CIRCULAR 030 DE 2019

(Septiembre 13)

Para: SECRETARIOS (AS) DE DESPACHO, DIRECTORES (AS) DE DEPARTAMENTOS ADMINISTRATIVOS, GERENTES Y DIRECTORES (AS) DE UNIDADES ADMINISTRATIVAS ESPECIALES, GERENTES PRESIDENTES(AS) Y DIRECTIVAS DE EMPRESAS DE SERVICIOS PÚBLICOS, GERENTES PRESIDENTES (AS) Y DIRECTORES DE ESTABLECIMIENTOS PUBLICOS, EMPRESAS INDUSTRIALES Y COMERCIALES, SOCIEDADES PUBLICAS, SOCIEDADES MIXTAS, ENTES UNIVERSITARIOS, HOSPITALES, ALCALDES LOCALES.

De: ALTA CONSEJERÍA DISTRITAL DE TECNOLOGIAS DE INFORMACIÓN Y COMUNICACIONES-TIC.

Asunto: CIRCULAR EXTERNA CONJUNTA 04 DE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO Y LA DIRECCIÓN DE LA AGENCIA NACIONAL DE DEFENSA JURÍDICA DEL ESTADO

Radicado: 2-2019-24058 

Cordial saludo,

Desde la Alta Consejería Distrital de TIC queremos socializar la Circular Conjunta No. 4 expedida el 5 de septiembre de 2019 por la Superintendencia de Industria y Comercio y la Dirección de la Agencia Nacional de Defensa Jurídica del Estado por medio de la cual se emiten instrucciones respecto al tratamiento de datos personales en sistemas de información interoperables.

Por lo anterior adjuntamos la Circular del asunto para su conocimiento y demás fines pertinentes.

Cordialmente,

SERGIO MARTÍNEZ MEDINA

Alta Consejero Distrital de TIC

CIRCULAR EXTERNA CONJUNTA 04

(Septiembre 2019)

Para: Entidades de la rama ejecutiva y demás entidades Responsables o Encargadas del tratamiento de datos personales.

De: Superintendencia de Industría y Comercio (SIC) y Agencia Nacional de Defensa Jurídica del Estado (ANDJE).

Asunto: Tratamiento de datos personales en sistemas de información interoperables.

1. Competencia.

En virtud del literal e) del artículo 21 de la ley 1581 de 2012, la Superintendencia de industria y Comercio, como autoridad nacional de protección de datos personales, presenta los siguientes lineamientos que deben seguir las Entidades Públicas y particulares que ejercen funciones públicas para la protección del derecho de habeas data o el debido tratamiento de datos personales en sistemas de información interoperables:

2. Marco normativo

- Artículo 15 de la Constitución Política

- Ley 1266 de 2008

- Ley 1341 de 2009

- Ley 1581 de 2012

- Ley 1712 de 2014

- Artículo 147 de la Ley 1955 de 2019

- Ley 1978 de 2019

Sentencias de la Corte Constitucional:

- Sentencia C-1011/08

- Sentencia C-640/10

- Sentencia C-748/11

- Sentencia C-540/12

Superintendencia de Industria y Comercio, como Autoridad Nacional de Protección de Datos, reitera que no son necesarias leyes estatutarias adicionales para proteger este derecho en nuevos ambientes, tal como el digital, y tampoco para tratar datos personales mediante sistemas tecnológicos complejos. Los derechos de las personas, en cuanto al tratamiento de sus datos personales, ya están protegidos por una serie de principios transversales - como el de legalidad, libertad, finalidad, transparencia, veracidad, seguridad, confidencialidad, acceso y circulación restringida - que deben ser aplicables en cualquier actividad y sin importar la novedad de las operaciones que se están realizando o las tecnologías utilizadas para dicho efecto. Nuevas normas pueden entrar a complementar o generar lineamientos adicionales frente al procesamiento de datos personales, pero no deben desconocer los principios señalados en esta ley.

Por lo tanto, tampoco debe considerarse que existe un vacío legislativo frente al tratamiento de información personal en sectores donde no existe una legislación específica o respecto del surgimiento de nuevas tecnologías o fenómenos tecnológicos. Como lo reconoció la Corte Constitucional en la Sentencia C-748 de 2011, el legislador puede dar lineamientos especiales en el tratamiento de ciertos datos personales, como los sensibles, sin que se considere que el tratamiento de estos datos no está regulado o está exceptuado de lo señalado en la ley 1581 de 2012:

“Ahora bien, en ejercicio de su libertad de configuración y atendiendo a las características especiales de cierto tipo de datos personales, el legislador puede también establecer reglas especiales para otro tipo de datos, pero que en ningún caso se entenderán como excepciones, salvo que la futura ley estatutaria sea modificada para incluir nuevas excepciones.

(...) El legislador podría entonces, en virtud de esta disposición, establecer un régimen de protección especial para los datos administrados por organizaciones no gubernamentales de defensa de derechos humanos. Lo mismo puede ocurrir en el caso de los datos de salud —teniendo en cuenta que una parte importante de ellos son sensibles y las historias clínicas son reservadas, el tratamiento de datos para fines de construcción de memoria y garantía del derecho colectivo a la verdad, o de los datos sensibles que son tratados en las redes sociales.” [1](negrilla y subrayado fuera de texto)

Como bien lo señala el alto tribunal en esta decisión, el legislador podrá, más no está obligado a generar una legislación específica para el tratamiento de este tipo de datos personales.

Públicas deben priorizar el uso de tecnologías de la información, incluso aquellas innovaciones que implican la recolección y tratamiento de datos personales en distintos sistemas digitales.

5. Interoperabilidad en la Transformación Digital del Estado.

La interoperabilidad ha sido definida por el MinTIC como la “aptitud de los sistemas y aplicaciones, basados en Tecnologías de la Información y las Comunicaciones, y los procesos que estos soportan, para intercambiar información y posibilitar utilizar mutuamente la información intercambiada. Para el caso de redes de telecomunicaciones, la interoperabilidad es inherente a la interconexión de las mismas.” [2](negrilla fuera de texto) . Los servicios de interoperabilidad, por su parte, son definidos como aquellos que brindan las “las capacidades necesarias para garantizar el adecuado flujo de información y de interacción entre los sistemas de información de las entidades del Estado, permitiendo el intercambio, la integración y la compartición de la información, con el propósito de facilitar el ejercicio de sus funciones constitucionales y legales”.[3] (negrilla fuera de texto)

Así las cosas, la interoperabilidad, entre otras, contribuye al cumplimiento del artículo 209 de la Constitución Política permitiendo que la función administrativa satisfaga los intereses generales, sea eficaz, célere e imparcial, beneficiando a todos los ciudadanos.

Así mismo, la Ley 1955 de 2019 incorporó como obligación para las entidades estatales del orden nacional el deber de incluir en sus respectivos planes de acción el componente de transformación digital. Para tal fin, el artículo 147 de dicha ley estableció que “los proyectos estratégicos de transformación digital se orientarán por los siguientes principios: (...)

3. Plena interoperabilidad entre los sistemas de información públicos que garantice el suministro e intercambio de la información de manera ágil y eficiente a través de una plataforma de interoperabilidad. Se habilita de forma plena, permanente y en tiempo real cuando se requiera, el intercambio de información de forma electrónica en los estándares definidos por el Ministerio TIC, entre entidades públicas, dando cumplimiento a la protección de datos personales y salvaguarda de la información.”

Como se observa, la circulación de información es un aspecto intrínseco de la interoperabilidad. Dado lo anterior, es importante tener presente que el inciso segundo del artículo 15 de la Constitución ordena que “en la recolección, tratamiento y circulación.

Cuarto: la Ley 1581 de 2012 autoriza a las entidades privadas y a las organizaciones públicas para que suministren a las entidades públicas o administrativas datos personales que sean necesarios para el cumplimiento de sus funciones legales. Por lo tanto, no se requiere una autorización especial o adicional para poder suministrar a esas entidades datos en el marco de un proyecto de interoperabilidad, siempre y cuando la información que entreguen sea útil, pertinente y necesaria para cumplir los cometidos constitucionales y de ley de las entidades públicas.

7. Observancia.

De acuerdo con lo anterior, las entidades públicas deberán tener en cuenta lo señalado en esta circular conjunta y coadyuvar en los planes, proyectos y programas que desde el Gobierno Nacional se implementan y que necesariamente utilizan datos, sin que por ello se menoscabe el Habeas Data o la protección de datos personales.

En igual sentido, todo el procedimiento y coordinación en estas materias será liderado por el Gobierno Nacional en observancia de la normativa vigente, lo que a su turno será objeto de vigilancia de la Superintendencia de Industria y Comercio, lo que debe limitar el riesgo jurídico y el daño antijurídico, de conformidad con las recomendaciones aquí consignadas en conjunto con la Agencia de Defensa Jurídica del Estado.

Atentamente,

ANDRÉS BARRETO GONZÁLEZ

Superintendencia de Industria y Comercial

CAMILO GÓMEZ ÁLZATE

Director de la Agencia Nacional de Defensa Jurídica del Estado

Elaboró: SIC

Revisó: U Salgar (ANDJE)

Aprobó: U Salgar (ANDJE)

Nota: Ver norma original en Anexos

NOTA AL PIE DE PAGINA