RESOLUCIÓN 278 DE 2016

(abril 22)

Diario Oficial No. 49.860 de 30 de abril de 2016

INSTITUTO COLOMBIANO PARA LA EVALUACIÓN DE LA EDUCACIÓN

<NOTA DE VIGENCIA: Resolución derogada por el artículo 5 de la Resolución 486 de 2022>

Por la cual se adopta el Manual de Políticas y Procedimientos de Protección de Datos y se implementa la Política Pública de Protección de Datos Personales.

LA DIRECTORA GENERAL DEL INSTITUTO COLOMBIANO PARA LA EVALUACIÓN DE LA EDUCACIÓN, (ICFES),

en uso de las facultades legales, y especialmente las conferidas por el artículo 33 del Decreto Ley 1042 de 1978, y el artículo 9o del Decreto 5014 de 2009, y

CONSIDERANDO:

Que la protección de los datos personales está consagrada en el artículo 15 de la Constitución Política, como el derecho fundamental que tienen todas las personas a conservar su intimidad personal y familiar, al buen nombre y a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellos en bancos de datos y en archivos de las entidades públicas y privadas.

Que la ley Estatutaria 1581 de 2012 “Régimen General de Protección de Datos Personales” y el Decreto 1377 de 2013, obliga a garantizar de forma integral la protección y el ejercicio del derecho fundamental de Habeas Data y establecen como deberes de los responsables del tratamiento de datos personales, adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la normatividad que rige la materia y en especial para la atención de consultas y reclamos.

Que el marco jurídico que desarrolló este derecho, incorporó los lineamientos necesarios para que los organismos públicos y privados identificaran los roles y la tipología de datos que son objeto de protección constitucional, así mismo, dispuso las condiciones en las cuales se deben recolectar los datos personales que posteriormente serán vinculados con la administración de una base de datos.

Que el Icfes como sujeto obligado requiere para el ejercicio de sus funciones recolectar datos personales de los ciudadanos e incorporarlos en bases de datos, así como, dar tratamiento a la información allegada por otras entidades que está relacionada con este tipo de información.

Que el Icfes diseñó la política de protección de datos personales que contiene los lineamientos a seguir para la creación, tratamiento y cierre de las base de datos, la cual incluye buenas prácticas y estándares universales en la materia.

Que con la implementación de esta política por parte de todos los colaboradores del Icfes, se busca asegurar que los datos personales que administra no sean informados y utilizados por terceros sin contar con la previa, expresa y libre autorización del titular de la información.

Que en mérito de lo anterior,

RESUELVE:

ARTÍCULO 1o. <Resolución derogada por el artículo  de la Resolución 486 de 2022> Adoptar el Manual de Políticas y Procedimientos de Protección de Datos, que contiene los lineamientos a seguir para la creación, tratamiento y cierre de las base de datos, la cual incluye buenas prácticas y estándares universales en la materia; en concordancia con las disposiciones legales vigentes.

ARTÍCULO 2o. <Resolución derogada por el artículo  de la Resolución 486 de 2022> Las personas naturales y jurídicas que tengan algún vínculo con el Icfes y que en el ejercicio de sus actividades y/o funciones deban recolectar datos personales para ser ingresados a las bases de datos, están obligadas a cumplir con los lineamientos dados en el documento de Política de Protección de Datos Personales e implementar los formatos anexos al mismo.

ARTÍCULO 3o. <Resolución derogada por el artículo  de la Resolución 486 de 2022> Con el propósito de cumplir con el principio de seguridad de la información, la custodia de las bases de datos y de los registros que constituyen los bancos de datos almacenados en el Icfes, estarán a cargo de la Dirección de Tecnología e Información del Instituto.

ARTÍCULO 4o. <Resolución derogada por el artículo  de la Resolución 486 de 2022> La Dirección de Tecnología e Información será la encargada de velar por el cumplimiento de las políticas de protección de datos personales adoptadas a través de la presente resolución, de conformidad con el Sistema de Gestión de Calidad establecido en el Icfes.

ARTÍCULO 5o. <Resolución derogada por el artículo  de la Resolución 486 de 2022> El Icfes aplicará los lineamientos de la política pública de protección de datos personales, en el intercambio de información con otras entidades.

ARTÍCULO 6o. <Resolución derogada por el artículo  de la Resolución 486 de 2022> El término señalado por la Ley 1437 artículo 8o numeral 8 se agotó debidamente, haciendo la publicación del proyecto de Resolución y del Manual de políticas y procedimientos de protección de datos personales para el Instituto Colombiano para la Evaluación de la Educación (Icfes), en el link http://www.icfes.gov.co/ index.php/atencion-al-ciudadano/participacion-ciudadana.

ARTÍCULO 7o. <Resolución derogada por el artículo  de la Resolución 486 de 2022> La presente resolución rige a partir de la fecha de su publicación.

Publíquese y cúmplase.

Dada en Bogotá, D. C., a 22 de abril de 2016.

La Directora General,

XIMENA DUEÑAS HERRERA.

MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DE PROTECCIÓN DE DATOS PERSONALES PARA EL INSTITUTO COLOMBIANO PARA LA EVALUACIÓN DE LA EDUCACIÓN, (ICFES) 2016,

TABLA DE CONTENIDO.

CAPÍTULO I

ASPECTOS GENERALES

1.1 Objetivos

1.2 Alcance

1.3 Aplicabilidad

1.4 Definiciones

1.5 Principios para el tratamiento de datos personales

1.6 Consideraciones generales:

CAPÍTULO II

POLÍTICA DE TRATAMIENTO DE INFORMACIÓN DE DATOS PERSONALES

CAPÍTULO III

TRATAMIENTO Y FINALIDAD DEL MANEJO DE LOS DATOS PERSONALES

3.1 Identificación del Responsable del Tratamiento de datos personales

3.2 Privacidad de los Titulares de datos personales

3.3 Tratamiento de datos sensibles

3.4 Legitimación para el ejercicio de los derechos de los Titulares

3.5 Derechos de los Titulares de datos personales

3.6 Deberes del Icfes cuando obra como Responsable del Tratamiento de datos Personales

3.7 Deberes del Icfes y del encargado del tratamiento de datos cuando se realiza a través de un tercero.

CAPÍTULO IV

AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS PERSONALES

4.1 Contenido de la solicitud de autorización de tratamiento de datos personales

4.2 Supresión o revocatoria de la autorización de tratamiento de datos

CAPÍTULO V

PROCEDIMIENTOS

5.1 Procedimiento de consulta

5.2 Procedimiento de reclamo

5.3 Procedimiento de actualización

CAPÍTULO VI

POLÍTICA DE CLASIFICACIÓN DE LAS BASES DE DATOS

6.1 Bases de datos de usuarios de los servicios del Icfes

6.2 Bases de datos de Información general interna del Icfes

INTRODUCCIÓN.

Este documento describe los lineamientos para el manejo de todos los datos personales de acuerdo con lo establecido en la Ley Estatutaria 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales, teniendo como objeto el desarrollo del derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar la información que se haya recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política, así como el derecho a la rectificación consagrado en el artículo 20 de la misma.

Los principios y disposiciones contenidas en la mencionada ley son aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por parte del Instituto Colombiano para la Evaluación de la Educación (Icfes) sean estos de naturaleza pública o privada. Por lo tanto, el tratamiento de datos realizado por el Instituto Colombiano para la Evaluación de la Educación, en adelante denominado “Icfes” se debe adaptar al régimen de protección de datos personales establecido por esta ley, sus decretos reglamentarios y demás normatividad que la complemente, modifique o derogue.

De acuerdo a lo anterior y según lo establecido en el artículo 18. Deberes de los Encargados del Tratamiento, de la Ley Estatutaria 1581 de 2012, el Icfes adopta este manual de políticas y procedimientos para garantizar el adecuado cumplimiento de la referida ley, en especial, para la atención de consultas y reclamos por parte de los Titulares de los datos personales.

CAPÍTULO I.

ASPECTOS GENERALES.

1.1 OBJETIVOS

a) Brindar la garantía y seguridad de los datos personales recopilados por el Icfes, cumpliendo con las directrices dispuestas por la ley, para mitigar los riesgos asociados con el tratamiento de los mencionados datos.

b) Implementar, organizar y ejecutar al interior del Icfes los procedimientos de recolección, archivo, almacenamiento, supresión, actualización, consulta y reclamación de datos personales, así como establecer cada una de las competencias y funciones de las personas o áreas encargadas del manejo de datos personales.

c) Cumplir efectiva y eficientemente el ejercicio de los derechos de los Titulares de datos personales tratados por el Icfes, así como también velar por el cumplimiento de cada una de las obligaciones establecidas en la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013.

1.2. ALCANCE

El alcance del presente manual y sus políticas aplican a todos los directivos, funcionarios y terceros que laboren o tengan relación con el Icfes, y en general a quienes hagan uso de la información de datos personales, datos sensibles, o de los servicios del Icfes y suministren datos personales a la entidad.

1.3. APLICABILIDAD

Los términos y condiciones establecidas en el presente manual y sus políticas aplican para cualquier registro de datos personales realizado en forma presencial, no presencial y/o virtual y que reposa en las bases de datos del Icfes.

1.4. DEFINICIONES

Las siguientes definiciones, permiten una correcta y apropiada interpretación del presente Manual, de la Ley 1581 de 2012 y de sus decretos reglamentarios.

a) Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable del Tratamiento de datos personales, dirigida al Titular para el Tratamiento de los mismos, mediante la cual se le informa acerca de la existencia de las Políticas de Tratamiento de Información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.

b) Derecho de Habeas Data: Es el derecho fundamental que tiene toda persona a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.

c) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.

d) Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.

c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Debe entonces entenderse el “dato personal” como una información relacionada con una persona natural (persona individualmente considerada).

d) Responsable del Tratamiento de datos personales: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.

e) Encargado del Tratamiento de datos personales: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.

f) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.

g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, modificación, circulación o supresión.

h) Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

i) Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.

j) Área de radicación de peticiones: Corresponde al área ante la cual el Titular de la información puede radicar la petición correspondiente para ejercer su derecho a conocer, actualizar, rectificar, suprimir información y recovar autorización para el manejo de sus datos personales.

h) Área encargada del tratamiento de datos personales: Corresponde al área o áreas facultadas de la vigilancia y control de la aplicación del tratamiento de información almacenada en las bases de datos, bajo la orientación y lineamientos del Sistema de Gestión de Seguridad de Información y demás parámetros legales.

i) Dato privado: Es el dato que por su naturaleza íntima o reservada solo es relevante para el Titular.

j) Dato semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no solo a su Titular sino a cierto sector o grupo de personas o a la sociedad en general.

k) Dato público: Es el dato que no es semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

l) Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.

m) Factores Asociados: Son los datos que se recolectan a través de los cuestionarios complementarios, en los formularios de inscripción y/o citación de las pruebas, con el fin de conocer cuáles son los factores que explican los resultados del logro académico.

Entre la información recolectada se encuentran datos del contexto socioeconómico, la comunidad, las familias y los colegios y docentes.

n) Política de Tratamiento de datos personales: Conjunto de directrices que determina el Icfes para garantizar la protección de datos personales de acuerdo a lo dispuesto en la Ley estatutaria 1581 de 2012 y a su Decreto Reglamentario 1377 de 2013.

o) Manual de Tratamiento de Datos Personales: Es el documento interno de la entidad por el cual se regulan los procedimientos del Tratamiento de datos personales tales como recolección, archivo, almacenamiento, modificación, supresión de datos, consulta y reclamación.

1.5. PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES

El Icfes aplicará los siguientes principios específicos, los cuales constituyen las reglas a seguir en la recolección, manejo, uso, tratamiento, almacenamiento e intercambio, de datos personales:

a) Principio de Acceso y Circulación restringida: De acuerdo con las disposiciones legales, los datos personales operados por el Icfes en el cumplimiento de sus funciones solo pueden ser accedidos por el Titular del dato y/o personas autorizadas. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido solo a los Titulares o terceros autorizados conforme a la presente ley.

b) Principio de Confidencialidad: El Icfes garantiza la confidencialidad de los datos dependiendo de la naturaleza del mismo. Por lo tanto, se guardará reserva de la información durante y después de terminadas las actividades que justifican el tratamiento de los datos personales, así todas las personas que intervengan en el tratamiento de datos personales, que no tengan la naturaleza de públicos, están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo solo suministrar o comunicar los datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley y en los términos de la misma. En consecuencia, se comprometen a conservar y mantener de manera estrictamente confidencial y no revelar a terceros, la información personal, contable, técnica, comercial o de cualquier otro tipo suministrada en la ejecución y ejercicio de las funciones diferentes a las registrales.

c) Principio de Finalidad: La finalidad corresponde a las funciones públicas otorgadas legalmente al Icfes, conforme a lo establecido en la Ley 1324 de 2009 y a lo reglado por la Constitución Política, la Ley 1581 de 2012 y su Decreto Reglamentario 1377 de 2013, y las demás leyes que reglamenten o modifiquen el tratamiento de datos personales.

d) Principio de Legalidad: El Tratamiento de Datos Personales es una actividad reglada que se rige por la Ley Estatutaria 1581 de 2012, el Decreto 1377 de 2013 y demás normatividad que las complementen, modifiquen o deroguen.

e) Principio de Seguridad: El Icfes garantiza los derechos de los Titulares de los datos personales proporcionando las medidas técnicas, humanas y administrativas necesarias para evitar adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

f) Principio de Transparencia: El Icfes garantiza a los Titulares de datos personales, el derecho de acceso y conocimiento de la información la cual debe ser veraz, completa, exacta, actualizada, comprobable y comprensible, conforme a la Ley 1581 de 2012, reglada por el Decreto Reglamentario 1377 de 2013 y a la demás normatividad vigente aplicable para el tratamiento de datos personales.

g) Principio de libertad: El Icfes puede tratar y ceder los datos personales que se encuentren almacenados en sus bases de datos, sin el previo consentimiento del Titular, siempre y cuando, estos provengan de los registros públicos, o que si bien no están contenidos en ellos, sean de naturaleza pública o se encuentran en bases de datos excluidas por la ley (p.ej. periodísticas, estadísticas y para la investigación). En los demás casos, el Icfes deberá obtener el consentimiento, previo, expreso e informado del Titular al momento de tratar sus datos personales.

h) Principio de veracidad o calidad: Conforme con el artículo 22 del Decreto 1377 de 2013, la información sujeta a tratamiento de base de datos personales debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

1.6 CONSIDERACIONES GENERALES:

El Icfes de acuerdo a la Ley 1324 de 2009, es una Empresa Estatal de carácter social del sector Educación Nacional, entidad pública descentralizada del orden nacional, de naturaleza especial, con personería jurídica, autonomía administrativa y patrimonio propio, vinculada al Ministerio de Educación Nacional, por lo tanto, el tratamiento de datos personales que desarrolle el Icfes en cumplimiento de sus funciones legales NO necesitará de la autorización de los Titulares de datos personales.

Las políticas y procedimientos consagrados en este manual se aplicarán al Instituto Colombiano para la Evaluación de la Educación (Icfes), en los términos y condiciones que aquí se señalen, los cuales aplican para cualquier registro de datos personales realizado en forma presencial, no presencial y/o virtual para la vinculación a cualquier examen, servicio o beneficio del Icfes. El Icfes como encargado directamente del tratamiento de los datos personales se reserva el derecho a delegar a un tercero tal tratamiento exigiendo, la atención e implementación de los lineamientos y procedimientos idóneos para la protección de los datos personales y la estricta confidencialidad de los mismos.

Todo responsable, encargado o tercero involucrado en el tratamiento de los datos personales de niños, niñas y adolescentes, deberá velar por el uso adecuado de los datos personales de estos. Para este fin deberán aplicarse los principios y obligaciones establecidas en la Ley 1581 de 2012 y demás normas complementarias.

El tratamiento de datos personales de niños, niñas y adolescentes está prohibido excepto cuando se trate de datos de naturaleza pública, y cuando dicho tratamiento cumpla con los siguientes parámetros y/o requisitos:

a) Que respondan y respeten el interés superior de los niños, niñas y adolescentes;

b) Que se asegure el respeto de sus derechos fundamentales;

c) Que se cuente con la autorización por parte del representante legal o acudiente del niño, niña o adolescente.

De acuerdo con lo anterior es responsabilidad de todas las instituciones educativas cuyos estudiantes presentan las pruebas realizadas por el Icfes, solicitar la autorización de tratamiento de datos personales de los menores de edad ya sea a sus padres, representantes legales o acudientes o a quien haga sus veces. La firma de los padres constituirá la autorización legal y la inscripción por parte del estudiante menor de edad representará el consentimiento de los mismos para la inscripción a las pruebas.

De acuerdo con lo previsto en la Constitución Política de Colombia en sus artículos 44 y 45 y en concordancia con la Ley de la Infancia y la Adolescencia, los derechos de los menores deben ser interpretados y aplicados de manera prevalente y, por lo tanto, deben ser observados con especial cuidado. Conforme lo señalado en la Sentencia C-748/11 de la Corte Constitucional, las opiniones de los menores deben ser tenidas en cuenta al momento de realizar algún tratamiento de sus datos.

CAPÍTULO II.

POLÍTICA DE TRATAMIENTO DE INFORMACIÓN DE DATOS PERSONALES.

<Capítulo derogado por la Resolución 255 de 2020>

Con miras a proteger y asegurar a los titulares de datos personales, y dar un debido tratamiento de su información, y en observancia a la Ley 1581 de 2012 y al Decreto 1377 de 2013, el Instituto Colombiano para la Evaluación de la Educación (Icfes), se acoge a las siguientes pautas para el tratamiento de datos personales:

El Icfes como empresa estatal de carácter social del sector educación, de acuerdo al artículo 12 de la Ley 1324 de 2009, tiene como objeto “ofrecer el servicio de evaluación de la educación en todos sus niveles y adelantar investigaciones sobre los factores que inciden en la calidad educativa, con la finalidad de ofrecer información para mejorar la calidad de educación. (…)”. Así las cosas, atendiendo a la naturaleza de la entidad, se tiene presente que en cumplimiento de sus funciones legales, el Icfes no necesita la autorización de los titulares de datos personales atendiendo a los parámetros del artículo 10 de la Ley 1581 de 2012_[1].

En virtud del artículo 4o la Ley 1324 de 2009, el tratamiento de los datos que dará el Icfes a los resultados agregados de las evaluaciones externas de que trata la mencionada normatividad se regirán teniendo presente lo siguiente:

Artículo 4o. De la Publicidad y reserva. Los resultados agregados de las evaluaciones externas de que trata esta Ley serán públicos.

Los resultados individuales podrán comunicarse a terceros que los requieran con el fin exclusivo de adelantar investigaciones sobre educación, si garantizan que el dato individual no será divulgado sin consentimiento previo de la persona evaluada.

Sin perjuicio de la comunicación de datos agregados, o para investigaciones, los datos relativos a cada persona pertenecerán a aquella y no podrán ser divulgados sino con su autorización. La persona evaluada tendrá derecho a conocer el resultado de su evaluación, a exigir y obtener la corrección que sea del caso si comprueba que está errada en los términos que defina el reglamento. Gozarán del privilegio de la reserva los bancos de preguntas que se utilicen en las evaluaciones.

El Icfes podrá tratar datos personales sin autorización del titular cuando esos datos sean usados para diseñar, implementar, administrar y mantener actualizadas las bases de datos con la información de los resultados alcanzados en las pruebas aplicadas y los factores asociados, de acuerdo con prácticas internacionalmente aceptadas_[2].

Lo anterior NO EXIME al Icfes, de cumplir con los principios, obligaciones y derechos de los titulares y, en general, los preceptos establecidos en la Ley 1581 de 2012 y su Decreto Reglamentario 1377 de 2013.

CAPÍTULO III.

TRATAMIENTO Y FINALIDAD DEL MANEJO DE LOS DATOS PERSONALES.

3.1 Identificación del Responsable del Tratamiento de datos personales:

El Icfes_[3] es el Responsable del Tratamiento de Datos Personales y en cumplimiento a lo establecido en el artículo 13 del Decreto Reglamentario 1377 de 2013, adopta y hace público a todos los interesados el contenido de los elementos esenciales, sencillos y seguros para el cumplimiento con la legislación correspondiente a la Protección de Datos Personales.

3.2 Privacidad de los Titulares de datos personales

El Icfes, respeta la privacidad de los datos personales de todo el que suministre sus datos a través de los diferentes medios de recolección dispuestos para tal efecto.

El Icfes recibe la mencionada información, la almacena de forma adecuada y segura, pero sin impedir a sus titulares verificar la exactitud de la misma y ejercer sus derechos relativos a conocer, actualizar, rectificar y suprimir dicha información, así como su derecho a revocar la autorización suministrada al Icfes para el tratamiento de sus datos.

Los datos personales que el Icfes recolecta, los procesa y usa de conformidad con las regulaciones actuales de protección de información y privacidad, establecidas en la ley.

El Icfes como responsable del tratamiento de los datos personales debe implementar las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

El Icfes no cederá a terceros los datos personales de los usuarios que se recogen a través de los diferentes medios dispuestos para tal fin, sin su consentimiento expreso. Sin perjuicio de lo anterior, los datos personales se ceden a terceros cuando sea requerido por las autoridades administrativas competentes o por mandato judicial.

El usuario también comprende que los datos por él consignados harán parte de una base de datos que podrá ser usada por el Icfes, para efectos de surtir los procesos propios de sus funciones.

Sin perjuicio de lo anterior, el Icfes no se responsabiliza por cualquier consecuencia derivada del ingreso indebido de terceros a la base de datos y/o por alguna falla técnica en el funcionamiento y/o conservación de los datos. Para contrarrestar el riesgo que esto pueda generar, el Icfes ha adoptado los niveles de seguridad de protección de los datos personales legalmente requeridos, instalando las medidas técnicas y organizativas necesarias para evitar la pérdida, mal uso, alteración, acceso no autorizado y robo de los datos facilitados.

En caso de que en cumplimiento de las disposiciones legales se deba transferir información almacenada en la base de datos de la entidad a terceras partes, se hace necesario suscribir acuerdos de confidencialidad. Estos acuerdos trasladarán la responsabilidad a dicha entidad.

3.3 Tratamiento de datos sensibles

De acuerdo al artículo 3o numeral 3 del Decreto 1377 de 2013, se entiende por datos sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de Derechos Humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.

De acuerdo al artículo 6o de la Ley 1581 de 2012, está prohibido el tratamiento de datos sensibles, excepto cuando:

a) El Titular haya dado su autorización previa y explícita a dicho tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización;

b) El tratamiento sea necesario para salvaguardar el interés vital del titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización;

c) El tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del titular;

d) El tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;

e) El tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los titulares.

El Icfes no tratará datos sensibles, excepto cuando estos se encuentren en alguna de las causales establecidas anteriormente. De tratarse datos sensibles por el Icfes, según los parámetros antes establecidos, informará al titular la finalidad de su tratamiento, antes del ingreso de los datos, vía formulario de inscripción, correo electrónico, línea de atención al ciudadano y/o página web.

En adición a lo anterior, el Icfes se compromete a:

a) Informar al titular que por tratarse de datos sensibles no está obligado a autorizar su tratamiento.

b) Informar al titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles datos objeto de tratamiento son de carácter sensible, la finalidad del tratamiento, y obtener su consentimiento expreso.

Los datos personales o sensibles de tratamiento por el Icfes se establecen teniendo en cuenta la calidad del titular, así:

a) Estudiantes: Nombres, apellidos, fecha de nacimiento, tipo y número de documento de identidad, sexo, dirección del domicilio, correo electrónico, teléfono fijo, teléfono celular y ciudad de residencia, etnia, condición de discapacidad, medidas de privación de libertad.

b) Empleados: Nombre y apellidos, documento de identificación, edad, sexo, domicilio, dirección, teléfono, correo electrónico, datos familiares (padres e hijos), datos biométricos y registro de imagen.

c) Personas naturales diferentes a estudiantes que presentan exámenes de Estado, de los cuales es encargado el Icfes: Nombres, apellidos, fecha de nacimiento, tipo y número de documento de identidad, sexo, dirección del domicilio, correo electrónico, teléfono fijo, teléfono celular y ciudad de residencia.

d) Contratistas, Proveedores y Visitantes: Nombre y apellidos, documento de identificación, datos biométricos y registro de imagen.

3.4 Legitimación para el ejercicio de los derechos de los titulares Los derechos de los titulares establecidos en la Ley y artículo 20 del Decreto 1377 de 2013, podrán ser ejercidos por las siguientes personas:

a) Por el titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición el responsable.

b) Por los padres cuando se trate de derechos de los menores de edad hasta los 18 años, se ejercerán por las personas que estén facultadas para representarlos.

c) Por sus causahabientes, quienes deberán acreditar alguna de las siguientes calidades por medio del registro civil: Los hijos del titular difunto, los padres y cónyuge del titular difunto, los hermanos del titular difunto, los hijos de los hermanos del titular difunto, por el representante y/o apoderado del titular, previa acreditación de la representación o apoderamiento por medio del registro civil del menor o poder, por estipulación a favor de otro o para otro. (Esta figura normalmente se utiliza en el sector asegurador).

3.5 Derechos de los titulares de datos personales:

El Icfes les informa a los titulares de datos personales que los derechos que pueden ejercer de acuerdo con la Ley 1581 de 2012, son los siguientes:

a) Conocer, actualizar y rectificar sus datos personales frente al Icfes. Este derecho se podrá ejercer, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.

b) Solicitar prueba de la autorización otorgada al Icfes, salvo que no se necesite autorización para el tratamiento de datos personales.

c) Ser informado por el Icfes, previa solicitud, respecto del uso que le ha dado a los datos personales del Titular.

d) Presentar ante la Superintendencia de Industria y Comercio, quejas por infracciones en las siguientes situaciones:

1. Cuando se utilicen los datos personales para fines distintos a los informados al Titular de datos personales en la autorización de tratamiento de datos.

2. Cuando se traten datos personales por el Icfes, sin autorización del Titular.

3. Cuando un Titular solicita la supresión de un dato personal y el Icfes no efectúa la supresión y continúa el tratamiento del dato.

e) Revocar la autorización y/o solicitar la supresión del dato en cualquier momento excepto que exista una relación legal o contractual con el Icfes, que obligue al Titular de mantener sus datos en base de datos.

f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.

3.6 Deberes del Icfes cuando obra como Responsable del Tratamiento de datos personales:

a) Solicitar al Titular la autorización para el tratamiento del dato, informando su finalidad, vía formulario de inscripción, correo electrónico, línea de atención al ciudadano y/o página web.

b) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de Hábeas Data y las siguientes actuaciones relacionadas:

1. Conocer sus datos.

2. Actualizar sus datos.

3. Incluir nuevos datos.

4. Rectificar o corregir sus datos.

5. Suprimir sus datos.

c) Conservar la respectiva autorización otorgada por el Titular en la base de datos para efectos probatorios en cualquier proceso con la Superintendencia de Industria y Comercio.

d) Realizar oportunamente la actualización, rectificación o supresión de los datos personales.

e) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.

f) Conservar la información bajo las condiciones de seguridad necesarias para prevenir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

g) Verificar que la información recolectada sea veraz, completa, exacta, actualizada, comprobable y comprensible.

h) Rectificar la información cuando sea incorrecta.

i) Respetar las condiciones de seguridad y privacidad de la información del Titular.

j) Tramitar las consultas y reclamos de acuerdo a lo establecido en el Capítulo V.

Procedimientos.

k) Adoptar el presente manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley 1581 de 2012, el Decreto 1377 de 2013 y, en especial, para la atención de consultas y reclamos.

l) No tratar los datos cuando una información se encuentre en trámite de reclamación por parte del Titular.

m) Informar a solicitud del Titular sobre el uso dado a sus datos.

n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

o) Cuando se reciba un reclamo formulado por los Titulares de los datos se debe registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en el presente manual, apartado 3.5 Derechos de los Titulares de datos personales y 3.6 Deberes del Icfes, cuando obra como Responsable del Tratamiento de datos personales.

p) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

3.7 Deberes del Icfes y del encargado del tratamiento de datos cuando se realiza a través de un tercero

a) Cuando se realiza el tratamiento de datos personales a través de un encargado, el Icfes debe suministrar al encargado autorizado del tratamiento únicamente los datos personales que se requieran para el fin contratado.

b) Cuando el Icfes transfiera datos personales a alguna entidad educativa, ministerio, ONG u otro organismo facultado para obrar como encargado del tratamiento de los datos personales, este deberá garantizar la protección de los mismos y dar total cumplimiento a lo dispuesto en la Ley 1581 de 2012, el Decreto 1377 de 2013 y, específicamente, lo dispuesto en el artículo 25. Contrato de transmisión de datos personales_[4].

c) Comunicar de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.

d) Informar de manera oportuna al encargado del tratamiento las rectificaciones realizadas sobre los datos personales para que este proceda a realizar los ajustes pertinentes.

e) Cuando se reciba un reclamo formulado por los Titulares de los datos se debe registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en el presente manual, apartado 3.5 Derechos de los Titulares de datos personales, y 3.6 Deberes del Icfes, cuando obra como Responsable del Tratamiento de datos personales.

f) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.

g) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

h) Cumplir con las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

i) Usar los medios tecnológicos para salvaguardar la información, teniendo presente las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

j) Los cuadernillos de preguntas pertenecen al Icfes y en ningún caso podrán ser entregados, pues se trata de información confidencial.

CAPÍTULO IV.

AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS PERSONALES.

4.1 Contenido de la solicitud de autorización de tratamiento de datos personales:

Previa autorización (verbal o escrita) para el tratamiento de datos personales, el Icfes deberá informar al Titular lo siguiente:

a) Las finalidades específicas del tratamiento al cual serán sometidos los datos personales.

b) Los datos personales que serán recolectados.

c) El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.

d) Los derechos que le asisten como Titular.

e) La identificación, dirección física o electrónica y el teléfono del Icfes.

4.2 Supresión o revocatoria de la autorización de tratamiento de datos El Icfes deberá suprimir o revocar la autorización de Tratamiento de datos cuando así lo solicite el Titular, excepto en caso de ser requeridos los datos personales cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos del Icfes.

4.3 Hay supresión Cuando cualquier persona natural que haya presentado alguna prueba desarrollada por el Icfes, solicita que sea suprimido de las bases de datos su correo electrónico personal, puesto que no quiere recibir información de terceros para becas y/o estímulos.

4.4 No hay supresión a) Cuando un empleado del Icfes, solicita sea suprimido de la base de datos su nombre, dirección y teléfono. Tal supresión no procederá puesto que, para el Icfes esos datos son importantes para el cumplimiento de sus obligaciones legales, como en el caso del pago a la seguridad social (Normas de la Seguridad Social).

b) Cuando cualquier persona natural que haya presentado alguna prueba desarrollada por el Icfes, solicita que se suprima su nombre, número de identificación y dirección del domicilio. No se podrá suprimir puesto que el Icfes está facultado por Ley a solicitar ese tipo de información para vincular los resultados individuales de los exámenes.

CAPÍTULO V.

PROCEDIMIENTOS.

Teniendo en cuenta la Resolución número 113 del 16 de febrero de 2016, la Dirección General del Icfes reglamentó el Trámite de peticiones, quejas y reclamos aplicable a todas las dependencias de la entidad, por ende, se estableció que toda persona tiene derecho a consultar los documentos que reposen en el Icfes y a que se les expida copia de los mismos, siempre que dichos documentos no tengan carácter reservado, conforme a la Constitución o a la ley. El valor de la copias a expedir cuando se responda una petición de información pública será el determinado por la Resolución 707 del 11 de septiembre de 2015, del Icfes, o la que la modifique o sustituya.

5.1. Procedimiento de consulta

Los Titulares de los datos personales o la persona legitimada de acuerdo al artículo 20 del Decreto 1377 de 2013_[5], podrán solicitar la consulta de sus datos personales por los diferentes medios de contacto de la página web http://www.icfes.gov.co/ dispuestos en la pestaña de Atención al ciudadano.

Las consultas realizadas deberán contener como mínimo: i) La Identificación completa del Titular, ii) Datos personales que quieren ser consultados, iii) Dirección, iv) Correo electrónico, y v) En caso de ser causahabientes o cualquier otra persona legitimada de acuerdo al artículo 20 del Decreto 1377 de 2013 deberá anexar el respectivo documento que demuestre su legitimidad.

La consulta será atendida por el Icfes, en un término máximo de quince (15) días hábiles, contados a partir de la fecha de recibo de la consulta por correo electrónico.

Cuando no fuere posible atender la consulta dentro de dicho término el Icfes informará al interesado expresando los motivos de la demora y señalando la fecha en que se atenderá su solicitud, la cual no podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

5.2. Procedimiento de reclamo

El procedimiento de reclamo está reglamentado en el artículo 15 de la Ley 1581 de 2012, por lo tanto, los términos de sus actuaciones no podrán ser objeto de modificación por parte de Icfes:

La reclamación tendrá como objeto:

a) Actualización de los datos.

b) Corrección de los datos.

c) Supresión o revocatoria de la autorización de tratamiento de datos personales.

d) Reclamar el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012.

En el caso de que la reclamación sea presentada por escrito o en forma verbal, deberá contener los siguientes requisitos:

a) La identificación completa del Titular.

b) Descripción de los hechos que dan lugar al reclamo.

c) Dirección del domicilio.

d) Correo electrónico.

e) En caso de ser causahabientes o cualquier otra persona legitimada de acuerdo al Título IX del presente manual, se deberá anexar el respectivo documento que demuestre su legitimidad.

f) Acompañamiento de los documentos que el Titular, causahabiente o cualquier otra persona legitimada de acuerdo al título IX quiere hacer valer.

5.2.1. La reclamación formulada surtirá el siguiente procedimiento

La persona o área responsable de recibir las reclamaciones, que para el caso del Icfes corresponde a la Unidad de Atención al Ciudadano, deberá remitir inmediatamente la consulta al área encargada de responder.

La reclamación deberá ser atendida en un término máximo de quince (15) días hábiles, contados a partir de la fecha de recibo de la consulta. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual no podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.

Si el reclamo resulta incompleto el Icfes requerirá al interesado dentro de los cinco (5) días hábiles siguientes a la recepción del reclamo para que subsane las fallas.

Transcurrido dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, el Icfes entenderá, que el Titular, causahabiente o cualquier otra persona legitimada de acuerdo al Título IX del presente manual ha desistido del reclamo.

Una vez recibido el reclamo completo, el área encargada de dar respuesta, informará inmediatamente al área de almacenamiento, incluir en la base de datos del Icfes una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea resuelto.

Resuelto el reclamo se debe cerrar el caso en el sistema asignado para este.

5.3. Procedimiento de actualización

El Icfes, rectificará y actualizará los datos personales recolectados y tratados que se encuentran en sus bases de datos si así lo requiere. Por lo anterior, el Icfes, enviará vía correo electrónico institucional a cada uno de los Titulares, los datos personales procesados en sus bases de datos, para que estos rectifiquen la información.

Si corrido el término de treinta (30) días siguientes al envío del correo electrónico de rectificación de información, el Titular no se pronuncia, el Icfes entenderá que esta información está actualizada. Lo anterior no impide que el Titular en cualquier momento solicite la actualización de sus datos personales mediante el Procedimiento de reclamo.

CAPÍTULO VI.

POLÍTICA DE CLASIFICACIÓN DE LAS BASES DE DATOS.

El Icfes tiene sus bases de datos clasificadas de la siguiente forma:

6.1. Bases de datos de usuarios de los servicios del Icfes

6.1.1 Bases de datos de FTP

Son las bases de datos de la publicación de información en el FTP, contiene actualmente las bases de datos de las pruebas Saber PRO, Saber 11o, Saber 3o, 5o y 9o, cruces de resultados de las anteriores pruebas, clasificación de planteles y cálculo de índices socioeconómicos. Dicha publicación contiene información de forma anónima para todos los individuos.

6.1.2 Base de Datos Distinción Andrés Bello

Esta base de datos está distribuida en tres categorías: nacional, departamental, rural y urbana, de acuerdo al Decreto 2029 del 16 de octubre de 2015, que reconoce una vez al año los mejores estudiantes del último grado de educación media que presentaron el Examen de Estado de la Educación Media Icfes - SABER 11 a nivel nacional y departamental así:

a) Nacional. Pertenecen a esta categoría, los cincuenta (50) mejores estudiantes de último grado de la educación media o bachilleres graduados durante la última vigencia que obtengan los más altos puntajes en el Examen de Estado de la Educación Media, Icfes SABER 11 del país sin importar si están registrados o no en el SISBEN.

b) Departamental. Pertenecen a esta categoría, el cero punto cero dos por ciento (0.02%) de los mejores estudiantes de último grado de la educación media o bachilleres graduados durante la última vigencia que se encuentren registrados en el SISBEN, en la versión III, o instrumento que haga sus veces, dentro de los puntos de corte definidos por el Icetex, de cada uno de los departamentos del país, que anualmente obtengan los más altos puntajes en el Examen de Estado de la Educación Media, Icfes SABER 11.

c) Rural y Urbana. Pertenecen a esta categoría los diez (10) mejores estudiantes de último grado de la educación media o bachilleres graduados durante la última vigencia de zona urbana por cada departamento y Distrito Capital, y los diez (10) mejores estudiantes de último grado o mejores bachilleres graduados de zonas rurales por cada departamento y el Distrito Capital. En ambos casos, los distinguidos deben encontrarse registrados en el SISBEN, en la versión III, o instrumento que haga sus veces, dentro de los puntos de corte definidos por el Icetex, y haber obtenido los más altos puntajes en el Examen de Estado de la Educación Media, Icfes SABER 11, a nivel departamental o del Distrito Capital.

6.1.3. Base de datos de calificación de resultados individuales

Es una base de datos que contiene los resultados individuales de las pruebas de los evaluados, según el examen presentado relacionando puntajes, niveles de desempeño, medidas (quintiles, deciles), e información personal. Las pruebas son: Saber 11, Presaber, Validantes, Saber TyT, Saber Pro; Saber Pro Exterior, INSOR y es generada por la Subdirección de Información.

6.1.4. Base de datos de publicación resultados Saber 3o, 5o y 9o

En una base de datos que contiene los resultados de promedio, desviaciones, niveles de desempeño, discapacidades, indicios de copia de los siguientes niveles:

Establecimiento educativo, municipios, departamentos, y entidades territoriales certificadas desde 2009 hasta 2015, adicionalmente contiene los resultados de las pruebas no cognitivas “acciones y aptitudes ciudadanas”, esta base de datos es generada por la subdirección de estadística.

6.1.5. Base de resultados Mejores Saber Pro

Es una base de datos que contiene los resultados de los mejores del examen Saber Pro.

Para la generación de esta base de datos se tienen en cuenta los siguientes aspectos:

- Que en el módulo de Escritura se encuentre en el quintil 'V' (5).

- Que en los módulos de competencias genéricas sus quintiles no sean inferiores al quintil 'IV' (4).

- El evaluado no debe ser repitente.

- Que se encuentre en el 10% más alto de su grupo de referencia.

6.1.6 Base de datos de información personal

Es la base de datos de los evaluados que contiene información personal, sociodemográfico, educativo, familiar, estrato social, entre otras.

6.1.7. Base de datos sitios de aplicación

Contiene los datos de identificación, contacto, infraestructura y salones de la institución educativa, así como la solicitud de los préstamos de los sitios de aplicación para los exámenes.

6.1.8. Base de datos examinadores

Contiene la información de datos de contacto, nombres, documento de identificación, historial de aplicación y el rol del personal (Delegados, Jefes de salón Bogotá, coordinadores de salones Bogotá, Monitores de municipio), que participan en las aplicaciones.

6.1.9. Base de datos de datos abiertos

Bases de datos donde se publican y divulgan datos abiertos de la institución, tanto en la página institucional como en datos.gov.co para que cualquier ciudadano utilice dicha información y puedan aportar con temas de investigación, etc.

6.2. Bases de datos de Información general interna del Icfes

6.2.1 Base de datos de contratistas y proveedores

Son las bases de datos manuales o automatizadas que contienen datos de las personas naturales o jurídicas que mantienen un vínculo contractual y comercial con el Icfes, cuyo tratamiento tiene como finalidad cumplir con las disposiciones contractuales estipuladas por el Icfes, para las adquisiciones de servicios y bienes demandados por esta para su normal funcionamiento o el cumplimiento de algunas de sus funciones. Esta base de datos contiene datos personales públicos, privados y sensibles, los cuales tienen como finalidad el desarrollo de relaciones contractuales.

El tratamiento de estos datos para fines diferentes al mantenimiento de la relación contractual o el cumplimiento de deberes de carácter legal, requiere autorización previa del Titular.

6.2.2 Base de datos de empleados

Son las bases de datos manuales o automatizados que contienen datos de las personas naturales que se vinculan laboralmente con el Icfes, cuyo tratamiento tiene como finalidad cumplir con las disposiciones legales y reglamentarias. En esta base de datos, se incorporan tanto información privada, pública, datos sensibles y de menores.

El tratamiento de los datos para los fines diferentes a las obligaciones derivadas de la relación laboral, requerirá autorización previa del Titular o su representante legal, según sea el caso. De ninguna manera el Icfes dará tratamiento a los datos sensibles o de menores sin autorización previa.

* * *

1.	Artículo 9o. Autorización del Titular. Sin perjuicio de las excepciones previstas en la Ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior.
Artículo 10. Casos en que no es necesaria la autorización. La autorización del Titular no será necesaria cuando se trate de:
a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;
b) Datos de naturaleza pública;
c) Casos de urgencia médica o sanitaria;
d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos;
e) Datos relacionados con el Registro Civil de la Personas.
Quien acceda a los datos personales sin que medie autorización previa deberá en todo caso cumplir con las disposiciones contenidas en la ley.
2	http://evaluacion.educacionbogota.edu.co/index.php/factores-asociados
3	El ICFES, de acuerdo con la Ley 1324 de 2009 es una Empresa Estatal de carácter social del sector de Educación Nacional, entidad pública descentralizada del orden nacional, de naturaleza especial, con personería jurídica, autonomía administrativa y patrimonio propio, vinculada al Ministerio de Educación Nacional, con domicilio en la Ciudad de Bogotá, D.C., en la dirección carrera 7 No. 32-12 teléfono (1) 4841460.
4	Artículo 25. Contrato de transmisión de datos personales. El contrato que suscriba el Responsable con los encargados para el tratamiento de datos personales bajo su control y responsabilidad señalará los alcances del tratamiento, las actividades que el encargado realizará por cuenta del responsable para el tratamiento de los datos personales y las obligaciones del Encargado para con el Titular y el responsable.
5	Artículo 20. Legitimación para el ejercicio de los derechos del Titular. Los derechos de los Titulares establecidos en la Ley, podrán ejercerse por las siguientes personas:
1. Por el Titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición el responsable.
2. Por sus causahabientes, quienes deberán acreditar tal calidad.
3. Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento.
4. Por estipulación a favor de otro o para otro.
Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que estén facultadas para representarlos.