La Comisión Nacional del Servicio Civil, en adelante CNSC, en uso de sus facultades y tomando en cuenta que:
-
Según el mandato de la Constitución Política de la República de Colombia, en su artículo 130, designa a la CNSC como responsable de la administración y vigilancia de las carreras de los servidores públicos, excepción hecha de las que tengan carácter especial.
-
De acuerdo, la Ley 1266 de 2008, desarrolla el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos personales, precisando que el titular de la información es la persona natural o jurídica a quien se refiere la información que reposa en un banco de datos y sujeto del derecho de habeas data y demás derechos y garantías a que refiere la citada ley
-
Según la Ley Estatutaria 1581 de 2012 “Régimen General de Protección de Datos Personales” y el Decreto 1074 de 2015, “Único Reglamentario del Sector Comercio Industria y Turismo”, consagran la necesidad de garantizar de forma integral la protección y el ejercicio del derecho fundamental de Habeas Data, disponiendo dentro de los deberes de los responsables del tratamiento de datos personales, desarrollar políticas para su materialización
-
La Ley 1712 de 2014, sobre transparencia y derecho de acceso a la información pública nacional, adiciona nuevos principios, conceptos y procedimientos para el ejercicio y garantía del referido derecho; junto con lo dispuesto en el Libro 2. Parte VIII, Título IV "Gestión de la Información Clasificada y Reservada" del Decreto 1080 de 2015, “Por medio del cual se expide el Decreto Reglamentario Único del Sector Cultura", que establece disposiciones sobre el acceso a datos personales en posesión de los sujetos obligados.
- Según el literal b del artículo 18 de la Ley 1581 de 2012, es deber de la CNSC, como responsable del tratamiento de los datos, conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Declaración
La CNSC, como entidad responsable del tratamiento de datos personales, está comprometida con la ustodia y protección de los datos personales y sensibles de sus usuarios, siendo éstos datos de carácter privado o semiprivado según lo establecido en la Ley 1581 de 2012, así como en las normas que la reglamenten, modifiquen o adicionen.
Definiciones
Tratamiento:Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión [Ley 1581 de 2012, Art. 3].
Titular: Persona natural cuyos datos personales sean objeto de Tratamiento [Ley 1581 de 2012, Art. 3].
Anonimización: Definida en el artículo 2.2.3.1.1 del Decreto 1170 de 2015 como el “proceso técnico que consiste en transformar los datos individuales de las unidades de observación, de tal modo que no sea posible identificar sujetos o características individuales de la fuente de información, preservando así las propiedades estadísticas en los resultados
Autorización: consentimiento previo, expreso e informado del Titular de la información para llevar a cabo el tratamiento de datos personales [Ley 1581 de 2012, Art. 3]
Aviso de privacidad: comunicación verbal o escrita generada por el responsable, dirigida al Titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales. [Decreto 1377 de 2013, Art. 3].
Base de datos: Es un conjunto organizado de datos personales bien sea en medio físico (ej: papel) o en medio electrónico (archivos en cualquier formato como hojas electrónicas, tratamiento de texto, con el uso o no de motores de bases de datos, etc.), sin importar la cantidad de datos personales que contenga [SIC - RNBD].
Confidencialidad: propiedad de prevenir el acceso o la divulgación de la información a personas o sistemas no autorizados [NTC-ISO/IEC 27001].
Datos biométricos: Es un tipo de dato sensible que amerita una explicación adicional. La biometría hace referencia a las tecnologías que miden y analizan los parámetros y características del cuerpo humano, parámetros físicos que son únicos en cada persona para poder comprobar su identidad como lo son las huellas dactilares o el iris del ojo, fotografías, cámaras de video vigilancia, placas dentales, aunque los científicos también son capaces de identificar a un individuo por su voz, su palma de la mano o rasgos del rostro
Dato personal: cualquier información vinculada o que pueda asociarse a una o a varias personas naturales determinadas o determinables. [Ley 1581 de 2012, Art. 3]. Debe entonces entenderse el “dato personal” como una información relacionada con una persona natural (persona individualmente considerada)
Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular. [Ley 1266 de 2008, Art. 3].
Dato personal público: es el dato que no es semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva. [Decreto 1377 de 2013, Art. 3]
Dato semiprivado. Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de la presente ley. [Ley 1266 de 2008, Art. 3].
Dato personal sensible: se entiende por datos sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos. [Decreto 1377 de 2013, Art. 3].
Encargado del Tratamiento: persona natural o jurídica, pública o privada, que por sí mismo en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del Tratamiento [Ley 1581 de 2012, Art. 3].
Información: Se refiere a un conjunto organizado de datos contenido en cualquier documento que los sujetos obligados generen, obtengan, adquieran, transformen o controlen [Ley 1712 de 2014, Art. 6]
Informaciones y documentos reservados: Los que involucren derechos a la privacidad e intimidad de las personas, incluidas en las hojas de vida, la historia laboral y los expedientes pensionales y demás registros de personal que obren en los archivos de las instituciones públicas o privadas, así como la historia clínica [Ley1437 de 2011, Art. 24].
Ofuscación de datos: también se conoce como enmascaramiento de datos, es el proceso de reemplazar información sensible existente en entornos de prueba o de desarrollo con la información que parece información real de producción, pero no sirve para nadie que desee darle mal uso.
Responsable del tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos [Ley 1581 de 2012, Art. 3].
Requisito de procedibilidad: el titular o causahabiente solo podrá elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante el responsable del Tratamiento o Encargado del Tratamiento; lo anterior según el artículo 16 de la ley 1581 de 2012.
Seguridad de la información: preservación de la confidencialidad, integridad, y disponibilidad de la información, además, otras propiedades tales como autenticidad, responsabilidad, no repudio y confiabilidad pueden estar involucradas [NTC-ISO/IEC 27001].
Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.
Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio ya su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
Información: Se refiere a un conjunto organizado de datos contenido en cualquier documento que la CNSC, obtenga, adquiera, transforme o controle.
Información pública: Es toda información que la CNSC genere, obtenga, adquiera, o controle en su calidad entidad pública.
Información pública clasificada: Es aquella información que estando en poder o custodia de la CNSC en su calidad de entidad pública, pertenece al ámbito propio, particular y privado o semiprivado de una persona natural o jurídica por lo que su acceso podrá ser negado o exceptuado, siempre que se trate de las circunstancias legítimas y necesarias y los derechos particulares o privados consagrados en el artículo 18 de la Ley 1712 de 2014.
Publicar o divulgar: Significa poner a disposición en una forma de acceso general a los miembros del público e incluye la impresión, emisión y las formas electrónicas de difusión.
Titular del dato: Persona natural a quien pertenece el dato.
Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
Transmisión: Tratamiento de datos personales que implica la comunicación de estos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del responsable.
Identificación del encargado del tratamiento.
Para la CNSC, pueden ser encargados del tratamiento de los datos personales (en adelante encargados), las personas naturales o jurídicas que le sean designados contractualmente procesos específicos complementarios o de apoyo a la CNSC en el marco de sus obligaciones legales, en donde sea requerido el manejo de bases de datos (físicas, lógicas o en sistemas de información) que contengan información de los titulares. Estos encargados pueden ser las Universidades o Instituciones de Educación Superior previamente acreditadas, que se desempeñen como prestadoras de servicios a la CNSC para la ejecución de los procesos de selección para proveer las vacantes definitivas de los empleos de carrera de las entidades públicas del país, entidades privadas que presten servicios profesionales de validación y verificación de antecedentes personales, entidades públicas que en virtud de los procesos de vinculación a la carrera administrativa puedan requerir datos de funcionarios públicos de carrera elegibles o que en sus procesos de evaluación y seguimiento requieran validación de datos de los titulares, y las empresas que la CNSC pudiera contratar para fines de alojamiento de datos.
Deberes del responsable y/o encargado del tratamiento.
La CNSC reconoce la titularidad que de los datos personales ostentan las personas y en consecuencia ellas de manera exclusiva pueden decidir sobre los mismos. Por lo tanto, la entidad utilizará los datos personales para el cumplimiento de las finalidades autorizadas expresamente por el titular o por las normas vigentes. En el tratamiento y protección de datos personales, la CNSC tendrá los siguientes deberes, sin perjuicio de otros previstos en las disposiciones que regulen o lleguen a regular esta materia: 1. Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data. 2. Solicitar y conservar, en las condiciones previstas en la Ley 1581 de 2012, copia de la respectiva autorización otorgada por el Titular. 3. Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten en virtud de la autorización otorgada. 4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. 5. Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible. 6. Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada. 7. Rectificar la información cuando sea incorrecta y comunicar lo pertinente. 8. Respetar las condiciones de seguridad y privacidad de la información del titular. Suministrar al Encargado del Tratamiento, según sea el caso, únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en los procedimientos de la CNSC o en la Ley 1581 de 2012. 10. Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular. 11. Tramitar las consultas y reclamos formulados en los términos señalados por la ley. 12. Identificar cuando determinada información se encuentra en discusión por parte del titular. 13. Adoptar los documentos institucionales de procedimientos, guías o instructivos necesarios para garantizar el adecuado cumplimiento de la Ley 1581 de 2012 y en especial, para la atención de consultas y solicitudes. 14. Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo. 15. Informar a solicitud del titular sobre el uso dado a sus datos. 16. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares. 17. Cumplir los requerimientos e instrucciones que imparta la Superintendencia de Industria y Comercio sobre el tema en particular. 18. Usar únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la ley 1581 de 2012. Anonimizar, ofuscar o enmascarar los datos personales de los titulares siempre que estos sean de carácter semiprivados, privados o sensibles, así como los datos de los niños, niñas y adolescentes de cualquier tipo y en cualquier medio donde estos sean gestionados.
Procedimiento para la actualización, rectificación, supresión de datos y revocación de la autorización de tratamiento de datos personales.
En concordancia con el artículo 15 de la Ley 1581 de 2012, los titulares o las personas señaladas en el artículo 8 de esta resolución, que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la ley 1581 de 2012, podrán presentar un reclamo ante la CNSC, el cual será tramitado bajo los siguientes lineamientos: El reclamo para solicitar la corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012, se formulará a través de los canales a que se refiere el artículo 12 de esta resolución, lo cual deberá contener como mínimo: · Nombres y apellidos del Titular y/o su representante. · Identificación del Titular y/o su representante. · Dirección física, electrónica y teléfono de contacto del Titular y/o su representante. · Descripción de los hechos que dan lugar al reclamo.
Documento publicado: Política de Privacidad y Protección de Datos Personales
Recursos
Para cualquier información acerca del tratamiento de los datos personales, solicitar revocación y/o supresión de datos personales, los titulares pueden comunicarse con la CNSC por medio de los canales de atención autorizados y disponibles en el pie de página de la Comisión Nacional del Servicio Civil https://www.cnsc.gov.co