Gov.co
Gobierno de Colombia

Derecho del Bienestar Familiar

Logo ICBF
Menú principal

Concepto 10 de 2022 ICBF

Buscar search
Índice developer_guide

CONCEPTO 10 DE 2022

(septiembre 14)

<Fuente: Archivo interno entidad emisora>

INSTITUTO COLOMBIANO DE BIENESTAR FAMILIAR

MEMORANDO

Asunto: Solicitud de concepto jurídico para el suministro e Intercambio de datos personales para fines científicos, investigativos, estadísticos y/o con finalidad histórica.

Estimados:

De manera atenta y en el marco de nuestras competencias, esta Oficina emite el concepto solicitado, sobre el suministro e intercambio de datos personales para fines científicos, investigativos, estadísticos y/o con finalidad histórica.

Previo análisis del ordenamiento jurídico vigente y con fundamento en los artículos 23 de la Constitución Política, 26 del C.C., 13 del C.P.A.C.A, sustituido por el artículo 1 de la Ley 1755 de 2015, y el numeral 4 del artículo 6 del Decreto 987 de 2012, se procede a dar respuesta en los términos que siguen:

1. PROBLEMA JURÍDICO

La Dirección de Planeación y Control de Gestión solicita que se absuelvan varios cuestionamientos en relación con el suministro de información de datos personales. De acuerdo con las preguntas planteadas en el escrito, esta Oficina puede identificar el siguiente problema jurídico: ¿Cuál es el alcance del régimen de suministro e intercambio de datos personales del ICBF para fines científicos, investigativos, estadísticos y/o con finalidad histórica?

2. RUTA METODOLÓGICA PARA RESPONDER EL PROBLEMA JURÍDICO

Se establecerá un marco normativo común a todas las respuestas, para luego realizar el respectivo análisis jurídico a los conjuntos o bloques de las preguntas formuladas, y finalmente se dará la correspondiente respuesta.

2.1 MARCO NORMATIVO APLICABLE

Con el fin de resolver el asunto se tendrá en cuenta el contenido de la Ley 1712 de 2014. Asimismo, se examinarán las disposiciones en materia de reserva de información contenidas en la Ley 1098 de 2006, modificada por la Ley 1878 de 2018; la Ley 1581 de 2012, el Decreto 1377 de 2013, que posteriormente derogado y unificado en el Decreto 1074 de 2015, y la Ley 1437 de 2011, sustituida en algunas de sus disposiciones por la Ley 1755 de 2015 y también se acudirá a la Ley 1953 de 2019. Adicionalmente, se hará alusión a los instrumentos normativos internos del ICBF, esto es, la Resolución 4286 de 2020, "Por la cual se adopta la Política de Seguridad Digital y Continuidad de la Operación, las Políticas Generales de Manejo y se definen lineamientos frente al uso y manejo de la Información, la política de tratamientos de datos personales del ICBF, el procedimiento para el intercambio o suministro de información de la Entidad, y el procedimiento del proceso administrativo de restablecimiento de derechos.

2.2 ANTECEDENTES EXPUESTOS POR LA DIRECCIÓN DE PLANEACIÓN Y CONTROL DE GESTIÓN

Mediante oficio con radicado 202213000000078243, la Dirección de Planeación y Control de Gestión expone que en su rol de Oficial de Protección de Datos Personales “(lidera) la revisión de los procesos y procedimientos que se aplican para el suministro e intercambio de información que requiere la protección de los datos personales, no obstante lo anterior, en la práctica (ha) detectado algunos vacíos normativos que requieren de un análisis e interpretación y concepto jurídico que permita soportar las respuestas a los diferentes requerimientos internos y externos.”

A partir de este contexto se formularon preguntas, relacionadas con el problema jurídico anunciado, que referiremos más adelante.

3. ANÁLISIS JURÍDICO

El artículo 5 de la Ley Estatutaria 1712 de 2014 incluye a todas las entidades públicas dentro de los sujetos obligados a adoptar las medidas en materia de transparencia. Su artículo 2 indica que toda información en posesión, bajo control o custodia de un sujeto obligado es pública y no podrá ser reservada o limitada sino por disposición constitucional o legal. En consecuencia, por regla general la información que el ICBF como sujeto obligado posea es pública.

3.1. Sin embargo, esta regla cuenta con dos excepciones, a saber: 1) la información pública reservada y 2) la información pública clasificada. Estos dos conceptos solo pueden ser entendidos a partir de la definición legal y jurisprudencial que a continuación se presenta:

3.2. El artículo 5 de la Ley Estatutaria 1581 de 2012 define los datos sensibles como “(...) aquellos que afectan la Intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos."

3.3. A su vez, el dato personal puede ser (i) público o de dominio público, (ii) semiprivado, (iii) privado, y (iv) reservado o secreto. Dicha clasificación fue explicada en la sentencia T- 238 de 2018, así:

1. La información pública es aquella que, según los mandatos de la ley o de la Constitución, puede ser obtenida y ofrecida sin reserva alguna y sin importar si se trata de información general, privada o personal. Se trata por ejemplo de los documentos públicos, las providencias judiciales debidamente ejecutoriadas, los datos sobre el estado civil de las personas o sobre la conformación de la familia. Este tipo de información se puede solicitar por cualquier persona de manera directa y no existe el deber de satisfacer algún requisito para obtenerla.

2. Dato semiprivado. Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de la presente ley”. (Ley 1266 de 2008).

Esta Corporación se ha pronunciado sobre los datos que pueden constituir información semiprivada. En efecto, desde la sentencia T-729 de 2002(1) reiterada por la sentencia C-337 de 2007(2), la Corte señaló que ésta se refiere “a los datos que versan sobre información personal o impersonal que no está comprendida en la regla general anterior, porque para su acceso y conocimiento presenta un grado mínimo de limitación, de tal forma que sólo puede ser obtenida y ofrecida por orden de autoridad administrativa o judicial en el cumplimiento de sus funciones o en el marco de los principios de la administración de datos personales”

3. La información privada es aquella que por versar sobre información personal y por encontrarse en un ámbito privado, sólo puede ser obtenida y ofrecida por orden de autoridad judicial en el cumplimiento de sus funciones. Es el caso de los libros de los comerciantes, los documentos privados, las historias clínicas y la información extraída a partir de la inspección del domicilio.

4. La información reservada versa sobre información personal y guarda estrecha relación con los derechos fundamentales del titular a la dignidad, a la intimidad y a la libertad, motivo por el cual se encuentra reservada a su órbita exclusiva y “(...) no puede siquiera ser obtenida ni ofrecida por autoridad judicial en el cumplimiento de sus funciones. Cabría mencionar aquí la información genética, y los llamados "datos sensibles" o relacionados con la ideología, la inclinación sexual, los hábitos de la persona, etc.'(3)

La Ley Estatutaria 1581 de 2012 establece las condiciones para el tratamiento de los datos. Señala que el titular de la información tendrá, entre otros, el derecho de conocer, actualizar y rectificar sus datos personales frente a los responsables del tratamiento o encargados del mismo; así como solicitar prueba de la autorización otorgada al responsable del tratamiento salvo cuando expresamente se exceptúe como requisito para el tratamiento, de conformidad con lo previsto en el artículo 10 de la citada ley.(4)

3.4. Dentro de los principios consagrados en la norma se encuentra el de finalidad, incluido en el literal b) del artículo 4, así: “el tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cuál debe ser informada al Titular.

3.5. Asimismo, el literal f) del referido artículo, precisa que el tratamiento de datos "se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley (...)”. Aunado a esto, el citado artículo 4 la ley incluye los principios de seguridad y confidencialidad, así:

“g) Principio de segundad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida. consulta, uso o acceso no autorizado o fraudulento;

h) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma." (Se resalta).

Con base en estas cláusulas, queda clara la obligación que pesa sobre los participantes en el tratamiento de datos sensibles para garantizar su confidencialidad, seguridad, circulación restringida y uso adecuado conforme con sus finalidades.

3.6. Sumado a ello, la Ley Estatutaria 1714 de 2014, en el artículo 6, define como datos públicos reservados "aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, es exceptuada de acceso a la ciudadanía". Según el artículo 19, el acceso a esta información "podrá ser rechazado o denegado de manera motivada y por escrito en las siguientes circunstancias, siempre que dicho acceso estuviere expresamente prohibido por una norma legal o constitucional. Por su parte, según el mencionado artículo 2, la información pública clasificada es "aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, pertenece al ámbito propio, particular y privado o semiprivado de una persona natural o jurídica", y su acceso podrá ser negado o exceptuado, siempre que el acceso pudiere causar un daño a derechos como la intimidad o la vida, o los secretos comerciales, industriales o profesionales.

3.7. Ahora bien, el artículo 27 de la Ley 1437 de 2011, sustituido por el artículo 1 de la Ley Estatutaria 1755 de 2015, dispone que “el carácter reservado de una información o de determinados documentos, no será oponible a las autoridades judiciales ni a las autoridades administrativas que, siendo constitucional o legalmente competentes para ello, los soliciten para el debido ejercicio de sus funciones. Corresponde a dichas autoridades asegurar la reserva de las informaciones y documentos que lleguen a conocer en desarrollo de lo previsto en este artículo." (Se resalta).

Así entonces, en los términos de esta última norma, podría inaplicarse la reserva cuando se demuestre que la información es necesaria para el ejercicio de las funciones de una autoridad determinada y existen los mecanismos para conservar la seguridad de la información.

3.8. El ICBF dentro del desarrollo de su objeto, recolecta datos personales de su población usuaria, la cual principalmente corresponden a niños, niñas y adolescentes, las cuales incluyen nombres, edad, fecha de nacimiento, dirección de residencia, entre otros datos generales, o información específica que puede comprender historias de atención, entrevistas psicosociales, entre otras. La naturaleza de estos registros varía entre reservada y clasificada, lo que hace necesario que en cada caso se analice si se configuran las posibles excepciones referidas en las leyes mencionadas. En todo caso, no olvidemos que las normas estatutarias referidas obligan a que, como regla general (salvo para la información pública), todo tratamiento de los datos de una persona sean autorizados por el titular.

3.9. En cuanto a la información clasificada, esta se encuentra directamente ligada a aquella que contenga los datos personales de niños, niñas y adolescentes que recolecta y trata el ICBF.

La Ley 1581 de 2012 estableció las disposiciones generales para la protección de datos personales que se hayan recogido en bases de datos o archivos, y dispone en su artículo 7 que el tratamiento de datos de los niños, niñas y adolescentes se "asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes. Queda proscrito el tratamiento de datos personales de niños, niñas y adolescentes, salvo aquellos datos que sean de naturaleza pública". Esta prohibición fue matizada por la Corte Constitucional en la sentencia C-781 de 2011, en la que se condicionó: "debe interpretarse la expresión "naturaleza pública”, es decir, el tratamiento de los datos personales de los menores de 18 años, al margen de su naturaleza, pueden ser objeto de tratamiento siempre y cuando el fin que se persiga con dicho tratamiento responda al interés superior de los niños, las niñas y, adolescentes y se asegure sin excepción alguna el respeto de sus derechos prevalentes." (subrayas fuera del texto original).

3.10. La anterior ley fue reglamentada por el Decreto 1377 de 2013, el cual fue posteriormente unificado en el Decreto 1074 de 2015, que en lo que corresponde ordenó:

Artículo 2.2.2.25.2.9. Requisitos especiales para el tratamiento de datos personales de niños, niñas y adolescentes. El Tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, de conformidad con lo establecido en el artículo 7o de la Ley 1581 de 2012 y cuando dicho Tratamiento cumpla con los siguientes parámetros y requisitos:

1. Que responda y respete el interés superior de los niños, niñas y adolescentes.

2. Que se asegure el respeto de sus derechos fundamentales.

Cumplidos los anteriores requisitos, el representante legal del niño, niña o adolescente otorgará la autorización previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto. (...)" (Se resalta)

Adicionalmente, el artículo 2 de la Resolución No. 4286 de 2020(5) del ICBF señala que no será necesaria la autorización para el tratamiento del titular de los datos personales en los siguientes casos:

- Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;

- Datos de naturaleza pública;

- Casos de urgencia médica o sanitaria;

- Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos;

Esta regla se replica en el numeral 3.1.3. del procedimiento para el intercambio o suministro de información del ICBF y en el numeral 3.1.4, que indica que "La entidad pública o administrativa en ejercicio de sus funciones legales podrá requerir información clasificada o reservada con envío por una única vez o bien con transferencia recurrente con una periodicidad definida, en cuyo último caso, deberá solicitarse al Oficial de Datos (Dirección de Planeación y Control de Gestión -oficialdatos@icbf.gov.co) la preparación y legalización de un Acuerdo de Colaboración para el Intercambio de Información. Sin embargo, en el caso en que la solicitud sea de único envío, bastará con la solicitud motivada en la que se evidencie que la información es necesaria para el cumplimiento de sus funciones y con la firma de la carta de compromiso de confidencialidad y no divulgación." En efecto, “(en) el caso en que la solicitud de información con único envío sea remitida por una autoridad judicial, ente de control o Congreso de la República, deberán seguirse las instrucciones descritas en la Circular 1 de 2014 del ICBF. En particular, no es necesario solicitar firma previa de carta de compromiso de confidencialidad, por cuanto prima la celeridad del proceso judicial o de control."

Sumado a lo anterior, el procedimiento de intercambio de información contempla las siguientes reglas:

“3.1.6 La información entregada de forma esporádica deberá ser enviada al correo institucional autorizado en la carta de compromiso de confidencialidad y no divulgación. (...)

3.1.7 La información entregada de manera recurrente a través de la suscripción de un acuerdo de intercambio se realizará a través de las condiciones establecidas en el Anexo Técnico, salvaguardando en cualquier caso el acceso y la seguridad de la información.

3.1.8 El oficial de datos custodiará de forma digital las cartas de compromiso y los acuerdos de intercambio firmados. Por tal motivo, las diferentes dependencias del ICBF que actúen como receptoras de solicitudes de información, deberán enviar copia al correo oficialdatos@icbf.gov.co tanto de la solicitud como de la carta de compromiso de confidencialidad firmada por parte de las entidades públicas que accedan a información clasificada o reservada por única vez.

3.1.9 Cuando cualquiera de las áreas misionales o regionales del ICBF identifique la necesidad de intercambio de información periódico en custodia de una entidad externa, deberá informarlo al oficial de datos (oficialdatos@icbf.gov.co), quién iniciará el proceso de acercamiento y observancia de los procedimientos tanto de la entidad externa, como de los aquí mencionados para el ICBF.

(…)

3.1.11 Los responsables de recibir la solicitud y tramitarla en sede serán los profesionales designados por las áreas de Subdirección General, Dirección de Planeación y Control de Gestión, y las áreas misionales Servicios y Atención, dirección de Protección, Dirección de Primera Infancia, Dirección de Niñez y Adolescencia, Dirección."

Como se observa, este procedimiento resulta importante a fin de comprender el rol del Oficial de Protección de Datos al interior de la Entidad.

3.11. Ahora bien, teniendo en cuenta que la solicitud tiene cuestionamientos referentes a la posibilidad de anonimización de datos personales, es pertinente hacer referencia al marco normativo que permite esta acción, con el fin de compartir dichos datos respetando la confidencialidad de los mismos.

El marco normativo colombiano sobre protección de datos parte del derecho a la intimidad personal y familiar y el derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido en las bases de datos y en archivos de entidades públicas y privadas(6).

En ese mismo sentido, la Ley 1266 de 2008 establece la confidencialidad de la información, así como la seguridad de la misma y su circulación restringida. Principios reiterados igualmente por la Ley 1581 de 2012 y su Decreto reglamentario 1377 de 2013, compilado en el Decreto 1081 de 2015.

Dichos principios hacen alusión a que todas las personas naturales o jurídicas que intervengan en la administración de datos personales que no tengan la naturaleza de públicos, están obligadas en todo tiempo a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende la administración de datos (confidencialidad). Así mismo, La información sujeta a tratamiento se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento (Seguridad).

Así mismo se cuenta con la Ley 79 de 1993(7), en la cual se establece mantener la confidencialidad de las fuentes cuando se realizan procesos de recolección de información a través de censos o encuestas. Se encuentra también la Ley de transparencia y de acceso de la información pública, Ley 1712 de 2014, que regula el derecho de acceso a la información pública, haciendo énfasis en el establecimiento de una política de datos abiertos por parte de las entidades públicas.(8)

En el año 2018 se profirió el Conpes 3920 sobre política Nacional de explotación de datos. Allí se estableció que para hacer efectivo el principio de máxima publicidad que hace parte del derecho de acceso a la información pública incorporado en la Ley 1712 de 2014, es necesario "establecer estándares de anonimización. Para esto, el Archivo General de la Nación, en articulación con el Ministerio de Tecnologías de la Información y las Comunicaciones, la Superintendencia de Industria y Comercio, el Departamento Administrativo de la Fundón Pública, el Departamento Nacional de Planeación y el Departamento Administrativo Nacional de Estadística, publicará, en diciembre de 2019, el documento que defina los estándares y lineamientos técnicos que orienten el proceso de anonimización de datos personales, así como los criterios para minimizar la recolección de datos personales, cuando estos no sean necesarios en casos concretos. Esto, de acuerdo con las alternativas técnicas disponibles que deben aplicarse a los conjuntos de datos para eliminar los identificadores personales directos e indirectos, de forma tal que sea posible la publicación de mayores conjuntos de datos abiertos y se facilite la compartición entre entidades, garantizando los derechos de los titulares. ”

De acuerdo con dicho mandato, el Archivo General de la Nación presentó la Guía de Anonimización de Datos Estructurados - Conceptos generales y propuesta metodológica, la cual fue desarrollada en articulación con el Ministerio de Tecnologías de la Información y las Comunicaciones, la Superintendencia de Industria y Comercio, el Departamento Administrativo de la Función Pública, el Departamento Nacional de Planeación y el Departamento Administrativo Nacional de Estadística, con el fin de precisar conceptos y proporcionar una orientación metodológica para realizar procesos de anonimización de datos personales e información, producidos o gestionados por entidades públicas y privadas con funciones públicas.(9)

Dicho documento está dirigido a las entidades y organizaciones que realicen tratamiento de datos personales, es decir que gestionen, almacenen, administren, obtengan, produzcan, procesen, custodien y publiquen información independientemente de su soporte o medio y que deban dar cumplimiento a la normatividad de protección de datos personales.(10)

La Guía de anonimización de datos estructurados define el proceso de anonimización como aquél según el cual “se condiciona un conjunto de datos de modo que no se pueda identificar a una persona, pero pueda ser utilizada para realizar análisis técnico y científico válido sobre ese conjunto de datos (MIT, 2007)."

En ese sentido señala el documento que “para el cumplimiento de los estándares de anonimización, los datos deben ser despojados de elementos suficientes para que el titular de los datos ya no pueda ser identificado, y por lo tanto estos datos deben procesarse para que no sea posible identificar a una persona mediante el uso de todos los medios razonables para ser utilizados por cualquier otra persona (Data Protection Commission, 2019).''

Es importante decir que dicho proceso de anonimización de datos personales, según la Guía proferida por el Archivo General de la Nación “requiere una adecuada comprensión del propósito final de la utilización de la información, así como de su nivel de utilidad, teniendo en cuenta que independientemente de las técnicas empleadas, una vez realizado el proceso de anonimización se reduce la información original del conjunto de datos. Por tal motivo es importante que la entidad administradora de los datos decida el costo de oportunidad entre la utilidad que se busca obtener a partir de los datos y el nivel de riesgo de reidentificación (PDPC, 2018)."

La Guía considera que una vez los datos son anonimizados, estos se pueden usar, reutilizar y divulgar sin violar el derecho a la protección de datos de los titulares de la información.(11)

No obstante lo anterior, la entidad debe tener en cuenta que el proceso de anonimización lleva implícito el riesgo de reidentificación para el cual, menciona la Guía de anonimización, “la evaluación de riesgos de reidentificación puede ser comprendida como una actividad dentro de la política de evaluación de impacto de privacidad implementada por la entidad."

En ese sentido, la Guía enumera tres principales riesgos de la anonimización: 1. La Singularización; 2. la Vinculabilidad y 3. la Inferencia.

La singularización “ocurre cuando es posible distinguir, extraer o particularizar los datos relacionados que identifican a una persona dentro de un conjunto de datos o de algunos datos (o todos los datos). Esto puede deberse a que la información relacionada con un individuo tiene un valor único y se podría identificar, distinguir o particularizar dentro de un conjunto de personas.”(12)

La vinculabllidad hace referencia a que “cualquier enlace de datos o identificadores en un conjunto de datos hará que sea más probable que un individuo sea identificable. Este riesgo ocurre cuando se pueden vincular como mínimo dos datos de una única persona o de un grupo de interesados, ya sea en la misma base de datos o en dos bases de datos distintas. No basta con aislar los datos de un individuo de una base de datos si al compararla con otra permite identificarlo respecto a un grupo. "(13)

Y la Inferencia “consiste en inferir o deducir un vínculo entre dos elementos de información en un conjunto de datos, aunque la información no esté explícitamente vinculada. ”(14)

De acuerdo con estos tres principales riesgos, el ICBF debe establecer políticas y procedimientos que definan las condiciones de acceso a los datos y definir estrategias en aras de prevenirlos, impedir la reidentificación e imposibilitar el mal uso por parte del responsable del tratamiento o de cualquier tercero.(15)

4. RESPUESTAS A LAS PREGUNTAS FORMULADAS

Para desarrollar la respuesta a los interrogantes se tomó la numeración general de la solicitud, esto es, los tres bloques de preguntas. Se agruparon las preguntas por su relación conceptual y en algunos casos su similitud. Las respuestas tienen numeración propia e independiente para facilitar la referenciación de las mismas.

En todo caso, debido a la generalidad de las preguntas que presenta la Dirección de Planeación, la Oficina Asesora Jurídica reitera la siguiente advertencia que, sumadas a las reglas enlistadas en el numeral 3 de este documento, aplica de manera general, sobre todo para el acceso a datos no públicos por parte de particulares:

El ICBF dentro del desarrollo de su objeto, recolecta datos personales de su población usuaria, la cual principalmente corresponde a niños, niñas y adolescentes, las cuales incluyen fecha de nacimiento, dirección de residencia, entre otros datos, o información específica que puede comprender historias de atención, entrevistas psicosociales, entre otras. La naturaleza de estos registros varía entre reservada y clasificada, lo que hace necesario que en cada caso se analice si se configuran las posibles excepciones referidas en las leyes mencionadas. En todo caso, no olvidemos que las normas estatutarias referidas obligan a que, como regla general (salvo, para la información pública), todo tratamiento de los datos de una persona debe ser autorizado expresamente por cada titular.

Para el caso de las niñas, los niños y los adolescentes, la entrega de la información (salvo la eminentemente pública) estará condicionada a que se cumplan con la prevalencia y protección de sus derechos. Además, deberá contar con la autorización de la niña, el niño o el adolescente y/o su representante legal.

1. Primer bloque de preguntas

“1.1. ¿En el ICBF qué funcionarios estarían facultados para suscribir memorandos de entendimiento, acuerdos o convenios interadministrativos, de cooperación con entidades públicas, cuyo objeto sea el suministro o intercambio de información? Lo anterior, en razón a que por lo general se encuentran soportados en el principio de colaboración entre entidades contemplado en los artículos 6 y 95 de la Ley 489 de 1998, artículo 14 de la Ley 962 de 2005, por lo que no se rigen por la Ley 80 de 1993 y no requieren erogación para ninguna de las partes.

1.2. ¿Es posible suscribir memorandos de entendimiento, acuerdos o convenios de cooperación con entidades de carácter privado, cuyo objeto sea el suministro o intercambio de información?

1.3. ¿Cuáles serían los aspectos que se requeriría contemplar para validar la pertinencia de suministrar las bases de datos personales de los usuarios (niños, niñas, adolescentes, jóvenes, mujeres gestantes, familias) y talento humano del ICBF? ¿ Es viable contemplar cláusulas contractuales relacionada con el tratamiento de los datos personales de los niños, niñas, adolescentes, jóvenes, mujeres gestantes, familias y talento humano?”

Respuesta No.1: La suscripción de convenios que vinculen al ICBF corresponde a quien ostente su representación legal o quien haya sido adecuadamente delegado para estos efectos. De acuerdo con el manual de funciones de la Entidad, esta representación corresponde al Director General. Esto incluye los acuerdos de intercambio de información. Estos acuerdos podrán suscribirse con entidades de carácter privado cuando el uso de la información sea pública y, en caso de que no sea pública, corresponda a un fin constitucionalmente admisible y cuente con autorización del titular según lo expuesto en el análisis jurídico de este concepto.

Ello bajo las limitaciones de autorización precitadas cuando se trata de información no pública, clasificada o reservada. También se debe tener en cuenta el artículo 27 de la Ley 1437 de 2011, sustituido por el artículo 1 de la Ley Estatutaria 1755 de 2015.

"1.4. ¿Es posible suministrar información de datos personales de los niños, niñas, adolescentes, jóvenes, mujeres gestantes, familias y talento humano a entidades públicas, privadas u organismos de cooperación internacional, que tenga el ICBF pero que provenga de otra entidad y que haya sido procesada por el ICBF?'

Respuesta No. 2: Las normas estatutarias referidas en el numeral 3 de este documento obligan a que, como regla general (salvo para la información pública), todo tratamiento de los datos de una persona debe ser autorizado expresamente por cada titular sin importar si se trata de entidades públicas, privadas u organismos de cooperación internacional, y sin perjuicio de lo establecido para las primeras en el artículo 27 del CPACA.

Para el caso de las niñas, los niños y los adolescentes, la entrega de la información (salvo la eminentemente pública) estará condicionada a que se cumplan con la prevalencia y protección de sus derechos. Además, deberá contar con la autorización de la niña, el niño o el adolescente y/o su representante legal.

El tratamiento de la información correspondiente a los datos personales del talento humano de otras entidades públicas, privadas e internacionales dependerá de los términos bajo los cuales dicha información haya sido suministrada al ICBF, por lo cual deberá considerarse cada caso particular. Sin perjuicio de esto, se deben observar las previsiones de la Ley 1712 de 2014 en relación con el acceso a información clasificada y reservada, así como la Ley 1581 de 2012 en relación con el tratamiento de datos personales, en particular los principios de seguridad y confidencialidad.

2. Segundo bloque de preguntas

"En el marco del procedimiento P3.MS para la Elaboración de Estudios. Evaluaciones e Investigaciones, se vienen desarrollando investigaciones externas en las cuales participan organizaciones como universidades y firmas de consultoría nacionales y extranjeras, y que requieren del ICBF el suministro de bases con información que contiene datos personales de niños, niñas, adolescentes, jóvenes, mujeres gestantes, familias y talento humano. Bajo este precepto se solicita concepto con respecto a lo siguiente: 2.1. Si el proceso surge de investigaciones externas contratadas por el ICBF. Sustento para el suministro de información ¿ Cuáles serían los aspectos que se requeriría contemplar en la contratación para validar la pertinencia de suministrar las bases de datos personales de los niños, niñas, adolescentes, jóvenes, mujeres gestantes familias y talento humano? ¿Es viable contemplar cláusulas contractuales relacionadas con el tratamiento de los datos personales de los niños, niñas, adolescentes, jóvenes, mujeres gestantes familias y talento humano? ¿Cuál sería el instrumento o herramienta idónea para efectuar el suministro de la información? ¿Sería necesario, suscribir un documento adicional al contrato inicial, como un formato, carta o memorando de entendimiento, acuerdo o convenio de suministro e intercambio de información? ¿O el formato de compromiso de confidencialidad y no divulgación es suficiente para salvaguardar la protección integral De los derechos de los niños, niñas, adolescentes, jóvenes, mujeres gestantes familias y talento humano v garantizar el tratamiento de la información para el único fin descrito en la investigación? ¿Es posible solicitar ajustes o negar el suministro de información de datos, basado en la ausencia de una finalidad clara o diferente a la estipulada en el contrato, que responda y respete el interés superior de los niños, niñas, adolescentes, mujeres gestantes familias y talento humano?'

Respuesta No. 3: Remítase al contenido de las respuestas No. 1 y No. 2. Lo allí señalado es plenamente aplicable a las respuestas de las preguntas agrupadas en este punto. En efecto, se debe verificar completamente la finalidad del suministro de información que se pretende realizar, así como el cumplimiento de los requisitos normativos previamente citados.

Respecto a la pregunta sobre la posibilidad de solicitar ajustes o negar el suministro de información de datos, basado en la ausencia de una finalidad clara o diferente a la estipulada en el contrato, que responda y respete el interés superior de los niños, niñas, adolescentes, mujeres gestantes familias y talento humano, precisamente lo que disponen las normas citadas es que la finalidad del uso de la información debe estar claramente determinada, de manera que en ese supuesto no se podría suministrar la información.

“En caso de que no se estipule en los estudios previos, en el contrato o el algún formato adicional, ¿es viable compartir o suministrar los datos personales con identificación en estos casos o debe surtirse siempre un proceso de remover la identificación de los titulares y todas las variables que luego del cruce de la información permitan la identificación de los niños, niñas, adolescentes, jóvenes, mujeres gestantes familias y talento humano? En caso de que no se estipule en los estudios previos, en el contrato o el algún formato adicional y se requiera cruzar la información del ICBF con otras fuentes ¿Es viable requerir al contratista que remita la información de las otras fuentes con el fin de efectuar los cruces de información y remitir la información cruzada con la supresión de identidad de los niños, niñas y adolescentes?”

Respuesta No. 4: Cuando no se estipule el suministro de información dentro de los estudios previos, pero ello se requiera en el marco de la ejecución del objeto del contrato y sus obligaciones, se deberá con la autorización del titular y los demás requisitos referidos en el numeral 3 de este escrito y, una vez se cuente con ello, se podrá suscribir un acuerdo de confidencialidad en los términos descritos en la Respuesta No. 1.

En relación con el cruce de información con otras fuentes, en efecto se requiere de la anonimización de dicha información cuando se trate de niños, niñas y adolescentes y demás datos privados, en cumplimiento de los principios de seguridad y confidencialidad descritos en la Ley 1581 de 2012. Es importante aclarar que el proceso de anonimización en ningún caso hace pública la información, se trata de un proceso adecuación técnica que permite su transmisión con restricciones. No obstante, este proceso de anonimización, como se mencionó en precedencia (ver numeral 3.11), debe cumplir con unos parámetros para el evitar el riesgo de reidentificación, para lo cual la entidad debe proferir un lineamiento que defina las condiciones de acceso a los datos y definir estrategias en aras de prevenir los riesgos ya descritos e imposibilitar el mal uso por parte del responsable del tratamiento o de cualquier tercero.

"En los casos en los que la Investigación contratada por el ICBF requiera que el contratista recolecte información en campo de los niños, niñas, adolescentes, jóvenes, mujeres gestantes familias y talento humano aplicando instrumentos como encuestas, entrevistas, grupos focales, cuestionarios, observaciones in situ, talleres, etc. ¿Es viable entregar datos personales y de contacto con el fin de que el contratista pueda contactar a la población de interés? En el caso de que se requiera hacer una muestra representativa de la población de interés ¿puede entregarse información de identificación y de contacto de la totalidad de la población para que el contratista realice la muestra o debe requerirse que la muestra se realice utilizando información anonimizada y posteriormente entregar únicamente los datos de identificación y contacto de los niños, niñas, adolescentes, jóvenes, mujeres gestantes familias y talento humano seleccionados en la muestra? ¿Se requiere un nuevo consentimiento informado y suscrito por el joven, mujer gestante, miembro de la familia, talento humano o representante legal, tutor o autoridad competente de los niños, niñas y adolescentes, de acuerdo con el propósito o fin propio de la investigación contratada? O es suficiente con el consentimiento otorgado para el desarrollo de la oferta institucional. ¿ Cuáles son los aspectos que debe contemplar el consentimiento informado y suscrito por el joven, mujer gestante, miembro de la familia, talento humano o el representante legal, tutor o autoridad competente de los niños, niñas y adolescentes?'

Respuesta No. 5: Favor tener en cuenta los principios y reglas definidos en el numeral 3 de este documento y la respuestas 1 y 2. En este punto es necesario reiterar que el artículo 2.2.2.25.2.9 del Decreto 1074 de 2015 señala que el tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública y cuando dicho tratamiento cumpla con los siguientes parámetros y requisitos: 1) Que responda y respete el interés superior de los niños, niñas y adolescentes; 2) Que se asegure el respeto de sus derechos fundamentales; y 3) Que el representante legal del niño, niña o adolescente otorgue la autorización previo ejercicio del menor de edad de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.

Sumado a esto, el artículo 2 de la Resolución No. 4286 de 2020 señala que no será necesaria la autorización para el tratamiento del titular de los datos personales en los siguientes casos; 1) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial; 2) Datos de naturaleza pública; 3) Casos de urgencia médica o sanitaria; 4) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.

Es ideal que frente a las preguntas formuladas debe prevalecer la anonimización como mecanismo de salvaguarda de la seguridad y confidencialidad de la información suministrada, principios descritos en la Ley 1581 de 2012 y lo dispuesto en el artículo 21 de la Ley 1712 de 2014. Es importante aclarar que el proceso de anonimización en ningún caso hace pública la información, se trata de un proceso adecuación técnica que permite su transmisión y el mismo debe ser regido por un lineamiento que dicte la entidad para evitar los riesgos descritos anteriormente.(ver numeral 3.11).

Si el consentimiento informado otorgado para el desarrollo de la oferta institucional no contempla la información que se requiera para realizar la muestra representativa o cualquier estudio adicional deberá suscribirse una nueva autorización del titular de los datos que contenga la información a entregar. Para ello, se podría adecuar el consentimiento al formato aprobado por el ICBF para dichos efectos (disponible en: https://www.icbf.gov.co/formato-de-consentimiento-informado-y-participacion-v4).

"¿Cuáles serían las disposiciones o medidas administrativas, conminativas y sancionatorias que se podrían establecer con el fin de mitigar el riesgo de la divulgación de la información suministrada por el ICBF? ¿Cuál sería el trámite en caso de una presunta vulneración, filtración divulgación de la información suministrada por el ICBF?

¿ Se vería afectada la gestión del ICBF?'

Respuesta: No. 6: El capítulo II del Título VIl de la Ley 1581 de 2012 contempla el trámite de imposición de sanciones a los encargados(16) y responsables(17) del tratamiento de datos personales, así:

“Artículo 22. Trámite. La Superintendencia de industria y Comercio, una vez establecido el incumplimiento de las disposiciones de la presente ley por parte del Responsable del Tratamiento o el Encargado del Tratamiento, adoptará las medidas o impondrá las sanciones correspondientes.

En lo no reglado por la presente ley y los procedimientos correspondientes se seguirán las normas pertinentes del Código Contencioso Administrativo.

Artículo 23. Sanciones. La Superintendencia de industria y Comercio podrá imponer a los Responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones:

a) Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó;

b) Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar;

c) Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio;

d) Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles;

Parágrafo. Las sanciones indicadas en el presente artículo sólo aplican para las personas de naturaleza privada. En el evento en el cual la Superintendencia de Industria y Comercio advierta un presunto incumplimiento de una autoridad pública a las disposiciones de la presente ley, remitirá la actuación a la Procuraduría General de la Nación para que adelante la investigación respectiva.

Artículo 24. Criterios para graduar las sanciones. Las sanciones por infracciones a las que se refieren el artículo anterior, se graduarán atendiendo los siguientes criterios, en cuanto resulten aplicables:

a) La dimensión del daño o peligro a los intereses jurídicos tutelados por la presente ley;

b) El beneficio económico obtenido por el infractor o terceros, en virtud de la comisión de la infracción;

c) La reincidencia en la comisión de la infracción;

d) La resistencia, negativa u obstrucción a la acción investigadora o de vigilancia de la Superintendencia de Industria y Comercio;

e) La renuencia o desacato a cumplir las órdenes Impartidas por la Superintendencia de Industria y Comercio;

f) El reconocimiento o aceptación expresos que haga el investigado sobre la comisión de la infracción antes de la imposición de la sanción a que hubiere lugar."

De acuerdo con la norma citada una de las principales herramientas con las que cuenta cualquier entidad pública para procurar la investigación y sanción de una falta en el tratamiento de datos sensibles corresponde a la respectiva remisión a la Superintendencia de Industria y Comercio.

Adicionalmente, en relación con los servidores públicos, el artículo 38 de la Ley 1952 de 2019 contempla dentro de sus deberes “5. Utilizar los bienes y recursos asignados para el desempeño de su empleo, cargo o función, las facultades que le sean atribuidas, o la información reservada a que tenga acceso por razón de su función, en forma exclusiva para los fines a que están afectos”, y “6. Custodiar y cuidar la documentación e información que por razón de su empleo, cargo o función conserve bajo su cuidado o a la cual tenga acceso, e impedir o evitar la sustracción, destrucción, ocultamiento o utilización indebidos."

El incumplimiento de estos deberes podría constituir una falta disciplinaria en los términos previstos en la norma citada. De manera que la investigación y juzgamiento de este tipo correspondería, según la competencia específica, a la Oficina de Control Interno Disciplinario o a la Procuraduría General de la Nación. Si se trata de un contratista, se deberá verificar si el hecho constituye un incumplimiento de las obligaciones contractuales para proceder con el procedimiento sancionatorio correspondiente. Finalmente, el artículo 194 del Código Penal señala que el que en provecho propio o ajeno o con perjuicio de otro divulgue o emplee el contenido de un documento que deba permanecer en reserva, incurrirá en multa, siempre que la conducta no constituya delito sancionado con pena mayor.

”2.2. Si el proceso surge de proyectos de investigación presentados por universidades, grupos de investigación o similares interesados en realizar investigaciones en temáticas relacionadas con la misionalidad del ICBF Sustento y condiciones para el suministro de información Investigaciones que requieren Información administrativa; ¿Cuáles serían los aspectos que se requeriría exigir en los proyectos de investigación para validar la pertinencia de suministrar las bases de datos personales de los niños, niñas, adolescentes, jóvenes, mujeres gestantes, familias y talento humano? ¿Cuál sería el instrumento o herramienta idónea para efectuar el suministro de la información? ¿Es posible suscribir una carta o memorando de entendimiento, un acuerdo o convenio de suministro de información? ¿O la carta de compromiso de confidencialidad y no divulgación es suficiente para salvaguardar los datos personales, en garantía de la protección integral de los derechos de los niños, niñas, adolescentes, jóvenes, mujeres gestantes, familias y talento humano y el tratamiento de la información para el único fin descrito en la investigación? ¿Es viable compartir datos personales con identificación en estos casos o debe surtirse siempre un proceso de remover la identificación de los titulares y todas las variables que luego del cruce de la información permitan la identificación de los niños, niñas, adolescentes, jóvenes, mujeres gestantes, familias y talento humano ? En caso de que se requiera cruzar la información del ICBF con otras fuentes ¿ Es viable requerir a la universidad, o estudiante que remita la información de las otras fuentes con el fin de efectuar los cruces de información y remitir la información cruzada con la supresión de identidad de los niños, niñas y adolescentes? ¿Es posible solicitar ajustes o negar el suministro de información de datos, basado en la ausencia de una finalidad clara, que responda y respete el interés superior de los niños, niñas, adolescentes, mujeres gestantes familias y talento humano?”

Respuesta No. 7: Remítase al contenido de las respuestas No. 1, No. 2 y No. 4. Lo allí señalado es plenamente aplicable a las respuestas de las preguntas agrupadas en este punto.

Sobre la pregunta “¿Es viable requerir a la universidad, o estudiante que remita la información de las otras fuentes con el fin de efectuar los cruces de información y remitir la información cruzada con la supresión de identidad de los niños, niñas y adolescentes?" no se encuentra un problema jurídico bajo la competencia de este despacho.

“¿Cuáles serían los aspectos que se requeriría exigir en los proyectos de investigación para validar la pertinencia de suministrar las bases de datos personales de los niños, niñas, adolescentes, jóvenes, mujeres gestantes, familias y talento humano? ¿Cuál sería el instrumento o herramienta idónea para efectuar el suministro de la información ? ¿Es suficiente el aval al proyecto de investigación externa o es necesario suscribir una carta o memorando de entendimiento, o requiere suscribir un acuerdo o convenio de suministro de información? ¿O la carta de compromiso de confidencialidad y no divulgación es suficiente para salvaguardar la protección integral de los derechos de los niños, niñas, adolescentes, jóvenes, mujeres gestantes, familias y talento humano y el tratamiento de la información para el único fin descrito en la investigación? En estos casos en los que la investigación requiere que el investigador externo recolecte información en campo de los niños, niñas, adolescentes, jóvenes, mujeres gestantes familias y talento humano aplicando instrumentos como encuestas, entrevistas, grupos focales, cuestionarios, observaciones in situ, talleres, etc. ¿Es viable entregar datos personales y de contacto con el fin de que el investigador pueda contactar a la población de interés? En el caso de que se requiera hacer una muestra representativa de la población de interés ¿puede entregarse información de identificación y de contacto de la totalidad de la población para que el investigador realice la muestra o debe requerirse que la muestra se realice utilizando información anonimizada y posteriormente entregar únicamente los datos de identificación y contacto de los niños, niñas, adolescentes, jóvenes, mujeres gestantes familias y talento humano seleccionados en la muestra? Partiendo de que la mayoría de los proyectos que se presentan por este procedimiento corresponde a trabajos de grado de pregrado, maestría o doctorado y tienen un alcance limitado, ¿ es posible restringir la cantidad de datos personales y de contacto de niños, niñas, adolescentes, jóvenes, mujeres gestantes familias y talento humano que se pueden entregar por este procedimiento (por ejemplo, no más de 100 o 200 registros)? ¿es viable avalar por este procedimiento proyectos de investigación de PNG o centros de investigación públicos o privados que pretenden realizar levantamientos de información de mayor envergadura (por ejemplo, regionales enteras o a escala nacional)? ¿o en estos casos será necesario que el investigador acuda a otros instrumentos como un acuerdo o convenio? ¿Se requiere un nuevo consentimiento informado y suscrito por el joven, mujer gestante, miembro de la familia, talento humano o el representante legal, tutor o autoridad judicial competente de los niños, niñas y adolescentes, de acuerdo con el propósito o fin propio del proyecto de investigación? O es suficiente con el consentimiento otorgado para el desarrollo de la oferta institucional. ¿ Cuáles son los aspectos que debe contemplar el consentimiento informado y suscrito por el joven, mujer gestante, miembro de la familia, talento humano o el representante legal, tutor o autoridad competente de los niños, niñas y adolescentes? En el caso que el investigador o estudiante requiera el levantamiento de información a través de encuestas u otros mecanismos sobre datos de contacto suministrados por el ICBF, ¿es posible para el ICBF exigir al investigador el consentimiento informado suscrito por el representante legal, tutor o autoridad judicial competente? Acciones en el caso de divulgación de la información suministrada por el ICBF Teniendo en cuenta que actualmente no se suscribe ningún documento diferente al formato de compromiso de confidencialidad y no divulgación ¿Cuáles serían las disposiciones o medidas administrativas, conminativas y sancionatorias que se podrían establecer con el fin de mitigar el riesgo de la divulgación de la información suministrada por el ICBF? Teniendo en cuenta que actualmente no se suscribe ningún documento diferente al formato de compromiso de confidencialidad y no divulgación ¿ Cuál sería el trámite en caso de una presunta vulneración, filtración divulgación de la información suministrada por el ICBF? ¿Es posible reportar ante la Superintendencia de Industria y Comercio?'

Respuesta No.8: En primer lugar, remítase al contenido de las respuestas No. 1, No. 2, No. 4 y No. 5. Lo allí señalado es plenamente aplicable a las respuestas de las preguntas agrupadas en este punto.

Las preguntas relacionadas con el desarrollo de proyectos de investigación no denotan un claro contenido jurídico. Sin embargo, es importante reiterar una vez más, que para este tipo de ejercicios efectivamente se requiere la autorización del titular, pues de otra manera la información no podría ser trasladada o compartida.

Ahora bien, si se trata de autoridades judiciales el conducto del tratamiento de datos personales será el previamente descrito para dichos casos según lo establecido en la normativa interna.

“2.3. Si el proceso se surge de investigaciones externas con un Organismo internacional. ¿ Cuáles serían los requisitos del Organismo Internacional para que el ICBF valide la pertinencia de suministrar las bases de datos personales de los niños, niñas, adolescentes, jóvenes, mujeres gestantes, familias y talento humano? ¿Es viable compartir datos personales con identificación en estos casos o debe surtirse siempre un proceso de remover la identificación de los titulares y todas las variables que luego del cruce de la información permitan la identificación de los niños, niñas, adolescentes, jóvenes, mujeres gestantes, familias y talento humano? ¿Cuál sería el instrumento o herramienta idónea para efectuar el suministro de la información? ¿O la carta de compromiso de confidencialidad y no divulgación es suficiente en garantía de la protección integral de los derechos de los niños, niñas, adolescentes, jóvenes, mujeres gestantes, familias o talento humano? Lo anterior teniendo en cuenta que los organismos internacionales proponen instrumentos diferentes a los establecidos en la normatividad colombiana. ¿ Cuáles serían las disposiciones o medidas administrativas, conminativas y sancionatorias que se podrían establecer con el fin de mitigar el riesgo de la divulgación de la información suministrada por el ICBF? ¿Cuál sería el trámite en caso de una presunta vulneración, filtración divulgación de la información suministrada por el ICBF, teniendo en cuenta que es un Organismo Internacional? En los casos en los que la investigación requiera que el Investigador recolecte Información en campo de los niños, niñas, adolescentes, jóvenes, mujeres gestantes familias y talento humano aplicando instrumentos como encuestas, entrevistas, grupos focales, cuestionarios, observaciones in situ, talleres, etc. ¿Es viable entregar datos personales y de contacto con el fin de que el investigador pueda contactar a la población de interés? En el caso de que se requiera hacer una muestra representativa de la población de interés ¿puede entregarse información de identificación y de contacto de la totalidad de la población para que el investigador realice la muestra o debe requerirse que la muestra se realice utilizando información anonimizada y posteriormente entregar únicamente los datos de identificación y contacto de los niños, niñas, adolescentes, jóvenes, mujeres gestantes familias y talento humano seleccionados en la muestra? ¿Se requiere un nuevo consentimiento informado y suscrito por el joven, mujer gestante, miembro de la familia, talento humano o representante legal, tutor o autoridad judicial competente de los niños, niñas y adolescentes, de acuerdo con el propósito o fin propio del proyecto de investigación? O es suficiente con el consentimiento otorgado para el desarrollo de la oferta institucional. En el caso que el organismo internacional requiera el levantamiento de información a través de encuestas u otros mecanismos sobre datos de contacto suministrados por el ICBF, ¿es posible exigir el consentimiento informado suscrito por la persona o el representante legal, tutor o autoridad judicial competente? ¿Es posible solicitar ajustes o negar el suministro de información de datos, basado en la ausencia de una finalidad clara, que responda y respete el interés superior de los niños, niñas, adolescentes, mujeres gestantes familias y talento humano? Acciones en el caso de divulgación de la información suministrada por el ICBF -¿Cuáles serían las disposiciones o medidas administrativas, conminativas y sancionatorias que se podrían establecer con el fin de mitigar el riesgo de la divulgación de la información suministrada por el ICBF? ¿ Cuál sería el trámite en caso de una presunta vulneración, filtración divulgación de la información suministrada por el ICBF?'

Respuesta No. 9: Remítase al contenido de las respuestas No. 1, No. 2, No. 4 y No. 5. Lo allí señalado es plenamente aplicable a las respuestas de las preguntas agrupadas en este punto.

Además, si se trata de organismos internacionales el tratamiento de datos debe regirse por lo dispuesto en el artículo 26 (18) de la Ley 1581 de 2012 y por lo dispuesto en la Circular Externa 005 de 2017 proferida por la Superintendencia de Industria y Comercio.

3. Tercer bloque de preguntas

"En el caso que, durante los operativos de campo desarrollados en el marco de las evaluaciones, investigaciones, encuestas, estudios y análisis se identifiquen conductas o situaciones asociadas a la posible amenaza o vulneración de los derechos de los niños, niñas o adolescentes que impliquen una solicitud de restablecimiento de derechos 3.1. ¿Cuál es el trámite Correspondiente? 3.2. ¿Es posible poner en conocimiento del Enlace designado, supervisor u autoridad competente? 3.3. Además de poner en conocimiento al competente, ¿es viable adelantar algún tipo de trámite adicional con otra autoridad, teniendo en cuenta las consecuencias de la inobservancia, amenaza o vulneración de estos derechos? 3.4. Si se pretende poner en conocimiento de estas situaciones a la autoridad competente ¿Se requiere que en el consentimiento informado se estipule con claridad que, en caso de identificarse posibles conductas o situaciones asociadas a la inobservancia, amenaza o vulneración de los derechos de los niños, niñas o adolescentes estás serán puestas en conocimiento de la autoridad competente? 3.5. ¿Debe primar la proyección de la privacidad y confidencialidad de los encuestados y la protección de los datos personales? Esto teniendo en cuenta que los consentimientos informados indican que la información será usada únicamente para fines de la investigación y que los datos y la identidad de los encuestados será protegidos. Actuar en contra de lo indicado en el consentimiento informado podría afectar la confianza de los encuestados reduciendo tasas de respuesta o induciendo respuestas deshonestas que afectan la calidad del ejercicio; pero además ¿podría afectar la garantía de los principios legales de protección de datos personales, como la confidencialidad?'

Respuesta No. 10: Reiterando lo expuesto en la motivación de este concepto y en las respuestas anteriores, las restricciones sobre el tratamiento y suministro de los datos personales de niños, niñas y adolescentes no es oponible ante un requerimiento de entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial. Tampoco lo es cuando se trate de casos de urgencia médica o sanitaria.(19)

En ese sentido, si durante los operativos de campo desarrollados en el marco de las evaluaciones, investigaciones, encuestas, estudios y análisis se identifican conductas o situaciones asociadas a la posible amenaza o vulneración de los derechos de los niños, niñas o adolescentes, que impliquen una solicitud de restablecimiento de derechos, esto se deberá poner en conocimiento del enlace designado, supervisor u autoridad competente (defensores de familia, comisarios de familia, inspectores de policía, etc.) a fin de que se aplique al procedimiento de restablecimiento de derechos de acuerdo con lo dispuesto por la Ley 1098 de 2006 y la Ley 1878 de 2018.

Este es el conducto que se debe seguir para estos casos, recordando que la protección de los derechos del menor de edad debe primar sobre el contenido de las restricciones de circulación de información. Esto materializa el principio constitucional del interés superior del menor consagrado en el artículo 44 superior.

Las presentes respuestas tienen naturaleza de concepto jurídico y constituyen un criterio auxiliar de interpretación, de conformidad con los establecido en los artículos 26 del Código Civil y 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, sustituido por el artículo 1 de la Ley 1755 de 2015. No obstante lo anterior, tiene carácter vinculante para las dependencias internas del Instituto y terceros que colaboren en la prestación del servicio público o en el desarrollo de la función administrativa de competencia del ICBF, en virtud de la función asignada a la Oficina Asesora Jurídica de mantener la unidad doctrinaria e impartir las directrices jurídicas necesarias para el desarrollo de las funciones del Instituto, de conformidad con los numerales 8 y 15 del articulo 6 del decreto 987 de 2012.

Cordialmente,

ÉDGAR LEONARDO BOJACÁ CASTRO

Jefe Oficina Asesora Jurídica.

<NOTAS DE PIE DE PÁGINA>

1. M.P. Eduardo Montealegre Lynett.

2. M.P. Jaime Córdoba Triviño.

3. Sentencia T-729 de 2002, M.P. Eduardo Montealegre Lynett.

4. Artículo 8.

5. "Por la cual se adopta la Política de Seguridad Digital y Continuidad de la Operación, las Políticas Generales de Manejo y se definen lineamientos frente al uso y manejo de la información".

6. Artículo 15 de la Constitución Política de Colombia

7. Por la cual se regula la realización de los Censos de Población y Vivienda en todo el territorio nacional.

8. Guía para la anonimización de datos de información no estructura del Centro de Memoria Histórica.

9. https://www.archivoqeneral.gov.co/el-agn-presenta-guia-de-anonimizacion-de-datos-estructurados-conceptos-qeneralespropuesta#:~:text=La%20gu%C3%ADa%20est%C3%A1%20dirigida%20a.la%20normatividad%20de%20protecci%C3%B3n%20de

10. Ibid.

11. Guía de Anonimización de Datos Estructurados - Conceptos generales y propuesta metodológica

12. Ibid.

13. Ibid.

14. Ibid.

15. Ibid.

16. Literal d), art. 3, Ley 1581 de 2012: “Encargado del Tratamiento. Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento."

17. Literal c), art. 3, Ley 1581 de 2012: Responsable del Tratamiento. Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos."

18. Artículo 26. Prohibición. Se prohíbe la transferencia de datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos. Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios.

Esta prohibición no regirá cuando se trate de:

a) Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia;

b) Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública;

c) Transferencias bancadas o bursátiles, conforme a la legislación que les resulte aplicable;

d) Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad;

e) Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular;

f) Transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

Parágrafo 1.

En los casos no contemplados como excepción en el presente artículo, corresponderá a la Superintendencia de Industria y Comercio, proferir la declaración de conformidad relativa a la transferencia internacional de datos personales. Para el efecto, el Superintendente queda facultado para requerir información y adelantar las diligencias tendientes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de la operación.

Parágrafo 2.

Las disposiciones contenidas en el presente artículo serán aplicables para todos los datos personales, incluyendo aquellos contemplados en la Ley 1266 de 2008.

Ir al inicio
×