Acceso a bases de datos con información sensible por autoridades

El acceso a información sensible no es permitido a autoridades sin autorización del titular, a menos que se trate del ejercicio de funciones públicas precisas y no genéricas; por otra parte, tampoco es posible entregar esa misma información con datos anónimos a autoridades, si se quisiera evitar el problema de la falta de autorización. Veamos por qué.

Esta nota es complementaria a «El acceso a información en poder del Estado no es tan simple como parece». La regla general sobre acceso a documentos públicos es esta:

«Artículo 74. Todas las personas tienen derecho a acceder a los documentos públicos salvo los casos que establezca la ley.

El secreto profesional es inviolable.»

Constitución Política de Colombia

Eso no significa que el acceso sea irrestricto, es preciso tener en cuenta el artículo 15 del mismo estatuto, entre otras normas posibles. No olvide que la interpretación constitucional se hace de forma integral, no se hace considerando solamente un artículo aislado (ver por ejemplo la Sentencia T-116/04 de la Corte Constitucional).

«Artículo 15.Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.

En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.

La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley.

Para efectos tributarios o judiciales y para los casos de inspección, vigilancia e intervención del Estado podrá exigirse la presentación de libros de contabilidad y demás documentos privados, en los términos que señale la ley.»

Constitución Política de Colombia

De los textos citados pareciera que una autoridad pública puede acceder a cualquier información según sus competencias funcionales, pero no es así. El Consejo de Estado acaba de afirmar que

«… el acceso de las autoridades administrativas a información sensible para el cumplimiento de sus funciones no hace parte de las excepciones establecidas por el legislador. Por lo tanto, no es posible el acceso de las referidas autoridades a esta información. (…) En suma, la información que puede entregarse a una autoridad administrativa sin la autorización del titular de los datos personales es aquella que corresponde a datos públicos y semiprivados. En este último caso, se requiere que la información sea necesaria para el cumplimiento de sus funciones. En lo que respecta a los datos privados y sensibles, a ellos no puede acceder la autoridad sin la autorización del titular”

Consejo de Estado, Boletín 264, Páginas 106-107. Providencia a que se refiere: Consejo de Estado, Sala de Consulta y Servicio Civil; concepto 2458 del 6 de mayo de 2021; C.P. Álvaro Namén Vargas, radicación: 11001-03-06-000-2020-00234-00(2458). Levantamiento de reserva mediante auto del 13 de marzo de 2023.

¿De qué se trató la consulta que produjo este pronunciamiento? Lo resume así el propio Consejo de Estado en la providencia:

«El Ministerio de Transporte consulta a la Sala sobre la posibilidad de que la Procuraduría General de la Nación en ejercicio de la función preventiva pueda acceder de manera masiva a las bases de datos administradas por entidades públicas del orden nacional, como los Ministerios, y por ende a datos personales de los usuarios de las mismas.»

Consejo de Estado, Sala de Consulta y Servicio Civil; concepto 2458 del 6 de mayo de 2021; C.P. Álvaro Namén Vargas, radicación: 11001-03-06-000-2020-00234-00(2458). Levantamiento de reserva mediante auto del 13 de marzo de 2023.

La base de datos en juego es una de aquellas que la ley ha calificado como públicas, el RUNT. Informé Mintransporte:

«Aunque la información contenida en el RUNT es de carácter público (artículo 9 de la Ley 769 de 2002), la información que reposa en los diferentes registros que lo integran contiene datos personales del titular de la información, es decir, información de carácter privado, semiprivado y sensible.»

Consejo de Estado, Sala de Consulta y Servicio Civil; concepto 2458 del 6 de mayo de 2021; C.P. Álvaro Namén Vargas, radicación: 11001-03-06-000-2020-00234-00(2458). Levantamiento de reserva mediante auto del 13 de marzo de 2023.

La Procuraduría General de la Nación hizo la siguiente petición, informa Mintransporte:

«Mediante los oficios 430-20 del 19 de junio de 2020 y 434-20 del 24 de junio del mismo año, la Procuraduría General de la Nación, invocando el ejercicio de la función preventiva, solicitó al Ministerio del Transporte el acceso masivo a ciertos registros incorporados en el RUNT, los cuales contribuyen, según el referido ente de control, al análisis del patrimonio en cabeza de funcionarios públicos.»

Consejo de Estado, Sala de Consulta y Servicio Civil; concepto 2458 del 6 de mayo de 2021;

Luego de una extensa reflexión sobre el habeas data, el Consejo de Estado recuerda que

«Conforme a lo expuesto, es claro que las entidades públicas pueden ser encargadas o responsables del tratamiento de datos personales, con los deberes y obligaciones que la Ley 1581 y la jurisprudencia constitucional impone a cada uno de ellos. Como se recordará, el tratamiento solo puede ejercerse con el
consentimiento, previo, expreso e informado del titular, es decir, los datos personales no podrán ser obtenidos o divulgados sin previa autorización del titular.»

Consejo de Estado, Sala de Consulta y Servicio Civil; concepto 2458 del 6 de mayo de 2021;

Luego pasa esa corporación a examinar el tema de las excepciones de ley.

«El artículo 10 de la Ley 1581 de 2012 establece los casos en los cuales no se requiere de la autorización del titular del dato para acceder a ellos, a saber:
Artículo 10. Casos en que no es necesaria la autorización. La autorización del Titular no será necesaria cuando se trate de:
a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;»

Consejo de Estado, Sala de Consulta y Servicio Civil; concepto 2458 del 6 de mayo de 2021

En el análisis de los alcances de la letra a) del artículo 10 de la Ley 1581 de 2012, en concordancia con la Sentencia C-748 de 2011 de la Corte Constitucional, permite al Consejo de Estado afirmar que no es posible el acceso indiscriminado a una base de datos con información sensible aún invocando funciones públicas, puesto que se requiere un ejercicio específico de estas.

«De lo establecido por el artículo 10 de la Ley 1581 de 2012 y lo expuesto en la sentencia C-748 de 2011 de la Corte Constitucional, la Sala extrae los siguientes aspectos relevantes para resolver la consulta:

i) El consentimiento del titular de la información es un presupuesto para la legitimidad de los procesos de administración de datos personales:

ii) No existe una autorización tácita para la administración de dichos datos;

iii) Sin embargo, el propio legislador consagró una serie de hipótesis en las cuales es posible acceder a información personal sin la autorización previa de su titular;

iv) Dentro de las hipótesis señaladas por el legislador, se encuentra la información requerida por una autoridad pública o administrativa en el ejercicio de sus funciones legales, hipótesis que es concordante, además, con lo establecido en el artículo 13 de la Ley 1581 de 201214;

v) El acceso a la información por parte de dichas autoridades está sujeto a la observancia de requisitos legales y, en ningún caso puede realizarse de manera abusiva. De esta manera, el dato personal puede ser requerido por la autoridad pública o administrativa bajo el condicionamiento de que la petición se sustente en la conexidad directa con alguna de sus funciones.

vi) La conexidad que legitima la solicitud de información no corresponde a un asunto discrecional o de conveniencia, sino que debe fundamentarse en «una clara y específica competencia funcional de la entidad».

vii) Asimismo, la autoridad administrativa que acceda a la información debe cumplir con las obligaciones de protección y garantía al derecho fundamental de habeas data.

viii) Con fundamento en el artículo 74 de la Constitución Política, el acceso a datos de naturaleza pública tampoco requiere de autorización previa. Es claro para la Sala que de conformidad con los antecedentes de la consulta, la Procuraduría General de la Nación, como responsable del tratamiento de datos, debe cumplir con las exigencias legales para el tratamiento de los datos personales a los que pretende acceder.»

Consejo de Estado, Sala de Consulta y Servicio Civil; concepto 2458 del 6 de mayo de 2021;

Ahora falta responder si la Procuraduría puede, en ejercicio de funciones como las ha invocado, de función preventiva, acceder a esa información sin autorización de los titulares. Un primer problema es que el término «función preventiva» es genérico.

«En consecuencia, la «clara y específica competencia funcional», exigida por la ley y la jurisprudencia, corresponde a que la PGN puede solicitar información a los servidores públicos y los particulares que cumplan la función pública respecto de la cual se está ejerciendo la función preventiva, con el objeto de anticiparse, evitar, mitigar la ocurrencia de hechos que afecten los derechos de las personas o el patrimonio público en desarrollo de dicha función pública. Claramente corresponde a una información puntual o específica requerida para el ejercicio de la función preventiva, tendiente a evitar el riesgo identificado por la PGN, por lo que la solicitud de información no puede tener el carácter de «masiva».

Además, la información que puede requerir la PGN es únicamente sobre las actividades que corresponden a la función pública, sin que tal facultad se extienda a que ese organismo de control solicite información relacionada con los datos personales consignados en el RUNT, sin la autorización del respectivo titular.»

Consejo de Estado, Sala de Consulta y Servicio Civil; concepto 2458 del 6 de mayo de 2021

En conclusión:

«En suma, la información que puede entregarse a una autoridad administrativa sin la autorización del titular de los datos personales es aquella que corresponde a datos públicos y semiprivados. En este último caso, se requiere que la información sea necesaria para el cumplimiento de sus funciones. En lo que respecta a los datos privados y sensibles, a ellos no puede acceder la autoridad sin la autorización del titular.»

Consejo de Estado, Sala de Consulta y Servicio Civil; concepto 2458 del 6 de mayo de 2021

¿Podía entregarse la información del RUNT de modo anónimo? Luego de un extenso análisis, señala el Consejo de Estado que no:

«A la luz de las conclusiones anteriores, resulta válido afirmar que no es posible la entrega de la información del RUNT de manera anónima, pues i) los nombres y apellidos de las personas son públicos, ii) la información debe entregarse de manera completa, exacta y comprensible, iii) ni la Constitución ni la ley autorizan la entrega anónima de información requerida por una autoridad administrativa en cumplimiento de sus funciones y iv) los responsables de la información no pueden imponer límites o exigencias que obstruyan o impidan el acceso a esta.»

Consejo de Estado, Sala de Consulta y Servicio Civil; concepto 2458 del 6 de mayo de 2021

Como siempre, no olvide leer directamente en la fuente para la correcta formación de su propio criterio.

Tags:

Comments are closed.