CIRCULAR 4 DE 2019
(septiembre 5)
<Fuente: Archivo interno entidad emisora>
SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO
Para: | Entidades de la rama ejecutiva y demás entidades Responsables o Encargadas del tratamiento de datos personales. |
De: | Superintendencia de Industria y Comercio (SIC) y Agencia Nacional de Defensa Jurídica del Estado (ANDJE). |
Asunto: | Tratamiento de datos personales en sistemas de información interoperables. |
1. Competencia.
En virtud del literal e) del artículo 21 de la ley 1581 de 2012, la Superintendencia de Industria y Comercio, como autoridad nacional de protección de datos personales, presenta los siguientes lineamientos que deben seguir las Entidades Públicas y particulares que ejercen funciones públicas para la protección del derecho de habeas data o el debido tratamiento de datos personales en sistemas de información interoperables:
2. Marco normativo.
- Artículo 15 de la Constitución Política
- Ley 1266 de 2008
- Ley 1341 de 2009
- Ley 1581 de 2012
- Ley 1712 de 2014
- Artículo 147 de la Ley 1955 de 2019
- Ley 1978 de 2019
Sentencias de la Corte Constitucional:
- Sentencia C-1011/08
- Sentencia C-640/10
- Sentencia C-748/11
- Sentencia C-540/12
3. Reserva Legal en materia de Habeas Data.
El habeas data al ser un derecho fundamental establecido en la Constitución Política de 1991 debe contar con una reglamentación por medio de una ley estatutaria tal y como lo ordena el literal a) del artículo 152 de esa norma. Dicha reglamentación ya se cumplió en términos generales mediante la expedición de la Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales”. Sin embargo, es pertinente aclarar que la reserva de ley no es absoluta y todo lo concerniente al derecho fundamental al habeas data no debe estar reglamentado mediante una ley estatutaria. Por el contrario, la reserva de ley solo obliga a que el legislador regule los elementos estructurales esenciales de los derechos fundamentales que se quieren proteger. Al respecto la Corte Constitucional ha señalado:
"(...) [L]a Corte ha indicado que la reserva de ley estatuaria no se predica de la regulación de "todo evento ligado a los derechos fundamentales" sino "solamente los elementos estructurales esenciales de los derechos fundamentales", de modo que las leyes estatutarias no deben regular en detalle cada variante o cada manifestación de dichos derechos o todos aquellos aspectos que tengan que ver con su ejercicio.
En tal sentido, la misma Corte Constitucional estableció los criterios aplicables para determinar si se encuentra en presencia o no de un elemento estructural (...) "Para definir los elementos estructurales esenciales, la jurisprudencia constitucional se ha valido de la teoría del núcleo esencial. Según esta teoría, los derechos fundamentales tienen (i) un núcleo o contenido básico que no puede ser limitado por las mayorías políticas ni desconocido en ningún caso, ni siquiera cuando un derecho fundamental colisiona con otro de la misma naturaleza o con otro principio constitucional, y (¡i) un contenido adyacente objeto de regulación.[1] (negrilla y subrayado fuera de texto)
Es importante tener presente que la ley 1581 de 2012 aplica a todo tipo de tratamiento[2] - recolección, uso, circulación, almacenamiento - de datos personales al margen de las herramientas o tecnologías que se utilicen para dicho fin. En efecto, se trata de una ley estatutaria caracterizada por ser neutral desde la perspectiva tecnológica porque aplica transversalmente a toda actividad que involucre datos personales mediante cualquier tipo de tecnología actual o futura. En este sentido, refiriéndose al ámbito de aplicación, el artículo 2 de la precitada norma establece que "los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada".
Conforme a lo señalado por la Corte Constitucional, la ley 1581 de 2012 ya desarrolló aquellos elementos estructurales del derecho fundamental de habeas data. Por lo tanto, la Superintendencia de Industria y Comercio, como Autoridad Nacional de Protección de Datos, reitera que no son necesarias leyes estatutarias adicionales para proteger este derecho en nuevos ambientes, tal como el digital, y tampoco para tratar datos personales mediante sistemas tecnológicos complejos. Los derechos de las personas, en cuanto al tratamiento de sus datos personales, ya están protegidos por una serie de principios transversales -como el de legalidad, libertad, finalidad, transparencia, veracidad, seguridad, confidencialidad, acceso y circulación restringida- que deben ser aplicables en cualquier actividad y sin importar la novedad de las operaciones que se están realizando o las tecnologías utilizadas para dicho efecto. Nuevas normas pueden entrar a complementar o generar lineamientos adicionales frente al procesamiento de datos personales, pero no deben desconocer los principios señalados en esta ley.
Por lo tanto, tampoco debe considerarse que existe un vacío legislativo frente al tratamiento de información personal en sectores donde no existe una legislación específica o respecto del surgimiento de nuevas tecnologías o fenómenos tecnológicos. Como lo reconoció la Corte Constitucional en la Sentencia C-748 de 2011, el legislador puede dar lineamientos especiales en el tratamiento de ciertos datos personales, como los sensibles, sin que se considere que el tratamiento de estos datos no está regulado o está exceptuado de lo señalado en la ley 1581 de 2012:
"Ahora bien, en ejercicio de su libertad de configuración y atendiendo a las características especiales de cierto tipo de datos personales, el legislador puede también establecer reglas especiales para otro tipo de datos, pero que en ningún caso se entenderán como excepciones, salvo que la futura ley estatutaria sea modificada para incluir nuevas excepciones.
(...) El legislador podría entonces, en virtud de esta disposición, establecer un régimen de protección especial para los datos administrados por organizaciones no gubernamentales de defensa de derechos humanos. Lo mismo puede ocurrir en el caso de los datos de salud -teniendo en cuenta que una parte importante de ellos son sensibles y las historias clínicas son reservadas, el tratamiento de datos para fines de construcción de memoria y garantía del derecho colectivo a la verdad, o de los datos sensibles que son tratados en las redes sociales."[3] (negrilla y subrayado fuera de texto)
Como bien lo señala el alto tribunal en esta decisión, el legislador podrá, más no está obligado a generar una legislación específica para el tratamiento de este tipo de datos personales.
4. Uso de tecnologías de la Información y las comunicaciones.
Las Tecnologías de la Información y las Comunicaciones, entendidas como el conjunto de recursos, herramientas, equipos, programas informáticos, aplicaciones, redes y medios que permiten la compilación, procesamiento, almacenamiento, transmisión de información como voz, datos, texto, video e imágenes[4], deben ser utilizados por las entidades públicas de la Rama Ejecutiva del orden Nacional y los particulares que prestan funciones públicas.
Al respecto la Ley 1341 de 2009 señala:
"ARTÍCULO 2o. PRINCIPIOS ORIENTADORES. "(...) el desarrollo de las Tecnologías de la Información y las Comunicaciones son una política de Estado que Involucra a todos los sectores y niveles de la administración pública y de la sociedad, para contribuir al desarrollo educativo, cultural, económico, social y político e incrementar la productividad, la competitividad, el respeto a los Derechos Humanos inherentes y la inclusión social. // (...) 8. Masificación del Gobierno en Línea. Con el fin de lograr la prestación de servicios eficientes a los ciudadanos, las entidades públicas deberán adoptar todas las medidas necesarias para garantizar el máximo aprovechamiento de las Tecnologías de la Información y las Comunicaciones en el desarrollo de sus funciones. El Gobierno Nacional fijará los mecanismos y condiciones para garantizar el desarrollo de este principio. Y en la reglamentación correspondiente establecerá los plazos, términos y prescripciones, no solamente para la instalación de las infraestructuras indicadas y necesarias, sino también para mantener actualizadas y con la información completa los medios y los instrumentos tecnológicos. '' (Negrilla y subrayado fuera de texto)
Por su parte, los artículos 5 a 8 de la Ley 527 de 1999, no sólo incorporan el principio de equivalencia funcional de escrito, firma y original en el contexto digital sino que confieren plena validez jurídica a toda información en forma de mensaje de datos[5]. Todo lo anterior es aplicable a las actuaciones administrativas tal y como lo establece el Código de Procedimiento Administrativo y de lo Contencioso Administrativo, Ley 1437 de 2011, en su artículo 53 al indicar que "(...) los procedimientos y trámites administrativos podrán realizarse a través de medios electrónicos. Para garantizar la igualdad de acceso a la administración, la autoridad deberá asegurar mecanismos suficientes y adecuados de acceso gratuito a los medios electrónicos, o permitir el uso alternativo de otros procedimientos. En cuanto sean compatibles con la naturaleza de los procedimientos administrativos, se aplicarán las disposiciones de la Ley 527 de 1999 y las normas que la sustituyan, adicionen o modifiquen."
Por lo tanto, de las normas anteriormente mencionadas se desprende que las entidades públicas de la Rama Ejecutiva del orden Nacional y los particulares que prestan funciones públicas deben priorizar el uso de tecnologías de la información, incluso aquellas innovaciones que implican la recolección y tratamiento de datos personales en distintos sistemas digitales.
5. Interoperabilidad en la Transformación Digital del Estado.
La interoperabilidad ha sido definida por el MinTIC como la "aptitud de los sistemas y aplicaciones, basados en Tecnologías de la información y las Comunicaciones, y los procesos que estos soportan, para intercambiar información y posibilitar utilizar mutuamente la información intercambiada. Para el caso de redes de telecomunicaciones, la interoperabilidad es inherente a la interconexión de las mismas.[6] (negrilla fuera de texto). Los servicios de interoperabilidad, por su parte, son definidos como aquellos que brindan las "las capacidades necesarias para garantizar el adecuado flujo de información y de interacción entre los sistemas de información de las entidades del Estado, permitiendo el intercambio, la integración y la compartición de la información, con el propósito de facilitar el ejercicio de sus funciones constitucionales y legales''.[7] (negrilla fuera de texto)
Así las cosas, la interoperabilidad, entre otras, contribuye al cumplimiento del artículo 209 de la Constitución Política permitiendo que la función administrativa satisfaga los intereses generales, sea eficaz, célere e imparcial, beneficiando a todos los ciudadanos.
Así mismo, la Ley 1955 de 2019 incorporó como obligación para las entidades estatales del orden nacional el deber de incluir en sus respectivos planes de acción el componente de transformación digital. Para tal fin, el artículo 147 de dicha ley estableció que "los proyectos estratégicos de transformación digital se orientarán por los siguientes principios: (...)
3. Plena interoperabilidad entre los sistemas de información públicos que garantice el suministro e intercambio de la información de manera ágil y eficiente a través de una plataforma de interoperabilidad. Se habilita de forma plena, permanente y en tiempo real cuando se requiera, el intercambio de información de forma electrónica en los estándares definidos por el Ministerio TIC, entre entidades públicas, dando cumplimiento a la protección de datos personales y salvaguarda de la información."
Como se observa, la circulación de información es un aspecto intrínseco de la interoperabilidad. Dado lo anterior, es importante tener presente que el inciso segundo del artículo 15 de la Constitución ordena que "en la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución" (negrilla fuera de texto)
Para el caso de los datos personales las entidades públicas deben tener presente, entre otros, los artículos 10 y 13 de ley 1581 de 2012. El primero enuncia los casos en los que no es necesaria la autorización de la persona para tratar sus datos como, entre otros, los siguientes: "a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial; b) Datos de naturaleza pública; c) Casos de urgencia médica o sanitaria; d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos;!...)". El segundo, por su parte, establece que los datos personales podrán suministrarse: “b) A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial; c) A los terceros autorizados por el Titular o por la ley".
En cuanto a la entrega de información a las entidades públicas, la Corte Constitucional señaló que el literal b) del artículo 13 "debe entenderse que la entidad administrativa receptora cumpla con las obligaciones de protección y garantía que se derivan del citado derecho fundamental, en especial la vigencia de los principios de finalidad, utilidad y circulación restringida. Por lo tanto, debe encontrarse demostrado (i) el carácter calificado del vínculo entre la divulgación del dato y el cumplimiento de las funciones de la entidad del poder Ejecutivo; y (ii) la adscripción a dichas entidades de los deberes y obligaciones que la normatividad estatutaria predica de los usuarios de la información"[8].
6. Instructivo.
Conforme a lo señalado en la presente Circular, la Superintendencia de Industria y Comercio concluye y aclara lo siguiente:
Primero: la interoperabilidad entre sistemas de información donde circulan datos personales debe realizarse conforme a los principios señalados en la ley 1581 de 2012, por lo que no es necesaria la expedición de una norma adicional y específica para este fin.
Segundo: la protección de datos personales no se opone a la interoperabilidad siempre y cuando se respete los dispuesto en el artículo 15 de la Constitución junto con la precitada ley y se tengan en cuenta sus excepciones y regias de tratamiento y circulación de la información.
Tercero: las entidades públicas o administrativas no requieren obtener la autorización de la persona para tratar datos personales cuando la información se necesita para el ejercicio de sus funciones. El término "tratamiento" incluye cualquier actividad con datos personales como, entre otras, la recolección, su uso y circulación.
Cuarto: la Ley 1581 de 2012 autoriza a las entidades privadas y a las organizaciones públicas para que suministren a las entidades públicas o administrativas datos personales que sean necesarios para el cumplimiento de sus funciones legales. Por lo tanto, no se requiere una autorización especial o adicional para poder suministrar a esas entidades datos en el marco de un proyecto de interoperabilidad, siempre y cuando la información que entreguen sea útil, pertinente y necesaria para cumplir los cometidos constitucionales y de ley de las entidades públicas.
7. Observancia.
De acuerdo con lo anterior, las entidades públicas deberán tener en cuenta lo señalado en esta circular conjunta y coadyuvar en los planes, proyectos y programas que desde el Gobierno Nacional se implementan y que necesariamente utilizan datos, sin que por ello se menoscabe el Habeos Data o la protección de datos personales.
En igual sentido, todo el procedimiento y coordinación en estas materias será liderado por el Gobierno Nacional en observancia de la normativa vigente, lo que a su turno será objeto de vigilancia de la Superintendencia de Industria y Comercio, lo que debe limitar el riesgo jurídico y el daño antijurídico, de conformidad con las recomendaciones aquí consignadas en conjunto con la Agencia de Defensa Jurídica del Estado.
Atentamente,
ANDRÉS BARRETO GONZÁLEZ
Superintendencia de Industria y Comercio.
CAMILO GÓMEZ ALZATE
Director de la Agencia Nacional de Defensa Jurídica del Estado
1. Corte Constitucional de Colombia Sentencia C-748/11
2. El término "tratamiento" está incluido en el artículo 15 de la Constitución y en la ley 1581 de 2012 fue definido como "cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión". (Literal g del artículo 3).
3. Corte Constitucional de Colombia Sentencia C-748/11
4. Art. 5o Ley 1978 de 2019
5. Art. 2 de la Ley 527 de 1999.''(...) a) Mensaje de datos. La información generada, enviada, recibida, almacenada o comunicada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el Intercambio Electrónico de Datos (EDI), Internet, el correo electrónico, el telegrama, el télex o el telefax”.
6. Cfr. Artículo 1 de la Resolución 202 de 2010 del MinTIC "por la cual se expide el glosario de definiciones conforme a lo ordenado por el inciso 2 del artículo 6 de la ley 1341 de 2009". Norma vigente a 4 de septiembre de 2019 según la página web del MinTIC. En: https.7/mintic.qov.co/portal/inicio/3762:Resolucion-202-de-2010
7. Cfr. Numeral 1.5. del artículo 2.2.17.2.1.1. del Decreto 1413 del 25 de agosto de 2017 "por el cual se adiciona el Título 17 a la Parte 2 del Libro 2 del Decreto Único Reglamentario del sector de Tecnologías de la Información y las Comunicaciones, Decreto número 1078 de 2015, para reglamentarse parcialmente el Capítulo IV del Título III de la Ley 1437 de 2011 y el artículo 45 de la Ley 1753 de 2015, estableciendo Lineamientos generales en el uso y operación de los servicios ciudadanos digitales”
8. Cfr. Corte Constitucional, sentencia C-748 de 2011, numeral 2.15.3