El concepto C-230 de 2023 desarrolla el derecho fundamental al habeas data, consagrado en el artículo 15 de la Constitución. Explica que los datos deben ser veraces y que el titular puede conocerlos, actualizarlos y solicitar su rectificación, en línea con la garantía de la “autodeterminación informativa”. Además, señala que, con fundamento en la Ley 1581 de 2012, las entidades estatales deben proteger los datos personales en los procedimientos de selección para escoger contratistas, sin importar el régimen jurídico aplicable. También precisa que el tratamiento requiere autorización previa, expresa e informada del titular (principio de libertad) y que debe existir una constancia para probar el consentimiento.
Expediente: C-230 de 2023 – Fecha: 28-06-2023 – Número Interno: C-230 del 2023 – Demandado: – Actor: Brayan Yesid Chingate Rojas – Radicado de entrada: P20230518011406 – Radicado de salida: RS20230629006746 – Restrictor: – Descriptor: HABEAS,DATATRATAMIENTO DE DATOS PERSONALES – Mes: Junio – Año: 2023
Texto del concepto
HABEAS DATA – Derecho fundamental – Consagración constitucional
El artículo 15 de la Constitución Política consagra el derecho fundamental al habeas data, […].
[…], tal derecho consiste en el deber de los particulares y de las autoridades de respetar la intimidad y el buen nombre de las personas, así como en la posibilidad de conocer, actualizar y solicitar la rectificación de los datos almacenados en archivos o bases de datos públicas o privadas. Esto supone que los datos personales deben ser veraces y además deben estar disponibles para que su titular tenga la oportunidad de revisarlos y, si es del caso, pedir las aclaraciones o correcciones a que haya lugar.
En palabras de la Corte Constitucional, el derecho fundamental al habeas data ha cobrado una importancia creciente en el contexto de la sociedad de la información, ya que en tal escenario la circulación acelerada y automática de los datos hace que se generen riesgos de utilización abusiva de los mismos, afectando la intimidad y el buen nombre de las personas. De allí que a nivel internacional se haya desarrollado la garantía de la «autodeterminación informativa», derivada del libre desarrollo de la personalidad, entendida como el derecho del titular de los datos de acceder a ellos para revisarlos y solicitar las rectificaciones que considere necesarias.
TRATAMIENTO DE DATOS PERSONALES – Ley 1581 de 2012 – Protección – Contratación estatal
Con fundamento en el artículo 2 de la Ley 1581 de 2012, puede afirmarse que el habeas data es un derecho fundamental que también debe garantizarse en los procedimientos de selección adelantados por las entidades estatales para la escogencia de sus contratistas. Ello con prescindencia del régimen jurídico aplicable a la contratación estatal. Es decir, tanto las entidades que se rigen por el Estatuto General de Contratación de la Administración Pública –las mencionadas en el artículo 2 de la Ley 80 de 1993–, como las exceptuadas de aquel, deben proteger los datos personales en los trámites contractuales que adelanten. A tal conclusión se llega, ya que el mencionado artículo indica que «Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada» y no contempla dentro de las excepciones previstas en la norma los procedimientos contractuales de selección.
Las entidades estatales, en su actividad contractual, deben proteger la información personal registrada en sus bases de datos. El artículo 3, literal b) de la Ley 1581 de 2012, define «base de datos» como el «Conjunto organizado de datos personales que sea objeto de Tratamiento». Por su parte, el literal c) del mismo artículo dice que un «dato personal» es «Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables» y el literal g) señala que «tratamiento» es «Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión».
AUTORIZACIÓN – Tratamiento de datos personales – Titular
Para el tratamiento de los datos personales, debe garantizarse el «principio de libertad». Este postulado implica, según el artículo 4, literal c), de la Ley 1581 de 2012, que: «El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento». Así también lo ratifica el artículo 2.2.2.25.2.1. del Decreto 1074 de 2015 –por el cual se reglamenta parcialmente la referida Ley–, […].
De este modo, para poder efectuar el tratamiento de datos personales se debe contar con la autorización del titular. Esta autorización, como lo indica el artículo 3, literal a) de la Ley 1581 de 2012, consiste en el «Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales». Se trata de un deber que constituye la regla general en el tratamiento de los datos personales, pues solo puede prescindirse de aquel cuando la ley expresamente lo indique. Así se infiere del artículo 9 de la Ley en comento, cuando señala que «Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior». Obsérvese que no solo consagra la necesidad de la autorización previa como regla general, sino que además exige contar con una constancia que permita probar en el futuro que al responsable o encargado del tratamiento ha obtenido el consentimiento del titular.
AUTORIZACIÓN – Tratamiento de datos personales – Datos sensibles – Contratación estatal
Los procedimientos de selección contractual del Estado no se encuentran dentro de las excepciones al deber de obtener la autorización del titular para el tratamiento de los datos personales. Por lo tanto, las entidades estatales deben cerciorarse de que exista la constancia a la que se refiere el artículo 9 de la Ley 1581 de 2012, como responsables que son –junto a los oferentes y contratistas que recolectan información de personas naturales– del tratamiento de los datos personales en sus procedimientos de selección, a fin de evitar una vulneración al derecho fundamental de habeas data de las personas cuyos datos son objeto de tratamiento. Así se deduce adicionalmente del artículo 17, literal b), de la precitada Ley, que establece como deber de los responsables de tratamiento, «Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular».
[…]
Con arreglo a las consideraciones anteriores, puede concluirse que los datos personales, incluidos los datos sensibles, contenidos en las ofertas dentro de los procesos de selección contractual, deben respetar las normas sobre tratamiento de datos contenidas en la Ley 1581 de 2012, en el Decreto 1074 de 2015 y en las que los modifiquen o complementen. Dentro de dichas disposiciones se encuentra el deber de los responsables y encargados del tratamiento de dichos datos de obtener la autorización por parte del titular. Tal consentimiento debe ser expreso. Además, debe quedar constancia de él, para ser consultada con posterioridad. Los particulares que participan en la actividad contractual del Estado, presentando ofertas o en calidad de contratistas, son responsables del tratamiento de los datos personales y son los primeros obligados a contar con la autorización previa del titular de los datos, para poder hacer uso de documentos como hojas de vida, certificados o, en general, de datos personales. Las entidades estatales interesadas en contratar bienes o servicios son también responsables y deben cerciorarse de que exista la constancia de la autorización de las personas naturales titulares de los datos, tal como lo indicó la Agencia Nacional de Contratación Pública –Colombia Compra Eficiente en su «Política de tratamiento y protección de datos personales».
Bogotá D.C., 28 de junio del 2023
Señor
Brayan Yesid Chingate Rojas
Acacias, Meta
Concepto C-230 del 2023
Temas: | HABEAS DATA – Derecho fundamental – Consagración constitucional / TRATAMIENTO DE DATOS PERSONALES – Ley 1581 de 2012 – Protección – Contratación estatal / AUTORIZACIÓN – Tratamiento de datos personales – Titular / AUTORIZACIÓN – Tratamiento de datos personales – Datos sensibles – Contratación estatal |
Radicación: | Respuesta a consulta P20230518011406 |
Estimado señor Chingate Rojas:
En ejercicio de la competencia otorgada por el numeral 8° del artículo 11 y el numeral 5° del artículo 3 del Decreto Ley 4170 de 2011, la Agencia Nacional de Contratación Pública ― Colombia Compra Eficiente responde su consulta del 11 de mayo del 2023, remitida por el Departamento Administrativo de la Función Pública, el 17 de mayo del 2023.
- Problema planteado
Respecto a los contratos de prestación de servicios, usted realiza la siguiente consulta:
“1. ¿Puede un municipio entregar copia a un ciudadano que solicita copia de un contrato de prestación de servicios profesionales suscrito entre un profesional y una entidad territorial sin mediar autorización del presunto contratista?
2 La restricción contenida en la Ley de Habeas Data, La Ley 1437 del 2011, y la Ley 1755 del 2015 aplica para la situación anteriormente enunciada.
3 Debe mediar autorización del contratista para entregar la copia del contrato y demás documentos?
4 vulneraria la entidad territorial la Ley de Habeas Data y reserva de los documentos al entregar la información sensible del contrato de prestación de servicios sin previa autorización del contratista?5 Al ser el peticionario un veedor puede acceder a cualquier información?”
- Consideraciones
En ejercicio de las competencias establecidas en los artículos 3, numeral 5° y 11, numeral 8° del Decreto Ley 4170 de 2011, la Agencia Nacional de Contratación Pública – Colombia Compra Eficiente resuelve las consultas sobre los asuntos de su competencia, esto es, sobre las temáticas de la contratación estatal y compras públicas relacionadas en los artículos citados. Es necesario tener en cuenta que esta Entidad solo tiene competencia para responder solicitudes sobre la aplicación de normas de carácter general en materia de compras y contratación pública. En ese sentido, resolver casos particulares desborda las atribuciones asignadas por el legislador extraordinario, que no concibió a Colombia Compra Eficiente como una autoridad para solucionar problemas jurídicos particulares de todos los partícipes de la contratación estatal.
La competencia de esta Entidad se fija con límites claros, con el objeto de evitar que la Agencia actúe como una instancia de validación de las actuaciones de las entidades sujetas a la Ley 80 de 1993 o de los demás participantes de la contratación pública[1]. Esta competencia de interpretación de normas generales, por definición, no puede extenderse a la resolución de controversias, ni a brindar asesorías sobre casos puntuales. Esto en la medida en que, para resolver una consulta de carácter particular, además de conocer un sinnúmero de detalles de la actuación administrativa, es necesario acceder al expediente y a los documentos contractuales de donde surge la inquietud. Por lo anterior, previo concepto de sus órganos asesores, la solución de estos temas corresponde a la Entidad que suscribió el contrato y, en caso de conflicto, a las autoridades judiciales, fiscales y disciplinarias.
Sin perjuicio de lo anterior, la Subdirección de Gestión Contractual –dentro de los límites de sus atribuciones, esto es, haciendo abstracción del caso particular expuesto por el peticionario– resolverá la consulta conforme a las normas generales en materia de contratación estatal. Con este objetivo se analizarán los siguientes temas: i) definición del derecho de habeas data o de protección de datos personales, ii) garantía del referido derecho en los procedimientos de selección contractual y iii) autorización para el tratamiento de los datos personales contenidos en las ofertas presentadas en los procedimientos de selección contractual, en especial de los datos sensibles.
La Agencia Nacional de Contratación Pública – Colombia Compra Eficiente –en adelante la ANCP-CCE– analizó el contenido del derecho a la protección de los datos personales en el marco del desarrollo de procesos de contratación en los conceptos C-672 del 11 de noviembre de 2020, C-803 del 1 de febrero de 2021, C-048 del 8 de marzo de 2021 y C-187 del 28 de abril del 2021[2]. Algunas de las consideraciones de estos conceptos se reiteran y se complementan en lo pertinente, teniendo en cuenta lo consultado.
2.1. Derecho fundamental al habeas data o a la protección de los datos personales
El artículo 15 de la Constitución Política de 1991 consagra el derecho que tienen todas las personas a su intimidad personal y al buen nombre, de forma que puedan conocer, actualizar y rectificar la información que se haya recogido sobre ellas en los diferentes bancos de datos y en los archivos de entidades públicas y privadas. Además, señala la obligación que tiene el Estado de hacer respetar dichos derechos. Esto supone la veracidad de los datos personales, lo cuales deben estar disponibles para que su titular tenga la oportunidad de revisarlos y, si es del caso, solicitar las aclaraciones o correcciones a que haya lugar. Por ello, la norma citada dispone que:
“Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.
En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.
La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley.
Para efectos tributarios o judiciales y para los casos de inspección, vigilancia e intervención del Estado podrá exigirse la presentación de libros de contabilidad y demás documentos privados, en los términos que señale la ley.”
El derecho fundamental al habeas data cobra una importancia creciente en el contexto de la sociedad de la información, debido a que la circulación acelerada y automática de los datos genera riesgos de utilización abusiva de los mismos, afectando la intimidad y el buen nombre de las personas[3]. Por ello, a nivel internacional se ha desarrollado la garantía de la “autodeterminación informativa”, derivada del libre desarrollo de la personalidad, entendida como el derecho del titular de los datos de acceder a ellos para revisarlos y solicitar las rectificaciones necesarias. Según la Corte Constitucional, el derecho fundamental al habeas data es un derecho de estructura compleja, ya que está integrado por una serie de principios orientados a la protección de los datos personales. Lo anterior, en los siguientes términos:
“De conformidad con la jurisprudencia de esta Corporación, dentro de las prerrogativas –contenidos mínimos- que se desprenden de este derecho encontramos por lo menos las siguientes: (i) el derecho de las personas a conocer –acceso- la información que sobre ellas está recogida en bases de datos, lo que conlleva el acceso a las bases de datos donde se encuentra dicha información; (ii) el derecho a incluir nuevos datos con el fin de se provea una imagen completa del titular; (iii) el derecho a actualizar la información, es decir, a poner al día el contenido de dichas bases de datos; (iv) el derecho a que la información contenida en bases de datos sea rectificada o corregida, de tal manera que concuerde con la realidad; (v) el derecho a excluir información de una base de datos, bien por que se está haciendo un uso indebido de ella, o por simple voluntad del titular –salvo las excepciones previstas en la normativa[4].”
Para una garantía más eficaz de este derecho, se expidió la Ley Estatutaria 1581 de 2012, “Por la cual se dictan disposiciones generales para la protección de datos personales”. De conformidad con el artículo 1, “La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones (sic) que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma”. El artículo 8 de la citada ley dispone el contenido del habeas data, indicando las prerrogativas del titular de los datos personales y reiterando los desarrollos jurisprudenciales en la materia[5]. De acuerdo con esta norma, el titular de los datos personales tiene derecho a conocerlos, actualizarlos, rectificarlos, a solicitar la prueba de la autorización para el tratamiento de los mismos, a ser informado sobre el destino o uso de tales datos, a formular quejas ante la Superintendencia de Industria y Comercio por el incumplimiento de la Ley 1581 de 2012 y de las normas complementarias, a revocar la autorización para el tratamiento de los datos o solicitar la supresión de estos y a acceder gratuitamente a aquellos.
El objetivo de la protección de los datos personales es que su titular tenga la posibilidad de ejercer el derecho de autodeterminación en relación con la recolección de su información, y que pueda controlar lo que pasará con estos cuando se encuentren en manos de los responsables y encargados de su tratamiento. Esta posibilidad de control implica tanto la autorización previa para el tratamiento de los datos como el acceso a los mismos, para revisarlos y, si es necesario, solicitar la rectificación correspondiente. A continuación, se analizará si, de acuerdo con la Ley 1581 de 2012 y a la jurisprudencia constitucional, el derecho fundamental al habeas data también debe garantizarse en los procedimientos contractuales, y, en caso afirmativo, cuál es el alcance de dicha protección.
2.2. Aplicación del derecho fundamental a la protección de los datos personales en los procedimientos contractuales
Con fundamento en el artículo 2 de la Ley 1581 de 2012[6], puede afirmarse que el habeas data es un derecho fundamental que también debe garantizarse en los procedimientos de selección adelantados por las Entidades Estatales para la escogencia de sus contratistas. Ello con prescindencia del régimen jurídico aplicable a la contratación estatal. Es decir, tanto las Entidades que se rigen por el Estatuto General de Contratación de la Administración Pública –las mencionadas en el artículo 2 de la Ley 80 de 1993–, como las exceptuadas de aquel, deben proteger los datos personales en los trámites contractuales que adelanten. A tal conclusión se llega, teniendo en cuenta que el mencionado artículo indica que “Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada” y no contempla dentro de las excepciones previstas en la norma los procedimientos contractuales de selección.
Las Entidades Estatales, en su actividad contractual, deben proteger la información personal registrada en sus bases de datos. El artículo 3, literal b) de la Ley 1581 de 2012, define “base de datos” como el “Conjunto organizado de datos personales que sea objeto de Tratamiento”. Por su parte, el literal c) del mismo artículo dice que un “dato personal” es “Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables” y el literal g) señala que “tratamiento” es “Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión”.
Por consiguiente, como lo indicó la Agencia Nacional de Contratación Pública – Colombia Compra Eficiente en su “Política de tratamiento y protección de datos personales”[7], “Las Entidades Públicas son las Responsables del Tratamiento de los Datos Personales asociada a sus procesos de contratación en el SECOP. La Agencia Nacional de Contratación Pública – Colombia Compra Eficiente, como administrador de los sistemas de información de la Compra Pública, cumple el rol de Encargado de Tratamiento definido en la Ley 1581 de 2012, donde se limita a publicar la información registrada por las Entidades Públicas y, por ende, no tiene poder de decisión para la eliminación o modificación de los Datos Personales”.
La definición del “responsable del tratamiento” se halla en el artículo 3, literal e) de la Ley 1581 de 2012, al precisar que es la “Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos”. En tal sentido, son responsables del tratamiento de los datos en los procesos de contratación tanto los oferentes –en los eventos en los cuales aportan con la oferta datos da personas naturales cuyos datos son objeto de tratamiento–, como las entidades estatales que reciben tales datos.
2.3. Autorización para el tratamiento de los datos personales contenidos en las ofertas presentadas en los procedimientos contractuales, en especial de los datos sensibles
Para el tratamiento de los datos personales, debe garantizarse el “principio de libertad”. Este postulado implica, según el artículo 4, literal c), de la Ley 1581 de 2012, que: “El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento”. Así también lo ratifica el artículo 2.2.2.25.2.1. del Decreto 1074 de 2015 –por el cual se reglamenta parcialmente la referida Ley–, al señalar respecto de la recolección de los datos personales lo siguiente:
“En desarrollo de los principios de finalidad y libertad, la recolección de datos deberá limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente. Salvo en los casos expresamente previstos en la ley, no se podrán recolectar datos personales sin autorización del Titular
A solicitud de la Superintendencia de Industria y Comercio, los Responsables deberán proveer una descripción de los procedimientos usados para la recolección, almacenamiento, uso, circulación y supresión de información, como también la descripción de las finalidades para las cuales la información es recolectada y una explicación sobre la necesidad de recolectar los datos en cada caso.
No se podrán utilizar medios engañosos o fraudulentos para recolectar y realizar Tratamiento de datos personales.”
De este modo, para poder efectuar el tratamiento de datos personales se debe contar con la autorización del titular. Esta autorización, tal como lo indica el artículo 3, literal a) de la Ley 1581 de 2012, consiste en el “Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales”. Se trata de un deber que constituye la regla general en el tratamiento de los datos personales, pues solo puede prescindirse de aquel cuando la ley expresamente lo indique. Así se infiere del artículo 9 de la Ley en comento, cuando señala que “Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior”. Obsérvese que no solo consagra la necesidad de la autorización previa como regla general, sino que además exige contar con una constancia que permita probar en el futuro que al responsable o encargado del tratamiento ha obtenido el consentimiento del titular.
Los procedimientos de selección del Estado no se encuentran dentro de las excepciones al deber de obtener la autorización del titular para el tratamiento de los datos personales[8]. Por lo tanto, las Entidades Estatales deben cerciorarse de que exista la constancia a la que se refiere el artículo 9 de la Ley 1581 de 2012, como responsables que son –junto a los oferentes y contratistas que recolectan información de personas naturales– del tratamiento de los datos personales en sus procedimientos de selección, a fin de evitar una vulneración al derecho fundamental de habeas data de las personas cuyos datos son objeto de tratamiento. Así se deduce adicionalmente del artículo 17, literal b), de la precitada Ley, que establece, como deber de los responsables de tratamiento, “Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular”.
La autorización para el tratamiento de datos personales se debe obtener cumpliendo los requisitos establecidos tanto en la Ley 1581 de 2012, como en el Decreto 1074 de 2015[9]. El artículo 2.2.2.25.2.4. de este reglamento establece que la autorización debe ser susceptible de consulta posterior, y que para ello se pueden adoptar medios técnicos que permitan al titular de los datos manifestar su consentimiento automático. En todo caso, indica que “Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (i) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca”.
Por otra parte, el artículo 5 de la Ley 1581 de 2012 define los “datos sensibles” de la siguiente manera:
“Para los propósitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.”
En principio, el tratamiento de dichos datos está prohibido, salvo que se reúnan las circunstancias establecidas en el artículo 6 de la Ley 1581 de 2012, una de las cuales es que “El Titular haya dado su autorización explícita a dicho Tratamiento […]”[10]. Para obtener dicha autorización debe observarse el procedimiento establecido en el artículo 2.2.2.25.2.3., a cuyo tenor:
“El Tratamiento de los datos sensibles a que se refiere el artículo 5 de la Ley 1581 de 2012 está prohibido, a excepción de los casos expresamente señalados en el artículo 6 de la citada ley.
En el Tratamiento de datos personales sensibles, cuando dicho Tratamiento sea posible conforme a lo establecido en el artículo 6 de la Ley 1581 de 2012, deberán cumplirse las siguientes obligaciones:
1. Informar al titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento.
2. Informar al titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento, así como obtener su consentimiento expreso.
Ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles.”
De lo anterior puede concluirse que los datos personales, incluidos los datos sensibles, contenidos en las ofertas dentro de los procesos de selección, deben respetar las normas sobre tratamiento de datos contenidas en la Ley 1581 de 2012, en el Decreto 1074 de 2015 y en las que los modifiquen o complementen. En dichas disposiciones se encuentra el deber de los responsables y encargados del tratamiento de dichos datos de obtener la autorización por parte del titular; consentimiento que debe ser expreso. Además, debe quedar constancia de él, para ser consultada con posterioridad. Los particulares que participan en la actividad contractual del Estado, presentando ofertas o en calidad de contratistas, son responsables del tratamiento de los datos personales y son los primeros obligados a contar con la autorización previa del titular de los datos, para poder hacer uso de documentos como hojas de vida, certificados o, en general, de datos personales. Las Entidades Estatales interesadas en contratar bienes o servicios son también responsables y deben cerciorarse de que exista la constancia de la autorización de las personas naturales titulares de los datos, tal como lo indicó la Agencia Nacional de Contratación Pública –Colombia Compra Eficiente en su “Política de tratamiento y protección de datos personales”.
Finalmente, conviene recordar que en el concepto C-672 del 11 de noviembre de 2020, esta Subdirección explicó que los datos sensibles constituyen límites al deber de divulgación proactiva de la información en la contratación estatal. En otras palabras, el cumplimiento del deber de publicación de la documentación contractual debe armonizarse con las normas aplicables al tipo de información que estas contienen. Lo anterior significa que, respecto de datos sensibles, información sometida a reserva o de la cual proceda un tratamiento especial que impida su publicidad, las Entidades deberán proceder de conformidad con el tratamiento que impongan tales normas, absteniéndose, de ser el caso, de publicar las ofertas, o las partes pertinentes en las que se evidencie este tipo de información. Para dichos eventos, la plataforma SECOP II, antes de publicar las ofertas, brinda a las Entidades la opción de calificar dicha información como confidencial, lo cual impide que los documentos se publiquen.
Dicho de otra forma, por más de que el artículo 74 de la Constitución establezca que la información pública debe ser dada a conocer a la ciudadanía y así los documentos que hagan parte de la actividad contractual puedan catalogarse, prima facie, como información pública, cuando dicha documentación contenga datos sensibles, operan algunas restricciones a su publicidad. Sin embargo, esto no necesariamente convierte el documento completo en reservado, es decir, en un documento que no puede publicarse.
El enunciado constitucional, en armonía con los artículos 18 y 19 de la Ley 1712 de 2014 y los artículos 24 y 25 de la Ley 1437 de 2011, establecen que el derecho de acceso a la información o documentación pública no es absoluto, sino que puede exceptuarse cuando se configuren causales de reserva. Así mismo, hay información que goza de protección especial y no puede divulgarse. La información pública que contiene datos semiprivados o privados, definidos en los literales g) y h) del artículo 3° de la Ley 1266 de 2008, clasificados o reservados, según los artículos 18 y 19 de la Ley 1712 de 2014, o datos personales o sensibles, según lo previsto en los artículos 3° y 5° de la Ley 1581 de 2012 y en el numeral 3° del artículo 3° del Decreto 1377 de 2013, solo podrá divulgarse según las reglas establecidas en dichas normas. Lo anterior no quiere decir que todo el documento se convierta en reservado, sino que se debe proceder como se indica a continuación.
Cuando el documento contractual tenga información sensible, clasificada o reservada, para proteger la información, las autoridades deben abstenerse de publicar en el SECOP la información que tiene protección especial, tal como sucede con los derechos de los menores, de conformidad con el artículo 7° de la Ley 1581 de 2012 y el artículo 2.1.1.4.1.2 del Decreto 1081 de 2015. Sin embargo, de acuerdo con el segundo inciso del artículo 25 de la Ley 1437 de 2011 “La restricción por reserva legal no se extenderá a otras piezas del respectivo expediente o actuación que no estén cubiertas por ella”. Por ello, la Entidad Estatal deberá excluir del documento entregado por el proponente en el procedimiento contractual la información que contenga datos sensibles, clasificados o reservados, para no divulgarla, pero debe publicar las demás piezas de la oferta o los apartados que no gozan de reserva o que no están protegidos por las disposiciones de habeas data.
- Respuesta
“1. ¿Puede un municipio entregar copia a un ciudadano que solicita copia de un contrato de prestación de servicios profesionales suscrito entre un profesional y una entidad territorial sin mediar autorización del presunto contratista?
2 La restricción contenida en la Ley de Habeas Data, La Ley 1437 del 2011, y la Ley 1755 del 2015 aplica para la situación anteriormente enunciada.
3 Debe mediar autorización del contratista para entregar la copia del contrato y demás documentos?
4 vulneraria la entidad territorial la Ley de Habeas Data y reserva de los documentos al entregar la información sensible del contrato de prestación de servicios sin previa autorización del contratista?
5 Al ser el peticionario un veedor puede acceder a cualquier información?”
Conforme a lo expuesto, la competencia de esta Entidad se fija con límites claros, con el objeto de evitar que la Agencia actúe como una instancia de validación de las actuaciones de las Entidades sujetas a la Ley 80 de 1993 o de los demás participantes de la contratación pública. Esta competencia de interpretación de normas generales, por definición, no puede extenderse a la resolución de controversias, ni a brindar asesorías sobre casos puntuales. En ese sentido, previo concepto de sus órganos asesores, la solución de estos temas corresponde a la Entidad que adelanta el procedimiento de selección y, en caso de conflicto, a las autoridades judiciales, fiscales y disciplinarias.
Teniendo en cuenta el objeto de la consulta, se encuentra que el habeas data es un derecho fundamental que debe garantizarse en los procedimientos adelantados por las Entidades Estatales, esto quiere decir, que tanto las Entidades que se rigen por el Estatuto General de Contratación de la Administración Pública –las mencionadas en el artículo 2 de la Ley 80 de 1993–, como las exceptuadas, deben proteger los datos personales en los trámites contractuales que se adelanten. En este sentido, a las Entidades Estatales, en su actividad contractual, les corresponde salvaguardar la información personal registrada en sus bases de datos, y garantizar el “principio de libertad”, postulado que se traduce en que los datos personales no podrán ser obtenidos o divulgados sin previa autorización o en su ausencia debe mediar mandato legal o judicial.
Sin perjuicio de lo anteriormente señalado, ha de precisarse que los documentos que hacen parte de la actividad contractual, definidos estos en el artículo 2.2.1.1.1.3.1. del Decreto 1082 de 2015, de la siguiente manera: “(a) los estudios y documentos previos; (b) el aviso de convocatoria; (c) los pliegos de condiciones o la invitación; (d) las adendas; (e) la oferta; (f) el informe de evaluación; (g) el contrato; y cualquier otro documento expedido por la Entidad Estatal durante el Proceso de Contratación”, son catalogados como información pública, la cual conforme a lo dispuesto en el artículo 74 de la Constitución, debe ser dada a conocer a la ciudadanía, a menos que la información contenga datos sensibles, información sometida a reserva o respecto de la cual proceda un tratamiento especial, evento en el cual operan algunas restricciones para su divulgación.
Así las cosas, se concluye que por regla general los procedimientos contractuales que adelantan las Entidades son de interés público y en razón a ello todos los documentos que hacen parte de esta actividad, entre estos los contratos, ameritan su conocimiento por parte de la ciudadanía, más aún cuando involucran la inversión de recursos públicos, no obstante, hay límites al deber de divulgación proactiva de la información en la contratación estatal, evento en el cual las Entidades deberán proceder de conformidad con el tratamiento a que haya lugar.
Este concepto tiene el alcance previsto en el artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo y las expresiones aquí utilizadas con mayúscula inicial deben ser entendidas con el significado que les otorga el artículo 2.2.1.1.1.3.1. del Decreto 1082 de 2015.
Atentamente,
La Agencia Nacional de Contratación Pública ‒ Colombia Compra Eficiente fue creada por el Decreto Ley 4170 de 2011. Su objetivo es servir como ente rector de la política de compras y contratación del Estado. Para tales fines, como órgano técnico especializado, le corresponde formular políticas públicas y normas y unificar los procesos de contratación estatal, con el fin de lograr una mayor eficiencia, transparencia y optimización de los recursos del Estado. El artículo 3 ibidem señala, de manera precisa, las funciones de Colombia Compra Eficiente. Concretamente, el numeral 5º de este artículo establece que le corresponde a esta entidad: “[a]bsolver consultas sobre la aplicación de normas de carácter general y expedir circulares externas en materia de compras y contratación pública”. Seguidamente, el numeral 8º del artículo 11 ibidem señala que es función de la Subdirección de Gestión Contractual: “[a]bsolver consultas sobre la aplicación de normas de carácter general” ↑
Estos conceptos pueden consultarse en la página web: https://relatoria.colombiacompra.gov.co/busqueda/conceptos#. ↑
Sentencia C-748 de 2011, Magistrado Ponente: Jorge Ignacio Pretelt Chaljub. ↑
Ibíd. ↑
Según esta norma: “El Titular de los datos personales tendrá los siguientes derechos:
“a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado;
“b) Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la presente ley;
“c) Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales;
“d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen;
“e) <Literal CONDICIONALMENTE exequible> Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución;
“f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento”. ↑
“Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada.
“La presente ley aplicará al tratamiento de datos personales efectuado en territorio colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales.
“El régimen de protección de datos personales que se establece en la presente ley no será de aplicación:
“a) A las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico.
“Cuando estas bases de datos o archivos vayan a ser suministrados a terceros se deberá, de manera previa, informar al Titular y solicitar su autorización. En este caso los Responsables y Encargados de las bases de datos y archivos quedarán sujetos a las disposiciones contenidas en la presente ley;
“b) A las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo;
“c) A las Bases de datos que tengan como fin y contengan información de inteligencia y contrainteligencia;
“d) A las bases de datos y archivos de información periodística y otros contenidos editoriales;
“e) A las bases de datos y archivos regulados por la Ley 1266 de 2008;
“f) A las bases de datos y archivos regulados por la Ley 79 de 1993.
“PARÁGRAFO. Los principios sobre protección de datos serán aplicables a todas las bases de datos, incluidas las exceptuadas en el presente artículo, con los límites dispuestos en la presente ley y sin reñir con los datos que tienen características de estar amparados por la reserva legal. En el evento que la normatividad especial que regule las bases de datos exceptuadas prevea principios que tengan en consideración la naturaleza especial de datos, los mismos aplicarán de manera concurrente a los previstos en la presente ley”. ↑
Disponible en: https://www.colombiacompra.gov.co/sites/cce_public/files/cce_documentos/cce-sig-idi-01_politica_de_tratamiento_de_datos_personales.pdf ↑
En efecto, el artículo 10 de la Ley 1581 de 2012 establece las siguientes excepciones, entre las cuales no se encuentra la actividad contractual del Estado: “La autorización del Titular no será necesaria cuando se trate de:
“a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;
“b) Datos de naturaleza pública;
“c) Casos de urgencia médica o sanitaria;
“d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos;
“e) Datos relacionados con el Registro Civil de las Personas.
“Quien acceda a los datos personales sin que medie autorización previa deberá en todo caso cumplir con las disposiciones contenidas en la presente ley”. ↑
Según el artículo 2.2.2.25.2.2. de este Decreto, “El Responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados, así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento.
Los datos personales que se encuentren en fuentes de acceso público, con independencia del medio por el cual se tenga acceso, entendiéndose por tales aquellos datos o bases de datos que se encuentren a disposición del público, pueden ser tratados por cualquier persona siempre y cuando, por su naturaleza, sean datos públicos.
En caso de haber cambios sustanciales en el contenido de las políticas del Tratamiento a que se refiere a la sección 3 de este capítulo, referidos a la identificación del Responsable y a la finalidad del Tratamiento de los datos personales, los cuales puedan afectar el contenido de la autorización, el Responsable del Tratamiento debe comunicar estos cambios al Titular antes de o a más tardar al momento de implementar las nuevas políticas. Además, deberá obtener del Titular una nueva autorización cuando el cambio se refiera a la finalidad del Tratamiento”. ↑
Ley 1581 de 2012, artículo 6, literal a). ↑