En esta circular externa publicada el 5 de septiembre de 2019 la Superintendencia de Industria y Comercio presenta varios lineamientos que deben seguir las Entidades Públicas y particulares que ejercen funciones públicas para la protección del derecho de habeas data o el debido tratamiento de datos personales en sistemas de información interoperables.

En primera instancia contempla

Que el habeas data al ser un derecho fundamental contemplado en la Constitución Política debe encontrarse reglamentado por medio de una ley estatutaria que en este caso es la Ley 1581 de 2012. Sin embargo, la reserva de ley no es absoluta, al contrario, la reserva legal solo obliga a que el legislador regule los elementos estructurales esenciales de los derechos fundamentales que se quieren proteger, y, por ende, la reglamentación sobre los derechos fundamentales no se debe encontrar contenido en una sola ley estatutaria que contemple todos los detalles y variantes del ejercicio de dicho derecho.

De conformidad con lo anterior, la SIC considera que no son necesarias leyes estatutarias adicionales para proteger este derecho en nuevos ambientes, tal como el digital, y tampoco para tratar datos personales mediante sistemas tecnológicos complejos ya que la ley 1581 de 2012 de manera general lo hace y contiene puntualmente en su artículo 2 al referirse al ámbito de aplicación de la misma.

Por otro lado, en la circular se considera que

el uso de tecnologías de la información y las comunicaciones deben ser utilizados por las entidades públicas de la rama ejecutiva del orden nacional y los particulares que prestan funciones públicas para garantizar el máximo aprovechamiento de las mismas y el desarrollo de sus funciones.

En aplicación de esto, por su parte, la Ley 527 de 1999 no solo incorpora el principio de equivalencia funcional de escrito, firma y original en el contexto digital, sino que confieren plena validez jurídica a toda información en forma de mensaje de datos, siendo plenamente aplicable a las actuaciones administrativas, enviando un mensaje a todas las entidades del plano nacional que deben priorizar el uso de tecnologías de la información, incluso aquellas innovaciones que implican la recolección y tratamiento de datos personales en distintos sistemas digitales.

Sobre la interoperabilidad[1] en la Transformación Digital del Estado

hace especial énfasis en los servicios de interoperabilidad que los define como “aquellos que brindan las capacidades necesarias para garantizar el adecuado flujo de información y de interacción entre los sistemas de información de las entidades del Estado, permitiéndole el intercambio, la integración y la compartición de la información, con el propósito de facilitar el ejercicio de sus funciones constitucionales y legales, en la medida en la que todo esto facilita y contribuye al cumplimiento del artículo 209 de la Constitución Política al permitir que la función administrativa satisfaga los intereses generales, sea eficaz, célere e imparcial, beneficiando a los ciudadanos”.

Seguido, trae a colación la ley 1955 de 2019 que incorporó como obligación para las entidades estatales del orden nacional el deber de incluir en sus respectivos planes de acción el componente de transformación digital y se mencionan ciertos elementos de la regulación actual en materia de protección de datos que dichas entidades deben tener en cuenta en el momento de implementar dichos sistemas.

En vista de todo lo anterior, la Superintendencia aclara varios elementos que vale la pena mencionar:

(1) La interoperabilidad entre sistemas de información donde circulan datos personales debe realizarse conforme a los principios de la ley 1581 de 2012, ya que no es necesaria la expedición de una norma adicional y especifica.

(2) La protección de datos personales no se opone a la interoperabilidad, siempre y cuando se respete lo dispuesto en el artículo 15 de la Constitución junto con la precitada ley.

(3) Las entidades públicas o administrativas no requieren obtener autorización de la persona para tratar datos personales cuando la información se necesita para el ejercicio de sus funciones.

(4) La ley 1581 de 2012 autoriza a las entidades privadas y a las organizaciones públicas para que suministren a las entidades públicas o administrativas datos personales que sean necesarios para el cumplimiento de sus funciones legales.

Por lo tanto, no se requiere una autorización especial o adicional para poder suministrar a esas entidades datos en el marco de un proyecto de interoperabilidad, siempre y cuando la información que entreguen sea útil, pertinente y necesaria para cumplir los cometidos constitucionales y de ley de las entidades públicas.

Termina la circular mencionando que las entidades públicas tienen el deber de tener en cuenta lo señalado en la circular en el momento de desarrollar planes, proyectos y programas desde el Gobierno Nacional.

De todo lo contenido en la circular es importante mencionar el especial énfasis que hace la Superintendencia para que las entidades públicas en todo el plano nacional tomen como un elemento esencial y estructural la protección de datos personales al pensar en el desarrollo y la implementación de diferentes innovaciones tecnológicas.

[1] Definida por el MinTIC como la “aptitud de los sistemas y aplicaciones, basados en Tecnologías de la Información y las Comunicaciones, y los procesos que estos soportan, para intercambiar información y posibilitar utilizar mutuamente la información intercambiada”