HABEAS DATA

Texto del concepto

CCE-DES-FM-17

HABEAS DATA – Derecho fundamental – Consagración constitucional

El artículo 15 de la Constitución Política consagra el derecho fundamental al habeas data, […].

[…], tal derecho consiste en el deber de los particulares y de las autoridades de respetar la intimidad y el buen nombre de las personas, así como en la posibilidad de conocer, actualizar y solicitar la rectificación de los datos almacenados en archivos o bases de datos públicas o privadas. Esto supone que los datos personales deben ser veraces y además deben estar disponibles para que su titular tenga la oportunidad de revisarlos y, si es del caso, pedir las aclaraciones o correcciones a que haya lugar.

En palabras de la Corte Constitucional, el derecho fundamental al habeas data ha cobrado una importancia creciente en el contexto de la sociedad de la información, ya que en tal escenario la circulación acelerada y automática de los datos hace que se generen riesgos de utilización abusiva de los mismos, afectando la intimidad y el buen nombre de las personas. De allí que a nivel internacional se haya desarrollado la garantía de la «autodeterminación informativa», derivada del libre desarrollo de la personalidad, entendida como el derecho del titular de los datos de acceder a ellos para revisarlos y solicitar las rectificaciones que considere necesarias.

TRATAMIENTO DE DATOS PERSONALES – Ley 1581 de 2012 – Protección – Contratación estatal

Con fundamento en el artículo 2 de la Ley 1581 de 2012, puede afirmarse que el habeas data es un derecho fundamental que también debe garantizarse en los procedimientos de selección adelantados por las entidades estatales para la escogencia de sus contratistas. Ello con prescindencia del régimen jurídico aplicable a la contratación estatal. Es decir, tanto las entidades que se rigen por el Estatuto General de Contratación de la Administración Pública –las mencionadas en el artículo 2 de la Ley 80 de 1993–, como las exceptuadas de aquel, deben proteger los datos personales en los trámites contractuales que adelanten. A tal conclusión se llega, ya que el mencionado artículo indica que «Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada» y no contempla dentro de las excepciones previstas en la norma los procedimientos contractuales de selección.

Las entidades estatales, en su actividad contractual, deben proteger la información personal registrada en sus bases de datos. El artículo 3, literal b) de la Ley 1581 de 2012, define «base de datos» como el «Conjunto organizado de datos personales que sea objeto de Tratamiento». Por su parte, el literal c) del mismo artículo dice que un «dato personal» es «Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables» y el literal g) señala que «tratamiento» es «Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión».

AUTORIZACIÓN – Tratamiento de datos personales – Titular

Para el tratamiento de los datos personales, debe garantizarse el «principio de libertad». Este postulado implica, según el artículo 4, literal c), de la Ley 1581 de 2012, que: «El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento». Así también lo ratifica el artículo 2.2.2.25.2.1. del Decreto 1074 de 2015 –por el cual se reglamenta parcialmente la referida Ley–, […].

De este modo, para poder efectuar el tratamiento de datos personales se debe contar con la autorización del titular. Esta autorización, como lo indica el artículo 3, literal a) de la Ley 1581 de 2012, consiste en el «Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales». Se trata de un deber que constituye la regla general en el tratamiento de los datos personales, pues solo puede prescindirse de aquel cuando la ley expresamente lo indique. Así se infiere del artículo 9 de la Ley en comento, cuando señala que «Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior». Obsérvese que no solo consagra la necesidad de la autorización previa como regla general, sino que además exige contar con una constancia que permita probar en el futuro que al responsable o encargado del tratamiento ha obtenido el consentimiento del titular.

AUTORIZACIÓN – Tratamiento de datos personales – Datos sensibles – Contratación estatal

Los procedimientos de selección contractual del Estado no se encuentran dentro de las excepciones al deber de obtener la autorización del titular para el tratamiento de los datos personales. Por lo tanto, las entidades estatales deben cerciorarse de que exista la constancia a la que se refiere el artículo 9 de la Ley 1581 de 2012, como responsables que son –junto a los oferentes y contratistas que recolectan información de personas naturales– del tratamiento de los datos personales en sus procedimientos de selección, a fin de evitar una vulneración al derecho fundamental de habeas data de las personas cuyos datos son objeto de tratamiento. Así se deduce adicionalmente del artículo 17, literal b), de la precitada Ley, que establece como deber de los responsables de tratamiento, «Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular».

[…]

Con arreglo a las consideraciones anteriores, puede concluirse que los datos personales, incluidos los datos sensibles, contenidos en las ofertas dentro de los procesos de selección contractual, deben respetar las normas sobre tratamiento de datos contenidas en la Ley 1581 de 2012, en el Decreto 1074 de 2015 y en las que los modifiquen o complementen. Dentro de dichas disposiciones se encuentra el deber de los responsables y encargados del tratamiento de dichos datos de obtener la autorización por parte del titular. Tal consentimiento debe ser expreso. Además, debe quedar constancia de él, para ser consultada con posterioridad. Los particulares que participan en la actividad contractual del Estado, presentando ofertas o en calidad de contratistas, son responsables del tratamiento de los datos personales y son los primeros obligados a contar con la autorización previa del titular de los datos, para poder hacer uso de documentos como hojas de vida, certificados o, en general, de datos personales. Las entidades estatales interesadas en contratar bienes o servicios son también responsables y deben cerciorarse de que exista la constancia de la autorización de las personas naturales titulares de los datos, tal como lo indicó la Agencia Nacional de Contratación Pública –Colombia Compra Eficiente en su «Política de tratamiento y protección de datos personales».

FACTORES DE DESEMPATE – Ley 2069 de 2020 – Acreditación – Discrecionalidad

[E]l artículo 35 de la Ley 2069 de 2020 no establece unos medios específicos para acreditar las circunstancias a las que se refieren sus numerales y en virtud de la cual aplican las reglas de desempate. Por lo tanto, corresponde a la entidad contratante analizar si el ordenamiento jurídico, en otras disposiciones legales o reglamentarias, exige un documento especial o si, por el contrario, hay libertad probatoria. Dicho análisis debe realizarse de manera independiente respecto de cada numeral. En caso de que no exista «tarifa legal», es decir, en el evento en que la ley o el reglamento no definan un medio probatorio para acreditar la circunstancia correspondiente, la entidad estatal contratante tiene discrecionalidad para establecer en el pliego de condiciones o en el documento equivalente de qué manera el proponente podrá probar que se halla bajo la condición que permite aplicar la regla de desempate. Esto sin perjuicio de que el decreto reglamentario que expida el gobierno nacional para garantizar la cumplida ejecución de la Ley 2069 de 2020 establezca unos medios de prueba.

FACTORES DE DESEMPATE – Acreditación – Datos sensibles – Protección – SECOP – Excepción a la regla de publicidad

Considerando que la acreditación de los supuestos de hecho de los numerales 2, 3, 4, 5, 6, y 7 del artículo 35 podría implicar el suministro de datos sensibles, al momento de solicitar tal información debe obtener la correspondiente autorización previa e informada de los titulares de la información de conformidad con los artículos 2.2.2.25.2.2 y 2.2.2.25.2.3 del Decreto 1074 de 2015. De dicha autorización debe quedar constancia, para que pueda ser consultada tanto por el titular, como por los demás responsables y encargados del tratamiento de los datos personales. Al ser responsables del tratamiento de los datos personales y en especial de los datos sensibles, las entidades estatales que dirigen el procedimiento de selección contractual deben cerciorarse de que exista la constancia de la autorización de la persona natural sobre el manejo de sus datos personales. Además, deben ser cuidadosas de no divulgar en el SECOP los datos sensibles, clasificados o reservados.

Bogotá, 28 Abril 2021

Señora

Heilin Hattyn Guarnizo

Bogotá D.C.

Concepto C ‒ 187 de 2020

Estimada señora Guarnizo:

En ejercicio de la competencia otorgada por el numeral 8 del artículo 11 y el numeral 5 del artículo 3 del Decreto Ley 4170 de 2011, la Agencia Nacional de Contratación Pública ― Colombia Compra Eficiente responde su consulta remitida el 12 de marzo de 2021 por la Superintendencia de Industria y Comercio.

1. Problema planteado

Usted realiza la siguiente consulta:

«[…] solícito se indique como se puede dar tratamiento a los procesos de contratación que se encuentren cubiertos por la ley 2069 de 2020 articulo 35. Factores de desempate donde se indica que se debe preferir la propuesta de la mujer cabeza de familia, mujeres víctimas de la violencia intrafamiliar, personas en proceso de reintegración o reincorporación, su nómina pertenece a población indígena, negra, afrocolombiana, raizal, palanquera, Rrom o gitanas personas mayores que no sean beneficiarios de la pensión de vejez, familiar o de sobrevivencia, nómina está en condición de discapacidad. Según este enlace la aplicación de la ley 2069 del 2020 http://www.contratacionenlinea.co/index.php?section=773&module=navigationmodule debe solicitar un extrajuicio que valide y confirme que si aplica a las reglas de desempate. Teniendo en cuenta que estos son datos sensibles y que ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles, de que manera puede soportarse o dar fé que el oferente cumple con el requisito sin tener que solicitar estos documentos por plataformas WEB como SECOP y que pueden llegar a vulnerar los derechos de los titulares».

1. Consideraciones

La Subdirección de Gestión Contractual responderá los interrogantes de la consulta, previo análisis de los siguientes temas: i) definición del derecho de habeas data o de protección de datos personales, ii) garantía de este derecho en los procedimientos de selección contractual, iii) autorización para el tratamiento de los datos personales contenidos en las ofertas presentadas en los procedimientos de selección contractual, en especial de los datos sensibles, y iv) protección de datos personales en la aplicación de los factores de desempate del artículo 35 de la Ley 2069 de 2020.

La Agencia Nacional de Contratación Pública – Colombia Compra Eficiente analizó el contenido del derecho a la protección de los datos personales en el marco del desarrollo de procesos de contratación en los conceptos C-672 del 11 de noviembre de 2020, C-803 del 1 de febrero de 2021 y C-048 del 8 de marzo de 2021. De otra parte, esta Agencia se ha pronunciado sobre la aplicación de los factores de desempate introducidos por el artículo 35 de la Ley 2069 de 2020 en los conceptos C-009, C-012, C-013 , C-015, C-016 y C-026 del 4 de febrero de 2021, C-006 del 5 de febrero de 2021, C-043 del 9 de febrero de 2021, C-005 y C-007 del 16 de febrero de 2021, C-098, C-028, C-081 y C-087 23 de febrero de 2021, C-037 del 26 de febrero de 2021, C-035 y C-040 del 2 de marzo de 2021, C-044 del 3 de marzo de 2021, C-056 del 8 de marzo de 2021, C-055 y C-061 del 10 de marzo de 2021, C-058 del 11 de marzo de 2021, C-069 del 12 de marzo de 2021, C-102 del 25 de marzo de 2021, C-136, C-138 y C-139 del 07 de abril de 2021, C-141 del 08 de abril de 2021, C-164 del 19 de abril de 2021 y C-176 del 19 de abril de 2021. Las tesis expuestas en estos conceptos se reiteran a continuación.

2.1. Derecho fundamental al habeas data o a la protección de los datos personales

El artículo 15 de la Constitución Política de 1991 consagra el derecho que tienen todas las personas a su intimidad personal y al buen nombre, de forma que puedan conocer, actualizar y rectificar la información que se haya recogido sobre ellas en los diferentes bancos de datos y en los archivos de entidades públicas y privadas. Además, señala la obligación que tiene el Estado de hacer respetar dichos derechos. Esto supone la veracidad de los datos personales, lo cuales deben estar disponibles para que su titular tenga la oportunidad de revisarlos y, si es del caso, solicitar las aclaraciones o correcciones a que haya lugar. Por ello, la norma citada dispone que:

Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.

En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.

La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley.

Para efectos tributarios o judiciales y para los casos de inspección, vigilancia e intervención del Estado podrá exigirse la presentación de libros de contabilidad y demás documentos privados, en los términos que señale la ley.

El derecho fundamental al habeas data cobra una importancia creciente en el contexto de la sociedad de la información, debido a que la circulación acelerada y automática de los datos genera riesgos de utilización abusiva de los mismos, afectando la intimidad y el buen nombre de las personas^[1]. Por ello, a nivel internacional se ha desarrollado la garantía de la «autodeterminación informativa», derivada del libre desarrollo de la personalidad, entendida como el derecho del titular de los datos de acceder a ellos para revisarlos y solicitar las rectificaciones necesarias. Según la Corte Constitucional, el derecho fundamental al habeas data es un derecho de estructura compleja, ya que está integrado por una serie de principios orientados a la protección de los datos personales. Lo anterior, en los siguientes términos:

De conformidad con la jurisprudencia de esta Corporación, dentro de las prerrogativas –contenidos mínimos- que se desprenden de este derecho encontramos por lo menos las siguientes: (i) el derecho de las personas a conocer –acceso- la información que sobre ellas está recogida en bases de datos, lo que conlleva el acceso a las bases de datos donde se encuentra dicha información; (ii) el derecho a incluir nuevos datos con el fin de se provea una imagen completa del titular; (iii) el derecho a actualizar la información, es decir, a poner al día el contenido de dichas bases de datos; (iv) el derecho a que la información contenida en bases de datos sea rectificada o corregida, de tal manera que concuerde con la realidad; (v) el derecho a excluir información de una base de datos, bien por que se está haciendo un uso indebido de ella, o por simple voluntad del titular –salvo las excepciones previstas en la normativa^[2].

Para una garantía más eficaz de este derecho, se expidió la Ley Estatutaria 1581 de 2012, «Por la cual se dictan disposiciones generales para la protección de datos personales». De conformidad con el artículo 1, «La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones (sic) que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma». El artículo 8 de la citada ley dispone el contenido del habeas data, indicando las prerrogativas del titular de los datos personales y reiterando los desarrollos jurisprudenciales en la materia^[3]. De acuerdo con esta norma, el titular de los datos personales tiene derecho a conocerlos, actualizarlos, rectificarlos, a solicitar la prueba de la autorización para el tratamiento de los mismos, a ser informado sobre el destino o uso de tales datos, a formular quejas ante la Superintendencia de Industria y Comercio por el incumplimiento de la Ley 1581 de 2012 y de las normas complementarias, a revocar la autorización para el tratamiento de los datos o solicitar la supresión de estos y a acceder gratuitamente a aquellos.

El objetivo de la protección de los datos personales es que su titular tenga la posibilidad de ejercer el derecho de autodeterminación en relación con la recolección de su información, y que pueda controlar lo que pasará con estos cuando se encuentren en manos de los responsables y encargados de su tratamiento. Esta posibilidad de control implica tanto la autorización previa para el tratamiento de los datos como el acceso a los mismos, para revisarlos y, si es necesario, solicitar la rectificación correspondiente. A continuación, se analizará si, de acuerdo con la Ley 1581 de 2012 y a la jurisprudencia constitucional, el derecho fundamental al habeas data también debe garantizarse en los procedimientos contractuales, y, en caso afirmativo, cuál es el alcance de dicha protección.

2.2. Aplicación del derecho fundamental a la protección de los datos personales en los procedimientos contractuales

Conforme al artículo 2 de la Ley 1581 de 2012, el habeas data es un derecho fundamental que también debe garantizarse en los procedimientos de selección adelantados por las entidades estatales independientemente del régimen jurídico del contrato^[4]. Es decir, tanto las entidades regidas por el Estatuto General de Contratación de la Administración Pública como las exceptuadas del mismo, deben proteger los datos personales en los procesos contractuales. Esto teniendo en cuenta que el artículo citado dispone que «Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada», sin contemplar dentro de las excepciones previstas en la norma los procedimientos de selección.

Las entidades estatales, en su actividad contractual, deben proteger la información personal registrada en sus bases de datos. El artículo 3, literal b), de la Ley 1581 de 2012 define «base de datos» como el «Conjunto organizado de datos personales que sea objeto de Tratamiento». Por su parte, el literal c) de este artículo prescribe que un «dato personal» es «Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables» y el literal g) dispone que el «tratamiento» constituye «Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión».

Por consiguiente, como lo indicó la Agencia Nacional de Contratación Pública – Colombia Compra Eficiente en su «Política de tratamiento y protección de datos personales», «Las Entidades Públicas son las Responsables del Tratamiento de los Datos Personales asociada a sus procesos de contratación en el SECOP. La Agencia Nacional de Contratación Pública – Colombia Compra Eficiente, como administrador de los sistemas de información de la Compra Pública, cumple el rol de Encargado de Tratamiento definido en la Ley 1581 de 2012, donde se limita a publicar la información registrada por las Entidades Públicas y, por ende, no tiene poder de decisión para la eliminación o modificación de los Datos Personales»^[5].

La definición del «responsable del tratamiento» se encuentra en el artículo 3, literal e), de la Ley 1581 de 2012, al precisar que es la «Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos». En tal sentido, son responsables del tratamiento de los datos en los procesos de contratación tanto los proponentes –en especial, cuando aportan con la oferta datos de personas naturales cuyos datos son objeto de tratamiento–, como las entidades estatales que reciben tales datos.

2.3. Autorización para el tratamiento de los datos personales contenidos en las ofertas, en especial de los datos sensibles

Para el tratamiento de los datos personales debe garantizarse el «principio de libertad». Según el artículo 4, literal c), de la Ley 1581 de 2012, esto significa que: «El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento». Así lo ratifica el artículo 2.2.2.25.2.1 del Decreto 1074 de 2015, al disponer lo siguiente:

En desarrollo de los principios de finalidad y libertad, la recolección de datos deberá limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente. Salvo en los casos expresamente previstos en la ley, no se podrán recolectar datos personales sin autorización del Titular

A solicitud de la Superintendencia de Industria y Comercio, los Responsables deberán proveer una descripción de los procedimientos usados para la recolección, almacenamiento, uso, circulación y supresión de información, como también la descripción de las finalidades para las cuales la información es recolectada y una explicación sobre la necesidad de recolectar los datos en cada caso.

No se podrán utilizar medios engañosos o fraudulentos para recolectar y realizar Tratamiento de datos personales.

De este modo, el tratamiento de datos personales requiere la autorización del titular. Esta autorización, como dispone el artículo 3, literal a) de la Ley 1581 de 2012, consiste en el «Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales». Se trata de un deber que constituye la regla general en el tratamiento de los datos personales, pues solo puede prescindirse de aquel cuando la ley expresamente lo indique. Así se infiere del artículo 9, cuando prescribe que «Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior». Obsérvese que no solo consagra la necesidad de la autorización previa como regla general, sino que además exige contar con una constancia que permita probar en el futuro que al responsable o encargado del tratamiento obtuvo el consentimiento del titular.

Los procedimientos contractuales no están exentos de la autorización previa del titular para el tratamiento de los datos personales^[6]. Por lo tanto, las entidades estatales deben cerciorarse de que exista la constancia a la que se refiere el artículo 9 de la Ley 1581 de 2012, como responsables que son –junto a los oferentes y contratistas que recolectan información de personas naturales– del tratamiento de los datos personales en los procedimientos de selección, a fin de evitar una vulneración al derecho fundamental de habeas data. Así se deduce del artículo 17, literal b), de la Ley 1581 de 2012, que establece, como deber de los responsables del tratamiento, «Solicitar y conservar […] copia de la respectiva autorización otorgada por el Titular».

La autorización para el tratamiento de datos personales debe obtenerse cumpliendo los requisitos establecidos tanto en la Ley 1581 de 2012 como en el Decreto 1074 de 2015^[7]. El artículo 2.2.2.25.2.4 de este reglamento dispone que la autorización debe ser susceptible de consulta posterior, y que con este objetivo se pueden adoptar medios técnicos que permitan al titular de los datos manifestar su consentimiento automático. En todo caso, precisa que «Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (i) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca».

Por otra parte, el artículo 5 de la Ley 1581 de 2012 define los «datos sensibles» como «[…] aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos».

En principio, el tratamiento de estos datos está prohibido, salvo que se reúnan las circunstancias del artículo 6 de la Ley 1581 de 2012, una de las cuales consiste en que «El Titular haya dado su autorización explícita a dicho Tratamiento […]»^[8]. Para obtener dicha autorización debe observarse el procedimiento establecido en el artículo 2.2.2.25.2.3, según el cual:

El Tratamiento de los datos sensibles a que se refiere el artículo 5 de la Ley 1581 de 2012 está prohibido, a excepción de los casos expresamente señalados en el artículo 6 de la citada ley.

En el Tratamiento de datos personales sensibles, cuando dicho Tratamiento sea posible conforme a lo establecido en el artículo 6 de la Ley 1581 de 2012, deberán cumplirse las siguientes obligaciones:

1. Informar al titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento.

2. Informar al titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento, así como obtener su consentimiento expreso.

Ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles.

De lo anterior puede concluirse que los datos personales contenidos en las ofertas, incluidos lo de naturaleza sensible, deben respetar las normas sobre tratamiento de datos contenidas en la Ley 1581 de 2012, en el Decreto 1074 de 2015 y en las que los modifiquen o complementen. En estas disposiciones se encuentra el deber de los responsables y encargados del tratamiento de obtener la autorización por parte del titular, consentimiento que debe ser expreso. Además, debe quedar constancia de él para su consulta posterior. Los particulares que participan en la actividad contractual del Estado, presentando ofertas o en calidad de contratistas, son responsables del tratamiento de los datos personales y son los primeros obligados a contar con la autorización previa del titular de los datos, para hacer uso de documentos como hojas de vida, certificados o, en general, datos personales. Las entidades estatales interesadas en contratar bienes o servicios son también responsables y deben cerciorarse de que exista la constancia de la autorización de las personas naturales titulares de los datos, tal como lo indicó la Agencia Nacional de Contratación Pública –Colombia Compra Eficiente en su «Política de tratamiento y protección de datos personales».

Finalmente, conviene recordar que en el concepto C-672 del 11 de noviembre de 2020, esta Subdirección explicó que los datos sensibles constituyen límites al deber de divulgación proactiva de la información en la contratación estatal. En otras palabras, el deber de publicación de la documentación contractual debe armonizarse con las normas aplicables al tipo de información que estas contienen. Respecto de datos sensibles, esto significa que la información sometida a reserva o de la cual proceda un tratamiento especial que impida su publicidad, las entidades deberán proceder de conformidad con el tratamiento que impongan tales normas, absteniéndose de publicar las partes pertinentes en las que se evidencie este tipo de información. Para dichos eventos, la plataforma SECOP II, antes de publicar las ofertas, brinda a las entidades la opción de calificar dicha información como confidencial, lo cual impide que los documentos se publiquen.

En otras palabras, aunque el artículo 74 de la Constitución disponga el derecho de acceso a los documentos públicos y así los documentos que hagan parte de la actividad contractual puedan catalogarse, prima facie, como información pública, cuando dicha documentación contenga datos sensibles, operan algunas restricciones a su publicidad. Sin embargo, esto no necesariamente convierte el documento completo en reservado, es decir, en un documento que no puede publicarse.

La norma constitucional citada en el párrafo precedente, en armonía con los artículos 18 y 19 de la Ley 1712 de 2014 y los artículos 24 y 25 de la Ley 1437 de 2011, establecen que el derecho de acceso a la información o documentación pública no es absoluto, sino que puede exceptuarse cuando se configuren causales de reserva. Así mismo, existe información que goza de protección especial y no puede divulgarse. La información pública que contiene datos semiprivados o privados, definidos en los literales g) y h) del artículo 3° de la Ley 1266 de 2008, clasificados o reservados, según los artículos 18 y 19 de la Ley 1712 de 2014, o datos personales o sensibles, según lo previsto en los artículos 3° y 5° de la Ley 1581 de 2012 y en el numeral 3° del artículo 3° del Decreto 1377 de 2013, solo podrá divulgarse según las reglas establecidas en dichas normas. Lo anterior no quiere decir que todo el documento se convierta en reservado, sino que se debe proceder como se indica a continuación.

Cuando el documento contractual tenga información sensible, clasificada o reservada, para proteger la información, las autoridades deben abstenerse de publicar en el SECOP la información que tiene protección especial, tal como sucede con los derechos de los menores, de conformidad con el artículo 7° de la Ley 1581 de 2012 y el artículo 2.1.1.4.1.2 del Decreto 1081 de 2015. Sin embargo, de acuerdo con el segundo inciso del artículo 25 de la Ley 1437 de 2011, «La restricción por reserva legal no se extenderá a otras piezas del respectivo expediente o actuación que no estén cubiertas por ella». Por ello, la entidad estatal deberá excluir del documento entregado por el proponente en el procedimiento contractual la información que contenga datos sensibles, clasificados o reservados para no divulgarla, pero debe publicar los demás apartados de la oferta que no gozan de reserva o que no están protegidos por las disposiciones de habeas data.

2.4. Protección de datos personales en la aplicación de los factores de desempate del artículo 35 de la Ley 2069 de 2020

El artículo 35 de la Ley 2069 de 2020 modifica la regulación de los factores de desempate en la contratación estatal. Pese a que el parágrafo 3 dispone que el Gobierno Nacional podrá regular los supuestos en que concurran dos o más factores de desempate, se considera que el artículo 35 de la Ley 2069 de 2020 goza de aplicación directa desde la fecha de su promulgación, es decir, no requiere de una reglamentación previa como presupuesto para su eficacia. Esta precisión reviste importancia, porque algunos enunciados normativos de la Ley bajo análisis establecen un mandato de reglamentación, dirigido al gobierno nacional, como condición para aplicar lo dispuesto en esta ley.

Por ejemplo, en lo que a las compras públicas se refiere, el parágrafo primero del artículo 30, que alude a la participación de mipymes en procedimientos de mínima cuantía, establece que «Las particularidades del procedimiento aquí previsto, así como la posibilidad que tengan las entidades de realizar estas adquisiciones a Mipymes o establecimientos que correspondan a la definición de "gran almacén" señalada por la Superintendencia de Industria y Comercio, se determinarán en el reglamento que para el efecto expida el Gobierno Nacional». En un sentido similar, el parágrafo segundo del mismo artículo expresa que «La contratación a que se refiere el presente artículo se realizará exclusivamente con las reglas en él contempladas y en su reglamentación. […]».

Así mismo, el artículo 31, en el segundo inciso, determina que «El Gobierno Nacional reglamentará la definición de los criterios diferenciales, sobre reglas objetivas que podrán implementar las Entidades Estatales». Del mismo modo, el parágrafo primero del artículo 32 establece que «La definición de emprendimientos y empresas de mujeres se reglamentará por el gobierno nacional», en tanto que el inciso cuarto del artículo 12 de la Ley 1150 de 2007, modificado por el artículo 34 de la Ley 2069 de 2020, indica que en los pliegos de condiciones las entidades estatales deben prever mecanismos que garanticen la provisión de bienes y servicios por parte de sujetos de especial protección constitucional «[…] en las condiciones que señale el reglamento».

Lo mismo no sucede con el artículo 35. En efecto, si bien los factores de desempate regulados en el artículo 35 deben aplicarse «[…] de forma sucesiva y excluyente para seleccionar al oferente favorecido, respetando en todo caso los compromisos internacionales vigentes» –según lo dispone el inciso primero–, el parágrafo tercero del mencionado artículo establece que «El Gobierno Nacional podrá reglamentar la aplicación de factores de desempate en casos en que concurran dos o más de los factores aquí previstos». En otras palabras, dicho parágrafo le asigna potestad reglamentaria al gobierno nacional para definir factores que permitan desempatar las ofertas en aquellos casos en que varios oferentes reúnan al tiempo dos o más de los factores previstos en el artículo 35.

A continuación, el artículo citado establece los factores de desempate que se deben seguir de manera sucesiva, sin indicar tampoco en cada numeral que su eficacia dependa de lo que determine el reglamento. La única alusión que se hace al reglamento se encuentra en el parágrafo tercero del artículo que se viene comentando, no para condicionar la aplicación de todo lo dispuesto en aquel, sino para indicar que «El Gobierno Nacional podrá reglamentar la aplicación de factores de desempate en casos en que concurran dos o más de los factores aquí previstos» (Énfasis fuera de texto).

Como se observa se trata de una competencia que, en concordancia con el artículo 189.11 superior, el gobierno nacional puede ejercer discrecionalmente para la ejecución de las leyes. Por tanto, sin perjuicio de que el Gobierno Nacional ejerza la potestad reglamentaria para regular los casos en que concurren dos o más de los factores de desempate, no es necesaria la existencia del reglamento como presupuesto necesario para aplicar el artículo 35 de la Ley 2069 de 2020. De este modo, se concluye que los factores de desempate del artículo citado son exigibles desde la fecha de su promulgación, es decir, deben tenerse en cuenta en los procesos de selección que se inicien después del 31 de diciembre de 2020.

Dentro de los doce factores de desempate implementados por el artículo 35 de la Ley 2069 de 2020, existen algunos supuestos de hecho que podrían implicar el tratamiento de datos sensibles por parte de la entidad estatal. La consulta califica como tales la información relacionada con «[…] la mujer cabeza de familia, mujeres víctimas de la violencia intrafamiliar, personas en proceso de reintegración o reincorporación, […] población indígena, negra, afrocolombiana, raizal, palanquera, Rrom o gitanas personas mayores que no sean beneficiarios de la pensión de vejez, familiar o de sobrevivencia, [personas] en condición de discapacidad» (Corchetes fuera de texto). Al respecto, los factores señalados en los numerales 2, 3, 4, 5, 6 y 7 de dicho artículo indican lo siguiente:

[…]

2. Preferir la propuesta de la mujer cabeza de familia, mujeres víctimas de la violencia intrafamiliar o de la persona jurídica en la cual participe o participen mayoritariamente; o, la de un proponente plural constituido por mujeres cabeza de familia, mujeres víctimas de violencia intrafamiliar y/o personas jurídicas en las cuales participe o participen mayoritariamente.

3. Preferir la propuesta presentada por el oferente que acredite en las condiciones establecidas en la ley que por lo menos el diez por ciento (10%) de su nómina está en condición de discapacidad a la que se refiere la Ley 361 de 1997. Si la oferta es presentada por un proponente plural, el integrante del oferente que acredite que el diez por ciento (10%) de su nómina está en condición de discapacidad en los términos del presente numeral, debe tener una participación de por lo menos el veinticinco por ciento (25%) en el consorcio, unión temporal o promesa de sociedad futura y aportar mínimo el veinticinco por ciento (25%) de la experiencia acreditada en la oferta.  

4. Preferir la propuesta presentada por el oferente que acredite la vinculación en mayor proporción de personas mayores que no sean beneficiarios de la pensión de vejez, familiar o de sobrevivencia y que hayan cumplido el requisito de edad de pensión establecido en la Ley.

5. Preferir la propuesta presentada por el oferente que acredite, en las condiciones establecidas en la ley, que por lo menos diez por ciento (10%) de su nómina pertenece a población indígena, negra, afrocolombiana, raizal, palanquera, Rrom o gitanas.

6. Preferir la propuesta de personas en proceso de reintegración o reincorporación o de la persona jurídica en la cual participe o participen mayoritariamente; o, la de un proponente plural constituido por personas en proceso de reincorporación, y/o personas jurídicas en las cuales participe o participen mayoritariamente

[…]

Como se advierte, estos numerales no establecen un medio específico para acreditar las circunstancias a las que se refieren. Por lo tanto, corresponde a la entidad contratante analizar si el ordenamiento jurídico, en otras disposiciones legales o reglamentarias, exige un documento especial o si, por el contrario, hay libertad probatoria. Este análisis debe realizarse de manera independiente frente a cada numeral. En caso de que no exista «tarifa legal», es decir, en el evento en que la ley o el reglamento no definan un medio probatorio para acreditar la circunstancia correspondiente, la entidad estatal contratante tiene discrecionalidad para establecer en el pliego de condiciones o en el documento equivalente de qué manera el proponente podrá probar que se halla bajo la condición que permite aplicar la regla de desempate. Por supuesto, el decreto reglamentario que expida el gobierno nacional para garantizar la cumplida ejecución de la Ley 2069 de 2020 podría establecer los medios de prueba, así como las autoridades encargadas de certificar las circunstancias del artículo 35. Sin embargo, mientras ello no suceda, deberá aplicarse el criterio indicado con anterioridad.

Así, en relación con el numeral 2 del artículo 35, como lo ha indicado la Corte Constitucional, «[…] la condición de padre o madre cabeza de familia se acredita cuando la persona (i) tiene la responsabilidad permanente de hijos menores o personas incapacitadas para trabajar, (ii) no cuenta con la ayuda de otros miembros de la familia y (iii) su pareja murió, está ausente de manera permanente o abandonó el hogar y se demuestra que esta se sustrae del cumplimiento de sus obligaciones, o cuando su pareja se encuentre presente pero no asuma la responsabilidad que le corresponde por motivos como la incapacidad física, sensorial, síquica o mental»^[9]. El proponente también podrá acreditar que la oferta ha sido presentada por mujeres víctimas de la violencia intrafamiliar, situación que, como también ha precisado la Corte Constitucional, se define como «[…] aquella que se propicia por el daño físico, emocional, sexual, psicológico o económico que se causa entre los miembros de la familia y al interior de la unidad doméstica. Esta se puede dar por acción u omisión de cualquier miembro de la familia»^[10].

El parágrafo del artículo 2 de la Ley 82 de 1993 –«Por la cual se expiden normas para apoyar de manera especial a la mujer cabeza de familia»– establece que «La condición de Mujer Cabeza de Familia y la cesación de la misma, desde el momento en que ocurra el respectivo evento, deberá ser declarada ante notario por cada una de ellas, expresando las circunstancias básicas del respectivo caso y sin que por este concepto se causen emolumentos notariales a su cargo». Por lo tanto, a menos que una norma posterior disponga lo contrario, tal declaración basta para acreditar la condición de mujer cabeza de familia^[11].

Por su parte, el artículo 21 de la Ley 1257 de 2008, por la cual se dictan normas de sensibilización, prevención y sanción de formas de violencia y discriminación contra las mujeres, se reforman los Códigos Penal, de Procedimiento Penal, la Ley 294 de 1996 y se dictan otras disposiciones, dispone que «Las situaciones de violencia que dan lugar a la atención de las mujeres, sus hijos e hijas, se acreditarán con la medida de protección expedida por la autoridad competente, sin que puedan exigirse requisitos adicionales». De acuerdo con los artículos 16 y 17 de la Ley 1257 de 2008, la medida de protección la debe impartir el comisario de familia del lugar donde ocurrieron los hechos y a falta de este el juez civil municipal o promiscuo municipal, o la autoridad indígena –en los casos de violencia intrafamiliar en las comunidades indígenas–. La medida de protección se debe emitir en una providencia motivada. Por lo tanto, este documento permite acreditar la situación de mujer víctima de violencia intrafamiliar. Las autoridades competentes mencionadas con anterioridad deben «[…] remitir todos los casos de violencia intrafamiliar a la Fiscalía General de la Nación para efectos de la investigación del delito de violencia intrafamiliar y posibles delitos conexos», según lo determina el parágrafo 3 del artículo 17 de la referida Ley. En consecuencia, no basta la copia de la denuncia en la Fiscalía para acreditar que se es víctima de violencia intrafamiliar, pues se requiere la providencia que establezca la medida de protección procedente.

En cuanto al numeral 3, es pertinente recordar lo dispuesto en los artículos 2.2.1.2.4.2.6 y 2.2.1.2.4.2.7 del Decreto 1082 de 2015, en el que se regulan los requisitos y medios de acreditación requeridos para acceder al puntaje adicional para los proponentes que acrediten determinado número de trabajadores en sus plantas de personal. Para acceder a dicho puntaje los proponentes deben acreditar su conformación la conformación de su planta de personal mediante una certificación suscrita por el representante legal y/o revisor fiscal en el que conste la conformación de la plata de personal y una certificación en la expedida por el Ministerio del Trabajo en el conste la cantidad de trabajadores con discapacidad vinculados. Tales documentos, si bien no están concebidos para aplicar el factor de desempate del numeral 3, podrían servir para acreditar el supuesto de hecho que se contempla en éste, al permitir analizar y verificar el porcentaje de la planta de personal que corresponda a trabajadores con discapacidad. En caso de proponentes plurales dicha verificación además deberá observar el documento de conformación del consorcio o la unión temporal en el que consten los porcentajes de participación.

En relación con lo previsto en el numeral 4 del artículo en comento, cuando el legislador alude al concepto de «personas mayores» que no sean beneficiarias de la pensión de vejez, familiar o de sobrevivencia y que hayan cumplido la edad para obtenerla, una posible interpretación es entender que la norma se refiere al «adulto mayor». Este concepto lo define el artículo 3 de la Ley 1251 de 2008 –«Por la cual se dictan normas tendientes a procurar la protección, promoción y defensa de los derechos de los adultos mayores»– como «[…] aquella persona que cuenta con sesenta (60) años de edad o más», lo cual se puede acreditar con el documento de identidad correspondiente. Sin embargo, existe de la posibilidad de entender que esta causal aplica a todas las personas que, en el rango de edad correspondiente a cada género, no han alcanzado la pensión, lo cual también se podrá acreditar en la forma explicada.

En lo que respecta al numeral 5, es decir, a la pertenencia a la «[…] población indígena, negra, afrocolombiana, raizal, palanquera, Rrom o gitanas», es importante hacer algunas precisiones frente a cada grupo poblacional. El artículo 1 del Convenio No. 169 de la OIT –«Sobre pueblos indígenas y tribales en países independientes»–, aplicable en el ordenamiento jurídico colombiano, caracteriza la «población indígena» como aquella que desciende de grupos que «[…] habitaban en el país o en una región geográfica a la que pertenece el país en la época de la conquista o la colonización o del establecimiento de las actuales fronteras estatales y que, cualquiera que sea su situación jurídica, conserven todas sus propias instituciones sociales, económicas, culturales y políticas, o parte de ellas»^[12].

Por su parte, el artículo 2, numeral 5, de la Ley 70 de 1993 dispone que «comunidad negra» «Es el conjunto de familias de ascendencia afrocolombiana que poseen una cultura propia, comparten una historia y tienen sus propias tradiciones y costumbre dentro de la relación compo-poblado, que revelan y conservan conciencia de identidad que las distinguen de otros grupos étnicos». De otro lado, «La población afrocolombiana está compuesta por hombres y mujeres con una marcada ascendencia (lingüística, étnica y cultural) africana. Los y las afrocolombianos (as) son algunos de los descendientes de africanos y africanas –provenientes de diversas regiones y etnias de África– que llegaron al continente americano en calidad de esclavos»^[13].

La «población raizal», «Es la población nativa de las Islas de San Andrés, Providencia Y Santa Catalina descendientes de la unión entre europeos (principalmente ingleses, españoles y holandeses) y esclavos africanos. Se distinguen por su cultura, lengua (creole), creencias religiosas (iglesia bautista) y pasado histórico similar a los pueblos antillanos como Jamaica y Haití»^[14]. La «población palenquera» «[…] está conformada por los descendientes de los esclavizados que mediante actos de resistencia y de libertad, se refugiaron en los territorios de la Costa Norte de Colombia desde el Siglo XV denominados palenques. Existen 4 Palenques reconocidos: San Basilio de Palenque (Mahates – Bolívar), San José de Uré (Córdoba), Jacobo Pérez Escobar (Magdalena) y La Libertad (Sucre)»^[15].

En cuanto al Pueblo «Rrom» o «gitano» conviene indicar que, de acuerdo con el artículo 6 del Decreto 2957 del 6 de agosto de 2010, «El Estado colombiano reconoce a los Rom o Gitanos como un grupo étnico con una identidad cultural propia, que mantiene una conciencia étnica particular, que posee su propia forma de organización social, posee su propia lengua y que ha definido históricamente sus propias instituciones políticas y sociales»^[16]. Lo importante es que la competencia para la caracterización y registro de cualquiera de los grupos poblacionales anteriormente mencionados reside en el Ministerio del Interior, el Ministerio de Cultura y el Departamento Nacional de Estadística –DANE–, por lo cual se sugiere complementar esta información con dichas entidades.

Frente al numeral 6 del artículo 35 de la Ley 2069 de 2020, que se refiere a las propuestas de «personas en proceso de reintegración o reincorporación», vale señalar que se trata de aquellas personas que hayan pertenecido a grupos al margen de la ley y que se encuentren en proceso de reintegración a la sociedad. La Agencia para la Reincorporación y la Normalización –ARN–, es la «[…] entidad adscrita a la Presidencia de la República, que está encargada de coordinar, asesorar y ejecutar –con otras entidades públicas y privadas– la Ruta de Reintegración de las personas desmovilizadas de los grupos armados al margen de la ley»^[17]. Por tanto, ante ella se puede obtener información sobre la acreditación de dicha circunstancia.

Ahora bien, independientemente cual sea el resultado del análisis realizado por la entidad en torno a los medios de acreditación de los mencionados factores, esta se encuentra llamada a ejercer los deberes que le corresponden como responsable del tratamiento de los datos personales que los proponentes suministren con el propósito de optar a los factores de desempate. Como se mencionó ut supra, la entidad debe asegurarse de obtener la autorización previa e informada para el tratamiento por parte del titular, conforme a los artículos 9 y 17 de la Ley 1581 de 2012. Esto especialmente tratándose de los criterios de desempate relacionados con mujeres víctimas de la violencia; población indígena, negra, afrocolombiana, raizal, palanquera, Rrom o gitanas; y personas en proceso de reintegración o reincorporación, supuestos que se enmarcan claramente en la definición del artículo 5 de la Ley 1581 de 2012.

En ese orden, considerando que la acreditación de algunos factores de desempate podría implicar el suministro de datos sensibles, resulta indispensable que las entidades obtengan autorización de los titulares con relación a los mismos. Esta autorización, de conformidad con el artículo 6 del Decreto 1377 de 2013, implica: i) informar al titular que por tratarse de datos sensibles no está obligado a autorizar su tratamiento; y ii) informar de manera explícita, previa, además de los requisitos generales de la autorización para la recolección de cualquier dato personal, cuáles de los datos a suministrarse son sensibles, así como la finalidad del tratamiento, que en este caso será la aplicación de los mencionados factores de desempate.

El inciso final del artículo 6 del Decreto 1377 de 2013, compilado en el artículo 2.2.2.25.2.3 del Decreto 1074 de 2015, al reglamentar la autorización para el tratamiento de datos sensibles, señala que: «Ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles». De esta manera, el suministro de información sensible para la acreditación de los factores de desempate no constituye un condicionamiento para el ejercicio de la actividad económica del proponente, no es un requisito para que presentación de la oferta ni constituye una causal de rechazo. No obstante, es necesario aclarar que la aplicación del artículo 35 de la Ley 2069 de 2020 supone la acreditación de alguna de las causales, lo cual no puede entenderse como un condicionamiento en los términos de la norma citada, ya que ello no es otra cosa que la aplicación de la ley.

Sin perjuicio de lo anterior, tratándose datos sensibles, la entidad no puede divulgarlos por las razones expuestas en el numeral 2.3 del presente concepto. En ese sentido, al cumplir con el deber de publicidad en el SECOP conforme a los artículos 3, literal c), de la Ley 1150 de 2007 y 2.2.1.1.1.7.1 del Decreto 1082 de 2015, la entidad debe abstenerse de publicar los documentos que contengan datos sensibles relacionados con la acreditación de los factores de desempate, y debe tomar las medidas necesarias para que la publicación de los Documentos del Proceso no conduzca la divulgación de estos.

1. Respuestas

«[…] solícito se indique como se puede dar tratamiento a los procesos de contratación que se encuentren cubiertos por la ley 2069 de 2020 articulo 35. Factores de desempate donde se indica que se debe preferir la propuesta de la mujer cabeza de familia, mujeres víctimas de la violencia intrafamiliar, personas en proceso de reintegración o reincorporación, su nómina pertenece a población indígena, negra, afrocolombiana, raizal, palanquera, Rrom o gitanas personas mayores que no sean beneficiarios de la pensión de vejez, familiar o de sobrevivencia, nómina está en condición de discapacidad. Según este enlace la aplicación de la ley 2069 del 2020 http://www.contratacionenlinea.co/index.php?section=773&module=navigationmodule debe solicitar un extrajuicio que valide y confirme que si aplica a las reglas de desempate. Teniendo en cuenta que estos son datos sensibles y que ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles, de que manera puede soportarse o dar fé que el oferente cumple con el requisito sin tener que solicitar estos documentos por plataformas WEB como SECOP y que pueden llegar a vulnerar los derechos de los titulares».

Conforme a lo expuesto, el artículo 35 de la Ley 2069 de 2020 no establece un medio específico para acreditar las circunstancias a las que se refiere cada causal. Por lo tanto, corresponde a la entidad contratante analizar si el ordenamiento jurídico, en otras disposiciones legales o reglamentarias, exige un documento especial o si, por el contrario, hay libertad probatoria. Este análisis debe realizarse de manera independiente frente a cada numeral.

En caso de que no exista «tarifa legal», es decir, en el evento en que la ley o el reglamento no definan un medio probatorio para acreditar la circunstancia correspondiente, la entidad estatal contratante tiene discrecionalidad para establecer en el pliego de condiciones o en el documento equivalente de qué manera el proponente podrá probar que se halla en la condición que permite aplicar la regla de desempate. Por supuesto, el decreto reglamentario que expida el gobierno nacional para garantizar la cumplida ejecución de la Ley 2069 de 2020 podría establecer los medios de prueba, así como las autoridades encargadas de certificar las circunstancias del artículo 35. Sin embargo, mientras ello no suceda, deberá aplicarse el criterio indicado con anterioridad.

Considerando que la acreditación de algunos supuestos de hecho del artículo 35 podría implicar el suministro de datos sensibles, la entidad debe obtener la correspondiente autorización previa e informada de los titulares conforme con los artículos 2.2.2.25.2.2 y 2.2.2.25.2.3 del Decreto 1074 de 2015. De esta autorización debe quedar constancia para consulta posterior tanto por el titular como por los demás encargados del tratamiento de los datos personales. Esto especialmente tratándose de los criterios de desempate relacionados con mujeres víctimas de la violencia; población indígena, negra, afrocolombiana, raizal, palanquera, Rrom o gitanas; y personas en proceso de reintegración o reincorporación, supuestos que se enmarcan claramente en la definición del artículo 5 de la Ley 1581 de 2012.

Sin perjuicio de lo anterior, la entidad no puede divulgar información sensible. En ese sentido, al cumplir con el deber de publicidad en el SECOP conforme a los artículos 3, literal c), de la Ley 1150 de 2007 y 2.2.1.1.1.7.1 del Decreto 1082 de 2015, la entidad debe abstenerse de publicar los documentos que contengan datos sensibles relacionados con la acreditación de los factores de desempate del artículo 35 de la Ley 2069 de 2020, y debe tomar las medidas necesarias para que la publicación de los Documentos del Proceso no conduzca la divulgación de estos.

Este concepto tiene el alcance previsto en el artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo.

Atentamente,

1. Sentencia C-748 de 2011, Magistrado Ponente: Jorge Ignacio Pretelt Chaljub. ↑

2. Ibíd. ↑

3. Según esta norma: «El Titular de los datos personales tendrá los siguientes derechos:

   »a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado;

   »b) Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la presente ley;

   »c) Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales;

   »d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen;

   »e) <Literal CONDICIONALMENTE exequible> Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución;

   »f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento». ↑

4. «Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada.

   »La presente ley aplicará al tratamiento de datos personales efectuado en territorio colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales.

   »El régimen de protección de datos personales que se establece en la presente ley no será de aplicación:

   »a) A las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico.

   »Cuando estas bases de datos o archivos vayan a ser suministrados a terceros se deberá, de manera previa, informar al Titular y solicitar su autorización. En este caso los Responsables y Encargados de las bases de datos y archivos quedarán sujetos a las disposiciones contenidas en la presente ley;

   »b) A las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo;

   »c) A las Bases de datos que tengan como fin y contengan información de inteligencia y contrainteligencia;

   »d) A las bases de datos y archivos de información periodística y otros contenidos editoriales;

   »e) A las bases de datos y archivos regulados por la Ley 1266 de 2008;

   »f) A las bases de datos y archivos regulados por la Ley 79 de 1993.

   »PARÁGRAFO. Los principios sobre protección de datos serán aplicables a todas las bases de datos, incluidas las exceptuadas en el presente artículo, con los límites dispuestos en la presente ley y sin reñir con los datos que tienen características de estar amparados por la reserva legal. En el evento que la normatividad especial que regule las bases de datos exceptuadas prevea principios que tengan en consideración la naturaleza especial de datos, los mismos aplicarán de manera concurrente a los previstos en la presente ley». ↑

5. Disponible en: https://www.colombiacompra.gov.co/sites/cce_public/files/cce_documentos/cce-sig-idi-01_politica_de_tratamiento_de_datos_personales.pdf ↑

6. En efecto, el artículo 10 de la Ley 1581 de 2012 establece las siguientes excepciones, entre las cuales no se encuentra la actividad contractual del Estado: «La autorización del Titular no será necesaria cuando se trate de:

   »a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;

   »b) Datos de naturaleza pública;

   »c) Casos de urgencia médica o sanitaria;

   »d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos;

   »e) Datos relacionados con el Registro Civil de las Personas.

   »Quien acceda a los datos personales sin que medie autorización previa deberá en todo caso cumplir con las disposiciones contenidas en la presente ley». ↑

7. Según el artículo 2.2.2.25.2.2. de este Decreto, «El Responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados, así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento.

   Los datos personales que se encuentren en fuentes de acceso público, con independencia del medio por el cual se tenga acceso, entendiéndose por tales aquellos datos o bases de datos que se encuentren a disposición del público, pueden ser tratados por cualquier persona siempre y cuando, por su naturaleza, sean datos públicos.

   En caso de haber cambios sustanciales en el contenido de las políticas del Tratamiento a que se refiere a la sección 3 de este capítulo, referidos a la identificación del Responsable y a la finalidad del Tratamiento de los datos personales, los cuales puedan afectar el contenido de la autorización, el Responsable del Tratamiento debe comunicar estos cambios al Titular antes de o a más tardar al momento de implementar las nuevas políticas. Además, deberá obtener del Titular una nueva autorización cuando el cambio se refiera a la finalidad del Tratamiento». ↑

8. Ley 1581 de 2012, artículo 6, literal a). ↑

9. Sentencia T-003 de 2018. Magistrada Ponente: Cristina Pardo Schlesinger. ↑

10. Sentencia T-967 de 2014. Magistrada Ponente: Gloria Stella Ortiz Delgado. ↑

11. Así lo admitió el Departamento Administrativo de la Función Pública en Concepto con radicado No. 20206000017881, del 22 de enero de 2020. Disponible en: https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=115437 ↑

12. Disponible en: https://www.urosario.edu.co/jurisprudencia/catedra-viva-intercultural/Documentos/CONVENIO-OIT-169.pdf ↑

13. Ministerio de Cultura. Afrocolombianos, población con huellas de africanía. Disponible en: https://mincultura.gov.co/areas/poblaciones/comunidades-negras-afrocolombianas-raizales-y-palenqueras/Documents/Caracterizaci%C3%B3n%20comunidades%20negras%20y%20afrocolombianas.pdf ↑

14. Comunidades negras, afrocolombianas, raizales y palenqueras. Disponible en: https://www.unidadvictimas.gov.co/es/comunidades-negras-afrocolombianas-raizales-y-palenqueras/277 ↑

15. Ibíd. ↑

16. Según el numeral 3 del artículo 4 del Decreto 2957 de 2010, «Para los Rom, el acto físico de ir de un lugar a otro es apenas un aspecto de su identidad cultural y de su estilo de vida. Dado que el nomadismo significa ante todo una manera de ver el mundo, una actitud particular respecto a la vivienda, al trabajo y a la vida en general, el nomadismo sustenta y da vida a una cosmovisión particular y radicalmente diferente a la que ostentan los pueblos sedentarios. El grupo étnico Rom o Gitano continúa siendo nómada aun cuando no esté realizando desplazamientos permanentemente por cuanto el nomadismo, además, es un estado que hace parte de su espiritualidad e imaginario colectivo». ↑

17. ↑