El concepto C-803 de 2020 aborda el derecho fundamental al habeas data, consagrado en el artículo 15 de la Constitución. Explica que su protección implica garantizar que los datos personales sean veraces y que el titular pueda conocerlos, actualizarlos y solicitar rectificaciones sobre información almacenada en bases de datos públicas o privadas. Con fundamento en la Ley 1581 de 2012, señala que el habeas data debe garantizarse también en los procedimientos de selección adelantados por entidades estatales, sin importar el régimen contractual aplicable. Además, indica que el tratamiento de datos solo puede realizarse con consentimiento previo, expreso e informado del titular, como regla general, y que debe existir una constancia para probar ese consentimiento.
Expediente: C-803 de 2020 – Fecha: 01-02-2021 – Número Interno: C-803 de 2020 – Demandado: – Actor: – Radicado de entrada: P20201218000720 – Radicado de salida: RS20210201000588 – Restrictor: Derecho fundamental,Consagración constitucional,Ley 1581 de 2012,Protección,Contratación estatal – Descriptor: HABEAS DATA,TRATAMIENTO DE DATOS PERSONALES,AUTORIZACIÓN PREVIA – Mes: Febrero – Año: 2021
Texto del concepto
HABEAS DATA – Derecho fundamental – Consagración constitucional
El artículo 15 de la Constitución Política consagra el derecho fundamental al habeas data, […].
[…], tal derecho consiste en el deber de los particulares y de las autoridades de respetar la intimidad y el buen nombre de las personas, así como en la posibilidad de conocer, actualizar y solicitar la rectificación de los datos almacenados en archivos o bases de datos públicas o privadas. Esto supone que los datos personales deben ser veraces y además deben estar disponibles para que su titular tenga la oportunidad de revisarlos y, si es del caso, pedir las aclaraciones o correcciones a que haya lugar.
En palabras de la Corte Constitucional, el derecho fundamental al habeas data ha cobrado una importancia creciente en el contexto de la sociedad de la información, ya que en tal escenario la circulación acelerada y automática de los datos hace que se generen riesgos de utilización abusiva de los mismos, afectando la intimidad y el buen nombre de las personas. De allí que a nivel internacional se haya desarrollado la garantía de la «autodeterminación informativa», derivada del libre desarrollo de la personalidad, entendida como el derecho del titular de los datos de acceder a ellos para revisarlos y solicitar las rectificaciones que considere necesarias.
TRATAMIENTO DE DATOS PERSONALES – Ley 1581 de 2012 – Protección – Contratación estatal
Con fundamento en el artículo 2 de la Ley 1581 de 2012, puede afirmarse que el habeas data es un derecho fundamental que también debe garantizarse en los procedimientos de selección adelantados por las entidades estatales para la escogencia de sus contratistas. Ello con prescindencia del régimen jurídico aplicable a la contratación estatal. Es decir, tanto las entidades que se rigen por el Estatuto General de Contratación de la Administración Pública –las mencionadas en el artículo 2 de la Ley 80 de 1993–, como las exceptuadas de aquel, deben proteger los datos personales en los trámites contractuales que adelanten. A tal conclusión se llega, ya que el mencionado artículo indica que «Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada» y no contempla dentro de las excepciones previstas en la norma los procedimientos contractuales de selección.
Las entidades estatales, en su actividad contractual, deben proteger la información personal registrada en sus bases de datos. El artículo 3, literal b) de la Ley 1581 de 2012, define «base de datos» como el «Conjunto organizado de datos personales que sea objeto de Tratamiento». Por su parte, el literal c) del mismo artículo dice que un «dato personal» es «Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables» y el literal g) señala que «tratamiento» es «Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión».
AUTORIZACIÓN – Tratamiento de datos personales – Titular
Para el tratamiento de los datos personales, debe garantizarse el «principio de libertad». Este postulado implica, según el artículo 4, literal c), de la Ley 1581 de 2012, que: «El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento». Así también lo ratifica el artículo 2.2.2.25.2.1. del Decreto 1074 de 2015 –por el cual se reglamenta parcialmente la referida Ley–, […].
De este modo, para poder efectuar el tratamiento de datos personales se debe contar con la autorización del titular. Esta autorización, como lo indica el artículo 3, literal a) de la Ley 1581 de 2012, consiste en el «Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales». Se trata de un deber que constituye la regla general en el tratamiento de los datos personales, pues solo puede prescindirse de aquel cuando la ley expresamente lo indique. Así se infiere del artículo 9 de la Ley en comento, cuando señala que «Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior». Obsérvese que no solo consagra la necesidad de la autorización previa como regla general, sino que además exige contar con una constancia que permita probar en el futuro que al responsable o encargado del tratamiento ha obtenido el consentimiento del titular.
AUTORIZACIÓN – Tratamiento de datos personales – Datos sensibles – Contratación estatal
Los procedimientos de selección contractual del Estado no se encuentran dentro de las excepciones al deber de obtener la autorización del titular para el tratamiento de los datos personales. Por lo tanto, las entidades estatales deben cerciorarse de que exista la constancia a la que se refiere el artículo 9 de la Ley 1581 de 2012, como responsables que son –junto a los oferentes y contratistas que recolectan información de personas naturales– del tratamiento de los datos personales en sus procedimientos de selección, a fin de evitar una vulneración al derecho fundamental de habeas data de las personas cuyos datos son objeto de tratamiento. Así se deduce adicionalmente del artículo 17, literal b), de la precitada Ley, que establece como deber de los responsables de tratamiento, «Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular».
[…]
Con arreglo a las consideraciones anteriores, puede concluirse que los datos personales, incluidos los datos sensibles, contenidos en las ofertas dentro de los procesos de selección contractual, deben respetar las normas sobre tratamiento de datos contenidas en la Ley 1581 de 2012, en el Decreto 1074 de 2015 y en las que los modifiquen o complementen. Dentro de dichas disposiciones se encuentra el deber de los responsables y encargados del tratamiento de dichos datos de obtener la autorización por parte del titular. Tal consentimiento debe ser expreso. Además, debe quedar constancia de él, para ser consultada con posterioridad. Los particulares que participan en la actividad contractual del Estado, presentando ofertas o en calidad de contratistas, son responsables del tratamiento de los datos personales y son los primeros obligados a contar con la autorización previa del titular de los datos, para poder hacer uso de documentos como hojas de vida, certificados o, en general, de datos personales. Las entidades estatales interesadas en contratar bienes o servicios son también responsables y deben cerciorarse de que exista la constancia de la autorización de las personas naturales titulares de los datos, tal como lo indicó la Agencia Nacional de Contratación Pública –Colombia Compra Eficiente en su «Política de tratamiento y protección de datos personales».
Bogotá D.C., 01/02/2021 07:40:41
N° Radicado: RS20210201000588
Señores
Servicios y Alimentos Nacionales
Ciudad
Concepto C ‒ 803 de 2020
Temas: | HABEAS DATA – Derecho fundamental – Consagración constitucional / TRATAMIENTO DE DATOS PERSONALES – Ley 1581 de 2012 – Protección – Contratación estatal / AUTORIZACIÓN – Tratamiento de datos personales – Titular / AUTORIZACIÓN – Tratamiento de datos personales – Datos sensibles – Contratación estatal. |
Radicación: | Respuesta a consulta # P20201218000720
|
Estimados señores:
En ejercicio de la competencia otorgada por el numeral 8 del artículo 11 y el numeral 5 del artículo 3 del Decreto Ley 4170 de 2011, la Agencia Nacional de Contratación Pública ― Colombia Compra Eficiente responde su consulta del 18 de diciembre del 2020.
- Problema planteado
Ustedes formulan las siguientes preguntas:
«Dentro de los procesos de selección sometidos al Estatuto General de Contratación Estatal, al momento de adjuntar hojas de vida, información sensible privada o semiprivada y demás que hagan parte de la propuesta como del equipo de trabajo ofertado, los titulares de la información deben autorizar el manejo de datos de la misma?
»Las Entidades sometidas a este estatuto de contratación, deben exigir la autorización para el Manejo de Datos sobre la información sensible, privada o semi privada en el marco del cumplimiento de la ley 1581 de 2012, al momento de recibir sus propuestas? (sic)».
- Consideraciones
La Subdirección de Gestión Contractual responderá los interrogantes de la consulta, previo análisis de los siguientes temas: i) definición del derecho de habeas data o de protección de datos personales, ii) garantía del referido derecho en los procedimientos de selección contractual y iii) autorización para el tratamiento de los datos personales contenidos en las ofertas presentadas en los procedimientos de selección contractual, en especial de los datos sensibles.
La Agencia Nacional de Contratación Pública – Colombia Compra Eficiente analizó el contenido del derecho a la protección de los datos personales en el concepto C-672 del 11 de noviembre de 2020. Si bien en aquella oportunidad se pronunció sobre el deber de excluir los datos sensibles de la información publicada en el Sistema Electrónico de Contratación Pública (SECOP), la línea, que se reiterará a continuación, tiene relación con el reconocimiento de la vigencia de dicho derecho en la actividad contractual del Estado.
2.1. Derecho fundamental al habeas data o a la protección de los datos personales
El artículo 15 de la Constitución Política consagra el derecho fundamental al habeas data, en los siguientes términos:
Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.
En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.
La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley.
Para efectos tributarios o judiciales y para los casos de inspección, vigilancia e intervención del Estado podrá exigirse la presentación de libros de contabilidad y demás documentos privados, en los términos que señale la ley.
Como se aprecia, tal derecho consiste en el deber de los particulares y de las autoridades de respetar la intimidad y el buen nombre de las personas, así como en la posibilidad de conocer, actualizar y solicitar la rectificación de los datos almacenados en archivos o bases de datos públicas o privadas. Esto supone que los datos personales deben ser veraces y además deben estar disponibles para que su titular tenga la oportunidad de revisarlos y, si es del caso, pedir las aclaraciones o correcciones a que haya lugar.
En palabras de la Corte Constitucional[1], el derecho fundamental al habeas data ha cobrado una importancia creciente en el contexto de la sociedad de la información, debido a que en tal escenario la circulación acelerada y automática de los datos hace que se generen riesgos de utilización abusiva de los mismos, afectando la intimidad y el buen nombre de las personas. Por ello, a nivel internacional se ha desarrollado la garantía de la «autodeterminación informativa», derivada del libre desarrollo de la personalidad, entendida como el derecho del titular de los datos de acceder a ellos para revisarlos y solicitar las rectificaciones que considere necesarias.
Según el alto tribunal constitucional, el derecho fundamental al habeas data es un derecho de estructura compleja, ya que está integrado por una serie de principios orientados a la protección de los datos personales. Lo anterior, en los siguientes términos:
De conformidad con la jurisprudencia de esta Corporación, dentro de las prerrogativas –contenidos mínimos- que se desprenden de este derecho encontramos por lo menos las siguientes: (i) el derecho de las personas a conocer –acceso- la información que sobre ellas está recogida en bases de datos, lo que conlleva el acceso a las bases de datos donde se encuentra dicha información; (ii) el derecho a incluir nuevos datos con el fin de se provea una imagen completa del titular; (iii) el derecho a actualizar la información, es decir, a poner al día el contenido de dichas bases de datos; (iv) el derecho a que la información contenida en bases de datos sea rectificada o corregida, de tal manera que concuerde con la realidad; (v) el derecho a excluir información de una base de datos, bien por que se está haciendo un uso indebido de ella, o por simple voluntad del titular –salvo las excepciones previstas en la normativa[2].
Para propiciar una garantía más eficaz de este derecho, se expidió la Ley Estatutaria 1581 de 2012, «Por la cual se dictan disposiciones generales para la protección de datos personales». De conformidad con el artículo 1, «La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las información que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma». El artículo 8 de la Ley en comento establece el contenido del habeas data, indicando las prerrogativas del titular de los datos personales y reiterando los desarrollos jurisprudenciales en la materia[3]. De acuerdo con dicho enunciado normativo, el titular de los datos personales tiene derecho a conocerlos, actualizarlos, rectificarlos, a solicitar la prueba de la autorización para el tratamiento de los mismos, a ser informado sobre el destino o uso de tales datos, a formular quejas ante la Superintendencia de Industria y Comercio por el incumplimiento de la Ley 1581 de 2012 y de las normas complementarias, a revocar la autorización para el tratamiento de los datos o solicitar la supresión de estos y a acceder gratuitamente a aquellos.
Puede concluirse entonces que el objetivo de la protección de los datos personales es que su titular tenga la posibilidad de ejercer el derecho de autodeterminación en relación con la recolección de su información, y que, además, pueda controlar lo que pasará con dichos datos cuando se encuentren en manos de los responsables y encargados de su tratamiento. Esa posibilidad de control implica tanto la autorización previa para el tratamiento de los datos, como el acceso a los mismos, para revisarlos y, en caso de considerarlo necesario, solicitar la rectificación correspondiente.
A continuación se analizará si, de acuerdo con las disposiciones normativas contenidas en la Ley a la que se ha hecho referencia y a la jurisprudencia constitucional, el derecho fundamental al habeas data debe también garantizarse en los procedimientos contractuales de selección, y, en caso afirmativo, cuál es el alcance de dicha protección.
2.2. Aplicación del derecho fundamental a la protección de los datos personales en los procedimientos contractuales
Con fundamento en el artículo 2 de la Ley 1581 de 2012[4], puede afirmarse que el habeas data es un derecho fundamental que también debe garantizarse en los procedimientos de selección adelantados por las entidades estatales para la escogencia de sus contratistas. Ello con prescindencia del régimen jurídico aplicable a la contratación estatal. Es decir, tanto las entidades que se rigen por el Estatuto General de Contratación de la Administración Pública –las mencionadas en el artículo 2 de la Ley 80 de 1993–, como las exceptuadas de aquel, deben proteger los datos personales en los trámites contractuales que adelanten. A tal conclusión se llega, teniendo en cuenta que el mencionado artículo indica que «Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada» y no contempla dentro de las excepciones previstas en la norma los procedimientos contractuales de selección.
Las entidades estatales, en su actividad contractual, deben proteger la información personal registrada en sus bases de datos. El artículo 3, literal b) de la Ley 1581 de 2012, define «base de datos» como el «Conjunto organizado de datos personales que sea objeto de Tratamiento». Por su parte, el literal c) del mismo artículo dice que un «dato personal» es «Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables» y el literal g) señala que «tratamiento» es «Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión».
Por consiguiente, como lo indicó la Agencia Nacional de Contratación Pública – Colombia Compra Eficiente en su «Política de tratamiento y protección de datos personales»[5], «Las Entidades Públicas son las Responsables del Tratamiento de los Datos Personales asociada a sus procesos de contratación en el SECOP. La Agencia Nacional de Contratación Pública – Colombia Compra Eficiente, como administrador de los sistemas de información de la Compra Pública, cumple el rol de Encargado de Tratamiento definido en la Ley 1581 de 2012, donde se limita a publicar la información registrada por las Entidades Públicas y, por ende, no tiene poder de decisión para la eliminación o modificación de los Datos Personales».
La definición del «responsable del tratamiento» se halla en el artículo 3, literal e) de la Ley 1581 de 2012, al precisar que es la «Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos». En tal sentido, son responsables del tratamiento de los datos en los procesos de contratación tanto los oferentes –en los eventos en los cuales aportan con la oferta datos da personas naturales cuyos datos son objeto de tratamiento–, como las entidades estatales que reciben tales datos.
2.3. Autorización para el tratamiento de los datos personales contenidos en las ofertas presentadas en los procedimientos contractuales, en especial de los datos sensibles
Para el tratamiento de los datos personales, debe garantizarse el «principio de libertad». Este postulado implica, según el artículo 4, literal c), de la Ley 1581 de 2012, que: «El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento». Así también lo ratifica el artículo 2.2.2.25.2.1. del Decreto 1074 de 2015 –por el cual se reglamenta parcialmente la referida Ley–, al señalar respecto de la recolección de los datos personales lo siguiente:
En desarrollo de los principios de finalidad y libertad, la recolección de datos deberá limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente. Salvo en los casos expresamente previstos en la ley, no se podrán recolectar datos personales sin autorización del Titular
A solicitud de la Superintendencia de Industria y Comercio, los Responsables deberán proveer una descripción de los procedimientos usados para la recolección, almacenamiento, uso, circulación y supresión de información, como también la descripción de las finalidades para las cuales la información es recolectada y una explicación sobre la necesidad de recolectar los datos en cada caso.
No se podrán utilizar medios engañosos o fraudulentos para recolectar y realizar Tratamiento de datos personales.
De este modo, para poder efectuar el tratamiento de datos personales se debe contar con la autorización del titular. Esta autorización, tal como lo indica el artículo 3, literal a) de la Ley 1581 de 2012, consiste en el «Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales». Se trata de un deber que constituye la regla general en el tratamiento de los datos personales, pues solo puede prescindirse de aquel cuando la ley expresamente lo indique. Así se infiere del artículo 9 de la Ley en comento, cuando señala que «Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior». Obsérvese que no solo consagra la necesidad de la autorización previa como regla general, sino que además exige contar con una constancia que permita probar en el futuro que al responsable o encargado del tratamiento ha obtenido el consentimiento del titular.
Los procedimientos de selección del Estado no se encuentran dentro de las excepciones al deber de obtener la autorización del titular para el tratamiento de los datos personales[6]. Por lo tanto, las entidades estatales deben cerciorarse de que exista la constancia a la que se refiere el artículo 9 de la Ley 1581 de 2012, como responsables que son –junto a los oferentes y contratistas que recolectan información de personas naturales– del tratamiento de los datos personales en sus procedimientos de selección, a fin de evitar una vulneración al derecho fundamental de habeas data de las personas cuyos datos son objeto de tratamiento. Así se deduce adicionalmente del artículo 17, literal b), de la precitada Ley, que establece, como deber de los responsables de tratamiento, «Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular».
La autorización para el tratamiento de datos personales se debe obtener cumpliendo los requisitos establecidos tanto en la Ley 1581 de 2012, como en el Decreto 1074 de 2015[7]. El artículo 2.2.2.25.2.4. de este reglamento establece que la autorización debe ser susceptible de consulta posterior, y que para ello se pueden adoptar medios técnicos que permitan al titular de los datos manifestar su consentimiento automático. En todo caso, indica que «Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (i) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca».
Por otra parte, el artículo 5 de la Ley 1581 de 2012 define los «datos sensibles» de la siguiente manera:
Para los propósitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
En principio, el tratamiento de dichos datos está prohibido, salvo que se reúnan las circunstancias establecidas en el artículo 6 de la Ley 1581 de 2012, una de las cuales es que «El Titular haya dado su autorización explícita a dicho Tratamiento […]»[8]. Para obtener dicha autorización debe observarse el procedimiento establecido en el artículo 2.2.2.25.2.3., a cuyo tenor:
El Tratamiento de los datos sensibles a que se refiere el artículo 5 de la Ley 1581 de 2012 está prohibido, a excepción de los casos expresamente señalados en el artículo 6 de la citada ley.
En el Tratamiento de datos personales sensibles, cuando dicho Tratamiento sea posible conforme a lo establecido en el artículo 6 de la Ley 1581 de 2012, deberán cumplirse las siguientes obligaciones:
1. Informar al titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento.
2. Informar al titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento, así como obtener su consentimiento expreso.
Ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles.
De lo anterior puede concluirse que los datos personales, incluidos los datos sensibles, contenidos en las ofertas dentro de los procesos de selección, deben respetar las normas sobre tratamiento de datos contenidas en la Ley 1581 de 2012, en el Decreto 1074 de 2015 y en las que los modifiquen o complementen. En dichas disposiciones se encuentra el deber de los responsables y encargados del tratamiento de dichos datos de obtener la autorización por parte del titular; consentimiento que debe ser expreso. Además, debe quedar constancia de él, para ser consultada con posterioridad. Los particulares que participan en la actividad contractual del Estado, presentando ofertas o en calidad de contratistas, son responsables del tratamiento de los datos personales y son los primeros obligados a contar con la autorización previa del titular de los datos, para poder hacer uso de documentos como hojas de vida, certificados o, en general, de datos personales. Las entidades estatales interesadas en contratar bienes o servicios son también responsables y deben cerciorarse de que exista la constancia de la autorización de las personas naturales titulares de los datos, tal como lo indicó la Agencia Nacional de Contratación Pública –Colombia Compra Eficiente en su «Política de tratamiento y protección de datos personales».
Finalmente, conviene recordar que en el concepto C-672 del 11 de noviembre de 2020, esta Subdirección explicó que los datos sensibles constituyen límites al deber de divulgación proactiva de la información en la contratación estatal. En otras palabras, el cumplimiento del deber de publicación de la documentación contractual debe armonizarse con las normas aplicables al tipo de información que estas contienen. Lo anterior significa que, respecto de datos sensibles, información sometida a reserva o de la cual proceda un tratamiento especial que impida su publicidad, las entidades deberán proceder de conformidad con el tratamiento que impongan tales normas, absteniéndose, de ser el caso, de publicar las ofertas, o las partes pertinentes en las que se evidencie este tipo de información. Para dichos eventos, la plataforma SECOP II, antes de publicar las ofertas, brinda a las entidades la opción de calificar dicha información como confidencial, lo cual impide que los documentos se publiquen.
Dicho de otra forma, por más de que el artículo 74 de la Constitución establezca que la información pública debe ser dada a conocer a la ciudadanía y así los documentos que hagan parte de la actividad contractual puedan catalogarse, prima facie, como información pública, cuando dicha documentación contenga datos sensibles, operan algunas restricciones a su publicidad. Sin embargo, esto no necesariamente convierte el documento completo en reservado, es decir, en un documento que no puede publicarse.
El enunciado constitucional, en armonía con los artículos 18 y 19 de la Ley 1712 de 2014 y los artículos 24 y 25 de la Ley 1437 de 2011, establecen que el derecho de acceso a la información o documentación pública no es absoluto, sino que puede exceptuarse cuando se configuren causales de reserva. Así mismo, hay información que goza de protección especial y no puede divulgarse. La información pública que contiene datos semiprivados o privados, definidos en los literales g) y h) del artículo 3° de la Ley 1266 de 2008, clasificados o reservados, según los artículos 18 y 19 de la Ley 1712 de 2014, o datos personales o sensibles, según lo previsto en los artículos 3° y 5° de la Ley 1581 de 2012 y en el numeral 3° del artículo 3° del Decreto 1377 de 2013, solo podrá divulgarse según las reglas establecidas en dichas normas. Lo anterior no quiere decir que todo el documento se convierta en reservado, sino que se debe proceder como se indica a continuación.
Cuando el documento contractual tenga información sensible, clasificada o reservada, para proteger la información, las autoridades deben abstenerse de publicar en el SECOP la información que tiene protección especial, tal como sucede con los derechos de los menores, de conformidad con el artículo 7° de la Ley 1581 de 2012 y el artículo 2.1.1.4.1.2 del Decreto 1081 de 2015. Sin embargo, de acuerdo con el segundo inciso del artículo 25 de la Ley 1437 de 2011 «La restricción por reserva legal no se extenderá a otras piezas del respectivo expediente o actuación que no estén cubiertas por ella». Por ello, la entidad estatal deberá excluir del documento entregado por el proponente en el procedimiento contractual la información que contenga datos sensibles, clasificados o reservados, para no divulgarla, pero debe publicar las demás piezas de la oferta o los apartados que no gozan de reserva o que no están protegidos por las disposiciones de habeas data.
3. Respuestas
«Dentro de los procesos de selección sometidos al Estatuto General de Contratación Estatal, al momento de adjuntar hojas de vida, información sensible privada o semiprivada y demás que hagan parte de la propuesta como del equipo de trabajo ofertado, los titulares de la información deben autorizar el manejo de datos de la misma?
Los oferentes que participan en los procedimientos de selección realizados por las entidades estatales deben contar con la autorización del titular de los datos personales que se incluirán en la propuesta, en calidad de responsables, cumpliendo con los mandatos establecidos en la Ley 1581 de 2012, el Decreto 1074 de 2015 y las normas que los modifiquen o complementen. De dicha autorización debe quedar constancia, para que pueda ser consultada tanto por el titular, como por los demás responsables y encargados del tratamiento de los datos personales.
»Las Entidades sometidas a este estatuto de contratación, deben exigir la autorización para el Manejo de Datos sobre la información sensible, privada o semi privada en el marco del cumplimiento de la ley 1581 de 2012, al momento de recibir sus propuestas? (sic)».
Al ser responsables del tratamiento de los datos personales y en especial de los datos sensibles, las entidades estatales que dirigen el procedimiento de selección contractual deben cerciorarse de que exista la constancia de la autorización de la persona natural sobre el manejo de sus datos personales. Además, deben ser cuidadosas de no divulgar en el SECOP los datos sensibles, clasificados o reservados.
Este concepto tiene el alcance previsto en el artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo.
Atentamente,
Elaboró: | Cristian Andrés Díaz Díez Contratista de la Subdirección de Gestión Contractual |
Revisó: | Jorge Augusto Tirado Navarro Subdirector de Gestión Contractual |
Aprobó: | Jorge Augusto Tirado Navarro Subdirector de Gestión Contractual |
Sentencia C-748 de 2011, Magistrado Ponente: Jorge Ignacio Pretelt Chaljub. ↑
Ibíd. ↑
Según dicho artículo: «El Titular de los datos personales tendrá los siguientes derechos:
»a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado;
»b) Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la presente ley;
»c) Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales;
»d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen;
»e) <Literal CONDICIONALMENTE exequible> Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución;
»f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento». ↑
«Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada.
»La presente ley aplicará al tratamiento de datos personales efectuado en territorio colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales.
»El régimen de protección de datos personales que se establece en la presente ley no será de aplicación:
»a) A las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico.
»Cuando estas bases de datos o archivos vayan a ser suministrados a terceros se deberá, de manera previa, informar al Titular y solicitar su autorización. En este caso los Responsables y Encargados de las bases de datos y archivos quedarán sujetos a las disposiciones contenidas en la presente ley;
»b) A las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo;
»c) A las Bases de datos que tengan como fin y contengan información de inteligencia y contrainteligencia;
»d) A las bases de datos y archivos de información periodística y otros contenidos editoriales;
»e) A las bases de datos y archivos regulados por la Ley 1266 de 2008;
»f) A las bases de datos y archivos regulados por la Ley 79 de 1993.
»PARÁGRAFO. Los principios sobre protección de datos serán aplicables a todas las bases de datos, incluidas las exceptuadas en el presente artículo, con los límites dispuestos en la presente ley y sin reñir con los datos que tienen características de estar amparados por la reserva legal. En el evento que la normatividad especial que regule las bases de datos exceptuadas prevea principios que tengan en consideración la naturaleza especial de datos, los mismos aplicarán de manera concurrente a los previstos en la presente ley». ↑
Disponible en: https://www.colombiacompra.gov.co/sites/cce_public/files/cce_documentos/cce-sig-idi-01_politica_de_tratamiento_de_datos_personales.pdf ↑
En efecto, el artículo 10 de la Ley 1581 de 2012 establece las siguientes excepciones, entre las cuales no se encuentra la actividad contractual del Estado: «La autorización del Titular no será necesaria cuando se trate de:
»a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;
»b) Datos de naturaleza pública;
»c) Casos de urgencia médica o sanitaria;
»d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos;
»e) Datos relacionados con el Registro Civil de las Personas.
»Quien acceda a los datos personales sin que medie autorización previa deberá en todo caso cumplir con las disposiciones contenidas en la presente ley». ↑
Según el artículo 2.2.2.25.2.2. de este Decreto, «El Responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados, así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento.
Los datos personales que se encuentren en fuentes de acceso público, con independencia del medio por el cual se tenga acceso, entendiéndose por tales aquellos datos o bases de datos que se encuentren a disposición del público, pueden ser tratados por cualquier persona siempre y cuando, por su naturaleza, sean datos públicos.
En caso de haber cambios sustanciales en el contenido de las políticas del Tratamiento a que se refiere a la sección 3 de este capítulo, referidos a la identificación del Responsable y a la finalidad del Tratamiento de los datos personales, los cuales puedan afectar el contenido de la autorización, el Responsable del Tratamiento debe comunicar estos cambios al Titular antes de o a más tardar al momento de implementar las nuevas políticas. Además, deberá obtener del Titular una nueva autorización cuando el cambio se refiera a la finalidad del Tratamiento». ↑
Ley 1581 de 2012, artículo 6, literal a). ↑