Protección de datos personales en el ámbito Universitario

Por: Andrés Felipe Contreras P. 

La gestión de los datos personales en el ámbito universitario, no se aparta de las reglas generales y comunes que aplican para otros contextos y otros tipos de tratamientos que están igualmente amparados por el vigente régimen de protección de datos personales en nuestro país. No obstante, es posible identificar ciertos supuestos que contribuyen a la necesidad de abordar particularidades del entorno universitario, que requieren de un análisis más detallado.

En principio, es de señalar que aun cuando las instituciones universitarias sean vistas como responsables del tratamiento y correlativamente de los datos de estudiantes, docentes, personal administrativo y demás colaboradores, estas siguen trabajando en función de sus obligaciones, competencias y procesos, que no se limitan únicamente al ejercicio educativo.  Desde esta perspectiva, principios como el de la finalidad del tratamiento y calidad del dato, deben estructurarse en función de las actividades propias de las universidades como lo son los procesos de matrícula, disciplinarios, evaluaciones, registros académicos, bienestar universitario, entre otros. De igual manera, tales principios deben integrarse con otro tipo de actividades generales como lo son las financieras, gestión de recursos humanos y mercadeo, entre muchas más.

En adición a lo anterior, es menester destacar que las universidades son sujetos obligados a cumplir con el principio de transparencia y a procurar el efectivo ejercicio del derecho al acceso a la información pública al estar indirectamente referenciadas dentro del alcance de la Ley 1712 de 2014, por su relación con la prestación del servicio público de educación[1]. Esto representa un ejercicio adicional de la administración de las instituciones de educación superior en cuanto a la protección de los datos personales, específicamente en lo que refiere al principio de seguridad, confidencialidad y de acceso y circulación restringida, ya que, si bien deben acatar el deber de máxima publicidad “en la Web, a fin de que estas [las personas interesadas], puedan obtener la información, de manera directa o mediante impresiones[2]”, esto no puede desconocer la garantía a la reserva de la información que afecte la intimidad de las personas y  la seguridad a los registros, impidiendo su pérdida, adulteración, consulta, uso o acceso no autorizado o fraudulento.

En este sentido, se torna pertinente expresar lo manifestado en concepto 13-123870 de la Superintendencia de Industria y Comercio del 9 de julio de 2013, donde se establece, entre otras cosas, que corresponde a la Universidad determinar en cada caso particular la finalidad que dará a la información tratada y, de acuerdo con dicha finalidad, determinar si la misma debe ajustarse a lo previsto en la Ley 1266 de 2008 o en la Ley 1581 de 2012. En el sentido de fijar el alcance de una y otra ley y de las respectivas autoridades de control, se puede leer: Determinación del ámbito de ejercicio de competencias, funciones y facultades de la Superintendnecia Financiera de Colombia y la Superintendencia de Industria y Comercio en materia de protección de datos personales.

Se debe tener presente que, aun cuando ni la Ley 30 de 1992 (por la cual se organiza el servicio público de la Educación Superior), ni Ley General de Educación 115 de 1994, ni sus diferentes modificaciones, hacen mención alguna a la protección de los datos personales de estudiantes, docentes y colaboradores de instituciones de educación superior (IES) [3],  por lo establecido en decretos como el 1330 de 2019 y resoluciones como la  15224 de 2020 del Ministerio de Educación Nacional, el componente de privacidad y confidencialidad de los datos está íntimamente relacionado con las exigencias hechas a las IES en cuanto a la implementación de protocolos y garantías del derecho a la protección de datos personales y la estructuración de medidas de seguridad electrónica para la protección de la información, evitando “su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento”, tal como reza el principio de seguridad contenido en la Ley 1581 de 2012.

Con esto en mente, se entiende que los demás deberes de la ya mencionada Ley Estatutaria de Protección de Datos Personales, tienen vigencia y carácter imperativo sobre las universidades desde su misma expedición, por lo que es apenas lógico encontrar sanciones relacionadas con este especial ámbito de tratamiento de información personal. Así, podemos hallar resoluciones de la Superintendencia de Industria y Comercio como la 46693 del 18 de julio de 2016, en donde se amonesta a la Corporación Universitaria Iberoamericana por el envío de correos electrónicos masivos con publicidad relacionada a los servicios educativos de la universidad, sin contar de forma previa con procedimientos y políticas de seguridad asociadas al tratamiento de datos personales en desarrollo de dicha actividad. En un sentido similar y por cuenta del uso de datos personales sin la debida autorización de sus titulares, la universidad San Buenaventura fue multada mediante la resolución 51290 del 31 de julio de 2018. En cuanto a la obligación de dar respuesta oportuna y de fondo a las solicitudes de consulta y reclamaciones derivadas del derecho de habeas data, la SIC, profirió decisión condenatoria contra la universidad Manuela Beltrán en la resolución 11396 del 20 de febrero de 2018. Finalmente, en la resolución 63316 del 30 de agosto de 2018, confirmada exactamente un año después en su totalidad por la decisión de la SIC 41083, se condenó a la corporación universidad de la Costa por la falta de procedimientos de seguridad, políticas y autorizaciones, así como por el incumplimiento del deber de información frente al tratamiento y sus finalidades.

No obstante evidenciar que la mayoría de actuaciones administrativas adelantadas por la Superintendencia, ratifican la línea un tanto conservadora que existía hasta hace poco sobre las obligaciones convencionales y sus respectivos incumplimientos en materia de datos personales (falta de autorización, carencia de políticas y procedimiento internos, falta de atención de derechos CARS), es posible que otros supuestos variopintos y casi exclusivos de las universidades, presenten reparos al ser contrastados por la Ley General de habeas data.

De esta manera, tratamientos derivados de la gestión universitaria y la prestación del servició de educación superior, como lo son los modelos tradicionales de enseñanza, hoy en su mayoría enfocados en herramientas de educación virtual, representan esfuerzos adicionales para el cumplimiento de los estándares en protección de datos personales. Así, por ejemplo, en aquellos casos donde se contratan servicios de video conferencing o web conferencing con terceros proveedores, que como es obvio, implican un tratamiento de datos de carácter personal,   deberá escogerse únicamente un contratista que ofrezca garantías suficientes en materia de seguridad de la información, respaldando esta y otras obligaciones a través de un contrato de encargado del tratamiento que contenga cuando mínimo las obligaciones del artículo 18 de la LEPDP y, como buena práctica, lo establecido en su momento por el artículo 25 del derogado Decreto 1377 de 2013[4]  . En este sentido cabe señalar que las grabaciones de imagen, sonido y hasta de texto, constituyen tratamientos de datos personales y pueden afectar paralelamente, contenidos protegidos por la propiedad intelectual. Sobre las grabaciones, es indispensable que, a menos que medie algún acuerdo en contrario, las mismas solo puedan utilizarse en el marco de la materia o asignatura de origen, siendo una obligación que tanto maestros como alumnos, sean informados sobre el tratamiento de los datos y su finalidad.

La discrepancia en este sentido puede ser atendida por el Oficial de Protección de Datos Personales de la universidad, con completa sujeción a las autorizaciones previas y el contexto educativo (semi privado) en el que se tratan los datos[5].

Otro supuesto, acotando el planteamiento anterior, será el de la identificación del estudiantado a través de registros de datos biométricos. Esto presenta serias dificultades por la complejidad de la técnica implementada y la sensibilidad de este tipo de datos, pero, en procura de atender la mejor práctica en el asunto, es recomendable omitir este tipo de herramientas en la medida que existan otros medios que permitan la identificación de los estudiantes.

Respecto a la construcción de los expedientes académicos, es menester elaborar los mismo con completa sujeción al principio de calidad del dato, de tal suerte que se encuentre que dicha información este permanentemente actualizada, completa y que corresponda con la realidad del estudiante, evitando su visualización parcial y equívocos que causen posteriores perjuicios a los estudiantes. En cuanto a su consulta, se debe distinguir entre el personal de la universidad, el mismo estudiantes y terceras personas como padres y acudientes. Para el primero de los casos, la consulta del expediente se debe limitar a aquellas personas que tengan relación estrecha con el proceso académico. Para estudiantes, siendo estos titulares de dicha información, no deberían existir, en principio restricción alguna para su consulta. En el último caso, siendo el estudiante mayor de edad, cualquier consulta por parte de terceros, ajenos a los encargados del tratamiento contratados por la universidad, deberá contar con la autorización por parte del alumno. En caso de ser menor de edad, siguiendo el criterio de la Agencia Española de Protección de Datos[6], el acceso al expediente académico de padres, representantes o acudientes, puede ser objeto de oposición por parte del titular de los datos en la medida que, por ejemplo, este financie sus estudios con sus propios medios económicos.

Otro asunto que repercute con un mayor grado de incidencia, esta determinado por la actividad investigativa que, como se entenderá, en cuanto a su desarrollo, puede conllevar la ineludible tarea de tratar información personal en aras de conseguir resultados ajustados a la realidad. De esta forma,  se debe tomar como principal referente lo señalado en el literal e) del artículo 6 de la Ley 1581 de 2012, que, aunque se refiera a la omisión de la autorización para el tratamiento de datos sensibles cuando este verse sobre una finalidad histórica, estadística o científica, puede ser igualmente aplicable a los demás datos que revisten una menor afectación a la intimidad de las personas, siempre que, como lo establece dicho artículo, se  adopten  medidas conducentes a la supresión de identidad de los titulares, como lo son la disociación o anonimización de la información, acompañada de medidas adicionales como puede ser la minimización de los datos, desarrollada con mayor amplitud por el Reglamento General Europeo (UE) 2016/679.

En todo caso, debe ser preferente la solicitud de autorización expresa por parte de los sujetos que hacen parte de tales investigaciones, máxime, cuando se traten de investigaciones que se sirven, por ejemplo, de datos clínicos, relativos a víctimas de violencia sexual o de género, datos genéticos, entre otros datos de naturaleza sensible.

En cuanto a los investigadores, se seguirán los lineamientos internos que las universidades establezcan y que como es natural, no pueden contradecir los presupuestos del régimen nacional de protección de datos personales. En el caso de pares académicos, el artículo 2.5.3.2.11.8. del mencionado Decreto Único Reglamentario del Sector Educación, establece el Banco de Pares Académicos, el cual, integra las hojas de vida de dichos investigadores, poniendolas a disposición para la consulta en el Sistema de Aseguramiento de la Calidad de la Educación Superior (SACES), o el que haga sus veces, conforme con la normatividad sobre protección de datos personales.

Así, y dejando pendiente algunos tratamientos especiales de las IES, se pueden enervar algunas importantes sugerencias adicionales:

1. Todos los tratamientos de datos personales se deben realizar bajo los principios de confidencialidad, necesidad, temporalidad y siendo empleados únicamente en las finalidades para las que fueron recogidos, sin que puedan ser empleados para finalidades posteriores o diferentes.
2. Es vital que se construya una cultura de protección de datos personales liderada principalmente por las autoridades universitarias, especialmente por el Oficial de Protección de Datos Personales o quien haga sus veces, ya que esta figura, constituye un importante apoyo en materia de protección de datos de cada universidad, referencia en materia de consultas sobre dudas en protección de datos y, en segundo lugar, como asesor directo sobre las medidas o herramientas a implementar, y de concienciación para garantizar un correcto cumplimiento de legislación vigente sobre protección de datos.
3. La aparente dificultad de abordar la adecuada gestión de datos personales dentro de las universidades, no se traduce en limitar la utilización de las tecnologías de la información por parte de las Universidades sino de hacer compatible la protección de los derechos fundamentales de los ciudadanos con el aprovechamiento de la informática, los datos y la información, en la gestión universitaria. Esto se conoce actualmente como “Gobierno corporativo de datos”

[1] En cuanto a la educación como servicio público, en concordancia con la Ley 30 de 1992, recientes sentencias de la Corte Constitucional como la Sentencia C-199/20, M.P. Carlos Bernal Pulido y la Sentencia T-167/19, M.P. Gloria Estela Ortiz Delgado.

[2] Artículo 7o. de la Ley 1712 de 2014.

[3] No así con los niveles educativos de preescolar, básica y media, en los que la Ley 1620 de 2013 y su Decreto Reglamentario 1965 de septiembre 11 de 2013 (hoy compilado en el DURSE)

[4] El artículo no fue compilado en el Decreto Único Reglamentario 1074 de 2015, por lo que según el artículo 3.1.1 del mismo Decreto, se tiene por derogado.

[5] Téngase presente que, a diferencia de otros ordenamientos como el de la Comunidad Europea, en Colombia no se tiene por fuente legitimadora del tratamiento de datos personales el interés legitimo del responsable.

[6] Informes AEPD 178/2014, 377/2014, 441/2015