CONCEPTO 202430003185 DE 2024

(septiembre 5)

<Fuente: Archivo interno entidad emisora>

INSTITUTO COLOMBIANO PARA LA EVALUACIÓN DE LA EDUCACIÓN - ICFES

COMUNICACIÓN INTERNA

Estimada doctora XXXXX,

En cumplimiento de las funciones establecidas en el numeral 1 del artículo 11 del Decreto 5014 de 2009, la Oficina Asesora Jurídica (OAJ) rinde concepto en relación con la consulta formulada mediante la comunicación interna citada en el asunto.

1. SITUACIÓN PLANTEADA

Mediante la comunicación citada en el asunto, la Oficina de Gestión de Proyectos de Investigación (OGPI) solicita a la OAJ un concepto jurídico sobre “aspectos relacionados con la publicación de datos en "DataIcfes", base de datos anonimizada, actualizada y publicada periódicamente que ofrece información para el sector educativo”. Por lo anterior, en su comunicación, se formularon los siguientes interrogantes:

1. Desagregación de pertenencia étnica:

¿Es viable y legalmente permisible publicar en DataIcfes la desagregación de pertenencia étnica de los estudiantes para los Exámenes Saber 11°, Saber Pro, Saber TyT, Pre Saber y la prueba 3579?

2. Variable de condición de discapacidad:

¿Es posible publicar en DataIcfes una variable de Sí o No que indique si el estudiante está en condición de alguna discapacidad para los Exámenes Saber 11°, Saber Pro, Saber TyT, Pre Saber y la prueba 3579?

3. Identificación de ingreso a educación superior:

¿Es posible publicar en DataIcfes una llave anonimizada que permita conocer de los estudiantes que presentan el Examen Saber 11°, cuales ingresaron a educación superior, indicando periodo de ingreso, programa, IES y tipo de programa, utilizando la base de datos del SNIES proporcionada por el Ministerio de Educación Nacional?

4. Acceso anonimizado a la llave entre el Examen Saber 11° y SNIES:

¿Es posible, bajo la modalidad de convocatoria de estudiantes o grupos ganadores que suscriben un contrato con el ICFES, acceder de manera anonimizada a la llave entre el Examen Saber 11° y SNIES proporcionada por el Ministerio de Educación Nacional en el marco de la propuesta ganadora de la convocatoria?

2. ALCANCE DEL CONCEPTO Y COMPETENCIA DE LA OFICINA ASESORA JURÍDICA

Los conceptos emitidos por la OAJ del Icfes, son orientaciones de carácter general que no comprenden la solución directa de problemas específicos, ni el análisis de actuaciones particulares.

En cuanto a su alcance, no son de obligatorio cumplimiento o ejecución^[1] ni tienen el carácter de fuente normativa y sólo pueden ser utilizados para facilitar la interpretación y aplicación de las normas jurídicas vigentes, en el contexto de las funciones que le han sido asignadas mediante el Decreto 5014 del 2009^[2].

3. CONSIDERACIONES PREVIAS

En contexto de lo anterior, la emisión del presente concepto tiene como objetivo asesorar a la OGPI desde el punto de vista jurídico en cuento a la interpretación de las normas constitucionales y legales aplicables para resolver los asuntos jurídicos derivados de los interrogantes planteados en la comunicación interna n° 202430002914 del 3 de agosto de 2024. Para ello, la OAJ abordará los siguientes temas, con el fin de proporcionar consideraciones generales que permitan resolver los interrogantes planteados en su comunicación: (i) datos sensibles, (ii) criterios para tener en cuenta para la anonimización de la información, y (iii) uso de datos publicados en DataIcfes.

3.1. Datos personales. Datos sensibles

De manera general, es necesario traer a colación la definición legal de datos personales y su tratamiento, especialmente en lo que respecta a la categorización de datos sensibles.

El literal c) del artículo 3 de la Ley 1581 de 2012^[3] define el dato personal en los siguientes términos: “Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinares”.

Al respecto, la Corte Constitucional mediante sentencia C-748 de 2011 señaló lo siguiente:

(...) [E]n efecto, la jurisprudencia constitucional ha precisado que las características de los datos personales -en oposición a los impersonales- son las siguientes: “i) estar referido a aspectos exclusivos y propios de una persona natural, ii) permitir identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.”

(...) Los datos personales, a su vez, suelen ser clasificados en los siguientes grupos dependiendo de su mayor o menor grado de aceptabilidad de divulgación: datos públicos, semiprivados y privados o sensibles.

Por lo tanto, un dato personal es cualquier información que esté vinculada o pueda asociarse a una o varias personas naturales determinadas o determinables, y que cumple con las siguientes características: (i) se refiere a aspectos exclusivos y propios de una persona natural; (ii) permite identificar a la persona, en mayor o menor medida, a través de una visión conjunta con otros datos; (iii) su propiedad reside exclusivamente en el titular, independientemente de que haya sido obtenida por un tercero de manera lícita o ilícita; y (iv) su tratamiento está sujeto a reglas especiales (principios) en cuanto a su captación, administración y divulgación.

Ahora bien, en lo que respecta a los datos sensibles, como categoría propia de los datos personales, el artículo 5 de la Ley 1581 de 2012 señala lo siguiente:

"Datos sensibles. Para los propósitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos"

Respecto de la anterior definición legal, la Corte Constitucional mediante sentencia C-748 de 2011 señaló lo siguiente:

"La Sala encuentra que esta definición se ajusta a la jurisprudencia Constitucional y su delimitación, además de proteger el habeas data, es una garantía del derecho a la intimidad, razón por la cual la Sala la encuentra compatible con la Carta Política.

En efecto, como explicó la Corte en la sentencia C-IOI 1 de 2008, la información sensible es aquella "(...) relacionada, entre otros aspectos, con la orientación sexual, los hábitos del individuo y el credo religioso y político. En estos eventos, la naturaleza de esos datos pertenece al núcleo esencial del derecho a la intimidad, entendido como aquella 'esfera o espacio de vida privada no susceptible de la interferencia arbitraria de las demás personas, que al ser considerado un elemento esencial del ser, se concreta en el derecho a poder actuar libremente en la mencionada esfera o núcleo, en ejercicio de la libertad personal y familiar, sin más limitaciones que los derechos de los demás y el ordenamiento jurídico.

Conforme a esta explicación, la definición del artículo 5 es compatible con el texto constitucional, siempre y cuando no se entienda como una lista taxativa, sino meramente enunciativa de datos sensibles, pues los datos que pertenecen a la esfera íntima son determinados por los cambios y el desarrollo histórico".

De acuerdo con lo anterior, se concluye que, los datos sensibles, son aquellos que afectan la intimidad de las personas el uso indebido de los mismos puede generar su discriminación, pues está relacionada, entre otros aspectos, con la salud, la orientación sexual, los hábitos del individuo, el credo religioso y político y los datos biométricos.

Por otro lado, en cuanto al tratamiento de datos sensibles, el artículo 6 de la Ley 1581 de 2012 establece los casos en los que se permite dicho tratamiento, que incluye la recolección, almacenamiento, uso, circulación o supresión de estos datos. Entre los eventos permitidos, se destacan cuando el titular ha otorgado su autorización expresa o cuando existe una disposición legal que autorice el tratamiento de dichos datos, a saber:

Artículo 6. Tratamiento de datos sensibles. Se prohíbe el Tratamiento de datos sensibles, excepto cuando:

a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.

b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y éste se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.

c) El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad.

d) En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular.

e) El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial

f) El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.

En este contexto, y en atención a la funcionalidad y misión del Icfes, de conformidad con lo establecido en el artículo 12 de la Ley 1324 de 2009, se precisa que el Instituto implementó su Política de Tratamiento de la Información de Datos Personales^[4], adoptada mediante la Resolución No. 000255 del 14 de mayo de 2020, en la cual se dispuso que el tratamiento y la finalidad de los datos personales serán para:

 Adelantar los trámites y servicios que tiene a cargo, en ejercicio de sus funciones expresamente señaladas en la Ley 1324 de 2009 y sus decretos reglamentarios, para lo cual no será necesaria la autorización del titular de la información de conformidad a lo dispuesto en el artículo 10 de la Ley 1581 de 2012.

- Evaluar la calidad educativa a partir de la aplicación de los exámenes de Estado.

- Realizar evaluaciones externas que le sean encargadas al Instituto.

- Generar estadísticas enfocadas en las funciones señaladas en la Ley 1324 de 2009, de cara con la evaluación de la educación en todos sus niveles.

- Desarrollar investigaciones sobre los factores que inciden en la calidad educativa.

- Preservar la memoria histórica, estadística o científica de las pruebas de Estado o de las que realice la entidad.

- Gestionar trámites (solicitudes, quejas, reclamos, entre otros).

- Contactar al titular a través de medios telefónicos o electrónicos para realizar encuestas, estudios, confirmación de datos personales y/o envío de información.

- Suministrar la información a terceros con los cuales el Icfes tenga relación contractual y que sea necesario entregársela para el cumplimiento del objeto contratado.

- Transmitir o transferir los datos personales dentro o fuera del país a terceros con los cuales se haya suscrito un contrato que requiera el procesamiento de datos y sea necesaria dicha información o para el cumplimiento del objeto contractual.

3.2. Criterios para tener en cuenta para la anonimización de la información

En primer lugar, se hace necesario mencionar que la anonimización se refiere a un proceso de tratamiento de datos en el que se "[expresa] un dato relativo a entidades o personas, eliminando la referencia a su identidad"^[5]. Este proceso de anonimización puede realizarse de manera directa o indirecta, y debe ser irreversible para garantizar la protección de la identidad de los titulares de los datos.

En este sentido, conforme a lo establecido en el artículo 21 de la Ley 1712 de 2014^[6], es posible restringir la divulgación de información contenida en actos administrativos cuando su acceso pueda causar perjuicio a los derechos de personas naturales o jurídicas, o a los intereses públicos. Asimismo, de acuerdo con el artículo 2.8.4.3.2 del Decreto 1080 de 2015^[7], se dispone que, en caso de divulgarse la información, los sujetos responsables de su tratamiento podrán tachar los apartes clasificados o reservados, o proceder a anonimizar, transliterar o editar el documento, con el fin de suprimir la información que no deba ni pueda ser difundida.

En segundo aspecto, para el cumplimiento de los estándares de anonimización, los datos deben ser despojados de elementos suficientes para que el titular de los datos ya no pueda ser identificado, y por lo tanto estos datos deben procesarse para que no sea posible identificar a una persona mediante el uso de todos los medios razonables para ser utilizados por cualquier otra persona. El proceso de anonimización de datos personales requiere una adecuada comprensión del propósito final de la utilización de la información, así como de su nivel de utilidad, teniendo en cuenta que independientemente de las técnicas empleadas, una vez realizado el proceso de anonimización se reduce la información original del conjunto de datos. Por tal motivo es importante que la entidad administradora de los datos decida el costo de oportunidad entre la utilidad que se busca obtener a partir de los datos y el nivel de riesgo de reidentificación (Data Protection Commission, 2019).

Finalmente, los datos se encuentran anonimizados cuando los sujetos dueños de los datos ya no pueden ser identificables, inclusive con la ayuda de los datos originales. Una vez los datos son anonimizados, estos se pueden usar, reutilizar y divulgar sin violar el derecho a la protección de datos de los titulares de la información. Razón por la cual, la técnica de anonimización debe ser tan robusta que impida que, a partir de un dato o de una combinación de datos de una misma fuente o de diferentes fuentes de datos, se logre identificar sujetos individuales ya sean individuos, empresas o establecimientos, u otro tipo de unidades de observación o haya un riesgo de reidentificación de aquellos (DANE, 2018).

Asimismo, la técnica de anonimización debe garantizar que se evite tanto la identificación directa como la indirecta. Esto implica que no debe ser posible relacionar la información con datos personales como el nombre, dirección, números de teléfono em tratándose de la identificación directa, ni tampoco permitir la identificación indirecta a través del cruce de datos o de otras fuentes de información que puedan revelar la identidad del titular.

3.3. Uso de datos publicados en Datalcfes

De acuerdo con lo publicado en la página web institucional (https://www.icfes.gov.co/data-icfes), Datalcfes (anteriormente conocido como FTP) es un repositorio desarrollado por el Icfes para apoyar a investigadores, estudiantes, la comunidad educativa y el público en general. Este repositorio proporciona un acceso esencial a herramientas que permiten realizar investigaciones rigurosas y fundamentadas, enfocadas en el mejoramiento de la calidad educativa en el país y, a través del cual, los usuarios pueden acceder a información confiable y exhaustiva sobre las pruebas aplicadas por el Instituto y su documentación técnica asociada, lo que facilita el análisis y la creación de conocimiento basado en datos educativos.

Al respecto, resulta necesario resaltar que la información publicada en este repositorio, entendemos, ha sido sometida a procesos de anonimización, el cual garantiza que los datos personales de los estudiantes y otros individuos evaluados no puedan ser asociados directamente a una persona específica.

Con lo anterior, la anonimización de los datos disponibles en DataIcfes se realiza en estricto cumplimiento de lo dispuesto en la Ley 1581 de 2012, la cual establece los principios y obligaciones que deben observar las entidades públicas y privadas en el tratamiento de datos personales. Esta normativa incluye la obligación de garantizar que los datos personales sean protegidos de manera adecuada, evitando su divulgación no autorizada o el uso indebido de los mismos, tal como se mencionó previamente en este documento.

La Ley 1581 de 2012 asegura que el tratamiento de datos personales se haga bajo estrictos estándares de protección, permitiendo que la información anonimizada sea utilizada para fines investigativos sin comprometer los derechos fundamentales de los titulares. De esta manera, el Icfes no solo promueve el acceso a información valiosa para la investigación educativa, sino que también garantiza el cumplimiento de las obligaciones legales en materia de protección de datos, consolidando un equilibrio entre la transparencia informativa y la privacidad de los titulares de la información.

En este contexto, al anonimizar los datos, el Icfes no solo facilita el acceso a un recurso necesario para el análisis educativo, sino que también asegura que la privacidad de los estudiantes y participantes de las pruebas esté resguardada. De este modo, los datos pueden ser utilizados, reutilizados y divulgados sin poner en riesgo los derechos fundamentales de los titulares, permitiendo que los investigadores se beneficien de un conjunto de datos robusto y de calidad, pero siempre dentro de los límites legales y éticos.

4. DEL CASO EN CONCRETO

Hechas las anteriores precisiones, la OAJ procede a pronunciarse respecto de cada inquietud planteada en su consulta:

4.1. Primer interrogante: ¿Es viable y legalmente permisible publicar en Datalcfes la desagregación de pertenencia étnica de los estudiantes para los Exámenes Saber 11°, Saber Pro, Saber TyT, Pre Saber y la prueba 3579??

Conforme con el anterior contexto y normativas mencionadas previamente, pese a que la información étnica se trata de un dato de carácter sensible, sí es viable y legalmente permisible publicar en Datalcfes la desagregación de datos sobre la pertenencia étnica de los estudiantes, siempre que dicha información haya sido sometida a un proceso de anonimización adecuado y que garantice que los datos no puedan ser vinculados directa o indirectamente a una persona específica, tal como lo establece la Ley 1581 de 2012.

4.2. Segundo interrogante: ¿Es posible publicar en Datalcfes una variable de Sí o No que indique si el estudiante está en condición de alguna discapacidad para los Exámenes Saber 11°, Saber Pro, Saber TyT, Pre Saber y la prueba 3579?

Sí, es posible publicar una variable de Sí o No que indique si el estudiante está en condición de alguna discapacidad en DataIcfes, pero debe hacerse bajo el cumplimiento de las normativas sobre protección de datos personales, especialmente en relación con los datos sensibles.

Para ello, es necesario garantizar que los datos estén anonimizados de manera adecuada, de modo que no sea posible identificar a los estudiantes, ya sea de manera directa o a través del cruce de datos con otras variables.

4.3. Tercero interrogante: ¿Es posible publicar en DataIcfes una llave anonimizada que permita conocer de los estudiantes que presentan el Examen Saber 11°, cuales ingresaron a educación superior, indicando periodo de ingreso, programa, IES y tipo de programa, utilizando la base de datos del SNIES proporcionada por el Ministerio de Educación Nacional?

La publicación de una llave anonimizada en DataIcfes que permita identificar a los estudiantes que presentaron el examen Saber 11 y que ingresaron a la educación superior, junto con información como el periodo de ingreso, programa, institución y tipo de programa, utilizando la base de datos del SNIES proporcionada por el MEN, es posible, pero debe cumplir con ciertos requisitos legales y técnicos clave aplicados por parte del Icfes:

1. Anonimización irreversible: La llave debe estar anonimizada de manera irreversible para garantizar que no sea posible, de ninguna manera, identificar directamente a los estudiantes, lo que implica que, ni por la combinación de datos adicionales, ni por técnicas de reidentificación, se pueda asociar la llave con una persona específica.

2. Cumplimiento con la Ley 1581 de 2012: Cualquier uso o publicación de datos personales, aunque sea anonimizada, debe observar los principios de seguridad, confidencialidad, y transparencia, siempre salvaguardando los derechos de los titulares de la información y en aplicación de las Política de Tratamiento de la Información de Datos Personales.

3. Compatibilidad de finalidades: El uso de la base de datos del SNIES proporcionada por el MEN debe respetar los fines para los que esa información fue recolectada y la publicación de los datos agregados debe estar alineada con las finalidades legales y de utilidad pública, como la investigación y mejora del sistema educativo, siempre asegurando que no se vulnere la privacidad de los estudiantes.

4.4. Cuarto interrogante: ¿Es posible, bajo la modalidad de convocatoria de estudiantes o grupos ganadores que suscriben un contrato con el ICFES, acceder de manera anonimizada a la llave entre el Examen Saber 11° y SNIES proporcionada por el Ministerio de Educación Nacional en el marco de la propuesta ganadora de la convocatoria?

Sí, es posible acceder de manera anonimizada a la llave entre los datos del Examen Saber 11 ° y el SNIES, proporcionada por el MEN, en el marco de una convocatoria donde los estudiantes o grupos ganadores suscriben un contrato con el Icfes. Sin embargo, este acceso está condicionado a que se cumplan una serie de requisitos legales y técnicos relacionados con la protección de datos personales y que aquellos criterios de seguridad de la información queden explícitamente señalados en el clausulado contractual.

Para ello, en primer lugar, es indispensable que la información proporcionada esté, como en lo anteriores interrogantes, anonimizada de manera irreversible, de modo que no sea posible identificar directa o indirectamente a los estudiantes.

Además, el acceso a esta llave anonimizada debe tener una justificación clara y estar alineado con los fines de la convocatoria, como puede ser el análisis o investigación educativa, sin comprometer los derechos fundamentales de los estudiantes. Es importante que tanto el Icfes como el Ministerio de Educación cuenten con las autorizaciones necesarias para compartir esta información, en especial si se trata de datos sensibles o si los mismos fueron recolectados con finalidades específicas.

Por otro lado, el contrato suscrito con los ganadores de la convocatoria debe incluir disposiciones claras que garanticen el uso responsable de la información, de acuerdo con las normativas vigentes sobre protección de datos. Esto implica que los datos solo puedan ser utilizados para los fines estipulados en la convocatoria, respetando siempre los derechos de los titulares, bajo estrictos criterios de confidencialidad.

En los términos expuestos, se absuelve la consulta formulada.

BRAHIAM DANIEL MONTOYA ZULETA

Jefe de la Oficina Asesora Jurídica

<NOTAS DE PIE DE PÁGINA>.

1. Art. 25 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, sustituido por el artículo 1 de la Ley 1755 de 2015.

2. Los numerales 1 y 2 del artículo 11 del Decreto 5014 del 2009, le asignan a la Oficina Asesora Jurídica del ICFES las funciones de: “asesorar a la Dirección General y a las demás dependencias de la empresa en la interpretación de las normas constitucionales y legales, en el trámite y solución de asuntos de carácter jurídico” y “Conceptuar en las materias de su competencia”.

3. Por la cual se dictan disposiciones generales para la protección de datos personales

4. https://www.icfes.gov.co/ley-1581-de-2012-proteccion-de-datos-personales

5. Definición de la RAE: https://dle.rae.es/anonimizar?m=form

6. Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones.

7. Por medio del cual se expide el Decreto Único Reglamentario del Sector Cultura.

Disposiciones analizadas por Avance Jurídico Casa Editorial S.A.S.©
"Instituto Colombiano para la Evaluación de la Educación - ICFES"
ISSN [2500-4409 En linea]
Última actualización: 29 de Noviembre de 2024 - (Diario Oficial No. 52.943 - 17 de Noviembre de 2024)

Las notas de vigencia, concordancias, notas del editor, forma de presentación y disposición de la compilación están protegidas por las normas sobre derecho de autor. En relación con estos valores jurídicos agregados, se encuentra prohibido por la normativa vigente su aprovechamiento en publicaciones similares y con fines comerciales, incluidas -pero no únicamente- la copia, adaptación, transformación, reproducción, utilización y divulgación masiva, así como todo otro uso prohibido expresamente por la normativa sobre derechos de autor, que sea contrario a la normativa sobre promoción de la competencia o que requiera autorización expresa y escrita de los autores y/o de los titulares de los derechos de autor. En caso de duda o solicitud de autorización puede comunicarse al teléfono 617-0729 en Bogotá, extensión 101. El ingreso a la página supone la aceptación sobre las normas de uso de la información aquí contenida.