CONCEPTO 4 DE 2020
(febrero 13)
<Fuente: Archivo interno entidad emisora>
INSTITUTO COLOMBIANO DE BIENESTAR FAMILIAR
Radicado No: 202010420000025083
Asunto: Autorización de datos personales para realizar encuestas de satisfacción del servicio.
En atención a la solicitud de concepto radicada ante esta Oficina Asesora Jurídica, con el No 2019122600000147646 de 12 de diciembre de 2019 y de la información adicional allegada los días 24 y 27 de enero de 2019, previo análisis del ordenamiento jurídico vigente y con fundamento en los artículos 23 de la Constitución Política, 26 del C.C., y el numeral 4° del artículo 6° del Decreto 987 de 2012, se procede a dar respuesta al interrogante por usted planteado en los siguientes términos:
1. PROBLEMA JURIDICO
La Dirección de Servicios de Atención, hace un relato de las dinámicas en que se ha desarrollado una de las funciones asignadas en el Decreto 0987 de 2012[1] orientada a liderar la realización de mediciones y análisis de satisfacción de los niños, niñas, adolescentes, adulto mayor, familias beneficiarías y ciudadanía en general, frente a la prestación del servicio.
Se afirma en el escrito, que cuando se presta el servicio a la ciudadanía, atendiendo los protocolos dispuestos en el Manual de Operación por Procesos del ICBF, “Relación con el ciudadanía" al momento de indagarse si aceptan o no la utilización de sus datos personales para consulta y envió de información institucional, los índices de aceptación son sospechosamente bajos, y en varias mensualidades nulo.
Este hecho, en consideración del área solicitante, imposibilita la realización posterior de encuestas con la representatividad requerida ya que el número de autorizaciones permite generar un diagnóstico acorde con la efectiva prestación del servicio.
A partir de la anterior descripción, se plantea el problema jurídico de la siguiente forma:
¿Puede el ICBF realizar encuestas de satisfacción a los usuarios, aun cuando no cuente con la autorización expresa para la utilización de sus datos personales?
Para dar respuesta de fondo al planteamiento expuesto, se desarrollarán los siguientes ejes temáticos: Ley 1581 de 2012, por la cual se dictan disposiciones generales para ¡a protección de datos personales y excepciones para solicitar autorización previa para recaudo de ¡a información.
2. LEY 1581 DE 2012 Y DECRETO ÚNICO REGLAMENTARIO 1074 DE 2015
Conforme a los argumentos plasmados en la solicitud de concepto, la Dirección de Atención y Servicios, con el fin de dar cumplimiento a las funciones a su cargo, realiza encuestas de satisfacción a los usuarios de los canales de atención, que se hacen mediante comunicación telefónica, por lo mismo, es necesario partir del análisis de la Ley 1581 de 2012 ya que por la naturaleza de la información objeto de las encuestas, dicha actuación debe atender una regulación legal que debe ser ejercida atendiendo también postulados de rango constitucional.
El artículo 15 de la Constitución Política de Colombia consagró que las personas, en garantía de sus derechos a la autodeterminación informática y el principio de libertad, son las llamadas a autorizar que la información que las involucre pueda ser recolectada y usada.
Así se encuentra expresado en el artículo 1° de la Ley 1581:
La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar ¡as informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a ¡a información consagrado en el artículo 20 de la misma.
Ahora, en la citada ley, surge como un imperativo por parte de los responsables y encargados de la información, atender los principios orientadores, resaltándose sus de finalidad, libertad, seguridad y confidencialidad, plasmados en el artículo 4 de la Ley 1581 de 2012 así:
b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con ¡a Constitución y la Ley, la cual debe ser informada al Titular;
c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento;
(...)
g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
h) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.
Se resalta en cuanto al principio de libertad, que los responsables del Tratamiento de datos personales asumen la obligación de requerir la autorización de manera previa, expresa e informada por parte del titular. Este mandato consagrado en el artículo 8 de la Ley 1581 de 2012 que adicionalmente, establece el deber de solicitar y conservar copia de la mencionada autorización, conforme a lo dispuesto en el literal b) del artículo 17 de la precitada ley.
El artículo 3 de la Ley 1581 de 2012, define lo concerniente algunos aspectos la protección de datos personales, de la siguiente forma:
a) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales;
b) Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento;
c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;
d) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento;
e) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos;
f) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento;
g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
A su vez el Capítulo 25 del Título 2 de la Parte 2 del Libro 2 del Decreto Único Reglamentario 1074 de 2015, Por el cual se reglamenta parcialmente la Ley 1581 de 2012, precisa acerca de las formalidades para la recolección de datos personales y la autorización que debe mediar o existir por parte del usuario lo siguiente:
Artículo 2.2.2.25.2.1. En desarrollo de los principios de finalidad y libertad, la recolección de datos deberá limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente. Salvo en los casos expresamente previstos en la ley, no se podrán recolectar datos personales sin autorización del Titular.
A solicitud de la Superintendencia de Industria y Comercio, los Responsables deberán proveer una descripción de los procedimientos usados para la recolección, almacenamiento, uso, circulación y supresión de información, como también la descripción de las finalidades para las cuales la información es recolectada y una explicación sobre la necesidad de recolectar ¡os datos en cada caso.
No se podrán utilizar medios engañosos o fraudulentos para recolectar y realizar Tratamiento de datos personales.
Artículo 2.2.2.25.2.2. El Responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento.
Los datos personales que se encuentren en fuentes de acceso público, con independencia del medio por el cual se tenga acceso, entendiéndose por tales aquellos datos o bases de datos que se encuentren a disposición del público, pueden ser tratados por cualquier persona siempre y cuando, por su naturaleza, sean datos públicos.
En caso de haber cambios sustanciales en el contenido de las políticas del Tratamiento a que se refiere el Capítulo III de este decreto, referidos a la identificación del Responsable y a la finalidad del Tratamiento de los datos personales, los cuales puedan afectar el contenido de la autorización, el Responsable del Tratamiento debe comunicar estos cambios al Titular antes de o a más tardar al momento de implementar las nuevas políticas. Además, deberá obtener del Titular una nueva autorización cuando el cambio se refiera a la finalidad del Tratamiento.
Teniendo en cuenta el anterior marco normativo, se debe resaltar que opera como regla general la autorización previa por parte del titular para que la información sea utilizada o ingresada a las respectivas bases de datos, en este caso las del ICBF. Frente a ello, y para dar respuesta al problema jurídico, se debe hacer referencia al tema de la estructuración de las excepciones legales para el cumplimiento de este requisito.
3. EXCEPCIONES PARA SOLICITAR AUTORIZACIÓN PREVIA PARA RECAUDO DE LA INFORMACIÓN
Retomando la Ley 1581 de 2012 y conforme a la naturaleza, las funciones, la misión y la obligación permanente de buscar herramientas que permitan optimizar el servicio, se estructuran dos excepciones legales en favor del ICBF. y que se encuentran descritas así:
ARTÍCULO 10. CASOS EN QUE NO ES NECESARIA LA AUTORIZACIÓN. La autorización del Titular no será necesaria cuando se trate de:
a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;
b) Datos de naturaleza pública;
c) Casos de urgencia médica o sanitaria;
d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos; Resaltado fuera de texto.
e) Datos relacionados con el Registro Civil de las Personas.
Quien acceda a los datos personales sin que medie autorización previa deberá en todo caso cumplir con las disposiciones contenidas en la presente ley.
(Negrillas por fuera del texto original)
Lo anterior se traduce, en que el ICBF puede recolectar y tratar información personal sin que para ello sea necesario obtener autorización del titular, siempre y cuando lo haga en cumplimiento de su objeto misional y las funciones legalmente asignadas.
Las causales constitutivas de excepción que se han resaltado, son únicamente de aplicación para la Entidad, en tanto su misión y función legal requiere información de sus usuarios y destinatarios directos e indirectos de la prestación del servicio público de bienestar familiar, con el fin de formular políticas de mejoramiento de la calidad, que sean acordes con las necesidades de la comunidad. Todo esto permite realizar estudios estadísticos como herramienta importante para elaborar diagnósticos sobre la eficiencia y eficacia en la respectiva prestación del servicio.
Se debe resaltar, que las excepciones no son genéricas y sólo relevan de la necesidad de requerir autorización previa, por lo que se debe dar cumplimiento a las demás disposiciones de protección de datos, principalmente, que el tratamiento se dé en el marco de los principios contemplados en el artículo 4° de la Ley 1581 de 2012, en especial el de finalidad legítima de acceso e información restringida, el de confidencialidad y el de seguridad.
Al respecto, la Corte Constitucional, en el análisis de constitucionalidad previo a la aprobación de la Ley Estatutaria 1581 de 2012, en Sentencia C-748 de 2011[2] y citando la sentencia C-1011[3] de 2008, concluyó que la falta de autorización puede convertirse en un escenario propicio al abuso de poder, por lo que el acceso "...debe subordinarse a que la entidad administrativa receptora cumpla con las obligaciones de protección y garantía que se derivan del citado derecho fundamental...”, señaló al respecto:
Para la Corte, esto se logra a través de dos condiciones: (i) el carácter calificado del vínculo entre ¡a divulgación del dato y el cumplimiento de las funciones de ¡a entidad del poder Ejecutivo; y (ii) ia adscripción a dichas entidades de los deberes y obligaciones que la normatividad estatutaria predica de los usuarios de la información, habida consideración que ese grupo de condiciones permite la protección, adecuada del derecho.
En relación con la primera de las condiciones, señaló la Corte, que la modalidad de divulgación del dato personal prevista en el precepto analizado devendrá legítima, cuando la motivación de la solicitud de información esté basada en una clara y específica competencia funcional de la entidad "
En cuanto a la segunda condición, se estimó que una vez la entidad administrativa accede al dato personal adopta la posición jurídica de usuario dentro del proceso de administración de datos personales, lo que de forma lógica le impone el deber de garantizar los derechos fundamentales del titular de la información, previstos en la Constitución Política. En consecuencia deberán: “(i) guardar reserva de la información que les sea suministrada por los operadores y utilizarla únicamente para los fines que justificaron la entrega, esto es, aquellos relacionados con la competencia funcional específica que motivó la solicitud de suministro del dato personal: (ii) informar a los titulares del dato el uso que le esté dando al mismo; (iii) conservar con las debidas seguridades la información recibida para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento; y (iv) cumplir con las instrucciones que imparta la autoridad de control, en relación con el cumplimiento de la legislación estatutaria”
La Corte Constitucional, respecto a la segunda excepción aplicable al ICBF, sentenció:
En relación con el tratamiento para fines históricos, estadísticos o científicos, la norma no ofrece reparo de constitucionalidad en razón a que delega a la Ley la manera como estos datos deben ser protegidos, además, debe interpretarse en concordancia con el literal e) del artículo 6 que señala que en estos casos “deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.[4] (Negrilla fuera del texto original)
Consecuente con los hechos relatados, la elaboración de encuestas orientadas a la medición de los índices de satisfacción involucra no solo a población usuaria de la prestación del servicio público de bienestar, sino que la información recaudada y procesada reúne los requisitos descritos en el artículo 10 de la referida Ley 1581 de 2012.
Al respecto, y nuevamente citando el análisis de constitucionalidad del Proyecto de Ley, se concluyó que convergían varios principios, resaltándose el de proporcionalidad, extractando para estos efectos lo siguiente:
"La Sala encuentra que esta excepción cumple con las exigencias del principio de proporcionalidad, ya que (i) cumple una finalidad imperiosa, esta es, el cumplimiento de propósitos de reconstrucción histórica, estadística y científica, finalidades en las existe además un interés de toda ¡a colectividad, toda vez que contribuyen al mejor diseño de políticas públicas y funcionamiento del Estado, a la satisfacción de derechos fundamentales como ¡a salud y la vida, e incluso el derecho colectivo a la verdad. Además, (¡i) la disposición elige un medio adecuado, toda vez que exige en todo caso la supresión de la Identidad del titular, (iii) De esta forma, la disposición establece un balance adecuado entre el derecho al habeas data y los derechos que se satisfacen con las actividades históricas, estadísticas y científicas.
Se hace necesario precisar que a pesar de estar relevados de la obligación de contar con la debida autorización por la estructuración de las excepciones, persiste a cargo de la Entidad, entre otras[5], disponer y garantizar que la información que se recaude cumpla con las medidas orientadas a suprimir la identidad del encuestado para no hacerlas públicas.
Para los fines específicos de este concepto, el Decreto 987 de 2012 impone obligaciones concretas a la Dirección de Servicios de Atención del ICBF, que se traducen en la utilización de resultados estadísticos, siendo el diligenciamiento de las encuestas una herramienta eficaz, objetiva que atiende y da lectura de la percepción ciudadana de la forma y modo en que se presta el servicio de atención por parte de la Entidad.
El Decreto en comento, precisa, en cuanto a las funciones asignadas a la Dirección de Servicios de Atención del ICBF[6] lo siguiente:
(...)
2. Formular planes de mejoramiento de los canales de servicio de la Entidad y proponer estrategias de acercamiento a la comunidad en el marco del mejoramiento a ¡a atención.
3. Liderar la realización de mediciones y análisis de la satisfacción de los niños, niñas, adolescentes, adulto mayor, familias beneficiarlas y ciudadanía en genera!, frente a la prestación del servicio.
4. Caracterizar la población que accede a los servicios del ICBF con el propósito de facilitar el seguimiento y ¡as mejoras en el servido prestado.
La Dirección de Servicios y Atención, ante requerimiento de esta Oficina, manifiesta que la información personal que se utiliza en el proceso de encuesta de satisfacción a usuarios y los resultados generados, son presentados de forma consolidada y no de forma individual, por lo que en ningún momento se pone en riesgo la información sensible o personal del ciudadano encuestado, la cual está efectivamente corroborada con el estudio del formato de la encuesta que es diligenciado.
Medir y evaluar, a través de la aplicación de las encuestas, el nivel de satisfacción de los beneficiarios de los programas y servicios entregados por el ICBF, los cuales han sido previamente priorizados y seleccionados por la Dirección General y las áreas misionales del ICBF, así como caracterizar a la población objeto de medición en cada programa, está debidamente reglado al interior de la Entidad mediante los Procesos de Caracterización de Relación con el ciudadano[7].
Ahora, la actividad orientada a identificar propuestas para formular planes de mejoramiento de los canales de servicio de la Entidad y proponer estrategias de acercamiento a la comunidad en el marco del mejoramiento a la atención, se constituye en un mecanismo de mejoramiento de políticas acordes con las funciones del ICBF y que para el caso están a cargo de la Dirección de Servicios y Atención ya que se constituye como insumo importante para la identificación de aspectos a mejorar y en consecuencia formular los respectivos planes de mejoramiento, siendo viable afirmar que la finalidad institucional requerida para la configuración de la excepción está satisfecha.
La Oficina Asesora Jurídica, ante cuestionamientos anteriores se ha pronunciado al respecto, siendo idéntica orientación interpretativa en cuanto a la forma en que se estructura la excepción:[8]
En primer lugar y en cuanto a la autorización, en nuestro concepto ésta no se debe requerir al realizarse el tratamiento por el ICBF como entidad administrativa y en ejercicio de sus funciones o fines legales, pues es imperioso garantizar que la atención sea efectivamente recibida por la población objetivo y que los recursos de los niños, niñas y adolescentes sean invertidos en ellos, lo que directamente está relacionado con las funciones y competencias legales del Instituto.
Cabe recordar que uno de los principios del tratamiento de datos es el de veracidad o calidad, por el cual “...la información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error", y se debe propender, como responsables del tratamiento, que así sea.
Precisamente, en el texto de solicitud de concepto remitido por la Dirección de Servicios y Atención, se hace énfasis en que la realización de las encuestas tiene como fin dar cumplimiento a una de las funciones institucionales, obligación que una vez satisfecha será el insumo para proponer y dar cumplimiento a la formulación de planes de mejoramiento, imposición hecha también por el Decreto 987 de 2012 mencionado.
A pesar de las particularidades del ejercicio de las obligaciones normativas a cargo de la Dirección de Servicios y Atención de la Entidad, los criterios aquí expuestos se deben hacer extensivos a todas las áreas que involucren la recolección y manejo de información, actuaciones que se deberán armonizar con los presupuestos constitucionales, legales y normativos vigentes.
4. CONCLUSIONES
En consecuencia de las anteriores consideraciones de orden normativo y jurisprudencial, se concluye lo siguiente y se da respuesta de fondo a la solicitud elevada por la Dirección de Servicios y Atención:
1. El ICBF, en ejercicio de sus funciones, sí puede relevarse del requisito contemplado en el artículo 9 de la Ley 1581 de 2012[9], en tanto están acreditados los requisitos que la misma ley y la jurisprudencia exigen para la consolidación de las debidas excepciones. (Artículo 10 ejusdem)
2. Al estar el ICBF relevado del cumplimiento del requisito antes citado para cumplir un aspecto misional puntual, no le exime la obligación de garantizar que la información que se recaude cumpla con las medidas orientadas a suprimir la identidad del encuestado para no hacerlas públicas.
3. Los criterios constitucionales, legales y normativos plasmados en este concepto, a pesar de tener su origen en una solicitud específica, se pueden hacer extensivos en todas y cada una de las actividades que desarrolla el ICBF, consecuencia de sus deberes misionales y funcionales.
4. El recaudo de la información, en cumplimiento de los mandatos legales a cargo del ICBF, se debe hacer en el marco de las garantías constitucionales y legales descritas.
La presente respuesta tiene naturaleza de concepto jurídico y constituye un criterio auxiliar de interpretación de conformidad con los establecido en los artículos 26 del Código Civil y 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, sustituido por el artículo 1° de la Ley 1755 de 2015. No obstante lo anterior, tiene carácter vinculante para las dependencias internas del Instituto y terceros que colaboren en la prestación del servicio público o en el desarrollo de la función administrativa de competencia del ICBF, en virtud de la función asignada a la Oficina Asesora Jurídica de mantener la unidad doctrinaria e impartir las directrices jurídicas necesarias para el desarrollo de las funciones del Instituto, de conformidad con los numerales 8 y 15 del Artículo 6° del Decreto 987 de 2012.
Cordialmente,
EDGAR LEONARDO BOJACÁ CASTRO
Jefe Oficina Asesora Jurídica
2. Sentencia C-748-11 de 6 de octubre de 2011, Magistrado Ponente Dr. Jorge Ignacio Pretelt Chaljub, la Corte Constitucional efectuó la revisión de constitucionalidad del Proyecto de Ley Estatutaria No. 184/10 Senado
3. Sentencia 1011 de 16 de octubre de 2008, Magistrado Ponente Dr. Jaime Córdoba Triviño. Revisión de constitucionalidad del Proyecto de Ley Estatutaria No. 27/06 Senado - 221/07 Cámara (Acum. 05/06 Senado) "por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones.”
4. Mediante Sentencia C-748-11 de 6 de octubre de 2011, Magistrado Ponente Dr. Jorge Ignacio Pretelt Chaljub, la Corte Constitucional efectuó la revisión de constitucionalidad del Proyecto de Ley Estatutaria No. 184/10 Senado, 046/10 Cámara y declaró EXEQUIBLE este artículo
5. Ley 1581 de 2012, artículos 16 y 17.
6. Decreto 987 de 2012, artículo 15. Por el cual se modifica la estructura del Instituto Colombiano de Bienestar Familiar "Cecilia de la Fuente de Lleras” y se determinan las funciones de sus dependencias.
7. https://www.icbf.gov.co/sites/default/files/procesos/c-rc_caracterizacion_relacion_con_el_ciudadano_v3.pdf
8. Concepto No 27 de 2017. ICBF.
9. ARTÍCULO 9o. AUTORIZACIÓN DEL TITULAR. Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior.
