CONCEPTO
|
IDENTIFICACIÓN DE LA CONSULTA
La Oficina de Análisis y Control del Riesgo eleva consulta dirigida a que se indique si jurídicamente es suficiente para dar cumplimiento y soportar cualquier requerimiento o revisión relacionada con el deber de protección de datos personales y reserva tributaria por parte de algún ente de control, contar con el aviso de privacidad en el cual queda relacionada al titular del predio / vehículo.
ANTECEDENTES
Precisa la Oficina de Análisis y Control del Riesgo que la Superintendencia de Industria y Comercio - SIC, en el año 2022 realizó una averiguación preliminar relacionada con la información que exponían en su momento los liquidadores de ICA y Rete ICA, los cuales traían información semi privada de los contribuyentes.
Indica que, como parte de la contingencia para el pago de impuestos, se tomaron dos acciones puntuales: i) una relacionada con la impresión de las facturas del impuesto predial y de vehículos enviadas directamente a las direcciones de los ciudadanos; y ii) la otra, disponer la factura para ser descargada a través del botón de descarga en la página web de la entidad, ingresando número de identificación y chip o placa.
Afirman que, para este segundo caso, y con un objetivo de protección de datos personales y de la reserva tributaria, se incluyó una autorización expresa por parte del contribuyente, la cual deberá ser aceptada previamente o a la habilitación de la descarga de la factura.
Por lo tanto, preguntan si jurídicamente dicha autorización es suficiente para dar cumplimiento y soportar cualquier requerimiento o revisión relacionada con el deber de protección de datos personales y reserva tributaria por parte de algún ente de control.
CONSIDERACIONES
Esta dirección procederá a responder únicamente el aspecto dirigido a indicar si con el aviso de privacidad se cumple con el deber de protección de datos personales debido a que el interrogante relacionado con la reserva tributaria fue atendido, por parte de la Subdirección Jurídico Tributaria, a través del radicado 2023IE003321O1 del 09 de febrero de 2023.
Con el propósito de resolver la consulta planteada procederemos a: 1) indicar la normativa aplicable en la protección de datos personales; 2) a hacer un análisis del aviso de privacidad puesto a consideración y 3) a presentar las conclusiones.
1) Normativa aplicable en la protección de datos personales
El artículo 151 de la Constitución Política establece que toda persona tiene derecho a conocer, actualizar, rectificar y/o cancelar la información y datos personales que de ella se hayan recolectado y/o se traten en bases de datos públicas o privadas.
Con el propósito de hacer efectivo el derecho anterior, fueron expedidas las Leyes 1266 de 20082 y 1581 de 20123. La Ley 1266 de 2008 tiene como objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos, y los demás derechos, libertades y garantías constitucionales relacionadas con la recolección, tratamiento y circulación de datos personales a que se refiere el artículo 15 de la Constitución Política, así como el derecho a la información establecido en el artículo 20 de la Constitución Política, particularmente en relación
1 ARTÍCULO 15. Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.
En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.
La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley.
Para efectos tributarios o judiciales y para los casos de inspección, vigilancia e intervención del Estado podrá exigirse la presentación de libros de contabilidad y demás documentos privados, en los términos que señale la ley.
2 por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones.
3 “Por la cual se dictan disposiciones generales para la protección de datos personales” con la información financiera y crediticia, comercial, de servicios y la proveniente de terceros países.
La mencionada ley, en su artículo 3, trae las siguientes definiciones:
ARTÍCULO 3o. DEFINICIONES. Para los efectos de la presente ley, se entiende por:
[…]
- e) Dato personal. Es cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídic Los datos impersonales no se sujetan al régimen de protección de datos de la presente ley. Cuando en la presente ley se haga referencia a un dato, se presume que se trata de uso personal. Los datos personales pueden ser públicos, semiprivados o privados;
- f) Dato públic Es el dato calificado como tal según los mandatos de la ley o de la Constitución Política y todos aquellos que no sean semiprivados o privados, de conformidad con la presente ley. Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas;
- g) Dato semiprivado. Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de la presente ley.
- h) Dato privad Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.
[…]
- j) Información financiera, crediticia, comercial, de servicios y la proveniente de terceros países. Para todos los efectos de la presente ley se entenderá por información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, aquella referida al nacimiento, ejecución y extinción de obligaciones dinerarias, independientemente de la naturaleza del contrato que les dé orige
- k) <Literal adicionado por el artículo 2 de la Ley 2157 de 202 El nuevo texto es el siguiente:> Comunicación previa al titular. La comunicación previa al titular de la información se regirá por lo dispuesto en la presente ley y en las normas que la reglamenten. Podrá efectuarse según lo dispuesto en la Ley 527 de 1999 en materia de comercio electrónico.
En cuanto a los principios de la administración de datos, relevantes para el caso en estudio, el artículo 4 de la misma ley expone lo siguiente:
ARTÍCULO 4o. PRINCIPIOS DE LA ADMINISTRACIÓN DE DATOS. En el desarrollo, interpretación y aplicación de la presente ley, se tendrán en cuenta, de manera armónica e integral, los principios que a continuación se establecen:
[…]
- b) Principio de finalidad. La administración de datos personales debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley. La finalidad debe informársele al titular de la información previa o concomitantemente con el otorgamiento de la autorización, cuando ella sea necesaria o en general siempre que el titular solicite información al respecto;
[…]
- f) Principio de seguridad. La información que conforma los registros individuales constitutivos de los bancos de datos a que se refiere la ley, así como la resultante de las consultas que de ella hagan sus usuarios, se deberá manejar con las medidas técnicas que sean necesarias para garantizar la seguridad de los registros
evitando su adulteración, pérdida, consulta o uso no autorizado;
Ahora bien, en cuanto a la Ley 1581 de 2012, vale la pena destacar que esta tiene un objeto4 similar al de la Ley 1266 y, en su artículo 3, trae las siguientes definiciones:
Artículo 3°. Definiciones. Para los efectos de la presente ley, se entiende por:
- a) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales;
- b) Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento; c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;
- d) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento;
- e) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos; f) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento;
- g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
De los principios que rigen el tratamiento de datos personales, además de replicar los de finalidad y seguridad, destacamos los siguientes, así:
Artículo 4°. Principios para el Tratamiento de datos personales.
En el desarrollo, interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los siguientes principios:
[…]
- b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular;
- c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titul Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento;
[…]
- f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitució En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley;
Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley;
- g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar
Artículo 1°. Objeto. La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma.
seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
[…]
Se desprende de lo expuesto que, además de definir el tipo de datos cuyo manejo regulan las citadas leyes, el manejo de datos se requiere el consentimiento previo, expreso e informado del titular, aunado a que el tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual, igualmente, debe ser informada al titular.
De igual manera, en aplicación del principio de seguridad, la información sujeta a tratamiento se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Respecto a la mencionada autorización, el artículo 9 de la Ley 1581 precisa lo siguiente:
Artículo 9°. Autorización del Titular. Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior.
Adicionalmente, en el artículo 12 se precisa que el responsable del tratamiento, al momento de solicitar al titular la autorización, deberá informarle de manera clara y expresa: a) el tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo; b) el carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes; c) los derechos que le asisten como titular y d) la identificación, dirección física o electrónica y teléfono del responsable del tratamiento.
- 2. Análisis del aviso de privacidad
A partir de los lineamientos establecidos en la normativa citada en el numeral anterior, se procede a analizar el texto del aviso de privacidad puesto a consideración de esta dirección.
El texto es el siguiente:
AVISO DE PRIVACIDAD TRATAMIENTO DE DATOS PERSONALES
Declaro que he sido informado que la Secretaria Distrital de Hacienda - SDH – SDH[SIC], es responsable del tratamiento de datos personales obtenidos a través del diligenciamiento de los diferentes formatos, formularios o registros dispuestos en los sistemas de información, para el cumplimiento de las obligaciones tributarias, y conforme a la misión de la entidad la entidad aplica el principio de la reserva tributaria establecida en el Estatuto Tributario Decreto 624 de 1989 Art.
583: el cual establece la reserva de la declaración: “La información tributaria respecto a las bases gravables y la determinación privada de los impuestos que figuren en las declaraciones tributarias, tendrá el carácter de información reservada”, la reserva tiene un marco constitucional fundamentado en el Art. 15 de la constitución política: "Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar.
Igualmente manifiesto que he leído la política de tratamiento de datos personales de la Secretaria Distrital de Hacienda - SDH, publicada en la sede electrónica. Ver
La Secretaria Distrital de Hacienda – SDH, me ha informado que mis datos personales son recolectados almacenados y usados con la finalidad de dar cumplimiento a su misión institucional, ejercer las actividades propias de las funciones de la Entidad y garantizar el cumplimiento de las obligaciones tributarias.
Entiendo que como titular de la información, de conformidad con lo establecido en el artículo 15 de la Constitución Política, tengo derecho a conocer, actualizar y rectificar mis datos personales, solicitar prueba de la autorización otorgada para su tratamiento, ser informado sobre el uso que se ha dado a los mismos y presentar quejas ante la Superintendencia de Industria y Comercio por infracción a la ley; así mismo, presentar observaciones, consultas, reclamos, revocar la autorización y/o solicitar la supresión de mis datos en los casos en que sea procedente, acceder en forma gratuita a los mismos; y formular las consultas y reclamos en los canales del Sistema de Peticiones, Quejas, Sugerencias, Reclamos, y Denuncias de la del Distrito – “Bogotá te escucha”, o a través de los canales habilitados conforme lo establece la política de tratamiento de datos.
De conformidad con lo previsto en las normas sobre protección de datos personales, especialmente lo consagrado en el artículo 10 de la Ley 1581 de 2012 y sus decretos reglamentarios, entiendo que la SDH; 1) no requiere autorización del titular cuando recolecta datos en el ejercicio de sus funciones; 2) puede realizar el tratamiento de mis datos personales consignados en este sistema informático y 3) puede compartir información que contenga datos personales con otras entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial, dando cumplimiento a los requisitos y condiciones establecidas en la Ley y la jurisprudencia para acceder a los mismos.
Por lo anterior, autorizo de manera libre, previa, clara, expresa y voluntaria a la Secretaria Distrital de Hacienda - SDH, para efectuar el tratamiento de los datos personales recolectados, mediante la aplicación “DESCARGA TU FACTURA”, y declaro que soy de titular de los datos personales y de reserva tributaria, contenidos en la factura que voy a descargar, asociada con mi número de identificación chip y/o Placa, los cuales serán utilizados para el cumplimiento de mis obligaciones tributarias.
Así, en el texto transcrito se evidencia que a la persona se le informa el tratamiento al cual serán sometidos los datos personales, así como su finalidad y los derechos que le asisten al titular de estos.
En tal sentido, en cuanto al aviso de privacidad, esta Dirección considera que aquel se ha redactado bajo los parámetros que exigen las normas.
- 3. CONCLUSIONES
Efectuado el análisis que antecede, esta Dirección procede a responder el interrogante planteado:
¿Con el aviso de privacidad del botón de descarga de los formularios para declaración del impuesto predial y sobre vehículos se garantiza la protección de datos personales?
Como se indicó en la parte considerativa de este concepto, en criterio de esta Dirección, el aviso de privacidad cumple con los criterios exigidos por la norma.
En procura de impulsar la política de mejoramiento continuo en el procedimiento de Asesoría Jurídica de la Secretaría Distrital de Hacienda solicito verifique si el concepto emitido contribuyó a resolver de fondo el problema jurídico planteado. De no ser así, por favor informe de manera inmediata a la Dirección Jurídica.
Cordialmente,
ESPERANZA CARDONA HERNÁNDEZ
Directora Jurídica