No. De acuerdo con el literal c) del artículo 3 de la Ley 1581 de 2012, la información solo tendrá la calidad de dato personal si está vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
No. La información confidencial es toda aquella que tiene valor por su calidad de reservada, secreta o de acceso y circulación restringida y que, en tanto reservada. Por el contrario, los datos personales se caracterizan por estar vinculados asociados a una o varias personas naturales determinadas o determinables, sin que necesariamente sean datos privados o reservados.
No. La Universidad de los Andes, al ser un apersona jurídica, no puede tener la condición de Titular de datos personales. Los datos personales es una información que solo se predica de las personas naturales.
La noción de “Tratamiento” se refiere a toda acción que puede realizarse con la información, como: recopilación, almacenamiento, prospección, transmisión, transferencia, segmentación, análisis, entre otros. Cuando la información que se trata son datos personales, dicho Tratamiento está regulado por la Ley 1581 de 2012, el Decreto Único Reglamentario 1074 de 2015 y demás normas complementarias.
Si bien la Universidad no es Titular de Datos Personales, recolecta información personal de diferentes personas naturales, como: estudiantes, padres o acudientes de sus estudiantes, profesores, administrativos, contratista o sus dependientes, entre otros. Dicha recolección y posterior almacenamiento y Tratamiento la realiza en calidad de Responsable de esos datos.
La calidad de Responsable del Tratamiento de la Universidad de los Andes implica que esta Institución, por sí misma o en asocio con otros, decide sobre la base de datos y/o el Tratamiento de los datos de: estudiantes, padres o acudientes de sus estudiantes, profesores, administrativos, contratistas o sus dependientes, entre otros (Titulares de la Información). Lo anterior, de acuerdo con la autorización que haya sido otorgada previamente por dicho Titular.
La Autorización es el consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales. La Autorización deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior por parte del Responsable del Tratamiento.
El Responsable del tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados así como todas las finalidades específicas del tratamiento para las cuales se obtiene el consentimiento.
Se entenderá que la autorización cumple con estos requisitos cuando se manifieste por escrito, de forma oral o mediante conductas inequívocas del Titular que permitan concluir de forma razonable que otorgó la autorización.
La Autorización debe informar a Titular, como mínimo, lo siguiente: (i) el Tratamiento al cual serán sometidos y la finalidad con la que es recaudado el dato personal. (ii) Los derechos que le asisten como Titular (iii) La información y los canales de comunicación a través de los cuales los Titulares pueden ejercer sus derechos ante el Responsable y/o Encargado del Tratamiento. (iv) El carácter facultativo que tiene el Titular de dar o no respuesta a preguntas que versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.
La autorización del Titular no será necesaria cuando se trate de: (i) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial. (ii) Datos de naturaleza pública. (iii) Casos de urgencia médica o sanitaria. (iv) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos. (v) Datos relacionados con el Registro Civil de las personas.
Los datos personales pueden ser públicos, privados, semiprivados y sensibles.
Los datos públicos son aquellos calificados por la Ley como tal, como, por ejemplo, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas. Este tipo de datos no requieren para su Tratamiento de autorización previa, expresa e informada del Titular, siempre y que el uso que se dé a esos datos esté alineado con la finalidad que establece la Ley para su publicidad. Los datos semiprivados con aquellos que no tienen naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no solo a su Titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios. Este tipo de datos requieren para su Tratamiento de autorización previa, expresa e informada del Titular. Los datos privados son aquellos que, por su naturaleza íntima o reservada, solo es relevante para el titular. Este tipo de datos requieren para su Tratamiento de autorización previa, expresa e informada del Titular. Los datos sensibles, por su parte, son aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos. No. Los datos públicos no son aquellos que sean de acceso al público. Es decir, no es un dato público aquel que está disponible en un buscador o una aplicación o red social. Así, por ejemplo, una foto de una persona contenida en un perfil de una red social no es un dato público por el hecho de estar disponible en dicho perfil. Por tanto, no es posible recolectar esa foto y usarla sin contar con autorización previa, expresa e informada de dicho Titular.
Sí, tienen condiciones especiales. Para el caso de los datos sensibles: ningún tipo de actividad que implique la recolección de datos personales y el suministro de información podrá condicionarse a que el Titular suministre datos personales sensibles. No obstante, cuando dicho tratamiento sea posible conforme a lo establecido en el artículo 6 de la Ley 1581 de 2012, deberán cumplirse las siguientes obligaciones: (i) Informar al Titular que por tratarse de datos sensibles no está obligado a autorizar su tratamiento.(ii) Informar al Titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de tratamiento son sensibles y la finalidad del tratamiento, así como obtener su consentimiento expreso.
Respecto a los datos personales de niños, niñas o adolescentes (menores de edad) estos tienen una especial protección y, por lo tanto, su tratamiento está prohibido, excepto cuando se trate de datos de naturaleza pública, de conformidad con lo establecido en el artículo 7° de la Ley 1581 de 2012 y cuando dicho tratamiento cumpla con los siguientes parámetros y requisitos: (i) Que responda y respete el interés superior de los niños, niñas y adolescentes. (ii) Que se asegure el respeto de sus derechos fundamentales. (iii) Que el representante legal del niño, niña o adolescente otorgue la autorización previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.
La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país. La transmisión de datos personales por su parte implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia y tiene por objeto la realización de un tratamiento por el Encargado por cuenta del Responsable.
El Encargado es la persona natural o jurídica que realiza el Tratamiento de los datos personales por cuenta del Responsable. El rol de Encargado tiene lugar en los casos en que la Universidad contrata servicios con Proveedores que requieren, para su ejecución y cumplimiento, del suministro de bases de datos con información personal. En ese caso, la Universidad es el Responsable de esos datos y el Proveedor sería el Encargado. Se recomienda solicitar ante la Dirección Jurídica el análisis del caso para, de ser necesario, suscribir un acuerdo de transmisión de datos que garantice que el Encargado realizará una debida administración de esas bases de datos.