (artículo 209) o de la administración de justicia (artículo 228). Una segunda razón”.
Por otro lado existe, para la Corte otra clasificación de los datos personales con base en un carácter cualitativo y según el mayor o menor grado en que pueden ser divulgados dividiéndolos en:
i) Información pública: La información pública es aquella que puede ser obtenida sin reserva alguna, entre ella los documentos públicos, habida cuenta el mandato previsto en el artículo 74 C.P. Otros ejemplos se encuentran en las providencias judiciales, los datos sobre el estado civil de las personas o sobre la conformación de la familia. Esta información, como lo indica el precedente analizado, puede ser adquirida por cualquier persona, sin necesidad de autorización alguna para ello.
ii) La información semiprivada: es aquel dato personal o impersonal que, al no pertenecer a la categoría de información pública, sí requiere de algún grado de limitación para su acceso, incorporación a bases de datos y divulgación. Por ende, se trata de información que sólo puede accederse por orden de autoridad judicial o administrativa y para los fines propios de sus funciones, o a través del cumplimiento de los principios de administración de datos personales antes analizados. Ejemplo de estos datos son la información relacionada con el comportamiento financiero, comercial y crediticio y los datos sobre la seguridad social distintos a aquellos que tienen que ver con las condiciones médicas de los usuarios.
iii) La información privada: es aquella que se encuentra en el ámbito propio del sujeto concernido y, por ende, sólo puede accederse por orden de autoridad judicial competente y en ejercicio de sus funciones. Entre dicha información se encuentran los libros de los comerciantes, los documentos privados, las historias clínicas, los datos obtenidos en razón a la inspección de domicilio o luego de la práctica de pruebas en procesos penales sujetas a reserva, entre otros.
iv) La información reservada: eso es, aquella que sólo interesa al titular en razón a que está estrechamente relacionada con la protección de sus derechos a la dignidad humana, la intimidad y la libertad; como es el caso de los datos sobre la preferencia sexual de las personas, su credo ideológico o político, su información genética, sus hábitos, etc. Estos datos, que han sido agrupados por la jurisprudencia bajo la categoría de “información sensible”,[9]no son susceptibles de acceso por parte de terceros, salvo que se trate en una situación excepcional, en la que el dato reservado constituya un elemento probatorio pertinente y conducente dentro de una investigación penal y que, a su vez, esté directamente relacionado con el objeto de la investigación. En este escenario, habida cuenta la naturaleza del dato incorporado en el proceso, la información deberá estar sometida a la reserva propia del proceso penal.
De acuerdo con las apreciaciones de la Corte Constitucional, “el establecimiento de estas dos tipologías se muestra útil, en la medida en que permite diferenciar los datos que pueden ser objeto de libre divulgación en razón al ejercicio del derecho fundamental a la información, a la vez que contribuye a la delimitación e identificación de las personas que se encuentran constitucionalmente facultadas para el acceso a los diferentes tipos de información”.
Corolario de todo lo expuesto resulta procedente inducir que bajo estas dos tipologías cualquier operación o conjunto de operaciones tales como la recolección, almacenamiento, uso, circulación o supresión que realicen con datos que cumplan con las características y particularidades de los datos personales, semiprivados, privados o reservados, se encuentran protegidas por el derecho fundamental habeas data.
Frente a este punto y con la finalidad de establecer si los datos están cobijados o no por la protección al habeas data, le corresponde a la Dirección de Formación Profesional determinar con base en los parámetros descritos, la naturaleza de los datos identificando si se trata o no de datos susceptibles de ser calificados como personales, semiprivados, privados y/o reservados.
De los resultados de este estudio, dependerá que dichos listados se encuentren o no dentro del ámbito de protección del derecho habeas data.
2. Todos los datos personales, (según definición legal) también se encuentran protegidos por los principios rectores contenidos en la Ley estatutaria de Habeas Data:
La Ley Estatutaria 1581 de 2012 contiene varios principios en materia de habeas data, y para los fines que nos ocupan tienen especial importancia los siguientes:
Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley.
Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley;
Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.
Como quiera que La Sentencia C-748/11 establece: “los principios contenidos en la ley estatutaria de habeas data financiero eran constitucionales y …, además, su aplicación era extensiva a todas las bases de datos personales sin importar que la regulación estudiada tenía un marcado carácter sectorial”, resulta palmario concluir que, en el tratamiento de todas las bases de datos personales, se deberán observar los principios contenidos en la Ley Estatutaria 1581 de 2012.
Ahora bien en caso de que el estudio del caso particular arroje como resultado que se encuentran frente a una información personal se deberá dar aplicación a los principios de La Ley Estatutaria 1581 de 2012.
3. Contenido, forma y alcance del deber de confidencialidad:
En relación con este punto y si como resultado del análisis de la naturaleza de los datos solicitados, se encuentra que los datos versan sobre información cuya naturaleza es personal, semiprivada, privada y/o reservada, es deber de la entidad velar por la protección del principio fundamental de habeas data de conformidad con los principios rectores contenidos en la Ley estatutaria de Habeas Data.
Del mismo modo analizará para el caso concreto, atendiendo a la naturaleza de los datos, si es procedente entregar dicha información.
Igualmente se identificará si la operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión requieren de autorización en los términos de la Ley Estatutaria 1581 de 2012, prestando especial atención a los siguiente:
Artículo 9o. Autorización del Titular. Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior.
Artículo 10. Casos en que no es necesaria la autorización. La autorización del Titular no será necesaria cuando se trate de:
a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;
b) Datos de naturaleza pública;
c) Casos de urgencia médica o sanitaria;
d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos;
e) Datos relacionados con el Registro Civil de las Personas.
Quien acceda a los datos personales sin que medie autorización previa deberá en todo caso cumplir con las disposiciones contenidas en la presente ley.
Hecho lo anterior la entidad procederá a dar aplicación al deber de confidencialidad y lo materializara mediante i) Cláusula de confidencialidad (ii) un Acuerdo de confidencialidad con el tercero autorizado.
RESPUESTA A LA PREGUNTA
Finalmente y para responder de manera concreta a su pregunta, le informamos que el Grupo de Conceptos Jurídicos y Producción Normativa carece de competencia para expedir conceptos de viabilidad, autorización o aprobación en materia de contratación, así como para ordenar a las demás áreas a adelantar algún tipo de acción, como quiera que únicamente tiene la facultad para adelantar las funciones asignadas por la Resolución 1381 de 2013, así las cosas le solicitamos que remita su inquietud al competente para pronunciarse sobre el caso concreto
Sin embargo y de manera general ponemos de presente que le de conformidad con el contrato 744 de 2016 en su CLAUSULA QUINTA – Obligaciones del Contratista, numeral 12, es Obligación del ICFES “… entregar al SENA la base de datos de los resultados individuales de los aprendices evaluados, en medio magnético. La entrega la realizará el ICFES a través del supervisor del contrato”.
Es del caso precisar que sobre este particular, en el cuerpo del contrato NO se definió:
i) La calidad de la naturaleza y de los contenidos y la procedencia de entregar dicha información de manea concreta.
ii) la forma en que se expresará el deber de confidencialidad de los datos cuya naturaleza es personal, semiprivada, privada y/o reservada, a saber: (i) Cláusula de confidencialidad. (ii) Acuerdo de confidencialidad.
iii) La definición de lo que para efectos del contrato se considerará información confidencial.
iv) La identificación de las obligaciones de la parte divulgadora.
v) La identificación de las obligaciones de la parte receptora.
vi) Las condiciones para la circulación de la información.
Por tal motivo le corresponderá al SENA y al ICFES, por ser las partes involucradas, realizar los ajustes pertinentes para dar cumplimiento a las obligaciones pactadas al contrato 744 de 2016.
Hecho esto y en virtud de las competencias asignadas, la Dirección de Formación Profesional debe determinar si la información en las condiciones solicitada - no requieren identificación individual, es decir nombres, apellidos, email, cédula o similares dado que la data se va a tratar como resultado – se ajusta o no a las condiciones de los datos personales, semiprivados, privados y/o reservado.
En este mismo sentido, si como como resultado del análisis del información requerida se considera que existe información cuya naturaleza es personal, semiprivada, privada y/o reservada, es deber de la entidad velar por la protección de la información y como primera medida, el SENA analizará, para el caso concreto, si es procedente y necesario entregar dicha información, hecho esto, y en caso de que se divulgue la información, la entidad procederá a dar aplicación al deber de confidencialidad y lo materializara mediante: i) Cláusula de confidencialidad incluida en el cuerpo del negocio jurídico con el tercero autorizado, quien tendrá la obligación de no divulgar la información por ningún medio, de no hacer uso indebido y de utilizarla solo para los fines autorizados. ii) Frente a la comunidad SENA se deberá tomar las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento y prevendrá a las personas del carácter confidencial de la información para que no la divulguen.
En todo caso frente a este tipo de información el SENA deberá:
1. Asegurarse de dar cabal cumplimiento a los principios de La Ley Estatutaria 1581 de 2012 y en especial a los principios de acceso y circulación restringida, de seguridad y de confidencialidad.
2. Garantizar Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos guarden reserva de la información y no le den uso indebido o diferente al autorizado.
El presente concepto se rinde de conformidad con lo dispuesto por el artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo.
Cordialmente;
Carlos Emilio Burbano
Coordinador Grupo Conceptos y Producción Normativa
Dirección Jurídica SENA
"Normograma del Servicio Nacional de Aprendizaje SENA"
ISSN [2463-0586 (En linea)]
Última actualización: 20 de abril de 2024 - (Diario Oficial No. 52.716 - 3 de abril de 2024)
Las notas de vigencia, concordancias, notas del editor, forma de presentación y disposición de la
compilación están protegidas por las normas sobre derecho de autor. En relación con estos valores
jurídicos agregados, se encuentra prohibido por la normativa vigente su aprovechamiento en publicaciones
similares y con fines comerciales, incluidas -pero no únicamente- la copia, adaptación, transformación,
reproducción, utilización y divulgación masiva, así como todo otro uso prohibido expresamente por
la normativa sobre derechos de autor, que sea contrario a la normativa sobre promoción de la
competencia o que requiera autorización expresa y escrita de los autores y/o de los titulares de
los derechos de autor. En caso de duda o solicitud de autorización puede comunicarse al teléfono
617-0729 en Bogotá, extensión 101. El ingreso a la página supone la aceptación sobre las normas
de uso de la información aquí contenida.