Balancear la protección de la información personal con la producción

Balancear la protección de la información personal con la producción

tic_colombia

Por  Camilo Alfonso Escobar Mora

Recomendaciones para balancear la protección de la información personal con la producción, gestión y/o publicación de información pública en las empresas y entidades del sector TIC colombiano.

El presente artículo busca ilustrar algunas sencillas recomendaciones a tener en cuenta en el “Manual de políticas y de procedimientos para la protección a la información personal” que deben tener las empresas y entidades del sector TIC para proteger la información personal (de conformidad con la Ley 1581 de 2012) de todos los miembros internos de la compañía así como de sus aliados, proveedores, usuarios, funcionarios de control, y en general comunidad de interés externa de la compañía, propiamente cuando se trate de empresas o entidades del sector que producen o gestionan información pública en sus actividades.

Para lograr el balance del tratamiento y protección de la información personal frente al empleo, creación y en general gestión de información pública, en dicho manual se deben definir muy bien los principios corporativos o institucionales (según se trate de una empresa o de una entidad pública) para la protección y cumplimiento del derecho fundamental de hábeas data que le asiste a todo titular de una información personal que este bajo custodia o esté siendo tratada por la empresa o entidad, pero a su vez se debe conceptualizar y publicar la clasificación de la información personal en información personal pública, confidencial, reservada o secreta, y finalmente se debe diseñar el conducto regular a seguir para la atención de consultas y reclamaciones relacionadas con el tratamiento de datos personales de todo titular (interno o externo) de una información personal que se encuentre en el contexto de la empresa o la entidad.

De esa manera en el manual debe existir un capítulo específico de clasificación de la información personal. Si la empresa maneja clases de información establecidas por alguna Ley, o norma en general, como información pública deberá clasificar en estos casos -si es que está contenida información personal en esa información pública alguna- cierta clase de información personal con el carácter de información personal pública.

En este punto se sugiere tener en cuenta lo dispuesto en la sentencia C-274 de mayo 9 de 2013[i] (M.P. María Victoria Calle Correa. Expediente: PE-036) por medio de la cual se declaró la constitucionalidad -exequibilidad- del proyecto de número 156 de 2011 Senado de la República de Colombia, 228 de 2012 Cámara de Representantes “por medio de la cual se crea la ley de transparencia y del derecho de acceso a la información pública nacional y se dictan otras disposiciones”.

Se cita expresamente el artículo 6 (sobre definiciones) de este proyecto de Ley estatutaria dada su alta pertinencia para la gestión de captura, tratamiento y eliminación de información personal en las entidades y empresas del sector (ya que la mayoría gestiona información pública), actualmente aprobado:

“Artículo 6°. Definiciones.

a) Información. Se refiere a un conjunto organizado de datos contenido en cualquier documento que los sujetos obligados generen, obtengan, adquieran, transformen o controlen;

b) Información pública. Es toda información que un sujeto obligado genere, obtenga, adquiera, o controle en su calidad de tal;

c) Información pública clasificada. Es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, pertenece al ámbito propio, particular y privado o semiprivado de una persona natural o jurídica por lo que su acceso podrá ser negado o exceptuado, siempre que se trate de las circunstancias legítimas y necesarias y los derechos particulares o privados consagrados en el artículo 18 de esta ley[ii];

d) Información pública reservada. Es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, es exceptuada de acceso a la ciudadanía por daño a intereses públicos y bajo cumplimiento de la totalidad de los requisitos consagrados en el artículo 19 de esta ley;

e) Publicar o divulgar. Significa poner a disposición en una forma de acceso general a los miembros del público e incluye la impresión, emisión y las formas electrónicas de difusión;

f) Sujetos obligados. Se refiere a cualquier persona natural o jurídica, pública o privada incluida en el artículo 5° de esta ley;

g) Gestión documental. Es el conjunto de actividades administrativas y técnicas tendientes a la planificación, procesamiento, manejo y organización de la documentación producida y recibida por los sujetos obligados, desde su origen hasta su destino final, con el objeto de facilitar su utilización y conservación;

h) Documento de archivo. Es el registro de información producida o recibida por una entidad pública o privada en razón de sus actividades o funciones;

i) Archivo. Es el conjunto de documentos, sea cual fuere su fecha, forma y soporte material, acumulados en un proceso natural por una persona o entidad pública o privada, en el transcurso de su gestión, conservados respetando aquel orden para servir como testimonio e información a la persona o institución que los produce y a los ciudadanos, como fuentes de la historia. También se puede entender como la institución que está al servicio de la gestión administrativa, la información, la investigación y la cultura;

j) Datos Abiertos. Son todos aquellos datos primarios o sin procesar, que se encuentran en formatos estándar e interoperables que facilitan su acceso y reutilización, los cuales están bajo la custodia de las entidades públicas o privadas que cumplen con funciones públicas y que son puestos a disposición de cualquier ciudadano, de forma libre y sin restricciones, con el fin de que terceros puedan reutilizarlos y crear servicios derivados de los mismos;

k) Documento en construcción. No será considerada información pública aquella información preliminar y no definitiva, propia del proceso deliberatorio de un sujeto obligado en su calidad de tal[iii]”.

Ahora bien, debe distinguirse entre la información pública y la información personal pública. La información pública, en términos de este proyecto de Ley estatutaria actualmente aprobado es toda información que genere un obligado (obligado es, por ejemplo, una empresa o entidad del sector que realice función pública -es decir la mayoría de entidades y empresas del sector-) mientras que la información personal es “cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables” (en los términos del literal c) del artículo 3 -definiciones- de la Ley 1581 de 2012).

Por esta razón en este manual de políticas y procedimientos en la protección de los datos personales deben armonizarse ambos conceptos (información personal e información pública) en las labores donde se gestione información pública que contenga información personal (v. gr. Bases de datos que permiten generar registros en el sector, en donde algunos miembros de la empresa brindan información personal. Nótese que acá si es público, sin problema, el registro, pero las bases de datos -físicas y/o electrónicas- subyacentes al registro no son necesariamente públicas, es aquí donde toma cabida la necesidad de un balanceo entre información pública e información personal), armonización que se puede lograr aplicando el concepto de Información pública clasificada -previamente citado y expuesto en armonía con el artículo 18 del mismo proyecto de Ley- que se consagra en el literal c) del artículo 6 de este proyecto de Ley estatutaria, actualmente aprobado.

Esto significa que debido a garantizar y salvaguardar el derecho fundamental a la protección de la información personal de todo titular, en las labores donde se gestione información pública -que contenga información personal en general- se deberá clasificar alguna información pública como Información Pública Clasificada, y por tanto su acceso es restringido. Acceso restringido no frente al acceso a los registros públicos (que por Ley son públicos) o a labores de interés general que tengan una clara fuente jurídica donde no se requiera restringir o limitar el empleo de información personal, sino frente al acceso a los sistemas de información (físicos y electrónicos) subyacentes o posteriores a un registro, o información pública en general, en donde exista información personal que no deba ser publicada en un registro, e incluso puede ser negado en ciertos casos -por ejemplo frente a datos personales sensibles *como lo son las creencias religiosas o las preferencias sexuales, y en general todo dato personal que pueda causar discriminación o un maltrato a la dignidad humana, inclusive informaciones políticas, según el caso*-, debido a que puede causar daños a derechos de personas naturales.

Esta armonización se soporta también en el principio de máxima información para titular universal consagrado en el artículo 2 de este proyecto de Ley, actualmente aprobado. Se cita expresamente: “Artículo 2°. Principio de máxima publicidad para titular universal. Toda información en posesión, bajo control o custodia de un sujeto obligado es pública y no podrá ser reservada o limitada sino por disposición constitucional o legal, de conformidad con la presente ley[iv]”. Esto significa que si existe una razón constitucional o legal, como es en el caso del derecho fundamental a la protección a la información personal (que a nivel constitucional se consagra en el artículo 15 de la Constitución Política, y a nivel legal se consagra en la Ley estatutaria No. 1581 de 2012) se podrá reservar o limitar el acceso a la información pública de las entidades o empresas del sector que contenga o empleen información personal, dado que en principio existe un derecho fundamental directo que es el derecho fundamental a la protección de la información personal frente a un derecho de acceso a la información que no en todos los casos es fundamental -se deberá analizar cada caso concreto-.

Como se observa dependiendo de esa clasificación de la información personal que se realice en el manual de políticas y procedimientos de protección a la información personal en las entidades y empresas del sector a modo de autorregulación[v], se generará que los titulares de información personal tengan mayores derechos y/o deberes frente a su información, y de forma correlativa las empresas y entidades (así como los terceros con quienes tengan relación las empresas y entidades) tengan mayores o menores libertades y restricciones frente a la captura o tratamiento de una información personal en su campo de acción organización o institucional. Cada clasificación por supuesto deberá tener un adecuado sustento legal y constitucional para que así sea válido el modelo de autorregulación que se logra con el manual de políticas y de procedimientos para la protección de la información personal (pues será ineficaz si resulta contrario a la legislación, a la Constitución Política, y/o a los bloques de constitucionalidad –es decir a todos los Tratados y Convenios suscritos y ratificados por Colombia que versen sobre derechos humanos, ya que la protección a la información personal desde el punto de vista internacional puede llegar a ser -según cada caso concreto- un derecho humano por estar ligado a varios derechos, como lo son el derecho a la intimidad y el derecho a la inviolabilidad de las comunicaciones).


[i] El comunicado de prensa de la Corte Constitucional de Colombia por medio del cual se hace referencia a la sentencia que declaró la constitucionalidad -exequibilidad- de este proyecto de Ley estatutaria se encuentra disponible en el siguiente enlace oficial:

http://www.corteconstitucional.gov.co/comunicado/No.%2018%20comunicado%2008%20y%2009%20de%20mayo%20de%202013.pdf (último acceso: Mayo 20 de 2013 a las 10:49 a.m. hora legal colombiana).

De conformidad con el artículo 5 de este proyecto de Ley estatutaria, actualmente declarado exequible, su ámbito de aplicación es (ámbito de aplicación al que se circunscriben las empresas y entidades del sector que gestionen información pública, dada su naturaleza y las funciones que desempeñan): “Artículo 5°. Ámbito de aplicación. Las disposiciones de esta ley serán aplicables a las siguientes personas en calidad de sujetos obligados:

a) Toda entidad pública, incluyendo las pertenecientes a todas las Ramas del Poder Público, en todos los niveles de la estructura estatal, central o descentralizada por servicios o territorialmente, en los órdenes nacional, departamental, municipal y distrital;

b) Los órganos, organismos y entidades estatales independientes o autónomos y de control;

c) Las personas naturales y jurídicas, públicas o privadas, que presten función pública, que presten servicios públicos respecto de la información directamente relacionada con la prestación del servicio público;

d) Cualquier persona natural, jurídica o dependencia de persona jurídica que desempeñe función pública o de autoridad pública, respecto de la información directamente relacionada con el desempeño de su función;

e) Las empresas públicas creadas por ley, las empresas del Estado y sociedades en que este tenga participación;

f) Los partidos o movimientos políticos y los grupos significativos de ciudadanos;

g) Las entidades que administren instituciones parafiscales, fondos o recursos de naturaleza u origen público.

Las personas naturales o jurídicas que reciban o intermedien fondos o beneficios públicos territoriales y nacionales y no cumplan ninguno de los otros requisitos para ser considerados sujetos obligados, sólo deberán cumplir con la presente ley respecto de aquella información que se produzca en relación con fondos públicos que reciban o intermedien.

Parágrafo 1°. No serán sujetos obligados aquellas personas naturales o jurídicas de carácter privado que sean usuarios de información pública y que utilicen la misma con fines periodísticos o académicos.

Parágrafo 2°. Se exceptúan de la aplicación de esta ley y por tanto gozan de reserva legal la información, documentos, bases de datos y contratos relacionados con defensa y seguridad nacional, orden público y relaciones internacionales, de conformidad con el artículo 74 de la Constitución Nacional, el artículo 12 de la Ley 57 de 1985, el artículo 27 de la Ley 594 de 2000, la Ley 1097 de 2006, el literal d) del numeral 4 del artículo 2°de la Ley 1150 de 2007, la Ley 1219 de 2008, el artículo 2° de la Ley 1266 de 2008, el artículo 24 de la Ley 1437 de 2011 y demás normas que las adicionen, modifiquen o sustituyan”.

[ii] El artículo 18 de este proyecto de Ley estatutaria, actualmente aprobado, establece expresamente: “Artículo 18. Información exceptuada por daño de derechos a personas naturales o jurídicas. Es toda aquella información pública clasificada, cuyo acceso podrá ser rechazado o denegado de manera motivada y por escrito, siempre que el acceso pudiere causar un daño a los siguientes derechos:

a) El derecho de toda persona a la intimidad, bajo las limitaciones propias que impone la condición de servidor público, en concordancia con lo estipulado por el artículo 24 de la Ley 1437 de 2011;

b) El derecho de toda persona a la vida, la salud o la seguridad;

c) Los secretos comerciales, industriales y profesionales, así como los estipulados en el parágrafo del artículo 77 de la Ley 1474 de 2011.

Parágrafo. Estas excepciones tiene una duración ilimitada y no deberán aplicarse cuando la persona natural o jurídica ha consentido en la revelación de sus datos personales o privados o bien cuando es claro que la información fue entregada como parte de aquella información que debe estar bajo el régimen de publicidad aplicable”.

Es importante indicar que en la mencionada sentencia C-274 de mayo 9 de 2013 se declaró la constitucionalidad condicionada de este artículo 18 del proyecto de Ley. Se cita expresamente el aparte del  fallo: “Octavo.- Declarar exequible el artículo 18, en el entendido que: a) La expresión “, en concordancia con lo estipulado por el artículo 24 de la Ley 1437 de 2011” del literal a) del artículo 18 del proyecto, será remplazada por la norma estatutaria que se expida, de conformidad con lo establecido en la sentencia C-818 de 2011.

b) La expresión “duración ilimitada” del literal c) se declara EXEQUIBLE, en el entendido que se sujetará al término de protección legal”.

[iii] Es importante indicar que en la mencionada sentencia C-274 de mayo 9 de 2013 se declaró la constitucionalidad condicionada de este literal k). Se cita expresamente el aparte del fallo: “Sexto.- Declarar exequible el artículo 6°, cuyo literal k) lo es, en el entendido que la posibilidad de que un sujeto obligado pueda mantener la reserva sobre información preliminar, depende de que esta reserva obedezca a (i) un fin constitucionalmente legítimo (ii) la medida resulte ser razonable, proporcionada y necesaria”.

[iv] El artículo 3 de este proyecto de Ley estatutaria, actualmente aprobado, establece los siguientes principios para la gestión de la información pública, que deben ser tenidos en cuenta junto al principio de máxima publicidad para titular universal -en materia del derecho fundamental a la protección a la información personal tienen mucha relevancia porque permiten justificar (debida motivación) o no una restricción al acceso de una información pública, según cada caso de petición o de gestión de una información pública que eleve un sujeto u organismo ante la las empresas o entidades del sector.-. Se cita expresamente: “Artículo 3°. Otros principios de la transparencia y acceso a la información pública. En la interpretación del derecho de acceso a la información se deberá adoptar un criterio de razonabilidad y proporcionalidad, así como aplicar los siguientes principios:

Principio de transparencia. Principio conforme al cual toda la información en poder de los sujetos obligados definidos en esta ley se presume pública, en consecuencia de lo cual dichos sujetos están en el deber de proporcionar y facilitar el acceso a la misma en los términos más amplios posibles y a través de los medios y procedimientos que al efecto establezca la ley, excluyendo solo aquello que esté sujeto a las excepciones constitucionales y legales y bajo el cumplimiento de los requisitos establecidos en esta ley.

Principio de buena fe. En virtud del cual todo sujeto obligado, al cumplir con las obligaciones derivadas del derecho de acceso a la información pública, lo hará con motivación honesta, leal y desprovista de cualquier intención dolosa o culposa.

Principio de facilitación. En virtud de este principio los sujetos obligados deberán facilitar el ejercicio del derecho de acceso a la información pública, excluyendo exigencias o requisitos que puedan obstruirlo o impedirlo.

Principio de no discriminación. De acuerdo al cual los sujetos obligados deberán entregar información a todas las personas que lo soliciten, en igualdad de condiciones, sin hacer distinciones arbitrarias y sin exigir expresión de causa o motivación para la solicitud.

Principio de gratuidad. Según este principio el acceso a la información pública es gratuito y no se podrán cobrar valores adicionales al costo de reproducción de la información.

Principio de celeridad. Con este principio se busca la agilidad en el trámite y la gestión administrativa. Comporta la indispensable agilidad en el cumplimiento de las tareas a cargo de entidades y servidores públicos.

Principio de eficacia. El principio impone el logro de resultados mínimos en relación con las responsabilidades confiadas a los organismos estatales, con miras a la efectividad de los derechos colectivos e individuales.

Principio de la calidad de la información. Toda la información de interés público que sea producida, gestionada y difundida por el sujeto obligado, deberá ser oportuna, objetiva, veraz, completa, reutilizable, procesable y estar disponible en formatos accesibles para los solicitantes e interesados en ella, teniendo en cuenta los procedimientos de gestión documental de la respectiva entidad.

Principio de la divulgación proactiva de la información. El derecho de acceso a la información no radica únicamente en la obligación de dar respuesta a las peticiones de la sociedad, sino también en el deber de los sujetos obligados de promover y generar una cultura de transparencia, lo que conlleva la obligación de publicar y divulgar documentos y archivos que plasman la actividad estatal y de interés público, de forma rutinaria y proactiva, actualizada, accesible y comprensible, atendiendo a límites razonables del talento humano y recursos físicos y financieros.

Principio de responsabilidad en el uso de la información. En virtud de este, cualquier persona que haga uso de la información que proporcionen los sujetos obligados, lo hará atendiendo a la veracidad de la misma”.

[v] Autorregulación cuya validez jurídica en definitiva dependerá de lo que el legislador, o el regulador sectorial, llegue a disponer, legislación y/o regulación que siempre se deberá interpretar y aplicar en concordancia y armonía con la Constitución Política y las sentencias de constitucionalidad relacionadas con estas temáticas *es decir relacionadas tanto con el derecho fundamental a la protección a los datos personales, como las referentes al derecho fundamental al acceso a la información pública*, así como dependiendo de la clasificación de dato personal y de dato sensible consagrada en la Ley 1581 de 2012.

Fuente de la imagen: Blog de español.