CONCEPTO 71693 DE 2022

(octubre 26)

<Fuente: Archivo interno entidad emisora>

SERVICIO NACIONAL DE APRENDIZAJE - SENA

En atención a su solicitud contenida en su comunicación, con radicación 9-2022-067797 del 10 de octubre de 2022, mediante la cual solicita concepto relacionado con la viabilidad de entregar la información del registro administrativo Base de Estadísticas de Formación Profesional a nivel de microdatos no anonimizados del SENA al DANE; de manera comedida me permito señalar.

ALCANCE DE LOS CONCEPTOS JURÍDICOS

Los conceptos emitidos por la Dirección Jurídica del SENA son orientaciones de carácter general que no comprenden la solución directa de problemas específicos ni el análisis de actuaciones particulares. En cuanto a su alcance, no son de obligatorio cumplimiento o ejecución, ni tienen el carácter de fuente normativa y sólo pueden ser utilizados para facilitar la interpretación y aplicación de las normas jurídicas vigentes.

ANÁLISIS JURÍDICO

El artículo 2.2.3.1.1 del Decreto 1743 de 2016^[1] introduce los términos de: anonimizarían de microdatos como un: (…) Proceso técnico que consiste en transformar los datos individuales de las unidades de observación, de tal modo que no sea posible identificar sujetos o características individuales de la fuente de información, preservando así las propiedades estadísticas en los resultados.” y de “Microdatos: Cada uno de los datos sobre las características de las unidades de estudio de una población (individuos, hogares, establecimientos, entre otras) que se encuentran consolidados en una base de datos.”

De igual manera el artículo 2.2.3.3.5 del arriba decreto introduce el término de Confidencialidad así:. “Las entidades que conforman el SEN (El Sistema Estadístico Nacional); así como sus servidores públicos y demás personas naturales o jurídicas que participen en la producción y difusión de estadísticas oficiales, accedan a la información o participen del intercambio de información, deberán guardar la confidencialidad de los datos que permitan la identificación y/o localización espacial de las fuentes, cuando estos fueren recolectados exclusivamente para la producción de las estadísticas oficiales y para fines estadísticos; so pena de las acciones legales a que haya lugar.”

El procedimiento para el Intercambio de información estadística a nivel de microdato, el artículo 2.2.3.3.4. de la norma citada señala: “Cuando se trate de información estadística confidencial a nivel de microdato, y siempre y cuando el objeto del intercambio sea la producción de estadísticas oficiales y/o el fortalecimiento de la calidad y coherencia de las mismas, la solicitud de intercambio será presentada por el miembro del SEN al DANE, quien la llevará al Consejo Asesor Nacional de Estadística para su concertación. La mencionada solicitud deberá contener lo siguiente: 1. El detalle sobre la información estadística requerida. 2. La necesidad por la cual se requiere la información estadística. 3. Los mecanismos con los que cuenta el solicitante para salvaguardar la confidencialidad y reserva de la información. 4. Los beneficios que para el desarrollo estadístico del país brinda el proyecto en el cual será utilizada la información.”

De otra parte, en el tema de acceso y circulación restringida de seguridad y de confidencialidad al acceso a los datos tenemos que en el artículo 15 de la Constitución Política de Colombia consagra la directriz materia de derecho a la intimidad, protección de datos, así:

ARTÍCULO 1º. (…) Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución. La correspondencia y demás formas de comunicación privada son inviolables. (…)”

Artículo que fue desarrollado a través de la Ley Estatutaria 1266 de 2008^[2], posteriormente los numerales a) b), f) g) y h) de la Ley 1581 de 2012 ^[3], establece los principios referentes al acceso y circulación restringida de seguridad y de confidencialidad que el acceso a los datos se debe restringir y la información debe estar sujeta a tratamiento por parte del responsable así: “a) Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen; “(…) b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular; f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley.// Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley

”g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento; h) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.(…)", parcialmente reglamentada por la Ley 1377 de 2013^[4]”.

Posteriormente, se expide la Ley 1712 de 2014^[5] cuyo objeto fue regular el derecho de acceso a la información pública, los procedimientos para el ejercicio y garantía del derecho y las excepciones a la publicidad de información, establece en sus artículos 2, 18 y 21 lo siguiente: “(…)

ARTÍCULO 2. Principio de máxima publicidad para titular universal. Toda información en posesión, bajo control o custodia de un sujeto obligado es pública y no podrá ser reservada o limitada sino por disposición constitucional o legal, de conformidad con la presente ley.

ARTÍCULO 18. Información exceptuada por daño de derechos a personas naturales o jurídicas. Es toda aquella información pública clasificada, cuyo acceso podrá ser rechazado o denegado de manera motivada y por escrito, siempre que el acceso pudiere causar un daño a los siguientes derechos: a) El derecho de toda persona a la intimidad, bajo las limitaciones propias que impone la condición de servidor público, en concordancia con lo estipulado por el artículo 24 de la Ley 1437 de 2011. b) El derecho de toda persona a la vida, la salud o la seguridad; c) Los secretos comerciales, industriales y profesionales.//PARÁGRAFO. Estas excepciones tienen una duración ilimitada y no deberán aplicarse cuando la persona natural o jurídica ha consentido en la revelación de sus datos personales o privados o bien cuando es claro que la información fue entregada como parte de aquella información que debe estar bajo el régimen de publicidad aplicable.(…)”

ARTÍCULO 21. Divulgación parcial y otras reglas. En aquellas circunstancias en que la totalidad de la información contenida en un documento no esté protegida por una excepción contenida en la presente ley, debe hacerse una versión pública que mantenga la reserva únicamente de la parte indispensable. La información pública que no cae en ningún supuesto de excepción deberá ser entregada a la parte solicitante, así como ser de conocimiento público. La reserva de acceso a la información opera respecto del contenido de un documento público pero no de su existencia.//Ninguna autoridad pública puede negarse a indicar si un documento obra o no en su poder o negar la divulgación de un documento, salvo que el daño causado al interés protegido sea mayor al interés público de obtener acceso a la información.//Las excepciones de acceso a la información contenidas en la presente ley no aplican en casos de violación de derechos humanos o delitos de lesa humanidad, y en todo caso deberán protegerse los derechos de las víctimas de dichas violaciones.”

De otro parte frente al tema de Información Pública Clasificada, el Decreto 1081 de 2015^[6] establece: ARTÍCULO 2.1.1.4.1.1. Acceso general a datos semiprivados, privados o sensibles. La información pública que contiene datos semiprivados o privados, definidos en los literales g) y h) del artículo 3 de la Ley 1266 de 2008, o datos personales o sensibles, según lo previsto en los artículos 3 y 5 de la Ley 1581 de 2012 y en el numeral 3 del artículo 3 del Decreto 1377 de 2013, solo podrá divulgarse según las reglas establecidas en dichas normas.

ARTÍCULO 2.1.1.4.1.2. Acceso a datos personales en posesión de los sujetos obligados. Los sujetos obligados no podrán permitir el acceso a datos personales sin autorización del titular de la información, salvo que concurra alguna de las excepciones consagradas en los artículos 6 y 10 de la Ley 1581 de 2012.//Tampoco podrá permitirse el acceso a los datos personales de niños, niñas y adolescentes, salvo aquellos que sean de naturaleza pública, de acuerdo con lo previsto en el artículo 7 de la Ley 1581 de 2012.//PARÁGRAFO 1. Permitir el acceso de un dato semiprivado, privado o sensible no le quita el carácter de información clasificada, ni puede implicar su desprotección. //PARÁGRAFO 2. Salvo que medie autorización del titular, a los datos semiprivados, privados y sensibles contenidos en documentos públicos solo podrá accederse por decisión de autoridad jurisdiccional o de autoridad pública o administrativa competente en ejercicio de sus funciones.”

Igualmente, el Decreto en cita establece las Directrices para la calificación de información pública como clasificada o reservada, en el artículo “2.1.1.4.3.1. Identificación de la norma que dispone que la información sea clasificada o reservada. Para asignar el carácter de clasificada o reservada a la información pública que se encuentra bajo su posesión, control o custodia, los sujetos obligados deben identificar las disposiciones constitucionales o legales que expresamente así lo dispongan.

ARTÍCULO 2.1.1.4.3.2. Existencia y divulgación integral o parcial de la información. Si un mismo acto o documento contiene información que puede ser divulgada e información clasificada o reservada, el sujeto obligado debe revelar los datos no protegidos y presentar los fundamentos constitucionales y legales por los que retiene los datos que no puede divulgar.// Los sujetos obligados podrán tachar los apartes clasificados o reservados del documento, anonimizar, transliterar o editar el documento para suprimir la información que no puede difundirse; abrir un nuevo expediente con la información pública que puede ser divulgada; o acudir a las acciones que sean adecuadas para cumplir con su deber de permitir el acceso a toda aquella información que no esté clasificada o reservada, teniendo en cuenta el formato y medio de conservación de la información.

ARTÍCULO 2.1.1.4.3.3. Coordinación interinstitucional. Si un sujeto obligado remite o entrega información pública calificada como clasificada o reservada a otro sujeto obligado, deberá advertir tal circunstancia e incluir la motivación de la calificación, para que este último excepcione también su divulgación.”

Finalmente, en el Código Nacional de Buenas Prácticas para las Estadísticas Oficiales se hace referencia a la amonificación de los microdatos Precisa “(…) PRINCIPIO 11. Confidencialidad Las entidades del SEN establecen protocolos de seguridad y confidencialidad que protejan la privacidad de las fuentes en el proceso estadístico o en el intercambio de microdatos, para lo cual desarrollan las siguientes buenas prácticas: 11.1 Informan a las fuentes de datos de la operación estadística sobre el compromiso de confidencialidad que el productor asume, así como la finalidad de la información solicitada y los usos estadísticos previstos de los datos suministrados. 11.2 Capacitan al personal vinculado en la operación estadística sobre los procedimientos internos y responsabilidades de salvaguardar la confidencialidad de los datos en cada una de las fases del proceso estadístico. 11.3 Utilizan técnicas para la anonimización de los microdatos que garanticen la protección de la identificación o localización geográfica de las fuentes empleadas en el proceso estadístico. 11.4 Emplean protocolos de seguridad para almacenar, actualizar y acceder a los sitios donde se encuentran alojados los datos, tales como archivos físicos, archivos magnéticos, espacios virtuales o servidores. 11.5 Suscriben compromisos de confidencialidad de los datos y no divulgación con los empleados, consultores, proveedores de servicios, contratistas y otras personas que tengan acceso a los mismos, haciendo explícitas las sanciones por su incumplimiento”.(Subrayado fuera de texto)

Para el fin pretendido en la solicitud elevada a esta Dirección, es preciso señalar que al interior del Servicio Nacional de Aprendizaje SENA el artículo 8 del Decreto 249 de 2004 establece entre las funciones asignadas a la Oficina de Sistemas están:

“1. Asistir a la Dirección General y a las demás dependencias del SENA, en la implementación de los sistemas, normas y procedimientos de informática requeridos por la entidad.

3. Elaborar los planes de desarrollo informático de la entidad, de acuerdo con los lineamientos corporativos y a la planeación institucional, los cuales deberán tener como prioridad garantizar que los usuarios y aportantes del SENA tengan acceso a una completa información sobre los servicios y facilitar el aprendizaje y la ejecución de programas de formación por medios virtuales.

4. Asesorar a las dependencias de la entidad en la aplicación de las políticas, estrategias y directrices trazadas por la Dirección General, relacionadas con el desarrollo informático de la entidad y en la ejecución de los planes correspondientes.

5. Conceptuar, evaluar y definir las necesidades y lineamientos para la adquisición, adaptación, desarrollo de bienes, custodia, mantenimiento, administración de contingencias y actualización de las plataformas y de los bienes informáticos en la entidad, en coordinación con la Dirección Administrativa y Financiera y con las áreas usuarias del SENA, velando siempre por el adecuado dimensionamiento de los requerimientos de la entidad frente a los adelantos tecnológicos del entorno y por su adecuado funcionamiento.

6. Garantizar la disponibilidad de información consistente, actualizada y confiable, necesaria para el cumplimiento de la misión institucional.”

Función que está soportada por los diferentes Grupos de apoyo contemplados en la Resolución 779 de 2018^[7].

De igual manera el artículo 2 de la Resolución 2711 de 2005^[8] grupos de trabajo de la Dirección de Planeación y Direccionamiento Corporativo, el grupo de Gestión de la Información y Evaluación de Resultados en su numeral g) se le asignó la de “Definir y liderar el almacenamiento, custodia, seguridad y disponibilidad de la información en medios electrónicos en el SENA.”

Como quiera igualmente que el tema es de competencia de la Dirección de Formación Profesional tal como lo indica el artículo 11 del Decreto 249 de 2004 en su numeral “3. Formular políticas, e implantar estrategias, normas, procedimientos y medios de control para los diferentes procesos de la formación profesional, especialmente en la gestión, alistamiento, ejecución de la respuesta, seguimiento y evaluación, así como para los servicios a egresados.”

Por último, es necesario previo a la toma de decisiones, dar plena aplicabilidad a lo reglado por el Acuerdo 13 de 2019^[9] con relación a los lineamientos relacionados con proteger la información y protección de los datos personales, que adopta el Servicio Nacional de Aprendizaje (SENA) e igualmente tener presente las guía que se encuentra en compromiso para tal efecto.

En consecuencia de ello serán estas áreas a través de su comités internos determinar la clase de información, el titular de la misma, trátese de mayores de edad o menores de edad, los riesgos de identificación de las personas que acceden a entregar su información con fines estadísticos según los medios disponibles, ha de tenerse en cuenta que se debe preservar la utilidad y aprovechamiento de los datos que necesitan los directos responsables o terceros, para lograr un proceso efectivo de no anonimización o anonimización de los datos, es necesario tener claro los procedimientos y que elementos se deben eliminar para que no se pueda identificar a una persona mediante el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por terceros, por lo que se deberá adoptar las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

Así también, debe tenerse presente que la Dirección de Planeación a través del Oficial de Seguridad de la Información, pueden establecer la línea para la salvaguarda de la información que se pretenda entregar por parte de esa dirección y del área dueña de la información.

Lo óptimo es decidirlo caso por caso y puede requerir la aplicación de una o varias técnicas que el área deberá definir, sopesando siempre el menor daño residual en la calidad de los datos y velando que todo quede documentado.

El presente concepto se rinde de conformidad con el alcance dispuesto en el artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, incorporado por la Ley 1755 de 2015. Lo anterior no sin advertir, que el mismo se encuentra sujeto a las modificaciones legales y jurisprudenciales que se expidan y acojan dentro del asunto.

Cordial saludo,

GLORIA ACOSTA CONTRERAS
Coordinadora
Grupo de Conceptos Jurídicos y Producción Normativa
Dirección Jurídica Dirección General

Disposiciones analizadas por Avance Jurídico Casa Editorial Ltda.©
"Normograma del Servicio Nacional de Aprendizaje SENA"
ISSN [2463-0586 (En linea)]
Última actualización: 20 de abril de 2024 - (Diario Oficial No. 52.716 - 3 de abril de 2024)
Las notas de vigencia, concordancias, notas del editor, forma de presentación y disposición de la
compilación están protegidas por las normas sobre derecho de autor. En relación con estos valores
jurídicos agregados, se encuentra prohibido por la normativa vigente su aprovechamiento en publicaciones
similares y con fines comerciales, incluidas -pero no únicamente- la copia, adaptación, transformación,
reproducción, utilización y divulgación masiva, así como todo otro uso prohibido expresamente por
la normativa sobre derechos de autor, que sea contrario a la normativa sobre promoción de la
competencia o que requiera autorización expresa y escrita de los autores y/o de los titulares de
los derechos de autor. En caso de duda o solicitud de autorización puede comunicarse al teléfono
617-0729 en Bogotá, extensión 101. El ingreso a la página supone la aceptación sobre las normas
de uso de la información aquí contenida.